Enhancing Security in Active Directory; A Comprehensive Guide to Protected Users Group (Arabic)

ما هو قروب المستخدمين المحميين؟ 

قروب المستخدمين المحميين هي ميزة أمان مقدمة في ويندوز سيرفر 2012 والإصدارات الأحدث من الاكتف دايركتوري.تم تصميم هذا القروب لتعزيز أمان الحسابات ذات الصلاحيات العالية من خلال تطبيق سياسات أمنية صارمة تخفف من أنواع معينة من هجمات سرقة كلمات المرور. تهدف هذه السياسات إلى الحد من أساليب وبروتوكولات المصادقة التي يمكن لأعضاء هذا القروب استخدامها، ومن ثم تقلل من مخاطر كشف كلمات المرور وإساءة استخدامها.

:المميزات



يتم تقيد اعضاء قروب المستخدمين المحميين لاستخدام معايير التشفير المتقدمة (AES).



لايتم استعمال NTLM authentication: يتم تعطيل NTLM authentication لأعضاء قروب المستخدمين المحميين يعد NTLM بروتوكول أقل أمانا وأكثر عرضة لهجمات سرقة كلمات المرور مثل pass-the-hash .



تم تقليل عمر تذكرة Kerberos (TGT): للمستخدمين المحميين لتكون على مدة 4 ساعات بشكل افتراضي. وهذا يقلل من الفترة التي يمكن من خلالها إساءة استخدام التذكرة المسروقة.



لايتم تخزين كلمات المرور (no cached credentials): لا يتم تخزين كلمات المرور وبهاذا الحل يتم منع المهاجمين من الحصول على كلمات المرور المخزنه في Lsass.



تم تقيد تسجيل الدخول التفاعلي (Interactive Logon Restrictions): لا يمكن للأعضاء تسجيل الدخول بشكل تفاعلي الى اجهزة الكمبيوتر التي لا تدعم سياسات الأمان التي تفرضها قروب المستخدمين المحميين.وهذا يضمن استخدام هذه الحسابات عالية القيمة فقط على أنظمة امنة وموثوقة.



لماذا نستخدم قروب المستخدمين المحميين؟ 

السبب الرئيسي لاستخدام قروب "المستخدمين المحميين" هو توفير أمان محسّن للحسابات ذات الصلاحيات العالية, غالبًا ما يتم استهداف هذه الحسابات من قبل المهاجمين بسبب صلاحياتهم العالية وامكانية وصول الحسابات لبيانات حساسة.

:الهجمات المحتملة 

على الرغم من التدابير الأمنية المحسنة التي يوفرها قروب "المستخدمون المحميون"، قد يستمر المهاجمون في محاولة استهداف هذه الحسابات. نحتاج نفهم هاذه الهجمات المحتملة وكيفية التخفيف منها 

لنفترض أن لدينا حساب admin2 ويملك صلاحية domain admin, سنقوم بمحاولة تخمين كلمة المرور password spray للحساب ثم الوصول للجهاز واستخراج كلمات المرور dump lssas, لنجد hash الخاص بحساب admin2





الان سيتم اضافة المستخدم (Admin2) إلى قروب المستخدمين المحميين ومن ثم Password Spray و Pass-the-hash



هاذه المرة يتم الرد علينا برسالة مختلفة عن السابق, بعد اضافة المستخدم في قروب المستخدمين المحميين

وأخيرًا، سيتم استخراج كلمات المرور dump hash وتبين أنه لم يتم تخزين الهاش الخاص بالمستخدم





سيناريو الهجوم الأول:

يمكننا استهداف (admin2) المضاف في قروب المستخدمين المحميين إذا تمكنا من crack ntlm hash
سيتم استعمال Rubeus لإنشاء تذكرة AES256 باستخدام كلمة مرور التي تم الحصول عليها مسابقا



باستخدام Rubeus يمكننا طلب تذكرة TGT بنجاح




سيناريو الهجوم الثاني:

إذا تمكنا من الوصول إلى جهاز تم تسجيل دخول المستخدم admin2 فيه مسبقا, فيمكننا الحصول على تذكرة TGT



من ثم، يمكننا استيرادها بنجاح.




سيناريو الهجوم الثالث:

يمكننا استهداف مستخدم محدد من قروب المستخدمين المحميين بهجوم password spray
باستعمال الاداة Netexec مع تحديد Kerberos--



:كيفية التصدي

استخدام كلمة مرور معقدة: عادةً ما تجمع كلمة المرور القوية بين الأحرف الكبيرة والصغيرة والأرقام والعلامات الخاصة، مما يجعل من

الصعب على المهاجمين تخمينها أو اختراقها. تجنب استخدام معلومات يمكن تخمينها بسهولة مثل أعياد الميلاد أو الكلمات الشائعة

إن تحديث كلمات المرور بانتظام واستخدام كلمات مرور فريدة لحسابات مختلفة يعزز من أمانك.

المراقبة والتدقيق المنتظم: مراقبة وتدقيق أنشطة الأعضاء في قروب المستخدمين المحميين بشكل مستمر. ابحث عن عمليات تسجيل الدخول

المشبوهة والأنشطة غير العادية التي قد تشير إلى وجود اختراق.

استخدام الأنظمة الآمنة: تأكد من أن أعضاء قروب المستخدمين المحميين يسجلون الدخول فقط إلى الأنظمة التي تحتوي على التحديثات

الأمنية وتدعم تدابير الأمان اللازمة.

اضافة طبقات أمان إضافية: استخدام تدابير أمان إضافية مثل MFA, PAM و Network segmentation.

تثقيف وتدريب المستخدمين: تثقيف وتدريب المستخدمين بانتظام على أفضل ممارسات الأمان وأهمية حماية كلمات المرور الخاصة بهم

خاتمة

يعد قروب المستخدمين المحميين في الاكتف دايركتوري اضافة قوية لتعزيز أمان الحسابات ذات الصلاحيات العالية

من خلال فرض سياسات أمان صارمة والتخفيف من هجمات سرقة كلمات المرور. من خلال فهم ماهو هذه القروب

ولماذا يجب استخدامة، ومتى يتم استخدامه، والهجمات المحتملة ضده، يمكن للمؤسسات حماية حساباتها الأكثر أهمية

بشكل فعال وضمان مستوى أعلى من الأمان عبر بيئة الاكتف دايركتوري الخاصة بها.تعد المراقبة المنتظمة

وتحديثات النظام وتدابير الأمان الإضافية من المكونات الرئيسية في الحفاظ على سلامة قروب المستخدمين المحميين.

:لفهم قروب المستخدمين المحميين وتنفيذها بشكل أفضل، راجع المصادر التالية

Microsoft Protected Users Security Group

Microsoft Guidance about how to configure protected accounts




Enjoy Reading This Article?

Here are some more articles you might like to read next:

  • Enhancing Security in Active Directory; A Comprehensive Guide to Protected Users Group