Per saperne di più sulla sicurezza di Active Directory, la modernizzazione di AD, il rilevamento e la risposta alle minacce all'identità (ITDR) e altro ancora.
Parte di un elenco di controllo degli accessi (ACL), una voce di controllo degli accessi (ACE) definisce chi ha accesso a una risorsa e quali operazioni può eseguire. Gli ACE non configurati in modo appropriato possono portare all'accesso non autorizzato alle risorse o all'escalation dei privilegi.
Vedi anche: elenco di controllo degli accessi (ACL)
Un elenco di controllo degli accessi (ACL) è un elenco di voci di controllo degli accessi (ACE) che si applicano a un oggetto AD (ad esempio, un utente, un gruppo o un oggetto computer). Ogni ACE in una ACL identifica un fiduciario e specifica i diritti di accesso consentiti, negati o verificati per quel fiduciario. Le ACL non correttamente configurate possono causare accessi non autorizzati o l'esposizione dei dati.
Vedi anche: voce di controllo degli accessi (ACE)
Un token di accesso è un token di sicurezza che contiene identificatori di sicurezza (SID) di utenti e gruppi. I diritti dell'utente e alcuni SID di gruppo del token possono essere utilizzati per l'autorizzazione. Se i token di accesso vengono dirottati o manipolati, un aggressore può impersonare un utente o aumentare i privilegi.
In un attacco di persistenza ACL, un avversario manipola l'elenco di controllo degli accessi discrezionali (DACL) di un oggetto Active Directory per mantenere determinati privilegi o autorizzazioni. Questo attacco consente all'aggressore di persistere nella rete anche dopo che il vettore di intrusione iniziale è stato risolto.
Active Directory (AD) è un servizio di directory sviluppato da Microsoft per le reti di dominio Windows. AD utilizza una memorizzazione gerarchica e strutturata dei dati per i servizi e i componenti. AD è utilizzato principalmente per memorizzare oggetti come utenti, gruppi e computer, consentendo la gestione di queste risorse, comprese le loro autorizzazioni. AD esegue l'autenticazione degli utenti e controlla l'accesso alle risorse e ai dati di un'organizzazione. Oltre il 90% delle organizzazioni utilizza AD, Azure AD o una combinazione dei due (AD ibrido) come soluzione di identità principale. L'AD è spesso un obiettivo per i cyberattaccanti a causa del suo ruolo centrale nella gestione della rete. Impostazioni AD errate sono state sfruttate in numerosi attacchi di alto profilo.
Active Directory Administrative Center (ADAC) è una console di gestione di Windows Server che utilizza un modello di amministrazione basato sulle attività per gestire utenti, gruppi, computer e altri oggetti in un dominio.
Gli attacchi agli ambienti AD seguono tipicamente un determinato percorso: spostamento laterale tra i sistemi, escalation dei privilegi, inserimento di malware o ransomware sui controller di dominio, determinazione della persistenza, esfiltrazione dei dati e (nel caso del ransomware) detonazione/cifratura. Pertanto, la sicurezza dell'AD dipende dalla difesa in ogni fase di questo ciclo di vita: prima, durante e dopo un tentativo di attacco informatico.
Vedi anche: catena di morte cibernetica, dominio
Un backup specifico di Active Directory separa i componenti di AD (ad esempio, database, registri, hives di registro) dai backup delle unità di sistema di una macchina fisica o virtuale, comprese le applicazioni, i sistemi operativi e così via. I backup specifici per AD consentono all'organizzazione di ripristinare rapidamente AD in modo sicuro e privo di malware o ransomware. Al contrario, il ripristino dello stato del sistema o del bare metal può reintrodurre malware nascosto nei backup.
Vedere anche: ripristino dello stato del sistema
Active Directory Certificate Services (AD CS) fornisce soluzioni di controllo dell'identità e dell'accesso per un'organizzazione. Se un aggressore compromette AD CS, può emettere certificati fraudolenti, provocando attacchi man-in-the-middle o altre attività non autorizzate.
Per il 90% delle organizzazioni aziendali, Active Directory controlla l'accesso a tutti gli utenti, i sistemi e le risorse. Se AD non funziona, non funziona nulla. Il ripristino di AD dopo un attacco informatico o un altro disastro è il passo più importante per ripristinare le operazioni e dimostrare la resilienza informatica.
Active Directory Domain Services (AD DS) è la funzione principale di AD. AD DS fornisce i metodi per memorizzare i dati della directory e renderli disponibili agli utenti e agli amministratori della rete. Una compromissione di AD DS può portare all'accesso non autorizzato alle risorse di rete.
Il modulo PowerShell di Active Directory Domain Services (ADDS) fornisce una raccolta di cmdlet che consentono di utilizzare PowerShell per gestire e amministrare vari aspetti di AD, come utenti, gruppi, computer e unità organizzative.
Active Directory Federation Services (ADFS) è un componente software sviluppato da Microsoft. ADFS può essere eseguito su sistemi operativi Windows Server per fornire agli utenti un accesso single sign-on a sistemi e applicazioni situati oltre i confini dell'organizzazione. Se non adeguatamente protetto, ADFS può essere un bersaglio di attacchi che mirano a ottenere un accesso non autorizzato.
Semperis ADFR è una soluzione di backup e ripristino creata appositamente per il ripristino di Active Directory in caso di disastri informatici. Semperis ADFR automatizza completamente il processo di ripristino della foresta AD, riduce i tempi di inattività, elimina il rischio di reinfezione da malware e consente di effettuare analisi forensi post violazione.
L'hardening di Active Directory prevede tecniche pratiche per proteggere l'ambiente AD. AD svolge un ruolo fondamentale nell'infrastruttura IT e garantisce l'armonia e la sicurezza delle diverse risorse di rete in un ambiente globale e interconnesso.
Nessuna organizzazione con un'infrastruttura IT è immune da attacchi, ma politiche, processi e controlli appropriati possono aiutare a proteggere i segmenti chiave dell'infrastruttura informatica dell'organizzazione, compreso AD. L'hardening di AD può aiutare a evitare che una violazione o un'altra minaccia cresca fino a compromettere completamente l'ambiente informatico.
Valutare regolarmente il rischio e lo stato di salute dell'Active Directory dell'azienda è un passo importante per ridurre la superficie di attacco dell'AD. Una solida soluzione di valutazione della sicurezza dell'AD come Purple Knight è in grado di fornire un elenco di raccomandazioni prioritarie, specifiche per l'infrastruttura implementata, per migliorare la salute dell'AD.
Active Directory Lightweight Directory Services (AD LDS), precedentemente noto come Active Directory Application Mode (ADAM), è un servizio di directory Lightweight Directory Access Protocol (LDAP) che fornisce un supporto flessibile per le applicazioni abilitate alla directory. AD LDS può essere utilizzato per creare una directory separata per le applicazioni che richiedono l'autenticazione e le informazioni sugli utenti senza dover creare account utente aggiuntivi nell'AD DS principale. Ad esempio, un'applicazione web può utilizzare AD LDS per archiviare i profili utente e le informazioni sul controllo degli accessi separatamente dall'Active Directory principale, riducendo la superficie di attacco e i potenziali rischi per la sicurezza. Le istanze AD LDS in esecuzione su un server possono comportare ulteriori rischi per la sicurezza, in quanto potrebbero essere sfruttate per ottenere un accesso non autorizzato alle informazioni.
Active Directory Migration Tool (ADMT) è un'utility Microsoft che consente agli amministratori di migrare gli oggetti (ad esempio, account utente, gruppi di sicurezza e computer) da un dominio Active Directory Domain Services (AD DS) a un altro, spesso durante un progetto di ristrutturazione o consolidamento.
Vedi anche: Servizi di dominio di Active Directory (AD DS)
I cyberattaccanti che riescono a violare l'ambiente di un'organizzazione cercano tipicamente di ottenere privilegi in Active Directory nel tentativo di accedere a dati e risorse. Una volta ottenuto un punto d'appoggio, gli attori delle minacce lo usano per aumentare la loro portata, idealmente fino a compromettere un account amministrativo. Questo aumento dell'accesso è noto come escalation dei privilegi.
Il ripristino di AD ripristina ogni dominio della foresta allo stato in cui si trovava al momento dell'ultimo backup attendibile. Il ripristino di Active Directory dal backup o la reinstallazione di AD Domain Services su ogni controller di dominio in una foresta può essere un'operazione lunga e complicata. Tuttavia, il ransomware che blocca o corrompe AD rende necessario questo passaggio.
Se abbinata a un backup specifico per AD, una soluzione di ripristino di AD che automatizzi le fasi del processo di ripristino può ridurre significativamente i tempi di inattività di AD. Ad esempio, Semperis Active Directory Forest Recovery accelera il ripristino delle foreste AD fino al 90%.
Il Cestino di Active Directory (AD Recycle Bin) è una funzionalità di AD che consente di ripristinare gli oggetti eliminati senza riavvio, interruzione del servizio o ripristino da backup. Se non adeguatamente protetto, il cestino AD può essere sfruttato per ripristinare account o gruppi dannosi eliminati.
Active Directory Replication Status Tool (ADREPLSTATUS) è uno strumento diagnostico che fornisce informazioni dettagliate sullo stato della replica per i controller di dominio all'interno di una foresta AD. ADREPLSTATUS aiuta a identificare i problemi di replica e a risolverli.
Active Directory Rights Management Services (AD RMS) è una tecnologia Microsoft che utilizza la crittografia e una forma di negazione selettiva delle funzionalità per limitare l'accesso a documenti quali e-mail aziendali, documenti Word e pagine Web.
Una valutazione del rischio di Active Directory cerca indicatori di esposizione (IOE) o indicatori di compromissione (IOC) per determinare il rischio dell'organizzazione durante un attacco informatico o un altro evento catastrofico. Una solida valutazione del rischio fornisce indicazioni specifiche e attuabili per aiutarvi a mitigare i rischi di sicurezza per l'AD e per la vostra organizzazione.
Vedi anche: Controllo dello stato di salute di Active Directory, indicatori di compromissione, indicatori di esposizione
Poiché Active Directory viene utilizzata per configurare le autorizzazioni e l'accesso alla rete, è un obiettivo primario per i cyberattaccanti. Anni di crescita, fusioni e così via spesso portano a una "strisciata di configurazione" e a configurazioni errate che lasciano AD aperta agli attacchi. La chiusura delle falle di sicurezza in AD è quindi una parte importante della strategia generale di cybersecurity di un'organizzazione.
Una valutazione dell'ambiente AD di un'organizzazione per aiutarla a identificare, quantificare e ridurre i rischi che interessano l'AD. L'analisi genera un elenco di problemi da risolvere e può anche offrire indicazioni per la correzione e best practice per migliorare le prestazioni o la sicurezza dell'infrastruttura AD.
Vedere anche: Audit della sicurezza di Active Directory
Il processo di raccolta dei dati sugli oggetti e gli attributi AD e l'analisi e il reporting di tali dati per determinare lo stato generale della directory, l'adeguatezza dei controlli di sistema, la conformità con le politiche e le procedure di sicurezza stabilite, le eventuali violazioni dei servizi di sicurezza e le modifiche indicate per le contromisure.
L'audit della sicurezza AD aiuta a rilevare e a rispondere alle minacce interne, all'abuso di privilegi e ad altri indicatori di esposizione (IOE) o di compromissione (IOC), rafforzando così la postura di sicurezza.
Vedi anche: Valutazione della sicurezza di Active Directory
Gli indicatori di sicurezza AD rientrano in diverse categorie:
Soluzioni come Semperis Purple Knight e Directory Services Protector ( DSP) utilizzano questi indicatori per aiutare le organizzazioni a identificare i vettori di attacco che gli attori delle minacce possono utilizzare per accedere all'ambiente AD. Queste vulnerabilità possono portare a un'escalation di privilegi ed eventualmente alla distribuzione di malware.
Active Directory Service Interfaces (ADSI) è un insieme di interfacce COM utilizzate per accedere alle funzionalità dei servizi di directory di diversi fornitori di rete. ADSI è un'interfaccia programmatica per AD che consente agli sviluppatori di eseguire operazioni comuni come l'aggiunta di nuovi utenti. I cyberattaccanti possono utilizzare ADSI per manipolare le voci della directory.
Lo snap-in Active Directory Service Interfaces Editor (ADSIEdit) di Microsoft Management Console (MMC) funge da editor di basso livello per Active Directory. ADSIEdit consente di accedere alle proprietà degli oggetti che non sono esposte in altre interfacce AD, offrendo una visione dettagliata di ogni oggetto e attributo in una foresta AD.
Active Directory Sites and Services (ADSS) è uno snap-in di Microsoft Management Console (MMC) utilizzato per amministrare la replica dei dati della directory tra tutti i siti di una foresta AD. Configurazioni errate possono influire sulle prestazioni di AD e causare la replica di dati di sicurezza errati.
I trust di Active Directory (AD trust) consentono agli utenti di un dominio AD di accedere alle risorse di un altro dominio AD. Gestite con attenzione le relazioni di trust per evitare l'escalation involontaria dei privilegi o l'esposizione delle risorse.
Active Directory Users and Computers (ADUC) è uno snap-in di Microsoft Management Console (MMC) che consente agli amministratori di gestire gli account utente e vari altri oggetti in AD. Un utilizzo non corretto può portare all'assegnazione involontaria di privilegi o all'esposizione di dati.
Una valutazione delle vulnerabilità nell'ambiente Active Directory dell'organizzazione può aiutare a identificare, quantificare e ridurre i rischi per la sicurezza e la configurazione di AD. Tali analisi generano un elenco di problemi da risolvere e possono anche offrire una guida alla correzione e best practice per migliorare le prestazioni o la sicurezza dell'infrastruttura AD.
Vedi anche: Valutazione della sicurezza di Active Directory
Active Directory Web Services (ADWS) è un servizio web ospitato sui controller di dominio con Windows Server 2008 R2 e successivi. ADWS fornisce un protocollo per accedere e gestire i servizi di directory attraverso i protocolli web standard HTTP e HTTPS.
Add-ADComputer è un cmdlet PowerShell che può essere utilizzato per creare un nuovo oggetto computer in Active Directory. Se utilizzato in modo improprio, questo cmdlet può portare alla creazione di account di computer non autorizzati, potenzialmente utilizzati per la persistenza o il movimento laterale.
Add-ADComputerServiceAccount è un cmdlet PowerShell che può essere utilizzato per aggiungere un account di servizio a un oggetto computer in AD. Un utente malintenzionato che comprometta questo cmdlet può associare account di servizio a sistemi non previsti, ottenendo potenzialmente privilegi non autorizzati.
Add-ADGroupMember è un cmdlet PowerShell che può essere utilizzato per aggiungere uno o più utenti, gruppi, account di servizio o computer a un gruppo AD. L'uso improprio di questo cmdlet può portare a un'escalation di privilegi non autorizzata.
Add-ADPrincipalGroupMembership è un cmdlet PowerShell che può essere utilizzato per aggiungere un utente, un gruppo, un account di servizio o un computer a uno o più gruppi AD. Se utilizzato in modo scorretto, questo cmdlet può garantire l'accesso alle risorse da parte di un utente malintenzionato.
Add-ADUser è un cmdlet PowerShell che può essere utilizzato per creare un nuovo oggetto utente in Active Directory.
L'Address Resolution Protocol (ARP) viene utilizzato per mappare un indirizzo IP a un indirizzo fisico (MAC) su una rete locale. Sebbene non sia specifico dell'AD, lo spoofing delle risposte ARP è un vettore di attacco comune negli ambienti LAN.
Parte della suite Sysinternals di Microsoft, ADExplorer è uno strumento legittimo utilizzato per visualizzare la struttura e gli oggetti di Active Directory e modificarli. Gli aggressori possono utilizzare questo strumento per esplorare le strutture di AD, analizzare gli oggetti, le autorizzazioni e altro ancora.
ADfind è uno strumento a riga di comando sviluppato da Joe Richard (DS-MVP) per interrogare Active Directory.
Il tiering amministrativo aiuta un'organizzazione a proteggere meglio il proprio ambiente digitale definendo tre o più livelli di accesso alle risorse e ai sistemi. Questa stratificazione crea zone cuscinetto che separano l'amministrazione di risorse ad alto rischio o di valore, come i controller di dominio Active Directory.
AdminSDHolder è un oggetto di Active Directory che contiene il descrittore di sicurezza per gli oggetti che sono membri di gruppi privilegiati. Il processo SDProp assicura che gli elenchi di controllo degli accessi (ACL) degli oggetti protetti siano sempre coerenti con l'oggetto AdminSDHolder. Un oggetto AdminSDHolder compromesso può portare a un attacco SDProp.
Adprep è uno strumento a riga di comando utilizzato per preparare una foresta o un dominio per un aggiornamento di Windows Server. Adprep esegue gli aggiornamenti dello schema e dell'infrastruttura necessari per supportare la nuova versione di Windows Server.
ADRecon è uno strumento che raccoglie informazioni su AD e genera un report in grado di fornire un quadro olistico dello stato attuale dell'ambiente AD di destinazione. I cyberattaccanti possono utilizzare ADRecon per la ricognizione e l'identificazione di potenziali vulnerabilità.
La gestione avanzata dei Criteri di gruppo (AGPM), una funzionalità di Microsoft Desktop Optimization Pack (MDOP), consente di migliorare il controllo e la gestione degli Oggetti Criteri di gruppo (GPO). AGPM include funzionalità per il monitoraggio delle versioni, la delega basata sui ruoli e l'approvazione delle modifiche.
Il principio di sicurezza Anonymous Logon consente l'accesso anonimo a determinati servizi su una macchina. Nel contesto di AD, l'accesso anonimo rappresenta le connessioni di utenti che non presentano un set di credenziali valido. Questo può rappresentare un rischio per la sicurezza e spesso viene limitato o disabilitato.
Active Directory utilizza una partizione della directory delle applicazioni per contenere i dati specifici di una determinata applicazione o servizio, come ad esempio il DNS. Se non è adeguatamente protetta, questa partizione può essere sfruttata da entità dannose per la persistenza o l'estrazione dei dati.
Gli oggetti di Active Directory hanno attributi che definiscono le caratteristiche dell'oggetto (ad esempio, numero di telefono dell'utente, nome del gruppo). La manipolazione degli attributi può talvolta portare ad attività non autorizzate o alla divulgazione di informazioni.
I criteri di audit definiscono i tipi di eventi di sicurezza da registrare nel registro di sicurezza sui controller di dominio e sui computer. Un criterio di audit inadeguato potrebbe non rilevare i tentativi di intrusione o altre attività dannose.
Il processo di autenticazione convalida le credenziali di una persona, di un processo informatico o di un dispositivo. L'autenticazione di Active Directory consiste nel dimostrare l'identità di un utente che accede a un ambiente AD e, se compromessa, può portare ad accessi non autorizzati.
Un ripristino autoritario aggiorna i controller di dominio esistenti con i dati ripristinati, che poi vengono replicati a tutti gli altri DC in un ambiente multi-DC.
Vedi anche: ripristino non autorevole
Il processo di autorizzazione, che determina quali permessi e diritti ha un utente autenticato, segue il processo di autenticazione. In AD, l'autorizzazione è spesso gestita attraverso l'appartenenza a un gruppo. Configurazioni di autorizzazione non corrette possono portare ad accessi non autorizzati o all'escalation dei privilegi.
Vedi anche: autenticazione
La classe ausiliaria è una classe opzionale dello schema AD che può essere utilizzata per estendere gli attributi di altre classi. Una configurazione errata delle classi ausiliarie può portare a vulnerabilità di sicurezza.
La disponibilità è uno dei tre pilastri della sicurezza delle informazioni (insieme alla riservatezza e all'integrità). La disponibilità si riferisce alla capacità di accedere alle risorse come previsto. Nel contesto di Active Directory, la disponibilità può riguardare la resilienza dei controller di dominio e dell'infrastruttura di rete che supporta AD.
Microsoft Azure Active Directory (Azure AD o AAD, ora rinominato Entra ID) è il servizio di gestione delle identità e degli accessi (IAM) basato sul cloud di Microsoft. Azure AD aiuta le organizzazioni a gestire e proteggere l'accesso alle applicazioni, ai dati e alle reti sia nel cloud che in sede. Nel contesto della cybersecurity, i cyberattaccanti spesso prendono di mira Azure AD per ottenere un accesso non autorizzato o un'escalation di privilegi, utilizzando tattiche quali attacchi con password spray, consent phishing o sfruttando configurazioni errate nelle policy di sicurezza e nei controlli di accesso. Pertanto, la protezione di Azure AD è fondamentale.
Sebbene Azure AD condivida parte del nome con l'AD on-premises, ha un modello di sicurezza completamente diverso. Se la vostra organizzazione utilizza Microsoft 365, utilizza anche Azure AD.
Azure Active Directory join (Azure AD join) è un processo che registra un dispositivo a uno specifico tenant di Azure AD, consentendo al dispositivo di essere gestito e protetto tramite criteri e servizi basati sul cloud.
Un attributo back link è un tipo di attributo nello schema di una foresta di Active Directory. Questo attributo è collegato a un attributo forward link. Insieme, vengono utilizzati per creare e gestire gli attributi collegati.
Il processo BackSync replica gli oggetti e le proprietà a un server del catalogo globale da un controller di dominio all'interno dello stesso dominio.
L'attributo BadPasswordTime di un oggetto utente AD registra l'ora dell'ultimo tentativo di accesso non riuscito.
L'attributo BadPwdCount di un oggetto utente AD tiene traccia dei tentativi di password errati. Questo attributo può essere monitorato per rilevare potenziali attacchi brute force.
Un BMR ripristina un backup dello stato del sistema più tutti i dati non utente sui volumi critici del server. Trattandosi di una versione estesa di un backup dello stato del sistema, un BMR è soggetto alle stesse restrizioni (stesso hardware, residenza di malware) di un backup dello stato del sistema.
Vedere Backup di Active Directory (backup AD)
Una ricerca LDAP inizia con il DN di base. Questo DN può essere un potenziale punto di partenza per un aggressore con accesso non autorizzato per iniziare a esplorare la struttura di Active Directory.
Base64 è uno schema di codifica da binario a testo. Nel contesto di Active Directory, alcuni attributi, come userPhoto, sono codificati in Base64.
Best Practice Analyzer (BPA) è uno strumento di gestione del server disponibile in Windows Server. BPA può aiutare l'amministratore a ridurre le violazioni delle best practice analizzando un ruolo AD DS e segnalando quando un ruolo non è conforme alle best practice.
Un BLOB è una raccolta di dati binari memorizzati come entità singola in un database, compreso Active Directory. I BLOB sono in genere immagini, audio o altri oggetti multimediali, ma a volte anche il codice binario eseguibile può essere memorizzato come BLOB.
Nel contesto di Active Directory, il binding è il processo di creazione di una connessione al servizio di directory, che può essere utilizzato per eseguire operazioni. Se gli aggressori riescono a collegarsi ad Active Directory, possono iniziare a eseguire query e potenzialmente apportare modifiche, se le autorizzazioni lo consentono.
BitLocker è una funzione di crittografia dell'intero volume inclusa nelle versioni di Microsoft Windows da Windows Vista in poi. BitLocker è progettato per proteggere i dati fornendo la crittografia di interi volumi. Se un malintenzionato ottiene l'accesso fisico a un server, BitLocker può impedire l'accesso non autorizzato ai dati memorizzati al suo interno.
Se questa chiave di recupero per la crittografia dell'unità BitLocker è compromessa, un utente malintenzionato potrebbe decifrare un'unità crittografata con BitLocker.
BitLocker To Go estende la protezione dei dati BitLocker alle unità rimovibili, come i dischi rigidi esterni e le unità flash USB. Queste unità possono essere bloccate e sbloccate solo con una password, una smart card o una chiave di recupero.
BlackCat/ALPHV è il primo malware di alto profilo scritto in Rust, un moderno linguaggio di programmazione multipiattaforma. In grado di compromettere i sistemi operativi basati su Windows e Linux, BlackCat opera come ransomware as a service (RaaS) di ALPHV, un gruppo di cyberattaccanti di lingua russa. Utilizza credenziali utente compromesse per ottenere l'accesso iniziale ai sistemi mirati e poi sfrutta tale accesso per compromettere ulteriormente gli account utente e amministratore in Active Directory (AD). Gli attacchi BlackCat utilizzano spesso una tattica di tripla estorsione, che prevede richieste di riscatto individuali per la decrittografia dei file infetti, la non pubblicazione dei dati rubati e il non lancio di attacchi denial-of-service (DoS).
Una blacklist è un controllo di sicurezza di base in cui un elenco di indirizzi IP, utenti, computer e così via viene bloccato o negato l'accesso. Nel contesto di Active Directory, una blacklist può aiutare a proteggere la directory da entità dannose conosciute.
BloodHound è uno strumento di ricognizione AD. BloodHound visualizza gli ambienti AD, evidenziando le relazioni che possono essere sfruttate per l'escalation dei privilegi. Viene spesso utilizzato negli attacchi di minacce persistenti avanzate (APT).
Vedi anche: Attacchi di BloodHound
Un utente malintenzionato può utilizzare BloodHound, uno strumento in grado di mappare le relazioni AD, per comprendere la struttura dell'ambiente AD di un'organizzazione e pianificare gli attacchi sulla base delle informazioni.
Vedi anche: Cane da sangue
Nei test di cybersecurity, il blue team è il gruppo di persone responsabili dell'analisi e della messa in sicurezza di un sistema informativo, dell'identificazione delle vulnerabilità e delle falle di sicurezza e della difesa dell'ambiente da potenziali aggressori (cioè il red team).
Vedi anche: squadra rossa
BlueKeep è una vulnerabilità di esecuzione di codice remoto (RME) che si diffonde attraverso le reti di computer come worm. BlueKeep è emerso nel 2019 come una minaccia per le vecchie versioni del sistema operativo Microsoft Windows. Microsoft ha risposto rilasciando patch per i sistemi operativi non supportati a rischio di sfruttamento da parte di BlueKeep. Tuttavia, questo tipo di minaccia evidenzia l'importanza di disporre di un processo di ripristino temprato per rispondere rapidamente in caso di compromissione di Active Directory e di altri servizi di rete cruciali.
La replica bootstrap è la replica iniziale dei dati quando un nuovo controller di dominio viene aggiunto a un dominio.
Un server bridgehead è il punto di contatto per la replica tra i siti di una foresta Active Directory. Se un aggressore compromette un server bridgehead, può potenzialmente manipolare i dati di replica.
Il termine BYOD si riferisce ai dipendenti che portano sul posto di lavoro i propri dispositivi informatici, come smartphone, laptop e PDA, per utilizzarli e connetterli. Il BYOD può porre problemi di sicurezza per Active Directory se non viene gestito e controllato correttamente.
Il processo di visualizzazione degli oggetti all'interno di Active Directory. Un aggressore in grado di sfogliare la directory può iniziare a tracciare la struttura e i dettagli dell'ambiente AD.
Il termine built-in si riferisce ai gruppi e agli account utente predefiniti che vengono creati automaticamente quando si installa Active Directory Domain Services (AD DS). A questi gruppi e account vengono assegnate autorizzazioni e diritti predefiniti; è quindi importante rivedere questi valori predefiniti per assicurarsi che siano in linea con i criteri di sicurezza dell'organizzazione.
Un contenitore incorporato è un contenitore speciale di Active Directory che esiste nel contesto di sicurezza del controller di dominio locale. Questo contenitore contiene gruppi locali al controller di dominio e viene creato per impostazione predefinita quando si installa AD.
Un processo che consente di importare grandi quantità di dati in Active Directory, spesso utilizzando strumenti come CSVDE. Se un aggressore riesce a manipolare questo processo, può potenzialmente creare numerose voci dannose in AD.
Un Business Continuity Plan (BCP) è un documento che delinea come un'azienda continuerà a operare durante un'interruzione non pianificata del servizio. Nel contesto di Active Directory, un BCP può includere piani per il ripristino del servizio dopo un'interruzione o un attacco grave.
Cain & Abel è uno strumento di recupero delle password per i sistemi operativi Microsoft. Questo strumento consente di recuperare facilmente vari tipi di password attraverso lo sniffing della rete, la decifrazione di password criptate mediante dizionario, forza bruta e attacchi di crittoanalisi.
Un nome canonico è il nome DNS di un oggetto in Active Directory e viene utilizzato per fare riferimento agli oggetti negli script o in altre attività di amministrazione programmatica.
In Active Directory, un criterio di accesso centrale (CAP) è un insieme di regole che si possono applicare a più server in un dominio per controllare l'accesso ai file. Queste regole fanno parte del Controllo accesso dinamico (DAC) di Windows Server.
Un elenco di revoca dei certificati (CRL) è un elenco di certificati digitali che sono stati revocati dall'autorità di certificazione (CA) emittente prima della data di scadenza prevista. È fondamentale tenere aggiornato questo elenco in un ambiente AD per mantenere l'integrità delle comunicazioni sicure.
Certificate Services è un ruolo di server che consente all'organizzazione di emettere e gestire certificati digitali che possono essere utilizzati per comunicazioni sicure e altre funzioni di sicurezza all'interno di Active Directory.
Un dominio figlio in una struttura multidominio di Active Directory rientra in un dominio padre. Il dominio figlio condivide lo spazio dei nomi del dominio padre e le relazioni di fiducia vengono stabilite automaticamente tra loro.
Il tipo di richiesta rappresenta un aspetto dell'identità di un utente, come l'appartenenza a un gruppo, e viene utilizzato nel Controllo dinamico degli accessi (DAC) per le decisioni di autorizzazione. Una configurazione errata dei tipi di richiesta può portare all'escalation dei privilegi o all'accesso non autorizzato.
L'autenticazione basata su rivendicazioni è un processo in cui un utente ottiene un token firmato digitalmente da una fonte affidabile e lo presenta a un sistema. Il sistema può quindi convalidare il token e utilizzare le informazioni in esso contenute (ad esempio, nome utente, ruolo) per identificare l'utente.
Gli utenti eseguono le applicazioni sulle workstation, note anche come macchine client. Se una workstation è collegata a una rete, gli utenti possono usufruire dei servizi forniti dai server. I computer client in genere non memorizzano i dati a livello locale, ma ricevono i dati richiesti dai server eseguendo applicazioni client-server.
I servizi cloud sono disponibili su Internet da un provider di cloud computing. Sebbene non siano specifici per Active Directory, molte organizzazioni utilizzano servizi cloud come Azure Active Directory in combinazione o in alternativa al loro AD on-premises.
L'attacco ransomware Colonial Pipeline del 2021 è uno degli attacchi alle infrastrutture critiche più noti della storia recente. L'attacco Colonial Pipeline ha dimostrato l'importanza di mantenere una solida postura di sicurezza di Active Directory.
Un file CSV (comma separated value) memorizza dati tabellari. I file CSV non adeguatamente protetti possono causare perdite di dati, soprattutto quando vengono utilizzati per importare o esportare dati in blocco da Active Directory.
CSVDE è uno strumento per importare ed esportare i dati di Active Directory. I file CSV (Comma separated value) possono essere manipolati e, se non convalidati correttamente, possono causare l'importazione o l'esportazione di dati errati, con conseguenti minacce per la sicurezza.
Un nome comune (CN) è il nome di un oggetto in Active Directory e deve essere unico all'interno del suo contenitore. Il CN fa parte del nome distinto (DN) dell'oggetto, che identifica univocamente un oggetto nella directory LDAP. Ad esempio, "cn=Daniel Petri,ou=Engineering,dc=semperis,dc=com".
Questa operazione di manutenzione riduce le dimensioni del file del database (NTDS.DIT). Questa operazione richiede un accesso con privilegi elevati e, se utilizzata in modo improprio, può portare ad attacchi Denial of Service (DoS).
In Active Directory, un oggetto computer è una rappresentazione di un computer che fa parte del dominio. Contiene vari attributi del computer, come il nome, le impostazioni di sicurezza e l'associazione con account o gruppi di utenti.
Nel contesto di Active Directory, un'espressione condizionale può riferirsi a dichiarazioni condizionali in un Oggetto Criteri di Gruppo (GPO) o all'interno di uno script o strumento utilizzato per la gestione di AD.
Il contenitore Configuration di Active Directory contiene informazioni sulla struttura logica della foresta, compresi i dettagli su siti, servizi e partizioni della directory. Questi dati vengono replicati a tutti i controller di dominio di una foresta. Dal punto di vista della cybersecurity, le modifiche non autorizzate al contenitore di configurazione potrebbero causare problemi di replica, avere un impatto sulle prestazioni della rete o alterare il comportamento dei servizi che si basano su queste informazioni. Pertanto, l'accesso alla modifica del contenitore Configuration deve essere strettamente controllato e monitorato.
In Active Directory, un contenitore è un oggetto che può contenere altri oggetti AD, come account utente, gruppi e persino altre unità organizzative (UO). Ai contenitori non possono essere applicate politiche di gruppo. Anche le OU sono contenitori e possono contenere gli stessi oggetti, oltre ad altre OU, e possono avere criteri di gruppo applicati.
Un menu contestuale in un'interfaccia grafica utente (GUI) appare in seguito a un'interazione dell'utente, ad esempio un'operazione del mouse con il tasto destro del mouse. In Active Directory Users and Computers (ADUC), i menu contestuali offrono varie opzioni come la reimpostazione delle password, lo spostamento di oggetti o l'avvio della replica.
Le operazioni di creazione, lettura, aggiornamento e cancellazione (CRUD) sono le funzioni fondamentali eseguite in qualsiasi sistema di database, compreso Active Directory.
Il roaming delle credenziali è una funzione di Active Directory che consente di copiare e trasferire in modo sicuro le credenziali e i certificati degli utenti su più dispositivi. Il roaming delle credenziali aiuta a gestire le identità digitali tra diversi sistemi.
Le credenziali sono il nome utente e la password che un utente fornisce per autenticarsi. Se le credenziali non sono adeguatamente protette, possono essere prese di mira in attacchi di credential stuffing o brute-force.
È possibile creare una relazione di fiducia interforestale tra due foreste di Active Directory. Questa relazione consente agli utenti di una foresta di accedere alle risorse dell'altra foresta, ampliando la collaborazione e mantenendo i confini della sicurezza.
Un oggetto di riferimento incrociato è un oggetto della partizione di configurazione che associa un contesto di denominazione a un server di directory. Un aggressore che comprometta questo oggetto può causare problemi di replica e portare a dati di sicurezza non aggiornati.
Il cross-site scripting è un tipo di vulnerabilità di sicurezza che non è specifica di Active Directory, ma può potenzialmente colpire qualsiasi interfaccia basata sul Web utilizzata per l'amministrazione di AD se l'interfaccia non convalida correttamente l'input.
La crittografia è la pratica e lo studio delle tecniche di comunicazione sicura. In Active Directory, la crittografia viene utilizzata in diversi ambiti, tra cui LDAP sicuro, l'autenticazione Kerberos e l'Encrypting File System (EFS).
La cyber kill chain è un quadro che delinea le fasi di un attacco informatico. In genere si ritiene che abbia sette fasi:
In ambienti ibridi e multi-cloud, Semperis supporta l'integrità e la disponibilità dei servizi di directory aziendali critici in ogni fase della catena di cyber-kill.
La guerra informatica è una serie di attacchi informatici ai sistemi informatici critici di un Paese, di uno Stato o di un'organizzazione. Uno degli esempi più famosi è NotPetya, un malware che ha avuto origine in Russia nel 2017, ha preso di mira l'Ucraina e si è rapidamente diffuso in tutto il mondo con effetti devastanti.
"NotPetya ha inaugurato un'era completamente nuova della guerra informatica e AD è nel suo mirino", ha dichiarato Mickey Bresman, CEO di Semperis. "I programmi di cybersecurity, grandi e piccoli, sono in prima linea in una nuova guerra che non ha praticamente confini né regole di ingaggio. Se pensiamo agli ospedali che non possono accedere ai loro sistemi per salvare una vita, o alle città che vengono prese in ostaggio, abbiamo la responsabilità di aiutare le organizzazioni a riprendere il controllo".
Un cyberattacco è un tentativo malevolo di ottenere un accesso non autorizzato alle risorse del sistema informatico allo scopo di rubare, alterare, esporre e distruggere dati o interrompere le operazioni. I sistemi di identità come Active Directory sono un obiettivo primario per i cyberattaccanti. Per questo motivo, Gartner e altre società di analisi hanno sottolineato che le organizzazioni hanno bisogno di soluzioni di sicurezza e ripristino specifiche per AD per proteggere adeguatamente i loro ambienti AD ibridi.
La Cybersecurity and Infrastructure Security Agency (CISA) è un'agenzia del Dipartimento di Sicurezza Interna degli Stati Uniti che ha il compito di rafforzare la sicurezza informatica e le infrastrutture contro le minacce.
Un attacco backdoor di tipo DACL (Discretionary Access Control List) prevede che un aggressore aggiunga una voce alla DACL di un oggetto. In questo modo, l'aggressore ottiene determinate autorizzazioni o diritti su quell'oggetto senza dover compromettere un account con tali diritti.
Un attacco informatico che si verifica con lo scopo di rubare o esporre informazioni riservate, sensibili o protette a una persona non autorizzata.
In un attacco DCShadow, un avversario modifica lo schema di Active Directory registrando un controllore di dominio non autorizzato. L'attaccante può quindi propagare le modifiche di replica dannose ai controller di dominio effettivi.
Gli attacchi DCSync sfruttano la funzione di replica di Active Directory, utilizzando Directory Replication Services (DRS) per impersonare e richiedere i dati delle password da un controller di dominio (DC). L'attacco può essere utilizzato per "estrarre" efficacemente gli hash delle password da un DC, senza bisogno di eseguire codice sul DC stesso. Questo tipo di attacco è in grado di eludere i metodi tradizionali di auditing e rilevamento.
La difesa in profondità utilizza molteplici misure di sicurezza in un approccio a più livelli per proteggere un'organizzazione dagli attacchi informatici.
Vedi anche: difesa a strati.
La delega Kerberos è una funzione che consente a un servizio di impersonare un utente ad altri servizi. Se configurata in modo improprio, può essere sfruttata da un aggressore per aumentare i privilegi o muoversi lateralmente attraverso la rete.
Vedi anche: Kerberos
Semperis Directory Services Protector ( DSP) è l'unica soluzione di rilevamento e risposta alle minacce all'identità (ITDR) che fornisce un'unica visione delle vulnerabilità di sicurezza negli ambienti ibridi Active Directory/Azure AD. Con DSP è possibile correlare le modifiche tra l'AD on-premise e l'Azure AD, rilevare gli attacchi avanzati, automatizzare la correzione delle modifiche sospette e ridurre al minimo la superficie di attacco dell'AD.
Le foreste di Active Directory spesso contengono molteplici rischi per la sicurezza, che vanno dagli errori di gestione alle vulnerabilità non risolte. Con l'accesso ad AD o ad Azure AD, gli attori delle minacce possono ottenere il dominio sull'intera infrastruttura. I cyberattaccanti prendono di mira AD per elevare i privilegi e ottenere la persistenza nell'organizzazione. Per difendere l'AD, gli amministratori devono sapere in che modo gli aggressori prendono di mira l'ambiente e quali vulnerabilità potrebbero sfruttare.
Vedi anche: Escalation dei privilegi di Active Directory, indicatori di compromissione, indicatori di esposizione
Active Directory si basa in larga misura sul DNS per la risoluzione dei nomi e la localizzazione dei servizi. Gli attacchi DNS, come il DNS spoofing o il DNS poisoning, possono reindirizzare o manipolare le richieste DNS, causando l'accesso non autorizzato o l'interruzione dei servizi AD.
I membri del gruppo DnsAdmins hanno accesso alle informazioni DNS di rete. Questo gruppo esiste solo se il ruolo di server DNS è o era installato su un controller di dominio nel dominio. Gli aggressori che ottengono l'accesso a questo gruppo possono utilizzarlo per compromettere Active Directory.
Un utente malintenzionato appartenente al gruppo DNSAdmins può caricare una DLL arbitraria nel servizio DNS, che viene eseguito con privilegi a livello di sistema, ottenendo così l'escalation dei privilegi.
Se un aggressore ottiene il controllo non autorizzato di un controller di dominio (DC), può manipolare gli oggetti di Active Directory, modificare le autorizzazioni, creare backdoor o eseguire altre azioni dannose che compromettono l'intera infrastruttura AD.
Durante un attacco informatico, gli attori delle minacce cercano spesso di accedere ad Active Directory. Tale accesso può consentire agli aggressori di ottenere privilegi amministrativi e potere finale sui domini Active Directory e quindi su tutte le applicazioni e i dati che si basano su Active Directory.
Vedi anche: Ciclo di vita dell'attacco ad Active Directory, cyber kill chain
In un ambiente con più domini di fiducia, un utente malintenzionato con accesso di amministrazione a un dominio di livello di fiducia inferiore può sfruttare la relazione di fiducia per ottenere l'accesso a un dominio di livello di fiducia superiore.
Il Local Security Authority Subsystem Service (LSASS) memorizza le credenziali in memoria che possono essere scaricate ed estratte da un utente malintenzionato. A questo scopo vengono spesso utilizzati strumenti come Mimikatz.
Le autorizzazioni effettive sono un insieme di autorizzazioni concesse a un utente o a un gruppo in base a una combinazione di autorizzazioni esplicite ed ereditate. La comprensione dei permessi effettivi è fondamentale per l'auditing della sicurezza e la valutazione dei rischi.
I privilegi elevati sono autorizzazioni di livello superiore, in genere privilegi amministrativi, concessi a un account utente. Un aggressore che ottiene privilegi elevati può causare danni significativi o violazioni dei dati.
Framework di post-exploitation in PowerShell e Python, Empire offre una serie di strumenti per l'exploit dei sistemi Windows. Tra le sue capacità vi sono funzioni per la raccolta di credenziali, la creazione di backdoor e la creazione di persistenza in un ambiente AD.
Questo cmdlet PowerShell viene utilizzato per attivare un account utente disabilitato in Active Directory. Un uso improprio può riattivare account dannosi precedentemente disabilitati.
Questa funzione di Windows consente la crittografia e la decrittografia trasparente dei file utilizzando algoritmi crittografici avanzati e standard. Sebbene EFS possa migliorare la sicurezza dei dati, deve essere gestito correttamente per evitare accessi non autorizzati o perdite di dati.
La crittografia è il processo di conversione dei dati in una forma codificata per impedire l'accesso non autorizzato. AD utilizza la crittografia in varie forme per le comunicazioni sicure, come i ticket Kerberos o le connessioni LDAPS.
La protezione degli endpoint è la pratica di proteggere gli endpoint o i punti di ingresso dei dispositivi degli utenti finali, come desktop, laptop e dispositivi mobili, dallo sfruttamento da parte di attori e campagne dannose. Se gestiti in modo improprio, gli endpoint infetti possono compromettere la sicurezza dell'AD.
Questo gruppo di alto livello in AD ha il pieno controllo su tutte le risorse dell'intera foresta. Il gruppo Enterprise Admins è un obiettivo di alto valore per gli aggressori, poiché la compromissione di un account Enterprise Admins può portare all'acquisizione completa del dominio.
Una directory comune, come Microsoft Active Directory, consente un ambiente più sicuro per gli utenti della directory e aspettative comuni sul ruolo che la directory può fornire sia agli utenti che alle applicazioni. Una risorsa di directory aziendale comune facilita l'accesso alle risorse informatiche in base ai ruoli.
L'EMM è un insieme di servizi e tecnologie progettati per proteggere i dati aziendali sui dispositivi mobili dei dipendenti. L'EMM viene utilizzato insieme ad AD per la gestione delle identità e degli accessi.
L'enumerazione è il processo di estrazione di informazioni dettagliate sugli oggetti all'interno di AD. L'enumerazione incontrollata può portare alla divulgazione di informazioni che potrebbero aiutare un aggressore.
L'escalation dei privilegi (o privilege escalation) è un tipo di intrusione in rete che sfrutta errori di programmazione o difetti di progettazione per garantire all'intruso un accesso elevato alla rete e ai dati e alle applicazioni associate. In un contesto AD, un aggressore in grado di sfruttare configurazioni errate o vulnerabilità per aumentare i propri privilegi può potenzialmente ottenere il pieno controllo del dominio.
Ethernet è una famiglia di tecnologie di rete per computer comunemente utilizzate nelle reti locali (LAN), nelle reti metropolitane (MAN) e nelle reti geografiche (WAN). Ethernet è stata introdotta sul mercato nel 1980 e da allora è stata perfezionata per supportare velocità di trasmissione più elevate e distanze di collegamento maggiori. Oggi Ethernet è la tecnologia di rete locale più diffusa. I cavi Ethernet, come Cat 5e e Cat 6, sono comunemente utilizzati nelle reti cablate. Le ultime versioni di Ethernet possono supportare velocità di trasferimento dati fino a 400 gigabit al secondo.
I registri degli eventi sono registrazioni di incidenti significativi in un sistema operativo o in un altro software. Nel contesto dell'AD, il monitoraggio dei registri eventi può aiutare a rilevare incidenti di sicurezza o configurazioni problematiche. Tuttavia, alcuni attacchi sono progettati per eludere la registrazione degli eventi.
Questo snap-in di Microsoft Management Console (MMC) fornisce una vista dei registri eventi di Windows. Gli amministratori utilizzano Event Viewer per monitorare, gestire e risolvere i problemi all'interno di AD e questo strumento è fondamentale per identificare i segni di potenziali attacchi informatici.
Exchange Server è la piattaforma Microsoft per la posta elettronica, il calendario, i contatti, la pianificazione e la collaborazione, distribuita sul sistema operativo Windows Server per l'uso in un ambiente aziendale o di grandi dimensioni. Exchange Server interagisce con AD per le informazioni sugli utenti e l'autenticazione.
L'appartenenza esplicita a un gruppo si verifica quando un utente o un gruppo viene aggiunto direttamente a un gruppo AD, anziché ottenere l'appartenenza attraverso gruppi annidati. La comprensione delle appartenenze esplicite e implicite (annidate) ai gruppi è importante per la gestione delle autorizzazioni e dei controlli di accesso.
Questa impostazione dei Criteri di gruppo consente l'esportazione delle impostazioni di utenti e computer. L'abilitazione di questa funzionalità può costituire un problema di sicurezza se non è adeguatamente controllata, in quanto può portare all'esposizione di informazioni di configurazione sensibili.
L'EPA è una funzione di sicurezza che migliora la protezione e la gestione delle credenziali di autenticazione quando vengono trasmesse in rete. Questa tecnologia è stata progettata per contrastare gli attacchi man-in-the-middle (MitM), che rubano o manipolano le credenziali durante la trasmissione. L'abilitazione dell'APE può migliorare la sicurezza dei protocolli utilizzati per la comunicazione e lo scambio di dati. Ad esempio, se utilizzato con LDAP, l'APE può impedire attacchi come il relaying NTLM.
I diritti estesi sono un insieme di autorizzazioni non standard che possono essere concesse a un preside di sicurezza. I diritti estesi forniscono diritti di accesso di controllo specifici all'oggetto a cui sono applicati. Una configurazione errata dei diritti estesi può portare a vulnerabilità di sicurezza.
Uno schema esteso è uno schema AD modificato o esteso con attributi o classi aggiuntive, in genere per supportare applicazioni di terze parti. Tuttavia, modifiche improprie possono causare problemi di funzionalità o vulnerabilità di sicurezza.
XML è un linguaggio di markup che definisce un insieme di regole per la codifica dei documenti in un formato leggibile sia dall'uomo che dalla macchina. Nel contesto di Active Directory, l'XML può essere utilizzato in molti modi, come la creazione di script personalizzati per operazioni specifiche, la definizione delle impostazioni dei Criteri di gruppo o la formattazione dei rapporti sui dati.
Questa tecnologia di archiviazione dati ISAM basata su Jet (precedentemente nota come Jet Blue) è utilizzata in Active Directory ed Exchange Server. Il motore di database ESE consente di archiviare e recuperare i dati in modo rapido ed efficiente, utilizzando un accesso indicizzato e sequenziale.
Un trust esterno è un tipo di trust in Active Directory che viene definito manualmente e non si estende oltre due domini. I rischi per la sicurezza possono derivare da trust configurati in modo improprio, in quanto possono consentire l'accesso non autorizzato attraverso i domini.
Una extranet è una rete privata controllata che consente l'accesso a partner, venditori e fornitori o a un gruppo autorizzato di clienti, in genere a un sottoinsieme di informazioni accessibili dalla intranet di un'organizzazione. In relazione all'AD, un'autenticazione e un'autorizzazione adeguate sono essenziali per proteggere le risorse extranet.
Il failback è il processo di ripristino di un sistema o di un altro componente di un sistema allo stato originale dopo un failover.
In Active Directory, il failover si riferisce al processo con cui i servizi di rete vengono spostati su un server di standby in caso di guasto del server primario. È una parte fondamentale per garantire l'alta disponibilità.
Il clustering di failover è una tecnologia di Windows Server che consente di creare e gestire cluster di failover, che forniscono un'elevata disponibilità per i servizi di rete e le applicazioni.
Questa funzione di rete consente a un computer di condividere file di dati e stampanti collegate con altri computer e dispositivi in rete.
FRS è un servizio di Microsoft Windows Server per la distribuzione di file condivisi e di Group Policy Objects (GPO). FRS è stato sostituito da Distributed File System Replication (DFSR) nelle nuove versioni di Windows Server.
La sicurezza del file system riguarda i controlli di accesso e le autorizzazioni assegnate a file e directory. In un contesto Active Directory, la sicurezza del file system si riferisce spesso alle autorizzazioni impostate tramite gli oggetti Criteri di gruppo.
Gli attributi FAS non vengono replicati ai controller di dominio di sola lettura (RODC).
Nel contesto di Active Directory, il filtraggio viene utilizzato per limitare gli oggetti o gli attributi su cui agisce un'operazione di replica o di query. Un filtraggio improprio può portare a una replica inefficiente o a risultati di query imprecisi, con ripercussioni sulle prestazioni ed eventuali dati errati.
In Windows Server 2008 e versioni successive, questi criteri consentono di specificare più criteri di password all'interno di un singolo dominio. In questo modo, è possibile applicare restrizioni diverse per i criteri di blocco delle password e degli account a diversi gruppi di utenti nel dominio.
FOCA è uno strumento utilizzato per trovare metadati e informazioni nascoste nei documenti. FOCA può essere utilizzato per estrarre informazioni da file pubblici ospitati sul sito web di un'azienda, fornendo agli aggressori informazioni sulla struttura interna di un ambiente AD.
Questo dispositivo di sicurezza di rete monitora il traffico di rete in entrata e in uscita e decide se consentire o bloccare un traffico specifico in base a un insieme definito di regole di sicurezza.
Le impostazioni e le regole che determinano come il firewall gestirà il traffico in entrata e in uscita. Le configurazioni errate possono lasciare le porte aperte per essere sfruttate dagli aggressori, rendendo il firewall un aspetto critico della sicurezza di rete.
Le eccezioni del firewall sono configurazioni che consentono al traffico di rete specifico di aggirare i controlli di sicurezza, spesso necessari per il corretto funzionamento di determinate applicazioni o servizi in rete.
I criteri che regolano il funzionamento di un firewall. Queste regole possono definire i tipi di traffico consentiti o bloccati dal firewall e la destinazione del traffico. La corretta configurazione e gestione delle regole del firewall è fondamentale per mantenere la sicurezza della rete.
Un nome piatto è il nome NetBIOS del dominio e può essere diverso dal nome DNS del dominio.
Il processo di trasferimento forzato dei ruoli FSMO da un controller di dominio non operativo a un controller di dominio funzionante all'interno di un dominio Active Directory. Il sequestro di FSMO è un processo di ripristino di emergenza in cui un controller di dominio Active Directory rileva forzatamente un ruolo FSMO da un altro controller di dominio che è malfunzionante o permanentemente offline. Si tratta in genere di una misura di ultima istanza, in quanto il sequestro di un ruolo FSMO può causare incoerenze di dati nel servizio di directory se il titolare del ruolo originale diventa nuovamente disponibile.
Il processo di trasferimento dei ruoli FSMO da un controller di dominio a un altro. Il trasferimento dei ruoli FSMO è solitamente un processo pianificato, a differenza del sequestro dei ruoli FSMO, che è tipicamente un processo di emergenza. Il trasferimento di ruoli FSMO deve essere gestito in modo sicuro per evitare che un aggressore prenda il controllo di questi ruoli cruciali.
Vedi anche: Sequestro del ruolo Flexible Single Master Operations (FSMO)
I ruoli FSMO sono ruoli speciali assegnati a uno o più controller di dominio in un ambiente Active Directory. Questi ruoli gestiscono operazioni che possono essere eseguite da un solo DC alla volta. I ruoli aiutano a garantire la coerenza e a eliminare il potenziale di aggiornamenti in conflitto in un ambiente Active Directory. Tuttavia, una gestione impropria o un guasto di un server con uno di questi ruoli può causare interruzioni nell'ambiente AD.
Esistono cinque ruoli FSMO:
Il reindirizzamento delle cartelle è una funzione dei Criteri di gruppo che cambia la posizione di alcune cartelle come Desktop, Documenti e Immagini in una nuova posizione sulla rete.
In questo tipo di attacco, un aggressore costringe un account utente o di servizio a cambiare la propria password. L'attaccante cattura l'hash della nuova password mentre viene trasmessa al controller di dominio e la utilizza per autenticarsi come utente o account di servizio.
Un oggetto che rappresenta un principale di sicurezza (come un utente o un gruppo di sicurezza) situato in un dominio fidato esterno alla foresta. Questi oggetti consentono ai presidi di sicurezza esterni di diventare membri di gruppi di sicurezza all'interno del dominio.
