Active Directory (AD) và các kỹ thuật tấn công AD

Active Directory (AD) là một dịch vụ thư mục được Microsoft phát triển cho các mạng sử dụng Windows domain. Dịch vụ này được bao gồm trong hầu hết các hệ điều hành Windows Server dưới dạng tập hợp các quy trình và dịch vụ. Ban đầu, Active Directory chỉ phụ trách quản lý tên miền tập trung, bắt đầu với Windows Server 2008.

Aug 16, 2023 - 18:16
Aug 17, 2023 - 01:09
 357
Active Directory (AD) và các kỹ thuật tấn công AD

Active Directory là gì?

Active Directory lưu trữ thông tin về các đối tượng trên mạng và giúp cho các quản trị viên và người dùng dễ dàng tìm và sử dụng thông tin đó. Active Directory sử dụng một kho lưu trữ dữ liệu có cấu trúc làm cơ sở cho việc tổ chức logic, phân cấp của thông tin thư mục.

Một thư mục là một cấu trúc phân cấp lưu trữ thông tin về các đối tượng trên mạng. Một dịch vụ thư mục, như Active Directory Domain Services (AD DS), cung cấp các phương thức để lưu trữ dữ liệu thư mục và cung cấp dữ liệu đó cho người dùng và quản trị viên mạng.

Các đối tượng Active Directory có thể là người dùng, máy tính, ứng dụng, máy in hoặc thư mục được chia sẻ. Các đối tượng có thể chứa các đối tượng khác (đó là lý do tại sao bạn sẽ thấy AD được mô tả là "hierarchical").

Các dịch vụ chính của Active Directory bao gồm:

  • Xác thực và cấp phép: Active Directory xác thực người dùng và cấp cho họ quyền truy cập vào các tài nguyên mạng.

  • Quản lý người dùng: Active Directory cho phép quản trị viên quản lý người dùng, bao gồm việc tạo, sửa đổi và xóa người dùng.

  • Quản lý máy tính: Active Directory cho phép quản trị viên quản lý máy tính, bao gồm việc thêm, xóa và di chuyển máy tính.

  • Quản lý ứng dụng: Active Directory cho phép quản trị viên quản lý ứng dụng, bao gồm việc cài đặt, gỡ cài đặt và cấu hình ứng dụng.

  • Quản lý tài nguyên: Active Directory cho phép quản trị viên quản lý tài nguyên mạng, bao gồm việc tạo, sửa đổi và xóa tài nguyên.

Cách thức hoạt động

AD sử dụng Giao thức truy cập thư mục hạng nhẹ (LDAP) để liên lạc giữa các miền và bộ điều khiển miền. LDAP là một giao thức dịch vụ thư mục cho phép quản lý các dịch vụ thư mục phân tán qua mạng IP. Ngoài ra, AD sử dụng Kerberos, một giao thức xác thực an toàn để xác thực qua mạng. Điều này đảm bảo rằng chỉ những người dùng và máy tính được ủy quyền mới có thể truy cập tài nguyên mạng, do đó tăng cường bảo mật mạng.

Để quản lý tài nguyên mạng hiệu quả, Active Directory sử dụng Đối tượng Chính sách Nhóm (GPO). GPO được sử dụng để kiểm soát và thực thi các chính sách bảo mật, triển khai phần mềm và các tác vụ quản trị khác trên mạng. AD cũng cung cấp hỗ trợ cho các cuộc gọi thủ tục từ xa (RPC), cho phép quản lý tài nguyên mạng từ xa. Điều này đảm bảo rằng quản trị viên mạng có thể quản lý hiệu quả tài nguyên mạng từ một vị trí tập trung, bất kể vị trí của tài nguyên đó.

Rủi ro bảo mật

Active Directory không tránh khỏi các cuộc tấn công và các cuộc tấn công vào AD có thể dẫn đến hậu quả tai hại cho mạng. Các cuộc tấn công Active Directory thành công bao gồm ba bước chính: khám phá, leo thang đặc quyền thông qua hành vi trộm cắp thông tin xác thực tài khoản hợp lệ và giành quyền truy cập vào các máy tính khác trong mạng/miền. Sau khi những kẻ tấn công giành được chỗ đứng trong mạng mục tiêu, chúng sẽ ngay lập tức chuyển trọng tâm sang giành quyền truy cập nâng cao vào các hệ thống bổ sung sẽ giúp chúng hoàn thành mục tiêu cuối cùng, chẳng hạn như mã hóa và lấy cắp dữ liệu của tổ chức.

Việc nhân viên sử dụng rộng rãi và dễ dàng truy cập vào tài nguyên khiến các tổ chức gặp khó khăn trong việc gỡ bỏ Active Directory (AD) đã lỗi thời và áp dụng các giải pháp thay thế an toàn hơn như Microsoft Azure Active Directory (AAD). Quá trình chuyển đổi sang AAD giải quyết một số hạn chế của AD bằng cách tự động hóa các tác vụ quản trị như quản lý người dùng và phân công thành viên nhóm để cải thiện hiệu quả. Tuy nhiên, những rủi ro bảo mật tương tự vẫn xảy ra, vì sự xâm phạm cơ sở hạ tầng nhận dạng có thể gây ra hậu quả nghiêm trọng. Kẻ thù cũng có thể khai thác Microsoft Endpoint Manager để di chuyển ngang từ đối tượng thuê Azure sang miền AD tại chỗ, tạo đường dẫn tấn công giữa các môi trường quản lý danh tính riêng biệt.

Không thể phóng đại tầm quan trọng của bảo mật Active Directory và các tổ chức phải chuẩn bị các kế hoạch khắc phục thảm họa và giám sát thận trọng để ngăn chặn các cuộc tấn công trước khi hệ thống bị hỏng hoặc không thể sửa chữa được. Lựa chọn giữa AD và AAD phần lớn sẽ phụ thuộc vào nhu cầu và nguồn lực của tổ chức, nhưng rủi ro thỏa hiệp vẫn tồn tại bất kể lựa chọn nào. Việc sử dụng Active Directory một cách an toàn và hiệu quả đòi hỏi sự hiểu biết rõ ràng về các rủi ro tiềm ẩn và cam kết tuân thủ các quy trình và thực hành bảo mật.

Các kỹ thuật tấn công Active Directory

  • Sử dụng xác thực thay thế (T1550)
  • Tấn công Kerberoasting
  • Tấn công Golden Ticket
  • Tấn công DCShadow
  • Tấn công LDAP injection
  • Tấn công PetitPotam NTLM Relay

Các bài viết theo sẽ bàn sâu hơn về các chiến lược khai thác, công cụ sử dụng, phát hiện và giảm thiểu tấn công Active Directory.

Cảm xúc của bạn?

like

dislike

love

funny

angry

sad

wow

Chung Đinh QTV: Cộng đồng Quản Trị & Bảo Mật Hệ Thống. Mình sẽ luôn cố gắng phát triển cộng đồng theo tinh thần học hỏi và chia sẻ.