Microsoft Active Directory

Продукт
Разработчики: Microsoft
Дата последнего релиза: 2022/08/25
Технологии: Серверные платформы

Содержание

Active DirectoryLDAP-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows NT.

Анатомия атаки через Active Directory

2022

Применение вредоносного ПО MagicWeb для посткомпрометации Active Directory

Злоумышленники, ответственные за атаку на цепочку поставок SolarWinds, стали использовать вредоносное ПО MagicWeb для посткомпрометации, которое применяется для поддержания постоянного доступа к скомпрометированной среде и совершения бокового перемещения. Об этом стало известно 25 августа 2022 года.

Исследователи из Microsoft обнаружили, как APT-группа Nobelium использует бэкдор после получения прав администратора на сервере Active Directory Federated Services (AD FS). При таком привилегированном доступе злоумышленники заменяют законную DLL-библиотеку вредоносной DLL-библиотекой MagicWeb. При этом вредоносное ПО загружается на сервере AD FS как легитимное ПО.

Иллюстрация:securitylab.ru

Как и контроллеры домена, серверы AD FS могут аутентифицировать пользователей. MagicWeb облегчает авторизацию для злоумышленников, позволяя манипулировать утверждениями в маркерах аутентификации AD FS. Так хакеры могут аутентифицироваться в сети.

По словам Microsoft, MagicWeb является улучшенной итерацией ранее использовавшегося специализированного инструмента FoggyWeb, который также обеспечивает прочный плацдарм внутри сетей жертв.

MagicWeb превосходит возможности FoggyWeb по сбору данных, облегчая прямой скрытый доступ. Он манипулирует сертификатами аутентификации пользователя для авторизации, а не сертификатами подписи, используемыми в атаках по типу Golden SAML.

Согласно бюллетеню Microsoft, на август 2022 года использование MagicWeb является весьма целенаправленным и о жертвах данного ПО не сообщается[1].

Экстренное исправление проблемы авторизации

20 мая 2022 года стало известно о том, что компания Microsoft выпустила внеплановые исправления (OOB) для решения проблемы с авторизацией в Windows Active Directory (AD), над которыми работала с 12 мая 2022 года. Проблема появилась после установки на контроллеры домена обновлений Windows, выпущенных в майский вторник исправлений 2022 года. Сбои авторизации на стороне сервера или клиента наблюдались у служб Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) и Protected Extensible Authentication Protocol (PEAP). Проблема была связана с тем, как сопоставление сертификатов с учетными данными устройств обрабатывалось контроллером домена.

Windows Active Directory

Как сообщалось, выпущенные обновления OOB Windows доступны только через Microsoft Update Catalog и не будут распространяться через Windows Update.

Компания выпустила следующие накопительные пакеты обновлений для установки на контроллеры домена:

Также были выпущены обновления, никак не связанные с проблемой:

  • Windows Server 2012 R2: KB5014986
  • Windows Server 2012: KB5014991
  • Windows Server 2008 R2 SP1: KB5014987
  • Windows Server 2008 SP2: KB5014990

Все обновления из списка можно вручную импортировать в службы обновления Windows Server Update Services (WSUS) и Microsoft Endpoint Configuration Manager. Инструкции по WSUS можно найти на странице WSUS, а по Configuration Manager – на странице импорта обновлений из Microsoft Update Catalog[2].

2019: В MaxPatrol SIEM загружен пакет для выявления аномалии в активности пользователей в Active Directory

10 апреля 2019 года компания Positive Technologies сообщила о загрузке пакета экспертизы в MaxPatrol SIEM, который позволяет выявлять аномалии в активности пользователей в Microsoft Active Directory. Подробнее здесь.

2011

Active Directory реализует для администраторов использование групповых политик (GPO) для обеспечения единообразия настройки пользовательской рабочей среды, развёртывание ПО на множестве компьютеров (через групповые политики или посредством Microsoft Systems Management Server 2003 (или System Center Configuration Manager)), устанавку обновлений ОС, прикладного и серверного ПО на всех компьютерах в сети (с использованием Windows Server Update Services (WSUS); Software Update Services (SUS) ранее).

Active Directory хранит данные и настройки среды в централизованной базе данных.

Информационные системы состоят из множества разнообразного оборудования и программного обеспечения. Управлять такой разрозненной информацией становится всё труднее без специализированных средств. Доменные службы Active Directory — централизованное хранилище сведений о конфигурации, запросов на проверку подлинности, а также сведений обо всех объектах, хранящихся в корпоративном лесе.

С помощью Active Directory можно эффективно управлять пользователями, компьютерами, группами, принтерами, приложениями и другими поддерживающими службы каталогов проектами из единого безопасного, централизованного места. Специалист компании «Кречет» Геннадий Ефимов рассказал о процедуре миграции на конкретном примере реализованного проекта, дал необходимые рекомендации и поделился советами и своим опытом, помог слушателям выделить причины и обосновать перед руководством необходимость миграции на Active Directory 2008 R2.

Примечания

  1. APT-группа, стоящая за атакой на SolarWinds, использует зловред MagicWeb для посткомпрометации Active Directory
  2. Microsoft экстренно исправляет проблему авторизации в Windows AD
Источник — «http://zdrav.expert/index.php/%D0%9F%D1%80%D0%BE%D0%B4%D1%83%D0%BA%D1%82:Microsoft_Active_Directory»


ПРОЕКТЫ (32) ПРОЕКТЫ НА БАЗЕ (2) ИНТЕГРАТОРЫ (19)
РЕШЕНИЕ НА БАЗЕ (1) СМ. ТАКЖЕ (469) ОТРАСЛИ (14)
ГЕОГРАФИЯ
25.11.20Macroscop Cloud
23.11.20Банк Открытие (Security Vision)
11.11.20PayDox Система электронного документооборота и управления бизнес-процессами
11.11.20Новое слово в управлении уязвимостями: какие системы изменят подход к vulnerability management TADетали
11.11.20Dialog enterprise
02.11.20UserGate Proxy & Firewall
28.10.20Sigur - Управление доступом (ранее Сфинкс)
27.10.20Alloy Discovery
27.10.20Alloy Navigator
20.10.20Red Hat Ansible
17.10.20Naumen Service Management Platform (NSMP)
13.10.20Трубная Металлургическая Компания (ТМК) (MaxPatrol SIEM)
06.10.20ELMA BPM Suite
01.10.20Бражник Сергей Васильевич
02.09.20Санкт-Петербургский государственный архитектурно-строительный университет (СПбГАСУ) (Microsoft Identity Manager)
28.08.20Санкт-Петербургский государственный архитектурно-строительный университет (СПбГАСУ) (Microsoft Teams)
19.08.20Национальный спортивный телеканал (Матч ТВ) (FortiGate)
10.08.20Безопасность удаленной работы: проблемы и рекомендации
05.08.20Экспертное тестирование ОС Astra Linux
29.07.20Dell EMC iDRAC (Integrated Dell Remote Access Controller)
29.07.20Скайлаб (Смарт-софт: Traffic Inspector Next Generation)
17.06.20Главные проблемы и препятствия импортозамещения ИТ в России
15.06.20Удаленная работа: организационные и технические решения
02.06.20ABBYY FineReader Server (ранее Recognition Server)
15.05.20Весенняя серия вебинаров VMware
07.05.20BeyondTrust Universal Privilege Management
22.04.20VMware vRealize Orchestrator
17.04.20ESET Secure Authentication (ESA)
17.04.20Информационные технологии в Вертолеты России
30.03.20Сибрус, защищенный мессенджер

<< < 3 4 5 6 7 8 9 10 11 > >>

Править
Короткая ссылка   |  Просмотров: 48901
ИНТЕГРАТОРЫ (434) ПРОЕКТЫ (1224) СИСТЕМЫ (450) ВЕНДОРЫ (205)

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Softline (Софтлайн) (89)
  X-Com (Икс ком) (54)
  Крок (35)
  Инфосистемы Джет (34)
  Астерос (34)
  Другие (1080)

  X-Com (Икс ком) (10)
  Softline (Софтлайн) (6)
  Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (5)
  Крок (4)
  Delta Computers (Дельта Компьютерс) (3)
  Другие (53)

  Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (3)
  Мобильные ТелеСистемы (МТС) (3)
  Почта России (2)
  Селектел (Selectel) (2)
  Цифровые Платформы и Решения Умного Города (1)
  Другие (24)

  X-Com (Икс ком) (8)
  Аладдин Р.Д. (Aladdin R.D.) (2)
  Национальные Технологии (2)
  ОБИТ (1)
  Айтеко (Ай-Теко, iTeco) (1)
  Другие (29)

  AirBit (АирБит) (1)
  Lenovo (1)
  R-Style Softlab (Эр-Стайл Софтлаб) (1)
  TrueConf (Труконф) (1)
  ИТЛ (Информационно-Техническая Лаборатория) (1)
  Другие (3)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  IBM (47, 81)
  Microsoft (12, 58)
  Oracle (28, 56)
  Dell EMC (21, 24)
  Lenovo (3, 23)
  Другие (375, 274)

  Lenovo Data Center Group (1, 6)
  Lenovo (1, 6)
  SOTI (1, 3)
  КНС Групп (Yadro) (1, 3)
  Bull (Atos IT Solutions And Services) (2, 2)
  Другие (18, 20)

  Селектел (Selectel) (1, 2)
  Aerodisk (Аеро Диск) (1, 1)
  Delta Solutions (Дельта Солюшнс) (1, 1)
  Lenovo (1, 1)
  Softline (Софтлайн) (1, 1)
  Другие (7, 7)

  Аладдин Р.Д. (Aladdin R.D.) (1, 2)
  Шаркс Датацентр (Sharx DC) (1, 1)
  Delta Computers (Дельта Компьютерс) (1, 1)
  DEPO Computers (Депо Электроникс) (1, 1)
  Lenovo (1, 1)
  Другие (7, 7)

  КНС Групп (Yadro) (1, 2)
  AirBit (АирБит) (1, 1)
  TrueConf (Труконф) (1, 1)
  Другие (0, 0)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  IBM Power Systems - 35 (13, 22)
  Microsoft Active Directory - 32 (32, 0)
  Dell EMC PowerEdge - 23 (11, 12)
  Oracle Exadata Database Machine - 21 (21, 0)
  Oracle WebLogic Server - 20 (20, 0)
  Другие 270

  Lenovo ThinkSystem - 6 (6, 0)
  IBM Power8 - 3 (0, 3)
  Soti Mobicontrol - 3 (3, 0)
  Dell EMC PowerEdge - 2 (2, 0)
  IBM Power Systems - 2 (1, 1)
  Другие 9

  Selectel Выделенные серверы - 2 (2, 0)
  Альт Сервер - 1 (1, 0)
  Softline HaaS: оборудование как сервис - 1 (1, 0)
  Lenovo ThinkSystem - 1 (1, 0)
  Delta Solutions: Tioga Pass Серверы с архитектурой Open Compute Project (OCP) - 1 (1, 0)
  Другие 4

  JaCarta Authentication Server (JAS) - 2 (2, 0)
  SharxBase - 1 (1, 0)
  IBM Power8 - 1 (0, 1)
  WildFly - 1 (1, 0)
  Depo Storm - 1 (1, 0)
  Другие 2

  IBM Power8 - 2 (0, 2)
  Trueconf MCU (Multipoint Control Unit) - 1 (1, 0)
  Другие -2
В России сократилось производство экскаваторов
Ученые из России, Германии и ОАЭ нашли способ упростить квантовые расчеты с помощью фрактальности
Доля киберпреступлений в России за год достигла 38% в общем количестве
Максим Семиренко, Imredi: На платформе Imredi мы создаем экосистему с ИИ для цифровизации ритейла
Низкотемпературный плазменный стерилизатор Sterlink - обзор возможностей
Becton Dickinson многие годы скрывала брак в инфузионных насосах
Getinge отзывает бракованные внутриаортальные баллонные помпы, которые внезапно отключаются
Медицинский маркетинг в 2023: Особенности и сложности продвижения частных медицинских центров
Как работают маммографы. Обзор Zdrav.Expert
УЗИ-аппараты в России: обзор современных моделей