In Active Directory, una foresta è un insieme di uno o più alberi di dominio, ciascuno con un diverso spazio dei nomi DNS. Tutti gli alberi di dominio di una foresta condividono uno schema e un contenitore di configurazione comuni. Quando si installa Active Directory per la prima volta, l'atto di creare il primo dominio crea anche una foresta. Le foreste fungono da contenitore logico superiore in una configurazione di Active Directory, incapsulando i domini.
Forest Druid è uno strumento di sicurezza gratuito della comunità di Semperis che identifica e dà priorità ai percorsi di attacco che portano alle risorse di livello 0. Lo strumento aiuta i team di difesa della cybersecurity a dare rapidamente priorità alle configurazioni errate ad alto rischio che potrebbero rappresentare per gli aggressori l'opportunità di ottenere un accesso privilegiato al dominio. Piuttosto che inseguire ogni strada, i difensori possono utilizzare Forest Druid per identificare rapidamente i percorsi di attacco indesiderati o inaspettati da correggere, accelerando il processo di chiusura delle backdoor in Active Directory.
Forest Druid vi aiuta:
L'impostazione FFL determina le capacità disponibili di Active Directory Domain Services (AD DS) che possono essere utilizzate in una foresta.
Vedi anche: Servizi di dominio di Active Directory (AD DS)
Il dominio radice della foresta è il primo dominio creato nella foresta. Questo dominio contiene alcune caratteristiche speciali ed è fondamentale per il funzionamento dell'intera foresta AD. Il dominio radice della foresta non può essere rimosso.
Una relazione di fiducia forestale viene stabilita tra due foreste di Active Directory. Un trust di foresta consente agli utenti di foreste diverse di accedere alle risorse in modo reciproco, in base alle autorizzazioni configurate. Una configurazione errata di questi trust può esporre le risorse a utenti non autorizzati, causando potenzialmente violazioni dei dati.
Un collegamento in avanti in Active Directory è un tipo di attributo di collegamento che punta da un oggetto a un altro. Quando il collegamento in avanti viene modificato, il sistema aggiorna automaticamente la tabella dei collegamenti per l'attributo back link. Ad esempio, l'attributo member di un oggetto gruppo è un collegamento in avanti, che punta agli utenti che sono membri del gruppo, mentre l'attributo memberOf è il relativo collegamento posteriore.
Una zona di forward lookup è una parte del server DNS di Active Directory utilizzata per tradurre i nomi di dominio in indirizzi IP. Se non adeguatamente protetta, potrebbe essere sfruttata dagli aggressori per ottenere un accesso non autorizzato o per lanciare un attacco di DNS poisoning.
L'atto di trasferire forzatamente i ruoli FSMO (Flexible Single Master Operations) da un controller di dominio a un altro. Questa operazione viene effettuata in genere quando il controller di dominio originale non è più disponibile e deve essere utilizzata come ultima risorsa, poiché può potenzialmente causare problemi all'interno del dominio. Un sequestro improprio può interrompere la funzionalità di AD e introdurre problemi di sicurezza.
Il processo di ripristino di un sistema informatico al suo stato originale, di solito utilizzando un backup completo del sistema in caso di guasto o danneggiamento critico del sistema.
L'FQDN è il nome di dominio completo di un computer specifico, o host, su Internet. L'FQDN è composto da due parti: il nome host e il nome di dominio. Nel caso di Active Directory, l'FQDN viene utilizzato per identificare con precisione la posizione di un oggetto all'interno della directory.
In Active Directory, il livello funzionale determina le capacità del dominio o della foresta AD DS disponibili. Determina anche quali sistemi operativi Windows Server possono essere eseguiti sui controller di dominio nel dominio o nella foresta. Tuttavia, una volta innalzato il livello funzionale, i controller di dominio che eseguono versioni precedenti di Windows Server non possono essere introdotti nel dominio o nella foresta.
Questo comando PowerShell recupera il criterio di replica delle password per un account AD. Un utente malintenzionato può potenzialmente utilizzare queste informazioni per capire quali password vengono replicate e dove, favorendo la pianificazione dell'attacco.
Questo cmdlet PowerShell recupera un oggetto controller di dominio o esegue una ricerca per recuperare più oggetti controller di dominio da AD. Utilizzato in modo inappropriato, può fornire a un utente malintenzionato informazioni preziose sul controller di dominio in un ambiente AD.
Questo cmdlet PowerShell recupera i criteri di password a grana fine dall'AD. Se questi criteri sono configurati in modo errato o trapelano, potrebbero aiutare un aggressore a pianificare un attacco di password cracking.
Questo cmdlet PowerShell recupera un oggetto gruppo o esegue una ricerca per recuperare più oggetti gruppo da AD. Un uso improprio o un'esposizione non appropriata può fornire a un utente malintenzionato informazioni preziose sulla struttura e sull'appartenenza ai gruppi in un ambiente AD.
Questo comando PowerShell recupera i membri di un gruppo AD. Un utente malintenzionato potrebbe utilizzarlo per identificare gli account con privilegi elevati da colpire.
Questo comando PowerShell recupera un oggetto AD o esegue una ricerca per recuperare più oggetti. Viene comunemente utilizzato da un aggressore in fase di ricognizione per comprendere gli oggetti all'interno di AD.
Questo cmdlet PowerShell recupera i metadati di replica degli attributi per gli oggetti AD, che possono essere utilizzati per la risoluzione dei problemi di replica. Tuttavia, nelle mani di un utente malintenzionato, potrebbe rivelare informazioni sensibili.
Questo comando PowerShell recupera la radice dell'albero delle informazioni della directory (DIT) di un dominio AD. Può essere utilizzato dagli aggressori per raccogliere informazioni sulla struttura del dominio.
Questo cmdlet PowerShell recupera un oggetto trust o esegue una ricerca per recuperare più oggetti trust da AD. Utilizzato in modo inappropriato, può fornire a un utente malintenzionato informazioni preziose sulle relazioni di fiducia in un ambiente AD.
Questo cmdlet PowerShell recupera un oggetto utente o esegue una ricerca per recuperare più oggetti utente da AD. Utilizzato o esposto in modo inappropriato, può fornire a un utente malintenzionato informazioni preziose sugli account utente in un ambiente AD e identificare potenziali obiettivi per attacchi all'interno dell'AD.
Il GAL è una directory accessibile di tutti gli utenti, gruppi, contatti condivisi e risorse registrati nei servizi di dominio Active Directory (AD DS) di un'organizzazione. L'accesso inappropriato o la manipolazione del GAL può portare all'accesso non autorizzato alle informazioni o ad attacchi di phishing.
Il Global Catalog è un archivio di dati distribuito che contiene una rappresentazione parziale e ricercabile di ogni oggetto in ogni dominio di una foresta di Active Directory Domain Services (AD DS) multidominio. Il GC viene utilizzato per velocizzare le ricerche e gli accessi, soprattutto in ambienti di grandi dimensioni. Se un server GC non è disponibile o è compromesso, possono verificarsi problemi di accesso e ricerca.
I gruppi globali possono avere membri del proprio dominio, ma possono ricevere autorizzazioni in qualsiasi dominio della foresta. Se usati in modo non corretto, questi gruppi possono portare a un'escalation di privilegi indesiderata.
Un numero di riferimento univoco utilizzato nella programmazione, creato dal sistema per identificare in modo univoco un oggetto AD. Un GUID in Active Directory è un numero a 128 bit utilizzato per identificare in modo univoco gli oggetti. Ogni oggetto creato in Active Directory riceve un GUID che rimane invariato per tutta la durata dell'oggetto, anche se questo viene spostato o rinominato. La manipolazione dei GUID può potenzialmente portare ad attacchi come l'impersonificazione degli oggetti.
Un attacco Golden gMSA è un attacco informatico in cui gli aggressori scaricano gli attributi della chiave principale del Key Distribution Service (KDS) e generano le password per tutti i gMSA associati offline. Questo processo in due fasi inizia con il recupero da parte dell'attaccante di diversi attributi della chiave principale del KDS nel dominio. Quindi, utilizzando lo strumento Golden gMSA, l'aggressore genera la password di qualsiasi gMSA associato alla chiave (senza disporre di un account privilegiato).
Un attacco Golden Ticket consente a un utente malintenzionato di falsificare un ticket Kerberos, consentendo l'accesso non autorizzato a qualsiasi sistema del dominio come utente altamente privilegiato, ad esempio un amministratore di dominio. Tali privilegi elevati possono dare all'aggressore un accesso quasi illimitato ad Active Directory e alle risorse che dipendono da esso.
Questo strumento a riga di comando nei sistemi operativi Windows forza un aggiornamento immediato dei Criteri di gruppo sul computer locale. Questo strumento può essere utile per applicare immediatamente le modifiche ai criteri, anziché attendere il ciclo di aggiornamento automatico.
È possibile configurare criteri di audit granulari in AD per raccogliere informazioni più dettagliate. Le configurazioni errate possono portare a lacune nel monitoraggio e nella registrazione, consentendo potenzialmente agli aggressori di evitare il rilevamento.
Questo valore univoco identifica un gruppo specifico in un ambiente AD. In un contesto UNIX, il GID viene spesso utilizzato per mappare i gruppi UNIX alle loro controparti Windows. Questa capacità può essere manipolata per attacchi di bypass del controllo degli accessi in ambienti con sistemi operativi misti.
Un account di servizio gestito dal gruppo (gMSA) è un account di dominio gestito che aiuta a proteggere i servizi su più server. Introdotto in Windows Server 2012, gMSA è un tipo speciale di account di servizio in Active Directory e prevede la rotazione automatica della password ogni 30 giorni. Offre inoltre una gestione semplificata del nome principale del servizio (SPN) e la possibilità di delegare la gestione ad altri amministratori. Se compromessi, i GMSA possono essere utilizzati per aumentare i privilegi o spostarsi lateralmente in una rete.
Vedi anche: Attacco gMSA d'oro
Le password per i Group Managed Service Account (gMSA) sono gestite da AD. Questi account, se compromessi, possono consentire a un utente malintenzionato di spostarsi lateralmente in una rete o di aumentare i privilegi.
Vedere anche: Account di servizio gestito di gruppo (gMSA)
In Active Directory, gli utenti vengono raggruppati per semplificare il processo di concessione delle autorizzazioni o di delega del controllo. L'appartenenza a un gruppo non corretto può conferire a un utente più diritti di accesso del necessario; seguendo il principio del minimo privilegio si può ridurre il rischio.
La nidificazione dei gruppi si riferisce alla pratica di aggiungere gruppi come membri di altri gruppi. Sebbene la nidificazione possa semplificare la gestione dei permessi, può anche creare strutture di permessi complesse e difficili da tracciare, portando potenzialmente a permessi eccessivi e a problemi di sicurezza.
Questo snap-in di Microsoft Management Console (MMC) fornisce un'unica interfaccia amministrativa per la gestione dei Criteri di gruppo in tutta l'azienda in un ambiente Active Directory. GPMC semplifica la gestione dei Criteri di gruppo facilitando la comprensione, la distribuzione e la gestione delle implementazioni dei criteri.
Questo strumento di pianificazione e risoluzione dei problemi per i criteri di gruppo è in grado di simulare l'impatto potenziale delle GPO, ma l'uso improprio o l'incomprensione dei suoi risultati può portare a configurazioni errate.
I criteri di gruppo consentono agli amministratori IT di implementare configurazioni specifiche per utenti e computer. Le impostazioni dei Criteri di gruppo sono contenute negli Oggetti Criteri di gruppo (GPO), collegati ai contenitori di Active Directory Domain Services (AD DS). Un GPO è un componente dei Criteri di gruppo, utilizzato per rappresentare le impostazioni dei criteri applicate agli utenti o ai computer. Le GPO possono diventare un obiettivo per gli aggressori che vogliono modificare le impostazioni di sicurezza a livello di sistema.
Vedere anche: Abuso dell'oggetto Criteri di gruppo (GPO)
Gli aggressori che dispongono delle autorizzazioni per modificare le GPO possono sfruttare questa capacità per eseguire codice dannoso, modificare le impostazioni di sistema o interrompere le operazioni di sistema sui sistemi in cui si applica la GPO.
Parte dei Criteri di gruppo, GPP consente una configurazione più avanzata dei sistemi. GPP è noto per un problema di sicurezza: In passato memorizzava le password in un formato crittografato reversibile, una vulnerabilità che è stata sfruttata in passato.
Vedi anche: Attacco alle password dei Criteri di gruppo (GPP)
Prima che un aggiornamento di Microsoft rimuovesse la funzione Group Policy Preferences (GPP), GPP consentiva agli amministratori di memorizzare le password negli oggetti Criteri di gruppo (GPO). Le password crittografate potevano essere facilmente decifrate e le GPO più vecchie potevano ancora contenere queste voci di password deprecate, rendendole un bersaglio per gli aggressori.
Un report delle impostazioni dei Criteri di gruppo nell'ambito di un oggetto (utente o computer). Questo report può essere prezioso per la risoluzione dei problemi, ma può anche rivelare ai malintenzionati potenziali punti deboli o configurazioni errate nelle GPO.
I Criteri di gruppo sono una funzionalità integrata in Microsoft Active Directory. Il suo scopo principale è quello di consentire agli amministratori IT di gestire centralmente utenti e computer in un dominio AD. Questo include sia gli utenti aziendali che gli utenti privilegiati, come gli amministratori IT, e le workstation, i server, i controller di dominio (DC) e altre macchine. La sicurezza dei Criteri di gruppo è una parte importante della sicurezza di AD.
Gli ambiti dei gruppi definiscono la portata dei gruppi AD in termini di capacità di includere altri gruppi o utenti come loro membri e la misura in cui a questi gruppi possono essere concessi permessi. Una configurazione errata degli ambiti di gruppo può portare ad accessi non autorizzati alle risorse.
Active Directory definisce due tipi di gruppi: Sicurezza e Distribuzione. I gruppi di sicurezza sono utilizzati per le autorizzazioni, mentre i gruppi di distribuzione sono utilizzati per le liste di distribuzione delle e-mail.
L'hardening di un ambiente AD consiste nel proteggere l'ambiente dagli attacchi riducendo la superficie di vulnerabilità. Ciò potrebbe includere misure come l'implementazione dell'accesso con il minimo privilegio, il monitoraggio di attività sospette, l'aggiornamento regolare e il patching dei sistemi e così via.
Nel contesto di Active Directory, l'hashing si riferisce al modo in cui vengono memorizzate le password. AD utilizza un algoritmo di hashing per memorizzare le password in un formato hash non reversibile, migliorando la sicurezza. Tuttavia, gli aggressori possono ancora utilizzare tecniche come gli attacchi pass-the-hash per sfruttare le credenziali con hash.
I controlli di salute di Active Directory sono importanti per garantire il corretto funzionamento e le prestazioni di un ambiente AD. Controlli regolari possono identificare i problemi prima che diventino gravi. Dal punto di vista della sicurezza, possono anche identificare attività insolite che potrebbero indicare una violazione o un tentativo di attacco.
Un destinatario nascosto in Active Directory è un utente che non compare negli elenchi degli indirizzi. Se i destinatari nascosti non sono gestiti correttamente, un utente malintenzionato potrebbe usarli per esfiltrare i dati senza destare allarme.
La struttura di AD è costruita come una gerarchia, a partire dalle foreste fino ai domini, alle unità organizzative e ai singoli oggetti. La comprensione di questa gerarchia è fondamentale sia per la gestione di AD che per la sua protezione da potenziali attacchi.
In AD, la directory home è una posizione di rete specifica che viene collegata automaticamente ogni volta che un utente si connette. Se non sono adeguatamente protette, queste directory possono essere sfruttate dagli aggressori per ottenere l'accesso non autorizzato a dati sensibili.
Nella cybersecurity, un account honeypot è un account AD esca utilizzato per attirare e rilevare attività dannose. L'accesso o l'alterazione dell'account honeypot può essere indice di una violazione della sicurezza.
Un host è un computer collegato a una rete.
In Active Directory, un record host (A) mappa un nome di dominio a un indirizzo IP nel DNS. Se questi record non sono adeguatamente protetti, gli aggressori possono manipolarli, causando il reindirizzamento del traffico verso siti dannosi.
Nel contesto di Active Directory Federation Services (AD FS), un'intestazione host viene utilizzata per instradare le richieste HTTP/HTTPS in entrata che vengono inviate a uno specifico server di federazione AD FS in una farm.
Un HIDS è un sistema che monitora un sistema informatico, piuttosto che una rete, alla ricerca di attività dannose o violazioni dei criteri. L'implementazione di un HIDS sui server AD critici può aiutare a rilevare e prevenire potenziali attacchi.
Un hotfix è un singolo pacchetto cumulativo che include informazioni (spesso sotto forma di file) utilizzate per risolvere un problema in un prodotto software come Active Directory. Dal punto di vista della cybersecurity, l'applicazione regolare degli hotfix è essenziale per proteggere dalle vulnerabilità note.
Un ambiente Hybrid Active Directory integra l'AD on-premises con soluzioni basate sul cloud come Azure AD (ora Entra ID). Questa configurazione consente agli utenti di avere un'unica identità per entrambi i sistemi. Dal punto di vista della cybersecurity, la gestione degli accessi e delle identità negli ambienti on-premises e cloud può essere complessa e richiede un approccio completo alla sicurezza.
In un'implementazione di cloud ibrido, Active Directory potrebbe servire per autenticare e autorizzare utenti e computer in una rete che combina infrastruttura on-premise e servizi cloud. Le misure di sicurezza devono essere prese in considerazione in entrambi gli ambienti.
Molte organizzazioni oggi utilizzano sia Active Directory on-premises che Azure AD in-the-cloud. Questo ambiente di identità ibrido consente di avere un'identità utente e di sistema comune per l'autenticazione e l'autorizzazione delle risorse, indipendentemente dalla posizione. Tuttavia, presenta anche sfide di cybersecurity uniche.
In risposta, Semperis offre soluzioni di rilevamento e risposta alle minacce all'identità (ITDR) progettate per la protezione dell'identità ibrida. Siamo anche sponsor del Podcast sulla protezione dell'identità ibrida (HIP) e della serie di conferenze sulla protezione dell'identità ibrida (hipconf.com).
Uno strumento di forza bruta molto diffuso, Hydra supporta numerosi protocolli, tra cui SMB e HTTP, spesso utilizzati negli ambienti AD. Hydra può essere utilizzato per indovinare o craccare le password, consentendo l'accesso non autorizzato agli account utente.
HTTPS è spesso utilizzato in AD Federation Services (ADFS) per proteggere le comunicazioni. È importante mantenere i certificati aggiornati e utilizzare protocolli di crittografia forti per mantenere la sicurezza.
L'IAM è un quadro di politiche e tecnologie per garantire che le persone giuste in un'azienda abbiano l'accesso appropriato alle risorse tecnologiche. I sistemi IAM possono essere utilizzati per avviare, acquisire, registrare e gestire le identità degli utenti e le relative autorizzazioni di accesso.
Dalle e-mail di phishing ai cyberattacchi che prendono di mira Active Directory, gli attori delle minacce amano prendere di mira le risorse di identità. Se un cyberattaccante riesce a ottenere le credenziali di identità di un utente (ad esempio, tramite un'e-mail di phishing), non ha bisogno di introdursi nel vostro ambiente; può semplicemente accedere. Una volta all'interno dell'ambiente, l'aggressore può tentare di impadronirsi di altre identità, arrivando (attraverso l'escalation dei privilegi) all'accesso a livello di amministratore. A quel punto, l'aggressore può apportare modifiche ad Active Directory per rilevare, bloccare o chiudere account, risorse e dati di utenti e sistemi.
L'IdM è un'ampia area amministrativa che prevede l'identificazione degli individui in un sistema (come un Paese, una rete o un'impresa) e il controllo del loro accesso alle risorse all'interno di tale sistema, associando diritti e restrizioni all'identità stabilita.
L'IdP è un sistema che crea, mantiene e gestisce le informazioni sull'identità dei committenti e fornisce l'autenticazione dei committenti ad altri fornitori di servizi all'interno di una federazione, come ad esempio AD Federation Services (ADFS).
I sistemi di identità sono oggetto di attacchi continui. L'uso improprio delle credenziali è ormai un metodo primario che i cyberattaccanti utilizzano per accedere ai sistemi e raggiungere i loro obiettivi.
Gartner ha definito la categoria Identity Threat Detection and Response (ITDR) per valutare le soluzioni che rilevano e sventano gli attacchi basati sull'identità. L'ITDR si riferisce all'insieme di pratiche, strategie e tecnologie utilizzate per rilevare e rispondere a potenziali minacce e attacchi rivolti alle identità e alle credenziali degli utenti. In un contesto di Active Directory, ciò include spesso il monitoraggio di attività sospette come schemi di login anomali, tentativi di login eccessivamente falliti o escalation di privilegi inaspettata.
L'ITDR è una componente cruciale della cybersecurity, poiché le credenziali utente compromesse sono spesso un trampolino di lancio per gli aggressori per ottenere l'accesso a risorse sensibili, eseguire movimenti laterali o effettuare l'escalation dei privilegi all'interno della rete. Pertanto, le organizzazioni hanno bisogno di una serie di strumenti e processi per difendere i sistemi di identità.
Questo attributo in AD collega un utente on-premise a un utente Office 365. ImmutableID viene spesso utilizzato durante le migrazioni o i consolidamenti di AD.
Impacket è una raccolta di classi Python sviluppate per lavorare con i protocolli di rete, spesso utilizzate per creare strumenti di rete. Fornisce un framework robusto e completo per la creazione e la decodifica dei pacchetti di rete, consentendo agli sviluppatori di costruire e analizzare il traffico di rete. Sebbene Impacket sia uno strumento importante per gli amministratori di rete legittimi e i professionisti della cybersicurezza, può essere sfruttato anche da soggetti malintenzionati per attacchi di rete, come gli attacchi NTLM relay su Active Directory.
Vedi anche: Attacco relay NTLM
L'impersonificazione si riferisce alla capacità di un thread di eseguire in un contesto di sicurezza diverso da quello del processo che possiede il thread. In un contesto di cybersecurity, l'impersonificazione è un metodo di attacco comune che potrebbe portare ad un accesso non autorizzato o all'escalation dei privilegi.
Identità speciali che rappresentano utenti diversi in momenti diversi, a seconda delle circostanze. Ad esempio: Logon anonimo, Batch, Utente autenticato e altro ancora.
Un metodo di indicizzazione dei dati per un rapido recupero, utilizzato dall'Extensible Storage Engine (ESE) di Active Directory.
Gli indicatori di attacco (IOA) nella sicurezza informatica sono indicatori di sicurezza che dimostrano l'intento di un attacco informatico. Rilevare gli IOA nelle prime fasi di un attacco può aiutare i difensori a prevenire ulteriori danni.
Vedi anche: indicatori di sicurezza, indicatori di compromissione, indicatori di esposizione.
Gli indicatori di compromissione (IOC) nella cybersecurity sono indicatori di sicurezza che dimostrano che la sicurezza della rete è stata violata. Gli investigatori individuano gli IOC dopo essere stati informati di un incidente sospetto, aver scoperto chiamate insolite dalla rete o durante una valutazione della sicurezza. Semperis Purple Knight e Directory Services Protector ( DSP) effettuano una scansione per individuare gli IOC.
Vedi anche: indicatori di sicurezza, indicatori di attacco, indicatori di esposizione.
Gli indicatori di esposizione (IOE) sono indicatori di sicurezza che forniscono informazioni sulle vulnerabilità potenzialmente sfruttabili prima che si verifichi un incidente di cybersecurity. Comprendendo tali rischi, i team di sicurezza possono stabilire meglio le priorità degli sforzi di gestione della sicurezza ed essere pronti a contenere rapidamente gli attacchi. Semperis Purple Knight e Directory Services Protector ( DSP) effettuano la scansione degli IOE.
Vedi anche: indicatori di sicurezza, indicatori di attacco, indicatori di compromissione.
L'IRM è una forma di tecnologia di sicurezza informatica utilizzata per proteggere le informazioni da accessi non autorizzati. Nel contesto di Active Directory, l'IRM può aiutare a proteggere i dati sensibili controllando chi vi ha accesso e cosa può fare con essi, ad esempio impedendo la stampa o l'inoltro dei dati.
Un insieme di politiche emesse da un'organizzazione per garantire che tutti gli utenti IT all'interno del dominio dell'organizzazione rispettino le regole e le linee guida relative alla sicurezza delle informazioni. Le politiche sono progettate per proteggere i dati dell'organizzazione e gestire i rischi per la riservatezza, l'integrità e la disponibilità delle informazioni.
Uno dei cinque ruoli FSMO di AD, l'Infrastructure Master è responsabile dell'aggiornamento dei riferimenti dagli oggetti del proprio dominio agli oggetti di altri domini. Se tutti i controller di dominio sono anche server Global Catalog, il ruolo Infrastructure Master non svolge alcuna attività.
Vedi anche: Ruoli di Flexible Single Master Operations (FSMO)
L'ereditarietà si riferisce alla trasmissione a cascata delle autorizzazioni dagli oggetti padre agli oggetti figli all'interno della struttura di Active Directory. In AD, i permessi concessi a un livello superiore della gerarchia possono essere ereditati dagli oggetti di livello inferiore, a meno che l'ereditarietà non sia esplicitamente bloccata. L'ereditarietà semplifica la gestione dei permessi, ma configurazioni errate potrebbero esporre le risorse a utenti non autorizzati.
I controller di dominio non autorizzati o la compromissione del controller di dominio possono portare alla replica dei dati dei servizi di directory a un attore malintenzionato, consentendogli di raccogliere informazioni e credenziali sensibili.
Questa funzione consente agli amministratori di installare un controller di dominio utilizzando i file di backup ripristinati. Utilizzando l'opzione Install from Media (IFM), è possibile ridurre al minimo la replica dei dati della directory sulla rete. Ciò consente di installare in modo più efficiente ulteriori controller di dominio in siti remoti, soprattutto quando i collegamenti WAN a questi siti sono relativamente lenti e/o le dimensioni del database AD esistente sono considerevoli.
Questo comando PowerShell installa un nuovo controller di dominio in AD.
Questo comando PowerShell installa una nuova foresta AD DS. Si tratta di un comando altamente privilegiato che, se utilizzato in modo improprio, può portare alla creazione di una foresta dannosa, compromettendo potenzialmente l'intero ambiente AD.
Si riferisce a un DNS integrato con un dominio Active Directory. Un server DNS integrato in AD memorizza i propri dati in Active Directory. Ciò consente di replicare le informazioni DNS a tutti gli altri controller di dominio del dominio, migliorando la tolleranza agli errori del DNS.
Un trust stabilito tra due foreste di Active Directory. Un trust interforestale può essere unidirezionale o bidirezionale e prevede l'accesso controllato alle risorse di ciascuna foresta. La gestione e il monitoraggio dei trust inter-forestali per ridurre il rischio di accesso non autorizzato è fondamentale.
In Active Directory, il ruolo ISTG è ricoperto da un controller di dominio in ogni sito ed è responsabile della creazione di uno spanning tree di tutti i collegamenti del sito e della costruzione di una topologia di routing a costo minimo per la replica tra i controller di dominio all'interno del sito.
Questo tipo di accesso avviene quando un utente inserisce le proprie credenziali direttamente nel sistema, in genere attraverso la console del sistema. In Active Directory, le connessioni interattive sono registrate come evento specifico (ID evento 528 su Windows Server 2003 e precedenti e ID evento 4624 su Windows Server 2008 e successivi).
Internet è una rete globale di computer e server che comunicano tra loro utilizzando protocolli standardizzati, principalmente il TCP/IP (Transmission Control Protocol/Internet Protocol). Internet fornisce vari servizi, tra cui il World Wide Web, la posta elettronica, il trasferimento di file e i servizi cloud. In termini di sicurezza informatica, Internet è spesso il vettore principale di un'ampia gamma di minacce che colpiscono gli ambienti Active Directory, tra cui attacchi di phishing, distribuzione di malware e sfruttamento remoto delle vulnerabilità. Pertanto, la protezione delle connessioni a Internet e il monitoraggio dei servizi rivolti a Internet sono compiti cruciali per la sicurezza della rete.
IAS è l'implementazione Microsoft di un server e di un proxy RADIUS (Remote Authentication Dial-In User Service) in Windows Server 2000 e 2003. IAS esegue l'autenticazione, l'autorizzazione e l'accounting centralizzati delle connessioni per molti tipi di accesso alla rete, comprese le connessioni wireless e VPN. Dal punto di vista della sicurezza informatica, la protezione di IAS è fondamentale, in quanto gli aggressori che lo compromettono potrebbero manipolare i processi di autenticazione, ottenere un accesso non autorizzato alla rete o spiare il traffico di rete. Da Windows Server 2008, IAS è stato sostituito da Network Policy Server (NPS).
IIS è un software server web creato da Microsoft per l'uso con la famiglia Windows NT. IIS supporta HTTP, HTTPS, FTP, FTPS, SMTP e NNTP. Nel contesto di AD, IIS è spesso utilizzato per ospitare servizi necessari basati sul web come ADFS.
IPsec è una suite di protocolli che protegge le comunicazioni IP autenticando e crittografando ogni pacchetto IP in un flusso di dati. In termini di Active Directory, i criteri IPsec possono essere utilizzati per garantire la sicurezza del traffico tra i controller di dominio AD e i server o i client membri, aggiungendo così un ulteriore livello di sicurezza.
Una intranet è una rete privata all'interno di un'organizzazione. Le intranet sono spesso utilizzate per condividere le informazioni aziendali e le risorse informatiche tra i dipendenti. Dal punto di vista della sicurezza, un accesso incontrollato o non autorizzato alla rete intranet può portare alla fuga di informazioni o ad altre forme di attacchi interni.
Dispositivo o applicazione software che monitora una rete o un sistema alla ricerca di attività dannose o di violazioni dei criteri. Un IDS svolge un ruolo fondamentale in una solida architettura di sicurezza.
Per inventario hardware o software si intende il processo di raccolta di informazioni dettagliate su tutto l'hardware o il software utilizzato in un'organizzazione. Un inventario accurato è essenziale per gestire le risorse, pianificare le esigenze future e mantenere la sicurezza.
Un indirizzo IP è un'etichetta numerica assegnata a ogni dispositivo che partecipa a una rete di computer che utilizza il protocollo Internet per comunicare. In un ambiente Active Directory, un corretto indirizzamento IP è fondamentale per la comunicazione di rete e l'accesso alle risorse.
Questa serie di regole stabilisce quale forma di IPsec deve essere utilizzata in una transazione tra il server e il client. Una configurazione errata delle regole potrebbe lasciare vulnerabilità di sicurezza nell'ambiente AD.
Una sezione di una rete isolata dal resto della rete. L'uso di segmenti di rete isolati può limitare il danno potenziale se un incidente di sicurezza si verifica in un segmento diverso.
Questa serie di pratiche dettagliate per la gestione dei servizi IT (ITSM) si concentra sull'allineamento dei servizi IT alle esigenze del business.
Il database di Active Directory è basato sul motore Microsoft Jet Blue e utilizza Extensible Storage Engine (ESE) per memorizzare, modificare, cancellare e leggere i dati. Il database di Active Directory è un singolo file denominato ntds.dit. Per impostazione predefinita, questo database è memorizzato nella cartella %SYSTEMROOT%NTDS su ogni controller di dominio e viene replicato tra di essi.
Un veloce cracker di password, utilizzato per individuare le password deboli. Gli aggressori usano John the Ripper per crackare le password con hash, consentendo l'accesso non autorizzato.
Operazione con cui un computer entra a far parte di un dominio Active Directory. L'adesione a un dominio consente al sistema di utilizzare l'autenticazione centrale fornita da AD, di accedere alle risorse e di aderire ai criteri stabiliti dal dominio. Gli errori in questo processo possono causare vulnerabilità e controlli di accesso impropri.
Questa tecnologia di sicurezza consente l'amministrazione delegata per qualsiasi cosa gestita da PowerShell. In un contesto AD, JEA può contribuire a limitare gli attacchi di privilege escalation riducendo il numero di persone che dispongono di diritti amministrativi completi.
Vedi anche: Amministrazione Just-in-Time (JIT)
Questo metodo di assegnazione dei privilegi agli utenti è simile alla Just Enough Administration (JEA). Il JIT fornisce agli utenti i privilegi necessari per eseguire un'attività, ma solo per un certo periodo di tempo. In questo modo si può ridurre al minimo il rischio di escalation dei privilegi o di furto di credenziali.
Vedi anche: Amministrazione sufficiente (JEA)
Kerberoasting è un punto debole del protocollo di autenticazione Kerberos utilizzato da Active Directory. Gli aggressori richiedono un ticket di servizio per un account di servizio mirato e poi decifrano il ticket di servizio crittografato offline per ottenere la password dell'account.
Vedi anche: Kerberos, Abuso di delega Kerberos, Indovinare la password Kerberos
Rubeus è un potente strumento per interagire con il protocollo Microsoft Kerberos. Negli attacchi Kerberoasting, gli aggressori utilizzano Rubeus per richiedere ticket di servizio e decifrare i ticket offline per ottenere le credenziali degli account di servizio.
Kerberos è il metodo di autenticazione principale utilizzato nei domini Active Directory per autenticare utenti e computer. I sistemi operativi più vecchi supportano la crittografia DES, mentre Windows Server 2008 e successivi supportano la crittografia AES. Kerberos è soggetto a diversi tipi di attacchi, come gli attacchi Golden Ticket e Silver Ticket, che sfruttano il modo in cui i ticket Kerberos vengono creati e utilizzati in un ambiente AD.
Il protocollo di sicurezza della rete informatica Kerberos gestisce l'autenticazione e l'autorizzazione in Active Directory. Il Massachusetts Institute of Technology (MIT), che ha creato Kerberos, lo descrive come un protocollo che utilizza una crittografia forte per consentire a un client di dimostrare la propria identità a un server su una connessione di rete non protetta. Dopo aver utilizzato Kerberos per dimostrare la propria identità, il client e il server possono anche criptare le proprie comunicazioni per garantire la privacy e l'integrità dei dati. Due decenni fa, il protocollo Kerberos ha cambiato le carte in tavola per quanto riguarda la sicurezza, l'unificazione e lo spostamento dell'AD verso la gestione delle identità. Ma l'evoluzione dei metodi di attacco e la migrazione al cloud hanno reso Kerberos sempre più vulnerabile alle minacce informatiche.
Vedi anche: Abuso della delega Kerberos, indovinare la password Kerberos, Kerberoasting
Questa funzione di sicurezza di Active Directory consente a un servizio di impersonare un utente per accedere a un altro servizio. Questa funzione è stata progettata per ridurre il numero di utenti con privilegi eccessivi. Tuttavia, una configurazione errata può consentire agli aggressori di elevare i privilegi o di aggirare i sistemi di autenticazione.
Vedi anche: Abuso della delega Kerberos
Gli aggressori possono manipolare la delega non vincolata, vincolata e vincolata alle risorse per impersonare altri utenti o elevare i privilegi all'interno del dominio. Questo abuso sfrutta le complessità e la fiducia implicita del protocollo Kerberos.
Vedi anche: Kerberoasting, Kerberos, Kerberos Constrained Delegation (KCD), Kerberos Password Indovinare
In questo attacco, un avversario prende di mira gli account utente che non richiedono la pre-autenticazione Kerberos. L'attaccante tenta di autenticarsi al Key Distribution Center (KDC) e gli viene restituito un ticket-granting ticket (TGT) crittografato che contiene la password hash dell'utente, che può essere decifrata offline.
Vedi anche: Kerberos, abuso di delega Kerberos, Kerberoasting
Il criterio Kerberos definisce le proprietà dei ticket per tutti gli utenti del dominio, come la durata e il rinnovo dei ticket. Questo criterio fa parte dei Criteri di gruppo e, se non configurato correttamente, può consentire agli attori delle minacce di riprodurre vecchi ticket Kerberos per ottenere un accesso non autorizzato.
L'SPN viene utilizzato in Active Directory per associare un'istanza di servizio a un account di accesso al servizio. Gli SPN possono essere un bersaglio per alcuni tipi di attacchi, come Kerberoasting, in cui un aggressore utilizza un ticket Kerberos valido per richiedere i dati del ticket del servizio, che possono poi essere forzati offline-brute per rivelare la password in chiaro dell'account del servizio.
Kerbrute è uno strumento progettato per eseguire il brute-forcing pre-aut di Kerberos. Può essere utilizzato per convalidare l'esistenza di nomi utente in un ambiente Active Directory senza il rischio di blocco degli account.
Nel protocollo Kerberos, il KDC è responsabile dell'autenticazione degli utenti e della fornitura di ticket (TGT), che vengono poi utilizzati per ottenere ticket di servizio per varie risorse della rete. Un KDC compromesso può avere gravi implicazioni, in quanto può portare alla compromissione di qualsiasi utente o servizio nel dominio.
Questa utility a riga di comando elenca i ticket Kerberos dell'utente che esegue il comando. Lo strumento è utile per la risoluzione dei problemi di autenticazione Kerberos.
Questo servizio di Active Directory genera la topologia di replica per il sistema di replica di Active Directory. Se KCC si guasta o è compromesso, può causare incoerenze nei dati della directory.
Uno stato sicuro noto rappresenta lo stato di un ambiente che è confermato non contenere malware o ransomware. Il ritorno a uno stato sicuro noto dopo un attacco informatico aiuta a prevenire la perdita di riservatezza, integrità o disponibilità delle informazioni.
Questa utility a riga di comando viene utilizzata per configurare un computer non collegato a un dominio per utilizzare le risorse del dominio. Lo strumento viene spesso utilizzato per configurare un computer in modo che utilizzi Kerberos per l'autenticazione in scenari non tradizionali.
L0phtCrack è un auditor di password che aiuta ad automatizzare il recupero delle password dagli hash, aiutando gli aggressori a penetrare nei sistemi violando la password dell'utente.
Questo attributo identifica l'ultima posizione nota di un oggetto AD spostato o eliminato. Se non viene monitorato correttamente, può aiutare a tracciare il ciclo di vita dell'oggetto e potenzialmente a ripristinare l'oggetto, rappresentando un rischio per la sicurezza.
Questo attributo specifica l'ultima volta che l'utente si è collegato. Le irregolarità in questo attributo possono indicare un potenziale accesso non autorizzato o un attacco pass-the-hash.
Il movimento laterale si verifica quando un cyberattacker utilizza account compromessi per ottenere l'accesso ad altri client e account in tutta la rete di un'organizzazione. I cyberattaccanti utilizzano il movimento laterale in combinazione con l'escalation dei privilegi per identificare e ottenere l'accesso ad account e risorse sensibili che condividono le credenziali di accesso memorizzate in account, gruppi e macchine. Un obiettivo tipico di un movimento laterale riuscito è l'eventuale accesso amministrativo ai controller di dominio Active Directory.
Vedi anche: dominio, minimo privilegio, accesso privilegiato, escalation di privilegi.
Una difesa a strati è quella che applica più livelli di protezione (ad esempio, sicurezza degli endpoint, SIEM e sicurezza di Active Directory) per garantire che un cyberattacker che penetra un livello di difesa venga fermato da un livello successivo.
Vedi anche: difesa in profondità
Il processo di collegamento tra il livello di trasporto e il livello applicativo, che crea un'unità coesiva. Per quanto riguarda il channel binding LDAP, il livello applicativo LDAP è essenzialmente intrecciato con il tunnel TLS. Questa stretta interconnessione crea un identificatore distinto e unico, o impronta digitale, per la comunicazione LDAP, in modo che qualsiasi comunicazione LDAP intercettata non possa essere riutilizzata dagli aggressori.
Connessioni logiche unidirezionali da un controller di dominio a un altro allo scopo di replicare. Se compromessi, gli oggetti di connessione LDAP possono essere sfruttati per ottenere un controllo non autorizzato sulla replica.
Un formato standard di interscambio di dati in testo semplice. Rappresenta il contenuto della directory come record per le richieste di aggiornamento in Active Directory. Utilizzato dall'utilità della riga di comando LDIFDE.
Vedi anche: Scambio di dati in formato directory LDAP (LDIFDE)
Un'utilità Microsoft che può essere utilizzata per importare/esportare oggetti AD da/su file LDIF. Un uso improprio può portare all'esportazione/importazione non autorizzata di dati.
Vedi anche: Formato di interscambio dati LDAP (LDIF)
LDAP Directory Probe è un'utilità grafica di Windows Support Tool che gli amministratori utilizzano per eseguire operazioni LDAP contro AD. L'uso improprio di questo strumento può esporre informazioni sensibili o alterare gli oggetti AD.
In questo tipo di attacco, un aggressore manipola i campi di input per inserire ed eseguire comandi LDAP (Lightweight Directory Access Protocol). L'aggressore utilizza questi comandi per interrogare e manipolare i dati memorizzati in un server LDAP, spesso utilizzato insieme ad Active Directory.
Un'estensione di LDAP che cripta il traffico LDAP. Se non configurato correttamente, LDAPS può rendere il traffico suscettibile di intercettazione.
Criteri che definiscono il comportamento di un server LDAP. Una configurazione errata di questi criteri può causare problemi di prestazioni e potenziali rischi per la sicurezza.
Quando un server LDAP non può rispondere a una richiesta, il server rimanda il client a un altro server. In un attacco di rinvio, un client può essere indirizzato a un server dannoso.
I filtri di ricerca LDAP vengono utilizzati per trovare e manipolare gli oggetti AD. Un uso improprio può portare all'accesso non autorizzato o all'alterazione degli oggetti della directory.
La firma LDAP si riferisce al processo in cui il traffico LDAP viene firmato digitalmente all'origine. La firma digitale serve a garantire che il contenuto del traffico LDAP rimanga invariato durante il transito, preservandone l'autenticità e l'integrità. Inoltre, fornisce al destinatario un mezzo per confermare l'origine del traffico LDAP. L'impostazione della firma LDAP può essere ottenuta tramite politiche di gruppo personalizzate o manipolando le chiavi di registro. La disattivazione della firma LDAP può rendere la rete suscettibile agli attacchi man-in-the-middle.
Questo strumento viene utilizzato per eseguire il dump dei domini utilizzando LDAP. Lo strumento consente a un utente malintenzionato di accedere facilmente a tutti i tipi di informazioni utili sul dominio.
LDAPMiner è uno strumento utilizzato per l'estrazione di dati LDAP, destinato principalmente ai test di penetrazione e ad altri controlli di sicurezza. Gli aggressori possono utilizzare questo strumento per interrogare e raccogliere dati dall'ambiente AD, contribuendo alla ricognizione.
Chiamato anche privilegio minimo, il principio di sicurezza informatica del minimo privilegio sottolinea che agli utenti e alle applicazioni deve essere concesso l'accesso privilegiato solo ai dati e alle operazioni necessarie per svolgere il proprio lavoro. Adottando questo approccio, i team IT e di sicurezza possono contribuire a prevenire potenziali movimenti laterali nelle reti dell'organizzazione.
Vedi anche: dominio, movimento laterale, accesso privilegiato, escalation dei privilegi.
Un principio che limita i diritti degli utenti al minimo indispensabile per svolgere il loro lavoro. Il mancato rispetto del LUA può aprire la strada ad attacchi di privilege escalation.
Un identificatore unico per ogni oggetto all'interno di Active Directory (AD). La manipolazione di questo identificatore potrebbe portare ad accessi non autorizzati, il che rappresenta un grave problema di cybersecurity.
LDAP è un protocollo aperto e multipiattaforma basato sullo standard di directory X.500, utilizzato per l'autenticazione dei servizi di directory. Il provider LDAP consente di accedere alla struttura gerarchica di Active Directory o di qualsiasi database conforme a LDAP. Le iniezioni LDAP possono rappresentare una minaccia per la sicurezza informatica se i dati di input non sono correttamente sanificati, consentendo agli aggressori di eseguire comandi arbitrari nel server di directory.
Gli oggetti persistenti possono verificarsi se un controller di dominio non replica per un intervallo di tempo superiore alla durata della tomba (TSL) e poi si ricollega alla topologia di replica. Si tratta di oggetti che rimangono nel database della directory dopo essere stati eliminati su altri controller di dominio e che, se non gestiti correttamente, causano incoerenze e potenziali problemi di sicurezza.
In Active Directory, una tabella di collegamento è una tabella di database che tiene traccia degli attributi multivalore collegati. Questi includono attributi che creano una relazione tra due oggetti AD, come gli attributi member e memberOf che collegano gli utenti ai gruppi.
Un attributo dello schema AD che identifica in modo univoco un attributo di un oggetto. Se compromesso, questo attributo può portare a incoerenze nei dati e a una potenziale escalation di privilegi.
Meccanismo di Active Directory che consente di aggiornare in modo incrementale gli attributi a valore multiplo. Se compromessa, questa replica può portare all'incoerenza dei dati e potenzialmente propagare informazioni false all'interno della directory.
Attributi in AD che hanno un attributo corrispondente in un altro oggetto, come member e memberOf. Una configurazione errata può creare collegamenti orfani che potrebbero confondere il processo di replica, compromettendo la coerenza dei dati di AD.
Una funzione di Active Directory, introdotta con Windows Server 2003, che consente di aggiornare singolarmente gli attributi multivalore invece di replicare l'intero insieme di valori. Ad esempio, l'aggiunta di un nuovo membro a un grande gruppo replica solo l'aggiunta del nuovo utente, non l'intero elenco dei membri del gruppo. Quando un attributo multivalore non collegato viene aggiornato, l'intero attributo deve essere replicato. Richiede la modalità provvisoria di Windows Server 2003 o il livello funzionale forestale di Windows Server 2003 o superiore. Se manipolato, può causare errori di replica o modifiche non autorizzate.
Strumento Microsoft che aiuta le organizzazioni a gestire le password di amministratore locale per i computer collegati al dominio. Contribuisce a mitigare il rischio di un attacco pass-the-hash generando e memorizzando in modo casuale una password diversa per l'account di amministratore locale di ogni computer in Active Directory. In termini di sicurezza informatica, l'implementazione di LAPS può migliorare significativamente la sicurezza di un'organizzazione, limitando le possibilità di movimento laterale per gli aggressori che hanno ottenuto l'accesso alle credenziali di amministratore locale su un computer.
Gruppi che esistono su un computer locale. Se un aggressore ottiene il controllo di un gruppo locale, può modificare le autorizzazioni e ottenere ulteriori privilegi.
Insiemi di regole definite su un computer locale che dettano il comportamento di quel sistema specifico. Se non configurati correttamente, possono costituire una scappatoia per le violazioni della sicurezza.
L'LSA è responsabile dei criteri di sicurezza locali e dell'autenticazione degli utenti. I cyberattacchi prendono spesso di mira i segreti dell'LSA in quanto contengono dati e credenziali di sicurezza sensibili.
Questo processo nei sistemi operativi Microsoft Windows è responsabile dell'applicazione dei criteri di sicurezza del sistema. LSASS viene spesso preso di mira dal famigerato strumento Mimikatz per estrarre dalla memoria password, hash, PIN e ticket Kerberos in chiaro.
Account utente che esistono specificamente su un computer locale e non sono basati su un dominio. Se non sono protetti correttamente, possono essere utilizzati dagli aggressori per prendere piede in una rete.
Account utente bloccati a causa di numerosi tentativi di accesso errati. Un aggressore potrebbe bloccare deliberatamente gli account per causare un denial of service o per mascherare le proprie attività.
L'attacco del ransomware LockerGoga sfrutta "l'infrastruttura dell'organizzazione, in questo caso Active Directory e Group Policy, per diffondersi" (Darren Mar-Elia, vicepresidente dei prodotti di Semperis). Il ransomware di solito non si diffonde in questo modo, quindi questo metodo è più difficile da rilevare. Ma le organizzazioni possono comunque ridurre al minimo il rischio di tali minacce. "Sappiamo che gli aggressori hanno ottenuto l'accesso a Domain Admins su Active Directory per poter utilizzare l'infrastruttura per diffondersi", afferma Mar-Elia. "Irrobustire l'infrastruttura utilizzando un approccio basato sui minimi privilegi può essere di grande aiuto".
Il parametro LockoutThreshold definisce il numero di tentativi di accesso non validi consentiti prima che l'account venga bloccato. Questo parametro è fondamentale per contrastare gli attacchi brute-force.
Active Directory memorizza una cache delle informazioni di accesso degli utenti localmente sul sistema. Se questa cache non è protetta correttamente, può essere sfruttata per ottenere un accesso non autorizzato agli account utente.
Definisce le ore in cui un utente può accedere al dominio. Se non gestita correttamente, potrebbe fornire una finestra di opportunità per gli aggressori durante le ore di riposo.
Un file che viene assegnato a un account utente e che viene eseguito automaticamente quando l'utente si collega. Uno script di accesso può regolare le impostazioni del sistema operativo, mappare le unità di rete per diversi gruppi di utenti o persino visualizzare un messaggio di benvenuto specifico per ogni utente. Questi script risiedono in una cartella della condivisione di rete SYSVOL di un controller di dominio e sono quindi disponibili in tutto il dominio. L'inserimento di contenuto dannoso in questi script può portare a una compromissione diffusa dei sistemi.
Questo parametro specifica i computer da cui un utente può accedere. Se non adeguatamente limitato, può portare ad attacchi di lateral movement.
Questa impostazione dei Criteri di gruppo consente allo stesso utente di avere criteri diversi quando accede a macchine diverse. Una configurazione errata di questa impostazione può portare ad attacchi di privilege escalation.
Una funzione di sicurezza di Windows che impedisce l'accesso al processo LSASS. Attenua il rischio di attacchi mirati a estrarre informazioni sensibili dal processo LSASS, come quelli effettuati con lo strumento Mimikatz.
Oggetti di dati che vengono memorizzati da LSA per contenere dati sensibili come le credenziali. L'estrazione di questi segreti è una tattica comune negli attacchi di furto di credenziali.
Utilizzato nella compressione dei dati del database AD (NTDS.DIT). Lo sfruttamento di questo meccanismo può portare alla corruzione o al furto dei dati.
Ogni computer in rete ha un account macchina, che fornisce un mezzo per l'autenticazione e la verifica. Un utente malintenzionato che abbia il controllo di un account macchina può eseguire vari attacchi come pass-the-ticket o pass-the-hash.
Un identificatore univoco che Windows assegna al database SAM (Security Account Manager) di ogni macchina. Se un utente malintenzionato ottiene il SID di un computer, può impersonare il computer e ottenere un accesso non autorizzato alle risorse di rete.
Uno stato in cui può trovarsi un server quando si applicano aggiornamenti o si eseguono altre attività di manutenzione. La mancata protezione di un server durante la manutenzione può esporre il sistema a potenziali attacchi.
Il malware è un software o un codice dannoso che mira a danneggiare o distruggere i sistemi informatici e altri dispositivi personali con vari mezzi, tra cui il furto di dati, l'accesso non autorizzato, la condivisione di informazioni private, ecc. I cyberattaccanti possono usare il malware per armare Active Directory e mappare i possibili percorsi di attacco, rendendo cruciale per le organizzazioni l'attenzione alla sicurezza e al ripristino di AD. Le soluzioni Semperis offrono un monitoraggio continuo e una valutazione delle vulnerabilità di AD, oltre alla possibilità di annullare le modifiche non autorizzate senza l'intervento dell'amministratore.
Un attacco man-in-the-middle (MiTM) è un attacco informatico in cui l'attaccante si posiziona tra due parti (ad esempio, due utenti, un utente e un'applicazione, una workstation e un computer server) nel tentativo di intercettare, ispezionare e persino modificare i dati scambiati tra le parti. Questo attacco può portare a violazioni dei dati, esponendo informazioni sensibili e fornendo accesso non autorizzato alle risorse di rete.
Un tipo di account di dominio che gestisce automaticamente la gestione delle password, eliminando la potenziale scadenza delle stesse che potrebbe causare interruzioni del servizio. Questi account possono essere presi di mira per attacchi di privilege escalation.
Un attributo in AD che specifica l'utente o il gruppo che gestisce un oggetto. Un uso improprio può portare all'accesso non autorizzato alle risorse.
Un attributo definito nello schema di Active Directory come obbligatorio per una classe di oggetti. Ad esempio, per un oggetto Utente, 'sAMAccountName' è un attributo obbligatorio.
Unità di rete mappate su un singolo sistema. Se un utente malintenzionato accede a un sistema con unità mappate, può potenzialmente accedere a dati sensibili o diffondere ransomware nella rete.
La variante del ransomware Maze, scoperta nel 2019, è considerata la prima in cui i cyberattaccanti non solo hanno criptato i dati, ma hanno anche minacciato di far trapelare i dati riservati delle vittime se le loro richieste non fossero state soddisfatte. Maze solitamente ottiene l'accesso tramite e-mail di phishing, quindi utilizza varie tecniche per muoversi lateralmente attraverso la rete. Compromette e sfrutta Active Directory (AD) per propagare il payload del ransomware al maggior numero possibile di sistemi.
Un computer con sistema operativo Windows Server che è membro di un dominio Active Directory ma non è un controller di dominio.
Questo attributo contiene i nomi distinti dei gruppi a cui appartiene un oggetto (utente o gruppo). Una configurazione errata può portare all'accesso non autorizzato alle risorse.
Una funzione di AD che consente di memorizzare nella cache l'appartenenza a un gruppo universale per un utente in un sito per migliorare le prestazioni di accesso. Se i dati della cache non sono protetti correttamente, possono essere sfruttati per ottenere un accesso non autorizzato.
MSMQ è un protocollo di messaggistica che consente alle applicazioni in esecuzione su server o processi separati di comunicare. Se non è adeguatamente protetto, può essere un potenziale punto di sfruttamento, consentendo messaggi o comandi non autorizzati.
