As contas Shadow Admin são contas de usuário que possuem privilégios confidenciais – não porque sejam membros de um grupo privilegiado. admin Active Directory (AD) grupo, mas porque eles receberam inadvertidamente permissões que podem permitir-lhes assumir o controle de outras contas privilegiadas e aproveitá-las para alcançar seus sistemas de destino e comprometê-los.
Se uma conta Shadow Admin for comprometida, pode ser muito arriscado para a organização. Afinal, esses contas de usuário pode ser usado para comprometer contas adicionais e obter privilégios administrativos.
No entanto, identificar estas contas e restringir o seu acesso não é uma tarefa trivial.
O que são administradores sombra?
Um Shadow Admin é um usuário que não é membro de grupos administrativos do AD, como Administradores de Domínio, Administradores Corporativos, Administradores de Esquema, Administradores, etc. No entanto, esse usuário terá direitos a algum tipo de recursos administrativos em uma conta de administrador, que permite que este usuário para obter mais capacidades administrativas.
Esses recursos administrativos incluem:
- Direitos de controle total (usuário ou grupo)
- Escreva todas as propriedades (em um grupo)
- Redefinir senha (em um usuário)
- Todos os direitos estendidos (em um usuário)
- Alterar permissões (usuário ou grupo)
- Escreva membro (em um grupo)
- Gravar proprietário (usuário ou grupo)
- O proprietário real (usuário ou grupo)
Além disso, qualquer usuário que possa assumir e controlar um Shadow Admin de qualquer nível também será considerado um Shadow Admin.
Um exemplo de administrador sombra:
Digamos que Bob seja um Administrador de Domínio (membro do grupo Administradores de Domínio). Isso significa que Bob tem acesso de administrador de domínio para Active Directory.
Figura 1: Bob é membro do Grupo de Administradores de Domínio
Alice não é membro do Grupo de Administradores de Domínio. No entanto, Alice tem a capacidade de redefinir a senha de Bob. Portanto, Alice pode redefinir a senha de Bob, fazer login como Bob e executar tarefas que exijam privilégios de administrador de domínio em seu nome. Isso faz de Alice uma “Administradora de Sombra”.
Figura 2: Alice pode redefinir a senha de Bob, o que a torna uma “Administradora Shadow”
Agora, digamos que Larry possa redefinir a senha de Alice. Isso significa que Larry pode redefinir a senha de Alice, fazer login como Alice, alterar a senha de Bob, depois fazer login como Bob e executar tarefas que exigem privilégios de administrador de domínio. Isso faz de Larry um administrador sombra de nível 2.
Figura 3: Larry pode redefinir a senha de Alice, o que o torna um “Shadow Admin” também
E isso não termina com Larry. Quem pode redefinir a senha de Larry?
O processo continua e uma organização pode, potencialmente, ter muitos administradores paralelos.
3 razões pelas quais os Shadow Admins são criados
Existem alguns motivos pelos quais existem administradores sombra em nossas redes:
- Erro humano ou má gestão dos direitos do usuário: Shadow Admins podem ser criados por administradores inexperientes por engano ou porque não entenderam completamente as implicações das atribuições diretas de privilégios. Embora não existam intenções maliciosas por trás dessas contas de administrador paralelo, elas ainda podem representar riscos ao meio ambiente, permitindo aos usuários acesso não autorizado a ativos confidenciais.
- Criado para uso temporário, mas nunca removido: Embora isso seja considerado uma má prática, em alguns casos os administradores de TI podem conceder privilégios temporários às contas que transformam os usuários em administradores sombra, com a intenção de remover esses privilégios posteriormente. Embora isto possa resolver problemas imediatos, estes privilégios são frequentemente mantidos, deixando estas contas com privilégios administrativos não supervisionados.
- Os adversários podem criar administradores ocultos para ocultar atividades e permanecer furtivos: Depois que os privilégios de administrador forem alcançados, os invasores podem criar contas de administrador sombra para permitir persistência e ocultar suas atividades. Essas contas de administrador paralelo podem então ser usadas para ocultar atividades maliciosas enquanto o invasor permanece furtivo.
