Tweet
Bảo Vệ Tài Khoản Đặc Quyền Trong Active Directory Với Protected Users, Authentication Policies và Authentication Policy Silos
Trong hầu hết các cuộc tấn công vào Active Directory, mục tiêu cuối cùng của kẻ tấn công thường là chiếm được các tài khoản có đặc quyền cao như Domain Admin, Enterprise Admin hoặc các tài khoản dịch vụ quan trọng. Một khi các tài khoản này bị đánh cắp thông tin xác thực, toàn bộ hệ thống có thể bị kiểm soát.
Để giảm thiểu nguy cơ này, Microsoft đã giới thiệu ba cơ chế bảo mật quan trọng kể từ Windows Server 2012 R2:
Đây là những công cụ rất hữu ích trong mô hình Privileged Access Management (PAM) và Zero Trust. Protected Users Group là gì?
Protected Users là một nhóm bảo mật (Security Group) đặc biệt trong Active Directory được thiết kế để bảo vệ các tài khoản có đặc quyền cao khỏi các kỹ thuật đánh cắp credential như:
Khi một tài khoản được thêm vào nhóm Protected Users, Windows sẽ tự động áp dụng nhiều biện pháp bảo vệ:
Thông tin xác thực của người dùng không được cache trên máy.
CredSSP không lưu credential, giúp giảm rủi ro khi sử dụng Remote Desktop.
Windows Digest Authentication bị vô hiệu hóa.
NTLM không lưu credential trong bộ nhớ.
Kerberos không sử dụng các thuật toán yếu như DES và RC4, đồng thời không lưu các khóa dài hạn.
Người dùng không thể đăng nhập ngoại tuyến bằng cached credentials.
Những biện pháp này khiến việc trích xuất mật khẩu hoặc hash từ bộ nhớ của máy tính trở nên khó khăn hơn rất nhiều.
Ví dụ, nếu một tài khoản Domain Admin được thêm vào Protected Users, ngay cả khi máy quản trị bị nhiễm malware, kẻ tấn công cũng sẽ gặp nhiều khó khăn hơn trong việc lấy được NTLM Hash hoặc Kerberos Tickets để thực hiện Pass-the-Hash hoặc Pass-the-Ticket. Authentication Policies là gì?
Authentication Policies cho phép quản trị viên xây dựng các chính sách xác thực chi tiết hơn đối với tài khoản đặc quyền.
Ví dụ:
Chỉ cho phép tài khoản Domain Admin đăng nhập trên các máy quản trị được chỉ định.
Giới hạn thời gian sống của Kerberos Ticket Granting Ticket (TGT).
Đặt ra các tiêu chí bảo mật mà thiết bị phải đáp ứng trước khi cho phép đăng nhập.
Điều này giúp giảm đáng kể phạm vi tấn công (Attack Surface). Ngay cả khi tài khoản bị lộ mật khẩu, kẻ tấn công cũng không thể sử dụng tài khoản đó trên các máy không được phép.
Ví dụ:
Tài khoản Administrator chỉ được đăng nhập trên các máy PAW (Privileged Access Workstation). Nếu kẻ tấn công cố sử dụng tài khoản này trên máy người dùng thông thường, quá trình xác thực sẽ bị từ chối. Authentication Policy Silos là gì?
Authentication Policy Silo là một cơ chế mạnh mẽ hơn, cho phép tạo mối quan hệ ràng buộc giữa:
Có thể hình dung Authentication Policy Silo giống như một "vùng an toàn" dành riêng cho các tài khoản đặc quyền.
Ví dụ:
Domain Admin chỉ được đăng nhập vào các máy PAW.
Tài khoản SQL Service chỉ được chạy trên các SQL Server được chỉ định.
Tài khoản quản trị Exchange chỉ được phép đăng nhập vào Exchange Server.
Nếu thông tin xác thực bị đánh cắp và được sử dụng ở ngoài phạm vi của Silo, quá trình xác thực sẽ bị từ chối.
Mỗi tài khoản chỉ được phép thuộc về một Authentication Policy Silo duy nhất, giúp việc kiểm soát và kiểm toán trở nên đơn giản và chặt chẽ hơn. Tại sao ba cơ chế này lại quan trọng?
Trong các cuộc tấn công hiện đại, kẻ tấn công hiếm khi khai thác trực tiếp Domain Controller. Thay vào đó, chúng thường:
Protected Users, Authentication Policies và Authentication Policy Silos được thiết kế chính xác để ngăn chặn chuỗi tấn công này bằng cách:
Đối với các môi trường Active Directory hiện đại, đặc biệt là các doanh nghiệp vận hành hệ thống quan trọng, việc triển khai ba cơ chế này cùng với MFA, Privileged Access Workstations (PAW), gMSA và nguyên tắc Least Privilege sẽ tạo nên một lớp phòng thủ hiệu quả chống lại các cuộc tấn công vào tài khoản đặc quyền.
Trong hầu hết các cuộc tấn công vào Active Directory, mục tiêu cuối cùng của kẻ tấn công thường là chiếm được các tài khoản có đặc quyền cao như Domain Admin, Enterprise Admin hoặc các tài khoản dịch vụ quan trọng. Một khi các tài khoản này bị đánh cắp thông tin xác thực, toàn bộ hệ thống có thể bị kiểm soát.
