Active Directory (AD) Security

Active Directory(AD)在使用Windows设备的企业和中小型企业中非常流行,因为AD是操作系统体系结构的关键组件。它允许IT团队对访问和安全性进行更多控制,作为一个集中的标准系统,使系统管理员能够自动管理其网络中的域、帐户用户和设备(计算机、打印机等)。 Active Directory还提供了几个功能:存储集中的数据、管理域之间的通信以及实现安全证书。 Active Directory安全性为系统管理员提供了一种方法,可以成功地控制密码和访问级别,以管理其系统中的各个组。因此,active directory安全性应该有助于支持用户通过网络安全地访问资源,而不影响他们执行任务和完成工作的能力。 由于Active Directory在许多组织的用户访问和安全性方面发挥着关键作用,不良的管理实践和AD错误配置会使攻击者能够访问关键系统并部署恶意负载。例如,勒索软件攻击可以使企业瘫痪,造成重大财务损失,并破坏敏感数据的公开披露。因此,对于大多数企业来说,特别关注特权访问的Active Directory安全性必须是头等大事。如果攻击者获得域管理员帐户的访问权限,后果可能是灾难性的。 Active Directory的主要安全风险是什么? 专注于Active Directory漏洞的攻击者调用各种黑客技术,利用较差的访问管理、错误配置和未修补的系统。AD安全事件的一些常见原因如下: 具有本地管理员权限的域用户 将域用户放入本地管理员组是AD安全中的一个典型错误。假设攻击者在最初受到攻击的系统中不拥有本地管理员权限。在这种情况下,他们可以快速尝试发现错误配置,并轻松识别本地管理员组中具有域用户的任何网络系统。他们的目标是将域用户的凭据提升为本地管理员,并在未被检测到的情况下漫游网络。任何以本地管理员身份登录Windows端点的攻击者都可以轻松地将该受损帐户用作登台系统,以进行网络更改、将权限提升为完全域管理员状态以及禁用安全设置。 弱密码和重复使用的密码 由于越来越多的企业依赖远程访问,攻击者加班加点利用薄弱或重复使用的密码。太多的组织依赖密码作为唯一的安全控制来保护他们的特权帐户和访问。弱密码或重复使用密码是通过各种技术进行攻击的公开邀请,包括: 暴力袭击 网络犯罪分子正在扫描您的端点,正在使用各种扫描工具(如Masscan或Nmap)查找启用的远程桌面协议,以发现端口3389打开的系统。他们使用Crowbar等成熟的工具,对脆弱的凭证发起暴力攻击。当用户不假思索地重复使用其Active Directory帐户的密码时,就会加剧任何泄露的危险。例如,数据泄露可能会暴露数百万帐户的密码,使网络犯罪分子能够随时访问可用于搜索使用相同密码的其他帐户的身份。 过度使用域帐户 AD环境中的系统管理员已经养成了一些可疑的习惯,几乎所有事情都使用域管理员帐户。这意味着将它们用于服务帐户、远程访问系统,或允许自动计划任务运行备份和其他类型的网络管理。这使他们的生活在短期内变得更轻松,但也为攻击者提供了多种利用机会。这是因为他们可以轻松地从本地管理员帐户升级以获得完整的域管理员权限。 拥有本地管理员权限的恶意入侵者可以将该系统用作暂存点进行小更改,然后等待域管理员在登录到攻击者拥有本地管理员权利的系统时犯常见错误。然后,攻击者可以修改受损系统上的注册表,以明文形式将缓存的凭据保存在内存中。 攻击者所要做的就是定期等待并远程访问登台系统,以查看域管理员是否留下了可以明文提取的密码足迹。攻击者拥有本地管理员权限,然后可以禁用受损登台系统上的安全性,以特权用户身份运行mimikatz工具,并能够以明文形式提取域管理员密码。