Podejście i najlepsze rozwiązania firmy Microsoft dotyczące oprogramowania wymuszającego okup DART

Oprogramowanie wymuszane przez człowieka nie jest złośliwym problemem z oprogramowaniem — jest to ludzki problem kryminalny. Rozwiązania używane do rozwiązywania problemów towarowych nie są wystarczające, aby zapobiec zagrożeniu, które bardziej przypomina aktora zagrożenia państwa narodu, który:

  • Wyłącza lub odinstalowuje oprogramowanie antywirusowe przed szyfrowaniem plików
  • Wyłącza usługi zabezpieczeń i rejestrowanie, aby uniknąć wykrywania
  • Lokalizuje i usuwa kopie zapasowe przed wysłaniem żądania okupu

Te akcje są często wykonywane w uzasadnionych programach, które mogą już znajdować się w twoim środowisku w celach administracyjnych. W rękach przestępczych te narzędzia są używane złośliwie do przeprowadzania ataków.

Reagowanie na rosnące zagrożenie oprogramowaniem wymuszającym okup wymaga kombinacji nowoczesnej konfiguracji przedsiębiorstwa, aktualnych produktów zabezpieczeń oraz czujności wyszkolonych pracowników zabezpieczeń w celu wykrywania zagrożeń i reagowania na nie przed utratą danych.

Zespół ds. wykrywania i reagowania firmy Microsoft (DART) reaguje na naruszenia zabezpieczeń, aby pomóc klientom stać się cyberodpornym. FUNKCJA DART zapewnia reaktywną reakcję na zdarzenia i zdalne proaktywne badania. DART wykorzystuje strategiczne partnerstwa firmy Microsoft z organizacjami zabezpieczeń na całym świecie i wewnętrznymi grupami produktów firmy Microsoft, aby zapewnić najbardziej kompletne i dokładne badanie możliwe.

W tym artykule opisano sposób, w jaki DART obsługuje ataki wymuszające okup dla klientów firmy Microsoft, dzięki czemu można rozważyć zastosowanie elementów ich podejścia i najlepszych rozwiązań dotyczących własnych podręczników operacji zabezpieczeń.

Aby uzyskać szczegółowe informacje, zobacz następujące sekcje:

Jak DART korzysta z usług zabezpieczeń firmy Microsoft

Funkcja DART w dużym stopniu korzysta z danych dla wszystkich badań i korzysta z istniejących wdrożeń usług zabezpieczeń firmy Microsoft, takich jak Microsoft Defender for Office 365, Microsoft Defender for Endpoint, Microsoft Defender for Identity i Microsoft Defender for Cloud Apps.

Ochrona punktu końcowego w usłudze Defender

Defender for Endpoint to platforma zabezpieczeń punktu końcowego przedsiębiorstwa firmy Microsoft, która pomaga analitykom zabezpieczeń sieci przedsiębiorstwa zapobiegać, wykrywać, badać i reagować na zaawansowane zagrożenia. Usługa Defender for Endpoint może wykrywać ataki przy użyciu zaawansowanej analizy behawioralnej i uczenia maszynowego. Analitycy mogą używać usługi Defender for Endpoint do analizy behawioralnej atakującej.

Oto przykład alertu w usłudze Microsoft Defender dla punktu końcowego w przypadku ataku typu pass-the-ticket.

Example of an alert in Microsoft Defender for Endpoint for a pass-the-ticket attack

Analitycy mogą również wykonywać zaawansowane zapytania wyszukiwania zagrożeń, aby przerzucić wskaźniki naruszenia zabezpieczeń (IOCs) lub wyszukać znane zachowanie, jeśli zidentyfikują grupę aktorów zagrożeń.

Oto przykład użycia zaawansowanych zapytań wyszukiwania zagrożeń w celu zlokalizowania znanego zachowania atakującego.

An example of an advanced hunting query.

W usłudze Defender dla punktu końcowego masz dostęp do usługi monitorowania i analizy na poziomie eksperta w czasie rzeczywistym przez ekspertów ds. zagrożeń firmy Microsoft w celu ciągłej aktywności podejrzanego aktora. Możesz również współpracować z ekspertami na żądanie, aby uzyskać dodatkowe informacje na temat alertów i zdarzeń.

Oto przykład sposobu, w jaki usługa Defender for Endpoint pokazuje szczegółowe działanie oprogramowania wymuszającego okup.

Example of how Defender for Endpoint shows detailed ransomware activity.

