Global
Africa
South Africa
Albania
Australia
Austria
Belgium
Bosnia Herzegovina
Bulgaria
Canada
Canada FR
Croatia
Czech Republic
Denmark
Estonia
Finland 
Finland (English)
France
Germany
Hong Kong
Hungary
Iceland
India
Indonesia
Ireland
Israel
Italy
Kosovo
Latvia
Lithuania
Malaysia
Middle East
Montenegro
New Zealand
North Macedonia
Norway
Philippines
Poland
Portugal
Romania
Saudi Arabia
Serbia
Singapore
Slovakia
Slovenija
Spain
Sweden
Switzerland DE
Switzerland FR
Thailand
Turkey
USA
Ukraine
United Kingdom
Vietnam
Serviceaccounts: NHI-dreiging in Active Directory
Serviceaccounts die interactieve aanmeldingen uitvoeren: een NHI-dreiging op de loer in uw Active Directory.
Active Directory-serviceaccounts behoren tot de meest kritieke niet-menselijke identiteiten (NHI’s) in uw organisatie. Ze zijn ook het meest zorgwekkend.
Hier is de harde waarheid: deze serviceaccounts – die vaak worden gebruikt voor machine-naar-machine communicatie in de omgevingen van Active Directory (AD) – zijn enkele van de meest risicovolle en meest kwetsbare om compromissen te sluiten in uw omgeving. Historisch gezien hebben ze te kampen met een gebrek aan zichtbaarheid en bescherming. Deze accounts krijgen doorgaans bevoorrechte toegang tot bronnen en machines, waardoor ze effectief beheerdersaccounts zijn. Aanvallers gebruiken deze accounts voor zijdelingse bewegingen, privilege-escalatie en aanwezigheid in uw netwerk.
Een ander aspect van serviceaccounts om rekening mee te houden is of ze interactieve aanmeldingen kunnen uitvoeren. Doorgaans hebben serviceaccounts geen interactieve toegang nodig, maar kunnen ze zich nog steeds interactief aanmelden waar ze toegang krijgen, tenzij specifieke beperkingen zijn geconfigureerd in Active Directory.
Het toestaan van onbeperkte interactieve toegang van serviceaccounts kan leiden tot meerdere problemen, waaronder het vergroten van de blootstelling aan de inloggegevens van de serviceaccount, het creëren van geprivilegieerde toegangslekken en het beïnvloeden van compliance en cyberverzekering.
In deze blogpost leggen we uit hoe service-accounts interactieve aanmelding gebruiken, hoe Silverfort inzicht geeft in deze accounts en hoe u ze in realtime kunt beschermen.
Recap van serviceaccounts met interactieve login
Met service-accounts met interactieve inlogmogelijkheden kunnen services of applicaties zich rechtstreeks naar een systeem verifiëren, zodat ze taken kunnen uitvoeren alsof een menselijke gebruiker is ingelogd. Deze accounts kunnen worden gebruikt voor zowel lokale als domeinaanmeldingen waar ze via een gebruikersinterface met het besturingssysteem communiceren en indien nodig toegang krijgen tot applicaties en bronnen.
Een veel voorkomend voorbeeld van interactief inloggen is inloggen op servers via Remote Desktop Protocol (RDP) of rechtstreeks toegang krijgen tot applicaties. Interactieve aanmelding kan worden gebruikt om taken uit te voeren zoals het oplossen van problemen, het actief uitvoeren van scripts of het actief maken van bronnen in scenario’s waarin geautomatiseerde mechanismen mislukken.
Veelvoorkomende risico’s en uitdagingen
Ondanks het gemak kan interactieve login voor serviceaccounts aanzienlijke risico’s met zich meebrengen. In de meeste gevallen hebben deze accounts verhoogde privileges en hun referenties worden vaak opgeslagen in scripts, configuratiebestanden of registerinstellingen, waardoor ze doelen zijn voor compromissen. Interactief inloggen transformeert een niet-menselijke identiteit effectief in een toegangspoort voor ongeoorloofde toegang, waardoor een gemakkelijker doelwit wordt gemaakt voor aanvallers om uw omgeving te exploiteren en in gevaar te brengen.
