NOTLogon: เครื่องที่มีสิทธิ์ใช้งานต่ำสามารถโจมตีโดเมนของคุณได้อย่างไร

Silverfort ค้นพบ Active Directory ช่องโหว่การปฏิเสธการให้บริการ (DoS) หรือที่เรียกว่า NOTLogon (CVE-2025-47978)
Silverfort ภาพ
ไทล์บล็อก Windows Kerberos DoS
สารบัญ

แบ่งปันโพสต์นี้:

บทสรุปผู้บริหาร

การขอ Silverfort ทีมวิจัยด้านความปลอดภัยระบุช่องโหว่การปฏิเสธการให้บริการ (DoS) ในโปรโตคอล Netlogon ของ Microsoft ซึ่งเป็นส่วนประกอบหลักที่ตัวควบคุมโดเมน Windows ทั้งหมดใช้ ปัญหาที่เราเรียกว่า NOTLogon และ Microsoft ได้ตั้งชื่อว่า ช่องโหว่การปฏิเสธบริการ Kerberos ของ Windows, อนุญาต เครื่องที่เข้าร่วมโดเมนใด ๆ ที่มีสิทธิ์ขั้นต่ำ เพื่อส่งคำขอการตรวจสอบสิทธิ์ที่สร้างขึ้นเป็นพิเศษซึ่งจะทำให้ตัวควบคุมโดเมนขัดข้องและต้องรีบูตอย่างสมบูรณ์

ช่องโหว่นี้ไม่จำเป็นต้องมีสิทธิ์ระดับสูง เพียงแค่ต้องมีการเข้าถึงเครือข่ายมาตรฐานและบัญชีเครื่องที่อ่อนแอเท่านั้น ในสภาพแวดล้อมองค์กรทั่วไป ผู้ใช้ที่มีสิทธิ์ระดับต่ำสามารถสร้างบัญชีดังกล่าวได้ตามค่าเริ่มต้น

การขัดข้องส่งผลกระทบต่อ LSASS ซึ่งเป็นกระบวนการรักษาความปลอดภัยหลักใน Windows และทำให้เกิดการหยุดชะงักในวงกว้าง Active Directory บริการรวมถึงการเข้าสู่ระบบของผู้ใช้ แอปพลิเคชันนโยบาย และทรัพยากรที่ขึ้นอยู่กับการรับรองความถูกต้อง Microsoft ได้ให้คะแนน CVE ไว้ที่ 6.5 และออกการแก้ไขสำหรับ CVE-2025-47978 เป็นส่วนหนึ่งของ Patch Tuesday วันที่ 8 กรกฎาคม 2025 เราขอแนะนำอย่างยิ่งให้ปรับใช้การอัปเดตนี้กับตัวควบคุมโดเมนทั้งหมดทันที พร้อมทั้งเพิ่มความเข้มงวดในการควบคุมการเข้าถึงสำหรับบัญชีบริการและเครื่องจักร

การค้นพบช่องโหว่ผ่าน AI

คำถามแรกๆ และคำถามที่ยากที่สุดที่นักวิจัยด้านความปลอดภัยต้องพิจารณาคือ พวกเขาจะพบช่องโหว่ได้ที่ไหนมากที่สุด นักวิจัยจะคัดแยกข้อมูล โค้ด และเอกสารจำนวนมาก จากนั้นจึงเลือกสถานที่ที่เหมาะสมเพื่อดูให้ลึกลงไป เพื่อเร่งกระบวนการและทดสอบขอบเขตของ AI เราใช้ LLM เพื่อระบุข้อบกพร่องที่อาจเกิดขึ้นโดยเปรียบเทียบหมายเหตุการเผยแพร่เก่ากับหมายเหตุการเผยแพร่ใหม่ แนวทางนี้ทำให้ค้นพบช่องโหว่ zero-day ได้เมื่อไม่นานมานี้ Active Directory ช่องโหว่การปฏิเสธการให้บริการ

