如何改善组织的 Active Directory 安全状况

活动目录 (AD) 是 Microsoft 为 Windows 域网络开发的目录服务,是大多数组织用于员工身份验证和身份管理的主要存储,并控制用户可以访问哪些资产/应用程序/系统。这使得 Active Directory 成为攻击者的重要目标,并促使组织提高其安全性。

但 Guido Grillenmeier 表示,该技术已从公司议程中删除。

提高 Active Directory 安全性

“如今,Active Directory 被认为是商品技术——毕竟,这项技术在使用 20 多年后应该已经成熟。并且从基础设施弹性和稳定性的角度来看,这种说法是正确的。但是,可悲的是,不是从安全的角度来看,网络犯罪分子越来越多地利用 AD 的各种弱点来攻击公司,”他告诉 Help Net Security。

“AD 太容易被攻破,允许入侵者收集公司 IT 资产的情报,窃取公司数据,然后在对大部分公司 IT 资产(包括 AD 服务本身)进行加密后要求支付赎金。”

一生的奉献

二十多年前,Grillenmeier 见证了 Active Directory 的引入,并立即对其复杂性和潜力着迷。

他于 20 世纪 90 年代中期在惠普开始职业生涯,很快成为以 Windows 为中心的基础设施顾问,为惠普设计各种灯塔项目并将客户迁移到 Windows NT。

随着 Windows NT 到 Windows 2000 的演变,他成为了新的 Active Directory (AD) 域服务的专家,通过在全球范围内的各种大型项目和涉及帮助客户从 AD 灾难中幸存下来的情况磨练了他的技能并获得了经验操作失误造成的。

“正是这些灾难帮助我进一步深入了解技术的细节并更好地了解其弱点。多年来,德国政府的特殊工作进一步帮助我了解 Active Directory 安全的复杂细节,因为这通常需要以超出标准公司配置的方式锁定 AD,”他分享道。

Grillenmeier 曾担任 Microsoft 目录服务 MVP 12 年,他的 最近约会 担任首席技术官一职 森佩里斯 对他来说,这是一个机会,可以专注于帮助公司保护自己和他们的 AD 环境,并在最坏的情况下从灾难中快速恢复。

“那些不准备从恶意软件攻击中快速恢复 AD 的人将很难更快地恢复其余业务,因为如此多的应用程序和服务仍然依赖于运行良好的 Active Directory,”他指出。

AD和云

他说,对更多 IT 服务的需求不断增长,以及在自己的数据中心托管自己的 IT 基础设施的成本不断上升,这促使许多组织将这些服务托管在其他人的数据中心。因此,他们必须将他们的主要身份存储(他们的本地 Active Directory 服务)同步到云中的身份提供商(例如 Microsoft Azure Active Directory)。

这种调整还经常受到有吸引力的云产品的影响,例如 Office 365 with Teams 和其他云原生应用程序,这些应用程序要求使用该服务的用户具有基于云的身份。

Grillenmeier 指出,员工可以通过多种方式对这些云应用程序进行身份验证:身份验证决策可以在云中做出,或者通过联合服务来让公司对这个敏感过程有更多的控制。

“许多企业要么不信任云服务,以至于无法对用户进行实际身份验证,要么他们必须遵守合规义务,这不允许将这种信任级别交给第三方,”他解释道。

“为了规避这个问题,他们在自己的本地目录服务和云之间建立了联合服务。在这样的设置中,云完全信任联合服务以正确证明用户的身份,允许他们的员工使用他们的本地身份登录云服务,通常与第三方多因素 (MFA) 解决方案结合使用.通过以这种方式签名,云提供商信任您的本地 AD 进行身份验证,然后将授予对员工请求的云应用程序(例如 Microsoft Teams)的访问权限。”

在后一种情况下,企业安全更依赖于健全且运行良好的 Active Directory 服务,因为风险包括对公司的本地应用程序和云应用程序的恶意(或撤销)访问。

“同样,根据 Azure AD 等云身份服务的配置,当公司的云应用程序中发生漏洞时,本地 AD 可能会面临风险。在我们生活的这个混合世界中,任何公司的安全状况都需要对其本地 AD 以及云身份存储进行适当管理,”他补充道。

改善 Active Directory 安全状况的提示

Grillenmeier 指出,Active Directory 的核心是在 20 多年前设计的,如果 Microsoft 多年来所做的改进没有得到实施,那么从其早期开始运行的 AD 部署在今天都不会被认为是安全的。

其中包括强大的功能,例如 受保护的用户安全组 and 授权策略孤岛 (随 Windows Server 2012 R2 引入),以及 受防护的 VM and 权限访问管理 (随 Windows Server 2016 引入)。

到目前为止,市场上还有各种免费工具可以提高人们对本地 AD 安全状况的认识。

“一些例子是 猎犬, 平堡 和我们新发布的 紫骑士 工具,这将帮助组织更好地了解他们的 AD 中哪些漏洞需要修补,”他分享道。

Grillenmeier 建议公司至少定期使用这些工具和类似工具对其 Active Directory 设置进行扫描,然后在入侵者首先发现并利用它们之前修复发现的安全问题。

“每周执行一次手动扫描比根本不执行要好得多,但公司还应考虑投资于与其 SIEM 集成的适当安全监控工具,以便在新漏洞再次暴露其 AD 时立即发出警告,”他认为。

“这很可能是您在上次扫描后关闭的一个 - 例如,向计算机对象授予“无约束委派”,允许任何进程冒充网络中其他地方的任何用户 - 并且已被不知情的应用程序所有者重新引入或帮助台人员。不幸的是,您的下一次手动 AD 安全扫描可能为时已晚,无法找到它。”

最后,尽管采取了所有安全措施和努力,最糟糕的情况仍然可能发生:零日漏洞可用于关闭您的完整 AD 服务和所有其他业务应用程序,随后使用加密锁来制作所有系统和可能他们的备份无法使用。

“微软提供了一份非常好的白皮书 AD 林恢复 但未能提供真正的帮助以允许快速恢复,”他指出。

“正常的操作系统级备份不会奏效——要么公司自己解决这个问题,并通过适当的脚本加快进程,并在他们的实验室进行大量测试,要么他们考虑非常合适的第三方工具,这些工具可以为他们完全自动化这样的 AD 林恢复。”




分享这个