据Frost&Sullivan统计,全球有超过90%的财富1000强企业正在使用Active Directory作为身份验证和授权的主要方法,80%的攻击使用Active Directory进行横向移动和权限提升,60%的新恶意软件包含针对Active Directory错误配置的代码。这种风险从未像今天这样严重,如今有越来越多员工在远程工作,经常使用个人设备连接到公司系统。而Active Directory在托管单点登录中也扮演着关键角色。保护账户——员工、服务承包商、临时员工、系统账户和其他人——以及他们跨系统的访问和权限,对企业网络安全态势具有战略意义。了解帐户对系统的访问以及这些系统如何在计算环境中关联是对漏洞管理和系统安全的一个战略性和重要的补充,对于全面管理风险(尤其是在复杂的云和混合环境中)越来越必要。
近期包括 SolarWinds 数据泄露和 Microsoft Exchange 黑客攻击等事件,都突出了保障 Active Directory 安全的必要性。成功的数据泄露都是从对 Active Directory 的攻击以提升权限开始,接着就是横向移动、安装恶意软件,然后窃取数据。
保护Active Directory的挑战
根据以往的经验,每一条因数据泄露所招致的新闻头条报道背后,都有一个不安全的Active Directory (AD) 部署环境。由于域控技术的复杂性增加,多年的错误配置堆积在一起,使得安全团队无法在缺陷成为影响业务的问题之前找到并修复它们,因此大多数企业都在与Active Directory安全性作艰苦的斗争。
大多数AD实现的规模和复杂性使得手动监控不切实际,无法实时检测攻击。事件响应和威胁搜寻受到阻碍,因为团队无法看到所有隐藏的错误配置和相互关联的关系。
尽管它至关重要,但管理 Active Directory 并保障其安全却异常复杂。在大型企业的规模下,如果没有大量的专业知识和持续的关注,安全管理 Active Directory 几乎是不可能的。
Active Directory安全性较弱的后果
成功的违规行为通常伴随着对Active Directory的攻击,以提升权限、横向移动、安装恶意软件和过滤数据。攻击者可以成功地从日志和其他监视工具中隐藏这些进展,因为它们通过Active Directory的移动似乎符合现有的安全策略。当攻击者成功交付导致数据丢失、勒索要求、环境重建或品牌影响的有效负载时,较弱AD安全的高成本将受到打击。
下面是AD的最佳安全实现清单,可以加强整个系统的网络安全。
1、盘点AD中所有资产
简单地说:"你不能保护你不知道的东西”。保持最高AD安全标准的最有效方法是对整个系统进行仔细彻底清查。一些基本要求应该包括识别OU的所有计算机、设备用户、网域和命名惯例。
2、评估当前安全设置
Active Directory提供标准化的安全设定。这些默认设定可能适合您的企业,也可能无法提供系统所需的安全保护。安装后,请始终检查现有的安全设定以便根据您的特定业务需求调整自定义设定。
3、建立“最低特权”模型
”最小权限”策略根据预期角色或功能所必需的内容限制用户对系统中资源的访问。最小权限模型有功于在系统受损的情况下最大限度地减少总体暴露和数据窃取风险。系统会检查所有当前用户权限,以确定所需的任何必要的最小权限修改。您还需要创建一个特权分离,以确保在各种用户、任务和账户周围有一个附加的安全层。
4、限制AD管理员权限
仅仅限制个人用户权限是不够的;评估总体IT人员和AD管理员访问权限也很重要。仅向组织中提供需要此级别访问权限才能正确执行其工作的任务,并提供管理权限和超级用户权限。
5、为DC部署安全措施
受损的DC网域控制器会破坏整个AD系统的完整性。如果黑客获得对DC的访问权,他们可以立即连接到所有基础设施内。第一步是从物理上将网域控制器与其他服务器分离。许多企业使用的访问控制,未经授权的用户或主机无法访问网域控服务器。这个增加的安全层有助于防止外部攻击者入侵您的网域控制器,以提高网域控制的安全。
6、使用多因子身份验证
远端用户很容易受到威胁,往往很多客户甚至没有意识到这一点。多因素身份验证(MFA)是保护远端设备免受在线攻击的最佳方法之一。MFA解决方案要求用户在被授予访问系统的权限之前,成功地呈现两个或两个以上的多个凭据。如果黑客获得用户的Active Directory账号,MFA进程将阻止他们在系统内提权。
7、制定监测和审计标准
对于致力于保护其网络的企业来说,一致和实时的Active Directory监控,证明了是宝贵的手段。制定一个流程,允许授权人员监控和审计整个系统中任何未经授权或不安全的活动,从而使网络处于危险之中。执行评估用户变化和网络行为的解决方案可以帮助尽快发现不寻常的系统参与,从而避免潜在的网络攻击。
8、员工安全意识培训。
除了以上的8点保护系统的方式,员工自上而下的安全意识也十分关键,毕竟网络钓鱼的方式也是不法分子入侵系统的惯用手段,如果企业在信息安全的防护这块缺乏相关的知识和指导,请尽快与专业的第三方信息安全服务的公司联系,建立完善的,提供全方位勒索病毒防护的体系。
文章来源网络
如有侵权请联系我们
—END—
第三波软件(北京)有限公司为宏碁(股)100%转投资之子公司,针对宏碁公司提出以「BYOC(自建云)」做为变革转型的新愿景,从硬件公司转型成为【硬件+软件+服务】的企业,并以王道思维与合作伙伴共创价值、建立利益平衡的产业生态。
