The Hacker news發佈了一篇了解 Active Directory 攻擊路徑以提高安全性
Active Directory(AD)是一種廣泛使用的身份驗證和目錄服務,它為組織提供了強大的功能。但是,這種功能也帶來了濫用的可能性。內部威脅是最具破壞力的威脅之一,因為它們可以利用已存在的AD用戶的權限和信任來攻擊網絡。
AD在外部看起來是一個安全的身份驗證和授權解決方案,但是如果遭到複雜的社交工程或釣魚郵件攻擊,一個已存在的AD用戶就可能被入侵。一旦入侵,攻擊者就有多種方式來攻擊AD。
例如,如果用戶連接了一個已經被入侵或者沒有足夠安全措施的設備,攻擊者就有一個簡單的方法來訪問內部網絡。此外,許多用戶可能會將他們的智能手機或平板電腦連接到網絡,這意味著除了一台工作發放的筆記本電腦之外,您可能還有兩三個用戶設備沒有受到相同的安全措施。
另一個增加內部安全複雜性的問題是過度授權的訪問。組織往往傾向於擴大訪問權限而不是限制它。一個出於方便而解決問題的行為可能會帶來意想不到的後果,創造一個潛在的攻擊向量,然後往往被忘記。對於那些也是管理員的用戶,並不總是有一個高度安全的“管理員”賬戶來分隔不同的訪問級別。這樣,通過標準用戶賬戶允許管理任務的方便性就打開了一扇大門,讓一個被入侵並具有高級別權限的賬戶可以肆無忌憚地濫用。
最後,許多組織(尤其是大型組織)可能會因為他們支持的各種應用程序而有較弱的密碼策略。並非所有的應用程序都是相同的,有些不支持最新的安全標準。例如,有些不支持LDAP簽名或者通過LDAPS使用TLS加密LDAP。弱密碼策略加上缺乏多因素身份驗證使得通過一種技術(如Keberoasting)來破解通過一個具有特權的內部賬戶檢索到的哈希變得容易。這與強密碼策略和多因素身份驗證形成了鮮明的對比,後者使得通過破解哈希來訪問系統或網絡變得更難。
因此,為了防止AD遭受內部威脅,組織需要採取一些措施,例如:
- 實施設備管理和安全策略,以防止不安全的設備連接到網絡。
- 定期審核和監控用戶的訪問權限,並確保它們符合最小權限原則。
- 為管理員創建單獨的賬戶,並只在需要時使用它們。
- 強化密碼策略,並使用多因素身份驗證來增加安全性。
- 使用專業的安全工具來檢測和阻止任何異常或惡意的活動。
這樣,組織就可以提高AD的安全性,並減少內部威脅帶來的風險。
詳情請看:
Understanding Active Directory Attack Paths to Improve Security