Microsoft'un RANSOMWARE fidye yazılımı yaklaşımı ve en iyi yöntemler

  • Makale
  • Okumak için 13 dakika

İnsan tarafından işletilen fidye yazılımları kötü amaçlı bir yazılım sorunu değildir, bu insanlar için bir suç sorunudur. Ürünlerle ilgili sorunları çözmek için kullanılan çözümler, aşağıdakiler yapan bir devlet devlet tehditinin daha çok benzer olduğu bir tehdidi önlemek için yeterli değildir:

  • Dosyaları şifrelemeden önce virüsten koruma yazılımınızı devre dışı bırakma veya kaldırma
  • Algılamayı önlemek için güvenlik hizmetlerini ve günlüğü devre dışı bırak
  • Bir talep göndermeden önce yedekleri bulup bozer veya siler

Bu eylemler genellikle, yönetim amacıyla ortamınıza önceden eklemış olabileceğiniz yasal programlarla yapılır. Suçlular tarafından ele görülen bu araçlar saldırılar yapmak için kötü amaçlı olarak kullanılır.

Giderek artan fidye yazılımı tehdidine yanıt vermek için modern kurumsal yapılandırmanın, güncel güvenlik ürünlerinin bir bileşimini ve verilerin kaybedilmeden önce eğitimli güvenlik personelinin tehditleri algılaması ve yanıtlaması gerekir.

Microsoft Algılama ve Yanıt Ekibi (DENİ), müşterilerin siber tehditlere karşı tepki vermelerine yardımcı olmak için güvenlik ödünlerine yanıt verir. BURAK, yerinde reaktif olay yanıtı ve uzaktan proaktif soruşturmalar sağlar. MOST, Microsoft'un dünyanın her yanında yer alan güvenlik kuruluşlarıyla ve Microsoft'un iç Microsoft ürün gruplarıyla olan stratejik ortaklıklarından yararlanarak mümkün olan en eksiksiz ve kapsamlı soruşturmayı sağlar.

Bu makalede, KENDI güvenlik işlemleri çalışma kitabınıza yaklaşımın öğelerini ve en iyi uygulamalarını uygulamayı göz önünde bulundurarak Microsoft müşterilerinin FIDYE YAZıLıMı saldırılarını nasıl işlemektedir.

Ayrıntılar için şu bölümlere bakın:

Not

Bu makalenin içeriği, insan tarafından işletilen fidye yazılımıyla mücadele etmek için bir kılavuzdan türetildi: Bölüm 1 ve İnsan tarafından işletilen fidye yazılımlarına karşı mücadeleye kılavuz: Bölüm 2 Microsoft Security ekip blog gönderileri.

MıRMİ, Microsoft güvenlik hizmetlerini nasıl kullanır?

MICROSOFT, tüm araştırmalarda büyük oranda verilere güvenmektedir ve microsoft güvenlik hizmetlerinin Office 365 için Microsoft Defender,Uç Nokta için Microsoft Defender,Kimlik için Microsoft Defenderve Bulut Uygulamaları için Microsoft Defender gibi mevcut dağıtımlarınıkullanır.

Uç Nokta için Defender

Uç nokta için Defender Microsoft'un kurumsal ağ güvenlik analistlerinin gelişmiş tehditleri engellemelerine, algılamalarına, araştırmalarına ve yanıtlamalarına yardımcı olmak için tasarlanmış kurumsal uç nokta güvenlik platformudur. Uç Nokta için Defender gelişmiş davranış analizi ve makine öğrenimi kullanarak saldırılar algılanabilir. Analistleriniz saldırgan davranış analizi için Uç Nokta için Defender'ı kullanabilir.

Bilet saldırısı için Uç Nokta için Microsoft Defender'da uyarı örneği.

Bilet geçişi saldırısı için Uç Nokta için Microsoft Defender'da uyarı örneği

Analistler ayrıca, tehdit (IOC) göstergelerini özetler veya bir tehdit olan bir grup olarak tanımlansa bilinen davranışlar için arama yapmak için gelişmiş arama sorguları gerçekleştirler.

