[Cybersec Wednesday] 妥善管理公司網絡資源 - Active Directory
眾所皆知,Active Directory ( AD )是一種Microsoft Windows目錄服務,允許IT管理員管理用戶、應用程序、數據以及組織網絡的其他各個方面。 Active Directory安全性對於保護用戶憑據、公司系統、敏感數據、軟件應用程序等免受未經授權的訪問至關重要。
AD的安全漏洞實質上會破壞身份管理基礎結構的完整性,從而導致潛在災難性數據洩露、系統損壞。
簡單來說,AD一旦發生問題,就等同我們的居住環境有不同程度的非法入侵的可能性,可能是門鎖失靈、窗户被打開等等,不明身份人士可以進入我們的住所,進行未經授權行為。這就是我們常談的身份訪問管理 (Identity Access Management)失效,往後的影響就更加無法預測。
由於AD是整個公司網絡組織中授權用戶、訪問和應用程序的核心,因此它是攻擊者的主要目標。 如果網絡攻擊者可以訪問AD系統,他們當然可以訪問所有連接的用戶帳戶、數據庫、應用程序以及所有類型的信息,從而危及整個AD的安全性。 因此,一旦AD的安全漏洞未能及時發現和處理,它可能會導致難以恢復的後果及損失。
那麼,AD系統究竟有什麼關鍵領域,會容易受到威脅呢?我們大致可以把範圍分成五種:
- 默認安全設置:AD具有組由Microsoft創建的確定的默認安全設置。 這些安全設置往往給了攻擊者最大的提示,讓他們可以用最有效率的方法及最簡單的技術,來入侵我們的系統。
- 不適當管理用戶和特權訪問:域用戶帳戶及其他管理用戶可能對AD具有完全特權訪問權限。 大多數員工,甚至IT員工,都無須高級或超級用戶權限。一旦攻擊者只要有普通用戶的身份,也能做到原有特權身份的工作。
- 管理帳户的簡單密碼:對AD服務的暴力攻擊主要是以密碼為目標。 簡單或易於猜測的密碼永遠是最大風險的源頭。
- AD服務器上未修補的漏洞:攻擊者可以快速利用AD服務器上未修補的應用程序、操作系統和固件,從而在AD的環境中為他們建立一個安全而隱蔽的立足之地。
- 缺乏對未經授權訪問嘗試的可見性和報告:如果IT管理員意識到未經授權訪問嘗試,他們便可以更有效地中斷或防止將來此類威脅。
從以上五點,我們嘗試找出AD安全的最佳實踐方案,以確保圍繞AD的整體安全性:
- 查看和修改默認安全設置,查看安全配置並根據業務需求對其進行更新。
- 在AD角色同組中實施最小特權(Least Privilege)原則。
- 控制AD管理權限並限制域用戶帳戶。
- 使用實時及提供完整窗口審核和警報,以指示來自組織內外的任何訪問。
- 確保活動目錄備份同恢復,實踐災難恢復過程,以便在AD完整性遭到破壞時快速恢復。
- 定期修補所有漏洞,確保針對AD同其他缺陷的快速、高效和有效的修補和維護過程。
- 集中化和自動化,減少不必要的人為錯誤。
對於新產品或新技術,我們或會抱著懷疑或嘗試的心態。但是AD的應用已是不只幾十年的發展。我們可以這樣了解,從Microsoft Windows的出現,我們已經開始有AD的操作。若果我們還是犯了以上五點問題,我們是否要再次從心出發,去了解我們對網絡安全的意識及態度呢?
網絡安全在很多方面還需要注意,如有任何疑問歡迎加入我們的 Cybersec Infohub 計劃,讓行業裏的網絡安全專家為您解決,如果您懷疑自己或公司的電腦被駭或有可疑的行為,亦請盡快聯絡網絡安全專家求助。
