活动目录安全 101

已发表: 2022-09-19

如今,大多数公司都依赖 Microsoft Active Directory (AD) 来保持运营。 但究竟什么是AD?

AD 本质上是将员工连接到公司网络上的资源(例如电子邮件或网络文件共享)的网关。 管理员使用它来管理每个用户的权限,在他们登录时对其进行身份验证并确定他们可以访问哪些资源。

AD有很多好处。 它易于使用,已经存在多年,并且非常可靠。 然而,许多公司根本不知道随之而来的安全风险。

广告简史

在 2000 年推出 AD 之前,Microsoft IT 目录服务器无法扩展以充分支持大中型企业的需求,因此需要大量服务器。 例如,一家大约 1,000 人的公司可能需要 200 台不同的服务器。

这是公司的主要痛点。 不仅所有这些单独的服务器都难以管理,每个服务器都需要唯一的登录凭据,而且还使得文件共享等活动变得困难,因为它们无法轻松地相互通信。

AD 解决了这一挑战。 它与应用程序轻松集成并在整个业务环境中提供单点登录功能,改变了网络体验,并迅速变得无处不在。

二十年来,它的流行程度没有改变。 这项近 25 年历史的技术不仅没有消失,反而比以往任何时候都更加重要,它是全球企业使用的大多数云身份系统的基础。

然而,虽然 AD 对于全球大多数组织仍然必不可少,但它也已成为一种安全责任。

为什么今天的广告是一个问题

AD 易受攻击有几个原因。

首先,它不是为应对复杂的安全威胁而设计的。 它是在勒索软件、复杂的国家支持的网络装备以及云计算的广泛采用之前发布的。 这是一项来自不同时代的技术,因此无法有效应对我们今天面临的许多高级威胁。

其次,AD 被设计为开放式以方便使用。 它信任那些登录到网络的用户,以便优先考虑无缝的用户体验。 然而,今天的这种开放性对防御者来说是一个棘手的挑战,对成功的渗透者几乎没有障碍。

第三,它的年龄意味着,在许多情况下,它已经隐藏了 20 多年的糟糕安全决策,这些决策最初是为了权宜之计而做出的,这些决策积累起来创造了一个即使是业余攻击者也难以错过的巨大目标。

正是由于这个原因,大约 90% 的企业都因 AD 漏洞而面临安全漏洞,并且十分之九的网络攻击以某种方式涉及 AD。

这样的统计数据确实令人恐惧,用于针对 AD 的攻击方法的简单性也是如此。 让我们一步一步看这个过程……

  1. 攻击者将通过网络钓鱼攻击 PC – 攻击者将发送欺诈性消息或电子邮件,旨在诱骗目标泄露敏感信息,例如他们的 AD 登录凭据。
  2. 然后他们努力在该本地机器上获得特权—— 攻击者可以通过多种方式提升他们在机器上的权限,利用设备上的漏洞。
    他们使用 AD 来查找其他设备—— 然后,攻击者使用 AD 查找其他计算机,映射出该网络中连接和使用的所有计算机。
  3. 接下来,攻击者在更多设备上进行攻击——从这里开始,攻击者在网络中移动,进行难以检测的侦察,攻击许多机器以找到具有 AD 管理员权限的机器。
  4. 最后是对特权帐户的安全访问——最终他们可以访问特权或管理员帐户的凭据。 一旦他们拥有了它,他们就可以完全控制 AD 以及依赖它的一切。

一种流行的 AD 攻击示例是所谓的 Golden Ticket 攻击。 我们都熟悉罗尔德达尔小说查理和巧克力工厂中的金票。 在数字世界中,Golden Tickets 还提供对您组织的 IT 环境的访问。 Golden Ticket 攻击使威胁参与者可以不受限制地访问网络资源,并能够无限期地驻留在网络上,伪装成具有凭据的管理员级用户。

概述威胁

AD 不仅仅是一个问题,因为它很容易受到攻击。 同样,攻击者的回报也很可观。

AD基本上掌握着你王国的钥匙。 想象一个存放办公室物理钥匙的保险箱——AD 就像那个保险箱。 它是访问您的关键系统(您的计算机、软件应用程序和其他资源)的中心枢纽。

这是危险的,因为它既简单有利可图。 2021 年,一家公司支付了高达 4000 万美元的赎金,以重新访问其网络。

与此同时,攻击者的进入门槛正在降低。 得益于蓬勃发展的勒索软件即服务 (RaaS) 市场,他们不再需要精通技术。 相反,他们只是从这些人那里购买工具和服务。

这是一个毁灭性的循环。 对攻击者的回报正在增加,而所需的技术知识却在不断下降,从而以指数方式扩大了攻击范围。

因此,很容易理解为什么国际数据公司的 2021 年勒索软件研究最近显示,超过三分之一 (37%) 的全球组织成为 2021 年勒索软件攻击的受害者。事实上,攻击者的可能性很大.

企业如何应对?

公司必须做出反应以扭转这种上升趋势。

为了尽量减少您的漏洞,您首先需要知道您的漏洞在哪里。 对于许多公司来说,试图获得这种理解可能会让人感到不知所措——尤其是对于那些对网络安全知之甚少甚至一无所知的公司。 但是,请放心,有解决方案和支持可以提供帮助。

紫骑士是一个很好的起点。 由领先的 Microsoft 身份专家小组构建和管理的免费 Active Directory 安全评估工具,它可以帮助您在攻击者之前发现 Active Directory 中的弱点,突出应该解决的常见漏洞。

最新的 Purple Knight 报告中列出了一系列潜在漏洞。 但对于初学者来说,一些常见的例子包括:

  • 配置漂移——配置漂移是多年来不良 AD 实践的结果。 应用程序需要在 AD 中配置才能工作,但这需要时间。 一个快速的解决方案是为应用程序提供过多的管理权限——这是公司历史上做过的事情,希望尽快启动并运行他们闪亮的新工具。 结果,管理帐户开始在 AD 中累积。 然而,只要其中之一受到攻击,灾难性后果就会随之而来。
  • 旧版管理员帐户- 旧版管理员帐户会带来类似的问题。 他们是壁橱里的骷髅。 如果攻击者设法访问这些特权帐户,那么他们就会回来困扰您。
  • 弱密码或通用密码——攻击者仍会尝试通过尝试一系列常用密码来访问多个帐户。 这被称为密码喷射——一种可以通过消除在网络中使用弱密码或常见密码而很容易被挫败的技术。

当然,识别和解决这些漏洞只是难题的一小部分。 为了长期有效地打击日益增长的网络犯罪威胁,组织需要积极采用一系列最佳实践。

这些可以包括从定期进行内部安全审计和进行简洁的运营改进到定期对员工进行网络钓鱼培训和投资恢复流程以确保在发生攻击时快速反弹。

要获得全面发展强大防御的支持或指导,值得咨询专门从事 AD 安全的专业人士,以了解您需要进行的核心更改。 Active Directory 攻击不再是是否发生的问题,而是何时发生的问题。 如果公司解决了他们的关键 AD 漏洞,他们就有了战斗的机会。 如果不是这样,他们将继续坐在鸭子上,准备面对最坏的结果。