Hier zijn de meest voorkomende risico’s en uitdagingen van service-accounts met interactieve inlogmogelijkheden:
-
- Credential diefstal
Geloofsbrieven voor serviceaccounts zijn vaak statisch, waardoor ze een goudmijn zijn voor aanvallers. Aanvallers kunnen verschillende tools gebruiken om platte inloggegevens uit het geheugen te halen wanneer deze accounts zich interactief aanmelden. - Beveiligingscontroles omzeilen
Service-accounts met interactief inloggen bieden een bypass aan beveiligingscontroles zoals MFA. Dit maakt hen een voorkeursdoelwit voor aanvallers die detectie en interventie willen vermijden door op identiteit gebaseerde beveiligingscontroles. - Het omzeilen van een voorbelegd toegangsbeheer
Servicerekeningen krijgen doorgaans hoge of administratieve rechten. Naast interactieve aanmelding kunnen ze beheerders of andere werknemers een manier bieden om de PAM-besturingselementen te omzeilen, waaronder MFA, JIT en sessie-opnamen. Hoewel het het werk van sommige beheerders gemakkelijker maakt, creëert het een blinde vlek die aanvallers kunnen gebruiken om beheerders rechten te krijgen zonder onderbreking. - Menselijke fouten en verkeerde configuraties
Interactieve aanmelding wordt vaak onbedoeld ingeschakeld of na tijdelijk gebruik actief achtergelaten. Zonder de juiste controles en regelmatige audits kunnen deze verkeerde configuraties onopgemerkt blijven, waardoor een aanzienlijk beveiligingslek in de omgeving overblijft. - Naleving van de
Het PCI DSS 4.0-framework benadrukt de strikte controle op niet-menselijke accounts (serviceaccounts) om kaarthoudergegevens te beschermen. PCI DSS verplicht om accountprivileges te minimaliseren, veilige authenticatie- en auditaccountactiviteiten af te dwingen om beveiligingsrisico’s te verminderen. Serviceaccounts met interactieve aanmelding schenden dit principe van het minste privilege, waardoor ze een rode vlag voor de naleving zijn. - Cyberverzekeringen
De meeste cyberverzekeraars eisen dat hun klanten interactieve aanmeldingen voor tier 0/1/2 serviceaccounts verbieden. - Active Directory GPO’s
Interactieve login voor serviceaccounts kan worden beperkt in Active Directory door serviceaccounts in aangewezen groepen of OU’s te groeperen en een groepsbeleid af te dwingen dat interactief inloggen voorkomt. In veel organisaties bestaan serviceaccounts naast menselijke accounts in dezelfde OU’s, waardoor het moeilijk en riskant is om dit beleid af te dwingen en te handhaven.
- Credential diefstal
Hoe Silverfort inzicht en realtime bescherming biedt voor interactieve aanmelding
Wij bieden end-to-end inzicht in service-accounts met interactieve login om risicovolle en ongeoorloofde activiteiten in uw omgeving te identificeren. Met deze volledige zichtbaarheid kunt u potentiële bedreigingen detecteren en erop reageren met realtime beveiligingsbesturingselementen die onjuist gebruik waarschuwen of blokkeren. Zorg voor naleving en verminder aanvalsoppervlakken zonder de activiteiten te verstoren.
Laten we eens kijken hoe dit in ons platform gebeurt:
Zichtbaarheid in interactieve login
Silverfort detecteert automatisch interactieve inlogaccounts door de activiteit van het account en de verificatieprotocollen (zoals NTLM en Kerberos) voortdurend te controleren. De risico-indicator van Silverfort waarschuwt u als een serviceaccount interactieve aanmelding uitvoert, zodat beheerders mogelijk ongeautoriseerde of risicovolle activiteiten met serviceaccounts kunnen detecteren.
bekijk de video: Interactive login detected
U kunt de details van al uw serviceaccounts en hun activiteiten vinden in de pagina Serviceaccounts. Wij bieden inzicht in de risico’s en beveiligingsaspecten van elk account, inclusief of er een interactieve login is gedetecteerd.
Als u op de knop Interactieve aanmelding klikt, wordt een venster geopend met de volledige gegevens van deze accounts. U ziet alle geïdentificeerde accounts en het type inlogpogingen, zodat u verdacht gedrag kunt volgen, beoordelen en beperken.
