Учетные записи, подверженные риску кражи учетных данныхAttractive Accounts for Credential Theft

Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Атаки методом кражи учетных данных — это те, в которых злоумышленник изначально получает наивысшую привилегию (корневую папку, администратора или систему), в зависимости от используемой операционной системы, и затем использует свободно доступные средства для извлечения учетных данных из сеансов других учетных записей, выполнивших вход в систему.Credential theft attacks are those in which an attacker initially gains highest-privilege (root, Administrator, or SYSTEM, depending on the operating system in use) access to a computer on a network and then uses freely available tooling to extract credentials from the sessions of other logged-on accounts. В зависимости от конфигурации системы эти учетные данные могут быть получены в виде хэшей, билетов или даже незашифрованных паролей.Depending on the system configuration, these credentials can be extracted in the form of hashes, tickets, or even plaintext passwords. Если какие-либо из собранных учетных данных предназначены для локальных учетных записей, которые, скорее всего, существуют на других компьютерах в сети (например, учетные записи администратора в Windows или корневые учетные записи в OSX, UNIX или Linux), то злоумышленник представляет учетные данные для других компьютеров в сети, чтобы получить учетные данные двух конкретных типов учетных записей. :If any of the harvested credentials are for local accounts that are likely to exist on other computers on the network (for example, Administrator accounts in Windows, or root accounts in OSX, UNIX, or Linux), the attacker presents the credentials to other computers on the network to propagate compromise to additional computers and to try to obtain the credentials of two specific types of accounts:

  1. Привилегированные учетные записи домена с широкими и глубокими привилегиями (т. е. учетные записи с правами администратора на многих компьютерах и в Active Directory).Privileged domain accounts with both broad and deep privileges (that is, accounts that have administrator-level privileges on many computers and in Active Directory). Эти учетные записи не могут быть членами какой-либо группы с наибольшими правами доступа в Active Directory, но им могут быть предоставлены права администратора на многих серверах и рабочих станциях в домене или лесу, что делает их эффективными в качестве членов привилегированных групп в Active Directory.These accounts may not be members of any of the highest-privilege groups in Active Directory, but they may have been granted Administrator-level privilege across many servers and workstations in the domain or forest, which makes them effectively as powerful as members of privileged groups in Active Directory. В большинстве случаев учетные записи, которым предоставлен высокий уровень привилегий в широких отрезки инфраструктуры Windows, являются учетными записями служб, поэтому учетные записи служб всегда должны оцениваться для обеспечения высокого уровня привилегий и их глубины.In most cases, accounts that have been granted high levels of privilege across broad swaths of the Windows infrastructure are service accounts, so service accounts should always be assessed for breadth and depth of privilege.

  2. "Очень важные учетные записи домена (VIP)"."Very Important Person" (VIP) domain accounts. В контексте этого документа учетная запись виртуального IP-адреса — это любая учетная запись, имеющая доступ к информации, которую хочет злоумышленник (интеллектуальная собственность и другая конфиденциальная информация), или любая учетная запись, которую можно использовать для предоставления злоумышленнику доступа к этой информации.In the context of this document, a VIP account is any account that has access to information an attacker wants (intellectual property and other sensitive information), or any account that can be used to grant the attacker access to that information. Ниже приведены примеры этих учетных записей пользователей.Examples of these user accounts include:

    1. Руководители, чьи учетные записи имеют доступ к конфиденциальной корпоративной информацииExecutives whose accounts have access to sensitive corporate information

    2. Учетные записи для сотрудников службы технической поддержки, ответственных за обслуживание компьютеров и приложений, используемых руководителямиAccounts for Help Desk staff who are responsible for maintaining the computers and applications used by executives

    3. Учетные записи для юридических лиц, имеющих доступ к документам по заявкам и контрактам Организации, будь то документы для собственной организации или клиентской организации.Accounts for legal staff who have access to an organization's bid and contract documents, whether the documents are for their own organization or client organizations

    4. Планировщики продукта, имеющие доступ к планам и спецификациям продуктов в конвейере разработки компании, независимо от типов продуктов, которые делает компания.Product planners who have access to plans and specifications for products in an company's development pipeline, regardless of the types of products the company makes

