Home Windows Server Come proteggere i domini AD dall’attacco KrbRelayUp 

Come proteggere i domini AD dall’attacco KrbRelayUp 

da Alvise C.
0 commenti 2 minutes Leggi
A+A-
Reset

L’attacco KrbRelayUp ha come obiettivo i domini Active Directory, questi con le impostazioni predefinite sono infatti vulnerabili. Questo tipo di attacco consente l’escalation dei privilegi locali in ambienti di dominio in cui la firma LDAP non viene applicata, cosa resa più semplice anche grazie a del codice pubblicato su GitHub che permette di semplificare l’attacco.

Su GitHub infatti è disponibile proprio uno strumento dedicato per attuare l’attacco.

Come proteggere i domini AD dall'attacco KrbRelayUp 
Schermata dello strumento KrbRelayUp in uso

Microsoft ha pubblicato delle istruzioni in merito.

Come mettere in sicurezza i domini AD

Le istruzioni suggerite da Microsoft riducono l’impatto di un eventuale attacco e ne mitigano gli effetti. Il primo suggerimento è configurare la firma LDAP e la relativa associazione del canale LDAP.

Oltre a considerare l’idea di implementare l’impostazione ms-DS-MachineAccountQuota che impedisce a utenti normali (non amministratori) di aggiungere nuovi dispositivi al dominio, bloccando così il metodo più efficace per un attaccante di veicolare l’attacco.

Ulteriore implementazione utile e suggerita è quella di abilitare la protezione estesa per l’autenticazione, per farlo seguire pedissequamente le istruzioni indicate qui.

Non perdere questi contenuti:

Lascia un commento

Angolo di Windows Logo

Punto di riferimento per il mondo Windows con articoli e guide letti ogni giorno, ci trovi anche nella MS Community con gli articoli WIKI del Microsoft MVP (dal 2011 al 2020) Alvise C.

 

Contact us: [email protected]

Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità.
Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001.
L’autore del blog non è responsabile del contenuto dei commenti ai post, nè del contenuto dei siti linkati.
Alcuni testi o immagini inseriti in questo blog sono tratti da internet e, pertanto, considerati di pubblico dominio; qualora la loro pubblicazione violasse eventuali diritti d’autore, vogliate comunicarlo via email a [email protected] e saranno immediatamente rimossi.