Để giảm thiểu nguy cơ này, Microsoft đã giới thiệu ba cơ chế bảo mật quan trọng kể từ Windows Server 2012 R2:
- Protected Users Group
- Authentication Policies
- Authentication Policy Silos
Đây là những công cụ rất hữu ích trong mô hình Privileged Access Management (PAM) và Zero Trust. Protected Users Group là gì?
Protected Users là một nhóm bảo mật (Security Group) đặc biệt trong Active Directory được thiết kế để bảo vệ các tài khoản có đặc quyền cao khỏi các kỹ thuật đánh cắp credential như:
- Pass-the-Hash (PtH)
- Pass-the-Ticket (PtT)
- Credential Dumping
- Kerberos Ticket Theft
Khi một tài khoản được thêm vào nhóm Protected Users, Windows sẽ tự động áp dụng nhiều biện pháp bảo vệ:
Thông tin xác thực của người dùng không được cache trên máy.
CredSSP không lưu credential, giúp giảm rủi ro khi sử dụng Remote Desktop.
Windows Digest Authentication bị vô hiệu hóa.
NTLM không lưu credential trong bộ nhớ.
Kerberos không sử dụng các thuật toán yếu như DES và RC4, đồng thời không lưu các khóa dài hạn.
Người dùng không thể đăng nhập ngoại tuyến bằng cached credentials.
Những biện pháp này khiến việc trích xuất mật khẩu hoặc hash từ bộ nhớ của máy tính trở nên khó khăn hơn rất nhiều.
Ví dụ, nếu một tài khoản Domain Admin được thêm vào Protected Users, ngay cả khi máy quản trị bị nhiễm malware, kẻ tấn công cũng sẽ gặp nhiều khó khăn hơn trong việc lấy được NTLM Hash hoặc Kerberos Tickets để thực hiện Pass-the-Hash hoặc Pass-the-Ticket. Authentication Policies là gì?
Authentication Policies cho phép quản trị viên xây dựng các chính sách xác thực chi tiết hơn đối với tài khoản đặc quyền.
Ví dụ:
Chỉ cho phép tài khoản Domain Admin đăng nhập trên các máy quản trị được chỉ định.
Giới hạn thời gian sống của Kerberos Ticket Granting Ticket (TGT).
Đặt ra các tiêu chí bảo mật mà thiết bị phải đáp ứng trước khi cho phép đăng nhập.
Điều này giúp giảm đáng kể phạm vi tấn công (Attack Surface). Ngay cả khi tài khoản bị lộ mật khẩu, kẻ tấn công cũng không thể sử dụng tài khoản đó trên các máy không được phép.
Ví dụ:
Tài khoản Administrator chỉ được đăng nhập trên các máy PAW (Privileged Access Workstation). Nếu kẻ tấn công cố sử dụng tài khoản này trên máy người dùng thông thường, quá trình xác thực sẽ bị từ chối. Authentication Policy Silos là gì?
Authentication Policy Silo là một cơ chế mạnh mẽ hơn, cho phép tạo mối quan hệ ràng buộc giữa:
- User
- Computer
- Managed Service Account (gMSA)
Có thể hình dung Authentication Policy Silo giống như một "vùng an toàn" dành riêng cho các tài khoản đặc quyền.
Ví dụ:
Domain Admin chỉ được đăng nhập vào các máy PAW.
Tài khoản SQL Service chỉ được chạy trên các SQL Server được chỉ định.
Tài khoản quản trị Exchange chỉ được phép đăng nhập vào Exchange Server.
Nếu thông tin xác thực bị đánh cắp và được sử dụng ở ngoài phạm vi của Silo, quá trình xác thực sẽ bị từ chối.
Mỗi tài khoản chỉ được phép thuộc về một Authentication Policy Silo duy nhất, giúp việc kiểm soát và kiểm toán trở nên đơn giản và chặt chẽ hơn. Tại sao ba cơ chế này lại quan trọng?
Trong các cuộc tấn công hiện đại, kẻ tấn công hiếm khi khai thác trực tiếp Domain Controller. Thay vào đó, chúng thường:
- Xâm nhập vào máy người dùng.
- Đánh cắp credential.
- Leo thang đặc quyền.
- Di chuyển ngang (Lateral Movement).
- Chiếm Domain Admin.
Protected Users, Authentication Policies và Authentication Policy Silos được thiết kế chính xác để ngăn chặn chuỗi tấn công này bằng cách:
- Giảm khả năng lưu trữ credential trên máy.
- Giới hạn nơi tài khoản được phép đăng nhập.
- Ràng buộc tài khoản với các thiết bị và dịch vụ cụ thể.
- Giảm thiểu khả năng lạm dụng credential sau khi bị đánh cắp.
Đối với các môi trường Active Directory hiện đại, đặc biệt là các doanh nghiệp vận hành hệ thống quan trọng, việc triển khai ba cơ chế này cùng với MFA, Privileged Access Workstations (PAW), gMSA và nguyên tắc Least Privilege sẽ tạo nên một lớp phòng thủ hiệu quả chống lại các cuộc tấn công vào tài khoản đặc quyền.
Attached Files