    5. Исследователи, учетные записи которых используются для доступа к данным исследований, формулатионсу продуктов или любым другим исследованиям, представляющим интерес для злоумышленникаResearchers whose accounts are used to access study data, product formulations, or any other research of interest to an attacker

Поскольку учетные записи с высоким уровнем привилегий в Active Directory могут использоваться для распространения компромиссов и управления виртуальными учетными записями виртуальных IP-адресов или данными, к которым у них есть доступ, наиболее полезные учетные записи для атак с хищением учетных данных — это учетные записи, входящие в группы администраторов предприятия, администраторов домена и администраторов в Active Directory.Because highly privileged accounts in Active Directory can be used to propagate compromise and to manipulate VIP accounts or the data that they can access, the most useful accounts for credential theft attacks are accounts that are members of Enterprise Admins, Domain Admins, and Administrators groups in Active Directory.

Так как контроллеры домена являются репозиториями для базы данных AD DS и контроллеры домена имеют полный доступ ко всем данным в Active Directory, контроллеры домена также предназначены для компрометации, параллельных атак с кражой учетных данных или после компрометации одной или нескольких учетных записей с высоким уровнем привилегий Active Directory.Because domain controllers are the repositories for the AD DS database and domain controllers have full access to all of the data in Active Directory, domain controllers are also targeted for compromise, whether in parallel with credential theft attacks, or after one or more highly privileged Active Directory accounts have been compromised. Несмотря на то, что многочисленные публикации (и многие злоумышленники) сосредоточены на членстве в группах администраторов домена при описании атаки «Pass-The-hash» и других атаках по краже учетных данных (как описано в разделе уменьшение Active Directory уязвимой зоны), учетная запись, которая является членом любой из перечисленных здесь групп, может использоваться для нарушения всей установки AD DS.Although numerous publications (and many attackers) focus on the Domain Admins group memberships when describing pass-the-hash and other credential theft attacks (as is described in Reducing the Active Directory Attack Surface), an account that is a member of any of the groups listed here can be used to compromise the entire AD DS installation.

Примечание

Исчерпывающие сведения о атаках Pass-The-hash и других способов кражи учетных данных см. в статье Защита от атак Pass-The-hash (PTH) и других методов кражи учетных данных , перечисленных в приложении M: ссылки на документы и Рекомендуемые материалы для чтения.For comprehensive information about pass-the-hash and other credential theft attacks, please see the Mitigating Pass-the-Hash (PTH) Attacks and Other Credential Theft Techniques whitepaper listed in Appendix M: Document Links and Recommended Reading. Дополнительные сведения о атаках путем определения злоумышленников, которые иногда называются "дополнительными устойчивыми угрозами" (APT), см. в разделе определенные злоумышленников и целевые атаки.For more information about attacks by determined adversaries, which are sometimes referred to as "advanced persistent threats" (APTs), please see Determined Adversaries and Targeted Attacks.

Действия, повышающие вероятность компрометацииActivities that Increase the Likelihood of Compromise

Поскольку целью кражи учетных данных обычно являются учетные записи домена с высоким уровнем привилегий и виртуальные учетные записи виртуальных IP-адресов, важно, чтобы администраторы применяют сведения о действиях, повышающих вероятность успеха атаки путем кражи учетных данных.Because the target of credential theft is usually highly privileged domain accounts and VIP accounts, it is important for administrators to be conscious of activities that increase the likelihood of success of a credential-theft attack. Хотя злоумышленники также используют учетные записи виртуальных IP-адресов, если VIP не имеет высокого уровня прав доступа к системам или домену, кража своих учетных данных требует других типов атак, таких как основе социотехникиное проектирование виртуального IP-адреса для предоставления секретной информации.Although attackers also target VIP accounts, if VIPs are not given high levels of privilege on systems or in the domain, theft of their credentials requires other types of attacks, such as socially engineering the VIP to provide secret information. Или злоумышленник должен сначала получить привилегированный доступ к системе, в которой кэшируются учетные данные виртуального IP-адреса.Or the attacker must first obtain privileged access to a system on which VIP credentials are cached. По этой причине действия, повышающие вероятность кражи учетных данных, описаны главным образом для предотвращения приобретения учетных данных администратора с высоким уровнем привилегий.Because of this, activities that increase the likelihood of credential theft described here are focused primarily on preventing the acquisition of highly privileged administrative credentials. Эти действия являются общими механизмами, с помощью которых злоумышленники могут скомпрометировать системы для получения привилегированных учетных данных.These activities are common mechanisms by which attackers are able to compromise systems to obtain privileged credentials.

