Восстановление после компрометации системных удостоверений
В этой статье описываются ресурсы и рекомендации Майкрософт по восстановлению из системной атаки на компрометацию удостоверений в вашей организации.
Содержимое этой статьи основано на рекомендациях, предоставляемых командой Майкрософт по обнаружению и реагированию (DART), которая реагирует на компрометацию и помогает клиентам стать устойчивыми к кибератакам. Для получения дополнительных рекомендаций от команды DART ознакомьтесь с циклом записей блога по безопасности Майкрософт.
Многие организации перешли на более надежный облачный подход к безопасности при управлении удостоверениями и доступом. Однако ваша организация может также использовать локальные системы и применять различные методы гибридной архитектуры. В этой статье подтверждается, что атаки на системные удостоверения влияют на облачные, локальные и гибридные системы, и она содержит рекомендации и ссылки для всех этих сред.
Внимание
Эта информация предоставляется "как есть" и представляет собой универсальное руководство. Окончательное решение о том, как применить это руководство к своей ИТ-среде и клиентам, должно учитывать уникальную среду и потребности, что лучше всего может сделать сам клиент.
О компрометации системных удостоверений
Компрометация системных удостоверений в организации возникает, когда злоумышленник успешно закрепляется в средствах администрирования инфраструктуры идентификации в организации.
Если это произошло в вашей организации, то вы находитесь в состоянии гонки со злоумышленником, пытаясь защитить свою среду от дальнейшего ущерба.
Злоумышленники с административными правами в инфраструктуре идентификации среды могут использовать эти права управления для создания, изменения и удаления удостоверений и разрешений удостоверений в этой среде.
В случае компрометации в локальной среде, если доверенные сертификаты для подписи маркера SAML не хранятся в модуле HSM, то атака включает в себя доступ к этому доверенному сертификату для подписи маркера SAML.
Затем злоумышленники могут использовать этот сертификат для подделки маркеров SAML, чтобы олицетворять всех пользователей и учетные записи организации, не обязательно имея доступ к учетным данным этих учетных записей и не отставляя каких-либо следов.
Доступ к учетной записи с высоким уровнем привилегий также можно использовать для добавления учетных данных, контролируемых злоумышленником, в существующие приложения, что позволит злоумышленникам незаметно получить доступ к системе, например для вызова API с использованием этих разрешений.
Реагирование на атаку
Реагирование на компрометацию системных удостоверений должно включать в себя шаги, показанные на следующем рисунке и в таблице.
| Этап | Description |
|---|---|
| Установка безопасной связи | Организация, которая подверглась компрометации системных удостоверений, должна предполагать, что нарушена безопасность всех каналов связи. Прежде чем выполнять какие-либо действия по восстановлению, необходимо убедиться, что участники вашей команды, которые являются ключевыми лицами для исследования и реагирования, могут безопасно обмениваться данными. Обеспечение безопасности связи должно быть самым первым шагом, чтобы вы могли продолжать работу без ведома злоумышленника. |
| Исследование среды | После защиты обмена данными основной команды по исследованию вы можете начать поиск начальных точек доступа и определить методы сохраняемости. Выясните признаки компрометации, а затем найдите начальные точки доступа и определите сохраняемость. В то же время начните устанавливать непрерывные операции мониторинга во время действий по восстановлению. |
| Улучшение состояния безопасности | Включите функции и возможности безопасности, следуя рекомендациям по повышению безопасности системы. Обязательно продолжайте непрерывный мониторинг, когда пройдет какое-то время и плоскость безопасности изменится. |
| Возвращение и удержание контроля | Необходимо восстановить административное управление средой, полученное злоумышленником. Вернув контроль и обновив состояние безопасности системы, обязательно исправьте или заблокируйте все возможные методы сохраняемости, а также новые начальные эксплойты доступа. |
Установка безопасной связи
Прежде чем начать реагировать, необходимо убедиться, что вы можете безопасно взаимодействовать без перехвата информации злоумышленником. Обязательно изолируйте все каналы связи, связанные с инцидентом, чтобы злоумышленник не был предупрежден о вашем исследовании и ваши ответные действия оказались для него полным сюрпризом.
