您当前的位置:首页 > 电脑百科 > 程序开发 > 编程百科

只需五分钟就能解决的Active Directory安全问题

时间:2023-09-08 13:01:56  来源:嘶吼网  作者:

如今90%以上的《财富》1000强企业使用微软Active Directory用于身份和访问管理,因此它成为世界上最常见的软件之一。

遗憾的是,这种普遍性也使得Active Directory成为吸引网络攻击者的诱人目标。由于Active Directory控制哪些用户可以访问网络上的系统和软件,因此攻击者就会攻击它,为自己提供实现目标所需的访问级别。此外,获得Active Directory的控制权让攻击者可以部署勒索软件、窃取敏感信息或从事其他非法勾当,防御者几乎不可能阻止它们。

不幸的是,大多数企业Active Directory(AD)环境存在无数的错误配置和漏洞,这让攻击者可以趁虚而入。AD的内置工具和用户界面使安全团队难以审查用户权限,这意味着久而久之,错误和错误配置会迅速越来越多。

什么是“错误配置债务”?

如果AD安全从来没有受到过重视,大多数组织会遭受“错误配置债务”(misconfiguration debt):随着时间的推移,错误越来越多。再加上Active Directory每天都会因用户、用户组和软件的创建或删除而变化,很容易明白为什么拥有成百上千个AD用户的企业存在如此多的安全问题。

这些安全问题来自一系列错误。比如说,管理员可能无意中授予用户或用户组过大的权限,或者管理员可能使用其DomAIn Admin(域管理员)凭据,登录到凭据面临失窃风险的工作站。

这些使企业面临一种名为身份攻击路径的攻击技术。在这种攻击技术中,攻击者先获得在网络中的单单一台机器上运行代码的能力,为此采用的手段可能是借助网络钓鱼电子邮件,或在另一起数据泄密事件的数据转储中找到用户的凭据。然后,攻击者使用各种工具来利用这些错误和安全问题,窃取其他用户凭据。

接下来,他们使用这些新凭据获得的访问权限闯入其他系统,直至达到目标。这些攻击可能难以检测,因为它们使用合法的工具和凭据。

防御攻击路径需要修复攻击者钻空子的AD安全问题——正如所讨论的那样,这类问题可能有好多。好消息是,AD或身份和访问管理管理员只需更改默认配置,即可在短短几分钟内解决许多此类问题。

虽然其他问题需要时间更长、难度更大的修复,比如重新培训全局和域管理员,教他们在登录高价值系统时使用哪些帐户,但这些快速修复方法可以大大降低组织的整体AD安全风险,不需要花大大的力气。

下面介绍如何解决一个容易被盯上的特定问题,以增强AD安全。

将域控制器的所有权限制于域管理员

由于种种原因,Domain Controller(域控制器)对象经常最终归域管理员之外的安全负责人所有。大约75%的客户普遍存在这个问题,比如想象一下求助台用户在域中创建新服务器。

几个月后,这个系统的角色发生了变化,管理团队将系统提升为域控制器。这个求助台用户现在拥有域控制器,并且拥有一条实际上全面控制环境的路径。这极其危险,因为如果攻击者获得该求助台用户的凭据,他们就可以轻松闯入域控制器。随着更多类似这样的情形出现,域控制器对象积累的所有者越来越多,风险也不断加大。

幸好,这很容易解决。为此,先生成一份列表,列出目标AD环境中的每个域控制器对象。这些数据可以直接从AD收集,但使用免费开源的AD映射工具要容易得多。然后执行以下操作:

1. 打开Active Directory 用户和计算机。

2. 启用高级功能。

3. 找到每个域控制器对象(使用列表)。

4. 右击鼠标,并选择“属性”,然后依次选择“安全”、“高级”和“更改”。

5. 将每个域控制器对象的所有者更改为域管理员组。

现在只有域管理员有权访问这些对象,这是我们所预期的。

为了继续进一步保护微软AD的安全,组织应考虑使用攻击路径管理等方法,以衡量组织的整体AD风险暴露面。

它使团队能够分析所有可能的攻击路径,识别单一修复方法就能消除许多攻击路径的高价值“阻塞点”,并根据风险优先解决这些问题。AD安全工作很容易变得不堪重负,因此优先解决重要问题是真正取得进展的关键。

然而,即使组织决定不将AD安全视作优先事项,上述快速修复方法也可以大幅降低身份攻击路径的风险。

本文翻译自:https://www.itproportal.com/features/the-active-directory-security-issue-that-only-take-five-minutes-to-fix/如若转载,请注明原文地址



Tags:Active Directory   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
只需五分钟就能解决的Active Directory安全问题
如今90%以上的《财富》1000强企业使用微软Active Directory用于身份和访问管理,因此它成为世界上最常见的软件之一。遗憾的是,这种普遍性也使得Active Directory成为吸引网络...【详细内容】
2023-09-08  Search: Active Directory  点击:(253)  评论:(0)  加入收藏
Active Directory用户登录报告
用户登录报告提供Active Directory用户帐户的登录信息,即用户轻松登录到Windows网络的日期和时间。此信息很重要,可供网络管理员跟踪AD用户在Active Directory环境中的活动,还...【详细内容】
2022-06-23  Search: Active Directory  点击:(283)  评论:(0)  加入收藏
Active Directory批量修改用户
在Microsoft Active Directory中管理用户账户是每个IT管理员每天都会面临的一项艰巨挑战。使用本机工具、PowerShell脚本等手动配置和修改用户属性极其耗费时间,特别是在大型...【详细内容】
2022-06-21  Search: Active Directory  点击:(410)  评论:(0)  加入收藏
如何审核 Active Directory 用户账户更改?
作为在IT环境中管理安全性和合规性的一部分,审核和跟踪AD域用户帐户中发生的所有变动至关重要。用户帐户中有一些重要的变动,您必须考虑审核与用户帐户相关的所有AD域事件,以识...【详细内容】
2022-04-20  Search: Active Directory  点击:(239)  评论:(0)  加入收藏
▌简易百科推荐
即将过时的 5 种软件开发技能!
作者 | Eran Yahav编译 | 言征出品 | 51CTO技术栈(微信号:blog51cto) 时至今日,AI编码工具已经进化到足够强大了吗?这未必好回答,但从2023 年 Stack Overflow 上的调查数据来看,44%...【详细内容】
2024-04-03    51CTO  Tags:软件开发   点击:(5)  评论:(0)  加入收藏
跳转链接代码怎么写?
在网页开发中,跳转链接是一项常见的功能。然而,对于非技术人员来说,编写跳转链接代码可能会显得有些困难。不用担心!我们可以借助外链平台来简化操作,即使没有编程经验,也能轻松实...【详细内容】
2024-03-27  蓝色天纪    Tags:跳转链接   点击:(12)  评论:(0)  加入收藏
中台亡了,问题到底出在哪里?
曾几何时,中台一度被当做“变革灵药”,嫁接在“前台作战单元”和“后台资源部门”之间,实现企业各业务线的“打通”和全域业务能力集成,提高开发和服务效率。但在中台如火如荼之...【详细内容】
2024-03-27  dbaplus社群    Tags:中台   点击:(8)  评论:(0)  加入收藏
员工写了个比删库更可怕的Bug!
想必大家都听说过删库跑路吧,我之前一直把它当一个段子来看。可万万没想到,就在昨天,我们公司的某位员工,竟然写了一个比删库更可怕的 Bug!给大家分享一下(不是公开处刑),希望朋友们...【详细内容】
2024-03-26  dbaplus社群    Tags:Bug   点击:(5)  评论:(0)  加入收藏
我们一起聊聊什么是正向代理和反向代理
从字面意思上看,代理就是代替处理的意思,一个对象有能力代替另一个对象处理某一件事。代理,这个词在我们的日常生活中也不陌生,比如在购物、旅游等场景中,我们经常会委托别人代替...【详细内容】
2024-03-26  萤火架构  微信公众号  Tags:正向代理   点击:(10)  评论:(0)  加入收藏
看一遍就理解:IO模型详解
前言大家好,我是程序员田螺。今天我们一起来学习IO模型。在本文开始前呢,先问问大家几个问题哈~什么是IO呢?什么是阻塞非阻塞IO?什么是同步异步IO?什么是IO多路复用?select/epoll...【详细内容】
2024-03-26  捡田螺的小男孩  微信公众号  Tags:IO模型   点击:(8)  评论:(0)  加入收藏
为什么都说 HashMap 是线程不安全的?
做Java开发的人,应该都用过 HashMap 这种集合。今天就和大家来聊聊,为什么 HashMap 是线程不安全的。1.HashMap 数据结构简单来说,HashMap 基于哈希表实现。它使用键的哈希码来...【详细内容】
2024-03-22  Java技术指北  微信公众号  Tags:HashMap   点击:(11)  评论:(0)  加入收藏
如何从头开始编写LoRA代码,这有一份教程
选自 lightning.ai作者:Sebastian Raschka机器之心编译编辑:陈萍作者表示:在各种有效的 LLM 微调方法中,LoRA 仍然是他的首选。LoRA(Low-Rank Adaptation)作为一种用于微调 LLM(大...【详细内容】
2024-03-21  机器之心Pro    Tags:LoRA   点击:(12)  评论:(0)  加入收藏
这样搭建日志中心,传统的ELK就扔了吧!
最近客户有个新需求,就是想查看网站的访问情况。由于网站没有做google的统计和百度的统计,所以访问情况,只能通过日志查看,通过脚本的形式给客户导出也不太实际,给客户写个简单的...【详细内容】
2024-03-20  dbaplus社群    Tags:日志   点击:(4)  评论:(0)  加入收藏
Kubernetes 究竟有没有 LTS?
从一个有趣的问题引出很多人都在关注的 Kubernetes LTS 的问题。有趣的问题2019 年,一个名为 apiserver LoopbackClient Server cert expired after 1 year[1] 的 issue 中提...【详细内容】
2024-03-15  云原生散修  微信公众号  Tags:Kubernetes   点击:(6)  评论:(0)  加入收藏
相关文章
    无相关信息
站内最新
站内热门
站内头条