Вход на незащищенные компьютеры с привилегированными учетными записямиLogging on to Unsecured Computers with Privileged Accounts

Основная уязвимость, допускающая атаки путем кражи учетных данных, — это процесс входа на компьютеры, которые не защищены с учетными записями, обладающими широкими и глубокими привилегиями в среде.The core vulnerability that allows credential theft attacks to succeed is the act of logging on to computers that are not secure with accounts that are broadly and deeply privileged throughout the environment. Эти входы могут быть результатом различных конфигураций, описанных здесь.These logons can be the result of various misconfigurations described here.

Не обслуживает отдельные учетные данные администратораNot Maintaining Separate Administrative Credentials

Хотя это относительно нередко, при оценке различных установок AD DS мы обнаружили, что сотрудники отдела ИТ используют одну учетную запись для всей своей работы.Although this is relatively uncommon, in assessing various AD DS installations, we have found IT employees using a single account for all of their work. Эта учетная запись является членом по крайней мере одной из групп с наибольшим уровнем привилегий в Active Directory и является той же учетной записью, которую сотрудники используют для входа на рабочие станции утром, проверки электронной почты, просмотра веб-узлов и загрузки содержимого на свои компьютеры.The account is a member of at least one of the most highly privileged groups in Active Directory and is the same account that the employees use to log on to their workstations in the morning, check their email, browse Internet sites, and download content to their computers. Когда пользователи запускаются с учетными записями, которым предоставлены права и разрешения локального администратора, они предоставляют локальному компьютеру возможность пройти атаку.When users run with accounts that are granted local Administrator rights and permissions, they expose the local computer to complete compromise. Если эти учетные записи также являются членами наиболее привилегированных групп в Active Directory, они предоставляют весь лес для взлома, что упрощает для злоумышленника полный контроль над Active Directory и средой Windows.When those accounts are also members of the most privileged groups in Active Directory, they expose the entire forest to compromise, making it trivially easy for an attacker to gain complete control of the Active Directory and Windows environment.

Аналогичным образом в некоторых средах мы обнаружили, что одни и те же имена пользователей и пароли используются для учетных записей root на компьютерах, отличных от Windows, как используемые в среде Windows, что позволяет злоумышленникам расширять безопасность систем UNIX или Linux до систем Windows и наоборот.Similarly, in some environments, we've found that the same user names and passwords are used for root accounts on non-Windows computers as are used in the Windows environment, which allows attackers to extend compromise from UNIX or Linux systems to Windows systems and vice versa.

Вход на скомпрометированные рабочие станции или рядовые серверы с привилегированными учетными записямиLogons to Compromised Workstations or Member Servers with Privileged Accounts

Если для интерактивного входа на скомпрометированную рабочую станцию или рядовой сервер используется учетная запись домена с высоким уровнем привилегий, то этот скомпрометированный компьютер может собирать учетные данные из любой учетной записи, которая входит в систему.When a highly privileged domain account is used to log on interactively to a compromised workstation or member server, that compromised computer may harvest credentials from any account that logs on to the system.