Un database AD che memorizza i metadati degli oggetti in Active Directory. Se questo database è compromesso, un utente malintenzionato può modificare i metadati associati agli oggetti AD.
Nel contesto di Active Directory si riferisce ai dati relativi ai dati presenti nella directory. Ciò include informazioni su quando e come gli oggetti di dati sono stati creati, modificati, acceduti o eliminati, anche da chi. Dal punto di vista della cybersecurity, i metadati possono fornire informazioni cruciali durante un'indagine o un audit di sicurezza, in quanto possono rivelare modifiche non autorizzate, modelli di accesso o indicatori di compromissione.
Metasploit è un framework per i test di penetrazione che rende semplice l'hacking. È uno strumento essenziale nell'arsenale di un attaccante, con numerosi exploit, tra cui quelli rivolti agli ambienti AD.
Un protocollo di autenticazione creato da Microsoft, MS-CHAP, è stato trovato affetto da vulnerabilità e può essere sfruttato se utilizzato per l'autenticazione di rete.
Microsoft Defender for Identity (ex Azure Advanced Threat Protection) è una soluzione basata sul cloud che utilizza i segnali di Active Directory in sede per rilevare e rispondere alle minacce alla sicurezza informatica e alle identità compromesse. Defender for Identity monitora e analizza le attività e le informazioni degli utenti e dei client nella rete, creando una linea di base comportamentale per ogni utente. MDI avvisa quindi in caso di attività insolite del client o dell'utente stabilite da questa linea di base.
Un servizio centralizzato per la gestione delle identità su più directory. Se il MIIS viene violato, un aggressore potrebbe manipolare i dati delle identità nei vari sistemi.
MIM è un servizio che fornisce strumenti e tecnologie per la gestione di identità, credenziali e criteri di accesso basati sull'identità in ambienti eterogenei. MIM include funzioni per la sincronizzazione delle identità, la gestione di certificati e password e il provisioning degli utenti.
MMC ospita strumenti amministrativi chiamati snap-in, tra cui molti per AD, come lo snap-in Utenti e computer di Active Directory. Un accesso inappropriato a MMC può portare a modifiche non autorizzate in AD.
Mimikatz è uno strumento leader per l'estrazione di password in chiaro, hash, codici PIN e ticket Kerberos dalla memoria. Può essere utilizzato per sferrare attacchi Golden Ticket, in particolare, che sfruttano le vulnerabilità di Kerberos, consentendo agli aggressori di generare un ticket-granting ticket (TGT) e di ottenere privilegi a livello di dominio. Viene anche utilizzato per eseguire attacchi pass-the-hash che consentono a un aggressore di autenticarsi a un server o servizio remoto utilizzando l'hash NTLM o LanMan della password di un utente. Inoltre, lo strumento può essere utilizzato per lanciare attacchi Silver Ticket che comportano la creazione di ticket di servizio fraudolenti e consentono l'accesso a un servizio specifico su una macchina specifica, ma possono non essere rilevati dal controller di dominio.
Il MITRE ATT&CK Framework è uno strumento comunemente utilizzato per comprendere l'attuale copertura della sicurezza e determinare come migliorarla. Questa base di conoscenze fornisce informazioni fondamentali che possono essere utilizzate per sviluppare modelli di minacce ed è uno strumento popolare per costruire piani di sicurezza completi.
Questo termine si riferisce al livello funzionale di dominio di Active Directory quando sono presenti controller di dominio Windows NT 4.0. In modalità mista, alcune funzionalità avanzate sono disabilitate, rendendo AD più suscettibile ai rischi di sicurezza.
Vedi anche: Modalità nativa
Una posizione in una gerarchia di directory a cui è collegato un volume, che fornisce ulteriori posizioni per il file system. Se un punto di montaggio non è protetto correttamente, un utente malintenzionato potrebbe ottenere l'accesso non autorizzato a dati sensibili.
Questo cmdlet PowerShell viene utilizzato per spostare un server di directory in un nuovo sito. È utile nelle grandi organizzazioni per gestire la topologia di Active Directory.
Questo comando PowerShell trasferisce uno o più ruoli di operations master (FSMO) a un controller di dominio specificato.
Vedi anche: Ruoli di Flexible Single Master Operations (FSMO)
Questo cmdlet PowerShell viene utilizzato per spostare un oggetto o un contenitore di oggetti in un altro contenitore o dominio.
Questo strumento a riga di comando viene utilizzato per spostare gli oggetti AD tra i domini. Un uso improprio può portare al trasferimento accidentale o doloso degli oggetti, con conseguenti incoerenze e potenziali violazioni.
Questo attributo definisce quali servizi un account può rappresentare in una delegazione Kerberos. Una configurazione errata può portare all'escalation dei privilegi e ad attacchi di delega Kerberos.
Questo attributo determina il livello funzionale del dominio e della foresta dell'AD. Un livello funzionale inferiore può esporre l'AD a vulnerabilità, poiché alcuni miglioramenti della sicurezza sono disponibili solo a livelli superiori.
Questo attributo viene utilizzato come attributo di ancoraggio dell'origine in Azure AD Connect. Una configurazione errata può causare problemi di sincronizzazione tra AD on-premises e Azure AD, causando potenzialmente problemi di autenticazione.
Questo attributo memorizza il timestamp dell'ultimo accesso interattivo riuscito dell'utente. Tempi di accesso insoliti possono indicare una potenziale violazione della sicurezza.
Questo attributo determina il periodo di tempo in cui un account rimane bloccato dopo aver superato la soglia di blocco dell'account. Se troppo breve, potrebbe non prevenire efficacemente gli attacchi brute-force.
Funzionalità opzionali che sono state attivate o disattivate in una foresta di Active Directory. Una configurazione errata di queste funzionalità potrebbe esporre la foresta a rischi di sicurezza.
Questo attributo contiene i criteri di password a grana fine applicati agli oggetti utente o gruppo. Se queste impostazioni sono poco rigorose o non configurate correttamente, gli account utente possono essere vulnerabili ad attacchi brute-force o password-spray.
Questo attributo memorizza il timestamp dell'ultimo accesso riuscito dell'utente. Tempi di accesso anomali possono indicare una potenziale violazione della sicurezza.
Questo attributo rappresenta il computer principale di un utente. Se manipolato, l'attributo può consentire a un utente malintenzionato di impersonare il computer dell'utente, con conseguente accesso non autorizzato.
Questo attributo contiene metadati di replica per gli attributi collegati, come le appartenenze ai gruppi. Un attore pericoloso che abbia accesso a questo attributo può potenzialmente alterare le appartenenze ai gruppi, con conseguente escalation dei privilegi.
Questo attributo indica i tipi di crittografia che l'account utente supporta per la pre-autenticazione Kerberos. Tipi di crittografia deboli possono rendere l'account vulnerabile agli attacchi basati su Kerberos.
Questo attributo memorizza i flag che determinano lo stato dell'account utente, ad esempio se è disabilitato, bloccato o ha una password scaduta. La manipolazione non autorizzata di questi flag può portare all'escalation dei privilegi o all'accesso non autorizzato.
Questo attributo fornisce il momento preciso in cui la password di un utente scadrà. Se non viene gestito correttamente, può offrire una finestra di opportunità agli aggressori per tentare attacchi basati sulle credenziali.
Un'utilità di interfaccia a riga di comando per il programma di installazione di Microsoft Windows, utilizzato per l'installazione, la manutenzione e la rimozione del software.
Questo pacchetto di autenticazione in Windows gestisce gli hash NTLM. Il famoso attacco pass-the-hash prende spesso di mira questo pacchetto, poiché gli hash NTLM possono essere riutilizzati per l'autenticazione senza essere decifrati.
Una funzione che consente ai cluster di estendersi su più siti Active Directory per migliorare la disponibilità. Se non è configurato e protetto correttamente, questo tipo di clustering può diventare un potenziale vettore di attacco.
Un attributo di un oggetto che può contenere più di un valore. Gli attributi a più valori possono avere nessun valore, un valore o più di uno. Ad esempio, l'attributo memberOf di un oggetto utente, che contiene un elenco di tutti i gruppi a cui l'utente appartiene.
Le soluzioni di sicurezza multicloud aiutano a proteggere l'infrastruttura, le applicazioni e i dati tra i sistemi cloud di più provider.
L'MFA è un meccanismo di sicurezza che richiede agli utenti di dimostrare la propria identità utilizzando due o più metodi indipendenti, o fattori, prima che venga loro concesso l'accesso. Questi fattori possono includere qualcosa che si conosce (come una password), qualcosa che si possiede (come un token hardware o un telefono cellulare) e qualcosa che si è (come un'impronta digitale o un altro fattore biometrico). Nel contesto di Active Directory, l'implementazione dell'MFA può aumentare notevolmente la sicurezza rendendo più difficile per gli aggressori ottenere l'accesso anche se hanno compromesso la password di un utente, riducendo il rischio di successo di un attacco di phishing, password-spray o brute-force.
La capacità di Active Directory di consentire le modifiche in qualsiasi DC, che poi le replica ad altri DC. Se un aggressore compromette un singolo DC, può propagare le modifiche dannose agli altri.
Un identificatore univoco utilizzato da Microsoft per un oggetto in una directory. Le modifiche non autorizzate possono causare la perdita di accesso o incongruenze nella directory.
Una funzione di sicurezza che consente al client e al server di convalidare l'identità dell'altro prima di stabilire una connessione. Senza questa funzione, è più facile per un aggressore condurre attacchi di tipo man-in-the-middle (MitM).
Il processo di risoluzione di un nome host in un indirizzo IP all'interno di una rete. Attacchi come il DNS spoofing possono manipolare questo processo per reindirizzare il traffico di rete.
Nel contesto di AD, i Named Pipes sono un metodo di comunicazione tra processi (IPC). Sono soggetti a vulnerabilità legate all'IPC, come il DLL Hijacking o la Named Pipe Impersonation.
In Active Directory, uno spazio dei nomi è un contenitore che contiene oggetti come utenti, computer e altre unità organizzative. Uno spazio dei nomi ben progettato può aiutare a prevenire molti problemi di sicurezza, come gli scontri di nomi e gli errori di replica.
Conosciuta anche come partizione della directory in Active Directory, una NC è una porzione della directory che può essere replicata ai controller di dominio. Esistono tre tipi di NC:
Un livello funzionale di dominio (DFL) che si applica solo a Windows 2000 Server e che non supporta i controller di dominio Windows NT. Una volta in modalità Nativa, il dominio supporterà i gruppi annidati. L'alternativa è la modalità mista.
Vedi anche: Modalità mista
Un'utilità a riga di comando per riportare le statistiche NetBIOS su TCP/IP.
In Active Directory, i gruppi possono contenere altri gruppi, consentendo un'organizzazione gerarchica. Tuttavia, l'annidamento può portare a un'escalation involontaria di permessi e all'accesso alle risorse se non viene gestito con attenzione.
Strumento a riga di comando utilizzato per connettersi, disconnettersi e configurare le connessioni a risorse condivise, come unità di rete e stampanti. Se utilizzato in modo improprio, questo strumento può portare all'accesso non autorizzato alle risorse.
Acronimo di Network Basic Input/Output System, è un protocollo di rete utilizzato dai sistemi Windows per comunicare su una rete locale. Il nome NetBIOS di un computer è generalmente costituito dai primi 15 caratteri del nome host, seguiti dal carattere "$". La risoluzione dei nomi NetBIOS in indirizzi IP è fornita dalle trasmissioni locali e dal servizio WINS.
Conosciuto come il "coltellino svizzero" del TCP/IP, Netcat può leggere e scrivere dati attraverso le connessioni di rete. Gli aggressori possono utilizzare Netcat per creare backdoor, trasferire file o effettuare esplorazioni di rete.
Un servizio di Windows utilizzato per l'autenticazione di utenti e computer nei sistemi operativi più vecchi. Una condivisione chiamata Netlogon viene creata automaticamente su tutti i controller di dominio per la compatibilità con il passato e può contenere script di accesso. Il recente exploit ZeroLogon ha permesso agli aggressori di ottenere il controllo del controller di dominio utilizzando questo servizio.
Un'utilità di scripting a riga di comando che, tra le altre cose, consente di modificare le configurazioni di rete. Gli aggressori potrebbero utilizzare questo strumento per manipolare il traffico di rete o esfiltrare dati.
Questo strumento a riga di comando viene utilizzato per visualizzare le connessioni di rete attive e le porte in ascolto. Gli aggressori potrebbero utilizzarlo per la ricognizione interna dopo aver ottenuto l'accesso iniziale.
NAP è una tecnologia Microsoft per il controllo dell'accesso alla rete di un computer in base al suo stato di salute. Se compromesso, NAP può consentire l'accesso alla rete a sistemi non autorizzati.
Il NAT è un metodo di mappatura di uno spazio di indirizzi IP in un altro, modificando le informazioni sugli indirizzi di rete nell'intestazione IP dei pacchetti mentre sono in transito. Nel contesto di Active Directory, le regole NAT non configurate correttamente potrebbero esporre i servizi interni all'esterno, mettendo a rischio la sicurezza.
Si riferisce al processo di identificazione di tutti i dispositivi di una rete. Nel contesto di Active Directory, bisogna assicurarsi che solo le persone autorizzate possano eseguire l'individuazione della rete per evitare ricognizioni indesiderate.
NFS è un protocollo di file system distribuito che consente all'utente di un computer client di accedere ai file in rete in modo simile a come si accede allo storage locale. Le condivisioni NFS non correttamente configurate possono consentire l'accesso non autorizzato a file sensibili.
Il punto di interconnessione tra un computer e una rete pubblica o privata. Un'interfaccia di rete compromessa su un controller di dominio potrebbe consentire a un aggressore di intercettare o manipolare il traffico.
NLA è una funzione di sicurezza per le connessioni RDP che richiede all'utente che si connette di autenticarsi prima di stabilire una sessione con il server. La disabilitazione di NLA può rendere il server vulnerabile agli attacchi basati su RDP.
Un ascoltatore di rete è un servizio o un componente di rete che ascolta le connessioni o i pacchetti di rete in arrivo su una porta o un protocollo specifici. Attende le richieste di comunicazione in arrivo e risponde in modo appropriato in base a regole o configurazioni predefinite.
NPS è l'implementazione Microsoft di un server RADIUS e di un proxy. Come ogni sistema di autenticazione, è un componente critico della sicurezza e qualsiasi compromissione può portare all'accesso non autorizzato alla rete.
Una pratica di sicurezza in cui diverse porzioni di una rete sono separate l'una dall'altra. Questo può limitare la diffusione di movimenti laterali in caso di compromissione di Active Directory.
I servizi (ad esempio, DNS, DHCP) resi disponibili da un server a una rete privata o pubblica. Se questi servizi sono compromessi, possono avere un impatto diretto sulla sicurezza dell'ambiente Active Directory.
Lo sniffing di rete si riferisce all'utilizzo di analizzatori di protocollo di rete o strumenti simili per catturare e analizzare il traffico di rete. Nel contesto di AD, questo potrebbe potenzialmente esporre dati sensibili non criptati.
Protocollo di rete per la sincronizzazione dell'orologio tra sistemi informatici su reti di dati a commutazione di pacchetto e a latenza variabile. In Active Directory, l'accuratezza del cronometraggio è essenziale per l'autenticazione Kerberos, poiché è consentita una differenza massima di tempo (5 minuti per impostazione predefinita) tra l'ora del client e quella del server. Se un utente malintenzionato riesce a manipolare le risposte NTP su una rete, può potenzialmente sfruttarle per attacchi di replay o addirittura per causare errori di autenticazione in tutta la rete. Pertanto, è fondamentale proteggere le comunicazioni NTP.
Il New Technology File System (NTFS) è il file system utilizzato dal sistema operativo Windows NT per memorizzare e recuperare i file su un disco rigido. NTFS è il file system principale per le versioni recenti di Windows e Windows Server.
Questo cmdlet PowerShell viene utilizzato per creare una nuova unità organizzativa (OU) di AD. Se utilizzato in modo improprio, può portare alla creazione di OU non necessarie, interrompendo la struttura di AD e potenzialmente nascondendo modifiche non autorizzate.
Un cmdlet PowerShell utilizzato per creare un nuovo oggetto utente in Active Directory. L'uso da parte di un utente malintenzionato potrebbe portare alla creazione di account backdoor per l'accesso persistente.
Il National Institute of Standards and Technology (NIST) è un'agenzia del Dipartimento del Commercio degli Stati Uniti. Un esempio del modo in cui il NIST esegue la sua missione, "promuovere l'innovazione e la competitività industriale degli Stati Uniti facendo progredire la scienza, gli standard e la tecnologia di misurazione in modo da aumentare la sicurezza economica e migliorare la qualità della vita", è lo sviluppo del NIST Cybersecurity Framework. Questo approccio popolare per identificare e risolvere i rischi ad alta priorità per Active Directory (AD) e altri sistemi cruciali comprende cinque fasi:
Nmap è uno scanner di sicurezza utilizzato per scoprire host e servizi su una rete di computer, creando così una "mappa" della rete. Gli aggressori possono utilizzare questo scanner per la scoperta della rete e l'auditing della sicurezza.
Un ripristino non autoritario ripristina un controller di dominio AD a un punto nel tempo. Tuttavia, poiché questo tipo di ripristino non è contrassegnato come autoritativo, se un altro controller di dominio ha aggiornato oggetti o attributi dopo la data e l'ora di ripristino del controller di dominio di destinazione, tali aggiornamenti vengono replicati nel controller di dominio ripristinato, rendendo i suoi dati aggiornati.
Vedi anche: ripristino autorevole
Un NDR indica che un particolare pezzo di comunicazione (come un'e-mail o un pacchetto) non è stato consegnato. I cyberattaccanti possono utilizzare gli NDR per ottenere informazioni sulla struttura interna del sistema di posta elettronica di un'organizzazione per eseguire un attacco mirato.
Nel contesto di Active Directory, il non ripudio si riferisce alla capacità di garantire che una parte in una controversia non possa negare la validità delle prove (come un utente che nega le sue attività). Una politica di audit debole può portare a un non ripudio insufficiente.
Il processo di modifica dei dati per adattarli al formato desiderato. Gli aggressori possono aggirare i controlli di convalida dell'input attraverso incongruenze di normalizzazione.
Il malware "wiper" NotPetya agisce come un ransomware, ma non ha un modo per invertire la sua crittografia. NotPetya colpisce in particolare Active Directory (AD), interrompendo le operazioni. NotPetya è famoso per i suoi attacchi devastanti del 2017, iniziati in Ucraina e che hanno causato danni stimati - e senza precedenti - per 10 miliardi di dollari in tutto il mondo.
Un'utilità a riga di comando per diagnosticare i problemi dell'infrastruttura del Domain Name Service (DNS).
Account di servizio integrati nei sistemi Windows. Se questi account sono compromessi, spesso possono fornire alti livelli di accesso al sistema.
NT Service Hardening limita i servizi di Windows dall'eseguire attività anomale nel file system, nel registro, nella rete o in altre risorse che potrebbero essere utilizzate per consentire la persistenza o la diffusione di malware.
Un'utilità di backup integrata in Windows. Se un utente malintenzionato riesce a manipolare o ad accedere a questi backup, può ottenere l'accesso a dati sensibili.
Si tratta di un file di sistema di Windows utilizzato nel processo di avvio. La manomissione o la compromissione di questo file può portare a un accesso persistente a livello di sistema per un utente malintenzionato.
Le quote NTDS limitano il numero di oggetti che un preside di sicurezza può possedere nella directory. Se non impostate correttamente, potrebbero essere sfruttate per un attacco DoS (Denial of Service).
Il database AD memorizzato sui controller di dominio, contenente tutte le informazioni sugli oggetti utente, comprese le password con hash. Gli aggressori prendono spesso di mira questo file per estrarre dati sensibili.
Strumento a riga di comando che fornisce funzionalità di gestione per i servizi di dominio Active Directory (AD DS) e Active Directory Lightweight Directory Services (AD LDS). Se usato in modo malevolo, può causare danni significativi ai servizi AD.
Vedi anche: Servizi di dominio di Active Directory (AD DS), Servizi di directory leggera di Active Directory (AD LDS)
Uno strumento per estrarre i dati AD dai file ntds.dit (il database AD). NTDSXtract può essere utilizzato per scoprire nomi utente, appartenenze a gruppi, criteri di password e altro ancora. Questi dati possono aiutare un aggressore a pianificare e condurre attacchi.
Permessi sugli oggetti del file system sui volumi NTFS, gestiti tramite Active Directory. Le configurazioni errate possono portare all'accesso non autorizzato ai dati o alla negazione del servizio.
NTLM è un insieme di protocolli di sicurezza utilizzati per autenticare, fornire integrità e riservatezza agli utenti. Mentre Kerberos è il protocollo di autenticazione preferito ed è utilizzato nelle versioni moderne di Windows, NTLM è ancora disponibile per i client più vecchi e per i sistemi di un gruppo di lavoro. NTLM presenta diverse falle di sicurezza, inclini a vari attacchi come pass-the-hash e pass-the-ticket, che consentono agli aggressori di accedere alle password degli utenti, e dovrebbe quindi essere evitato.
In un attacco NTLM relay, un utente malintenzionato intercetta le sessioni di autenticazione NT LAN Manager (NTLM) tra i computer di una rete e poi inoltra (relay) le credenziali a un altro host della rete. Ciò consente all'aggressore di eseguire comandi o accedere a risorse sul secondo host utilizzando le credenziali intercettate.
Uno strumento costruito con l'obiettivo di rendere facile e veloce la ricognizione basata sul protocollo NTLM. Può essere utilizzato per identificare i domini e i servizi che supportano le sessioni Null.
Un tipo di bind anonimo in LDAP. Quando il null bind è abilitato, può consentire a un utente anonimo di connettersi alla directory e potenzialmente accedere a informazioni sensibili.
Le sessioni nulle in Windows sono sessioni NetBIOS non autenticate, che possono consentire a un aggressore di raccogliere numerose informazioni sul sistema.
OAuth è uno standard aperto per la delega dell'accesso, comunemente utilizzato per l'autenticazione e l'autorizzazione basate su token. La protezione dei token OAuth è fondamentale; gli aggressori possono utilizzare token rubati per impersonare utenti legittimi.
In Active Directory, un oggetto è un insieme distinto e denominato di attributi che rappresenta qualcosa nella rete, come un utente, un computer o un gruppo. La protezione di questi oggetti è fondamentale, poiché la loro compromissione può consentire agli aggressori di ottenere un accesso non autorizzato o di elevare i propri privilegi.
Questa funzione consente di raccogliere informazioni ogni volta che si accede a un determinato tipo di oggetto. La mancanza di un auditing appropriato potrebbe far passare inosservate le attività dannose.
Questo evento di Active Directory si verifica quando un oggetto, come un utente o un gruppo, viene rimosso. Il monitoraggio delle cancellazioni impreviste di oggetti è importante per individuare potenziali attività dannose.
Questo valore univoco globale viene utilizzato per identificare una serie di elementi, tra cui gli attributi e le classi dello schema, i meccanismi di sicurezza e le forme dei nomi. Gli OID sono fondamentali per l'interoperabilità e l'estensibilità del servizio di directory. In molte implementazioni di directory LDAP, un OID è la rappresentazione interna standard di un attributo. Ogni attributo nello schema di Active Directory ha un OID X.500 unico. Tutti i valori OID creati da Microsoft iniziano con 1.2.840.113556.
L'ereditarietà degli oggetti è una proprietà degli oggetti di Active Directory in cui gli oggetti figli ereditano le autorizzazioni degli oggetti genitori. Impostazioni errate possono portare alla concessione accidentale di autorizzazioni eccessive.
Questo attributo viene utilizzato per raggruppare classi simili. Una configurazione errata può portare a classificazioni errate e a potenziali vulnerabilità di sicurezza.
Questo attributo determina il tipo di oggetti (ad esempio, utente, computer, gruppo) che vengono memorizzati in Active Directory. Specifica anche l'insieme degli attributi must-have (cioè, ogni oggetto della classe deve avere almeno un valore di ciascuno) e degli attributi may-have (cioè, ogni oggetto della classe può avere un valore di ciascuno). ObjectClass è definito in un oggetto classSchema. La manipolazione di questo attributo può consentire a un aggressore di mascherare un'attività dannosa.
Un identificatore unico per un oggetto in Active Directory, che rimane costante. Gli aggressori potrebbero utilizzare gli ObjectGUID per mantenere la persistenza nell'ambiente.
Questo identificatore univoco viene assegnato a ciascun oggetto in un dominio Active Directory. Se un aggressore riesce a manipolare questi identificatori, può ottenere un accesso non autorizzato.
Questo processo consente a un computer di unirsi a un dominio senza bisogno di connettività di rete. Un potenziale vettore di attacco potrebbe costringere un dispositivo a unirsi a un dominio controllato da un aggressore.
Questo strumento può essere utilizzato per modificare la password di qualsiasi utente che abbia un account locale valido su un sistema Windows. Se un utente malintenzionato ottiene l'accesso fisico a un sistema, può utilizzare questi strumenti per accedere a un account locale e potenzialmente aumentare i propri privilegi.
Questa famosa piattaforma di gestione dell'identità e degli accessi (IAM) fornisce un software cloud per aiutare le aziende a gestire e proteggere l'autenticazione degli utenti nelle applicazioni moderne e per consentire agli sviluppatori di creare controlli sull'identità nelle applicazioni, nei servizi web dei siti web e nei dispositivi. Può essere integrata con Active Directory per gestire l'accesso degli utenti in ambienti on-premises e cloud. Se compromesso, può portare a un accesso non autorizzato diffuso.
Questo strumento a riga di comando, sviluppato da Joe Richard (DS-MVP) per interrogare Active Directory alla ricerca di computer o account utente inutilizzati, può anche ripulire gli account.
Questo strumento viene utilizzato per replicare le informazioni di Active Directory in sede ai servizi cloud di Microsoft. Una compromissione di DirSync potrebbe esporre i dati sensibili di Active Directory in sede a un utente malintenzionato.
Una password valida per una sola sessione di accesso o transazione. È comunemente utilizzata nei sistemi di autenticazione a due fattori per fornire un ulteriore livello di sicurezza oltre al semplice nome utente e alla password.
In Active Directory, un trust unidirezionale è un percorso di autenticazione unidirezionale creato tra due domini. Se un aggressore lo compromette, può ottenere l'accesso non autorizzato alle risorse di un dominio pur provenendo dall'altro.
È un protocollo Internet utilizzato per ottenere lo stato di revoca di un certificato digitale X.509. Un aggressore potrebbe eseguire un attacco OCSP spoofing per imitare un'autorità di certificazione ed emettere certificati fraudolenti.
Il software sottostante che controlla un computer o un server. L'hardening del sistema operativo dei controller di dominio è fondamentale per la sicurezza di Active Directory.
