常見問題Q&A
Tenable.ad 的主要功能為何?
Tenable.ad 能讓您在弱點被攻擊者利用之前搜尋與修復 Active Directory 當中的脆弱環節,並即時偵測與應變攻擊。Tenable.ad 的主要功能包括:
- 找出任何潛藏在您 Active Directory 組態中的脆弱環節
- 發現威脅 AD 安全性的底層問題
- 以簡易的詞彙說明來剖析每一個不當設定
- 取得每一個問題的建議修復方式
- 建立可管理您 AD 安全性的自訂儀表板,以降低風險
- 找出危險的信任關係
- 掌握您 AD 中的每一個變更
- 發現 AD 中每一個網域的重大攻擊
- 從精確的攻擊時間表中將每一個威脅視覺化
- 在單一檢視畫面中彙整攻擊散佈情形
- 將 AD 變更與惡意動作連結
- 深入分析 AD 攻擊的細節
- 從偵測到的資安事端直接探索 MITRE ATT&CK ® 的說明
Tenable.ad 能夠偵測哪些 Active Directory 攻擊和技巧?
Tenable.ad 可偵測許多在網路攻擊中用來取得提高權限及啟用橫向移動的技巧,包括:DCShadow、暴力破解 (Brute Force)、密碼噴灑 (password spraying)、 DCSync、Golden Ticket 等等。
Tenable.ad 能夠偵測 Active Directory 上的哪些特殊權限攻擊媒介?
Tenable.ad 擁有攻擊者用來取得特殊權限的已知攻擊媒介之大量資料庫。 包括:
| 攻擊媒介 | 說明 | 已知的侵犯工具 | Mitre 攻擊對照表 |
| 執行 Kerberos 服務的特殊權限帳號 | 使用可暴力破解的 Kerberos Service Principal Name 之高度特殊權線帳號 | Kerberom | 權限提升、橫向移動、持續性 |
| 危險的 Kerberos 委派動作 | 檢查以確認沒有授權危險的委外動 (不受限、通訊協定轉換等) | Nishang | 權限提升、橫向移動、持續性 |
| Active Directory PKI 使用脆弱的加密演算法 | 在內部 Active Directory PKI 上部署的 Root 認證絕對不能使用脆弱的加密演算法 | ANSSI-ADCP | 持續性、權限提升、橫向移動 |
| 重要物件上的危險存取權限委派 | 我們發現某些存取權限會允許非法使用者控制重要的物件 | BloodHound | 洩漏、橫向移動、指令與控制、存取認證、權限提升 |
| 密碼原則中的多種問題 | 在某些特定的帳號上,目前所使用的密碼原則應不足以確保認證受到可靠的保護 | Patator | 規避防禦、橫向移動、存取認證、權限提升 |
| 危險的 RODC 管理帳號 | 負責管理唯讀網域控制器的系統管理群組中含有不正常的帳號 | Impacket | 存取認證、規避防禦、權限提升 |
| 與重要物件連結的敏感 GPO | 某些由非系統管理帳號所管理的 GPO 會連結至敏感的 Active Directory 物件 (例如:KDC 帳號、網域控制器、系統管理群組等) | ANSSI-ADCP | 指令與控制、存取認證、持續性、權限提升 |
| 系統管理帳號能連接至除了網域控制器以外的其他系統 | 受監控的基礎架構上所部署的安全原則無法防止系統管理帳號連接除了 DC 以外的資源,導致敏感的認證洩漏 | CrackMapExec | 規避防禦、存取認證 |
| 危險的信任關係 | 不當設定的信任關係屬性會降低目錄基礎架構的安全性 | Kekeo | 橫向移動、存取認證、權限提升、規避防禦 |
| GPO 中可還原的密碼 | 驗證 GPO 中包含的密碼不是以可還原的格式儲存 | SMB 密碼編目程式 | 存取認證、權限提升 |
| 執行已過時作業系統的電腦 | 已過時的系統已不再受到廠商的支援,因此會大幅增加基礎架構的弱點 | Metasploit | 橫向移動、指令與控制 |
| 使用 Windows 2000 之前版本相容存取控制的帳號 | Windows 2000 之前版本的相容存取群組的帳號成員可迴避特定的安全措施 | Impacket | 橫向移動、規避防禦 |
| 本機系統管理帳號的管理 | 確保本機系統管理帳號使用 LAPS 集中且安全地受到管理 | CrackMapExec | 防禦規避、存取認證、橫向移動 |