Например:
Для начальной индивидуальной и командной связи может потребоваться использовать вызовы PSTN, мосты конференц-связи, не подключенные к корпоративной инфраструктуре, и комплексные решения для обмена сообщениями с шифрованием.
Связь за пределами этих платформ должна рассматриваться как скомпрометированная и ненадежная, если она не прошла проверку по безопасному каналу.
После начального обсуждения вы можете создать совершенно новый арендатор Microsoft 365, изолированный от производственного арендатора организации. Создайте учетные записи только для тех важных сотрудников, которые участвуют в принятии ответных мер.
Если вы создаете новый арендатор Microsoft 365, обязательно следуйте всем рекомендациям для арендатора, особенно в отношении административных учетных записей и прав. Ограничьте права администрирования и не устанавливайте доверие для внешних приложений и поставщиков.
Внимание
Убедитесь, что вы не общаетесь о новом арендаторе посредством имеющихся потенциально скомпрометированных учетных записей электронной почты.
Дополнительные сведения см. в статье Best practices for securely using Microsoft 365 (Рекомендации по безопасной работе с Microsoft 365).
Выявление признаков компрометации
Рекомендуется, чтобы клиенты следили за новостями от поставщиков систем, включая корпорацию Майкрософт и всех партнеров, и внедряли все средства обнаружения и защиты, а также изучали опубликованные инциденты компрометации (IOC).
Проверяйте наличие обновлений в следующих продуктах безопасности Майкрософт и реализуйте все рекомендуемые изменения:
- Microsoft Sentinel
- Решения и службы для безопасности Microsoft 365
- Безопасность Windows 10 Корпоративная
- Microsoft Defender для облачных приложений
- Microsoft Defender для Интернета вещей
Реализация новых обновлений поможет определить предыдущие кампании и предотвратить будущие кампании, нацеленные на вашу систему. Помните, что списки IOC могут быть неполными. Они могут дополняться по мере продолжения исследований.
Поэтому рекомендуется также выполнить следующие действия:
Убедитесь, что вы применили тест безопасности облака Майкрософт и отслеживаете соответствие с помощью Microsoft Defender для облака.
Включите веб-каналы аналитики угроз в свое решение SIEM, например настроив соединители данных Microsoft Purview в Microsoft Sentinel.
Убедитесь, что все расширенные средства обнаружения и реагирования, такие как Microsoft Defender для Интернета вещей, используют самые последние данные аналитики угроз.
Дополнительные сведения см. в документации по безопасности корпорации Майкрософт:
Исследование среды
После того как ваши сотрудники команды по реагированию на инциденты и ключевые сотрудники будут обеспечены безопасным местом для совместной работы, вы сможете начать исследование скомпрометированной среды.
Вам нужно будет сбалансировать тщательное изучение первопричин любого аномального поведения и быстрые действия для предотвращения дальнейших действий злоумышленника. Любое успешное исправление требует понимания начального метода входа и методов сохраняемости, которые использовались злоумышленником по завершении, и это понимание должно быть как можно более полным на текущий момент времени. Любые методы сохраняемости, пропущенные во время исследования, могут привести к тому, что у злоумышленника по-прежнему будет доступ и возможность повторно скомпрометировать вашу среду.
На этом этапе может потребоваться выполнить анализ рисков для определения приоритета действий. Дополнительные сведения см. в разделе:
- Оценка угроз, уязвимостей и риска для центров обработки данных
- Отслеживание и реагирование на возникающие угрозы с помощью аналитики угроз
- Управление угрозами и уязвимостями
Службы безопасности корпорации Майкрософт предоставляют обширные ресурсы для подробных исследований. В следующих разделах описываются основные рекомендуемые действия.
Примечание.
Если вы обнаружите, что один или несколько перечисленных источников ведения журнала в настоящее время не являются частью вашей программы безопасности, рекомендуется настроить их как можно скорее, чтобы обеспечить обнаружение и проверки журналов в будущем.