Незащищенные рабочие станции администрированияUnsecured Administrative Workstations

Во многих организациях ИТ-специалисты используют несколько учетных записей.In many organizations, IT staff use multiple accounts. Одна учетная запись используется для входа на рабочую станцию сотрудника, и так как это ИТ-специалисты, они часто имеют права локального администратора на своих рабочих станциях.One account is used for logon to the employee's workstation, and because these are IT staff, they often have local Administrator rights on their workstations. В некоторых случаях UAC остается включенным, чтобы пользователь по крайней мере получал маркер доступа с разделением при входе в систему и при необходимости повысить привилегию.In some cases, UAC is left enabled so that the user at least receives a split access token at logon and must elevate when privileges are required. Когда эти пользователи выполняют действия по обслуживанию, они обычно используют локально установленные средства управления и предоставляют учетные данные для учетных записей, привилегированных в домене, с помощью команды Запуск от имени администратора или путем предоставления учетных данных при появлении соответствующего запроса.When these users are performing maintenance activities, they typically use locally installed management tools and provide the credentials for their domain-privileged accounts, by selecting the Run as Administrator option or by providing the credentials when prompted. Хотя такая конфигурация может показаться подходящей, она предоставляет среду для компрометации, поскольку:Although this configuration may seem appropriate, it exposes the environment to compromise because:

  • «Обычная» учетная запись пользователя, используемая сотрудником для входа на рабочую станцию, имеет права локального администратора, компьютер уязвим для атак, связанных с загрузкой , когда пользователь убедился в установке вредоносных программ.The "regular" user account that the employee uses to log on to their workstation has local Administrator rights, the computer is vulnerable to drive-by download attacks in which the user is convinced to install malware.

  • Вредоносная программа устанавливается в контексте учетной записи администратора. Теперь компьютер может использоваться для записи нажатий клавиш, содержимого буфера обмена, снимков экрана и резидентных учетных данных, что может привести к раскрытию учетных данных мощной учетной записи домена.The malware is installed in the context of an administrative account, the computer can now be used to capture keystrokes, clipboard contents, screenshots, and memory-resident credentials, any of which can result in exposure of the credentials of a powerful domain account.

Проблемы в этом сценарии — двойная.The problems in this scenario are twofold. Во-первых, хотя отдельные учетные записи используются для администрирования локального компьютера и домена, компьютер не защищен и не защищает учетные записи от кражи.First, although separate accounts are used for local and domain administration, the computer is unsecured and does not protect the accounts against theft. Во вторых, учетной записи обычного пользователя и учетной записи администратора предоставлены лишние права и разрешения.Second, the regular user account and the administrative account have been granted excessive rights and permissions.

Просмотр в Интернете учетной записи с высоким уровнем привилегийBrowsing the Internet with a Highly Privileged Account

Пользователи, которые входят в систему на компьютерах с учетными записями, входящими в локальную группу администраторов на компьютере, или члены привилегированных групп в Active Directory, а также которые просматривают Интернет (или скомпрометированную интрасеть) предоставляют локальному компьютеру и каталогу возможность компрометации.Users who log on to computers with accounts that are members of the local Administrators group on the computer, or members of privileged groups in Active Directory, and who then browse the Internet (or a compromised intranet) expose the local computer and the directory to compromise.

Доступ к вредоносно созданному веб-сайту с помощью браузера, работающего с правами администратора, может позволить злоумышленнику поместить вредоносный код на локальный компьютер в контексте привилегированного пользователя.Accessing a maliciously crafted website with a browser running with administrative privileges can allow an attacker to deposit malicious code on the local computer in the context of the privileged user. Если пользователь имеет права локального администратора на компьютере, злоумышленники могут обмануть пользователя загрузить вредоносный код или открыть вложения электронной почты, которые используют уязвимости приложения, и использовать привилегии пользователя для извлечения локально кэшированных учетных данных для всех активных пользователей на компьютере.If the user has local Administrator rights on the computer, attackers may deceive the user into downloading malicious code or opening email attachments that leverage application vulnerabilities and leverage the user's privileges to extract locally cached credentials for all active users on the computer. Если пользователь имеет права администратора в каталоге, который является членом группы "Администраторы предприятия", "Администраторы домена" или "Администраторы" в Active Directory, злоумышленник может извлечь учетные данные домена и использовать их для компрометации всего AD DS домена или леса без нарушения безопасности других компьютеров в лесу.If the user has administrative rights in the directory by membership in the Enterprise Admins, Domain Admins, or Administrators groups in Active Directory, the attacker can extract the domain credentials and use them to compromise the entire AD DS domain or forest, without needing to compromise any other computer in the forest.