ช่องโหว่ DoS ทำงานอย่างไร

Netlogon Remote Protocol (MS-NRPC) เป็นส่วนพื้นฐานของเครือข่ายบนโดเมนที่ใช้ Windows ซึ่งใช้ในการตรวจสอบผู้ใช้และเครื่องจักร และรักษาช่องทางที่ปลอดภัยระหว่างสมาชิกโดเมนและตัวควบคุมโดเมน (DC) เนื่องจากมีตำแหน่งที่มีสิทธิพิเศษและการมีอยู่ของเครือข่ายอย่างต่อเนื่อง ช่องโหว่การยกระดับสิทธิ์ที่ไม่มีสิทธิ์ใน Netlogon จึงอาจก่อให้เกิดหายนะได้

เมื่อเรานึกถึง การรับรอง ช่องโหว่ เรามักจะจินตนาการว่าผู้โจมตีเพิ่มสิทธิ์ ขโมยข้อมูลประจำตัว หรือเรียกใช้โค้ดจากระยะไกล แต่ภัยคุกคามที่ก่อกวนมากที่สุดอาจเป็นการทำลายล้างอย่างแท้จริง เช่น ตัดการเข้าถึง หยุดบริการ และขัดขวางการดำเนินการทั่วทั้งโดเมน ในโพสต์นี้ เราจะเปิดเผย NOTLogon ซึ่งเป็นช่องโหว่การปฏิเสธการให้บริการ (DoS) ในโปรโตคอล Netlogon ที่สามารถทำให้ระบบหลักไม่เสถียรหรือปิดใช้งานได้ Active Directory การดำเนินการโดยใช้ประโยชน์จากข้อบกพร่องในการเจรจาเซสชันและการจัดการสถานะ

เน็ตล็อกออน 101

หากต้องการทราบถึงผลกระทบของ NOTLogon เราต้องทำความเข้าใจเกี่ยวกับโปรโตคอล Netlogon ซึ่งเป็นส่วนพื้นฐานของสถาปัตยกรรมความปลอดภัยบนโดเมนของ Microsoft โปรโตคอล Netlogon Remote Protocol (MS-NRPC) เป็นโปรโตคอลการตรวจสอบสิทธิ์ที่มีสิทธิพิเศษและการสร้างช่องทางที่ใช้โดยคอมพิวเตอร์ที่เข้าร่วมโดเมนและตัวควบคุมโดเมน (DC) Netlogon ถูกนำมาใช้ใน Windows NT และยังคงใช้กันอย่างแพร่หลายในปัจจุบัน โดยช่วยให้สามารถใช้ฟังก์ชันโดเมนระยะไกลได้ เช่น การตรวจสอบบัญชีเครื่อง การทำหน้าที่เป็นนายหน้าตรวจสอบสิทธิ์ การอำนวยความสะดวกในการหมุนเวียนรหัสผ่าน และรองรับการทำงานที่ละเอียดอ่อนอื่นๆ มากมายที่สำคัญต่อ Active Directory โครงสร้างพื้นฐาน

บทบาทที่สำคัญที่สุดประการหนึ่งของโปรโตคอล Netlogon แต่ถูกมองข้ามบ่อยครั้งก็คือหน้าที่ของโปรโตคอลนี้ในฐานะโบรกเกอร์การตรวจสอบสิทธิ์ภายในสภาพแวดล้อมโดเมน Windows แม้ว่าจะเกี่ยวข้องกับการสร้างช่องทางที่ปลอดภัยสำหรับบัญชีเครื่อง แต่ Netlogon ยังทำหน้าที่เป็นตัวกลางระหว่าง Local Security Authority Subsystem Service (LSASS) และตัวควบคุมโดเมนสำหรับการประมวลผลคำขอการตรวจสอบสิทธิ์ของผู้ใช้ เมื่อผู้ใช้ล็อกอินผ่านเครือข่ายไปยังแอปพลิเคชันระยะไกล LSASS จะมอบการตรวจสอบสิทธิ์ให้กับ Netlogon หากต้องมีการตรวจสอบข้อมูลประจำตัว Active Directoryจากนั้น Netlogon จะห่อหุ้มคำขอไว้ในข้อความเฉพาะโปรโตคอลที่เรียกว่า NetrLogonSamLogon และส่งต่อไปยังตัวควบคุมโดเมนที่เหมาะสม โดยจัดการการเจรจาและการตอบกลับอย่างโปร่งใส ซึ่งเรียกว่าการตรวจสอบสิทธิ์แบบผ่าน

