Domain policy modification

1.

DOMAIN POLICY
MODIFICATION

2.

Domain Policy Modification
■ Это процесс настройки и управления правилами и ограничениями для
пользователей и компьютеров в домене Active Directory. Включает в себя
установку прав доступа, настройку групповых политик и управление ресурсами и
устройствами в домене. С помощью Domain Policy Modification администраторы
могут контролировать и управлять доступом к ресурсам, к примеру, таким как,
файлы или папки. А также обеспечивать соблюдение корпоративных политик и
процедур безопасности.

3.

Sub-techniques
1) Изменение групповой политики – это процесс изменения или обновления
набора правил и настроек, которые определяют поведение операционной
системы и ее пользователей.
2) Изменение доверия домена – это процесс изменения доверия между двумя
доменами в Active Directory.

4.

Тактики злоумышленников
1) Уклонение от защиты – это попытка избежать обнаружения путём
удаление/отключение защитного программного обеспечения или
запутывание/шифрование данных.
2) Повышение привилегий – это попытка получить разрешения более высокого
уровня. Злоумышленники могут войти и исследовать сеть с
непривилегированным доступом, но для достижения своих целей им
требуются повышенные разрешения. Для этого они используют слабые места
системы, неправильные конфигурации и уязвимости.

5.

Обнаружение действий
злоумышленников
1) Отслеживание вновь созданных объектов Active Directory.
2) Отслеживание неожиданных удалений объектов Active Directory.
3) Отслеживание изменений, внесенных в настройки Active Directory, на предмет
непредвиденных изменений учетных записей пользователей.
4) Отслеживание выполняемых команд и аргументов на предмет изменений
настроек доверия домена.

6.

Методы смягчения возникновения
угрозы
1) Определение и исправление возможности злоупотребления разрешениями
объекта групповой политики.
2) Использование минимальных привилегий и защиты административного
доступа к контроллеру домена и серверу служб федерации Active
Directory.
3) Рассмотреть возможность внедрения WMI и фильтрации безопасности,
чтобы дополнительно настроить, к каким пользователям и компьютерам
будет применяться объект групповой политики.
English     Русский Правила