Attributi che la directory fornisce automaticamente, come creationTimeStamp. Questi attributi sono calcolati da un controller di dominio su richiesta. Possono essere utilizzati per tenere traccia delle azioni e delle modifiche apportate agli oggetti. Una ricerca LDAP che richiede "tutti gli attributi" non restituisce gli attributi operativi e i loro valori. Gli aggressori potrebbero tentare di manipolare o cancellare questi attributi per nascondere le loro attività.
Un attributo definito nello schema come opzionale per una classe di oggetti. A differenza degli attributi obbligatori, gli attributi opzionali non sono tenuti ad avere un valore.
In termini di Active Directory, l'identità organizzativa si riferisce alle credenziali e agli identificatori che appartengono a un'azienda o a un'organizzazione. La protezione di questi identificatori è fondamentale per impedire agli aggressori di mascherarsi come entità legittime all'interno dell'organizzazione.
Una UO è un tipo di contenitore all'interno di Active Directory in cui è possibile inserire utenti, gruppi, computer e altre unità organizzative. Le UO possono essere utilizzate per assegnare criteri di gruppo e gestire le risorse; una configurazione errata può portare ad accessi non appropriati.
Un oggetto orfano rimane nel database della directory, ma è stato eliminato in senso pratico perché il suo oggetto genitore è stato eliminato. Questi oggetti possono essere sfruttati da un aggressore per nascondere le proprie attività o mantenere la persistenza in un ambiente.
Il provisioning del sistema operativo (OS) è l'atto di installare un determinato sistema operativo su più host.
Questo tipo di patch viene rilasciato in un momento non programmato, in genere per risolvere una vulnerabilità specifica. Applicate queste patch rapidamente per evitare lo sfruttamento.
Le impostazioni e le configurazioni predefinite che accompagnano un sistema o un software al momento della prima installazione. Queste configurazioni possono talvolta essere insicure, quindi è importante renderle più rigide in base alle best practice per evitare un facile sfruttamento.
La replica in uscita è il processo con cui un controller di dominio replica le modifiche ad altri controller di dominio. Se un utente malintenzionato riesce a manipolare questo processo, può propagare modifiche dannose in tutto il dominio.
Una relazione di fiducia tra due domini ai fini dell'autenticazione. La fiducia in uscita è dal punto di vista del dominio che si fida di un altro dominio.
Outlook Anywhere consente di accedere al server Exchange dal client Outlook senza utilizzare una VPN. Se non è adeguatamente protetto, questo può costituire un potenziale punto di accesso per gli aggressori.
OWA consente di accedere alla posta elettronica tramite un browser Web. Se non è protetto correttamente, questo può costituire un punto di accesso per gli aggressori.
In questa configurazione, due collegamenti tra siti hanno siti in comune. Se non gestita correttamente, questa configurazione può portare a un traffico di replica inefficiente, offrendo potenziali opportunità a un aggressore di intercettare dati sensibili.
Un attacco overpass-the-hash è simile a un attacco pass-the-hash ma coinvolge Kerberos anziché NTLM. L'attaccante utilizza l'hash della password dell'utente per generare un hash di pre-autenticazione Kerberos, che viene poi utilizzato per richiedere un ticket di concessione (TGT) al controller di dominio.
Vedi anche: Kerberos, attacco Pass-the-hash
In Active Directory, ogni oggetto ha un proprietario, che ha determinati diritti sull'oggetto. Un utente malintenzionato che assume la proprietà di un oggetto potrebbe potenzialmente abusare di tali diritti.
Questo principio di sicurezza rappresenta il proprietario attuale di un oggetto. Un aggressore che ottiene i diritti di proprietario può modificare attributi importanti dell'oggetto, causando violazioni della sicurezza.
In Active Directory, il contenitore padre si riferisce all'oggetto contenitore di livello superiore che contiene altri oggetti.
Un oggetto è la radice di un albero di oggetti o ha un oggetto genitore sopra di esso nella gerarchia dell'albero. Se due oggetti hanno lo stesso genitore, devono avere nomi distinti relativi (RDN) diversi.
Una relazione gerarchica tra due domini in Active Directory, dove un dominio è il genitore e l'altro è il figlio. I domini figli ereditano i criteri dal dominio padre.
Il sottoinsieme di attributi da replicare alle repliche parziali del contesto di denominazione (NC). Specifica quali attributi devono essere replicati ai server Global Catalog.
Una divisione logica del database di Active Directory che memorizza oggetti e attributi. Le partizioni comprendono la partizione dello schema, la partizione della configurazione e le partizioni del dominio. Una corretta gestione delle partizioni è essenziale per mantenere l'integrità e la scalabilità della directory.
In un attacco pass-the-hash, un utente malintenzionato ottiene l'accesso all'hash della password dell'account di un utente in Active Directory e lo utilizza per autenticare e impersonare l'utente senza conoscere la password effettiva. Questo attacco sfrutta algoritmi di hashing deboli o hash di password rubati.
In un attacco "pass-the-ticket", un aggressore ruba un ticket Kerberos (TGT) dalla macchina di un utente e lo usa per ottenere un accesso non autorizzato alle risorse, senza bisogno di autenticarsi.
Questo tipo di autenticazione consente agli utenti di utilizzare lo stesso nome utente e la stessa password sia in sede che nel cloud, senza la necessità di un sistema di federazione di terze parti.
Questa funzione consente di sincronizzare le modifiche della password in Active Directory con altri sistemi. Ad esempio, quando un utente cambia la propria password in Active Directory, il PCNS assicura che la modifica si rifletta negli altri sistemi a cui l'utente ha accesso.
Un requisito nella politica delle password che impone l'uso di password forti contenenti una combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali. L'applicazione della complessità delle password rende più difficile per gli aggressori indovinare o decifrare le password. Se i requisiti di complessità delle password sono importanti, è altrettanto fondamentale educare gli utenti sull'importanza dell'igiene delle password, evitando di riutilizzarle su più account e adottando misure di sicurezza aggiuntive come l'autenticazione a più fattori per una maggiore protezione.
Un criterio che richiede agli utenti di cambiare le password dopo un determinato intervallo di tempo. La scadenza delle password aiuta a imporre aggiornamenti regolari delle password e riduce il rischio che le credenziali compromesse vengano utilizzate per un periodo prolungato.
Un componente di Active Directory che intercetta e convalida le modifiche alle password per applicare criteri di password personalizzati o eseguire controlli aggiuntivi. I filtri per le password sono utilizzati per migliorare la sicurezza delle password e impedire che vengano impostate password deboli o facilmente indovinabili.
Rappresentazione matematica della password di un utente memorizzata in Active Directory. Gli aggressori prendono di mira gli hash delle password perché possono essere violati offline, consentendo l'accesso non autorizzato agli account degli utenti. Tecniche come gli attacchi Pass-the-Hash sfruttano gli hash delle password.
Una funzione di Azure AD Connect che sincronizza gli hash delle password degli account utente di Active Directory in sede ad Azure AD (Entra ID), consentendo agli utenti di utilizzare le loro password in sede per accedere ai servizi cloud. La protezione della sincronizzazione degli hash delle password è fondamentale per evitare la compromissione delle credenziali degli utenti.
Questo meccanismo di Active Directory impedisce agli utenti di riutilizzare le password usate in precedenza, mantenendo una cronologia delle modifiche apportate alle password. I criteri di cronologia delle password migliorano la sicurezza scoraggiando il riutilizzo di vecchie password.
Questa funzione di sicurezza di Active Directory blocca temporaneamente un account utente dopo un determinato numero di tentativi di accesso falliti. I criteri di blocco della password aiutano a prevenire gli attacchi brute-force e i tentativi di accesso non autorizzati.
Un insieme di regole e requisiti che dettano la complessità, la lunghezza, la scadenza e altre caratteristiche delle password degli utenti in Active Directory. Criteri di password deboli possono rendere gli account utente suscettibili di attacchi brute-force e di indovinare le credenziali.
Il processo che garantisce che i criteri di password definiti siano applicati e rispettati da tutti gli utenti di Active Directory. L'applicazione corretta dei criteri di password contribuisce a ridurre il rischio di password deboli e a migliorare la sicurezza generale.
Il processo di modifica della password dimenticata o scaduta di un utente in Active Directory. La corretta implementazione delle procedure di reimpostazione della password garantisce un ripristino sicuro e autorizzato dell'accesso, riducendo al minimo il rischio di social engineering o di modifiche non autorizzate della password.
Oggetti nel contenitore System di Active Directory che implementano i criteri di password a grana fine (FGPP).
Tecnica utilizzata dagli aggressori per indovinare password comuni o deboli su un gran numero di account utente in Active Directory, con l'obiettivo di evitare il blocco degli account e aumentare le probabilità di successo dell'autenticazione. Invece di provare più password contro un solo utente, cosa che può provocare il blocco dell'account, un aggressore prova una password comunemente usata contro più account, riducendo il rischio di rilevamento e aumentando le probabilità di successo dell'autenticazione.
Un metodo di autenticazione che elimina la necessità di utilizzare le password tradizionali, spesso sostituite da fattori biometrici (ad esempio, impronte digitali o riconoscimento facciale), token hardware o altri metodi di autenticazione sicuri. L'autenticazione senza password riduce il rischio di attacchi legati alla password e può migliorare la comodità dell'utente.
Il processo di applicazione regolare di aggiornamenti software (patch) per risolvere vulnerabilità e bug nei componenti di Active Directory e nei sistemi associati. La mancata applicazione delle patch può lasciare i sistemi esposti a exploit e attacchi noti.
Uno dei cinque ruoli Flexible Single Master Operations (FSMO) di AD, un emulatore PDC agisce come il controller di dominio primario (PDC) di Windows NT per la compatibilità all'indietro. L'emulatore PDC è responsabile della gestione delle modifiche delle password, del blocco degli utenti e dei Criteri di gruppo. Inoltre, funge da fonte di tempo primaria per il dominio. L'emulatore PDC è l'obiettivo della maggior parte degli strumenti dei Criteri di gruppo. Un controller di dominio in ogni dominio deve ricoprire questo ruolo.
Vedi anche: Ruoli di Flexible Single Master Operations (FSMO)
Il processo con cui gli oggetti in Active Directory ereditano le autorizzazioni dai loro contenitori o unità organizzative (UO). La comprensione e la corretta gestione dell'ereditarietà dei permessi è importante per garantire un controllo degli accessi coerente e impedire l'accesso involontario a risorse sensibili.
Vedi anche: Eredità
Diritti di accesso concessi a utenti, gruppi o account di computer che determinano le azioni che possono eseguire sugli oggetti di Active Directory. Le autorizzazioni non configurate correttamente possono portare ad accessi non autorizzati, escalation di privilegi o esposizione di informazioni sensibili.
Un utente malintenzionato utilizza un account valido per generare un token di accesso e modifica il token per elevare i privilegi, consentendo all'utente malintenzionato di eseguire comandi o accedere a risorse che normalmente non rientrano nelle sue autorizzazioni.
PetitPotam è un metodo di attacco in cui i cyberattaccanti costringono un client vittima ad autenticarsi a un computer arbitrario senza alcuna interazione con l'utente. Quando PetitPotam viene sfruttato e le credenziali di Windows NT LAN Manager (NTLM) vengono inviate ai servizi di certificazione di Active Directory, un cyberattaccante può ottenere i privilegi di amministratore di dominio senza una precedente autenticazione al dominio.
Tecnica ingannevole utilizzata dagli aggressori per indurre gli utenti a rivelare le proprie credenziali o informazioni sensibili attraverso e-mail, siti web o altri canali di comunicazione fraudolenti. Gli attacchi di phishing spesso prendono di mira gli utenti di Active Directory per ottenere un accesso non autorizzato alla rete. Una volta ottenute le credenziali degli utenti, iniziano a raccogliere informazioni sulle risorse del sistema e tentano di muoversi lateralmente attraverso la rete. Inoltre, queste credenziali possono essere utilizzate per creare attacchi più precisi, personalizzati e dedicati a specifici utenti aziendali di alto valore.
PingCastle è uno strumento di valutazione di Active Directory scritto in C#. Basato su modelli e regole integrate, questo strumento valuta i sottoprocessi di AD e genera un rapporto sui rischi che include un punteggio per gli account privilegiati, le relazioni di fiducia tra i domini AD, le informazioni sugli oggetti obsoleti e le anomalie di sicurezza. Per gli ambienti ibridi, può anche fornire informazioni sulla sicurezza della relazione di fiducia con Azure AD. Gli aggressori possono utilizzare questo strumento per analizzare lo stato dell'ambiente AD e identificare potenziali vulnerabilità.
Vedi anche: Purple Knight
PowerSploit è un framework PowerShell Post-Exploitation ampiamente utilizzato dagli aggressori per varie attività come l'esecuzione di payload, l'esfiltrazione, l'escalation dei privilegi e altro ancora in un ambiente AD.
Questo gruppo incorporato in Active Directory comprende tutti gli account di utenti e computer che necessitano di compatibilità con i sistemi più vecchi basati su Windows NT 4.0.
Utilizzato per motivi di compatibilità con i vecchi sistemi operativi. Per gli oggetti utente e gruppo, questo nome è il valore dell'attributo sAMAccountName. Per gli oggetti computer, è il nome NetBIOS del computer con il carattere "$" aggiunto alla fine.
Nei domini basati su Windows NT, il controller di dominio primario (PDC) era il primo controller di dominio del dominio e aveva zero o più controller di dominio di backup (BDC). Un controller di dominio (DC) designato per tenere traccia delle modifiche apportate agli account di tutti i computer di un dominio. Sebbene utilizzato da molti, il concetto di PDC non è più applicabile in Windows 2000 e in Active Directory, in quanto tutti i controller di dominio sono essenzialmente uguali dal punto di vista della replica, poiché utilizza il modello di replica multi-master. Da non confondere con PDC Emulator.
Un gruppo assegnato a ciascun utente in Active Directory, che rappresenta la sua affiliazione primaria all'interno del dominio. Utilizzato soprattutto per la conformità a POSIX. I gruppi primari sono utilizzati per il controllo degli accessi e sono associati alle autorizzazioni sulle risorse.
L'indirizzo e-mail associato a un utente o a una casella di posta elettronica che è considerato l'indirizzo primario per la comunicazione. Active Directory utilizza l'indirizzo SMTP primario come identificatore univoco per le operazioni relative alla posta elettronica.
Il diritto di un utente di eseguire operazioni relative al sistema, come il debug del sistema. I diritti e i privilegi sono di fatto la stessa cosa e vengono concessi a principi di sicurezza come utenti, servizi, computer o gruppi. Alcuni (come Abilita gli account di computer e utenti ad essere affidabili per la delega) si applicano ad Active Directory, mentre altri (come Cambia l'ora del sistema) si applicano al sistema operativo Windows. L'utente è considerato un membro del suo gruppo primario. Il contesto di autorizzazione di un utente specifica i privilegi di cui dispone.
Il processo di assegnazione di privilegi o diritti amministrativi specifici a utenti o gruppi non amministratori all'interno di Active Directory. La delega dei privilegi consente agli utenti di eseguire compiti specifici senza concedere loro l'accesso amministrativo completo, riducendo al minimo il rischio di abuso dei privilegi o di modifiche non autorizzate.
Il processo di ottenimento di livelli di accesso e autorizzazioni superiori a quelli originariamente assegnati. Gli attacchi di escalation dei privilegi all'interno di Active Directory possono consentire agli aggressori di aggirare i controlli di sicurezza e ottenere privilegi amministrativi. Una volta entrati nel vostro ambiente, i cyberattaccanti di solito cercano l'escalation dei privilegi, passando da account con privilegi inferiori a quelli superiori, nel tentativo di ottenere privilegi amministrativi e accesso ad Active Directory.
Vedi anche: Dominanza del dominio, Movimento laterale, Accesso privilegiato
La pratica di dividere i privilegi amministrativi tra più account utente in Active Directory, garantendo che nessun singolo account abbia un accesso eccessivo o illimitato. La separazione dei privilegi aiuta a minimizzare l'impatto degli account compromessi e riduce il rischio di azioni non autorizzate.
L'accesso privilegiato garantisce diritti e controllo superiori a quelli standard sulle risorse di un ambiente. Questo tipo di accesso deve essere concesso con parsimonia, poiché ottenere il controllo di un account di accesso privilegiato può consentire ai cyberattaccanti di spegnere o disattivare Active Directory e ottenere il controllo della rete.
Vedi anche: Dominanza del dominio, Movimento laterale, Escalation di privilegi
Una soluzione in Microsoft Identity Manager (MIM) che aiuta a mitigare i problemi di sicurezza associati all'escalation dei privilegi amministrativi o all'uso improprio.
Un account con autorizzazioni e diritti di accesso elevati che può eseguire attività amministrative all'interno di Active Directory. Gli account privilegiati compromessi sono un obiettivo primario per gli aggressori, in quanto possono garantire un controllo esteso sul dominio.
PsExec è un sostituto leggero di telnet che consente di eseguire processi su altri sistemi. Gli aggressori lo utilizzano come strumento di movimento laterale in un ambiente AD.
PsTools è un insieme di strumenti a riga di comando ampiamente utilizzati che consentono di gestire sistemi locali e remoti. Questi strumenti possono essere utilizzati dagli aggressori per vari compiti, come l'esecuzione di processi in remoto, l'arresto di sistemi o la visualizzazione di informazioni di sistema.
Parte del toolkit pass-the-hash, PTH-Winexe consente l'esecuzione di comandi sui sistemi Windows passando hash NTLM invece di credenziali in chiaro, consentendo movimenti laterali ed esecuzione di comandi remoti.
Una chiave crittografica utilizzata negli algoritmi di crittografia asimmetrica, composta da una coppia di chiavi pubbliche e private. Le chiavi pubbliche sono ampiamente distribuite e utilizzate per criptare i dati o verificare le firme digitali nelle comunicazioni di Active Directory.
Un documento firmato digitalmente che lega una chiave pubblica all'identità di un'entità, convalidando l'autenticità e l'integrità della chiave pubblica. I certificati a chiave pubblica sono utilizzati in Active Directory per la sicurezza delle comunicazioni, l'autenticazione e la crittografia.
Un quadro di servizi, tecnologie e protocolli crittografici utilizzati per stabilire e gestire certificati digitali, coppie di chiavi pubbliche-private e comunicazioni sicure in Active Directory. La PKI è fondamentale per garantire l'autenticazione, l'integrità e la riservatezza dei dati.
Quando si tratta di proteggere l'azienda dagli attacchi informatici, la protezione dell'infrastruttura di identità è fondamentale. Le infiltrazioni nei sistemi di identità non solo espongono le risorse più importanti e le operazioni aziendali agli attacchi, ma possono passare inosservate per lunghi periodi, causando danni significativi. Pertanto, rafforzare la sicurezza delle identità è un passo importante. Per almeno il 90% delle aziende, ciò significa dare priorità alla sicurezza di Active Directory e Azure AD.
Le vulnerabilità di Active Directory e Azure AD possono dare agli aggressori un accesso praticamente illimitato alla rete e alle risorse dell'organizzazione. Semperis ha creato Purple Knight, uno strumento gratuito di valutazione della sicurezza di Azure AD e AD della comunità, per aiutarvi a scoprire gli indicatori di esposizione (IoE) e gli indicatori di compromissione (IoC) nel vostro ambiente AD ibrido.
Purple Knight aiuta a identificare le lacune di sicurezza nell'ambiente AD che possono lasciare la porta aperta ai cyberattaccanti. Lo strumento fornisce inoltre report di valutazione con valutazioni basate sulle seguenti categorie: Delegazione AD, sicurezza dell'infrastruttura AD, sicurezza degli account, Kerberos e sicurezza dei Criteri di gruppo.
Pwdump è uno strumento che estrae gli hash delle password NTLM e LanMan dal Security Account Manager (SAM) di Windows, che possono essere decifrati offline. Questo può portare ad accessi non autorizzati se non si adottano politiche di password forti.
Una query in Active Directory si riferisce a una richiesta fatta al servizio di directory per recuperare informazioni specifiche, come i dettagli di un utente o di un computer. Le query AD sono essenziali per gestire e controllare l'accesso alle risorse. Il Lightweight Directory Access Protocol (LDAP) è comunemente usato per eseguire query sul database di AD. Ad esempio, un amministratore può eseguire una query per trovare tutti gli utenti di uno specifico reparto.
Le quote in Active Directory si riferiscono ai limiti posti al numero di oggetti che un preside di sicurezza (come un utente o un gruppo) può possedere in una partizione della directory. Questo è particolarmente importante in un ambiente distribuito e di grandi dimensioni, per evitare che un singolo utente o gruppo crei un numero di oggetti tale da compromettere le prestazioni o lo storage dell'AD.
Una tabella testuale precompilata utilizzata per invertire le funzioni hash crittografiche, principalmente per decifrare gli hash delle password. Ogni tabella arcobaleno è specifica per una determinata funzione hash, set di caratteri e lunghezza della password. Le tabelle rainbow contengono milioni o addirittura miliardi di hash precalcolati per potenziali password. Un aggressore che ottiene la versione hash di una password (magari attraverso una violazione dei dati o penetrando in un sistema Active Directory non adeguatamente protetto) può utilizzare una tabella arcobaleno per cercare quell'hash e potenzialmente trovare la password originale.
Uno strumento che tenta di decifrare gli hash delle password con le tabelle arcobaleno.
Un tipo di malware che cripta i dati della vittima fino a quando non viene effettuato un pagamento al cyberattaccante. Alle vittime viene detto che se il pagamento viene effettuato, riceveranno una chiave di decrittazione per ripristinare l'accesso ai loro file, anche se spesso si tratta di un espediente. In un attacco a doppia estorsione, non solo viene trattenuta la chiave di decrittazione, ma l'attore malintenzionato minaccia anche di pubblicare i dati su siti di fuga di dati (DLS).
I gruppi di ransomware sono spesso collegati a organizzazioni criminali o terroristiche o a Stati nazionali ostili. Il pagamento del riscatto finanzia tipicamente ulteriori attività criminali.
Vedi anche: malware, ranswomware come servizio
Un modello di business in cui gli attori delle minacce affittano o acquistano varianti di ransomware dagli sviluppatori di ransomware nello stesso modo in cui le organizzazioni affittano prodotti SaaS da sviluppatori di software legittimi. Negli ultimi anni la popolarità del RaaS è cresciuta.
Vedi anche: malware, ransomware
I server RODC sono controller di dominio che conservano una copia di sola lettura del database di Active Directory e non consentono di modificare AD. Un RODC viene tipicamente distribuito in luoghi che richiedono un accesso rapido ai servizi AD, ma non sono fisicamente abbastanza sicuri da ospitare un controller di dominio scrivibile. Sebbene un RODC sia in grado di autenticare gli accessi degli utenti, le modifiche non vengono scritte direttamente su di esso, ma piuttosto su un controller di dominio scrivibile, quindi replicate sul RODC.
I controller di dominio scrivibili possono essere utilizzati per aggiornare gli oggetti in Active Directory. In Active Directory, tutti i controller di dominio sono scrivibili, a meno che non siano controller di dominio di sola lettura (RODC).
L'obiettivo del punto di ripristino (RPO) stabilisce un limite di età dei dati prima che venga eseguito il backup (ad esempio, 24 ore).
Vedi anche: obiettivo del tempo di recupero
Un obiettivo di tempo di ripristino (RTO) stabilisce un limite al tempo in cui un'applicazione, un sistema o un processo non possono essere disponibili (ad esempio, non più di 2 ore).
Vedi anche: obiettivo del punto di ripristino
Una query DNS ricorsiva è un tipo di query DNS in cui il resolver o server DNS tenta di risolvere la query interrogando iterativamente altri server DNS fino a ottenere la risposta finale. I client utilizzano comunemente questo tipo di query per risolvere i nomi di host in indirizzi IP.
Introdotta per la prima volta come funzione opzionale in Windows Server 2008 R2, questa funzione crea un nuovo contenitore nascosto nell'albero del dominio e memorizza gli oggetti eliminati per un numero specifico di giorni prima di rimuoverli definitivamente, consentendo di ripristinarli senza perdere i valori degli attributi dell'oggetto. Questa funzione può essere attivata e accessibile tramite la console Active Directory Administrative Center (ADAC).
Quando un oggetto è stato eliminato, rimane in un contenitore nascosto nell'albero del dominio fino a quando non è trascorso un periodo di tempo configurato (ad esempio, la durata della lapide), dopodiché l'oggetto viene rimosso definitivamente dalla memoria. Questi oggetti esistono solo quando la funzione opzionale Cestino è attivata.
Red Forest, noto anche come Enhanced Security Admin Environment (ESAE), era un concetto di sicurezza Microsoft in cui tutte le credenziali amministrative risiedevano in una foresta AD separata, fidata dalle foreste AD di produzione. L'approccio mirava a rimuovere le credenziali amministrative dalle foreste AD e quindi a migliorare la sicurezza. Il concetto è stato ritirato.
Nei test di cybersecurity, la squadra rossa è il gruppo di persone responsabili di attaccare le difese di cybersecurity di un'organizzazione, sfruttando le vulnerabilità del sistema e aiutando a identificare i metodi di contrattacco per i difensori (cioè la squadra blu).
Vedi anche: squadra blu
Il Registro di Windows memorizza le impostazioni e le opzioni di configurazione dei sistemi operativi Microsoft Windows, comprese quelle relative all'AD. Un utente malintenzionato che acceda al registro potrebbe modificare queste impostazioni per interrompere la funzionalità di AD o aumentare i propri privilegi.
Il nome di un oggetto rispetto al suo genitore. È la coppia attributo-valore più a sinistra nel nome distinto (DN) di un oggetto. Ad esempio, nel DN "cn=Daniel Petri, ou=Azienda Utenti, dc=semperis, dc=com", l'RDN è "cn=Daniel Petri".
Il RID è un identificatore univoco assegnato a ogni oggetto in un dominio AD. Viene combinato con un identificatore di dominio per formare un identificatore di sicurezza (SID) per l'oggetto. Il master RID, uno dei ruoli FSMO, è responsabile dell'elaborazione delle richieste di pool RID da parte di tutti i controller di dominio di un particolare dominio.
L'accesso remoto si riferisce ai metodi che consentono agli utenti di accedere a una rete AD da una posizione remota. I punti di accesso remoto non sicuri possono essere sfruttati dagli aggressori per accedere alla rete senza autorizzazione.
RDS, precedentemente noto come Terminal Services, consente all'utente di assumere il controllo di un computer remoto o di una macchina virtuale tramite una connessione di rete.
Vedi anche: Servizi terminali
La gestione remota si riferisce alla gestione dei sistemi informatici da una postazione remota. Ciò è particolarmente importante per l'amministrazione di controller di dominio distribuiti in varie località geografiche. Nel contesto di Active Directory, strumenti come Remote Server Administration Tools (RSAT) consentono agli amministratori di gestire ruoli e funzioni da remoto.
È un protocollo di comunicazione utilizzato dai programmi client per richiedere un servizio a un programma su un altro computer della rete. È molto utilizzato per la replica e l'amministrazione di AD. Tuttavia, se non è adeguatamente protetto, può essere sfruttato per spostamenti laterali.
