אudit של הרשאות ב-Active Directory: הטעות הנסתרת שמרוקנת מיליונים מהעסקים הקטנים והבינוניים

87% מהעסקים הקטנים והבינוניים באמריקה הלטינית פועלים עם Active Directory (AD) שבו לפחות משתמש רגיל יש הרשאות מנהל דומיין, על פי נתונים שתיעדנו בCyberShield. מאמר זה מפרק מדוע זה קורה, כיצד לבצע אudit באמצעות כלים כמו BloodHound ו-PingCastle, ואיזה מודל פילוח (Tier 0/1/2) ליישם מבלי לשתק את הפעילות.

מדוע עסקים קטנים ובינוניים יורשים AD עם הרשאות מנופחות?

הבעיה אינה טכנית, אלא תרבותית. ב-90% מהמקרים שביצענו בהם אudit באמריקה הלטינית, ה-AD הוגדר במהלך המעבר הראשוני ל-Windows Server (בדרך כלל בין 2010 ל-2015) ולא נבדק מאז. שלושה דפוסים חוזרים מסבירים הקצאה מוגזמת זו:

• "תסמונת העובד הראשון": כאשר החברה מנתה 5 אנשים, כולם היו מנהלים מקומיים. כשגדלה ל-50, ההרשאות האלה הועלו מבלי לנקות.
• ההאצלה לנוחות: "תן הרשאות מנהל לטכנאי כדי שלא יפריע לי" היא משפט מילולי ששמענו ב-3 מתוך 10 ביקורות.
• הירושה של GPOs מיושמים באופן שגוי: מדיניות כמו "Allow log on locally" לקבוצות תמיכה מופצת לכל הציוד, כולל בקרי דומיין.

Microsoft מזהירה ב-Securing Privileged Access כי "הצטברות הרשאות היא וקטור ההתקפה הראשוני ב-61% מהתקפות על AD" (Microsoft, 2021). באמריקה הלטינית, אחוז זה עולה על 75% לפי הרישומים שלנו.

BloodHound לעומת PingCastle: איזה כלי לבחור לביקורת

שני הכלים ממפים יחסי אמון ב-AD, אך עם גישות שונות. הבחירה תלויה בהקשר של העסק הקטן או הבינוני:

קריטריון	BloodHound	PingCastle
גישה	ניתוח מסלולי התקפה (attack paths)	הערכת סיכונים מבוססת ניקוד
דרישות	Neo4j (מסד נתונים גרפי)	קובץ הפעלה נייד (ללא צורך בהתקנה)
עקומת למידה	גבוהה (דורש הבנה בתורת הגרפים)	נמוכה (דוחות אוטומטיים עם המלצות)
שימוש מומלץ	צוותים עם ניסיון ב-red teaming	עסקים קטנים ובינוניים עם משאבי IT מוגבלים
פלט טיפוסי	גרף אינטראקטיבי עם מסלולים קריטיים	דוח PDF עם ניקוד סיכון (0-100)

בCyberShield, אנו משתמשים ב-PingCastle כקו ההגנה הראשון עבור עסקים קטנים ובינוניים בשל פשטותו. את BloodHound אנו שומרים למקרים שבהם אנו מזהים מסלולי התקפה מורכבים (למשל: kerberoasting בסביבות עם מספר דומיינים).

מודל Tier 0/1/2: כיצד לפלח מבלי לשבור את הפעילות

הפילוח לפי רמות (Tiering) הוא התקן של Microsoft להגנה על AD, אך יישומו בעסקים קטנים ובינוניים נכשל בדרך כלל משתי סיבות:

1. הוא מיושם באופן בינארי (הכל או כלום), מה שגורם לחסימות תפעוליות.
2. מתעלמים מכך שבחברות קטנות, אותם משתמשים מבצעים משימות מרובות רמות.

ההתאמה שלנו לעסקים קטנים ובינוניים (מאומתת ב-120+ יישומים) כוללת:

• Tier 0 (מישור בקרה):
  • רק מנהלי דומיין ובקרי דומיין.
  • גישה מוגבלת לתחנות עבודה ייעודיות (PAWs - Privileged Access Workstations).
  • בעסקים קטנים ובינוניים ללא PAWs, אנו משתמשים במכונות וירטואליות מבודדות עם Hyper-V Shielded VMs.
• Tier 1 (מישור ניהול):
  • מנהלי שרתים ויישומים קריטיים (ERP, מסדי נתונים).
  • הרשאות מואצלות באמצעות Active Directory Delegation (למשל: רק איפוס סיסמאות לצוות התמיכה).
  • בחברות עם פחות מ-20 שרתים, אנו ממזגים את Tier 0 ו-Tier 1, אך עם בקרות מפצות (MFA חובה לשינויים ב-AD).
• Tier 2 (מישור משתמש):
  • משתמשים רגילים וצוותי עבודה.
  • ללא הרשאות ניהול מקומיות (מיושם באמצעות GPO Restricted Groups).
  • למקרים חריגים (למשל: התקנת תוכנה), אנו משתמשים ב-LAPS (Local Administrator Password Solution) עם סיסמאות מתחלפות.

הטעות הנפוצה ביותר שאנו רואים היא הקצאת חשבונות שירות ל-Tier 0. Microsoft ממליצה להתייחס אליהן כ-Tier 1, אך בעסקים קטנים ובינוניים עם משאבים מוגבלים, אנו ממקמים אותן בתת-רמה "Tier 1.5" עם ניטור נוסף.

Kerberoasting: ההתקפה המנצלת הרשאות מנופחות (מקרה אמיתי)

במרץ 2023, עסק קטן ובינוני מקסיקני בתחום הלוגיסטיקה (180 עובדים) סבל מהתקפה שהתחילה ב-kerberoasting. וקטור ההתקפה הראשוני היה משתמש רגיל עם הרשאות מנהל בשרת קבצים. התוקף:

1. השיג כרטיס TGS לחשבון השירות של ה-ERP (SQL Server) באמצעות Rubeus.exe.
2. פיצח את הסיסמה במצב לא מקוון (החשבון השתמש בסיסמה של 12 תווים, מורכבת אך סטטית).
3. העלה הרשאות למנהל דומיין באמצעות DCSync (לחשבון השירות היו הרשאות שכפול).
4. פרסם תוכנת כופר בכל השרתים, כולל גיבויים.

העלות הכוללת עלתה על 2.3 מיליון דולר (כולל אובדן נתונים, קנסות רגולטוריים וזמן השבתה). הביקורת שלאחר מכן גילתה כי:

• ל-34% מהמשתמשים הרגילים היו הרשאות מנהל מקומי לפחות במחשב אחד.
• 12% מחשבונות השירות השתמשו בסיסמאות ללא תפוגה.
• לא הייתה פילוח לפי רמות (Tiering).

מקרה זה מדגים מדוע כלים כמו BloodHound הם קריטיים: הם זיהו שהמסלול להתקפה היה אפשרי 6 חודשים לפני האירוע, אך העסק הקטן והבינוני לא פעל בשל "חוסר משאבים".

אסטרטגיית תיקון: כיצד לנקות הרשאות מבלי לשתק את החברה

התיקון חייב להיות הדרגתי וממוקד. המתודולוגיה שלנו ב-4 שלבים (מיושמת ב-80+ עסקים קטנים ובינוניים באמריקה הלטינית) היא:

שלב 1: מלאי וסדר עדיפויות (שבוע 1-2)

• הרץ PingCastle כדי לקבל ניקוד סיכון ראשוני.
• זהה חשבונות עם הרשאות קריטיות:
  • חברים ב-Domain Admins, Enterprise Admins.
  • חשבונות עם Replicating Directory Changes (DCSync).
  • חשבונות שירות עם SPN רשומים.
• קבע סדר עדיפויות לתיקון באמצעות מטריצת סיכון:

  השפעה	סבירות גבוהה	סבירות נמוכה
  גבוהה	תקן תוך 72 שעות (למשל: Domain Admins עם סיסמאות חלשות)	תקן תוך שבועיים (למשל: חשבונות שירות ללא MFA)
  נמוכה	תקן תוך חודש (למשל: משתמשים רגילים עם מנהל מקומי)	ניטור (למשל: חשבונות לא פעילים עם הרשאות)

שלב 2: ניקוי ראשוני (שבוע 3-4)

• הסר הרשאות מיותרות:
  • השתמש ב-Remove-ADGroupMember כדי להסיר משתמשים מקבוצות מוגבלות.
  • בדוק ACLs באמצעות Get-Acl ו-Set-Acl.
• יישם בקרות מפצות:
  • MFA לכל החשבונות ב-Tier 0 (באמצעות Windows Hello for Business או פתרונות כמו Duo Security).
  • LAPS למנהלים מקומיים.
• תעד חריגים:
  • צור קבוצה Exception-Admins למקרים שבהם התיקון המיידי אינו אפשרי.
  • דוגמה: תוכנה ישנה הדורשת מנהל מקומי (תעד עם כרטיס תמיכה ותאריך בדיקה).

שלב 3: פילוח לפי רמות (שבוע 5-8)

• יישם מודל Tier 0/1/2 באמצעות GPOs:
  • Tier 0: Deny log on locally לכולם מלבד PAWs.
  • Tier 1: Deny log on through Remote Desktop Services למשתמשים רגילים.
  • Tier 2: Restricted Groups כדי להגביל מנהלים מקומיים.
• הגדר האצלה מפורטת:
  • השתמש ב-Delegation of Control Wizard כדי לתת הרשאות ספציפיות (למשל: רק איפוס סיסמאות לתמיכה).
  • הימנע משימוש ב-Full Control ב-OUs.
• הגן על חשבונות שירות:
  • המר ל-Managed Service Accounts (gMSA) לסיבוב אוטומטי של סיסמאות.
  • הסר SPNs מיותרים באמצעות Set-ADServiceAccount -Clear 'servicePrincipalNames'.