Defender for Identity

Usługa Defender for Identity służy do badania znanych kont z naruszeniem zabezpieczeń i znajdowania potencjalnie naruszonych kont w organizacji. Usługa Defender for Identity wysyła alerty o znanych złośliwych działaniach, których aktorzy często używają, takich jak ataki DCSync, próby zdalnego wykonywania kodu i ataki typu pass-the-hash. Usługa Defender for Identity umożliwia wskazanie podejrzanego działania i kont w celu zawężenia dochodzenia.

Oto przykład sposobu wysyłania alertów przez usługę Defender for Identity pod kątem znanych złośliwych działań związanych z atakami wymuszającym okup.

An example of how Defender for Identity sends alerts for ransomware attacks

Defender for Cloud Apps

Usługa Defender for Cloud Apps (wcześniej znana jako Usługa Microsoft Defender for Cloud Apps) umożliwia analitykom wykrywanie nietypowego zachowania w aplikacjach w chmurze w celu identyfikowania oprogramowania wymuszającego okup, naruszonych zabezpieczeń użytkowników lub nieautoryzowanych aplikacji. Defender for Cloud Apps to rozwiązanie brokera zabezpieczeń dostępu do chmury firmy Microsoft (CASB), które umożliwia monitorowanie usług w chmurze i dostępu do danych w usługach w chmurze przez użytkowników.

Oto przykład pulpitu nawigacyjnego usługi Defender for Cloud Apps, który umożliwia analizę wykrywania nietypowego zachowania w aplikacjach w chmurze.

an example of the Defender for Cloud Apps dashboard.

Wskaźnik bezpieczeństwa Microsoft

Zestaw usług Microsoft 365 Defender udostępnia zalecenia dotyczące korygowania na żywo w celu zmniejszenia obszaru ataków. Wskaźnik bezpieczeństwa firmy Microsoft to pomiar stanu zabezpieczeń organizacji z większą liczbą wskazującą, że podjęto więcej akcji poprawy. Zapoznaj się z dokumentacją wskaźnika bezpieczeństwa , aby dowiedzieć się więcej na temat sposobu, w jaki organizacja może wykorzystać tę funkcję do określania priorytetów akcji korygujących opartych na ich środowisku.

Podejście DART do przeprowadzania dochodzeń dotyczących incydentów okupowych

Należy podjąć wszelkie wysiłki, aby określić, w jaki sposób przeciwnicy uzyskali dostęp do Twoich zasobów, aby można było skorygować luki w zabezpieczeniach. W przeciwnym razie jest bardzo prawdopodobne, że ten sam typ ataku odbędzie się ponownie w przyszłości. W niektórych przypadkach aktor zagrożeń podejmuje kroki, aby pokryć swoje ślady i zniszczyć dowody, więc istnieje możliwość, że cały łańcuch zdarzeń może nie być widoczny.

Poniżej przedstawiono trzy kluczowe kroki w badaniach oprogramowania wymuszającego okup DART:

Krok Cel Pytania wstępne
1. Ocena bieżącej sytuacji Omówienie zakresu Co początkowo uświadomiło Ci atak na oprogramowanie wymuszającego okup?

Jaka godzina/data po raz pierwszy dowiedziała się o incydencie?

Jakie dzienniki są dostępne i czy istnieje jakieś wskazanie, że aktor uzyskuje obecnie dostęp do systemów?
2. Identyfikowanie aplikacji biznesowych ,których dotyczy problem Pobieranie systemów z powrotem w tryb online Czy aplikacja wymaga tożsamości?

Czy kopie zapasowe aplikacji, konfiguracji i danych są dostępne?

Czy zawartość i integralność kopii zapasowych są regularnie weryfikowane przy użyciu ćwiczenia przywracania?
3. Określanie procesu odzyskiwania po naruszeniu zabezpieczeń (CR) Usuwanie kontroli atakującej ze środowiska Nie dotyczy

Krok 1. Ocena bieżącej sytuacji

Ocena obecnej sytuacji ma kluczowe znaczenie dla zrozumienia zakresu zdarzenia oraz określenia najlepszych osób, które mają pomóc oraz zaplanować i określić zakres zadań badania i korygowania. Zadawanie poniższych początkowych pytań ma kluczowe znaczenie w ustaleniu sytuacji.

Co początkowo uświadomiło Ci atak na oprogramowanie wymuszającego okup?

