Skeleton Key saldırıları Microsoft Active Directory sistemlerindeki zayıflıklardan yararlanarak saldırganlara kimlik doğrulama için Active Directory’ye dayanan hemen hemen her ağ hizmetine erişim sağlar. Kötü amaçlı yazılım herhangi bir parola bilmeden herhangi bir ağ kimliğine bürünebilir. Skeleton Key’in bulaştığı sistemlerin yetkili kullanıcıları için herhangi bir soruna neden olmadığı bildiriliyor, bu nedenle saldırılar bulaştıktan sonra bir süre fark edilmeyebilir.
Önlemler;
- Etki alanı düzeyinde yönetici (DLA) hesaplarını (Etki Alanı Yöneticisi, Yöneticiler, vb.) koruyarak saldırganların bu kimlik bilgilerine erişme riskini azaltın.
- DLA hesaplarının Etki Alanı Denetleyicilerinden farklı bir güvenlik seviyesindeki sistemlerde oturum açmasına izin vermeyin.
- DC’lerle aynı seviyede korunmayan üye sunucularda hizmetlerin Etki Alanı Yöneticisi olarak çalışmasına izin vermeyin.
- MS14-068 yamalanana kadar (kb3011780) Etki Alanı Denetleyicilerinin ağa sınırlı bağlantıya sahip olduğundan emin olun. Buradaki zorluk, yamanın DCPromo tamamlandıktan sonra uygulanması gerektiğidir.
- LSASS yamasını engelleyen güvenlik yazılımı sorunu hafifletebilir.
- Uygulama beyaz listesi (örn. AppLocker) onaylanmamış uygulamaların Etki Alanı Denetleyicilerinde çalışmasını engelleyebilir.
- Etki Alanı Denetleyicilerinde İşlem Günlüğünü Etkinleştirmek, Etki Alanı Denetleyicilerinde hangi uygulamaların (exes) yürütüldüğüne ilişkin ek veriler sağlar.
- Windows Server 2012 R2’de LSASS’ı korumalı bir işlem olarak etkinleştirin.
Tek bir bilgisayarda LSA korumasını etkinleştirmek için;
- Kayıt Defteri Düzenleyicisini (RegEdit.exe) açın ve şu adreste bulunan kayıt defteri anahtarına gidin: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
- Kayıt defteri anahtarının değerini şu şekilde ayarlayın: “RunAsPPL”=dword:00000001.
- Bilgisayarı yeniden başlatın.
Grup İlkesi kullanarak LSA korumasını etkinleştirmek için;
- Grup İlkesi Yönetim Konsolu’nu (GPMC) açın.
- Etki alanı düzeyinde bağlı veya bilgisayar hesaplarınızı içeren kuruluş birimine bağlı yeni bir GPO oluşturun. Ya da zaten dağıtılmış olan bir GPO’yu seçebilirsiniz.
- GPO’yu sağ tıklatın ve ardından Grup İlkesi Yönetimi Düzenleyicisi’ni açmak için Düzenle’yi tıklatın.
- Bilgisayar Yapılandırması’nı genişletin, Tercihler’i genişletin ve ardından Windows Ayarları’nı genişletin.
- Kayıt Defteri’ni sağ tıklatın, Yeni’nin üzerine gelin ve Kayıt Defteri Öğesi’ni tıklatın. Yeni Kayıt Defteri Özellikleri iletişim kutusu görünür.
- Kovan listesinde HKEY_LOCAL_MACHINE öğesini tıklatın.
- Anahtar Yolu listesinde, SYSTEM\CurrentControlSet\Control\Lsa öğesine göz atın.
- Değer adı kutusuna RunAsPPL yazın.
- Değer türü kutusunda REG_DWORD öğesini tıklatın.
- Değer verisi kutusuna 00000001 yazın.
- Tamam’ı tıklatın.