Independentemente do motivo de sua criação, os administradores sombra representam um risco para a organização, pois permitem que indivíduos não autorizados realizem atividades que não deveriam realizar. Se um adversário obtiver controle sobre uma conta de administrador shadow, ela poderá ser usada como um vetor de ataque.
O fato de essas contas não serem monitoradas ou supervisionadas significa que você não só não sabe que deve restringir o acesso delas (você não pode resolver problemas que você não conhece), mas também significa que acessos e alterações não autorizados podem ocorrer. não detectado. Em alguns casos, esses acessos ou alterações não autorizados podem ser detectados tarde demais – após o vazamento de dados confidenciais ou após o comprometimento de sistemas críticos.
Como posso determinar quem são meus administradores sombra?
Identificar administradores sombra é um problema desafiador e complexo. Primeiro você precisa determinar quem são seus administradores, ou seja, todos os usuários que pertencem aos grupos AD que lhes concedem privilégios administrativos. Alguns grupos AD são óbvios, como o grupo Domain Admin. Mas alguns grupos são menos óbvios. Vimos que em muitas organizações são criados diferentes grupos administrativos para dar suporte a diferentes propósitos comerciais. Em alguns casos, você pode até encontrar grupos aninhados. É importante mapear todos os membros desses grupos. À medida que mapeamos as associações de grupos, precisamos levar em consideração não apenas as identidades dos usuários que aparecem na lista de membros, mas também as configurações de ID de grupo principal de qualquer usuário.
Compreender os membros dos nossos grupos administrativos no AD é um primeiro passo importante, mas não é suficiente para identificar todos contas privilegiadas no domínio. Isso ocorre porque eles não incluem os administradores sombra. Para detectar os administradores sombra, você precisa analisar as permissões ACL concedidas a cada conta.
Você acha que pode analisar as ACLs? Pense de novo
Conforme explicado anteriormente, para detectar administradores sombra você precisa analisar a permissão ACL de cada conta no AD, para entender se a conta tem privilégios sobre quaisquer grupos administrativos ou contas de administrador individuais. Isto, por si só, é uma tarefa muito difícil, senão impossível, para qualquer ser humano.
Se você for capaz de realizar esta análise, ela fornecerá o primeiro nível de administradores sombra.
Mas não é suficiente. Agora você precisa analisar todas as ACLs novamente para entender quem tem privilégios para alterar esses administradores sombra de primeiro nível. E então de novo, e de novo, e de novo – esse processo precisa continuar até que todos os níveis de seus administradores sombra sejam detectados.
E se você encontrasse um grupo de administradores paralelos? Isso complica ainda mais as coisas.
O resultado final é que esta importante análise não pode ser feita manualmente.
Silverfort: A melhor solução de MFA
Silverfort consultas periódicas Active Directory para obter as diferentes ACLs de todos os objetos no domínio. Ele identifica automaticamente grupos de administradores comuns. Em seguida, ele analisa as ACLs em busca de usuários e grupos de administradores sombra que tenham privilégios equivalentes aos membros desses grupos de administradores – privilégios que efetivamente os tornam contas/grupos de administradores sombra. Ele continua analisando as ACLs para determinar quantas vezes forem necessárias para identificar todos os níveis de contas e grupos de administradores sombra, garantindo que você tenha visibilidade total dessas contas potencialmente perigosas.
Essa lista abrangente deve então ser revisada pelos administradores do AD para determinar se os privilégios ou essas contas e grupos de administradores paralelos são legítimos ou não e se devem ser restritos ou supervisionados.
Além disso, Silverfort monitora e analisa continuamente todas as solicitações de acesso no domínio. Ele considera os administradores sombra como contas de alto risco. Silverfort identifica automaticamente, em tempo real, atividades confidenciais, como uma tentativa de redefinir a senha de um usuário, e alerta sobre isso ou exige que o usuário valide sua identidade com autenticação multifator (MFA) antes de permitir a redefinição da senha. Isso pode impedir alterações não autorizadas nas contas dos usuários, bem como qualquer acesso não autorizado a ativos confidenciais na rede.
Se você quiser saber mais sobre isso – entre em contato conosco para agendar uma demonstração