跳過主内容

如何使用 Microsoft 365 Defender 防範橫向移動攻擊

第一版的《防堵傳遞雜湊攻擊和其他認證竊取》(Mitigating Pass-the-Hash Attacks and Other Credential Theft) 白皮書推出至今已有 10 年之久,但直到現在,這些技巧仍可派上用場,畢竟,這些技巧有助於防範攻擊者在網路中占有一席之地,並運用認證傾印工具,自本機記憶體擷取密碼雜湊、使用者認證,或 Kerberos 票證1。只要握有這些工具,攻擊者就能在網路中橫向移動,進而取得更高特殊權限的帳戶認證。上述種種行為的目的,都在於實現其終極目標:存取您的敏感企業資料、Active Directory (AD) 資料庫,以及重要企業應用程式等。

這篇部落格文章將探討防堵橫向移動的三大基本措施,以及Microsoft 365 Defender 如何協助您的團隊實現每個防堵措施的最大效益

  1. 限制特殊權限網域帳戶。
  2. 使用管理員權限限制和保護本機帳戶。
  3. 使用 Windows Defender Firewall 限制輸入流量。

1.限制特殊權限網域帳戶

劃分特殊權限網域帳戶的作業,可透過實作分層模型來完成。分層模型可將您的 AD 環境劃分為三個具備不同權限和存取的不同層級,進而協助防堵認證竊取。建立各自獨立的層級,可切斷從標準使用者工作站前往應用程式伺服器或網域控制器的橫向移動。這表示,如果標準使用者帳戶的機器遭到入侵,而且攻擊者取得了密碼雜湊,對方將無法通往更敏感的帳戶和伺服器。這三個層級會使用 0 到 2 進行區分,而 0 為受到最多限制的層級:

  • 第 0 層:此一層級的所有帳戶和伺服器皆為網域管理員,或者可直接取得網域管理員權限。伺服器的範例包括:網域控制器、AD 伺服器,以及第 0 層伺服器上所執行的應用程式和代理程式所適用之任何管理伺服器。帳戶若要被視為第 0 層,就不得擔任網域管理員的成員;具備任何第 0 層伺服器或應用程式的特殊存取權限 (透過存取控制清單和使用者權限指派等方式),也會導致帳戶被歸類在第 0 層。
  • 第 1 層:在多數情況下,第 1 層將包含大多數的業務關鍵應用程式。此一層級的所有帳戶和伺服器,都會執行企業應用程式,或在執行應用程式的伺服器上具有權限。其範例包括:檔案共用、應用程式伺服器,以及資料庫伺服器。
  • 第 2 層:凡是部署於前面兩個層級的任何帳戶或機器,皆隸屬這個層級。一般使用者工作站和標準使用者帳戶也位於這個層級內。
圖 1:Active Directory 的分層模型。

為了讓分層模型發揮預期作用,不同的層級必須完全隔離開來。只要建立群組原則物件 (GPO) 來拒絕跨層級的登入,即可達成此一目的。任何帳戶都無法跨越層級界線。舉例來說,第 0 層的管理者將無法存取第 1 層或第 2 層機器。如果認證被公開給另一個層級,則該帳戶的密碼必須重設。

使用特殊權限存取工作站 (PAW, Previledged Access Workstations),也有助於防堵橫向移動。原因在於,任一層級中的帳戶只能登入隸屬相同層級的電腦,因此,網域中具備多個帳戶的使用者必須使用不同的電腦。第 0 層使用者僅應使用 PAW 存取第 0 層資產。不過,擁有第 0 層帳戶的人員,不應使用相同的機器來查看其電子郵件或生產力應用程式 (隸屬第 2 層活動)。

注意:所有使用者仍可具備較高層級的讀取權,因為這對 AD 驗證和使用者的應用程式存取而言至關重要。

如同先前所述,如果攻擊者可擷取路徑中任何帳戶的認證,就能進行橫向移動,進而取得敏感帳戶的認證。遏止在環境中進行任何橫向移動的其中一個方法,就是使用Microsoft Defender for IdentityMicrosoft Defender for Identity可將帳戶工作階段、機器上的本機管理員,以及群組成員資格的資料相互關聯,以避免發生上述情況,並快速識別每個敏感帳號的任何橫向移動路徑。如果攻擊者可擷取路徑中任何帳戶的認證,即可進行橫向移動,進而取得敏感帳戶的認證。

圖 2:適用於身分識別的 Microsoft Defender 入口網站之橫向移動路徑檢視。

根據預設,Microsoft Defender for Identity會將特定群組及其成員劃分至敏感類別,同時提供功能,以便在需要的時候,將更多帳戶和群組新增至類別中。此舉的目的,在於透過移除本機管理員、拒絕存取或分隔帳戶等方式,破除可能的攻擊路徑 (請參閱圖 2)。

2.使用管理員權限限制和保護本機帳戶

本機管理存取權限極有可能開啟擷取認證和橫向移動的可能性,進而讓本機管理員淪為攻擊者的主要目標。更糟糕的是,本機管理員的管理和監控作業經常遭到忽視。許多時候,組織中所有機器的本機管理員密碼,只會在作業系統部署期間設定一次,這也包括管理員本身使用的機器。如果不同用戶端機器上的本機管理員密碼並未進行隨機處理,攻擊者就能竄改某個機器上的本機帳戶密碼,並自動取得網路內所有用戶端機器的管理員層級存取權限。