Bilinen saldırgan davranışını bulmak için gelişmiş arama sorgularının nasıl kullanılabilmesine bir örnek:

Gelişmiş bir av sorgusu örneği.

Uç Nokta için Defender'da, sürekli şüpheli olan oyuncu etkinlikleri için gerçek zamanlı uzman düzeyinde Microsoft Tehdit Uzmanları izleme ve çözümleme hizmetine erişebilirsiniz. Ayrıca, uyarılar ve olaylar hakkında ek içgörüler talep ediyor olarak uzmanlarla işbirliği de sebilirsiniz.

Burada, Uç Nokta için Defender'ın ayrıntılı fidye yazılımı etkinliğini nasıl gösterip görene kadar çeşitli fidye yazılımı faaliyetleri olduğunu gösteren bir örnek ve vemektedir.

Uç Nokta için Defender'ın ayrıntılı fidye yazılımı etkinliğini nasıl gösterip gösterilene bir örnek.

Kimlik için Defender

Kimlik için Defender'ı, güvenliği tehlikeye atılmış bilinen hesapları araştırmak ve organizasyonda güvenliği ihlal edilmiş olabilecek hesapları bulmak için kullanırsınız. Identity için Defender, DCSync saldırıları, uzaktan kod yürütme girişimleri ve karma geçişi saldırıları gibi sık sık kullanan bilinen kötü amaçlı etkinlikler için uyarılar gönderir. Kimlik için Defender, şüpheli etkinliği ve hesapları daraltarak araştırmayı daraltmanızı sağlar.

Burada, Identity için Defender'ın fidye yazılımı saldırılarına ilişkin bilinen zararlı etkinliklere yönelik uyarılar gönderdiği bir örnek ve almaktadır.

Identity için Defender'ın fidye yazılımı saldırılarına yönelik uyarılar göndermesi örneği

Bulut Uygulamaları için Defender

Bulut Uygulamaları için Defender (eski adı Bulut Uygulamaları için Microsoft Defender), analistlerin bulut uygulamaları genelinde fidye yazılımlarını, güvenliği tehlikeye atılmış kullanıcıları veya uygulama uygulamalarını belirlemek için alışılmışın dışında bir davranışı algılamalarını sağlar. Bulut Uygulamaları için Defender, Microsoft'un bulut erişim güvenlik aracıcısı (CASB) çözümüdür. Bu çözüm, kullanıcıların bulut hizmetlerde bulut hizmetlerinin ve veri erişiminin izlenmesine olanak sağlar.

Burada, bulut uygulamaları genelinde çözümlemenin olağan dışı davranışı algılamaya olanak sağlayan Bulut Uygulamaları için Defender panosuna bir örnek ve almaktadır.

bir Bulut Uygulamaları için Defender panosu örneği.

Microsoft Güvenli Puan

Güvenlik hizmetleri Microsoft 365 Defender saldırı yüzeyini azaltmaya yardımcı olmak için canlı düzeltme önerileri sağlar. Microsoft Güvenli Puanı, kuruluşun güvenlik mezurelerinin ölçümüdür ve daha fazla geliştirme eylemi gerçekleştir gerektiğini belirten daha yüksek bir sayıdır. Kuruluşlarının ortamına dayalı düzeltme eylemlerini önceliklendirmek için bu özellik hakkında daha fazla bilgi almak için Güvenli Puan belgelerine bakın.

Fidye yazılımı olayı araştırmalarını yürüten TIRLI YAKLAŞıM

Güvenlik açıklarının düzeltilebilir olması için, eldeki varlıklarınıza kazandıran sıfatlı erişimin nasıl elde olduğunu belirlemek için tüm çabayı gösterebilirsiniz. Aksi takdirde, aynı saldırı türünün gelecekte tekrar olması büyük olasılıkla olasıdır. Bazı durumlarda, tehdit eden oyuncu kanıtlarını örter ve kanıtlarını yok eder; bu yüzden tüm olay zinciri açıklanmaz olabilir.

