微软的活动目录是许多企业组织的身份验证和访问管理机制的核心。Active Directory作为机制的中心,允许用户和计算机进行身份验证,并允许应用程序集成和使用用户权限来运行服务、数据库引擎、备份进程和许多其他关键业务服务和应用程序。
不用说,Active Directory对于整个业务关键型应用程序至关重要。如果Active Directory出现问题,它可以删除所有内容,包括身份验证、访问权限、电子邮件、网络访问、网络身份验证,以及一长串极其关键的服务。由于Active Directory问题,整个网络和所有相关机制的成本会下降,这是非常令人担忧的。Active Directory经常是攻击者窃取凭据或滥用特权的目标。
让我们看看组织可以做些什么来保护它们的Active Directory基础设施不受安全威胁。
识别活动目录的威胁
活动目录是组织基础结构的关键组件。它通常是所有身份验证通信的中心,包括权限如何分配,使电子邮件配置和流程成为可能,使备份进程能够运行,允许关键的web基础设施得到服务,数据库能够运行和保护,以及许多其他极其重要的关键功能。不用说,这很重要!必须识别安全威胁,并努力尽可能减少对Active Directory的攻击面。
在通过攻击者或其他安全漏洞检测活动目录的危险时,监视是一种有回报的方法。
监视用户行为对于检测和主动发现对Active Directory的威胁大有帮助。监视用户行为是一个关键领域,因为特定用户的行为变化可能表明帐户受到了损害,或者用户因为这样或那样的原因变得不满。经常被忽视的一个领域是监控终端用户工作站。对Active Directory和特权帐户的攻击通常不是来自服务器端,而是从工作站上开始的。检测用户正在运行的程序可以表明可能使用恶意工具窃取活动目录信息。
监视应该查找什么类型的事件?
- 失败的认证/访问尝试
- 对AD或权限的大量更改
- 更改为特权组/帐户认证/访问
- 使用不寻常的工具,如Sysinternals工具,MimiKatz, Adsiedit等
什么是内部威胁活动?
- 蛮力攻击
- 数据漏出
- 窥探用户
- 不正常的广告活动
- 恶意软件
- 系统访问异常
- 脚本化的账户使用
- 特权海拔
- 横向运动
窥探信息的用户很常见,有的用户心怀恶意,有的用户只是出于好奇或寻找特定信息,想要访问他们当前角色不应该访问的文件。
为了讨论监视,什么类型的事件可以指示这种类型的行为?
- 短时间内大量的文件访问尝试
- 文件访问失败事件过多
- 试图访问用户过去从未或很少访问过的文件服务器和文件夹
关联用户行为模式可能很困难。然而,这些相关性可能是确定终端用户可能尝试做什么的关键。风险或异常行为的一些指标可能包括:即使工作职责不允许,但非工作时间访问、多次失败的登录尝试、检测到的工作站异常、对受限制数据的失败访问、在给定时间内访问的大量文件、多个敏感组成员关系改变。
威胁检测是查看Active Directory基础设施环境中的潜在风险的关键。威胁检测和风险分析是检测威胁和分析与各种用户行为相关的风险的关键机制。
最小化活动目录攻击面
哪些领域扩展了Active Directory和其他基础设施的攻击面?
下面是一些经常导致Active Directory泄露和破坏的地方。
- 不完整的修补
- 过时的操作系统和应用程序
- 错误配置
不完整的修补
补丁在IT界是一个经常被轻视的话题。这通常会导致补丁管理策略实现得很差,并且在覆盖范围中留下空白。通常情况下,在Windows系统中,有不一致的补丁系统,这些系统有过时的补丁,或者根本没有应用安全补丁。运行非windows操作系统的系统通常根本没有打补丁,或者非常不定期,没有任何例行维护窗口来实现这一点。
在许多环境中,网络设备在进入生产服务后几乎从不使用最新的固件进行修补。现成的应用程序可能在对产品终端的支持之后很长时间内仍运行业务关键型应用程序,或者不再生产或修补。在打补丁时,运行Active Directory域服务的域控制器可能被忽略。
所有这些类型的系统都为攻击者提供了一个入口点,这些攻击者希望通过可能没有修补以关闭安全漏洞的漏洞访问任何系统。一旦攻击者能够访问任何类型的系统,其目标通常是在网络上横向移动,试图获取凭据,并有可能偶然发现域管理员或SQL DBA凭据集。
过时的操作系统和应用程序
令人惊讶的是,有那么多企业环境仍在运行传统的Windows或其他操作系统,这些系统早已寿终,没有任何进一步的补丁发布或微软和其他供应商的支持。
Windows Server 2003就是一个典型的例子。
自2015年以来,Windows Server 2003已经停止支持。然而,仍有数量惊人的Windows 2003服务器在运行,运行关键业务应用程序或文件服务器。
对于Active Directory,运行旧版本的Windows操作系统可能需要减少认证协议和其他方面的安全配置,以支持这些操作系统的较弱功能。遗留应用程序可能需要不再支持该应用程序的供应商使用遗留的身份验证协议,并且可能无法重写这些协议以支持更新、更强的身份验证协议。Active Directory仍然可以配置为使用LAN Manager哈希值或可逆加密密码来支持那些遗留应用程序。
所有这些情况都会导致Active Directory和其他基础设施受到攻击或安全漏洞的严重威胁。只需要一个遗留应用程序或遗留操作系统就可以引入域或林范围的漏洞,因为Active Directory已配置为支持所需的遗留身份验证协议。
错误配置
即使Windows Server或工作站或其他系统已经完全打了100%的最新和最好的版本和补丁,错误的配置也会破坏任何数量的补丁。错误配置会使系统受到损害。一旦单个系统被攻击者破坏,这就提供了一个临时位置,攻击者可以开始在网络上横向移动。
关于Active Directory,从安全角度来看,哪些常见的错误配置或非最佳配置经常会导致安全问题?
Active Directory中的高权限组(如Domain Admins、Enterprise Admins、Schema Admins或内置Administrators组)通常配置了不必要的组成员。这些团体的成员应该减少到尽可能少的人数。这样做可以减少攻击面。这些小组的永久成员资格也可以取消,只在需要时或在JITA或基于时间的许可方法中授予。
此外,在域控制器或包含Active Directory域服务的专用服务器上,经常发现dc配置了与成员服务器上相同的应用程序和实用程序,这可能会造成安全漏洞。可能会打开这些实用程序或应用程序所需的不需要的端口或服务帐户。网络浏览可能被允许或甚至在域控制器上经常使用,暴露DC从互联网下载的内容。
域控制器需要被视为高度安全的、有价值的基础设施组件,而不是文件、打印或其他应用服务器。他们不应该运行不必要的软件应用程序或运行任何其他可能扩大攻击面的功能。他们不应该被允许上网。
备份Active Directory
Active Directory应该是组织希望添加到其数据保护机制中的核心基础设施组件之一。今天的现代备份解决方案能够对关键应用程序(如Active Directory)执行应用程序一致的备份。这些应用程序一致的备份提供了一致的、版本化的Active Directory备份,并允许以细粒度的方式恢复Active Directory对象。
Vembu的应用程序一致备份解决方案可以在BDR Suite v4.0中找到,它允许对Microsoft的Active Directory基础架构执行这些有效、高效、应用程序一致的备份,从而保护组织免受Active Directory中存储的关键业务数据的丢失。
的想法
活动目录是现代企业架构的关键组件。它提供了一种集中的身份验证机制,并将权限分配给基础设施中的资源。组织必须将Active Directory作为关键业务应用程序加以保护。
当Active Directory关闭时,它会关闭很大一部分的功能,因为当今的许多应用程序需要Active Directory并与之交互才能正常运行。监视威胁和最小化攻击面对于保护Active Directory基础设施大有帮助。
此外,通过使用有效的备份解决方案,如Vembu的BDR Suite v4.0,企业能够保护Active Directory,甚至恢复被Vembu的应用程序一致性备份过程保护的对象。
