Uma das situações mais complexas e ao mesmo tempo desesperadora é ter o seu sistema comprometido. você deve correr contra o tempo enquanto investiga a causa raiz do incidente ou se ainda há um invasor dentro do seu quintal. Recriar o Active Directory do zero é uma tarefa quase que impossível. Então temos que tomar ações importantes para garantir que estamos “cercando” nosso Active Directory a fim de quebrar a cadeia de ataque.
Esse não é um checklist definitivo mas certamente é um dos passos iniciais nesse processo. Checklist de alguma ações que devemos executar em um ambiente do Active Directory que tenha sido comprometido.
Ações imediatas no Active Directory
✅ Redefina todas as senhas de contas de usuário. -Redefinir as credenciais é uma tarefa simples porém com um enorme impacto pois dependendo da quantidade de usuários será aberto muitos “tickets” de reclamação. Essa ação permite que se um atacante comprometeu uma determinada contra terá dificuldades de alterar a senha e você pode criar um processo de reset de senha onde existe outros fatores.
✅ Se replicar com o AAD Altere a senha no Azure Active Directory em vez do Active Directory local. Observe que isso só funcionará se você tiver o write-back habilitado para que ele possa fazer o write-back no seu Active Directory local.
✅ Redefinir todas as senhas de administrador. -Essa ação é a mais simples de todas uma vez que se espera que existam poucos administradores.
✅ Remova todos usuários do grupo Domain Admins. -Microsoft recomenda que quando necessário , coloque temporariamente a conta do usuário no grupo do Domain Admins e quando o trabalho estiver concluído remova a conta do grupo.
✅ Identifique todas as contas com privilégios administrativos.
✅ Redefinir todas as senhas de contas de serviço. -Essa ação tem alto impacto pois está diretamente relacionada com aplicações e outros serviços que podem causar paradas no ambiente.
✅ Redefinir duas vezes a senha KRBTGT. -Essa ação permite que o ticket do Kerberos não seja utilizado pelo atacando no famoso Ataque Golden Ticket.
✅ Redefinir todas as senhas de contas de computador. -Todo computador tem conta e tem uma senha que pode ser utilizada por atores maliciosos em busca de movimentação lateral.
✅ Redefinir permissões no objeto AdminSDHolders. -O objeto AdminSDHolder permite que os usuários gerenciem listas de controle de acesso de membros de grupos AD privilegiados internos.
✅ Verifique se há tarefas agendadas. Tarefa simples e importante pois pode existir tarefas “maliciosas” agendadas para execução.
✅ Revise os scripts de logon no GPOS e SYSVOL . -Scripts podem ser poderosos aliados na administração, mas ao mesmo tempo um perigo para segurança. Podem conter senhas ou recursos valiosos para o atacantes. (Group Policy Preferences) para gerenciar credenciais é um exemplo clássico.
✅ Revise os domínios e relações de confiança do Active Directory.
✅ Se não houver um processo de migração, limpe o SID History.
✅ Verifique a saúde e a replicação de Sites and Services.
✅ Revise a integridade da zona DNS (pública e privada) .
✅ Revise o atributo msDsConsistencyGuid de contas comprometidas (Azure AD).
✅ Revogar e reemitir todos os certificados do ADCS. -Essa ação causa impacto pois é necessário gerenciar as aplicações que usam certificados a fim de que elas possam ter acesso a lista de revogação assim como recebam novos certificados sem afetar a usabilidade do usuário.
✅ Revise as permissões de acesso delegado do Active Directory. -Tarefa complexa de executar manualmente, porém você pode fazer o uso de dois scripts https://github.com/lkarlslund/adalanche e o https://github.com/canix1/ADACLScanner.
✅ Redefinir todas as senhas do LAPS – O Local Administrator Password Solution (LAPS) é uma solução para o problema de usar uma conta local comum com uma senha idêntica. Ele gera senhas para cada maquina no domínio.
Seja o primeiro a comentar