AŞAĞıDAKIler, RANSOMWARE fidye yazılımı araştırmalarında üç önemli adımdır:

Adım Hedef İlk sorular
1. Geçerli durumu değerlendirin Kapsamı anlama Fidye yazılımı saldırılarının ilk olarak ne olduğu sizi haberdar etti?

Olayı ilk olarak hangi saat/tarihi öğrendiniz?

Hangi günlükler kullanılabilir ve bu, actor'ın şu anda sistemlere erişirken olduğuyla ilgili herhangi bir gösterge var mı?
2. Etkilenen iş hattı (LOB) uygulamalarını belirleme Sistemleri yeniden çevrimiçi edin Uygulama için kimlik gerekiyor mu?

Uygulama, yapılandırma ve verilerin yedekleri kullanılabilir mi?

Yedeklemelerin içeriği ve bütünlüğü, bir geri yükleme alıştırması kullanılarak düzenli olarak doğrulanır mı?
3. Güvenliği tehlikeye atarak kurtarma (CR) işlemini belirleme Saldırgan denetimi ortamdan kaldırma Yok

1. Adım. Geçerli durumu değerlendirme

Geçerli durumu değerlendirme, olayın kapsamını anlamak ve araştırma ve düzeltme görevlerini planlamak, planlamak ve kapsamını belirlemek için en iyi kişilerin belirlenmesi önemlidir. Aşağıdaki ilk soruların sorulilmesi, durumu belirlemeye yardımcı olmak açısından çok önemlidir.

Fidye yazılımı saldırı hakkında ilk olarak sizi neyin haberdar etti?

İlk tehdit, yedeklemelerin silinmesi, virüsten koruma uyarıları, uç noktada algılama ve yanıtlama (EDR) uyarıları veya şüpheli sistem değişiklikleri gibi IT personeli tarafından tanımlanırsa genellikle tüm gelen ve giden İnternet iletişimini devre dışı bırakarak saldırıyı engellemek için hızlı önlemler almak mümkündür. Bu geçici olarak iş işlemlerini etkileyebilir, ancak bu durum normalde zararlı yazılım dağıtımından çok daha etkili olur.

Tehdit, bir kullanıcı tarafından IT yardım masasına yapılan bir aramayla belirlenmişse, saldırının etkilerini önlemek veya en aza indirmek için ölçüler almak için yeterli önceden uyarı olabilir. Tehdit, bir dış kuruluş (hukuk yaptırımı veya mali kurum gibi) tarafından tanımlandı ise, büyük olasılıkla hasar zaten yapılır ve ortamınıza tehditteki oyuncunın ağ üzerinde zaten yönetim denetimi kazandığının kanıtı vardır. Bu, fidye yazılımı notlarına, kilitli ekranlara veya özel taleplere kadar çeşitli olabilir.

Olayı ilk olarak hangi tarih/saati öğrendiniz?

İlk etkinlik tarihi ve saati belirlemesi önemlidir, çünkü saldırgan tarafından hızlı kazançlar için ilk triyaknın kapsamını daraltmaya yardımcı olur. Ek sorular şunlar olabilir:

  • Bu tarihte hangi güncelleştirmeler eksikti? Bu, güvenlik açıklarınınversary tarafından hangi güvenlik açıklarından yararlanmış olduğunu anlamak için önemlidir.
  • Bu tarihte hangi hesaplar kullanılmış?
  • Bu tarihten sonra hangi yeni hesaplar oluşturulmuş?

Hangi günlükler kullanılabilir ve bu, actor'ın şu anda sistemlere erişirken olduğuyla ilgili bir gösterge var mı?

Virüsten koruma, güvenlik EDR sanal özel ağ (VPN) gibi günlükler güvenliğin şüpheli bir göstergesidir. Takip soruları şunları içerebilir:

  • Günlükler Microsoft Sentinel,Splunk, ArcSight ve diğerleri gibi bir Güvenlik Bilgileri ve Olay Yönetimi (SIEM) çözümünde toplanmış ve geçerli mi? Bu verilerin bekletme süresi nedir?
  • Olağan dışı etkinliklerle karşılaşan ve güvenliği ihlal edilmiş olduğu şüpheli sistemler var mı?
  • Güvenliği ihlal edilmiş gibi görünen ve de karşıt tarafından etkin olarak kullanılmış gibi görünen şüpheli hesaplar var mı?
  • Güvenlik duvarı, VPN, web ara sunucusu ve diğer günlüklerde EDR komut ve denetimler (C2s) için kanıt var mı?

Geçerli durumu değerlendirmenin bir parçası olarak, güvenliği ihlal edilmiş bir Active Directory Etki Alanı Hizmetleri (AD DS) etki alanı denetleyicisine, etki alanı denetleyicisinin yeni yedeğine veya bakım veya yükseltmeler için çevrimdışına alınan yeni bir etki alanı denetleyicisine ihtiyacınız olabilir. Ayrıca, şirkette herkes için Multifactor Authentication (MFA) gerekip gerek olmadığını ve Multifactor Authentication (Azure AD) Azure Active Directory gerekli olup olmadığını belirler.

2. Adım. Olaydan dolayı kullanılamayan LOB uygulamalarını belirleme

Bu adım, gerekli kanıtları elde ederken sistemleri yeniden çevrimiçi yapmak için en hızlı yolu bulmak açısından önemlidir.

Uygulama için kimlik gerekiyor mu?

  • Kimlik doğrulama nasıl gerçekleştirilir?
  • Sertifikalar veya sırlar gibi kimlik bilgileri nasıl depolanır ve yönetilir?

Uygulama, yapılandırma ve verilerin yedekleri test edildi mi?

Yedeklemelerin içeriği ve bütünlüğü, bir geri yükleme alıştırması kullanılarak düzenli olarak doğrulanır mı? Bu özellikle yapılandırma yönetimi değişiklikleri veya sürüm yükseltmelerinden sonra önemlidir.

3. Adım. Güvenliği tehlikeye atarak kurtarma işlemini belirleme

Normalde AD DS olan denetim uçağını ihlal edilmişse, bu adım gerekli olabilir.

Araştırmanız her zaman, CR sürecine doğrudan akış sağlayan çıktı sağlama hedefine sahip olmalı. CR, bir ortamdan saldırgan denetimi kaldıran ve belirli bir süre içinde taktik olarak güvenlik meziğini artıran işlemdir. CR, güvenlik ihlalleri sonrası devam ediyor. CR hakkında daha fazla bilgi edinmek için, Microsoft Güvenlik Güvenliği Alıştırma ekibinin CRSP'sinin Güvenliğini Tehdit Uygulama ekibi: Müşterilerin yanında siber saldırılarla mücadele eden acil durum ekibi blog makalesine bakın.

Yukarıdaki soruların yanıtlarını toplayan olduktan sonra, görev listesi ekleyebilirsiniz ve sahip atabilirsiniz. Başarılı bir olay müdahale katılımının önemli bir unsur, her bir iş öğesinin (sahip, durum, bulguları, tarih ve saat gibi) ayrıntılı belgeleri, etkileşimin sonundaki bulguların bir derlemesini anlaşılır bir süreç hale getirir.

ÖNERILERI ve en iyi yöntemler

Burada, OLAY sonrası etkinliklerin yer alan önerileri ve en iyi uygulamaları ve en iyi yöntemleri ve bulunmaktadır.

Içeren

Içerenler ancak çözümleme neyin içermesi gerektiğini belirlediğinde gerçekleşecektir. Fidye yazılımı durumunda, hedefi, yüksek düzeyde kullanılabilir bir sunucu üzerinde yönetimle denetime olanak sağlayan kimlik bilgilerini almak ve sonra fidye yazılımlarını dağıtmaktır. Bazı durumlarda, tehdit olan actor hassas verileri tanımıyor ve bu verileri kendi kontrolünde olan bir konuma imha ediyor.

Taktik kurtarma, organizasyon çevrenize, sektörüme ve IT uzmanlığı ve deneyimi düzeyine özeldir. Aşağıda belirtilen adımlar, kısa vadeli ve taktik içeren kuruluş adımları için önerilir. Uzun vadeli yol göstericilik hakkında daha fazla bilgi edinmek için bkz. Ayrıcalıklı erişimin güvenliğini sağlama. Fidye yazılımları ve eksfor ilgili kapsamlı bir görünüm için, bkz. İnsan tarafından işletilen fidye yazılımı.

Yeni tehdit vektörleri keşfedildice bu içeren adımlar eşzamanlı olarak gerçek zamanlı olarak gerçek zamanlı olarak yapılabilir:

  • 1. Adım: Durumun kapsamını değerlendirme

    • Hangi kullanıcı hesaplarının güvenliği ihlal edildi?

    • Hangi cihazlar etkilenir?

    • Hangi uygulamalar etkilenir?

  • 2. Adım: Var olan sistemleri koruma

    • Yöneticileriniz tarafından AD DS altyapının bütünlüğünü sıfırlamaya yardımcı olmak için kullanılan az sayıda hesap dışında tüm ayrıcalıklı kullanıcı hesaplarını devre dışı bırak. Bir kullanıcı hesabının tehlikeye atılmış olduğuna inanıyorsa, hemen devre dışı bırakabilirsiniz.

    • Güvenliği aşınan sistemleri ağdan ayırmak, ancak kapatmamak.

    • Her etki alanında en az bir bilinen iyi etki alanı denetleyicisini ayırabilirsiniz; iki tane daha iyi olur. Ağ bağlantınızı kesin veya tamamen kapatın. Buradaki nesne, fidye yazılımlarının kritik sistemlere yayılmasını, yani kimlik'in en korumasızlar arasında yer alıyor olmasıdır. Tüm etki alanı denetleyicileriniz sanalsa, sanallaştırma platformunun güvenliğinin tehlikeye atması durumunda sanallaştırma platformunun ve veri sürücülerinin ağa bağlı değil çevrimdışı dış medyaya destek olduğundan emin olun.

    • SAP, yapılandırma yönetim veritabanı (CMDB), faturalama ve muhasebe sistemleri gibi bilinen bilinen iyi uygulama sunucularını yalıtmak.

Yeni tehdit vektörleri keşfedildice bu iki adım eşzamanlı olarak gerçek zamanlı olarak gerçek zamanlı olarak gerçek zamanlı olarak Tehdit vektörlerini devre dışı bırak ve ardından ağdan ayırmak için bilinen bir iyi sistem bulmaya çalış.

Diğer taktik içeren eylemler şunlar olabilir:

  • Krbtgt parolasını hızlı birşekilde iki kez sıfırlayın. Betikli, yinelenebilir bir işlem kullanmayı göz önünde bulundurarak. Bu betik, krbtgt hesap parolasını ve ilgili anahtarları sıfırlamanıza olanak sağlarken Kerberos kimlik doğrulama sorunlarının bu işlemden kaynaklanma olasılığını en aza indirmeye olanak sağlar. Olası sorunları en aza indirmek için, ilk parola sıfırlama öncesinde krbtgt yaşam süresi bir veya birkaç kez azaltarak bu iki sıfırlamanın hızlı bir şekilde yapılmasını sağlar. Ortamında tutmak istediğiniz tüm etki alanı denetleyicilerinin çevrimiçi olması gerektiğini unutmayın.

  • Grup İlkesi'ni, ayrıcalıklı oturum açmasını engelleyen etki alanlarına (Etki Alanı Yöneticileri) etki alanı denetleyicileri ve yalnızca yönetimli iş istasyonları (varsa) kadar her şeye dağıtın.

  • İşletim sistemleri ve uygulamaları için tüm eksik güvenlik güncelleştirmelerini yükleyin. Her eksik güncelleştirme, maceracıların kolayca belirleyebilir ve yararlanamazları olası bir tehdit vektörüdir. Uç Nokta Tehdit ve Güvenlik Açığı Yönetimi için Microsoft Defender tam olarak nelerin eksik olduğunu ve eksik güncelleştirmelerin olası etkisini görmek için kolay bir yol sağlar.

    • Daha Windows 10 (veya daha yüksek) cihazlar için, geçerli sürümün (veya n-1) her cihazda çalıştır bu sürümün çalışıyor olduğunu onaylayın.

    • Kötü amaçlı yazılım bulaşmasını önlemek için saldırı yüzeyini azaltma (ASR) kuralları uygulayabilirsiniz.

    • Tüm güvenlik Windows 10 etkinleştirin.

  • VPN erişimi de içinde olmak üzere, her dış uygulamaya yönelik çok faktörlü kimlik doğrulaması ile korunarak, tercihen güvenli bir cihazda çalışan bir kimlik doğrulama uygulaması kullanılarak korunan her bir dış uygulama olup dışını kontrol edin.

  • Birincil virüsten koruma yazılımı olarak Uç Nokta için Defender'ı kullanmayan cihazlara, ağa yeniden bağlamadan önce bilinen iyi sistemlerde Microsoft Güvenlik Tarayıcısı ile tam tarama çalıştırın.

  • Eski işletim sistemlerinde, desteklenen bir işletim sistemine yükseltin veya bu cihazları kullanımdan alın. Bu seçenekler kullanılamıyorsa, ağ/VLAN yalıtlığı, İnternet Protokolü güvenliği (IL) kuralları ve oturum açma kısıtlamaları da dahil olmak üzere bu cihazları yalıtmak için mümkün olan her türlü önlemi alır, böylece bunlar yalnızca iş sürekliliği sağlamak için kullanıcılar/cihazlar tarafından uygulamalara erişilebilir.

En riskli yapılandırmalar, eski işletim sistemlerinde 4.0'a kadar eski işletim sistemlerinde ve tüm eski donanımlarda çalışan görev kritik sistemlerinden oluşur Windows NT uygulamalar. Bu işletim sistemleri ve uygulamalar yalnızca güvenli ve korumasız olduğu gibi, bu donanım başarısız olursa, yedekler normal olarak modern donanıma geri yüklenebilir. Eski donanımın değiştirilmesi yoksa bu uygulamalar artık işleve son verir. Bu uygulamaları geçerli işletim sistemlerinde ve donanımda çalıştıracak şekilde dönüştürmeyi kesinlikle göz önünde bulundurabilirsiniz.

Olay sonrası etkinlikler

TABLO, her olaydan sonra aşağıdaki güvenlik önerilerini ve en iyi yöntemleri uygulamayı önermektedir.

  • Saldırganların bunları kötüye kullanmalarını daha zor hale alırken, iç kullanıcıların dış içeriğe kolay ve güvenli bir şekilde erişmelerine olanak sağlamak için e-posta ve işbirliği çözümleri için en iyi uygulamaların yerinde olduğundan emin olun.

  • İç kuruluş kaynaklarına uzaktan erişim çözümleri için Sıfır Güven'in en iyi güvenlik uygulamalarını izleyin.

  • Yöneticileri kritik etkiden başlayarak, parolasız kimlik doğrulaması veya MFA kullanma gibi hesap güvenliği için en iyi yöntemleri izleyin.

  • Ayrıcalıklı erişimin güvenliğini tehlikeye atma riskini azaltmak için kapsamlı bir strateji uygulama.

  • Fidye yazılım tekniklerini engellemek ve saldırıdan hızlı ve güvenilir kurtarmayı onaylamak için veri koruması kullanın.

  • Kritik sistemlerinizi gözden geçirin. Kasıtlı olarak saldırgan silme veya şifrelemeye karşı koruma ve yedeklemeleri kontrol edin. Bu yedeklemeleri düzenli aralıklarla test etmek ve doğrulamak önemlidir.

  • Uç nokta, e-posta ve kimlikte yaygın saldırıların hızlı algılanması ve düzeltilemesinden emin olun.

  • Ortamınız için güvenlik süreklilik mez durumda olduğunu etkin bir şekilde keşfedin ve sürekli geliştirin.

  • Önemli fidye yazılımı etkinliklerini yönetmek ve engellerden kaçınmak için kaynak kullanımınızı kolaylaştırmak için kurumsal süreçleri güncelleştirin.

