https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

8個Active Directory 最佳安全方法以及如何保護AD防禦勒索軟體攻擊

2021 / 07 / 12
編輯部
8個Active Directory 最佳安全方法以及如何保護AD防禦勒索軟體攻擊
Active Directory(AD)是為了使用Windows系統主機的企業組織提供的企業級IT管理平台。這種集中化的標準Windows系统使IT管理員能够增强對其操作中的訪問和安全性的控制,從而提升對所有網路設備、網域和帳戶用戶的管理。AD為各種規模和範圍的業務提供了幾種關鍵任務的可管理性、安全性和互操作性功能,包括:
  • 組織和整合數據
  • 支持網域間通信
  • 生成和執行證書
最重要的是,Active Directory讓系统管理員能够增加包括對密碼控制、權限和訪問控制的可視性。AD允許IT 主管人員精緻調整他們的管理能力,以利更好地監督和管理系統小組。除此之外,該系統還簡化了內部流程,幫助用戶快速地訪問所需的資源。

AD安全在網路攻擊中扮演至關重要的作用

勒索軟體現在己經成為全球各產業企業的一個頭痛的問題。勒索軟體現五花八門,攻擊者幾乎會窮盡各種手段進入企業內部網路,將竊取資料公佈在互聯網上,迫使受災者需支付贖金。在大多數的情況下Active Directory 就是駭客的主要攻擊目標。未能優先考慮主動動態的AD安全策略可能會產生重大後果。一但駭客進入系統,網路攻擊者通常可以藉由提權及橫向移動,獲得對多個網路資源的訪問。一但AD有安全漏洞就可能危及公司的整個基礎設施,使駭客能夠從系統中的所有用戶帳號、資料庫及應用程式竊取系統的訊息。

實現8個最佳保護系統的Active Directory方式

建立和維護實現8個最佳保護系統的Active Directory方式,可以幫助公司防禦網路釣魚、惡意軟體和其他網路攻擊,並保護用戶、資源和網路。下面是AD的最佳安全實現清單,可以加強整個系統的網路安全。
  1. 盤點AD中所有資產。
    簡單地說:"你不能保護你不知道的東西”。保持最高AD安全標準的最有效方法是對整個系統進行仔細徹底清查。一些基本要求應該包括識別OU的所有電腦、設備用戶、網域和命名慣例。
  2. 評估當前安全設置。
    安裝後,Active Directory提供標準化的安全設定。這些默認設定可能適合您的企業,也可能無法提供系统所需的安全保護。安裝後,請始終檢查現有的安全設定以便根據您的特定業務需求調整自定義設定。
  3. 建立“最低特權”模型。
    ”最小權限”策略根據預期角色或功能所必需的內容限制用戶對系統中資源的訪問。最小權限模型有功於在系統受損的情況下最大限度地減少總體暴露和數據竊取風險。系統會檢查所有當前用戶權限,以確定所需的任何必要的最小權限修改。您還需要創建一個特權分離,以確保在各種用戶、任務和帳戶周圍有一個附加的安全層。
  4. 限制AD管理員權限。
    僅僅限制個人用戶權限是不夠的;評估總體IT人員和AD管理員訪問權限也很重要。僅向組織中提供需要此級別訪問權限才能正確執行其工作的任務,並提供管理權限和超級用戶權限。
  5. 為DC部署安全措施。
    受損的DC網域控制器會破壞整個AD系統的完整性。如果駭客獲得對DC的訪問權,他們可以立即連接到所有基礎設施內。第一步是從物理上將網域控制器與其他伺服器分離。許多企業使用的訪問控制,未經授權的用戶或主機無法訪問網域控服務器。這個增加的安全層有助於防止外部攻擊者入侵您的網域控制器,以提高網域控制的安全。
  6. 使用多因子身份驗證。
    遠端用戶很容易受到威脅,往往很多客戶甚至沒有意識到這一點。多因素身份驗證(MFA)是保護遠端設備免受線上攻擊的最佳方法之一。 MFA解決方案要求用戶在被授予訪問系統的權限之前,成功地呈現兩個或兩個以上的多個憑據。如果駭客獲得用戶的Active Directory帳號,MFA進程將阻止他們在系統內提權。
  7. 制定監測和審計標準。
    對於致力於保護其網路的企業來說,一致和即時的Active Directory監控,證明了是寶貴的手段。制定一個流程,允許授權人員監控和審計整個系統中任何未經授權或不安全的活動,從而使網路處於危險之中。執行評估用戶變化和網路行為的解決方案可以幫助盡快發現不尋常的系統參與,從而避免潛在的網路攻擊。
  8. 員工安全意識培訓。
    員工可能會對使用AD的公司構成重大的安全風險。即使是最善意的員工也可能無意中去點擊網路釣魚鏈接,或被一封旨在誘騙他們洩露私人公司主旨的電子郵件欺騙。
就網路安全攻擊的真正威脅和危險對員工進行培訓和教育,將為他們避免系統受損所需的工具。現場和遠端用戶的一些基本策略包括:
  • 培訓他們識別網路釣魚及惡意軟件攻擊的能力(社交工程演練)
  • 教育他們了解各種用戶行為的安全風險(資安手法呈現及教育)
  • 確定是否用戶權限不正確,能直接完全訪問整個系統
  • 建立和執行密碼策略許多IT管理員缺乏在其組織中實施統一的Active Directory安全
  • 解決方案所需的資源和技術。
如果Active Directory 的各個部分得到安全保護,會增加企業的整體安全性,同時降低安全風險。具體而言,下列有關 AD 的配置需要被修復如下:
  • 需要修復用戶屬性的錯誤配置
  • 需要修復群組的錯誤配置
  • 需要清除特權群組
  • 需要有正確的 AD 流程配置(例如 SDProp)
  • 需要保障服務主體名稱 (SPN) 的安全
  • 信任關係正確且得到安全保護
  • 需要清理用戶的 SidHistory 屬性​
具有服務主體名稱 (SPN) 的用戶帳戶
此外,保護 AD本身和群組策略可確保攻擊者無法利用錯誤配置和特權提升達到攻擊。
下列配置需要被正確設置:
  • 需要驗證和保護 AD 信任安全
  • 需要清除 AD 代理
  • 需要清除群組策略代理
  • 需要保護群組策略結構組件的安全
  • 需要啟用群組策略對象部署的安全設置​
合併與併購案可能會讓信任關係變得無人管理;信任關係也必須受到保護。
最後,攻擊者希望獲取特權。在獲取特權後,他們想要建立攻擊路徑。因此,能夠檢測這些各類的AD攻擊就變很相當的重要。

下列内容是 AD 管理員和資安從業人员要阻斷攻擊路徑時能採取的操作:
  • 確保特權群组成員是受到監控
  • 檢测 DCShadow 和 DCSync 攻擊
  • Golden tricky攻擊
  • 檢測橫向移動攻擊
  • 檢測危險的 SIDHistory 和 PrimaryGroupID 設置​
Tenable.ad 可以即時檢測針對 AD的主流攻擊,而無需 Agent 或特權。
本文轉載自創泓科技。原文出處: ​Tenable Blog。