保护 Microsoft Active Directory (AD域) 涉及到处理各种安全漏洞,从管理错误到未修补的漏洞。调查一个典型的数据泄露事件,您会发现很可能使用了被盗凭据——有时用于初始进入,有时用于访问关键系统,但总是损害目标组织。
强化 AD域应从处理漏洞以及常见的配置和管理失误开始,这些失误为攻击者铺平了道路。为了提升AD域防御能力,管理员需要了解攻击者如何针对他们的环境。然而,有多少人可以完全了解攻击者如何通过违规步骤偷利用安全漏洞进行攻击的过程呢?
安全威胁
身份验证失败
这似乎很讽刺,但不可否认影响Active Directory的一些最普遍和最具破坏性的配置错误与身份验证过程有关。考虑这样一个场景,一个组织希望允许第三方或本土应用程序不与AD域集成,但希望查询AD域中的活动用户。最简单的方法是启用对 Active Directory 的匿名访问。虽然从工作效率的角度来看,此操作对于忙碌的管理员可能是有意义的,但它也允许未经身份验证的用户查询AD域。如果在不减轻控制的情况下启用该功能,则该组织的风险状况将大幅增加。
2020年报告的Zerologon漏洞很快被攻击者利用,因为它允许更改或删除域控制器上服务帐户的密码。成功利用此类漏洞的结果可能是灾难性的。弱密码、不会过期的密码、没有密码——所有这些都是警告信号,表明组织的AD域环境不安全。
身份验证
安全密码策略应该是Active Directory维护的者最基础架构的工作。任何设置了 PASSWD_NOTREQD 标志的帐户都应自动进行额外的审查,并为其配置提供合理的理由。此外,密码(尤其是服务账户密码)应定期轮换。长时间保持密码不变会增加暴力攻击成功的可能性,因为攻击者将有更多时间对它们进行攻击。
需要注意的身份验证问题包括:
1、密码设置在 90 天前的计算机和组管理服务帐户
2、在组策略对象 (GPO) 中找到的可逆密码
3、启用对 Active Directory 的匿名访问
4、如果未应用补丁,Zerologon 漏洞 (CVE-2020-1472)。
那么如何提升密码强度?增加AD域安全级别呢?今天给大家推荐一款AD域自助服务软件,他能有效的提升企业AD域安全级别,避免企业AD域受到非法攻击。现在就给大家简单介绍一下这款软件。
AD域
ADSelfService Plus是一款自助的AD域密码管理方案。其实现了用户自助远程密码管理。用户可以在家,或除单位的其他地方对密码进行重置。例:某公司员工在外地出差,出差过程中需要登录AD域,处理域内相关工作,但员工却忘记了自己的域登录密码。这时该员工即可利用ADSelfService Plus的自助密码管理功能对密码进行管理,经过邮箱,短信等身份验证的完成,该员工的AD域密码则被重置。相比以往的通过管理员验证密码重置,新方式不仅快捷,而且对整个组内人员的工作效率也有很大的提高。ADSelfService Plus还具有及其安全的密码策略,其通过大小写,特殊字符等多种方式对密码的设定规则进行管理,极大的保障密码的安全性。
ADSelfService Plus
密码在我们的工作和生活中都有重要的意义。它可以方便我们对重要信息的保护。但如果我们没有很好的密码管理方案,它也会给我们制造很多麻烦。对于企业来讲密码管理方案能避免很多不必要的损失。ADSelfService Plus能实现完全自助式密码管理,并保证其安全性。所以无论是从提高企业工作效率方面,还是从保障信息安全方面,选择ADSelfService Plus管理您的企业AD域用户密码一定非常靠谱。
515
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