Настройка локальных привилегированных учетных записей с одинаковыми учетными данными в разных системахConfiguring Local Privileged Accounts with the Same Credentials across Systems

Настройка одинакового имени и пароля учетной записи локального администратора на многих или всех компьютерах позволяет использовать учетные данные, заимствованные из базы данных SAM на одном компьютере, для компрометации всех компьютеров, использующих одни и те же учетные данные.Configuring the same local Administrator account name and password on many or all computers enables credentials stolen from the SAM database on one computer to be used to compromise all other computers that use the same credentials. Как минимум, следует использовать разные пароли для учетных записей локального администратора в каждой системе, присоединенной к домену.At a minimum, you should use different passwords for local Administrator accounts across each domain-joined system. Учетные записи локального администратора также могут иметь уникальные имена, но для обеспечения использования учетных данных в других системах достаточно использовать разные пароли для локальных учетных записей привилегированных пользователей.Local Administrator accounts may also be uniquely named, but using different passwords for each system's privileged local accounts is sufficient to ensure that credentials cannot be used on other systems.

Избыточное заполнение и чрезмерное употребление групп привилегированных доменовOverpopulation and Overuse of Privileged Domain Groups

Предоставление членства в группах EA, DA или BA в домене создает цель для злоумышленников.Granting membership in the EA, DA, or BA groups in a domain creates a target for attackers. Чем больше число членов этих групп, тем выше вероятность непреднамеренного неправильного использования учетных данных привилегированным пользователем и предоставление им прав на кражу учетных данных.The greater the number of members of these groups, the greater the likelihood that a privileged user may inadvertently misuse the credentials and expose them to credential theft attacks. На каждой рабочей станции или сервере, на который входит привилегированный пользователь домена, представлен возможный механизм, с помощью которого учетные данные привилегированного пользователя могут быть собраны и использованы для компрометации AD DS домена и леса.Every workstation or server to which a privileged domain user logs on presents a possible mechanism by which the privileged user's credentials may be harvested and used to compromise the AD DS domain and forest.

Неплохо защищенные контроллеры доменаPoorly Secured Domain Controllers

На контроллерах домена размещена реплика базы данных AD DS домена.Domain controllers house a replica of a domain's AD DS database. В случае контроллеров домена только для чтения локальная реплика базы данных содержит учетные данные только для подмножества учетных записей в каталоге, ни одна из которых не является учетной записью привилегированного домена по умолчанию.In the case of read-only domain controllers, the local replica of the database contains the credentials for only a subset of the accounts in the directory, none of which are privileged domain accounts by default. На контроллерах домена, предназначенных для чтения и записи, каждый контроллер домена поддерживает полную реплику базы данных AD DS, включая учетные данные не только для привилегированных пользователей, таких как Администраторы домена, но и привилегированных учетных записей, таких как учетные записи контроллера домена или учетная запись krbtgt домена, которая является учетной записью, связанной со службой KDC на контроллерах домена.On read-write domain controllers, each domain controller maintains a full replica of the AD DS database, including credentials not only for privileged users like Domain Admins, but privileged accounts such as domain controller accounts or the domain's Krbtgt account, which is the account that is associated with the KDC service on domain controllers. Если дополнительные приложения, которые не требуются для работы контроллера домена, установлены на контроллерах домена или если контроллеры домена не имеют строгого исправления и защиты, злоумышленники могут нарушить их работу с помощью неисправленных уязвимостей или использовать другие направления атаки для установки вредоносных программ непосредственно на них.If additional applications that are not necessary for domain controller functionality are installed on domain controllers, or if domain controllers are not stringently patched and secured, attackers may compromise them via unpatched vulnerabilities, or they may leverage other attack vectors to install malicious software directly on them.