好在,易於部署的 Microsoft 本機系統管理員密碼解決方案 (LAPS, Local Admin Password Solution) 工具,可將本機帳戶的密碼管理作業完全自動化。只要在機器上加以安裝,LAPS 就能將本機管理員帳戶密碼設為隨機字串,並將其寫入至 AD 中對應電腦帳戶的機密屬性內。在部署期間,您的團隊可指定要管理的電腦,以及哪些使用者可自 AD 擷取密碼 (例如,讓服務台團隊存取用戶端電腦的認證)。

Microsoft Defender for Identity 會追蹤端點上的 LAPS 設定,而且可透過 [弱點管理] > [安全性建議] 加以存取。

圖 3:Microsoft 365 Defender 入口網站中的 LAPS 安全性建議頁面。

如需裝置的詳細報告,請在進階搜捕中執行下列查詢:

DeviceTvmSecureConfigurationAssessment

| where ConfigurationId == “scid-84”

| where OSPlatform == “Windows10”

| where IsCompliant == 0

| project DeviceName, OSPlatform

在Microsoft Defender for Identity整合下,類似的報告也可透過 Microsoft Defender for Cloud Apps 取得。該報告也會突顯未於過去 60 天內更新其 LAPS 密碼的電腦物件,進而透過 AD 的觀點追蹤 LAPS 部署。因此,這兩份報告可用來交叉檢查 LAPS 部署狀態。

適用於端點的 Defender 客戶可檢視監控中所有活動,並針對可疑的本機系統管理員帳戶行為設定自訂偵測。舉例來說,下列查詢可偵測本機管理員的網路使用量

DeviceLogonEvents

| where AccountSid endswith ‘-500’ and parse_json(AdditionalFields).IsLocalLogon != true

| join kind=leftanti IdentityLogonEvents on AccountSid // Remove the domain’s built-in admin account

您的團隊也可將 [本機帳戶與 Administrators 群組的成員] (S-1-5-114) 實體新增至 [拒絕從網路存取這台電腦] GPO 設定中,藉此封鎖本機管理員帳戶透過網路進行的存取。此舉可讓攻擊者更難以橫向移動,同時將可能存在於機器上的任何額外本機管理員帳戶納入管理,畢竟,LAPS 只能涵蓋單一裝置上的單一帳戶。

3.使用 Windows Defender Firewall 限制輸入流量

我們的經驗顯示,上方提供的最後一項防堵措施經常遭到忽略。只要移除從任一電腦連至另一電腦的能力,即可輕鬆實作這項防堵措施,並透過簡單且完善的方式提高攻擊者橫向移動的難度。

主機架構的防火牆向來以難以管理著稱,不過,使用 Windows Defender 防火牆封鎖 Windows 用戶端上的輸入流量,則一點也不難。多數連接用戶端和伺服器的應用程式,都會從用戶端啟動網路通訊,而伺服器預期不會啟動任何輸入連線。不過,這項防堵措施若要發揮效用,就必須將 Windows Defender 防火牆設定成封鎖所有的輸入連線 (除非特別機經過任一規則允許)。這對停用本機防火牆規則合併而言至關重要,原因在於:如果不這麼做,此一防堵措施的效果勢必會大打折扣。如需 Windows Defender 防火牆設定的詳細資訊,請參閱《防堵傳遞雜湊攻擊》白皮書1,以了解 GPO 方法,或請參閱 Microsoft Intune 說明文件

圖 4:用來防堵橫向移動的 Windows Defender 防火牆設定。

完成初始設定後的一大要務,就是識別是否有任何應用程式遭到忽略,且未收到接受輸入連線的例外狀況。此時,適用於端點的 Defender 可大舉擴充防火牆監控和回報功能,進而為您代勞。當 Windows Defender 防火牆設為封鎖測試裝置群組上的輸入連線時,您的團隊就能輕鬆著手分析防火牆記錄,以找出任何設定錯誤。

Microsoft 365 Defender 入口網站[報告] 區段會提供內建的防火牆報告,當中將隨附所有必要資訊。每個報告區段都包含一個 [進階搜捕] 按鈕,可用來顯示相關查詢,並讓您深入探索資料。

圖 5:Microsoft 365 Defender 入口網站 [報告] 頁面中鎖定多個電腦的遠端 IP 報告。
這個範例中最相關的報告,就是 [鎖定多個電腦的遠端 IP]。現有查詢可輕鬆調整為僅包含測試裝置:

DeviceEvents

| where DeviceName in (“testdevice1.contoso.com”, “testdevice2.contoso.com”)

| where ActionType == “FirewallInboundConnectionBlocked”

| summarize ConnectionsBlocked = count() by RemoteIP

| sort by ConnectionsBlocked

當查詢回傳的 IP 位址已通過驗證,並確認為需要對用戶端電腦進行輸入存取的合法應用程式 (例如遠端管理軟體或任何點對點應用程式) 後,防火牆設定就能做出調整,進而將這些 IP 位址視為排除項目。如需享有額外的報告彈性,也可將 Power BI 防火牆報告連至適用於端點的 Defender。

深入了解

Microsoft 深信,本文概要說明的各項防堵措施都可大幅改善您的安全態勢,並減少您環境中的橫向移動威脅。在此一過程中,Microsoft 365 Defender 將可助您一臂之力。

如需深入了解 Microsoft 安全性解決方案,請前往我們的網站。歡迎將安全性部落格加入書籤中,一手掌握 Microsoft 專家所提供的安全性建議。此外,也請透過 @MSFTSecurity 關注我們,以獲得網路安全的最新消息和更新資訊。

1防堵傳遞雜湊攻擊和其他認證竊取》(Mitigating Pass-the-Hash Attacks and Other Credential Theft),Microsoft,2014 年 7 月 7 日。

網路安全性Microsoft 安全性專家

更多故事