Una raccolta di strumenti e applicazioni che consente agli amministratori IT di gestire in remoto ruoli e funzionalità di Windows Server 2008 e successivi da un computer workstation con Windows 7 e successivi. Simile all'installazione di adminpak.msi su computer client Windows 2000 o Windows XP.
Un comando PowerShell che rimuove un'unità organizzativa (OU) di AD. Se utilizzato in modo malevolo, potrebbe causare l'interruzione della struttura AD e la potenziale perdita degli oggetti all'interno dell'OU.
Un comando PowerShell che rimuove un utente AD. Se usato in modo malevolo, può portare all'eliminazione di account utente legittimi, causando potenzialmente interruzioni operative o perdita di dati.
Un'utilità della riga di comando per diagnosticare la replica di Active Directory tra i controller di dominio.
Una copia di uno spazio dei nomi di Active Directory (NC o contesto di denominazione) su un controller di dominio che si replica con altri controller di dominio all'interno della foresta AD.
La replica in Active Directory si riferisce al processo di copia dei dati da un controller di dominio a un altro. Questo processo garantisce che ogni controller di dominio abbia le stesse informazioni degli altri controller di dominio e consente di distribuire il database AD su più server. Se la replica fallisce o è ritardata, può portare a incoerenze, note come errori di replica.
Un server Bridgehead di replica è un controller di dominio designato per gestire il traffico di replica all'interno di un sito di Active Directory. Funge da punto centrale per la ricezione e l'invio dei dati di replica tra i siti, riducendo il traffico di replica sulle reti WAN (Wide Area Network).
L'intervallo di replica in Active Directory definisce l'intervallo di tempo tra due cicli di replica consecutivi tra i controller di dominio. Garantisce che le modifiche vengano propagate in modo efficiente attraverso la rete senza causare un traffico di replica eccessivo.
La latenza di replica è l'intervallo di tempo che intercorre tra l'aggiornamento finale di un oggetto AD e tutte le repliche.
I metadati di replica in AD vengono utilizzati per risolvere i conflitti che possono verificarsi durante la replica. I metadati tengono traccia delle modifiche già applicate per evitare che le vecchie modifiche sovrascrivano quelle più recenti.
La topologia di replica si riferisce alla struttura delle connessioni tra i controller di dominio per la replica dei dati in Active Directory. Definisce il modo in cui le modifiche vengono propagate attraverso la rete per garantire la coerenza dei dati.
Un comando PowerShell che reimposta la password dell'account macchina del computer. Se utilizzato in modo improprio, può interrompere il canale sicuro tra il computer e il suo dominio, con conseguente potenziale negazione del servizio o accesso non autorizzato.
ReFS è un file system sviluppato da Microsoft per i sistemi operativi Windows ed è stato progettato per superare alcune limitazioni di NTFS.
Strumento di rete in grado di manipolare le comunicazioni di rete e di rispondere alle richieste di broadcasting, Responder viene spesso utilizzato negli attacchi man-in-the-middle, aiutando gli aggressori a intercettare e manipolare il traffico.
Strumento di Windows che gli amministratori utilizzano per determinare l'effetto combinato dei Criteri di gruppo applicati a un sistema e/o a un utente. In sostanza, fornisce una visione cumulativa di tutti i criteri provenienti da varie fonti e applicati a un utente o a un sistema specifico. Questo strumento può essere particolarmente utile negli scenari di risoluzione dei problemi, quando un amministratore deve capire perché un determinato criterio ha o non ha effetto.
Un'operazione privata di ransomware as a service (RaaS) con sede in Russia o di lingua russa. Il ransomware REvil (noto anche come Sodinokibi) si diffonde spesso tramite attacchi brute-force ed exploit di server, ma può anche diffondersi tramite link malevoli e phishing. I cyberattaccanti possono utilizzare REvil per sfruttare le configurazioni errate di Active Directory (AD) o le password deboli per diffondersi attraverso la rete.
Si tratta del processo di invalidazione di un certificato, un processo che può essere gestito attraverso i Certificate Services di AD. La revoca corretta del certificato è importante per prevenire l'uso non autorizzato di un certificato in un attacco Man-in-the-Middle o in altri tipi di attacchi informatici.
In questo tipo di attacco, l'identificatore relativo (RID) di un account di dominio standard viene modificato in modo da corrispondere al RID di un account amministratore di dominio, promuovendo di fatto l'account standard allo stato di amministratore di dominio.
Uno dei cinque ruoli FSMO (Flexible Single Master Operations) di AD, il RID Master è responsabile dell'elaborazione delle richieste di pool RID da tutti i DC del dominio. Quando gli oggetti, come utenti e computer, vengono creati in Active Directory, viene loro assegnato un ID di sicurezza univoco (SID) e un ID relativo (RID). Il ruolo di master RID garantisce che a nessun oggetto in AD vengano assegnati gli stessi SID e RID. Un eventuale fallimento del ruolo di RID Master potrebbe avere un impatto sulla creazione di nuovi oggetti all'interno del dominio. Un controller di dominio in ogni dominio deve ricoprire questo ruolo.
Vedi anche: Ruoli di Flexible Single Master Operations (FSMO)
Un sistema per la crittografia a chiave pubblica.
RBAC è un principio chiave utilizzato nella gestione del controllo degli accessi. Assegna i permessi in base al ruolo di un utente all'interno dell'organizzazione piuttosto che al singolo utente. Questo approccio semplifica la gestione dei permessi e può ridurre il rischio di attacchi di privilege escalation.
Un oggetto che espone un insieme di proprietà caratteristiche della directory.
Il dominio root è il dominio più alto di una foresta Active Directory. Il dominio root è il primo dominio creato in una nuova foresta AD e diventa il genitore di tutti i domini figli successivi. La sicurezza e la stabilità del dominio root sono fondamentali per l'intera struttura di AD, poiché la compromissione del dominio root potrebbe portare a una violazione completa della foresta.
RRAS è un'API e un software server di Microsoft che consente di creare applicazioni per amministrare le funzionalità di routing e di servizio di accesso remoto del sistema operativo, per funzionare come router di rete. Tuttavia, i server RRAS, se fanno parte del dominio e non sono adeguatamente protetti, possono diventare un punto di ingresso per gli aggressori.
Un tipo di ransomware noto per colpire sistemi Windows di grandi dimensioni e di enti pubblici. Ryuk cripta i file, l'accesso al sistema e i dati di un computer, rendendo impossibile per gli utenti recuperare le informazioni o accedere ai programmi. Questo attacco presenta un aspetto insolito per Active Directory (AD): il ransomware viene inviato agli utenti ignari tramite gli oggetti dei criteri di gruppo (GPO) di AD.
Per difendersi dagli attacchi alle tabelle arcobaleno, è comune utilizzare un metodo chiamato "salting" (salatura) degli hash, in cui un valore casuale viene aggiunto alla password prima che questa venga sottoposta a hash. Questo rende le tabelle arcobaleno molto meno efficaci perché anche una piccola modifica dell'input (come l'aggiunta di un "sale") produce un hash drasticamente diverso. Vale la pena notare che la protezione degli hash delle password è un aspetto cruciale della sicurezza di un ambiente Active Directory.
Il nome di accesso degli utenti utilizzato per supportare i client e i server che eseguono versioni precedenti di Windows. Chiamato anche "nome di accesso pre-Windows 2000".
In un attacco SaveTheQueen, i cyberattaccanti prendono di mira AD attraverso un ceppo di ransomware che utilizza la condivisione SYSVOL sui controller di dominio AD per propagarsi in tutto l'ambiente. L'accesso alla condivisione SYSVOL, utilizzata per distribuire policy e script di accesso ai membri del dominio, richiede tipicamente privilegi elevati e indica una grave compromissione di AD.
Lo schema di Active Directory definisce ogni classe di oggetto che può essere creata e utilizzata nella foresta di Active Directory. Per impostazione predefinita, lo schema definisce ogni attributo che può esistere in un oggetto, le relazioni tra i vari attributi, quali sono obbligatori, quali permessi ha ciascuno e molti altri parametri. Lo schema è fondamentalmente un modello di come i dati e quali tipi di dati possono essere archiviati in Active Directory. Dal punto di vista della sicurezza informatica, le modifiche non autorizzate allo schema possono essere pericolose perché non possono essere annullate e possono avere un effetto distruttivo sui dati di Active Directory.
Il gruppo Schema Admins in Active Directory è un gruppo altamente privilegiato che ha il pieno controllo sullo schema di Active Directory. I membri di questo gruppo possono modificare lo schema, compresa l'aggiunta o l'eliminazione di definizioni di attributi e classi di oggetti. Ad esempio: Il gruppo Schema Admins comprende in genere gli amministratori IT responsabili della gestione dello schema di Active Directory, come l'implementazione di estensioni dello schema o l'esecuzione di aggiornamenti dello schema.
Dal punto di vista della sicurezza informatica, la compromissione del gruppo Schema Admins può avere gravi conseguenze, in quanto consente agli aggressori di apportare modifiche non autorizzate allo schema di Active Directory. Ciò potrebbe portare al danneggiamento dei dati, al denial of service o all'accesso non autorizzato a sistemi critici e informazioni sensibili.
Le estensioni dello schema in Active Directory si riferiscono al processo di modifica o aggiunta di nuove definizioni di attributi e classi di oggetti allo schema esistente di Active Directory. Ciò consente alle organizzazioni di personalizzare lo schema per soddisfare requisiti applicativi specifici o memorizzare attributi aggiuntivi per gli oggetti. Ad esempio: Un'organizzazione può estendere lo schema di Active Directory per includere attributi personalizzati per gli oggetti utente, in modo da memorizzare informazioni aggiuntive come i numeri identificativi dei dipendenti o i nomi dei reparti.
È uno dei cinque ruoli FSMO (Flexible Single Master Operations) di AD, responsabile della gestione di tutte le modifiche allo schema di Active Directory. L'accesso non autorizzato allo Schema Master può portare a modifiche critiche della struttura di AD, consentendo gravi attacchi. Un controller di dominio nell'intera foresta deve ricoprire questo ruolo.
Vedi anche: Ruoli di Flexible Single Master Operations (FSMO)
Un oggetto che definisce un attributo o una classe di oggetti.
Una versione del protocollo LDAP che stabilisce una connessione sicura al server LDAP applicando SSL/TLS. È fondamentale per proteggere lo scambio di informazioni tra client e controller di dominio da intercettazioni o manipolazioni.
Protocollo standard utilizzato in vari protocolli come HTTPS, LDAPS e altri, che supporta la riservatezza e l'integrità dei messaggi nelle applicazioni client e server che comunicano su reti aperte. SSL supporta l'autenticazione del server e, opzionalmente, del client utilizzando certificati X.509. SSL è stato sostituito da Transport Layer Security (TLS). La versione 1.0 di TLS si basa sulla versione 3.0 di SSL.
Il SAM è un database che memorizza gli utenti e gli oggetti di gruppo utilizzati dai sistemi operativi Windows client per autenticare gli utenti locali. Le password degli utenti sono memorizzate in un formato hash. Il SAM utilizza misure crittografiche per impedire l'accesso al sistema da parte di utenti non autenticati. Se un utente malintenzionato riesce ad accedere a questo database, può tentare di estrarre dettagli sugli account utente e sulle loro password.
Uno standard aperto basato su XML per lo scambio di dati di autenticazione e autorizzazione tra parti, in particolare tra un fornitore di identità e un fornitore di servizi. SAML è fondamentale negli scenari in cui è necessario un Single Sign-On (SSO) sicuro e senza interruzioni tra domini diversi. Aiuta le organizzazioni a fornire un'esperienza utente fluida, riducendo la necessità di password e login multipli, pur mantenendo alti livelli di sicurezza e controllo sull'accesso degli utenti.
In Active Directory, un descrittore di sicurezza è una struttura di dati che contiene le informazioni di sicurezza associate a un oggetto proteggibile come utenti, gruppi o computer. Include il SID del proprietario, il SID del gruppo primario, la DACL e la SACL. Un descrittore di sicurezza definisce chi ha quale tipo di accesso all'oggetto. Una configurazione errata di un descrittore di sicurezza può portare ad accessi non autorizzati o all'escalation dei privilegi.
Un processo all'interno di Active Directory che mantiene la coerenza degli elenchi di controllo degli accessi (ACL) in tutta la directory. Opera a livello di dominio e garantisce che le modifiche ai permessi apportate a un oggetto padre vengano propagate correttamente a tutti gli oggetti figli all'interno della gerarchia. Pertanto, svolge un ruolo fondamentale nell'applicazione delle politiche di sicurezza e di controllo degli accessi nell'infrastruttura AD.
Una raccolta di registri di Windows che cattura una serie di informazioni relative alla sicurezza, tra cui i tentativi di accesso e l'accesso alle risorse, che possono essere preziose per rilevare attività sospette. Se non vengono monitorate regolarmente, le attività dannose possono passare inosservate e portare a violazioni.
I gruppi di sicurezza possono contenere più account, come oggetti utente, oggetti computer o anche altri oggetti gruppo, che possono essere utilizzati per assegnare facilmente le autorizzazioni a una risorsa o per richiedere le autorizzazioni. I gruppi di sicurezza svolgono un ruolo cruciale nella protezione delle risorse e nella gestione dei diritti di accesso all'interno di un ambiente Active Directory, in quanto vengono utilizzati per applicare le autorizzazioni a una cartella o a un oggetto al gruppo anziché a ogni singolo account.
Un SID è un valore univoco utilizzato per identificare gli account di utenti, gruppi e computer in Windows. Se un utente malintenzionato è in grado di falsificare un SID, può impersonare un altro utente o ottenere privilegi non autorizzati. Il valore del SID per tutti gli oggetti di un dominio è identico. Per creare un valore univoco per i presidi di sicurezza, il valore SID viene combinato con un valore RID univoco controllato dal pool RID assegnato ai DC dal titolare del ruolo RID Master FSMO nel dominio.
Gli indicatori di sicurezza sono valori basati su metriche ottenute confrontando attributi logicamente correlati sul comportamento di un'attività, di un processo o di un controllo in un tempo specifico. Questi indicatori critici sono derivati da criteri predefiniti e possono essere predittivi della posizione di sicurezza complessiva di un'organizzazione. Gli indicatori di sicurezza comprendono indicatori di attacco (IOA), indicatori di compromissione (IOC) e indicatori di esposizione (IOE).
Vedi anche: Indicatori di attacco, Indicatori di compromissione, Indicatori di esposizione
Una tecnologia che aggrega e analizza i dati di log ed eventi generati da varie fonti nell'infrastruttura IT di un'organizzazione. Le organizzazioni utilizzano il SIEM per raccogliere, centralizzare e archiviare i log da varie fonti, in tempo reale.
È possibile utilizzare il SIEM per monitorare le attività sospette e analizzare gli eventi passati raccogliendo i log da reti, sistemi, infrastrutture, applicazioni o risorse specifiche. Il SIEM può anche ottenere feed di minacce esterne e utilizzare analisi avanzate per notificare eventi dannosi nell'ambiente Active Directory. Tuttavia, alcuni attacchi sono progettati per eludere il rilevamento del SIEM.
Un SOC è un'unità che opera come hub di cybersecurity di un'organizzazione, con il compito di rafforzare le misure di sicurezza e affrontare le minacce in tempo reale. Monitora vari sistemi, tra cui identità, endpoint, server e database, sfruttando anche le informazioni aggiornate sulle minacce per identificare e correggere le vulnerabilità prima che possano essere sfruttate dagli aggressori informatici.
Una suite di soluzioni progettate per semplificare le operazioni di sicurezza automatizzando il rilevamento e la risposta alle minacce. SOAR integra diversi strumenti e sistemi di sicurezza, fornendo una piattaforma unificata per la raccolta dei dati e l'esecuzione di risposte adeguate alle minacce. Ciò consente ai team di sicurezza di gestire e rispondere a un volume maggiore di minacce in modo più efficiente, migliorando la sicurezza complessiva dell'organizzazione.
È possibile utilizzare questa tecnologia di sicurezza per ridurre i tempi di risposta agli incidenti, che influiscono direttamente sulla produttività e sull'efficienza, e per accedere agli avvisi passati a scopo di ricerca. Tuttavia, alcuni attacchi sono progettati per eludere il rilevamento SOAR.
Con l'avvento dei servizi cloud, dei dispositivi mobili e del lavoro da remoto, i perimetri di sicurezza delle organizzazioni sono passati dai server on-premises che compongono una rete a una nuova frontiera: l'identità.
Un'entità unica, detta anche principale, che può essere autenticata da Active Directory. In genere è un oggetto utente, un oggetto gruppo di sicurezza o un oggetto computer. Tutti i presidi di sicurezza in Active Directory hanno un ID di sicurezza (SID).
SSPI consente alle applicazioni di utilizzare vari modelli di sicurezza disponibili su un computer o una rete senza modificare l'interfaccia con il sistema di sicurezza. Il suo uso improprio può portare ad attacchi di manipolazione dei token.
L'STS è un fornitore di identità basato su software, che emette token di sicurezza come parte di un sistema di identità basato sulle richieste. È comunemente utilizzato in scenari di federazione e svolge un ruolo fondamentale nel garantire la sicurezza. Se compromesso, può portare all'accesso non autorizzato a più servizi.
Server Core è un'opzione di installazione minima per Windows Server che fornisce un ambiente server a bassa manutenzione con funzionalità limitate. È utilizzato principalmente per i ruoli di infrastruttura, compreso il ruolo di Active Directory Domain Services. Dal punto di vista della sicurezza informatica, la minore superficie di attacco di Server Core può ridurre il rischio potenziale di vulnerabilità della sicurezza.
SMB è un protocollo per la condivisione di file, stampanti, porte seriali e astrazioni di comunicazione come named pipe e slot di posta tra computer. Un esempio di problema di cybersicurezza è l'attacco SMB Relay, in cui un aggressore imposta un server SMB e fa in modo che il computer di destinazione si autentichi ad esso, consentendo il furto di credenziali o l'esecuzione di codice arbitrario.
Un account utente creato esplicitamente per fornire un contesto di sicurezza ai servizi in esecuzione sui server Windows. Una gestione errata degli account di servizio può esporli agli aggressori, consentendo movimenti laterali o l'escalation dei privilegi.
L'oggetto Service Connection Point (SCP) di Active Directory viene utilizzato per definire le informazioni di configurazione di cui i client o i servizi hanno bisogno per trovare e connettersi a servizi o risorse specifiche all'interno dell'infrastruttura dell'organizzazione. Ad esempio: Microsoft Exchange crea oggetti SCP per specificare l'endpoint del servizio Autodiscover in Active Directory. Ciò consente ai client di Outlook di scoprire automaticamente le impostazioni di Exchange e di connettersi al server Exchange appropriato.
Un SPN è un identificatore unico legato a ciascuna istanza di un servizio Windows. Gli SPN vengono utilizzati insieme al protocollo di autenticazione Kerberos per associare un'istanza di servizio a un account di accesso al servizio. In un cyberattacco noto come Kerberoasting, un aggressore può richiedere i ticket Kerberos per gli SPN per decifrare le loro password offline.
Vedi anche: Kerberoasting, scansione del Service Principal Name (SPN)
Un metodo spesso utilizzato negli attacchi per scoprire gli account di servizio in un ambiente Active Directory. Gli aggressori enumerano i servizi in esecuzione sotto gli account di dominio tramite i Service Principal Names (SPN) esposti. Questi account hanno spesso privilegi elevati e password più deboli, il che li rende obiettivi privilegiati per la compromissione.
Un attacco in cui una sessione utente viene rilevata da un aggressore. Nel contesto di Active Directory, ciò potrebbe includere, ad esempio, l'acquisizione di una sessione di ticket Kerberos per la concessione di ticket.
Questo cmdlet PowerShell imposta la data di scadenza di un account AD. Se utilizzato in modo improprio, potrebbe causare un denial of service impostando una scadenza immediata sugli account utente validi.
Questo comando PowerShell imposta la protezione di blocco dell'account per un utente AD.
Questo comando PowerShell limita l'accesso a specifiche postazioni di lavoro per un utente. Se usato in modo malevolo, può portare ad un accesso non autorizzato o a un potenziale denial of service.
Questo cmdlet PowerShell viene utilizzato per modificare le proprietà di un oggetto informatico. Se utilizzato in modo malevolo, può portare a modifiche non autorizzate delle proprietà del computer, con potenziali interruzioni operative o violazioni.
Questo cmdlet PowerShell viene utilizzato per modificare il criterio di password predefinito per un dominio AD. Se utilizzato in modo improprio, può indebolire il criterio delle password dell'organizzazione, rendendo più facile per un utente malintenzionato indovinare o craccare le password.
Questo cmdlet PowerShell viene utilizzato per modificare gli attributi di un oggetto utente in Active Directory. Nelle mani sbagliate, questo comando potrebbe essere utilizzato in modo malevolo per alterare le proprietà dell'account utente, come il campo descrizione, per una persistenza furtiva o un'escalation dei privilegi.
Shadow Copy è una tecnologia dei sistemi Windows che consente di eseguire copie di backup o istantanee manuali o automatiche dei dati, anche se sono in uso. Può essere utilizzata per ripristinare versioni precedenti di file e directory.
Quando gli utenti condividono un nome utente e una password su più sistemi (anche non AD), un utente malintenzionato può sfruttare le credenziali violate o deboli di un sistema per ottenere un accesso non autorizzato a un altro.
I gruppi ombra in Active Directory sono utilizzati per rispecchiare l'appartenenza a un determinato gruppo di distribuzione dinamico. Questo può essere particolarmente utile quando è necessario assegnare autorizzazioni a un gruppo di distribuzione dinamico. Tuttavia, se non gestiti correttamente, i gruppi ombra possono rappresentare un rischio per la sicurezza a causa dell'assegnazione involontaria di autorizzazioni.
Meccanismo di sicurezza di Active Directory che elimina i SID stranieri dal token di accesso di un utente quando accede alle risorse tramite Forest Trust. Questa funzione, abilitata per impostazione predefinita tra le foreste, aiuta a proteggere gli utenti malintenzionati con privilegi amministrativi in una foresta fidata dall'ottenere il controllo su una foresta fidata. Quando il filtro SID è attivo, nel token dell'utente vengono utilizzati solo i SID del dominio fidato, mentre i SID di altri domini fidati vengono esclusi.
La cronologia SID è un attributo di un oggetto utente che assiste nella migrazione delle risorse da un dominio all'altro. Memorizza i precedenti SID di un account utente, consentendo l'accesso alle risorse che riconoscono il vecchio SID. Gli aggressori possono abusare di questo metodo, chiamato SID History Injection, per aumentare i privilegi.
L'attributo storico SID (Security Identifier) può essere manipolato per elevare i privilegi di un utente. Un utente malintenzionato può aggiungere il SID di un gruppo privilegiato nell'attributo SID della cronologia del proprio account, garantendogli i privilegi corrispondenti.
Un attacco Silver Ticket si concentra sulla falsificazione di un ticket di sessione (ST). Questo attacco consente all'aggressore di impersonare un utente legittimo e di ottenere un accesso non autorizzato alle risorse del dominio. In questo tipo di attacco, un aggressore ottiene l'accesso non autorizzato a un servizio falsificando un ticket Kerberos per quel servizio. Ottenendo l'hash NTLM dell'account del servizio e altre informazioni necessarie, l'aggressore può creare un ticket dannoso, che gli consente di accedere al servizio senza bisogno di autenticarsi o di conoscere la password dell'utente reale.
Un framework che fornisce un meccanismo per l'autenticazione e servizi di sicurezza opzionali nei protocolli Internet. Nel contesto di Active Directory (AD), SASL viene utilizzato per garantire l'integrità e la sicurezza dei dati durante la trasmissione. Quando un client AD vuole autenticarsi con un server, può usare SASL per specificare il metodo di autenticazione che preferisce. SASL supporta diversi metodi di autenticazione, come Kerberos, NTLM e Digest-MD5, ed è spesso utilizzato in protocolli come LDAP. Alcuni meccanismi SASL forniscono anche servizi di sicurezza che vanno oltre l'autenticazione, come i controlli di integrità dei dati e la crittografia, per proteggere i dati durante la trasmissione.
SSO è un processo di autenticazione che consente a un utente di accedere a più risorse con un unico set di credenziali di accesso. L'SSO può essere utilizzato per fornire agli utenti un accesso continuo alle risorse di rete, migliorando l'esperienza dell'utente e riducendo il numero di password da ricordare. L'SSO può aumentare l'efficienza aziendale, ma presenta anche un potenziale problema di sicurezza se il singolo punto di autenticazione viene compromesso.
Un insieme di una o più sottoreti TCP/IP ben collegate (affidabili e veloci) rappresentate come oggetti nel database AD. I siti aiutano gli amministratori a ottimizzare il traffico di accesso ad Active Directory e la replica di Active Directory rispetto alla rete fisica e alle velocità di connessione WAN. Quando gli utenti accedono, i computer membri del dominio trovano i controller di dominio (DC) che si trovano nello stesso sito dell'utente, o vicino allo stesso sito se non c'è un DC nel sito. Quando i DC replicano, eseguono una replica quasi immediata tra tutti i DC di un sito e rinviano il traffico di replica ad altri siti in base alla finestra e all'intervallo di replica. Una configurazione errata dei siti e dei servizi può causare inefficienze nella replica e può influire sulla disponibilità dei servizi AD.
I collegamenti tra siti in Active Directory rappresentano percorsi IP affidabili tra i siti. Vengono utilizzati dal Knowledge Consistency Checker (KCC) per costruire la topologia di replica.
Un oggetto di classe site, che rappresenta un sito.
In un attacco con chiave scheletrica, un avversario distribuisce un software dannoso su un controller di dominio. Questo malware consente all'aggressore di accedere a qualsiasi account del dominio utilizzando una password nota solo all'aggressore, senza interrompere le normali operazioni o modificare le password effettive.
Si tratta di una forma forte di autenticazione a due fattori utilizzata per accedere a un dominio AD. Una smart card contiene un certificato, associato a un account utente, che fornisce una solida difesa contro il furto di credenziali.
Un attacco rapido in stile psexec con l'aggiunta della funzionalità pass-the-hash. Esegue comandi su computer remoti sfruttando il protocollo SMB.
Uno strumento che consente agli utenti di enumerare le unità di condivisione samba in un intero dominio. Gli aggressori possono usarlo per scoprire le autorizzazioni a livello di file, directory e condivisione.
Si tratta di una "foto" o di uno stato memorizzato del database di Active Directory in un determinato momento, che può essere utilizzato a scopo di backup. L'accesso non autorizzato alle istantanee può rivelare dati sensibili e le istantanee non aggiornate possono contenere vulnerabilità che sono state corrette nell'ambiente reale.
Gli SRP identificano i programmi software in esecuzione sui computer di un dominio e ne controllano l'esecuzione. Si tratta di un metodo efficace per prevenire l'esecuzione di malware o di software non attendibile. L'SRP può essere utilizzato per stabilire una configurazione altamente sicura per i sistemi, consentendo l'esecuzione solo di applicazioni pre-approvate. Essendo integrate con Microsoft Active Directory e Group Policy, le SRP possono essere create sia in ambienti di rete che su computer indipendenti.