ตัวอย่างการตรวจสอบสิทธิ์แบบ Passthrough

Netlogon รองรับสถานการณ์การตรวจสอบสิทธิ์ประเภทใด

Netlogon รองรับสถานการณ์การตรวจสอบสิทธิ์ที่หลากหลายผ่าน NETLOGON_LEVEL union ซึ่งรู้จักกันอย่างเป็นทางการในชื่อ NETLOGON_LOGON_INFO_CLASS ซึ่งกำหนดวิธีการจัดแพ็คเกจและส่งต่อข้อมูลประจำตัวของผู้ใช้และบริการ ตามข้อกำหนดของ MS-NRPC ระดับที่รองรับ ได้แก่:

ข้อมูลแบบโต้ตอบของ Netlogon:สำหรับการเข้าสู่ระบบแบบโต้ตอบ โดยที่ผู้ใช้ป้อนข้อมูลประจำตัวที่เวิร์กสเตชัน (เช่น ผ่าน Ctrl+Alt+Del) ระดับนี้จะช่วยให้สามารถตรวจสอบความท้าทาย/การตอบสนองได้ (โดยทั่วไป NTLM หรือ Kerberos) ส่งไปยัง DC

ข้อมูลเครือข่าย Netlogon: สำหรับการเข้าสู่ระบบเครือข่าย เช่น การเข้าถึงทรัพยากร SMB หรือ RPC หลังจากการเข้าสู่ระบบแบบโต้ตอบ ข้อมูลประจำตัว (เช่น NTLM โทเค็น) จะถูกส่งซ้ำอย่างโปร่งใสโดยไม่ต้องแจ้งให้ผู้ใช้ทราบ

ข้อมูลบริการ Netlogon:สำหรับการเข้าสู่ระบบบัญชีบริการ ใช้เมื่อบริการ Windows ตรวจสอบความถูกต้องด้วยข้อมูลประจำตัวโดเมนเพื่อเข้าถึงทรัพยากร

ระดับสกรรมกริยา (แบบโต้ตอบ, เครือข่าย, การบริการ): รูปแบบต่างๆ ของการเปิดใช้งานการพิสูจน์ตัวตนแบบข้ามโดเมนหรือแบบผูกกับความน่าเชื่อถือ โดยที่ข้อมูลประจำตัวจะแพร่กระจายข้ามโดเมนที่มีความสัมพันธ์ที่เชื่อถือได้ เช่น NetlogonInteractiveTransitiveInformation, NetlogonNetworkTransitiveInformation และ NetlogonServiceTransitiveInformation

ข้อมูลทั่วไปของ Netlogon:สำหรับการตรวจสอบความถูกต้องแบบผ่านทั่วไป รวมถึง NTLM, Digest และ Kerberos การตรวจสอบ PAC โดยที่เซิร์ฟเวอร์ยอมรับข้อมูลประจำตัวของผู้ใช้และส่งต่อไปยัง DC เพื่อการตรวจสอบ

Netlogon มีการพัฒนาอย่างไร?

เนื่องจาก NTLM ถูกยกเลิกอย่างเป็นทางการแล้ว Microsoft จึงได้เปิดเผยข้อมูลจำเพาะ Network Ticket Logon เมื่อวันที่ 29 กรกฎาคม 2024 และได้สรุปไว้ในการอัปเดต MS-NRPC ที่เผยแพร่เมื่อวันที่ 19 พฤศจิกายน 2024 การปรับปรุงนี้ช่วยให้บริการต่างๆ สามารถนำเสนอตั๋ว Kerberos ที่ออกล่วงหน้าไปยังตัวควบคุมโดเมนโดยใช้ NetrLogonSamLogonEx RPC ซึ่งทำให้ไคลเอนต์เดิมไม่จำเป็นต้องติดต่อกับ DC โดยตรงอีกต่อไป

