از /

امن‌سازی احراز هویت و ارتباطات

جان من امنش کن!

چی؟

امن‌سازی پروتکل‌های احراز هویت و ارتباطات در زیرساخت ویندوز، مخصوصاً Active Directory.

چرا؟

پروتکل‌های قدیمی مثل NTLM و LDAP ساده (بدون امضا) همچنان در سازمان‌ها استفاده می‌شن و همین، دروازه‌ی حملات زیره:

  • Pass-the-Hash

  • NTLM Relay

  • Credential Forwarding

  • Man-in-the-Middle (MitM) روی LDAP و SMB

هکرها عاشق این عقب‌افتادگی هستن. اما راه فرار هست.

چطور؟ ۴ گام حیاتی

۱. محدود کردن NTLM به‌صورت تدریجی

📛 NTLM هنوز در خیلی از دامنه‌ها فعاله و گاهی به‌شدت مورد سوءاستفاده قرار می‌گیره.

🔧 راهکار:

  • در GPO مسیر زیر رو برو:

Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options

  • و این رو تنظیم کن:

    Network Security: Restrict NTLM: NTLM authentication in this domain
    Deny for domain accounts

  • لاگ‌های NTLM رو فعال کن برای شناسایی سیستم‌هایی که هنوز ازش استفاده می‌کنن:

Microsoft-Windows-NTLM/Operational

۲. LDAP Signing و Channel Binding فعال کن

🛑 LDAP بدون امضا یا TLS مثل راه رفتن با کیف پول بازه!

🔧 راهکار:

  • توی DC این دو مورد رو در Registry تنظیم کن:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
“LDAPServerIntegrity”=dword:00000002 ; Require Signing

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\Parameters]
“RequireSigning”=dword:00000001 ; Channel Binding

  • یا توی GPO:

    Domain Controller: LDAP server signing requirements
    Require signing

  • به کلاینت‌ها هم TLS اجباری تحمیل کن.

۳. SMB Signing اجباری

🕵️‍♂️ حملات SMB Relay هنوز زنده‌ان، مخصوصاً در دامنه‌هایی که SMB signing ندارن.

🔧 راهکار:

  • در Group Policy:

Microsoft network client: Digitally sign communications (always) → Enabled
Microsoft network server: Digitally sign communications (always) → Enabled

هر دو سمت کلاینت و سرور باید فعال باشه.

۴. Delegation امن فقط

🚨‌ Delegation در حالت Unconstrained می‌تونه golden ticket بسازه. اونم دائمی!

🔧 راهکار:

  • اگه لازمه delegation استفاده کنی، فقط از این دو روش استفاده کن:

    • Constrained Delegation

    • Resource-Based Constrained Delegation (RBCD)

  • اطمینان حاصل کن که اکانت‌های دارای delegation، Tier 0 نیستن و محدود شدن.

خروجی‌های نهایی (Real Outcomes) 💡

✅ کاهش سطح حمله (attack surface)
✅ جلوگیری از lateral movement
✅ افزایش مقاومت در برابر حملات relay/pass-the-hash
✅ تمیز و secure کردن ترافیک احراز هویت
✅ آمادگی برای مهاجرت به Zero Trust

اقدام بعدی (Next Step) ✅

اگر هنوز لاگ NTLM نمی‌گیری، یا LDAP بدون امضا داری، همین امروز شروع کن:

  1. Audit کن با ابزارهایی مثل:

    • Microsoft Defender for Identity

    • BloodHound + PingCastle برای delegation

  2. مرحله‌بندی اجرای policy‌ها با تست آزمایشی در OU آزمایشی

دیدگاه‌ خود را بنویسید

پیمایش به بالا