7 principais indicadores de risco no painel do Varonis Active Directory

Tudo que um invasor precisa é de tempo e motivação para se infiltrar na rede. Para evitar invasões, o primeiro passo é identificar todos os pontos fracos no Active Directory (AD) que um invasor pode usar para obter acesso e passar pela sua rede sem ser detectado. O painel Varonis Active Directory mostra exatamente onde sua rede está vulnerável – e ajuda a acompanhar seu progresso à medida que as defesas se fortalecem.

Algumas dessas vulnerabilidades são configurações de domínio que você pode alterar facilmente. O painel do Varonis AD mostra rapidamente se há alguma configuração de domínio que corre o risco de fornecer aos hackers acesso total à sua rede.

O Varonis AD Dashboard é atualizado automaticamente para fornecer uma visão rápida das principais métricas que destacam possíveis vulnerabilidades para que as medidas para remediar qualquer problema sejam tomadas imediatamente.

3 indicadores de risco chave no Nível do Domínio

Aqui estão alguns widgets destacados no painel do AD que são particularmente úteis para proteger sua rede.

Nº de domínios para os quais a senha da conta Kerberos não foi alterada recentemente

A conta KRBTGT é a conta de serviço especial no AD que assina todos os tíquetes do Kerberos. Os invasores com acesso a um Controlador de Domínio (DC) podem usar essa conta para criar um Golden Ticket, que concede a eles acesso irrestrito a todos os sistemas da sua rede.

Este widget do AD mostra se a senha da conta KRBTGT não foi alterada nos últimos quarenta dias. Esse é um tempo muito longo para um invasor ter acesso à rede. É importante ter um processo que altere essa senha mensalmente, pois será muito mais difícil para um invasor manter seu acesso.

Nº de domínios em que a conta do administrador tinha sido acessada recentemente

O princípio de menor privilégio diz que os administradores de sistema precisam de duas contas: uma de usuário para uso normal, no dia a dia, e outra para mudanças administrativas planejadas. Isso significa que ninguém deve usar a conta de administrador padrão por qualquer motivo e, se esse widget do AD mostrar o contrário, existe um problema. Isso pode significar que há um ataque em andamento ou que alguém está usando contas administrativas incorretamente. Em ambos os casos, esse widget fornece os dados necessários para investigar e corrigir o problema.

Nº  de domínios em que o grupo de usuários protegido não existe

Versões mais antigas do AD suportavam criptografia fraca, chamada RC4. Hackers invadiram a RC4 anos atrás, e é trivial para um invasor atacar uma conta que ainda usa o RC4. O Windows Server 2012, e posteriores, introduziu um novo tipo de grupo de usuários chamado grupo Usuários Protegidos. Esse grupo oferece recursos de segurança adicionais e impede que os usuários façam a autenticação com a criptografia RC4.

O widget mostra se algum dos domínios não tem esse grupo, para que seja possível atualizar e ativar o grupo Usuários Protegidos e usar esse novo grupo para proteger suas permissões.

Alvos fáceis para hackers

As contas de usuário são o alvo número um para os invasores. Os hackers procuram os alvos fáceis em sua rede usando comandos básicos do PowerShell que são difíceis de detectar.

O Varonis AD Dashboard destaca as contas de usuários vulneráveis e permite que seja feita uma pesquisa detalhada para solucionar esses problemas e construir barreiras para impedir ataques.

4 indicadores de risco chave da conta de Usuário

Aqui estão alguns exemplos de widgets que destacam as contas de usuários arriscadas no AD

Nº de usuários habilitados com senhas que nunca expiram

Qualquer hacker que receba uma conta com senha que nunca expira é um invasor feliz e entrincheirado. Como a senha não expira, ela tem uma posição permanente na rede que pode usar como área para teste de escalonamento de privilégios ou movimentação lateral.

Esse widget é possível encontrar todas as contas  com senhas que não expiram e permite sua alteração ou atualização.

Nº de contas administrativas com SPN

SPN (Service Principal Name) significa que a conta é uma conta de serviço e esse widget mostra quantas dessas contas têm privilégios administrativos completos. O número deve ser zero. Depois de identificados os SPNs com contas administrativas, o widget permite a atualização de permissões e o gerenciamento de qualquer novo SPN que apareça no painel.

Nº de usuários que não exigem pré- autenticação do Kerberos

Idealmente, o Kerberos criptografa os tíquetes de autenticação com criptografia AES-256, que atualmente é inquebrável. No entanto, versões mais antigas usavam a RC4. Este widget mostra quais contas estão usando a RC4. Depois de identificadas é ideal desmarcar a opção “ Não requerer pré-autorização do Kerberos” para que elas usem a criptografia mais forte.

Contas sem política de senha

Os hackers usam o PowerShell básico para consultar o AD para o sinalizador “PASSWD_NOTREQD”, que significa que não há requisito de senha imposto. Com o widget fica fácil visualizar as contas e corrigi-las rapidamente.

Varonis no campo de jogo

No passado, a pesquisa e coleta dessas métricas demandavam muitas horas e conhecimento profundo do PowerShell. Era preciso dedicar recursos para verificar suas posições de risco regularmente. Fazer isso manualmente deixa bastante tempo para que os invasores se infiltrem e roubem dados.

A Varonis precisa de um dia para preencher os painéis do AD com essas metricas de vulnerabilidades e atualizar o painel automaticamente. Saiba mais sobre o Varonis Data Security Platform.