<aside> <img src="/icons/home_lightgray.svg" alt="/icons/home_lightgray.svg" width="40px" /> HOME


Forensic Tools

Penetration Tools

Vulnerabilities & CVE

BB & Other

CTF

Blog & Books (KNiggas)

About(CV)

</aside>

<aside> <img src="/icons/list-indent_blue.svg" alt="/icons/list-indent_blue.svg" width="40px" /> Table of Contents

</aside>

Info

Для создания УЗ требуется зайти на контроллер домена под УЗ, которая является членом группы “Domain Administrators”, после чего открыть консоль “Active Directory Users and Computers”. С целью минимизации количества непроизвольных обращений к данной УЗ рекомендуется создать её в OU, которая не находится на первом уровне дерева объектов домена (чем больше уровень вложенности OU, тем лучше). Требуется перейти к выбранному OU, нажать правой кнопкой мыши и выбрать пункты “New”, затем “Users”. Назвать данную УЗ можно как любую другую пользовательскую, например – i.ivanov, в соответствии с установленными в компании правилами именования объектов AD:


1. Создание подложной пользовательской УЗ с отключенной Kerberos пре-аутентификацией.

В настоящей инструкции представлено описание настроек контроллеров домена, в рамках которых осуществляется создание подложных объектов-ловушек и последующая настройка аудита в отношении данных объектов. Соответствующие настройки позволяют на ранних этапах выявлять действия атакующего, оказавшегося внутри защищаемого периметра, направленные на получение сведений об инфраструктуре Active Directory, либо же являющиеся первичными шагами в техниках атак, направленных на попытки повышения привилегий в домене, или компрометацию учётных записей пользователей. Так, данные настройки позволят выявлять в рамках мониторинга следующие техники атакующих:

Untitled

После нажатия Next рекомендуется выбрать атрибуты, как на скриншоте ниже, а также установить стойкий пароль, исключающий возможность его перебора методом грубой силы. Также требуется установить атрибут Password never expires”

Untitled

Далее нужно перейти в свойства созданной учетной записи и выбрать раздел “Account”. В окне “Account options” требуется включить значение “Do not require Kerberos preauthentication”, после чего нажать “Apply” для применения настроек. (скриншот ниже)

Untitled

Данную учетную запись рекомендуется добавить в группу, рекомендации по созданию которой описаны в пункте 2 настоящей инструкции:

Untitled

Далее требуется включить расширенные возможности, как указано на следующем скриншоте:

Untitled

В свойствах созданной группы появится раздел Security, в котором требуется перейти к расширенной настройке, нажав кнопку “Advanced”:

Untitled

В данной разделе производится переход на вкладку “Auditing” и нажатие кнопки “Add”. В появившемся окне вбивается значение Everyone и нажимается кнопка “OK”.

После этого в параметре “Principal” появится значение Everyone, также требуется перевести параметр “Applies to” в значение “This object only” и выставить права (Раздел Permissions) “Read all properties”, как указано на рисунке ниже, после чего применить указанные настройки (OK->Apply).

Untitled

Далее необходимо получить идентификатор объекта AD и SID созданной учётной записи и предоставить их в Центр мониторинга soc для выполнения настройки соответствующих правил корреляции. Для получения Object ID и SID созданной учётной записи на контроллере домена требуется запустить PowerShell с правами администратора и выполнить ниже представленную команду. Результат работы команды предоставить в Центр мониторинга soc.

Get-ADUser -Identity <имя созданной учётной запси>

Untitled