Jeśli początkowe zagrożenie zostało zidentyfikowane przez pracowników DZIAŁU IT — takie jak zauważanie usunięcia kopii zapasowych, alertów antywirusowych, alertów wykrywania punktu końcowego i reagowania (EDR) lub podejrzanych zmian systemowych — często można podjąć szybkie zdecydowane środki, aby udaremnić atak, zazwyczaj przez wyłączenie całej komunikacji przychodzącej i wychodzącej z Internetu. Może to tymczasowo wpływać na operacje biznesowe, ale zazwyczaj jest to znacznie mniej wpływające niż przeciwnik wdrażający oprogramowanie wymuszające okup.

Jeśli zagrożenie zostało zidentyfikowane przez połączenie użytkownika z pomocą techniczną IT, może istnieć wystarczające ostrzeżenie, aby podjąć środki obronne, aby zapobiec lub zminimalizować skutki ataku. Jeśli zagrożenie zostało zidentyfikowane przez jednostkę zewnętrzną (na przykład organy ścigania lub instytucję finansową), prawdopodobnie szkody zostały już wykonane i zobaczysz dowody w twoim środowisku, że aktor zagrożeń uzyskał już kontrolę administracyjną nad siecią. Może to być zakres od notatek okupu, zablokowanych ekranów lub żądań okupu.

Jaka data/godzina po raz pierwszy dowiedziała się o zdarzeniu?

Ustanowienie początkowej daty i godziny działania jest ważne, ponieważ pomaga zawęzić zakres początkowej klasyfikacji w celu szybkiego wygrania przez atakującego. Dodatkowe pytania mogą obejmować:

  • Jakich aktualizacji brakowało w tej dacie? Ważne jest, aby zrozumieć, jakie luki w zabezpieczeniach mogły zostać wykorzystane przez przeciwnika.
  • Jakie konta były używane w tej dacie?
  • Jakie nowe konta zostały utworzone od tej daty?

Jakie dzienniki są dostępne i czy istnieje jakieś wskazanie, że aktor uzyskuje obecnie dostęp do systemów?

Dzienniki — takie jak oprogramowanie antywirusowe, EDR i wirtualna sieć prywatna (VPN) — są wskaźnikiem podejrzanego naruszenia. Pytania dotyczące kolejnych czynności mogą obejmować:

  • Czy dzienniki są agregowane w rozwiązaniu do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) — takim jak Microsoft Sentinel, Splunk, ArcSight i inne — i bieżące? Jaki jest okres przechowywania tych danych?
  • Czy istnieją podejrzane systemy, które mają nietypowe działania?
  • Czy istnieją podejrzane konta, które wydają się być aktywnie używane przez przeciwnika?
  • Czy istnieją dowody na aktywne polecenia i kontrolki (C2s) w EDR, zaporze, sieci VPN, internetowym serwerze proxy i innych dziennikach?

W ramach oceny bieżącej sytuacji może być potrzebny kontroler domeny usług Active Directory Domain Services (AD DS), który nie został naruszony, niedawna kopia zapasowa kontrolera domeny lub ostatni kontroler domeny przełączony w tryb offline na potrzeby konserwacji lub uaktualnień. Określ również, czy uwierzytelnianie wieloskładnikowe (MFA) było wymagane dla wszystkich użytkowników w firmie i czy używana była usługa Azure Active Directory (Azure AD).

Krok 2. Identyfikowanie aplikacji biznesowych, które są niedostępne z powodu zdarzenia

Ten krok ma kluczowe znaczenie w określaniu najszybszego sposobu na powrót systemów do trybu online podczas uzyskiwania wymaganych dowodów.

Czy aplikacja wymaga tożsamości?

  • Jak jest wykonywane uwierzytelnianie?
  • W jaki sposób poświadczenia, takie jak certyfikaty lub wpisy tajne, są przechowywane i zarządzane?

Czy testowane kopie zapasowe aplikacji, konfiguracji i danych są dostępne?

  • Czy zawartość i integralność kopii zapasowych są regularnie weryfikowane przy użyciu ćwiczenia przywracania? Jest to szczególnie ważne po wprowadzeniu zmian w zarządzaniu konfiguracją lub uaktualnień wersji.

Krok 3. Określanie procesu odzyskiwania po naruszeniu zabezpieczeń

Ten krok może być konieczny, jeśli ustalono, że płaszczyzna sterowania, która jest zazwyczaj usługą AD DS, została naruszona.

