今天小編分享的互聯網經驗:只需五分鍾就能解決的Active Directory安全問題,歡迎閱讀。
如今 90% 以上的《财富》1000 強企業使用微軟 Active Directory 用于身份和訪問管理,因此它成為世界上最常見的軟體之一。
遺憾的是,這種普遍性也使得 Active Directory 成為吸引網絡攻擊者的誘人目标。由于 Active Directory 控制哪些用戶可以訪問網絡上的系統和軟體,因此攻擊者就會攻擊它,為自己提供實現目标所需的訪問級别。此外,獲得 Active Directory 的控制權讓攻擊者可以部署勒索軟體、竊取敏感信息或從事其他非法勾當,防御者幾乎不可能阻止它們。
不幸的是,大多數企業 Active Directory(AD)環境存在無數的錯誤配置和漏洞,這讓攻擊者可以趁虛而入。AD 的内置工具和用戶界面使安全團隊難以審查用戶權限,這意味着久而久之,錯誤和錯誤配置會迅速越來越多。
什麼是 " 錯誤配置債務 "?
如果 AD 安全從來沒有受到過重視,大多數組織會遭受 " 錯誤配置債務 "(misconfiguration debt):随着時間的推移,錯誤越來越多。再加上 Active Directory 每天都會因用戶、用戶組和軟體的創建或删除而變化,很容易明白為什麼擁有成百上千個 AD 用戶的企業存在如此多的安全問題。
這些安全問題來自一系列錯誤。比如說,管理員可能無意中授予用戶或用戶組過大的權限,或者管理員可能使用其 Domain Admin(網域管理員)憑據,登錄到憑據面臨失竊風險的工作站。
這些使企業面臨一種名為身份攻擊路徑的攻擊技術。在這種攻擊技術中,攻擊者先獲得在網絡中的單單一台機器上運行代碼的能力,為此采用的手段可能是借助網絡釣魚電子郵件,或在另一起數據洩密事件的數據轉儲中找到用戶的憑據。然後,攻擊者使用各種工具來利用這些錯誤和安全問題,竊取其他用戶憑據。
接下來,他們使用這些新憑據獲得的訪問權限闖入其他系統,直至達到目标。這些攻擊可能難以檢測,因為它們使用合法的工具和憑據。
防御攻擊路徑需要修復攻擊者鑽空子的 AD 安全問題——正如所讨論的那樣,這類問題可能有好多。好消息是,AD 或身份和訪問管理管理員只需更改默認配置,即可在短短幾分鍾内解決許多此類問題。
雖然其他問題需要時間更長、難度更大的修復,比如重新培訓全局和網域管理員,教他們在登錄高價值系統時使用哪些帳戶,但這些快速修復方法可以大大降低組織的整體 AD 安全風險,不需要花大大的力氣。
下面介紹如何解決一個容易被盯上的特定問題,以增強 AD 安全。
将網域控制器的所有權限制于網域管理員
由于種種原因,Domain Controller(網域控制器)對象經常最終歸網域管理員之外的安全負責人所有。大約 75% 的客戶普遍存在這個問題,比如想象一下求助台用戶在網域中創建新伺服器。
幾個月後,這個系統的角色發生了變化,管理團隊将系統提升為網域控制器。這個求助台用戶現在擁有網域控制器,并且擁有一條實際上全面控制環境的路徑。這極其危險,因為如果攻擊者獲得該求助台用戶的憑據,他們就可以輕松闖入網域控制器。随着更多類似這樣的情形出現,網域控制器對象積累的所有者越來越多,風險也不斷加大。
幸好,這很容易解決。為此,先生成一份列表,列出目标 AD 環境中的每個網域控制器對象。這些數據可以直接從 AD 收集,但使用免費開源的 AD 映射工具要容易得多。然後執行以下操作:
1. 打開 Active Directory 用戶和計算機。
2. 啟用高級功能。
3. 找到每個網域控制器對象(使用列表)。
4. 右擊滑鼠,并選擇 " 屬性 ",然後依次選擇 " 安全 "、" 高級 " 和 " 更改 "。
5. 将每個網域控制器對象的所有者更改為網域管理員組。
現在只有網域管理員有權訪問這些對象,這是我們所預期的。
為了繼續進一步保護微軟 AD 的安全,組織應考慮使用攻擊路徑管理等方法,以衡量組織的整體 AD 風險暴露面。
它使團隊能夠分析所有可能的攻擊路徑,識别單一修復方法就能消除許多攻擊路徑的高價值 " 阻塞點 ",并根據風險優先解決這些問題。AD 安全工作很容易變得不堪重負,因此優先解決重要問題是真正取得進展的關鍵。
然而,即使組織決定不将 AD 安全視作優先事項,上述快速修復方法也可以大幅降低身份攻擊路徑的風險。