สถานการณ์จำลองนี้รองรับความสามารถในอนาคต เช่น LocalKDC ซึ่งการตรวจสอบตั๋วสามารถเกิดขึ้นได้แบบออฟไลน์หรือผ่านตัวกลาง เนื่องจากสถานการณ์จำลองนี้แนะนำตรรกะใหม่สำหรับการแยกวิเคราะห์ตั๋ว การตรวจสอบ PAC และการจัดการความน่าเชื่อถือที่มอบหมายภายในเส้นทาง RPC ที่มีสิทธิพิเศษ เราจึงเริ่มวิเคราะห์กลไกการเข้าสู่ระบบตั๋วเครือข่ายเพื่อประเมินขอบเขตความปลอดภัยและศักยภาพในการใช้งานในทางที่ผิด

การเดินทางของเราสู่สถานการณ์ Network Ticket Logon ใหม่เริ่มต้นด้วยกลไกการส่งมอบ: การเรียก NetrLogonSamLogonEx RPC ในตอนแรก Microsoft แนะนำการเรียกนี้เพื่อสรุปขั้นตอนการเข้าสู่ระบบ แต่ในเดือนกรกฎาคม 2024 Microsoft รองรับเส้นทางการตรวจสอบสิทธิ์ใหม่ทั้งหมดโดยยอมรับโครงสร้าง NETLOGON_TICKET_LOGON_INFO นี่คือหัวใจของสถานการณ์การเข้าสู่ระบบตั๋วเครือข่าย—เปิดใช้งานบริการเพื่อส่งตั๋ว Kerberos ไปยังตัวควบคุมโดเมนเพื่อการตรวจสอบโดยไม่จำเป็นต้องให้ไคลเอนต์เดิมโต้ตอบกับ DC โดยตรง

เรามุ่งความสนใจไปที่ข้อกำหนดสำหรับ NETLOGON_TICKET_LOGON_INFO และพบกับความซับซ้อนและความคลุมเครือทันที โดยเฉพาะอย่างยิ่งฟิลด์สองฟิลด์ที่ดึงดูดความสนใจของเรา: ServiceTicket และ AdditionalTicket ซึ่งทั้งคู่ประกาศเป็นบัฟเฟอร์ PUCHAR (ประเภทตัวชี้ที่ใช้ในการเขียนโปรแกรม Windows API เพื่อแสดงอาร์เรย์ไบต์ดิบ ซึ่งโดยพื้นฐานแล้วคือที่อยู่ที่ชี้ไปยังบัฟเฟอร์อักขระที่ไม่มีเครื่องหมายที่มีความยาวตามอำเภอใจ) บทบาทของ ServiceTicket ถูกกำหนดไว้อย่างชัดเจนว่าเป็น "ตัวชี้ไปยังอาร์เรย์อักขระที่ไม่มีเครื่องหมายซึ่งมีตั๋วบริการ" เรียบง่ายพอ

โครงสร้าง NETLOGON_TICKET_LOGON_INFO จาก MS-NRPC RFC

แต่ AdditionalTicket นั้นคลุมเครือกว่ามาก โดยในข้อมูลจำเพาะระบุว่า “หากตั๋วบริการเป็นตั๋ว User2User ก็ต้องระบุตั๋วการมอบตั๋ว (TGT) ที่ใช้เป็นแหล่งที่มาของคีย์เซสชันด้วย” ซึ่งทำให้เกิดคำถามมากกว่าคำตอบ ฟิลด์นี้เป็นทางเลือกหรือไม่ เว้นแต่ว่าตั๋วจะแสดงถึงสถานการณ์ U2U เนื้อหาที่คาดหวังจะเป็น TGT เสมอหรือไม่ ประเภทตั๋วอื่น ๆ สามารถใช้ได้หรือไม่ เพื่อทำให้เรื่องซับซ้อนขึ้น ฟิลด์ AdditionalTicketLength ที่แนบมาอธิบายว่าเป็น “ความยาวของตั๋วบริการ Kerberos ที่เป็นแหล่งที่มาของการอนุญาต” ซึ่งเป็นข้อความที่ขัดแย้งกันหากบัฟเฟอร์มีไว้เพื่อบรรจุ TGT

