Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
O que é um ataque DCSync?

O que é um ataque DCSync?

Nov 30, 2021

DCSync é um ataque que permite a um adversário simular o comportamento de um controlador de domínio (DC) e recuperar dados de senha por meio da replicação de domínio. O uso clássico para DCSync é como precursor de um ataque de Golden Ticket , pois pode ser usado para recuperar o hash KRBTGT.

Especificamente, DCSync é um comando na ferramenta de código aberto Mimikatz. Ele utiliza comandos no Directory Replication Service Remote Protocol (MS-DRSR) para simular o comportamento de um controlador de domínio e solicitar a outros controladores de domínio que repliquem informações — aproveitando funções válidas e necessárias do Active Directory que não podem ser desativadas ou desabilitadas.

Conteúdo relacionado selecionado:

O Processo de Ataque

O ataque DCSYNC funciona da seguinte forma:

  1. O atacante descobre um controlador de domínio para solicitar replicação.
  2. O atacante solicita a replicação do usuário usando o GetNCChanges
  3. O DC retorna os dados de replicação ao solicitante, incluindo os hashes de senha.
Image

Direitos Necessários

Alguns direitos muito privilegiados são necessários para executar um ataque DCSync. Como normalmente leva algum tempo para um atacante obter essas permissões, esse ataque é classificado como um ataque de cadeia de eliminação em estágio avançado.

Geralmente, Administradores, Domain Admins e Enterprise Admins possuem os direitos necessários para executar um ataque DCSync. Especificamente, os seguintes direitos são necessários:

  • Replicando Alterações de Directory
  • Replicando alterações em todo o Directory

Replicando alterações no diretório em conjunto filtrado

Image

Como as soluções Netwrix podem ajudá-lo a detectar e impedir ataques DCSync

Detecção

Netwrix Threat Manager monitora todo o tráfego de replicação de domínio em busca de sinais de DCSync. Não depende de logs de eventos ou captura de pacotes de rede. Seu principal método de detecção é encontrar padrões de comportamento que correspondam ao DCSync, incluindo atividade de replicação entre um controlador de domínio e uma máquina que não é um controlador de domínio.

A solução fornece um resumo claro da atividade suspeita, bem como uma visualização ilustrando qual usuário perpetrou o ataque, o domínio e o usuário alvo, e evidências de suporte do ataque. Se o mesmo usuário executar múltiplos ataques DCSync, essa informação crítica também será incluída.

Resposta

Para executar o DCSync, um atacante precisa de privilégios elevados, então a chave para impedir um ataque é bloquear imediatamente a escalada de privilégios. A resposta padrão do playbook de desativar a conta do usuário pode não ser suficiente, já que quando você percebe o ataque em andamento, o atacante provavelmente tem uma série de outros recursos e opções disponíveis.

Netwrix Threat Prevention fornece políticas de bloqueio que podem impedir uma conta ou estação de trabalho de executar replicação adicional, o que pode desacelerar um ataque e dar mais tempo aos respondentes para eliminar completamente a ameaça.

Netwrix Threat Manager suporta essas etapas de resposta fornecendo detalhes sobre o perpetrador do ataque DCSync, fontes, alvos e objetos consultados.

Veja Netwrix Threat Manager em Ação

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Kevin Joyce

Diretor de Product Management

Diretor de Product Management na Netwrix. Kevin tem uma paixão por segurança cibernética, especificamente em compreender as táticas e técnicas que os atacantes usam para explorar os ambientes das organizações. Com oito anos de experiência em product management, focando em Active Directory e segurança do Windows, ele levou essa paixão para ajudar a construir soluções para organizações protegerem suas identidades, infraestrutura e dados.

Saiba mais sobre este assunto

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

O que é Gerenciamento de Registros Eletrônicos?

Expressões Regulares para Iniciantes: Como Começar a Descobrir Dados Sensíveis

Compartilhamento Externo no SharePoint: Dicas para uma Implementação Sábia

Confianças no Active Directory

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança