Az úgynevezett LDAP (Lightweight Directory Access Protocol), amelyet a címtárszolgáltatók használnak az adatok hozzáféréséhez, s amely protokoll a directory szolgáltatások elérését szabályozza, a Windows AD autentikációját végzi a felhasználók és az alkalmazások között.
Többféle LDAP operációt különböztetünk meg:
- egyszerűsített Plain LDAP kötést, amelyben a hiteleső adatok Cleartext fromátumban kerülnek ki a hálózatra és egyáltalán nem biztonságosak;
- jelöletlen Egyszerű hitelesítési és biztonsági réteg (SASL) LDAP kötés, amely szintén nem biztonságos;
- SASL LDAP kötés, amely aláírásköteles és biztonságos is;
- LDAP titkosított és biztonságos kötés, a Secure Socket Layer / Transport Layer Security-n kersztül, LDAPS Bind.
A Domain controllerek (DCs) azért sérülékenyek gyakran, mert engedélyezik az LDAP klienseknek a kommunikációt az egyszerű LDAP kötéseken keresztül, valamint az SASL LDAP-nek is, amely nem igényel „jóváhagyást”. Miközben az egyszerű LDAP kötés lehetővé teszi az olyan privilegizált fiókok hitelesítő adatainak forgalmát, amelyek Cleartext-en keresztül mennek keresztül a hálózaton, az aláíratlan SASL LDAP-kötések lehetővé teszik, hogy esetleg rosszindulatú szándékból ezen adatokhoz hozzáférhessenek a felhasználók és a DC között, vagy esetleg megváltoztassák/módosítsak azokat, vagy ezt követően akár továbbítsák őket. Mindkét forgatókönyv katasztrofális következményekkel járhat.
A biztonsági rés megszüntetésének első lépése annak azonosítása, hogy érintett-e Ön, és ezt megteheti a 2887-es eseményazonosító áttekintésével.
A 2887-as esemény alapértelmezés szerint naplózódik a DC-ben 24 óránként, és azt mutatja meg, hogy hány alá nem írt és Cleartext szöveg kapcsolódott a DC-hez. Bármely nullánál nagyobb szám azt jelzi, hogy a DC engedélyezi a nem biztonságos LDAP-kötéseket.
Ezt követően, az összes olyan eszközt és alkalmazást fel kell ismerni, amelyek a nem biztonságos kötés használatával, a 2889 esemény-azonosítón keresztül vannak kapcsolatban a DC-vel.
A 2889-es esemény naplózza a DC-t minden alkalommal, amikor a ügyfél számítógép megpróbál hozzáférni autentikáció nélkül az LDAP-hoz. Ez megjeleníti az IP-címét és a accounthoz tartozó számítógép nevét, amely megpróbálta magát hitelesíteni az LDAP-hoz.
Megjegyzés: Ez az esemény alapértelmezés szerint nem kerül naplózásra, ehhez a megfelelő diagnosztika engedélyezése szükséges.
Egy PowerShell script megírása a naplózott 2887-es és 2889-es események releváns adatainak elemzésére és kinyerésére kellő szakértelemet és időt igényel. ADAudit Plus összegyűjti ezeket a DC-ket a Domainból,és jelentéseket készít belőle rámutatva azokra az eszközökre és alkalmazásokra, amelyek használata nem biztonságos LDAP kötést alkalmaz. A jelentés részleteiben megmutatja azokat az IP címeket, portokat, felhasználóneveket kötéseket, amelyek érdemes konfigurálni az ADAudit Plusban, hogy valós riasztásokat kapjunk ezekről, akár email, akár SMS-ben arról, hogy autentikációs kísérlet zajlik éppen egy nem biztonságos pontról.
Csak néhány kattintás az ADAudit Plus rendszerben, és a DC-k lehetővé teszik a nem biztonságos kötések meghatározását, ezáltal könnyen felismerhetjük az érintett érzékeny eszközöket, alkalmazásokat.
Megjegyzés: Miután minden eszközt és alkalmazást észlelt az ADAudit Plus-szal, amely a nem biztonságos LDAP-kötés használatával kapcsolódik, győződjünk meg arról, hogy ezen LDD-aláírások és csatornák kötésének érvényesítésével javítjuk ezeket a kötéseket (az LDAPS-t biztonságosabbá teszi).
Az ADAudit Plus egy valós idejű Active Directory, file szerver, Windows szerver és munkaállomás biztonsági és megfeleltetési megoldás.