ด้วยความชัดเจนที่จำกัดจากเอกสารประกอบ เราจึงเปลี่ยนไปใช้การทดลอง เราสร้างโครงสร้างด้วยตนเองและเริ่มส่งคำขอที่ควบคุมไปยังตัวควบคุมโดเมนที่แก้ไขแบบสมบูรณ์ เมื่อต้องจัดการกับ RPC ที่มีสิทธิพิเศษเช่น Netlogon การใช้งานมักจะมีความสำคัญมากกว่าข้อกำหนด

ข้อกำหนดขั้นต่ำในการดำเนินการ NetrLogonSamLogonEx คือบัญชีเครื่องที่ลงทะเบียนในโดเมน ซึ่งแสดงถึงคอมพิวเตอร์หรือเซิร์ฟเวอร์ โดยเฉพาะอย่างยิ่ง ตามค่าเริ่มต้น ผู้ใช้แต่ละรายสามารถสร้างบัญชีเครื่องได้สูงสุด 10 บัญชีใน Active Directory โดเมน ซึ่งหมายความว่าผู้ใช้ที่อ่อนแอก็เพียงพอที่จะผูกเข้ากับอินเทอร์เฟซ Netlogon และดำเนินการ Network Ticket Logon กับตัวควบคุมโดเมน

ความผิดพลาด: จุดที่การเข้าสู่ระบบตั๋วเครือข่ายขัดข้อง

เมื่อเรามีโครงสร้าง NETLOGON_TICKET_LOGON_INFO ที่ใช้งานได้ เราจะส่งคำขอ Network Ticket Logon มาตรฐานไปยังตัวควบคุมโดเมนโดยใช้ NetrLogonSamLogonEx คำขอดังกล่าวมีตั๋วบริการที่ถูกต้องตามที่คาดไว้ แม้ว่าการเรียก Netlogon จะส่งคืน STATUS_SUCCESS แต่ฟิลด์ KerberosError ที่ฝังอยู่ภายในการตอบสนองจะมี STATUS_INSUFFICIENT_RESOURCES ซึ่งเป็นผลลัพธ์ที่ผิดปกติและน่าสงสัยสำหรับคำขอที่ดูเหมือนจะถูกต้อง

เพื่อตรวจสอบเพิ่มเติม เราจึงเริ่มตรวจสอบโครงสร้าง การละเว้น ServiceTicket ออกไปทั้งหมดจะส่งผลให้ได้ผลลัพธ์เป็น STATUS_INVALID_PARAMETER ตามที่คาดไว้ อย่างไรก็ตาม เมื่อเรากำหนดเป้าหมายไปที่ฟิลด์ AdditionalTicket และส่งเป็นบัฟเฟอร์ว่าง เราก็พบว่าตัวควบคุมโดเมนเกิดการขัดข้อง

LSASS ขัดข้องส่งผลให้ระบบล้มเหลวทั้งหมดและกระตุ้นให้มีการรีบูตตัวควบคุมโดเมน

การถ่ายโอนข้อมูลขัดข้องชี้ไปที่ฟังก์ชันชื่อ KdcUnpackAdditionalTgt ซึ่งรับผิดชอบในการถอดรหัสบัฟเฟอร์ AdditionalTicket ให้เป็นโครงสร้าง Kerberos KERB_TICKET ASN.1 สิ่งสำคัญคือ ฟังก์ชันล้มเหลวในการตรวจสอบว่าบัฟเฟอร์อินพุตไม่ว่างและถูกสร้างขึ้นอย่างถูกต้องก่อนพยายามถอดรหัส ซึ่งส่งผลให้เกิดการอ้างถึง NULL ภายใน LSASS ซึ่งเป็นกระบวนการ Windows ที่ควบคุมการพิสูจน์ตัวตนและการบังคับใช้ตามนโยบายความปลอดภัย