Обязательно настройте срок хранения журнала, чтобы в дальнейшем обеспечить соблюдение целей исследований в организации. Сохраняйте свидетельства по мере необходимости для юридических, нормативных и страховых целей.
Исследование и анализ журналов облачной среды
Исследуйте и анализируйте журналы облачной среды, чтобы выявлять подозрительные действия и атаки злоумышленников. Например, проверяйте следующие журналы:
- единые журналы аудита (UAL);
- Журналы Microsoft Entra
- локальные журналы Microsoft Exchange;
- журналы VPN, например из VPN-шлюза;
- технические системные журналы;
- журналы обнаружения вирусов и журналы конечных точек.
Проверка журналов аудита конечных точек
Проверьте журналы аудита конечных точек на наличие локальных изменений, например следующих типов действий:
- изменения членства в группах;
- создание учетной записи пользователя;
- делегирование в Active Directory.
Особенно внимательно рассмотрите любые из этих изменений, происходящие одновременно с другими типичными признаками компрометации или вредоносного действия.
Проверка административных прав в средах
Проверьте административные права в облачной и локальной средах. Например:
| Environment | Description |
|---|---|
| Все облачные среды | — Проверьте все права привилегированного доступа в облаке и удалите все ненужные разрешения. — Внедрите Privileged Identity Management (PIM). — Настройте политики условного доступа для ограничения административного доступа во время усиления защиты. |
| Все локальные среды | — Проверьте локальный привилегированный доступ и удалите ненужные разрешения — Сократите членство во встроенных группах. — Проверьте делегирования Active Directory. — Усильте защиту среды уровня 0 и ограничьте доступ к ресурсам уровня 0. |
| Все корпоративные приложения | Проверьте делегированные разрешения и предоставления согласия, которые позволяют выполнять любые из следующих действий: — изменение привилегированных пользователей и ролей — чтение или доступ ко всем почтовым ящикам — отправка или пересылка электронной почты от имени других пользователей — доступ ко всем содержимому сайта OneDrive или SharePoint — добавление субъектов-служб, которые могут выполнять чтение и запись в каталоге. |
| Среды Microsoft 365 | Просмотрите параметры доступа и конфигурации для среды Microsoft 365, в том числе: — Общий доступ к SharePoint Online — Microsoft Teams — Power Apps — Microsoft OneDrive для бизнеса. |
| Проверка учетных записей пользователей в своих средах | — Проверьте и удалите гостевые учетные записи пользователей, которые больше не нужны. — Проверьте конфигурации электронной почты для делегатов, разрешения для папок почтовых ящиков, регистрации мобильных устройств ActiveSync, правила входящих сообщений и параметры Outlook в Интернете. — Проверьте права ApplicationImpersonation и максимально сократите использование устаревшей проверки подлинности. — Проверьте, применяется ли MFA. Кроме того, проверьте правильность контактной информации всех пользователей для MFA и самостоятельного сброса пароля (SSPR). |
Настройка непрерывного мониторинга
Обнаружение поведения злоумышленника включает в себя несколько методов и зависит от средств безопасности, доступных вашей организации для реагирования на атаку.
Например, службы безопасности корпорации Майкрософт могут применять определенные ресурсы и рекомендации, относящиеся к атакам, как описано в следующих разделах.
Внимание
Если ваше исследование выявит наличие административных разрешений, полученных при компрометации системы, которые предоставили доступ к учетной записи глобального администратора организации и (или) к доверенному сертификату для подписи маркера SAML, рекомендуется предпринять действия по исправлению и сохранению административного управления.
Мониторинг с помощью Microsoft Sentinel
В Microsoft Sentinel есть множество встроенных ресурсов, которые помогут вам в исследовании, например книги для охоты и правила аналитики, которые помогут обнаружить атаки в соответствующих областях вашей среды.