Badanie powinno zawsze mieć na celu dostarczenie danych wyjściowych, które są przekazywane bezpośrednio do procesu CR. CR to proces, który usuwa kontrolę osoby atakującej ze środowiska i taktycznie zwiększa stan zabezpieczeń w określonym okresie. Cr odbywa się po naruszeniu zabezpieczeń. Aby dowiedzieć się więcej na temat cr, przeczytaj artykuł CrSP zespołu ds. praktyk zabezpieczeń odzyskiwania po naruszeniach zabezpieczeń firmy Microsoft : zespół ratowniczy walczący z cyberatakami obok artykułu w blogu klientów.

Po zebraniu odpowiedzi na powyższe pytania możesz utworzyć listę zadań i przypisać właścicieli. Kluczowym czynnikiem pomyślnego zaangażowania w reagowanie na zdarzenia jest szczegółowa, szczegółowa dokumentacja każdego elementu roboczego (na przykład właściciel, stan, wyniki, data i godzina), dzięki czemu kompilacja wyników na końcu zakontraktowania jest prosta.

Rekomendacje dart i najlepsze rozwiązania

Poniżej przedstawiono zalecenia dart i najlepsze rozwiązania dotyczące działań związanych z powstrzymywaniem i po zdarzeniu.

Zawieranie

Zawieranie może się zdarzyć tylko wtedy, gdy analiza ustaliła, co należy zawierać. W przypadku oprogramowania wymuszającego okup celem przeciwnika jest uzyskanie poświadczeń, które umożliwiają kontrolę administracyjną nad serwerem o wysokiej dostępności, a następnie wdrożenie oprogramowania wymuszającego okup. W niektórych przypadkach aktor zagrożenia identyfikuje poufne dane i eksfiltruje je do lokalizacji, którą kontroluje.

Taktyczne odzyskiwanie będzie unikatowe dla środowiska, branży i poziomu wiedzy i doświadczenia IT w organizacji. Kroki opisane poniżej są zalecane w przypadku krótkoterminowych i taktycznych kroków, które organizacja może wykonać. Aby dowiedzieć się więcej na temat długoterminowych wskazówek, zobacz Zabezpieczanie uprzywilejowanego dostępu. Aby zapoznać się z kompleksowym omówieniem oprogramowania wymuszającego okup i wymuszeniami oraz sposobami przygotowywania i ochrony organizacji, zobacz Oprogramowanie wymuszane przez człowieka oprogramowanie wymuszającego okup.

Następujące kroki zawierania można wykonać jednocześnie w miarę odnajdowania nowych wektorów zagrożeń.

Krok 1. Ocena zakresu sytuacji

  • Które konta użytkowników zostały naruszone?
  • Których urządzeń dotyczy problem?
  • Których aplikacji dotyczy problem?

Krok 2. Zachowanie istniejących systemów

  • Wyłącz wszystkie uprzywilejowane konta użytkowników z wyjątkiem niewielkiej liczby kont używanych przez administratorów w celu ułatwienia resetowania integralności infrastruktury usług AD DS. Jeśli uważa się, że bezpieczeństwo konta użytkownika zostało naruszone, wyłącz je natychmiast.
  • Izolowanie systemów, których bezpieczeństwo zostało naruszone z sieci, ale nie wyłączaj ich.
  • Izoluj co najmniej jeden znany dobry kontroler domeny w każdej domenie — dwa jest jeszcze lepsze. Odłącz je od sieci lub całkowicie je zamknij. Obiektem jest zatrzymanie rozprzestrzeniania oprogramowania wymuszającego okup do systemów krytycznych — tożsamość jest jednymi z najbardziej narażonych. Jeśli wszystkie kontrolery domeny są wirtualne, upewnij się, że system platformy wirtualizacji i dyski danych są tworzone kopie zapasowe na nośnikach zewnętrznych w trybie offline, które nie są połączone z siecią, na wypadek naruszenia zabezpieczeń samej platformy wirtualizacji.
  • Izolowanie krytycznych znanych dobrych serwerów aplikacji, na przykład SAP, bazy danych zarządzania konfiguracją (CMDB), rozliczeń i systemów ewidencjonowania aktywności.

Te dwa kroki można wykonać jednocześnie w miarę odnajdywane są nowe wektory zagrożeń. Wyłącz te wektory zagrożeń, a następnie spróbuj znaleźć znany dobry system, aby odizolować się od sieci.