เนื่องจาก LSASS เป็นกระบวนการที่ได้รับการป้องกัน ความผิดพลาดดังกล่าวจึงส่งผลให้ระบบล้มเหลวทั้งหมดและต้องรีบูตตัวควบคุมโดเมน เพื่อทำความเข้าใจข้อกำหนดขั้นต่ำสำหรับการใช้ประโยชน์ เราได้ทดสอบว่าจำเป็นต้องมีตั๋วบริการที่ถูกต้องหรือไม่ มันไม่ได้— เส้นทางโค้ดที่เสี่ยงจะเข้าถึงได้ก่อนที่จะมีการประเมิน ServiceTicket ที่สำคัญกว่านั้นคือ ไม่จำเป็นต้องมีสิทธิ์พิเศษสูง เพียงแค่การเข้าถึงเครือข่ายและบัญชีเครื่องที่อ่อนแอก็เพียงพอที่จะทำให้เกิดการขัดข้องได้

นี่เป็นแกนหลักของ NOTLogon: ช่องโหว่การปฏิเสธบริการที่เกิดขึ้นจากสถานการณ์ Network Ticket Logon ใหม่ เนื่องจากการขาดการตรวจสอบในตัวจัดการบัฟเฟอร์ที่เพิ่มเข้ามาใหม่ การเรียก RPC ผิดรูปแบบเพียงครั้งเดียวสามารถทำให้ตัวควบคุมโดเมนไม่เสถียร ซึ่งก่อให้เกิดภัยคุกคามต่อความน่าเชื่อถือและความพร้อมใช้งานที่ร้ายแรงในสภาพแวดล้อมขององค์กร

การสร้างความโกลาหล: ผลกระทบและการบรรเทา

ผลกระทบของ NOTLogon นั้นตรงไปตรงมาและรุนแรง ด้วยบัญชีเครื่องที่ถูกต้องและข้อความ RPC ที่สร้างขึ้น ผู้โจมตีสามารถทำให้ตัวควบคุมโดเมนซึ่งเป็นระบบที่รับผิดชอบต่อการทำงานหลักของระบบล่มจากระยะไกลได้ Active Directoryรวมถึงการรับรองความถูกต้อง การอนุญาต การบังคับใช้ตามนโยบายกลุ่ม และการออกตั๋วบริการ การทำให้ตัวควบคุมโดเมนทั้งหมดหยุดทำงานจะทำให้โดเมนหยุดทำงานโดยปริยาย ตัดการเข้าถึงทรัพยากร ขัดขวางการเข้าสู่ระบบของผู้ใช้ และขัดขวางทุกส่วนประกอบที่ขึ้นอยู่กับข้อมูลประจำตัวส่วนกลาง

ไม่จำเป็นต้องมีสิทธิ์พิเศษสูง เพียงแค่เข้าถึงเครือข่ายและบัญชีเครื่องที่อ่อนแอ ในสภาพแวดล้อมที่มีข้อมูลประจำตัวที่จัดการไม่ดีหรือการแบ่งส่วนระหว่างเวิร์กสเตชันและตัวควบคุมโดเมนไม่เพียงพอ NOTLogon จะกลายเป็นเวกเตอร์ที่มีต้นทุนต่ำและมีผลเสียสูงสำหรับการหยุดชะงักของการทำงาน

เราขอแนะนำให้ติดตั้งเวอร์ชันล่าสุดอย่างยิ่ง การอัปเดต Microsoft Patch Tuesday เปิดตัวในวันที่ 8 กรกฎาคม 2025ซึ่งรวมถึงการแก้ไขสำหรับ CVE-2025-47978 องค์กรต่างๆ ควรแพตช์ตัวควบคุมโดเมนทั้งหมดโดยไม่ชักช้า เนื่องจากปัญหาอยู่ที่บริการ Netlogon เอง ในขณะเดียวกัน ผู้ดูแลระบบควรตรวจสอบและเสริมความแข็งแกร่งให้กับบัญชีเครื่อง จำกัดการเข้าถึงเครือข่ายไปยังตัวควบคุมโดเมนและจำกัดและตรวจสอบการเข้าถึงบัญชีบริการ โดยเฉพาะอย่างยิ่งบัญชีที่มีความสามารถในการเริ่มโฟลว์ Netlogon RPC