Используйте центр содержимого Microsoft Sentinel для установки расширенных решений безопасности и соединителей данных, которые передают содержимое из других служб в вашей среде. Дополнительные сведения см. в разделе:
- Визуализация и анализ среды
- Обнаружение угроз вне поля
- Обнаружение и развертывание встроенных решений
Мониторинг с помощью Microsoft Defender для Интернета вещей
Если ваша среда также включает ресурсы операционных технологий (OT), возможно, у вас есть устройства, использующие специализированные протоколы, которые определяют приоритеты операционных проблем по обеспечению безопасности.
Разверните Microsoft Defender для Интернета вещей для мониторинга и защиты этих устройств, особенно тех, которые не защищены традиционными системами мониторинга безопасности. Установите датчики сети Defender для Интернета вещей в определенных точках интереса к вашей среде, чтобы обнаружить угрозы в текущей сетевой активности с помощью мониторинга без агента и динамической аналитики угроз.
Дополнительные сведения см. в статье "Начало работы с мониторингом безопасности сети OT".
Мониторинг с помощью XDR в Microsoft Defender
Мы рекомендуем проверка XDR Microsoft Defender для конечной точки и антивирусная программа в Microsoft Defender для конкретных рекомендаций, относящихся к атаке.
Ознакомьтесь с другими примерами обнаружения, запросов поиска и аналитики угроз в центре безопасности Майкрософт, например в Microsoft Defender XDR, XDR Microsoft Defender для удостоверений и приложений Microsoft Defender для облака. Чтобы обеспечить максимальный охват, обязательно установите агент Microsoft Defender для удостоверений на серверах ADFS в дополнение ко всем контроллерам домена.
Дополнительные сведения см. в разделе:
- Отслеживание и реагирование на возникающие угрозы с помощью аналитики угроз
- Общие сведения об аналитическом отчете в службе анализа угроз
Мониторинг с помощью идентификатора Microsoft Entra
Журналы входа в Microsoft Entra могут показать, правильно ли используется многофакторная проверка подлинности. Доступ к журналам входа непосредственно из области Microsoft Entra в портал Azure, используйте командлет Get-MgBetaAuditLogSignIn или просмотрите их в области журналов Microsoft Sentinel.
Например, можно найти или отфильтровать результаты, когда поле MFA results (Результаты MFA) имеет значение MFA requirement satisfied by claim in the token (Утверждение в токене соответствует требованиям MFA). Если ваша организация использует ADFS, а зарегистрированные в журнале утверждения не включены в конфигурацию ADFS, то эти утверждения могут указывать на действия злоумышленника.
Выполните поиск или отфильтруйте результаты, чтобы исключить лишние данные. Например, может потребоваться включить результаты только из федеративных доменов. Если вы обнаружите подозрительные входы в систему, выполните детализацию по IP-адресам, учетным записям пользователей и т. д.
В следующей таблице описаны дополнительные методы использования журналов Microsoft Entra в исследовании:
| Метод | Description |
|---|---|
| Анализ событий рискованного входа | Идентификатор Microsoft Entra и его платформа защиты идентификации могут создавать события риска, связанные с использованием токенов SAML, созданных злоумышленником. Эти события могут быть помечены как неизвестные свойства, анонимный IP-адрес, неосуществимое перемещение и т. д. Рекомендуется тщательно проанализировать все события риска, связанные с учетными записями, имеющими права администратора, включая те, которые могут быть автоматически отклонены или исправлены. Например, событие риска или анонимный IP-адрес может быть автоматически исправлен, так как пользователь прошел MFA. Обязательно используйте ADFS Подключение Работоспособности, чтобы все события проверки подлинности отображались в идентификаторе Microsoft Entra. |
| Определение свойств проверки подлинности домена | Любая попытка злоумышленника управлять политиками проверки подлинности домена будет записана в журналах аудита Microsoft Entra и отражена в едином журнале аудита. Например, просмотрите все события, связанные с проверкой подлинности домена в едином журнале аудита, журналах аудита Microsoft Entra и /или вашей среде SIEM, чтобы убедиться, что все действия были ожидаемыми и запланированными. |
| Определение учетных данных для приложений OAuth | Злоумышленники, получившие контроль над привилегированной учетной записью, могут найти приложение с доступом к электронной почте любого пользователя в организации, а затем добавить собственные учетные данные в это приложение. Например, может потребоваться выполнить поиск любого из следующих действий, которые будут согласованы с поведением злоумышленника: — добавление или обновление учетных данных субъекта-службы — обновление сертификатов и секретов приложения — добавление предоставления назначения роли приложения пользователю — добавление Oauth2PermissionGrant. |
| Обнаружение обращения приложений к электронной почте | Выполните поиск случаев обращения к электронной почте со стороны приложений в своей среде. Например, чтобы исследовать скомпрометированные учетные записи, используйте функции аудита Purview (категория "Премиум"). |
| Обнаружение неинтерактивных входов в субъекты-службы | Отчеты о входе в Microsoft Entra содержат сведения о любых неинтерактивных входах, которые использовали учетные данные субъекта-службы. Например, отчеты о входе можно использовать для поиска ценных данных для исследования, например, IP-адреса, используемого злоумышленником для доступа к приложениям электронной почты. |
Улучшить состояние безопасности
Если в ваших системах произошло событие безопасности, рекомендуется отразить текущую стратегию и приоритеты безопасности.