| 危險的匿名使用者組態 | 在受監控的 Active Directory 基礎架構上啟用匿名存取將會導致敏感資訊外洩 | Impacket | 洩漏 |
| 不正常的 RODC 篩選屬性 | 套用在某些唯讀網域控制器的篩選原則會造成敏感資訊被快取處理,進而允許權限提升 | Mimikatz (DCShadow) | 權限提升、規避防禦 |
| 在橫向移動攻擊情境中缺少限制 | 在受監控的 Active Directory 基礎架構上沒有啟用橫向移動限制,讓攻擊者能夠以同樣的權限層級從一台機器跳到另一台機器上 | CrackMapExec | 橫向移動 |
| DC 共享區中儲存的純文字密碼 | 在 DC 共享區上的某些檔案可以被任何經授權的使用者存取,而其中可能會包含純文字密碼,進而允許權限提升 | SMBSpider | 存取認證、權限提升、持續性 |
| 登入指令碼上的危險存取控制權限 | 某些在電腦或使用者登入時執行的指令碼擁有危險的存取權限,進而導致權限提升 | Metasploit | 橫向移動、權限提升、持續性 |
| GPO 中使用了危險的參數 | 某些危險的參數 (例如:限制的群組、LM 雜湊運算、NTLM 認證層級、敏感參數等等) 是由 GPO 所設定,這些參數會造成安全漏洞 | Responder | 搜尋、存取認證、執行、持續性、權限提升、規避防禦 |
| 使用者帳號控制 (User Account Control) 組態中所定義的危險參數 | 某些使用者帳號的使用者帳號控制屬性會定義危險的參數 (例如:PASSWD_NOTREQD 或 PARTIAL_SECRETS_ACCOUNT),這些參數會危害這些帳號的安全性 | Mimikatz (LSADump) | 持續性、權限提升、規避防禦 |
| 沒有更新應用程式安全修補程式 | 某些在 Active Directory 中登錄的伺服器最近沒有套用安全更新程式 | Metasploit | 指令與控制權限升級、規避防禦 |
| 對使用者帳號嘗試暴力破解 | 某些使用者帳號已經被暴力破解攻擊鎖定 | Patator | 存取認證 |
| 使用者帳號上的 Kerberos 組態 | 某些帳號會使用安全性脆弱的 Kerberos 組態 | Mimikatz (Silver Ticket) | 存取認證、權限提升 |
| DC 上不正常的共享區或儲存的檔案 | 某些網域控制器會用來存放非必要的檔案或網路共享區 | SMBSpider | 搜尋、洩漏 |
Tenable.ad 能夠判別 Active Directory 上的哪些後門程式技巧?
Tenable.ad 擁有大量攻擊者用來取得持續性的已知後門程式技巧資料庫。包括:
| 後門程式技巧 | 說明 | 已知的侵犯工具 | Mitre 攻擊對照表 |
| 確保 SDProp 一致性 | 控制 adminSDHolder 物件保持在無毒的狀態 | Mimikatz (Golden Ticket) | 權限提升、持續性 |
| 確保 SDProp 一致性 | 驗證使用者的主要群組沒有被變更 | BloodHound | 權限提升、持續性 |
| 驗證根網域物件權限 | 確保根網域物件上的權限設定是合理的 | BloodHound | 權限提升、持續性 |
| 驗證敏感的 GPO 物件與檔案權限 | 確保 GPO 物件和連結至敏感容器 (如網域控制器 OU) 的檔案權限設定是合理的 | BloodHound | 執行、權限提升、持續性 |
| RODC KDC 帳號上的危險存取權限 | 某些唯讀網域控制器上所使用的 KDC 帳號可以被非法使用者帳號控制,導致認證外洩 | Mimikatz (DCSync) | 權限提升、持續性 |
| 對應至使用者帳號的敏感憑證 | 某些儲存在 altSecurityIdentities 使用者帳號屬性中的 X509 憑證能讓憑證的私密金鑰擁有者以該使用者的身分通過身分驗證 | 指令與控制、存取認證、權限提升、持續性 | |
| 正常帳號上的不良 Krbtgt SPN 設定 | KDC 的 Service Principal Name 會出現在某些正常的使用者帳號上,進而偽造 Kerberos 工單 | Mimikatz (Golden Ticket) | 權限提升、持續性 |
| KDC 密碼上次更改 | KDC 帳號密碼必須定期更改 | Mimikatz (Golden Ticket) | 存取認證、權限提升、持續性 |