วิธีสร้างมาตรการรักษาความปลอดภัยของข้อมูลประจำตัวที่ปลอดภัยยิ่งขึ้นใน Active Directory

ขอแนะนำให้แก้ไขช่องโหว่นี้เป็นอย่างยิ่ง อย่างไรก็ตาม ในเวลาเดียวกัน ทีมงานควรตรวจสอบและเสริมความแข็งแกร่งให้กับบัญชีเครื่อง จำกัดการเข้าถึงตัวควบคุมโดเมน และจำกัดและตรวจสอบการเข้าถึงบัญชีบริการ โดยเฉพาะอย่างยิ่งบัญชีที่สามารถเริ่มต้นโฟลว์ Netlogon RPC ได้ Active Directory (AD) ในฐานะกระดูกสันหลังของเครือข่ายองค์กรต่างๆ ส่วนใหญ่ การดูแลรักษาความปลอดภัยเครือข่ายให้ปลอดภัยเพื่อลดภัยคุกคามจากผู้โจมตีที่ใช้เครือข่ายเพื่อเข้าถึงข้อมูลสำคัญโดยไม่ได้รับอนุญาตจึงถือเป็นสิ่งสำคัญ Silverfort สามารถช่วยคุณทำความสะอาดได้ Active Directory และลดหนี้เทคโนโลยีของคุณได้หลายวิธี เช่น:

  • การเปิดโปง บัญชีผู้ดูแลระบบที่ซ่อนอยู่ (หรือที่รู้จัก ผู้ดูแลระบบเงา) และการกำหนดค่าที่ไม่ถูกต้องซึ่งอาจขยายพื้นที่การโจมตีของคุณอย่างเงียบ ๆ
  • การระบุและขจัดแนวทางปฏิบัติที่มีความเสี่ยง เช่น การใช้งาน NTLMv1 และความเก่า บัญชีบริการ ที่ไม่ถูกตรวจพบในเครื่องมือดั้งเดิม
  • การป้องกันการ การโจมตีโดยใช้ข้อมูลประจำตัวอย่างแอบแฝง, ชอบ เคอร์เบอโรสติ้ง และใช้ประโยชน์จากช่องโหว่ Print Spooler ก่อนที่จะลุกลาม

NOTLogon เป็นตัวเตือนว่าคุณลักษณะใหม่ของโปรโตคอล โดยเฉพาะในบริการการตรวจสอบสิทธิ์ที่มีสิทธิพิเศษ อาจกลายเป็นพื้นผิวการโจมตีได้ในชั่วข้ามคืน การรักษาความปลอดภัยไม่ได้หมายความถึงการติดตั้งแพตช์เท่านั้น แต่ยังรวมถึงการตรวจสอบระบบพื้นฐานที่เราพึ่งพาทุกวันด้วย

เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับวิธีการทำให้แข็งแกร่งขึ้น Active Directory ท่าทาง ดาวน์โหลดคู่มือของเรา “5 วิธีในการยกระดับสุขอนามัย AD ของคุณ".

เรากล้าที่จะผลักดันการรักษาความปลอดภัยข้อมูลประจำตัวไปไกลยิ่งขึ้น

ค้นพบสิ่งที่เป็นไปได้

ตั้งค่าการสาธิตเพื่อดู Silverfort แพลตฟอร์มการรักษาความปลอดภัยข้อมูลประจำตัวในการดำเนินการ

รับการสาธิต
ฮีโร่ใหม่ (1)

Silverfort เข้าซื้อกิจการ Fabrix Security

มอบการรักษาความปลอดภัยข้อมูลประจำตัวแบบอัตโนมัติในระหว่างการทำงาน

เป็นผู้บุกเบิกเครื่องมือควบคุมการเข้าถึงแบบเรียลไทม์อัตโนมัติเป็นครั้งแรก ซึ่งออกแบบมาเพื่อปกป้องข้อมูลประจำตัวของมนุษย์ เครื่องจักร และตัวแทนทั้งหมด โดยใช้บริบทเชิงลึกและความเร็วของ AI

อ่านเรื่องราวฉบับเต็มได้ที่นี่