Inne akcje zawierania taktycznego mogą obejmować:

  • Zresetuj hasło krbtgt, dwa razy z rzędu. Rozważ użycie skryptowego, powtarzalnego procesu. Ten skrypt umożliwia zresetowanie hasła konta krbtgt i powiązanych kluczy przy jednoczesnym zminimalizowaniu prawdopodobieństwa problemów z uwierzytelnianiem Kerberos powodowanych przez operację. Aby zminimalizować potencjalne problemy, okres istnienia krbtgt można skrócić co najmniej jeden raz przed pierwszym zresetowanie hasła, aby dwa zresetowania zostały wykonane szybko. Należy pamiętać, że wszystkie kontrolery domeny, które mają być utrzymywane w środowisku, muszą być w trybie online.

  • Wdróż zasady grupy w całej domenie, która uniemożliwia logowanie uprzywilejowane (administratorzy domeny) na dowolnych kontrolerach domeny i uprzywilejowanych stacjach roboczych tylko z uprawnieniami administracyjnymi (jeśli istnieją).

  • Zainstaluj wszystkie brakujące aktualizacje zabezpieczeń dla systemów operacyjnych i aplikacji. Każda brakująca aktualizacja jest potencjalnym wektorem zagrożeń, który może szybko identyfikować i wykorzystywać przeciwników. Zarządzanie zagrożeniami i lukami w zabezpieczeniach w usłudze Microsoft Defender dla punktu końcowego umożliwia łatwe sprawdzenie, czego brakuje — a także potencjalnego wpływu brakujących aktualizacji.

  • Sprawdź, czy każda zewnętrzna aplikacja, w tym dostęp do sieci VPN, jest chroniona za pomocą uwierzytelniania wieloskładnikowego, najlepiej przy użyciu aplikacji uwierzytelniania uruchomionej na zabezpieczonym urządzeniu.

  • W przypadku urządzeń, które nie korzystają z usługi Defender for Endpoint jako podstawowego oprogramowania antywirusowego, uruchom pełne skanowanie za pomocą skanera bezpieczeństwa firmy Microsoft w izolowanych znanych dobrych systemach przed ponownym połączeniem z siecią.

  • W przypadku wszystkich starszych systemów operacyjnych przeprowadź uaktualnienie do obsługiwanego systemu operacyjnego lub zlikwidowanie tych urządzeń. Jeśli te opcje nie są dostępne, wykonaj każdą możliwą miarę, aby odizolować te urządzenia, w tym izolację sieci/sieci VLAN, reguły zabezpieczeń protokołu internetowego (IPsec) i ograniczenia logowania, aby były dostępne tylko dla aplikacji przez użytkowników/urządzenia w celu zapewnienia ciągłości działania.

Najbardziej ryzykowne konfiguracje składają się z uruchamiania systemów o znaczeniu krytycznym w starszych systemach operacyjnych, jak windows NT 4.0 i aplikacji, wszystkie na starszym sprzęcie. Nie tylko te systemy operacyjne i aplikacje są niepewne i podatne na zagrożenia, jeśli ten sprzęt ulegnie awarii, kopie zapasowe zwykle nie mogą być przywracane na nowoczesnym sprzęcie. O ile nie będzie dostępne zastąpienie starszego sprzętu, te aplikacje przestaną działać. Zdecydowanie rozważ przekonwertowanie tych aplikacji do uruchamiania w bieżących systemach operacyjnych i sprzęcie.

Działania po zdarzeniu

DART zaleca zaimplementowanie następujących zaleceń dotyczących zabezpieczeń i najlepszych rozwiązań po każdym zdarzeniu.

  • Upewnij się, że najlepsze rozwiązania są stosowane w przypadku rozwiązań do obsługi poczty e-mail i współpracy , aby utrudnić osobom atakującym ich wykorzystywanie, jednocześnie umożliwiając użytkownikom wewnętrznym łatwe i bezpieczne uzyskiwanie dostępu do zawartości zewnętrznej.

  • Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń zero trust dla rozwiązań dostępu zdalnego do wewnętrznych zasobów organizacji.

  • Począwszy od administratorów o krytycznym wpływie, postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń kont, w tym uwierzytelnianiem bez hasła lub uwierzytelnianiem wieloskładnikowym .

  • Zaimplementuj kompleksową strategię, aby zmniejszyć ryzyko naruszenia zabezpieczeń uprzywilejowanego dostępu.

  • Zaimplementuj ochronę danych, aby zablokować techniki oprogramowania wymuszającego okup oraz potwierdzić szybkie i niezawodne odzyskiwanie po ataku.