All'inizio del 2020, alcuni cyberattaccanti si sono introdotti segretamente nei sistemi della società texana SolarWind e hanno aggiunto del codice maligno nel sistema software dell'azienda. Il sistema, chiamato "Orion", è ampiamente utilizzato dalle aziende per gestire le risorse IT. Secondo i documenti della SEC, SolarWinds aveva 33.000 clienti che utilizzavano Orion. Tuttavia, intorno a marzo 2020, fino a 18.000 clienti SolarWinds hanno installato aggiornamenti che li hanno resi vulnerabili ai cyberattaccanti. Tra questi vi erano diversi clienti di alto profilo di SolarWinds, tra cui aziende Fortune 500 e diverse agenzie del governo degli Stati Uniti, tra cui parti del Pentagono, del Dipartimento della Sicurezza Nazionale e del Tesoro.
Le identità speciali (chiamate anche identità implicite) sono gruppi predefiniti che svolgono ruoli unici e spesso dinamici all'interno dell'infrastruttura. A differenza dei gruppi tipici, queste identità non hanno un elenco statico di membri. Rappresentano invece utenti diversi in circostanze diverse. Alcuni esempi di queste identità speciali sono il Logon anonimo, il Batch e l'Utente autenticato.
In un attacco SPN-jacking, i cyberattaccanti manipolano l'SPN degli account di computer/servizi per reindirizzare la Constrained Delegation preconfigurata a obiettivi non previsti, anche senza ottenere i privilegi di SeEnableDelegation.
Nel contesto di Active Directory, lo spoofing si riferisce generalmente a una situazione in cui un'entità dannosa impersona un altro dispositivo o utente della rete. Ad esempio, lo spoofing DNS potrebbe essere utilizzato per deviare il traffico verso un server dannoso.
Nel DNS, un tipo di record informativo memorizzato nel database di zona del DNS, che mappa il nome di un particolare servizio al nome DNS di un server che offre quel servizio. Active Directory utilizza pesantemente i record SRV per consentire ai client e agli altri DC di individuare servizi come Global Catalog, LDAP e Kerberos; i DC pubblicizzano automaticamente le loro capacità pubblicando i record SRV nel DNS.
Il processo di negoziazione e creazione di una connessione protetta da Secure Sockets Layer (SSL) o Transport Layer Security (TLS).
Conosciuti anche come attacchi di terze parti o attacchi alla catena del valore, si verificano quando un aggressore si infiltra nel vostro sistema attraverso un partner o un fornitore esterno che ha accesso ai vostri sistemi e dati. In sostanza, invece di attaccare direttamente l'obiettivo principale, l'attore della minaccia si rivolge a elementi meno sicuri della catena di fornitura della rete. Tra gli esempi più noti vi è l'attacco di SolarWinds, in cui un codice maligno è stato inserito negli aggiornamenti del software, colpendo migliaia di clienti in tutto il mondo.
Nel contesto di Active Directory, la sincronizzazione è il processo che garantisce che le copie multiple di un oggetto di dati, come un account utente o un gruppo, siano uguali in tutti i controller di dominio. Se la sincronizzazione fallisce, può portare a incongruenze che potrebbero essere sfruttate da un utente malintenzionato.
Un elenco di controllo degli accessi (ACL) che controlla la generazione di messaggi di audit per i tentativi di accesso a un oggetto protetto in AD. I messaggi di audit risultanti possono essere visualizzati nel registro di sicurezza del Visualizzatore eventi di Windows. Ignorare le SACL può rendere il sistema vulnerabile, in quanto non registra e non avvisa delle attività sospette.
La condivisione SYSVOL è una cartella molto importante che viene condivisa su ogni controller di dominio nel dominio AD. La posizione predefinita è %SYSTEMROOT%SYSVOLSYSVOL e di solito contiene oggetti dei Criteri di gruppo, cartelle, script, punti di giunzione e altro ancora. Ogni controller di dominio riceve una replica della condivisione SYSVOL. Se non è adeguatamente protetta, gli aggressori possono accedere a questa condivisione e qualsiasi cosa vi sia inserita viene replicata per impostazione predefinita in tutta la foresta AD. Le modifiche non autorizzate a SYSVOL possono anche causare problemi di sicurezza legati alle GPO.
Un'utilità grafica di monitoraggio della rete di Sysinternals che mostra una rappresentazione di tutti gli endpoint TCP e UDP attualmente attivi su un sistema.
TACACS è un protocollo di autenticazione remota comunemente usato nelle reti UNIX. TACACS consente a un server di accesso remoto di inoltrare la password di accesso di un utente a un server di autenticazione per determinare se è possibile accedere a un determinato sistema. Pur non facendo direttamente parte di Active Directory, viene spesso utilizzato insieme ad AD in ambienti misti.
Terminal Services, ora noto come Remote Desktop Services, consente agli utenti di accedere a programmi basati su Windows o all'intero desktop di Windows da remoto. Sebbene offra convenienza e flessibilità, può anche rappresentare un rischio per la sicurezza se non è adeguatamente protetto, in quanto potrebbe essere sfruttato da malintenzionati per l'accesso remoto non autorizzato.
Vedi anche: Servizi desktop remoti (RDS)
Questo comando PowerShell controlla il canale sicuro tra il computer locale e il suo dominio. Se mostra una connessione non sicura, potrebbe indicare potenziali attacchi MiTM o altre compromissioni della rete.
La caccia alle minacce è un processo di cybersecurity proattivo che consiste nel cercare nelle reti per individuare e isolare le minacce avanzate che eludono le soluzioni di sicurezza esistenti. È fondamentale negli ambienti Active Directory per identificare potenziali intrusioni o attività dannose che hanno eluso le misure di sicurezza tradizionali. Un esempio noto di threat hunting in AD è la ricerca di segni di attacchi "Golden Ticket", in cui gli aggressori falsificano un TGT.
Un termine generico per descrivere i tipi di vulnerabilità, gli attacchi e gli attori delle minacce che esistono in un determinato momento e in un determinato contesto. Le tecnologie informatiche e telematiche avanzano alla velocità della luce. Tuttavia, i cyberattaccanti tengono il passo evolvendo costantemente i loro metodi per sfruttare le vulnerabilità dei sistemi. La volatilità del panorama odierno delle minacce informatiche rende fondamentale l'utilizzo di un approccio di sicurezza a più livelli e di soluzioni costruite appositamente per proteggere e ripristinare rapidamente Active Directory.
Il TGS è un componente fondamentale del protocollo di autenticazione Kerberos utilizzato in Active Directory. Dopo l'autenticazione iniziale, il Key Distribution Center (KDC) emette un Ticket Granting Ticket (TGT). Il TGS utilizza questo TGT per emettere ticket di servizio per l'accesso ad altre risorse all'interno del dominio. Se un aggressore ottiene l'accesso a un TGT valido, può richiedere ticket per qualsiasi servizio di rete, con conseguente potenziale accesso non autorizzato.
Vedi anche: Biglietto di assegnazione (TGT)
Nel protocollo di autenticazione Kerberos, Ticket Options è un campo del ticket che specifica flag come ad esempio se il ticket è rinnovabile o se è valido per l'uso del proxy. Una configurazione errata di queste opzioni, o lo sfruttamento da parte di un utente malintenzionato, può portare a problemi di sicurezza, come il rinnovo non autorizzato del ticket.
Nell'ambito del protocollo di autenticazione Kerberos, al momento dell'autenticazione iniziale dell'utente viene emesso un TGT dal Key Distribution Center (KDC). Questo ticket viene poi utilizzato per richiedere ticket di servizio al Ticket Granting Service (TGS) per specifiche risorse di rete. Il TGT contiene la chiave di sessione, la data di scadenza e l'indirizzo IP dell'utente. Il TGT è un obiettivo di alto valore per gli aggressori, poiché il possesso di un TGT valido consente loro di impersonare gli utenti e ottenere un accesso non autorizzato alle risorse.
Vedi anche: Servizio di concessione dei biglietti (TGS)
Le risorse di livello 0 sono quelle critiche per il funzionamento dell'ambiente IT. Tali risorse includono Active Directory e i controller di dominio AD, che a loro volta controllano l'accesso e i privilegi di ogni utente, sistema e risorsa dell'organizzazione.
Questo modello di sicurezza per l'accesso amministrativo segmenta i privilegi in livelli separati per prevenire il furto di credenziali e l'accesso non autorizzato. Ad esempio, gli amministratori che hanno accesso al controller di dominio (livello 0) non devono utilizzare gli stessi account o macchine per gestire risorse meno affidabili come le workstation degli utenti (livello 2). Questo modello è essenziale per ridurre al minimo il rischio di escalation dei privilegi o di attacchi laterali.
Active Directory utilizza il protocollo Kerberos per l'autenticazione, che si basa su ticket sensibili all'ora. È fondamentale mantenere un'ora precisa e sincronizzata su tutti i sistemi in un ambiente AD per evitare problemi di autenticazione. Un'impostazione errata dell'ora può persino portare ad attacchi basati su Kerberos, come gli attacchi replay.
Il TTL non è un elemento esclusivo di Active Directory, ma svolge un ruolo fondamentale nel DNS, che è un componente importante di AD. Nel contesto del DNS integrato in AD, il TTL è un valore di un record DNS che indica la durata della validità del record prima che debba essere aggiornato. Un TTL eccessivamente lungo può portare all'utilizzo di informazioni DNS non aggiornate, con conseguenti interruzioni dei servizi AD.
Un token in Active Directory è una rappresentazione dei diritti e dei permessi dell'utente. Ogni volta che un utente accede, viene generato un token che identifica l'utente e i gruppi a cui appartiene. I token possono essere presi di mira dai criminali informatici per eseguire attacchi di impersonificazione di token, rubando il token per ottenere un accesso non autorizzato.
Il token bloat è una condizione in cui un utente accumula così tanti identificatori di sicurezza (SID) nel proprio token di accesso, a causa dell'appartenenza a molti gruppi, da riscontrare problemi di accesso o di accesso alle risorse. Dal punto di vista della cybersicurezza, il token bloat può avere un impatto sulla produttività degli utenti e può essere un segnale di autorizzazioni eccessive che potrebbero essere sfruttate da un aggressore se l'account dell'utente venisse compromesso.
Quando un oggetto viene eliminato da Active Directory, viene spostato nel contenitore Oggetti eliminati. L'oggetto conserva la maggior parte dei suoi attributi. Gli oggetti rimangono in questo contenitore per un periodo di tempo pari alla pietra tombale (per impostazione predefinita 180 giorni), dopodiché vengono eliminati definitivamente. Se il periodo di tombstone non è ancora trascorso, gli oggetti eliminati possono essere rianimati. Il ripristino di oggetti non correttamente tombati potrebbe causare inconsistenze e forse oggetti orfani.
Il numero di giorni prima che un oggetto eliminato venga rimosso dai servizi di directory. Il valore predefinito era di 60 giorni quando non veniva inserito alcun valore. Nei sistemi operativi moderni il valore è di 180 giorni.
Una relazione bidirezionale che viene creata automaticamente tra i domini padre e figlio in una foresta di Microsoft Active Directory e che può consentire agli utenti di un dominio della foresta di accedere alle risorse di qualsiasi altro dominio della stessa foresta. Ciò significa che se il dominio A si fida del dominio B e il dominio B si fida del dominio C, il dominio A si fida automaticamente del dominio C. Gli aggressori possono sfruttare questa transitività per ottenere un accesso non autorizzato alle risorse.
TCP/IP è la suite di protocolli di comunicazione utilizzata per interconnettere i dispositivi di rete su Internet o in una rete privata. Nel contesto di Active Directory, è fondamentale in quanto costituisce la spina dorsale delle comunicazioni di rete. Garantire l'implementazione di misure di sicurezza adeguate, come IPsec, è importante per proteggere il traffico di rete da attacchi di sniffing o spoofing.
TLS è un protocollo che garantisce la privacy tra applicazioni e utenti in comunicazione su Internet. Quando un server e un client comunicano, TLS assicura che nessuna terza parte possa origliare o manomettere qualsiasi messaggio. Se non viene implementato correttamente, gli aggressori potrebbero sfruttare le vulnerabilità del protocollo o utilizzare attacchi di tipo downgrade per indebolire la sicurezza della connessione.
Un albero è una raccolta di domini Active Directory in ordine gerarchico e con uno spazio dei nomi contiguo.
Il trust della radice di un albero è una relazione di fiducia transitiva automatica che viene stabilita tra i domini radice di due alberi nella stessa foresta di Active Directory. Questo trust consente a tutti i domini di un albero di fidarsi di tutti i domini dell'altro albero. Tuttavia, analogamente ai trust transitivi, i trust di radice dell'albero possono essere potenzialmente sfruttati dagli aggressori per spostarsi lateralmente all'interno della foresta.
TrickBot è un malware di tipo Trojan identificato per la prima volta nel 2016. Il suo scopo originario era quello di colpire le banche e rubare dati finanziari, ma TrickBot si è evoluto in un malware modulare e multistadio. Il vettore di infezione iniziale più comune è il malspam, che contiene documenti d'ufficio dannosi e carichi di macro, come fatture, biglietti d'auguri per le festività, violazioni del codice della strada, ecc.
Il trust è una relazione tra domini che consente l'accesso degli oggetti di un dominio alle risorse di un altro dominio. Viene stabilito tra due alberi di dominio o foreste per consentire agli utenti di un dominio di accedere alle risorse dell'altro. Ad esempio, un utente di un dominio può effettuare il login e accedere alle risorse di un altro dominio.
Definiscono il tipo di accesso concesso a un dominio attendibile. Gli attributi di fiducia includono impostazioni come l'autenticazione selettiva, che limita l'accesso solo a determinate risorse in un dominio. Una configurazione errata degli attributi di fiducia può portare all'accesso non autorizzato alle risorse.
In Active Directory, un confine di fiducia è un confine logico che separa diversi domini o regni di sicurezza. Rappresenta la misura in cui è possibile stabilire relazioni di fiducia tra entità all'interno e all'esterno del confine. L'instaurazione di una relazione di fiducia attraverso questo confine consente ai principi di sicurezza (come gli utenti o i computer) di un dominio di accedere alle risorse di un altro dominio.
La 2FA aggiunge un ulteriore livello di sicurezza al processo di autenticazione, richiedendo agli utenti di verificare la propria identità utilizzando due diversi fattori: uno conosciuto (come la password) e uno posseduto (come un token o un dispositivo mobile). In questo modo è più difficile per gli aggressori ottenere l'accesso anche se riescono a compromettere un fattore.
I gruppi universali in Active Directory sono gruppi che possono includere utenti, gruppi e computer di qualsiasi dominio all'interno della foresta AD. Questo attributo li rende ideali per la gestione degli accessi su larga scala in più domini, ma una configurazione errata o un uso eccessivo possono aumentare il traffico di replica all'interno della foresta, con potenziali ripercussioni sulle prestazioni.
Questo comando PowerShell sblocca un account AD che è stato bloccato. Un uso improprio potrebbe portare un utente malintenzionato a sbloccare account bloccati a causa di attività sospette.
Un USN è un numero a 64 bit in Active Directory che aumenta quando si verificano modifiche agli oggetti o agli attributi. Viene utilizzato per controllare la replica di queste modifiche nell'intera foresta AD.
Anche se non è un termine strettamente legato ad AD, UAC è una funzione di sicurezza di Windows che può interagire con AD. Controlla i privilegi di un account utente, chiedendo conferma ogni volta che una modifica richiede diritti amministrativi. Se le impostazioni di UAC non sono configurate in modo appropriato, possono consentire modifiche non autorizzate o la propagazione di malware.
In Active Directory Services Interface (ADSI), ogni oggetto ha un identificatore unico noto come UID. Viene spesso utilizzato quando si interagisce con AD tramite script o linguaggi di programmazione e serve come puntatore distinto a un oggetto nella directory.
In Active Directory, un oggetto utente è un insieme distinto di attributi che rappresentano un utente della rete. Include informazioni come nome utente, password e vari altri dettagli sull'utente. La sicurezza degli oggetti utente è fondamentale per garantire la privacy dei dati e impedire accessi non autorizzati.
Nome di accesso in stile Internet per un oggetto utente, basato sullo standard Internet RFC 822. L'UPN è più breve del nome distinto, più facile da ricordare e semplifica il processo di login, soprattutto in ambienti con relazioni di fiducia. Per convenzione, dovrebbe corrispondere all'indirizzo e-mail dell'utente, per cui è più facile da ricordare.
Una directory virtuale è un nome di directory, noto anche come percorso, utilizzato per fare riferimento alla directory fisica (o alle directory) in cui i file sono effettivamente memorizzati. Questo concetto è importante in AD perché consente di localizzare e gestire efficacemente le risorse senza gestire direttamente le complessità sottostanti alle loro ubicazioni fisiche.
Una VLAN è una divisione logica di una rete che raggruppa un insieme di dispositivi che possono comunicare come se fossero sulla stessa rete fisica, anche se non lo sono. Dal punto di vista di AD, le VLAN possono influenzare la progettazione e le prestazioni della replica di AD, nonché l'applicazione dei criteri.
Una VPN è una connessione di rete sicura che utilizza la crittografia e altri meccanismi di sicurezza per garantire che solo gli utenti autorizzati possano accedere alla rete e che i dati non possano essere intercettati. Questo ha implicazioni per Active Directory, perché consente l'accesso remoto e sicuro alla rete di un'organizzazione dove risiedono le risorse AD.
Il processo di creazione di una versione virtuale di qualcosa, tra cui, ma non solo, una piattaforma hardware, un sistema operativo, un dispositivo di archiviazione o risorse di rete. In contesti AD, i controller di dominio possono essere virtualizzati per risparmiare sui costi dell'hardware o per scopi di disaster recovery. Tuttavia, la virtualizzazione dei componenti di AD deve essere gestita con attenzione, poiché configurazioni errate (come quella di un controller di dominio virtuale che mantiene il proprio tempo) possono causare problemi significativi.
Un virus è un programma dannoso che si replica per diffondersi ad altri computer. Può potenzialmente avere un impatto su Active Directory se infetta i sistemi che interagiscono con AD o se mira specificamente ai componenti di AD. La protezione dai virus e l'intervento tempestivo sono fondamentali per mantenere l'integrità e la disponibilità dell'ambiente AD.
VBScript è un linguaggio di scripting leggero, sviluppato da Microsoft, spesso utilizzato per lo scripting lato server in ambienti Active Directory. Nonostante la sua età, molti amministratori di AD hanno VBScript legacy nel loro ambiente, o possono usare VBScript per attività rapide e semplici.
È un servizio di Windows che consente il backup manuale o automatico di file e volumi del computer. È essenzialmente lo strumento di backup nativo di Windows, in grado di creare copie "ombra" a intervalli specifici o quando viene attivato da un evento di sistema. VSS può essere utilizzato per eseguire il backup di un database di Active Directory mentre è ancora in esecuzione e svolge un ruolo essenziale nelle operazioni di ripristino del sistema e di recupero dei dati.
Questa tecnica di sicurezza viene utilizzata per identificare i punti deboli di un sistema informatico. Nel contesto di Active Directory, la scansione delle vulnerabilità può portare alla luce problemi come software non patchato, configurazioni errate della sicurezza o l'uso di password deboli. La scansione regolare delle vulnerabilità è una parte fondamentale del mantenimento della sicurezza di un ambiente Active Directory.
Il worm ransomware Wannacry ha sfruttato la vulnerabilità EternalBlue e ha preso di mira i computer basati su Windows nel 2017. Microsoft ha rilasciato una patch di sicurezza per EternalBlue poco prima dell'inizio degli attacchi, ma molti utenti Windows non hanno aggiornato immediatamente i loro sistemi o utilizzavano versioni non aggiornate di Windows. Di conseguenza, Wannacry ha infettato più di 200.000 computer in 150 Paesi e ha causato danni per 8 miliardi di dollari.
Un'utilità del prompt dei comandi che consente agli amministratori o agli operatori di backup di eseguire il backup e il ripristino di un sistema operativo (OS), di un volume, di un file, di una cartella o di un'applicazione. Wbadmin ha sostituito NT backup, lo strumento utilizzato per creare i backup nei sistemi precedenti a Windows Server 2008.
Nell'ambito di SSL/TLS, un certificato wildcard è un certificato che può proteggere qualsiasi sottodominio di un dominio. Ad esempio, un singolo certificato wildcard per *.semperis.com può proteggere www.semperis.com, mail.semperis.com, ecc. In AD, un certificato wildcard può essere utilizzato per proteggere più servizi senza la necessità di più certificati.
Conosciuto anche come Azure Active Directory (AAD). Si tratta dei servizi di dominio Active Directory nel cloud Windows Azure.
Windows Defender è il sistema di sicurezza integrato in tempo reale di Windows che offre protezione contro un'ampia gamma di minacce quali malware, spyware e virus. Svolge un ruolo fondamentale nella protezione dei dispositivi che fanno parte di Active Directory.
Un'applicazione di Windows che consente agli amministratori di visualizzare registri dettagliati del sistema operativo, della sicurezza e delle notifiche delle applicazioni. Viene utilizzata dagli amministratori per diagnosticare i problemi del sistema e prevedere i problemi futuri.
Un servizio basato su Windows che risolve i nomi NetBIOS dei computer in indirizzi IP. WINS è stato progettato per risolvere i problemi derivanti dalla risoluzione dei nomi NetBIOS in ambienti instradati.
Un'infrastruttura integrata nei sistemi operativi Microsoft Windows che consente di recuperare dati di gestione e parametri operativi da qualsiasi dispositivo collegato al sistema e di configurarlo. Fornisce un modo unificato per il software di richiedere informazioni sul sistema e gestire i componenti del sistema a livello locale o remoto. WMI può essere utilizzato per attività quali l'interrogazione delle impostazioni di sistema, l'impostazione delle proprietà di sistema o l'attivazione di azioni specifiche sui sistemi.
Windows PowerShell è una shell a riga di comando basata su task e un linguaggio di scripting progettato appositamente per l'amministrazione di sistema. Basato su .NET Framework, PowerShell aiuta i professionisti IT a controllare e automatizzare l'amministrazione del sistema operativo Windows e delle applicazioni eseguite su Windows. Ad esempio, gli amministratori possono utilizzare PowerShell per automatizzare il processo di creazione degli utenti in Active Directory.
Un host di scripting indipendente dal linguaggio per motori di scripting compatibili con Windows Script. Fornisce una serie di oggetti e servizi che consentono lo scripting a livello di sistema, permettendo agli script scritti in JScript o VBScript, ad esempio, di automatizzare le attività amministrative o di interagire direttamente con il sistema operativo Windows. Gli script WSH possono essere eseguiti direttamente dal desktop o dal prompt dei comandi, oppure possono essere incorporati in una pagina web, fornendo una piattaforma versatile per automatizzare le attività di routine.
Windows Server è un gruppo di sistemi operativi progettati da Microsoft che supporta la gestione, l'archiviazione dei dati, le applicazioni e le comunicazioni a livello aziendale. Active Directory è uno dei servizi critici in esecuzione su Windows Server e fornisce una serie di servizi di directory.
WSUS è un ruolo del server Windows in grado di pianificare, gestire e distribuire aggiornamenti, patch e hotfix per i sistemi operativi Windows e altri software Microsoft.
Il servizio Windows Time fa in modo che tutti i computer di un dominio Active Directory condividano un'ora comune. Si tratta di un aspetto critico, poiché una differenza di orario superiore alla soglia consentita (5 minuti per impostazione predefinita) può portare a fallimenti dell'autenticazione a causa della sensibilità temporale del protocollo Kerberos.
Il provider dello spazio dei nomi di Windows NT, che supporta il database degli account SAM di Windows NT.
Ampiamente utilizzato per la risoluzione dei problemi di rete e l'analisi dei protocolli, Wireshark è uno strumento legittimo di acquisizione della rete che può essere utilizzato dagli aggressori per catturare e analizzare il traffico di rete, scoprendo potenzialmente dati sensibili trasmessi in chiaro.
Un linguaggio simile a SQL utilizzato per filtrare e interrogare le informazioni del framework Windows Management Instrumentation (WMI). Viene utilizzato per scrivere query che restituiscono informazioni specifiche dalla vasta quantità di dati che WMI è in grado di fornire, come la ricerca di eventi o oggetti di dati, la chiamata di metodi, l'accesso o la modifica di proprietà del sistema. WQL offre agli amministratori un robusto set di strumenti per automatizzare le attività, risolvere i problemi o raccogliere informazioni sul sistema in un ambiente Windows.
Nel contesto di Active Directory, una workstation si riferisce tipicamente a un computer connesso alla rete e sotto il controllo di AD. Le policy possono essere applicate alle workstation, gli utenti possono accedervi utilizzando le loro credenziali AD e possono accedere alle risorse in base ai loro diritti e permessi utente AD.
Un controller di dominio scrivibile è un server che ospita una copia scrivibile del database AD. Questo è in contrasto con un controller di dominio di sola lettura (RODC). I WDC consentono di apportare modifiche al database, che vengono poi replicate ad altri DC. Qualsiasi compromissione di un WDC può avere un impatto significativo a causa della sua capacità di alterare i dati della directory.
Una serie di standard per le reti informatiche che definiscono un servizio di directory per i sistemi informatici distribuiti. Serve come rubrica globale, facilitando la condivisione di informazioni su utenti, sistemi, reti, servizi e applicazioni in tutta la rete. Il protocollo LDAP si basa su un sottoinsieme di questi standard, rendendo X.500 una parte importante delle fondamenta dei moderni servizi di directory come Active Directory di Microsoft.
Zero Trust è un concetto di sicurezza che presuppone che non vi sia alcuna fiducia implicita concessa alle risorse o agli account utente in base alla sola posizione fisica o di rete. Zero Trust richiede che tutti gli utenti siano autenticati e autorizzati prima di poter accedere ad applicazioni e dati. La sicurezza delle identità è il fulcro delle iniziative Zero Trust di successo.
Una vulnerabilità nella crittografia del processo Netlogon di Microsoft può consentire un attacco contro Active Directory (AD). Zerologon consente ai cyberattaccanti di impersonare qualsiasi computer e prendere il controllo di un controller di dominio, compreso il controller di dominio root. A tal fine, i cyberattaccanti modificano o rimuovono la password di un account di servizio sul controller, quindi causano un denial of service (DoS) o prendono il controllo dell'intera rete.
I trasferimenti di zona si verificano nei protocolli del Domain Name System (DNS) quando un server DNS passa una copia di una parte del suo database (una zona) a un altro server DNS. In un contesto Active Directory, è un componente essenziale del processo di replica delle zone DNS integrato in AD. Dal punto di vista della sicurezza, i trasferimenti di zone non protetti possono esporre informazioni sensibili sulle risorse di rete; è quindi importante assicurarsi che siano configurati in modo da consentire i trasferimenti solo ai server autorizzati.