日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

公告:魔扣目錄網(wǎng)為廣大站長提供免費(fèi)收錄網(wǎng)站服務(wù),提交前請做好本站友鏈:【 網(wǎng)站目錄:http://www.ylptlb.cn 】, 免友鏈快審服務(wù)(50元/站),

點(diǎn)擊這里在線咨詢客服
新站提交
  • 網(wǎng)站:51998
  • 待審:31
  • 小程序:12
  • 文章:1030137
  • 會員:747

如今90%以上的《財(cái)富》1000強(qiáng)企業(yè)使用微軟Active Directory用于身份和訪問管理,因此它成為世界上最常見的軟件之一。

遺憾的是,這種普遍性也使得Active Directory成為吸引網(wǎng)絡(luò)攻擊者的誘人目標(biāo)。由于Active Directory控制哪些用戶可以訪問網(wǎng)絡(luò)上的系統(tǒng)和軟件,因此攻擊者就會攻擊它,為自己提供實(shí)現(xiàn)目標(biāo)所需的訪問級別。此外,獲得Active Directory的控制權(quán)讓攻擊者可以部署勒索軟件、竊取敏感信息或從事其他非法勾當(dāng),防御者幾乎不可能阻止它們。

不幸的是,大多數(shù)企業(yè)Active Directory(AD)環(huán)境存在無數(shù)的錯誤配置和漏洞,這讓攻擊者可以趁虛而入。AD的內(nèi)置工具和用戶界面使安全團(tuán)隊(duì)難以審查用戶權(quán)限,這意味著久而久之,錯誤和錯誤配置會迅速越來越多。

什么是“錯誤配置債務(wù)”?

如果AD安全從來沒有受到過重視,大多數(shù)組織會遭受“錯誤配置債務(wù)”(misconfiguration debt):隨著時間的推移,錯誤越來越多。再加上Active Directory每天都會因用戶、用戶組和軟件的創(chuàng)建或刪除而變化,很容易明白為什么擁有成百上千個AD用戶的企業(yè)存在如此多的安全問題。

這些安全問題來自一系列錯誤。比如說,管理員可能無意中授予用戶或用戶組過大的權(quán)限,或者管理員可能使用其DomAIn Admin(域管理員)憑據(jù),登錄到憑據(jù)面臨失竊風(fēng)險的工作站。

這些使企業(yè)面臨一種名為身份攻擊路徑的攻擊技術(shù)。在這種攻擊技術(shù)中,攻擊者先獲得在網(wǎng)絡(luò)中的單單一臺機(jī)器上運(yùn)行代碼的能力,為此采用的手段可能是借助網(wǎng)絡(luò)釣魚電子郵件,或在另一起數(shù)據(jù)泄密事件的數(shù)據(jù)轉(zhuǎn)儲中找到用戶的憑據(jù)。然后,攻擊者使用各種工具來利用這些錯誤和安全問題,竊取其他用戶憑據(jù)。

接下來,他們使用這些新憑據(jù)獲得的訪問權(quán)限闖入其他系統(tǒng),直至達(dá)到目標(biāo)。這些攻擊可能難以檢測,因?yàn)樗鼈兪褂煤戏ǖ墓ぞ吆蛻{據(jù)。

防御攻擊路徑需要修復(fù)攻擊者鉆空子的AD安全問題——正如所討論的那樣,這類問題可能有好多。好消息是,AD或身份和訪問管理管理員只需更改默認(rèn)配置,即可在短短幾分鐘內(nèi)解決許多此類問題。

雖然其他問題需要時間更長、難度更大的修復(fù),比如重新培訓(xùn)全局和域管理員,教他們在登錄高價值系統(tǒng)時使用哪些帳戶,但這些快速修復(fù)方法可以大大降低組織的整體AD安全風(fēng)險,不需要花大大的力氣。

下面介紹如何解決一個容易被盯上的特定問題,以增強(qiáng)AD安全。

將域控制器的所有權(quán)限制于域管理員

由于種種原因,Domain Controller(域控制器)對象經(jīng)常最終歸域管理員之外的安全負(fù)責(zé)人所有。大約75%的客戶普遍存在這個問題,比如想象一下求助臺用戶在域中創(chuàng)建新服務(wù)器。

幾個月后,這個系統(tǒng)的角色發(fā)生了變化,管理團(tuán)隊(duì)將系統(tǒng)提升為域控制器。這個求助臺用戶現(xiàn)在擁有域控制器,并且擁有一條實(shí)際上全面控制環(huán)境的路徑。這極其危險,因?yàn)槿绻粽攉@得該求助臺用戶的憑據(jù),他們就可以輕松闖入域控制器。隨著更多類似這樣的情形出現(xiàn),域控制器對象積累的所有者越來越多,風(fēng)險也不斷加大。

幸好,這很容易解決。為此,先生成一份列表,列出目標(biāo)AD環(huán)境中的每個域控制器對象。這些數(shù)據(jù)可以直接從AD收集,但使用免費(fèi)開源的AD映射工具要容易得多。然后執(zhí)行以下操作:

1. 打開Active Directory 用戶和計(jì)算機(jī)。

2. 啟用高級功能。

3. 找到每個域控制器對象(使用列表)。

4. 右擊鼠標(biāo),并選擇“屬性”,然后依次選擇“安全”、“高級”和“更改”。

5. 將每個域控制器對象的所有者更改為域管理員組。

現(xiàn)在只有域管理員有權(quán)訪問這些對象,這是我們所預(yù)期的。

為了繼續(xù)進(jìn)一步保護(hù)微軟AD的安全,組織應(yīng)考慮使用攻擊路徑管理等方法,以衡量組織的整體AD風(fēng)險暴露面。

它使團(tuán)隊(duì)能夠分析所有可能的攻擊路徑,識別單一修復(fù)方法就能消除許多攻擊路徑的高價值“阻塞點(diǎn)”,并根據(jù)風(fēng)險優(yōu)先解決這些問題。AD安全工作很容易變得不堪重負(fù),因此優(yōu)先解決重要問題是真正取得進(jìn)展的關(guān)鍵。

然而,即使組織決定不將AD安全視作優(yōu)先事項(xiàng),上述快速修復(fù)方法也可以大幅降低身份攻擊路徑的風(fēng)險。

本文翻譯自:https://www.itproportal.com/features/the-active-directory-security-issue-that-only-take-five-minutes-to-fix/如若轉(zhuǎn)載,請注明原文地址

分享到:
標(biāo)簽:Active Directory
用戶無頭像

網(wǎng)友整理

注冊時間:

網(wǎng)站:5 個   小程序:0 個  文章:12 篇

  • 51998

    網(wǎng)站

  • 12

    小程序

  • 1030137

    文章

  • 747

    會員

趕快注冊賬號,推廣您的網(wǎng)站吧!
最新入駐小程序

數(shù)獨(dú)大挑戰(zhàn)2018-06-03

數(shù)獨(dú)一種數(shù)學(xué)游戲,玩家需要根據(jù)9

答題星2018-06-03

您可以通過答題星輕松地創(chuàng)建試卷

全階人生考試2018-06-03

各種考試題,題庫,初中,高中,大學(xué)四六

運(yùn)動步數(shù)有氧達(dá)人2018-06-03

記錄運(yùn)動步數(shù),積累氧氣值。還可偷

每日養(yǎng)生app2018-06-03

每日養(yǎng)生,天天健康

體育訓(xùn)練成績評定2018-06-03

通用課目體育訓(xùn)練成績評定