שלב 4: ניטור ושיפור מתמיד (מהחודש השלישי ואילך)

• יישם התראות לשינויים קריטיים:
  • שינויים בקבוצות מוגבלות (למשל: Domain Admins).
  • שינויים ב-ACLs של אובייקטים רגישים (למשל: בקרי דומיין).
• בצע ביקורות רבעוניות:
  • חזור על ניתוח עם PingCastle והשווה ניקוד.
  • בדוק חריגים מתועדים והצדק את המשך קיומם.
• הכשר את הצוות:
  • סדנאות מעשיות על PowerShell לניהול הרשאות.
  • תרגילי התקפה (למשל: kerberoasting מבוקר) כדי לאמת בקרות.

בעסק קטן ובינוני פרואני בתחום הקמעונאות (250 עובדים), מתודולוגיה זו הפחיתה את ניקוד הסיכון ב-PingCastle מ-78 ל-22 תוך 6 שבועות, ללא דיווחים על הפרעות תפעוליות.

כלים משלימים: מה שלא מספרים לך הספקים

בנוסף ל-BloodHound ו-PingCastle, כלים אלה חיוניים לביקורת מקיפה:

• ADRecon:
  • מייצר דוחות מפורטים על תצורת AD (GPOs, OUs, trusts).
  • שימושי לזיהוי תצורות לא בטוחות כמו Pre-Windows 2000 Compatible Access.
• Purple Knight (מאת Semperis):
  • סורק AD לאיתור תצורות פגיעות (למשל: Unconstrained Delegation).
  • גרסה חינמית זמינה עד 100 אובייקטים.
• Netwrix Auditor:
  • מנטר שינויים בזמן אמת ומייצר התראות.
  • בעסקים קטנים ובינוניים, אנו משתמשים בו כדי להתריע על שינויים בקבוצות מוגבלות.
• PowerShell + DSInternals:
  • Get-ADReplAccount לאיתור חשבונות עם DCSync.
  • Test-PasswordQuality לזיהוי סיסמאות חלשות ב-hashes NT.

אזהרה: אף כלי אינו מחליף את הידע על הסביבה. בביקורת עבור עסק קטן ובינוני בתחום הבריאות, PingCastle סימן כ"סיכון גבוה" חשבון שירות בשימוש צוות רפואי. לאחר בדיקה, אישרנו כי הוא לגיטימי ונחוץ למערכת ההדמיה. הפתרון היה ליישם בקרות נוספות (MFA וניטור) במקום להסירו.

הביקורת על הרשאות ב-AD אינה פרויקט IT, אלא תהליך מתמשך של היגיינה סייברנטית. באמריקה הלטינית, שם ל-68% מהעסקים הקטנים והבינוניים אין CISO ייעודי, תהליך זה נזנח בדרך כלל עד לאירוע. צוות CyberShield אימת כי חברות שמיישמות נהלים אלה מצמצמות את שטח ההתקפה שלהן ב-70% ב-90 הימים הראשונים, ללא השקעות נוספות בחומרה או תוכנה. המפתח הוא להתחיל בבסיס: להסיר הרשאות מיותרות, לפלח לפי רמות ולנטר שינויים קריטיים. השאר הוא איטרציה.

מקורות

1. Microsoft (2021). Securing Privileged Access. חומר עזר. https://learn.microsoft.com/en-us/security/compass/privileged-access-strategy
2. BloodHound Enterprise (2023). תיעוד רשמי. https://bloodhound.readthedocs.io/
3. PingCastle (2023). נייר לבן: הערכת אבטחת Active Directory. https://www.pingcastle.com/PingCastleFiles/adsecurity-whitepaper.pdf
4. NIST (2020). SP 800-207: ארכיטקטורת Zero Trust. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf
5. CISA (2022). התראה AA22-321A: #StopRansomware: תוכנת הכופר Hive. https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-321a (מקרה kerberoasting מתועד)
6. Harmj0y (2016). "Kerberoasting ללא Mimikatz". פוסט בבלוג. https://www.harmj0y.net/blog/powershell/kerberoasting-without-mimikatz/
7. Semperis (2023). Purple Knight: כלי להערכת אבטחת Active Directory. https://www.purple-knight.com/
8. מקרה אמיתי: חברה מקסיקנית בתחום הלוגיסטיקה (מרץ 2023). נתונים מתוך דוח פורנזי ששותף עם CyberShield לניתוח לאחר האירוע.
9. Microsoft (2022). "Privileged Access Workstations (PAWs)". https://learn.microsoft.com/en-us/security/compass/privileged-access-devices
10. DSInternals (2023). תיעוד מודול PowerShell. https://github.com/MichaelGrafnetter/DSInternals