  • Przejrzyj krytyczne systemy. Sprawdź ochronę i kopie zapasowe przed celowym wymazywaniem lub szyfrowaniem przez osobę atakującą. Ważne jest, aby okresowo testować i weryfikować te kopie zapasowe.

  • Zapewnij szybkie wykrywanie i korygowanie typowych ataków na punkt końcowy, pocztę e-mail i tożsamość.

  • Aktywnie odnajdywanie i ciągłe ulepszanie stanu zabezpieczeń środowiska.

  • Aktualizowanie procesów organizacyjnych w celu zarządzania głównymi zdarzeniami oprogramowania wymuszającego okup i usprawnianie outsourcingu w celu uniknięcia problemów.

PAM

Korzystanie z usługi PAM (wcześniej znanej jako model administracji warstwowej) zwiększa poziom zabezpieczeń usługi Azure AD. Obejmuje to:

  • Podział kont administracyjnych w środowisku "zaplanowanym" — jedno konto dla każdego poziomu, zwykle cztery:

  • Płaszczyzna sterowania (wcześniej warstwa 0): administrowanie kontrolerami domeny i innymi kluczowymi usługami tożsamości, takimi jak Active Directory Federation Services (ADFS) lub Azure AD Connect. Dotyczy to również aplikacji serwerowych, które wymagają uprawnień administracyjnych do usług AD DS, takich jak Exchange Server.

  • Następne dwa samoloty były wcześniej warstwą 1:

    • Płaszczyzna zarządzania: zarządzanie zasobami, monitorowanie i zabezpieczenia.

    • Płaszczyzna danych/obciążenia: aplikacje i serwery aplikacji.

  • Dwa następne samoloty były wcześniej warstwą 2:

    • Dostęp użytkowników: prawa dostępu dla użytkowników (takich jak konta).

    • Dostęp do aplikacji: prawa dostępu dla aplikacji.

  • Każda z tych płaszczyzn będzie mieć oddzielną administracyjną stację roboczą dla każdej płaszczyzny i będzie miała dostęp tylko do systemów w tej płaszczyźnie. Inne konta z innych płaszczyzn będą blokowane dostęp do stacji roboczych i serwerów w innych płaszczyznach za pośrednictwem przypisań praw użytkownika ustawionych na te maszyny.

Wynikiem netto usługi PAM jest to, że:

  • Naruszone konto użytkownika będzie miało dostęp tylko do płaszczyzny, do której należy.

  • Bardziej poufne konta użytkowników nie będą logować się do stacji roboczych i serwerów z poziomem zabezpieczeń niższej płaszczyzny, co zmniejsza penetrację sieci.

OKRĄŻEŃ

Domyślnie systemy Microsoft Windows i AD DS nie mają scentralizowanego zarządzania lokalnymi kontami administracyjnymi na stacjach roboczych i serwerach członkowskich. Zwykle skutkuje to typowym hasłem podanym dla wszystkich tych kont lokalnych lub co najmniej w grupach maszyn. Dzięki temu osoby atakujące mogą naruszyć bezpieczeństwo jednego konta administratora lokalnego, a następnie użyć tego konta, aby uzyskać dostęp do innych stacji roboczych lub serwerów w organizacji.

LapS firmy Microsoft ogranicza ten problem przy użyciu rozszerzenia po stronie klienta zasad grupy, które zmienia lokalne hasło administracyjne w regularnych odstępach czasu na stacjach roboczych i serwerach zgodnie z zestawem zasad. Każde z tych haseł jest inne i przechowywane jako atrybut w obiekcie komputera usług AD DS. Ten atrybut można pobrać z prostej aplikacji klienckiej, w zależności od uprawnień przypisanych do tego atrybutu.

LAPS wymaga rozszerzenia schematu usług AD DS w celu umożliwienia dodatkowego atrybutu, zainstalowania szablonów zasad grupy LAPS i małego rozszerzenia po stronie klienta na każdej stacji roboczej i serwerze członkowskim w celu zapewnienia funkcjonalności po stronie klienta.

Usługę LAPS można uzyskać z Centrum pobierania Microsoft.

Podręczniki reagowania na zdarzenia

Zapoznaj się ze wskazówkami dotyczącymi identyfikowania i badania tych typów ataków:

Zasoby reagowania na zdarzenia

Dodatkowe zasoby oprogramowania wymuszającego okup

Kluczowe informacje od firmy Microsoft:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Defender for Cloud Apps:

Wpisy w blogu zespołu ds. zabezpieczeń firmy Microsoft: