[Cybersec Wednesday] 妥善管理公司网络资源 - Active Directory
众所皆知,Active Directory ( AD )是一种Microsoft Windows目录服务,允许IT管理员管理用户、应用程序、数据以及组织网络的其他各个方面。 Active Directory安全性对于保护用户凭据、公司系统、敏感数据、软件应用程序等免受未经授权的访问至关重要。
AD的安全漏洞实质上会破坏身份管理基础结构的完整性,从而导致潜在灾难性数据泄露、系统损坏。
简单来说,AD一旦发生问题,就等同我们的居住环境有不同程度的非法入侵的可能性,可能是门锁失灵、窗户被打开等等,不明身份人士可以进入我们的住所,进行未经授权行为。这就是我们常谈的身份访问管理 (Identity Access Management)失效,往后的影响就更加无法预测。
由于AD是整个公司网络组织中授权用户、访问和应用程序的核心,因此它是攻击者的主要目标。 如果网络攻击者可以访问AD系统,他们当然可以访问所有连接的用户帐户、数据库、应用程序以及所有类型的信息,从而危及整个AD的安全性。 因此,一旦AD的安全漏洞未能及时发现和处理,它可能会导致难以恢复的后果及损失。
那么,AD系统究竟有什么关键领域,会容易受到威胁呢?我们大致可以把范围分成五种:
- 默认安全设置:AD具有组由Microsoft创建的确定的默认安全设置。 这些安全设置往往给了攻击者最大的提示,让他们可以用最有效率的方法及最简单的技术,来入侵我们的系统。
- 不适当管理用户和特权访问:域用户帐户及其他管理用户可能对AD具有完全特权访问权限。 大多数员工,甚至IT员工,都无须高级或超级用户权限。一旦攻击者只要有普通用户的身份,也能做到原有特权身份的工作。
- 管理帐户的简单密码:对AD服务的暴力攻击主要是以密码为目标。 简单或易于猜测的密码永远是最大风险的源头。
- AD服务器上未修补的漏洞:攻击者可以快速利用AD服务器上未修补的应用程序、操作系统和固件,从而在AD的环境中为他们建立一个安全而隐蔽的立足之地。
- 缺乏对未经授权访问尝试的可见性和报告:如果IT管理员意识到未经授权访问尝试,他们便可以更有效地中断或防止将来此类威胁。
从以上五点,我们尝试找出AD安全的最佳实践方案,以确保围绕AD的整体安全性:
- 查看和修改默认安全设置,查看安全配置并根据业务需求对其进行更新。
- 在AD角色同组中实施最小特权(Least Privilege)原则。
- 控制AD管理权限并限制域用户帐户。
- 使用实时及提供完整窗口审核和警报,以指示来自组织内外的任何访问。
- 确保活动目录备份同恢复,实践灾难恢复过程,以便在AD完整性遭到破坏时快速恢复。
- 定期修补所有漏洞,确保针对AD同其他缺陷的快速、高效和有效的修补和维护过程。
- 集中化和自动化,减少不必要的人为错误。
对于新产品或新技术,我们或会抱著怀疑或尝试的心态。但是AD的应用已是不只几十年的发展。我们可以这样了解,从Microsoft Windows的出现,我们已经开始有AD的操作。若果我们还是犯了以上五点问题,我们是否要再次从心出发,去了解我们对网络安全的意识及态度呢?
网络安全在很多方面还需要注意,如有任何疑问欢迎加入我们的 Cybersec Infohub 计划,让行业里的网络安全专家为您解决,如果您怀疑自己或公司的电脑被骇或有可疑的行为,亦请尽快联络网络安全专家求助。
