我在今年的几个安全会议上谈到了Active Directory攻击和防御,包括BSides,Shakacon,Black Hat,DEF CON和DerbyCon。这些演讲包括了有关如何最好地保护企业Active Directory免受最新和最成功的攻击媒介的攻击的一些信息。
虽然过去十年里的威胁发生了很多变化,但系统和网络的管理方式往往没有太大变化。尽管内部系统经常会受到影响,但我们仍然继续采取了相同的措施和支持方式。我们必须拥抱“ 承担违约责任 ” 这个新的现实。
“承担违约责任”意味着我们必须假设攻击者可以控制内部网络上的计算机,并且可以访问到最近登录到该计算机的用户访问过的相同资源。
请注意,当我描述Active Directory的风险和缓解措施时,这包括了企业的整体配置情况。这里有一些非常严重的AD安全问题(正如我所看到的)。此列表并不完整,但能够反映出企业常见的一些安全问题。当我为组织执行Active Directory安全性评估时,我仍然发现了很多此类安全问题。
把Active Directory域当作安全边界
这会影响安全控制的设计,并可能会引入一些安全漏洞。Active Directory林可能设计有多个域,目的是解决某些安全问题,但是由于域中的域信任在林中的一些作用,从而导致这实际上并不会解决安全问题。如果一个组由于安全原因而对自己所在的域具有安全性的要求,那么很可能他们真的需要所在的整个林。在进行设计更改之前,请务必确保考虑了额外的部署和管理复杂性。
Microsoft描述了什么是AD林:
林是Active Directory的完整实例。每个林充当着顶层容器,它容纳该特定Active Directory实例的所有域容器。林可以包含一个或多个域容器对象,所有这些对象共享了一个通用的逻辑结构,全局目录,目录模式和目录配置以及自动双向传递信任关系。林中的第一个域称为林根域。该域的名称指的就是林,例如Nwtraders.msft。默认情况下,Active Directory中的信息仅在林内共享。这样的话,林是Active Directory实例中所包含的信息的安全边界。
使用默认设置部署系统
这通常被称为“违约暴政”。不要以为默认的安全设置是最安全的。Microsoft专注于包括旧版本在内的产品之间的兼容性。这意味着你需要调整安全设置来提高安全性。较新版本的Windows中通常有更多具有有限权限(和自动运行状态)的安全默认设置和服务。使用传统的安全配置仍然是现代网络中最大的安全问题之一。
域管理员太多
Active Directory的管理通常由少数人来执行。域管理员(DA)的数量通常会超过实际的AD管理员人数的数量。默认情况下,Domain Admins成员对所有工作站,服务器,域控制器,Active Directory,组策略等都具有完全的管理权限。对于现代企业中的任何一个帐户来说,这给的权力太大太多了。DA通常包含服务帐户和与AD管理不直接相关的其他组。理想情况下,DA组应该为空,以确保每个角色仅具有执行与该角色相关的任务所需要的一些权限。Active Directory管理员只需要提供完整的AD管理员权限以及域控制器管理员权限的域“ 管理员 ”组的成员资格即可。除非你正在积极的把管理Active Directory作为服务ÿ
最低0.47元/天 解锁文章
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