Сотрудников команды по реагированию на инциденты часто просят предоставить рекомендации по тому, какие инвестиции в организации должны стать приоритетными перед лицом новых угроз.
В дополнение к рекомендациям, описанным в этой статье, мы советуем назначить приоритеты для областей, уязвимых после применения злоумышленником методов эксплойта, и распространенных брешей в системе безопасности, уязвимых для данных методов.
В следующих разделах приведены рекомендации, позволяющие повысить общую безопасность и безопасность удостоверений.
Улучшение общей безопасности
Для обеспечения общей безопасности рекомендуется выполнить следующие действия:
Ознакомьтесь с оценкой безопасности Майкрософт для рекомендаций на основе принципов безопасности, настроенных для используемых продуктов и служб Майкрософт.
Убедитесь, что у вашей организации есть расширенные решения по обнаружению и реагированию (XDR) и информации о безопасности и управлении событиями (SIEM), например XDR в Microsoft Defender для конечной точки, Microsoft Sentinel и Microsoft Defender для Интернета вещей.
Ознакомьтесь с моделью корпоративного доступа Майкрософт
Повышение безопасности удостоверений
Для обеспечения безопасности удостоверений рекомендуется выполнить следующие действия:
Ознакомьтесь с пятью шагами корпорации Майкрософт по обеспечению безопасности инфраструктуры удостоверений, а также расставьте приоритеты для этих шагов в соответствии со своей архитектурой идентификации.
Рекомендуется перенести параметры безопасности Microsoft Entra Security Defaults для политики проверки подлинности.
Исключите использование устаревшей проверки подлинности в организации, если системы или приложения по-прежнему требуют ее. Дополнительные сведения см. в разделе "Блокировка устаревшей проверки подлинности в идентификаторе Microsoft Entra ID с помощью условного доступа".
Рассматривайте инфраструктуру ADFS и инфраструктуру AD Connect как ресурс уровня 0.
Ограничьте доступ локальных администраторов к системе, включая учетную запись, используемую для запуска службы ADFS.
Минимальная привилегия, необходимая для учетной записи, в которой выполняются службы ADFS, — это назначение прав пользователя Вход в качестве службы.
Предоставьте административный доступ ограниченному кругу пользователей и из ограниченных диапазонов IP-адресов с помощью политик брандмауэра Windows для удаленного рабочего стола.
Рекомендуется настроить инсталляционный сервер уровня 0 или эквивалентную систему.
Блокируйте весь входящий доступ SMB к системам из любого расположения в среде. Дополнительные сведения см. в разделе Beyond the Edge: How to Secure SMB Traffic in Windows (За пределами границ: как защитить трафик SMB в Windows). Мы также рекомендуем выполнять потоковую передачу журналов брандмауэра Windows в решение SIEM для хронологического и упреждающего мониторинга.
Если вы используете учетную запись службы и ваша среда поддерживает это, перейдите с учетной записи службы на групповую управляемую учетную запись службы (gMSA). Если вы не можете перейти на gMSA, замените пароль учетной записи службы сложным паролем.
Убедитесь, что в системах ADFS включено подробное ведение журнала.
Исправление и сохраняемость административного управления
Если исследование показало, что злоумышленник получил административное управление в облачной или локальной среде вашей организации, необходимо вернуть управление таким образом, чтобы злоумышленник не смог снова получить его.
В этом разделе приведены возможные методы и действия, которые необходимо учесть при создании плана восстановления административного управления.
Внимание
Точные шаги, которые потребуется выполнить в вашей организации, будут зависеть от того, какая сохраняемость была выявлена в ходе исследования и насколько вы уверены в том, что исследование было полным и выявило все возможные методы входа и сохраняемости.
Убедитесь, что для выполнения всех действий было использовано доверенное устройство, созданное на основе чистого источника. Например, используйте новую рабочую станцию с привилегированным доступом.
Следующие разделы содержат рекомендации по исправлению и сохраняемости административного управления следующих типов:
- удаление отношений доверия на текущих серверах;
- смена сертификата для подписи маркера SAML или замена серверов ADFS (при необходимости);
- конкретные действия по исправлению для облачных или локальных сред.
Удаление отношения доверия на текущих серверах
Если ваша организация потеряла контроль над сертификатами для подписи маркера или над федеративным отношением доверием, наиболее надежный подход — удалить отношение доверия и переключиться на облачные удостоверения, пока выполняются действия по исправлению локальной среды.
Удаление отношений доверия и переключение на облачные удостоверения требует тщательного планирования и глубокого понимания того, как изоляция удостоверений повлияет на бизнес-операции. Дополнительные сведения см. в разделе Защита Microsoft 365 от локальных атак.
Смена сертификата для подписи маркера SAML
Если ваша организация решила неудалять отношение доверия при восстановлении административного управления в локальной среде, необходимо будет сменить сертификат для подписи маркера SAML после возвращения административного управления в локальной среде и повторно заблокировать доступ злоумышленников к этому сертификату для подписи.
При однократной смене сертификата для подписи маркера предыдущий сертификат для подписи маркера по-прежнему будет работать. Продолжение работы предыдущих сертификатов — встроенная функция обычной смены сертификатов, которая обеспечивает организациям период отсрочки для обновления отношений доверия проверяющей стороны до истечения срока действия сертификата.
В случае атаки вы не захотите, чтобы у злоумышленника вообще остался доступ. Убедитесь, что злоумышленник не сохраняет возможность создавать маркеры для вашего домена.
Дополнительные сведения см. в разделе:
Замена серверов ADFS
Если вместо смены сертификата для подписи маркера SAML вы решили заменить серверы ADFS чистыми системами, необходимо будет удалить существующую службу ADFS из среды, а затем создать новую службу.
Дополнительные сведения см. в разделе Удаление конфигурации.
Действия по исправлению в облаке
В дополнение к рекомендациям, приведенным ранее в этой статье, мы советуем также выполнить следующие действия в ваших облачных средах.
| Действие (Activity) | Description |
|---|---|
| Сброс паролей | Сбросьте пароли для всех аварийных учетных записей и сократите количество таких учетных записей до абсолютного минимально необходимого значения. |
| Ограничение учетных записей с привилегированным доступом | Убедитесь, что учетные записи служб и пользователей с привилегированным доступом являются облачными и не используют локальные учетные записи, синхронизированные или федеративные с идентификатором Microsoft Entra. |
| Принудительное применение MFA | Применяйте многофакторную проверку подлинности (MFA) для всех пользователей с повышенными правами в арендаторе. Мы рекомендуем принудительно применять MFA для всех пользователей в арендаторе. |
| Ограничение административного доступа | Внедрите Privileged Identity Management (PIM) и условный доступ для ограничения административного доступа. Для пользователей Microsoft 365 внедрите Privileged Access Management (PAM), чтобы ограничить доступ к таким важным возможностям, как обнаружение электронных данных, глобальный администратор, администрирование учетных записей и многое другое. |
| Проверка и сокращение делегированных разрешений и предоставленных согласий | Просмотрите и уменьшите все делегированные разрешения корпоративных приложений или предоставление согласия, которые позволяют выполнять любые из следующих функций: — изменение привилегированных пользователей и ролей — чтение, отправка электронной почты или доступ ко всем почтовым ящикам — доступ к содержимому OneDrive, Teams или SharePoint — добавление субъектов-служб, которые могут считывать и записывать данные в каталог. — разрешения приложения и делегированный доступ. |
Действия по исправлению в локальной среде
В дополнение к рекомендациям, приведенным ранее в этой статье, мы советуем также выполнить следующие действия в ваших локальных средах.