Deze zichtbaarheid is essentieel om misbruik van servicerekeningen te voorkomen en ervoor te zorgen dat ze veilig en zoals bedoeld worden gebruikt.
Beleid maken om interactieve aanmeldingen op de hoogte te stellen of te blokkeren
Met Silverfort kunnen beheerders real-time toegangsbeleid definiëren en afdwingen om het gebruik van interactieve aanmelding te beperken. U kunt aangepast beleid maken om specifieke accounts en organisatie-eenheden (OU’s) op de hoogte te stellen of te blokkeren voor het gebruik van interactieve aanmeldingen. Met realtime handhaving kunt u onmiddellijk actie ondernemen om ervoor te zorgen dat serviceaccounts veilig en adequaat worden gebruikt.
Laten we een toegangsbeleid doorlopen om een toegangsbeleid uit te bouwen voor interactief inloggen op het Silverfort-platform:
Bekijk de video: SA Interactive login policy
-
- Ga naar het scherm Beleid en klik op “Een nieuw beleid maken”.
- Maak een naam voor je beleid. We stellen iets voor als “Interactieve login voor serviceaccounts melden”.
- Kies vervolgens je auth type. Selecteer Active Directory en kies het protocol dat u wilt controleren. Voor interactieve aanmelding is de handhaving in realtime beperkt tot Kerberos.
- Kies voor het beleidstype statisch beleid, een op regels gebaseerd beleidstype.
- Selecteer onder Gebruikers en groepen de OU’s, AD-groepen of serviceaccounts waarop het beleid van toepassing is; u kunt bijvoorbeeld een groep serviceaccounts of alle serviceaccounts in uw omgeving selecteren.
- Bij het kiezen van bestemmingen:
- Geef de eindpunten of de servers op waarin het beleid van toepassing is. Selecteer indien mogelijk een OU met alle servers of een bepaalde groep bronnen. Domeincontrollers en kritieke servers voor uitgebreide dekking.
- Selecteer de diensten die worden gebruikt voor interactieve aanmeldingen, zoals termsrv en cifs.
- Vervolgens moet u de actie van het beleid definiëren. Hier kunt u kiezen tussen aanmelden of blokkeren.
- Melden stuurt waarschuwingen over gedetecteerde interactieve aanmeldingen voor bewakingsdoeleinden.
- Blokkeren voorkomt dat interactieve inlogpogingen.
- We raden u aan om te beginnen met Notify en de resultaten te controleren voordat u escaleert naar Block.
- Zodra alle configuraties zijn voltooid, slaat u het beleid op. U kunt dan beginnen met het monitoren van de activiteiten van de serviceaccounts in het logboekscherm om te zien hoe vaak ze interactieve aanmeldingen proberen.
- Na een periode van toezicht kunt u het beleid verfijnen op basis van de gegenereerde waarschuwingen of logboeken. Als u bijvoorbeeld merkt dat bepaalde accounts voor legitieme doeleinden een interactieve aanmelding vereisen, kunt u de reikwijdte dienovereenkomstig aanpassen.
Real-time zichtbaarheid en bescherming zijn essentieel voor het beveiligen van serviceaccounts met een interactief inloggen
Serviceaccounts met interactieve aanmeldingen vormen aanzienlijke risico’s voor uw organisatie, vooral bij misbruik of zonder controle. Proactieve beveiliging vereist volledig inzicht in de activiteiten van deze accounts, zodat mogelijk misbruik of pogingen tot ongepaste toegang snel worden gedetecteerd. Het bij de hoogte blijven van uw serviceaccounts en het implementeren van beveiligingscontroles tegen interactieve aanmeldingen is van vitaal belang om ze te beschermen tegen compromissen en te gebruiken voor laterale bewegingen binnen het netwerk.
Met continue monitoring en realtime beleidshandhaving maakt Silverfort uw serviceaccounts veiliger en maakt het het voor aanvallers moeilijker om uw omgeving in gevaar te brengen.
Klaar om uw serviceaccounts te beschermen en risico’s in uw omgeving te beperken? Neem dan contact op met Exclusive Networks op +31 (0)499 462121 of stuur een mail naar info@exclusive-networks.nl
