使用 ATA 调查横向移动路径
适用于:高级威胁分析版本 1.9
即使尽最大努力保护敏感用户,并且你的管理员也有频繁更改的复杂密码、强化的计算机,并且其数据存储安全,但攻击者仍可以使用横向移动路径来访问敏感帐户。 在横向移动攻击中,当敏感用户登录到非敏感用户具有本地权限的计算机时,攻击者会利用实例。 然后,攻击者可以横向移动,访问不太敏感的用户,然后跨计算机移动以获取敏感用户的凭证。
什么是横向移动路径?
横向移动是指攻击者使用非敏感帐户来获取对敏感帐户的访问权限。 可以使用可疑活动指南中所述的方法完成此操作。 攻击者使用横向移动来识别网络中管理员,并了解他们可以访问的计算机。 利用此信息并进一步移动,攻击者可以利用域控制器上的数据。
ATA 允许你在网络上采取抢先操作,以防止攻击者在横向移动中成功。
发现有风险的敏感帐户
若要发现网络中哪些敏感帐户由于与非敏感帐户或资源的连接而易受攻击,请在特定的时间范围内执行以下步骤:
在 ATA 控制台菜单中,选择菜单栏中的报告图标。
在“敏感帐户的横向移动路径”下,如果没有找到横向移动路径,则报告显示灰色。如果存在横向移动路径,则报告日期会在有相关数据时自动现在第一个日期。
选择“下载”。
创建的 Excel 文件提供了有关风险敏感帐户的详细信息。 “摘要”选项卡提供用于详细说明敏感帐户和计算机数量以及风险资源平均值的图形。 “详细信息”选项卡提供应注意的敏感帐户的列表。 请注意,路径是以前存在的路径,目前可能不可用。
调查
现在,你已知道哪些敏感帐户处于危险之中,接下来可以深入 ATA,了解详细信息并采取预防措施。
在 ATA 控制台中,搜索在实体处于横向移动路径 或 时添加到实体配置文件的横向移动锁屏提醒。 如果过去两天内有横向移动路径,则此操作可用。
在打开的用户配置文件页面中,现在“横向移动路径”选项卡。
显示的图形提供了敏感用户可能路径的映射。 该图显示过去两天内已建立的连接。
查看该图,了解有关敏感用户凭据暴露的信息。 例如,在图片中,点击“登录者”灰色箭头,查看 Samira 使用其特权凭证登录的位置。 在这种情况下,Samira 的敏感凭证保存在 REDMOND-WA-DEV 计算机上。 然后,查看哪些其他用户登录了哪些计算机造成了最大的暴露和漏洞。 点击“管理员”黑色箭头可查看谁对该资源拥有管理员权限,从而了解此情况。 在此示例中,Contoso All 组中的每个人都能够从该资源访问用户凭据。
预防性最佳做法
防止横向移动的最佳方式是确保敏感用户仅在登录强化的计算机时使用其管理员凭据,而该计算机没有非敏感用户在同一台计算机上具有管理员权限。 在此示例中,确保 Samira 需要 REDMOND-WA-DEV 的访问权限,则他们使用管理员凭据以外的用户名和密码登录,或者从 REDMOND-WA-DEV 上的本地管理员组中删除 Contoso All 组。
同时,建议确保没有人拥有不必要的本地管理权限。 在此示例中,检查查看 Contoso All 中的所有人是否确实需要 REDMOND-WA-DEV 上的管理员权限。
确保人员只能获得必要的资源访问权限。 在此示例中,Oscar Posada 显著扩大了 Samira 的曝光率。 它们是否必须包含在 Contoso All 组内? 是否可以创建子组以实现曝光率的最小化?
提示
如果未在最近两天内检测到活动,则不会显示图形,但仍然可以获取横向移动路径报告,以提供有关过去 60 天内横向移动路径的信息。
提示
有关如何将服务器设置为允许 ATA 执行横向移动路径检测所需的 SAM-R 操作的指令,请参阅配置 SAM-R。