bleeping computer發佈了一篇如何將零信任套用到您的 Active Directory
Active Directory 是一個用於管理網路中使用者和設備的身份驗證系統。它儲存了許多重要的憑證,如使用者名稱、密碼、權限等。因此,保護 Active Directory 中的憑證免受駭客的攻擊是非常重要的。零信任原則是一種安全模型,它假設網路中的任何實體都是不可信的,並需要通過多重驗證才能獲得訪問權限。在這篇文章中,我將介紹如何對 Active Directory 應用零信任原則,以提高其安全性。
密碼重設流程
密碼重設流程是 Active Directory 安全中的一個常見漏洞,尤其是當它們涉及將重設連結或代碼發送到使用者的電子郵件或手機時。駭客可以利用這些方式來竊取使用者的身份,並獲得他們的憑證。為了防止這種情況,我們可以採用以下幾種方法:
- 使用安全的通訊方式,如加密的電子郵件或簡訊,來傳送重設連結或代碼。
- 限制重設連結或代碼的有效期,如 10 分鐘或 30 分鐘,並在使用後立即失效。
- 要求使用者在重設密碼時提供額外的資訊,如安全問題、個人資料等。
- 使用強制性的密碼策略,如最小長度、複雜度、過期時間等,來確保使用者選擇安全的密碼。
多因素驗證
多因素驗證(MFA)是零信任策略的一個關鍵部分,因為它在密碼之外增加了額外的驗證層。MFA 要求使用者提供至少兩種不同的驗證因素,如密碼、指紋、臉部識別、硬體令牌等,才能登入系統。這樣可以有效地阻止駭客使用盜取的密碼來冒充使用者。我們可以使用以下幾種方法來實施 MFA:
- 使用內建的 MFA 功能,如 Windows Hello、Microsoft Authenticator 等,來為使用者提供方便的驗證選項。
- 使用第三方的 MFA 服務,如 Duo、Okta、Google Authenticator 等,來為使用者提供更多的驗證選項。
- 根據使用者的角色、位置、設備等因素,來設定不同的 MFA 要求,如只有在外部網路或使用非信任設備時才需要 MFA。
洩露密碼保護
即使有了零信任原則,密碼的安全性仍然是不可忽視的。駭客有多種方法可以繞過 MFA,如釣魚、中間人攻擊、SIM 卡交換等。因此,組織需要有一種方法來檢查密碼是否已經被洩露,否則駭客可以相對簡單地繞過零信任流程。洩露密碼保護服務可以在 Active Directory 中阻擋這些洩露的密碼,並通知使用者立即更換為新的安全密碼。我們可以使用以下幾種方法來實現洩露密碼保護:
- 使用內建的洩露密碼保護功能,如 Azure AD Password Protection、Microsoft Defender for Identity 等,來檢查密碼是否出現在已知的洩露清單中。
- 使用第三方的洩露密碼保護服務,如 Specops Breached Password Protection、Have I Been Pwned等,來檢查密碼是否出現在更廣泛的洩露資料庫中。
- 使用自動化的洩露密碼保護工具,如 Specops Password Auditor、NIST Password Checker等,來定期掃描 Active Directory 中的密碼,並生成詳細的報告。
Active Directory 是一個關鍵的身份驗證系統,它需要適當的保護措施來防止駭客的攻擊。零信任原則是一種有效的安全模型,它可以通過多重驗證、密碼重設流程、洩露密碼保護等方式來提高 Active Directory 的安全性。我們可以使用不同的工具和服務來實現零信任原則,並根據組織的需求和環境來調整其設定。這樣,我們就可以為我們的 Active Directory 建立一個更安全的防禦層。
詳情請看: