如何保护您的公司免受流氓管理员的侵害

不久前，我记录了有史以来最臭名昭著的“黑客”事件之一。一位名叫杰森·考尼什的绅士让盐野木制药公司屈服了。简而言之，他和他的朋友看到事情对他们不利，决定报仇。他们更改了一个帐户，允许自己从公司网络外部访问，进入并删除了数十个系统（所有系统都是虚拟机）。实际上，他们破坏了公司几天开展业务的能力，导致近百万美元的收入损失。

了解流程

遗憾的是，这本来是可以避免的。在这篇博客中，我打算演示如何使用一些内置工具来提供帮助。首先，我在这里做出两个重大假设。一是我们拥有良好的变革管理系统。必须有人提出要求，必须通过董事会寻求批准，一旦获得批准，就会做出改变。我的第二个假设是，一旦做出更改，我们就有一个验证过程，这就是 AD 本机审核的用武之地。

此屏幕截图是我的测试实验室中的 Active Directory 用户 OU。

我突出显示了 Kevin Riley，因为我将使他成为“域管理员”组的成员。这将是一个很大的危险信号，我将收到一封有关此事件的电子邮件。

• 首先，我们必须了解该过程如何运作。当某人被添加到域管理员组时，应获得批准，并且 IT 团队应收到 Kevin 现在拥有管理员权限的通知。 大多数票务系统都允许您内置“批准”功能。它不必比下拉菜单更复杂，允许负责批准它的个人（顺便说一句，只有那个人有权将他或她的名字添加到框中）这样做。与此票证相关的任何内容（电子邮件等）都将成为票证的一部分。这使我们能够了解整个过程中每一步发生的情况，并确保流程得到遵守。

• 相关问题如下：“审批流程真的有助于防止未经授权的变更吗？如何防止流氓管理员的攻击？ 这就是变更监控的用武之地。在 Kevin 的例子中，功能由流程控制。但是，如果有人只是给了他权利（无意或有意），我想知道。

• 为了理解这个过程，我们必须寻找事件。每当有人添加到某些组（例如域管理员）时，就会触发一个关键事件。您要查找的神奇事件 ID 是 4732。这些事件仅登录域控制器，因此我将转到域控制器。

• 既然我知道了，我该如何处理该信息呢？首先，我需要了解域管理员是一个安全组。理论上，每次我将某人添加到该组时，都会生成该事件。

然而，如果我没有办法观看它，它对我并没有多大好处。

在域控制器内构建警报

我可以购买可以为我执行此操作的内部威胁检测软件，但我更喜欢在域控制器内构建自己的警报。

为此，请执行以下操作：

1. 转到开始 > 附件 > 系统工具 > 任务计划程序。
2. 单击“创建基本任务”。
3. 给任务命名并描述它应该做什么（这样如果你被公共汽车撞了，有人知道它的作用）。

4. 指定触发器，在本例中为事件。

5.填写您需要的信息。

6. 选择要执行的操作。在这种情况下，我希望它给我发送一封电子邮件。

7. 输入所需信息。我保持简单。

现在，我听到的关于这样做（或任何类型的实时警报）的唯一主要反对意见是它会产生太多垃圾，而且确实如此。然而，这一切都归结为这一点：如果您期待这种变化，那么忽略它是安全的。如果你不是，你最好提出问题。

有很多商业软件可以为您做同样的事情，并为您完成很多繁琐的工作。这使得投资其中一个商业软件包非常值得。

您应该注意的另一件事是不活跃的帐户。大多数人会认为 30 天内未登录的人处于不活跃状态。询问为什么帐户上没有任何活动应该开始引导您走向正确的方向。让我们看看一些可能的答案：

• 该人已不再在公司工作，不知何故，您错过了停用他们的机会。
• 他们因为产假、病假、假期或任何原因而外出，而你不知何故错过了这一点。
• 它是一个服务帐户（您应该有一个服务帐户列表 - 越少，您就越容易跟踪）。
• 还有其他事情正在发生。

使用 PowerShell 脚本

您可以使用从域控制器内部运行的简单 Powershell 命令：

Search-ADAccount-AccountInactive-TimeSpan60-UsersOnly|Where-Object{$_.Enabled-eq$true}|Format-TableName,UserPrincipalName | Export-CSV FileName.csv -NoTypeInformation

您可以将天数更改为您需要的任何数字。

请注意，我让它以 CSV 文件形式向我发送一份报告。这对于审计目的非常有用，更不用说证明我需要对该帐户执行的任何操作（例如开立票证并将其删除）。

部署专业工具

您可以部署专业工具 将报告发送给您的员工，而不是使用 PowerShell 脚本。 -邮件。在下面的屏幕截图中（我使用 Netwrix Auditor for Active Directory），我们看到对 Domain Admins 组进行了更改，并对 Kevin Riley 的帐户进行了另一项更改：

另一份报告显示，长时间未登录的用户，其账户已被禁用：

这也有助于向审计人员表明我们正在采取措施保护网络免受未经授权的访问。

这些方法会阻止 Jason Cornish 和他的公司吗？或许。有一点是肯定的：如果采取了一些简单的保护措施，他们更有可能在黑客攻击发生之前就被阻止。