| Действие (Activity) | Description |
|---|---|
| Перестроение затронутых систем | Перестройте системы, которые были скомпрометированы злоумышленником согласно результатам вашего исследования. |
| Удаление ненужных администраторов | Удалите ненужных членов из групп администраторов домена, операторов резервного копирования и корпоративных администраторов. Дополнительные сведения см. в статье Обеспечение безопасности привилегированного доступа. |
| Сброс паролей к привилегированным учетным записям | Сброс паролей всех привилегированных учетных записей в среде. Примечание. Привилегированные учетные записи не ограничиваются встроенными группами. Это также могут быть группы, которые делегируют доступ к администрированию серверов, администрированию рабочих станций или другим областям вашей среды. |
| Сброс учетной записи krbtgt | Дважды сбросьте учетную запись krbtgt с помощью сценария New-KrbtgtKeys. Примечание. При использовании контроллеров домена только для чтения необходимо выполнить этот сценарий отдельно для контроллеров домена для чтения и записи и для контроллеров домена только для чтения. |
| Планирование перезагрузки системы | Убедившись, что созданные злоумышленником механизмы сохраняемости отсутствуют и не остались в системе, запланируйте перезагрузку системы, чтобы упростить удаление резидентных вредоносных программ. |
| Сброс пароля DSRM | Сбросьте пароль DSRM (режим восстановления служб каталогов) для каждого контроллера домена, заменив его уникальным и сложным паролем. |
Исправление или блокировка сохраняемости, обнаруженной во время исследования
Исследование — это итеративный процесс, и вам нужно будет правильно соотнести потребность организации в исправлении при обнаружении аномалий и вероятность того, что исправление известит злоумышленника об обнаружении и даст ему время на ответные действия.
Например, злоумышленник, узнавший об обнаружении, может изменить методы или усилить сохраняемость.
Обязательно исправьте все методы сохраняемости, которые вы обнаружили на предыдущих этапах исследования.
Исправление доступа к учетным записям пользователей и служб
Помимо рекомендуемых действий, описанных выше, для исправления и восстановления учетных записей пользователей мы советуем выполнить следующие действия:
Используйте условный доступ на основе доверенных устройств. Если это возможно, рекомендуется применить условный доступ на основе расположения в соответствии с требованиями организации.
Сбросьте пароли после исключения всех учетных записей пользователей, которые могли быть скомпрометированы. Также обязательно реализуйте среднесрочный план по сбросу учетных данных для всех учетных записей в своем каталоге.
Отмените маркеры обновления сразу же после смены учетных данных.
Дополнительные сведения см. в разделе:
Следующие шаги
Получите справку из продуктов Майкрософт, включая портал Microsoft Defender, Портал соответствия требованиям Microsoft Purview и Центр безопасности и соответствия требованиям Office 365, нажав кнопку справки (?) в верхней панели навигации.
Для получения помощи с развертыванием свяжитесь с нами с помощью FastTrack.
Если вам нужна поддержка продукта, отправьте запрос в службу поддержки Майкрософт.
Внимание
Если вы считаете, что ваша среда скомпрометирована, и вам требуется помощь посредством реагирования на инцидент, отправьте в службу поддержки Майкрософт запрос уровня серьезности А.