| 帳號擁有危險的 SID History 屬性 | 檢查在 SID 歷程屬性中使用特權 SID 的使用者或電腦帳號 | DeathStar | 權限提升、持續性 |
| 流氓網域控制器 | 確保只有合法的網域控制器伺服器登錄至 Active Directory 基礎架構中 | Mimikatz (DCShadow) | 執行、規避防禦、權限提升、持續性 |
| 非法的 Bitlocker 金鑰存取控制 | 某些儲存在 Active Directory 中的 Bitlocker 復原金鑰可以被除了系統管理員以外的人員以及連結的電腦存取 | ANSSI-ADCP | 存取認證、權限提升、持續性 |
| Schema 安全描述項中不正常的項目 | Active Directory Schema 被修改為新的標準存取權限或可能危害受監控基礎架構的物件 | BloodHound | 權限提升、持續性 |
| 啟用 DSRM 帳號 | Active Directory 復原帳號被啟用,使其曝露在認證遭竊的風險之中 | Mimikatz (LSADump) | 存取認證、執行、規避防禦、權限提升、持續性 |
| RODC 中危險的快取原則 | 某些唯讀網域控制器上所設定的快取原則會讓全域系統管理員帳號的認證被 RODC 管理帳號快取處理及擷取 | Mimikatz (DCSync) | 權限提升、持續性 |
| 套用在 DC 上由 GPO 部署的憑證 | 某些 GPO 會用來在網域控制器上部署憑證,讓憑證的私密金鑰擁有者得以入侵這些伺服器 | BloodHound | 權限提升、持續性 |
| 在使用智慧卡時無法更新身分驗證雜湊 | 某些使用智慧卡身分驗證的使用者帳號無法經常更新其認證雜湊 | Mimikatz (LSADump) | 持續性 |
| 使用者帳號的密碼可還原 | 驗證不會有參數使得密碼以可還原的格式儲存 | Mimikatz (DC 同步) | 存取認證 |
| 在容器上使用明確的拒絕存取 | 某些 Active Directory 容器或 OU 會定義明確的拒絕存取,可能會導致後門程式隱藏 | BloodHound | 規避防禦、持續性 |
Tenable.ad 如何稽核 Active Directory?
Tenable.ad 是市面上唯一無需在網域控制器或端點上部署任何代理程式的解決方案。Tenable.ad 甚至只需要使用者層級的權限就能操作。這套獨特的架構能讓資安團隊快速稽核 Active Directory 的組態,而不會有複雜的部署問題。
Tenable.ad 是一種 AD 專用的時點安全稽核工具嗎?
AD 不當設定隨時都有可能發生,因此只有在 AD 啟動後數分鐘進行、而且只將重點放在不當設定,而沒有包括入侵指標的時點稽核已經過時。另一方面而言,Tenable.ad 是一套持續掃描 AD 是否有新的脆弱環節和攻擊的安全平台,當發生問題時,它還能即時警示使用者。
Tenable.ad 能夠偵測到 Golden Ticket 攻擊嗎?
是的,Golden Ticket 是 Tenable.ad 能夠偵測出來且協助您預防的眾多攻擊技巧之一。利用同步執行數百種安全檢查和關聯分析,Tenable.ad 能夠為 AD 涵蓋最廣泛的安全範圍。
Tenable.ad 是否能與我的 SIEM / SOAR / 工單系統等整合?
AD 安全性是您資安拼圖中非常重要的一塊,而 Tenable.ad 能夠將其嚴密地融合在您的安全生態系統之中。
我們的 Syslog 整合性可確保所有 SIEM 及大多數的工單系統與 Tenable.ad 能夠立即整合。我們也針對 QRadar、Splunk 和 Phantom 提供原生應用程式。
Tenable.ad 是一款雲端型解決方案嗎?
Tenable.ad 可擴充至多組織和多樹系 Active Directory 部署環境嗎?
Active Directory 部署環境。
Tenable.ad 的授權方式為何?
Tenable.ad 是依作用中使用者人數授權。
Tenable.ad 需要 Active Directory 的特殊權限才能找出脆弱環節並回應攻擊嗎?
Tenable.ad 在稽核組態和判別針對 Active Directory 的攻擊方面,只需要標準使用者帳號。
我要如何購買 Tenable.ad?
聯絡我們