PAM

PAM (eski adıyla katmanlı yönetim modeli) kullanımı, Azure AD'nin güvenlik yönetimini güçlendirmektedir. Bu şunları içerir:

  • "Planlandı" ortamda yönetim hesaplarını kesebilirsiniz; her düzey için bir hesap, genellikle dört tanedir:

  • Control Plane (eski adı Katman 0): Etki alanı denetleyicilerinin ve Active Directory Federasyon Hizmetleri (ADFS) veya Azure AD gibi diğer önemli kimlik hizmetlerinin yönetimi Bağlan. Bu ayrıca, AD DS üzerinde yönetim izinleri gerektiren, örneğin kimlik Exchange Server.

  • Sıradaki iki uçak daha önce Katman 1'di:

    • Yönetim Uçağını: Varlık yönetimi, izleme ve güvenlik.

    • Veri/İş Yükü Uçağını: Uygulamalar ve uygulama sunucuları.

  • Sıradaki iki uçak daha önce Katman 2' vardı:

    • Kullanıcı Erişimi: Kullanıcılar için erişim hakları (hesaplar gibi).

    • Uygulama Erişimi: Uygulamalar için erişim hakları.

  • Bu uçaklardan her biri, her uçak için ayrı bir yönetim iş istasyonuna sahip olacak ve yalnızca bu uçakların sistemlerine erişebilecek. Diğer uçaklardan gelen diğer uçaklara ait diğer uçaklara, bu makinelere ayarlanmış kullanıcı hakları atamaları aracılığıyla diğer uçaklarda bulunan iş istasyonlarına ve sunuculara erişimi reddedilir.

PAM'nin net sonucu şu şekildedir:

  • Güvenliği tehlikeye atılmış bir kullanıcı hesabının yalnızca ait olduğu uçaklara erişimi olur.

  • Daha hassas kullanıcı hesapları, daha düşük bir uçağın güvenlik düzeyine sahip iş istasyonlarında ve sunucularda oturum açmaz, böylece uzar hareketi azaltabilirsiniz.

TURLAR

Varsayılan olarak, Microsoft Windows AD DS'de iş istasyonlarında ve üye sunucularda yerel yönetim hesaplarının merkezi bir yönetimi yoktur. Bu genellikle tüm bu yerel hesaplar için veya en azından makine gruplarında verilen ortak bir parolanın sonucu olur. Bu, tek bir yerel yönetici hesabının güvenliğini tehlikeye atarak kuruluşta diğer iş istasyonlarına veya sunuculara erişim elde etmek için bu hesabı kullanmasına olanak sağlar.

Microsoft'un LAPS'i, ilke kümesine göre iş istasyonlarında ve sunucularda düzenli aralıklarla yerel yönetim parolasını değiştiren bir Grup İlkesi istemci tarafı uzantısını kullanarak bu etkiyi azaltmak için kullanılır. Bu parolaların her biri farklıdır ve AD DS bilgisayar nesnesinde öznitelik olarak depolanır. Bu öznitelik, o öznitelike atanan izinlere bağlı olarak basit bir istemci uygulamasından alınabilir.

LAPS, ek özniteliğin, LAPS Grup İlkesi şablonlarının yüklenmesine izin verecek şekilde AD DS şemasının ve istemci tarafı işlevselliğini sağlamak için her iş istasyonuna ve üye sunucusuna küçük bir istemci tarafı uzantısının yüklenmesini gerektirir.

LAPS'leri Microsoft İndirme Merkezi'nden edinsiniz.

Olay yanıtı oynatma kitapları

Bu saldırı türlerini belirlemek ve incelemek için kılavuzu incele:

Olay müdahale kaynakları

  • Yeni rol ve deneyimli analistler için Microsoft güvenlik ürünlerine ve kaynaklarına genel bakış
  • Güvenlik İşlemleri Merkezinizi (SOC) planlama
  • Olay yanıt süreci önerileri ve en iyi uygulamalar için işlem
  • Microsoft 365 Defender yanıtı
  • Microsoft Sentinel olayı yanıtı