Повышение привилегий и распространениеPrivilege Elevation and Propagation

Независимо от того, какие методы атаки используются, Active Directory всегда нацелены на атаки в среде Windows, так как в конечном итоге контролирует доступ к любому злоумышленнику.Regardless of the attack methods used, Active Directory is always targeted when a Windows environment is attacked, because it ultimately controls access to whatever the attackers want. Однако это не означает, что целевой каталог является целевым.This does not mean that the entire directory is targeted, however. Определенные учетные записи, серверы и компоненты инфраструктуры обычно являются основными целями атак на Active Directory.Specific accounts, servers, and infrastructure components are usually the primary targets of attacks against Active Directory. Эти учетные записи описаны ниже.These accounts are described as follows.

Постоянные привилегированные учетные записиPermanent Privileged Accounts

Поскольку введение Active Directory, можно использовать учетные записи с высоким уровнем привилегий для создания Active Directory леса, а затем делегировать права и разрешения, необходимые для выполнения повседневного администрирования учетных записей с меньшими привилегиями.Because the introduction of Active Directory, it has been possible to use highly privileged accounts to build the Active Directory forest and then to delegate rights and permissions required to perform day-to-day administration to less-privileged accounts. Членство в группах "Администраторы предприятия", "Администраторы домена" или "Администраторы" в Active Directory требуется только временно и редко в среде, которая реализует подход с минимальными привилегиями к ежедневному администрированию.Membership in the Enterprise Admins, Domain Admins, or Administrators groups in Active Directory is required only temporarily and infrequently in an environment that implements least-privilege approaches to daily administration.

Постоянные привилегированные учетные записи — это учетные записи, которые были помещены в привилегированные группы и слева от дня к дню.Permanent privileged accounts are accounts that have been placed in privileged groups and left there from day to day. Если ваша организация размещает пять учетных записей в группе администраторов домена для домена, эти пять учетных записей могут быть нацелены на 24 часа в сутки, семь дней в неделю.If your organization places five accounts into the Domain Admins group for a domain, those five accounts can be targeted 24-hours a day, seven days a week. Однако фактическая потребность в использовании учетных записей с правами администратора домена обычно осуществляется только для конкретной конфигурации уровня домена и в течение короткого периода времени.However, the actual need to use accounts with Domain Admins privileges is typically only for specific domain-wide configuration, and for short periods of time.

Учетные записи виртуальных IP-адресовVIP Accounts

Часто нацеливание на Active Directory нарушений — это учетные записи «очень важных лиц» (или виртуальных IP-адресов) в Организации.An often overlooked target in Active Directory breaches is the accounts of "very important persons" (or VIPs) in an organization. Привилегированные учетные записи предназначены, так как эти учетные записи могут предоставлять доступ злоумышленникам, что позволяет им расрушить или даже уничтожить целевые системы, как описано выше в этом разделе.Privileged accounts are targeted because those accounts can grant access to attackers, which allows them to compromise or even destroy targeted systems, as described earlier in this section.

Учетные записи Active Directory, подключенные с правами доступа"Privilege-Attached" Active Directory Accounts

Active Directory учетные записи, подключенные с правами доступа, являются учетными записями домена, которые не были членами какой-либо группы, имеющей наивысший уровень привилегий в Active Directory, но им предоставлен высокий уровень привилегий на многих серверах и рабочих станциях в среде."Privilege-attached" Active Directory accounts are domain accounts that have not been made members of any of the groups that have the highest levels of privilege in Active Directory, but have instead been granted high levels of privilege on many servers and workstations in the environment. Эти учетные записи чаще всего являются учетными записями на основе домена, настроенными для запуска служб в системах, присоединенных к домену, как правило, для приложений, выполняющихся в больших разделах инфраструктуры.These accounts are most often domain-based accounts that are configured to run services on domain-joined systems, typically for applications running on large sections of the infrastructure. Хотя эти учетные записи не имеют привилегий в Active Directory, если они имеют высокий уровень привилегий в большом количестве систем, их можно использовать для компрометации или даже уничтожения больших сегментов инфраструктуры, что дает тот же результат, что и безопасность привилегированной учетной записи Active Directory.Although these accounts have no privileges in Active Directory, if they are granted high privilege on large numbers of systems, they can be used to compromise or even destroy large segments of the infrastructure, achieving the same effect as compromise of a privileged Active Directory account.