Buscar

Idioma

Resolver Active Directory Brecha de protección con MFA para RDP, PsExec y PowerShell

14 de Octubre,2021

Inicio » Blog » Resolver Active Directory Brecha de protección con MFA para RDP, PsExec y PowerShell

Si bien la transición a la nube y la transformación digital están remodelando continuamente la TI, Active Directory (AD) Sigue siendo un componente clave en el entorno de casi todas las organizaciones. La suposición común es que en el futuro previsible la mayoría de las organizaciones mantendrán un entorno mixto local y en la nube. Esto introduce una brecha de seguridad crítica porque, a diferencia de la nube, AD no admite de forma nativa controles de protección de identidad como MFA, lo que lo expone de manera alarmante a un ataque que utiliza credenciales comprometidas para acceder a recursos específicos. Si bien MFA existe para inicios de sesión locales y conexiones RDP, está ausente en interfaces de acceso clave como PsExec y PowerShell.y otros que son ampliamente utilizados por actores de amenazas en movimiento lateral y ataques de ransomware. Silverfort's unificado Protección de Identidad es la primera solución que ofrece protección MFA completa para Active Directory entornos, eliminando el riesgo de credenciales comprometidas e introduciendo protección de identidad a nivel de nube y MFA para entornos locales.

Tabla de contenido

  • Un breve resumen de MFA: ¿Cómo funciona y con qué propósito?
  • Entonces, ¿cuál es el problema con la MFA para Active Directory?
  • Protocolos de autenticación que no son compatibles con MFA
  • Dependencia de agentes y apoderados = cobertura parcial
  • Silverfort Protección MFA para Active Directory
  • MFA para PowerShell
  • AMF para el PDR
  • Genial, pero puede Silverfort Entregar MFA a otros métodos de acceso en Active Directory ¿Ambientes?
  • Es hora de darse cuenta de que la protección AMF para Active Directory es un deber

    • Un breve resumen de MFA: ¿Cómo funciona y con qué propósito?

    En su forma más simple, la autenticación implica que un usuario proporcione credenciales y un proveedor de identidad que verifica si las credenciales coinciden y, según el resultado, permite o niega el acceso al recurso solicitado. MFA actúa como un paso adicional dentro de este proceso: tras el resultado positivo de la verificación de credenciales, el usuario debe proporcionar prueba adicional de su identidad. De esa manera, incluso si las credenciales se ven comprometidas, no son suficientes para brindar acceso, lo que reduce materialmente el riesgo potencial de tales escenarios.

    Entonces, ¿cuál es el problema con la MFA para Active Directory?

    Protocolos de autenticación que no son compatibles con MFA

    Desde el núcleo Active Directory La infraestructura de autenticación se diseñó y construyó mucho antes de que existiera MFA, no hay forma de agregar el paso de MFA que describimos anteriormente al proceso de autenticación. Esto se aplica en primer lugar a las interfaces de acceso remoto basadas en línea de comandos, como PsExec, PowerShell PSEnter-Session, WMI. Estas interfaces son la herramienta elegida por los administradores de sistemas y el personal del servicio de asistencia técnica para resolver problemas en máquinas remotas, pero también para los atacantes que buscan comprometer la red mediante movimientos laterales manuales o automatizados.

    Dependencia de agentes y apoderados = cobertura parcial

    RDP se destaca como una alternativa de autenticación remota relativamente segura, ya que admite la colocación del proceso MFA dentro de su flujo de autenticación. Sin embargo, para colocar esta protección, uno debe instalar un agente MFA en cada servidor protegido o colocar un proxy delante de cada segmento de red. Esto casi siempre resulta en una cobertura parcial porque los agentes nunca se implementan en el 100% de las máquinas y los proxies no logran cubrir herméticamente las redes que exceden la topología más básica.

    Silverfort Protección MFA para Active Directory

    El Silverfort La plataforma Unified Identity Protection ofrece servicios de extremo a extremo AMF a Active Directory entornos, superando las brechas en la aplicación tradicional de MFA. Utilizando tecnología sin agentes y sin proxy, Silverfort analiza cada Active Directory solicitud de autenticación y, si es necesario, envía una notificación MFA al usuario solicitante. Sólo después de una verificación exitosa Silverfort instruir Active Directory para permitir que el usuario acceda al recurso solicitado. Este proceso es completamente independiente del método de acceso, lo que permite Silverfort ampliar la protección MFA a lo siguiente:

    MFA para PowerShell

    PowerShell se ha convertido cada vez más en la herramienta preferida para la administración de sistemas e incluye varios cmdlets y utilidades para acceso remoto. Lamentablemente, su uso en ciberataques ha aumentado en proporción directa. Silverfort permite a sus usuarios hacer cumplir MFA en PowerShell conexiones basadas en reglas o en el descubrimiento automatizado de indicadores de riesgo.

    MFA para Powershell remoto

    AMF para el PDR

    A diferencia de sus pares, RDP no se basa en la línea de comandos, pero permite la interacción directa con la GUI de las máquinas remotas. Esto amplía su uso a una gran parte de los miembros no técnicos de las organizaciones, especialmente en la era de la fuerza laboral remota de COVID. Si bien la MFA tradicional se puede aplicar a RDP, está sujeta a las limitaciones de los servidores proxy y agentes que describimos anteriormente, lo que casi siempre da como resultado una cobertura parcial que deja un espacio que los atacantes pueden aprovechar.

    En contraposición a esto, SilverfortLa tecnología sin agentes y sin proxy de aplica perfectamente AMF en el PDR conexiones en el entorno para brindar seguridad de extremo a extremo.

    AMF para el PDR

    Genial, pero puede Silverfort Entregar MFA a otros métodos de acceso en Active Directory ¿Ambientes?

    El concepto es simple: si el recurso se autentica en Active Directory, Silverfort puede hacer cumplir la AMF. Tan sencillo como eso. Esto es válido independientemente de los métodos de acceso. Hemos dedicado espacio a PowerShell, MFA para PsExec y RDP ya que son extremadamente comunes, pero la misma lógica de protección se aplica igualmente a cualquier vector de autenticación existente o futuro que pase a través de Active Directory – WMI, conexiones de bases de datos, aplicación local o cualquier otra.

    Es hora de darse cuenta de que la protección AMF para Active Directory es un deber

    Active Directory está aquí para quedarse. Los ciberataques prosperan gracias a la ausencia histórica de protección activa de identidad para Active Directory entorno que en la práctica significa que si las credenciales de sus cuentas de usuario se ven comprometidas, se acabó el juego. La buena noticia es que ya no tenemos que aceptar esto. Silverfort hace Ministerio de Asuntos Exteriores para Active Directory accesible, completo y fácil de implementar, lo que hace que su organización sea más resistente a los ciberataques que nunca antes.

    Aprenda más sobre Silverfort:

    ¿Listo para una demostración?
    Regístrate hoy.

    Mensajes recientes

    Puede 2nd, 2024

    Silverfort Presentará una investigación en RSA 2024: uso de MITM para omitir los métodos de autenticación modernos a SSO

    24 de abril de 2024

    Cinco formas de mejorar la higiene de su AD con Silverfort  

    Marzo 26th, 2024

    The Identity Underground Report: visión profunda de las brechas de seguridad de identidad más críticas  

    Marzo 2nd, 2024

    Protección MFA para redes aisladas
    Ver más

    Síguenos en:

    Detenga las amenazas a la identidad ahora