如何防止 AD 域环境遭受恶意攻击?
前言
上次介绍了作为一个 AD 管理人员或者是 AD 技术支持人员,应该保持关注的几个工作内容,包括补丁更新、密码重置、权限梳理和组策略防护等(关注公众号嘉为蓝鲸查看),做好这些事情,能够让我们的 AD 域环境,处于一个相对较为安全的环境。
当然,时代是在变化的,我们的运维理念也应该随着时代的发展,进行持续的更新迭代,才能做好未来的运维工作。
任何 IT 组织或者企业,都很难避免不受到来自外界的攻击。攻击的途径、方式各有不同,但是黑客都希望通过一次成功的攻击,侵入到企业的内部环境中,实现他们的利益和目的。因此我们需要通过适当的策略、流程和管控措施等来保护组织内的关键信息或者关键组件。即使在未来的某一天受到攻击和入侵,也能够放置入侵范围的扩大,最大程度降低入侵的影响。
在我们决定采取任何防护措施之前,我们不得不了解攻击入侵的常用途径,才能更好的根据企业的实际情况,针对性的采取相关的防护措施。
攻击常用途径分析
在企业日常运转过程中,往往会遭遇如下的情况,进而给了别人可趁之机:
系统漏洞
绝大部分企业遭受的攻击,都是漏洞攻击。漏洞的入侵方式,在网上都是公开的,黑客非常容易利用起来,并且制作成检测工具进行全网扫描,一旦发现某一个 ip 存在这样子的漏洞,就会立即利用漏洞进行入侵。因此,没有进行及时的漏洞修复,包括操作系统级别的漏洞、防病毒软件/反垃圾软件没有及时更新规则库等,都会导致企业非常容易遭受入侵和破坏。
产品超过生命周期
生命周期管理,对于很多企业来说往往是非常困难的。因为每一个版本的更新迭代,都代表着大量的人力物力财力和时间的投入,很多企业都不愿意进行投入。且缺乏有效的管理手段和方法,很难形成企业资产生命周期管理方法论。
长期无序且混乱的资产管理,导致很多的产品,包括操作系统、中间件、应用程序等,都是超过了其生命周期,无法获得及时的补丁支持、漏洞修复和技术支持。运维的技术风险和安全风险随着时间的推迟,逐渐加大。
系统或者应用程序配置错误
系统或者应用程序配置的异常,也是导致企业遭受攻击的因素之一。比如密码在登录过程中没有加密,传输过程中都是明文,配置信息泄露或者发布到公网等,都有可能带来各种各样的安全风险。
应用程序安全防护做的太差
我们一直在跟很多企业进行安全加固方面的工作。通过我们的安全加固措施,能够杜绝绝大部分的入侵。其他应用程序也是如此,如果这些应用程序在开发过程中,仅仅专注于功能层面的实现,而没有进行一定的安全防护工作,那么将是非常危险的一件事件。漏洞会在代码层面暴露出来,很容易遭受攻击。
凭据被盗用
凭据被盗用,就好比自己家大门的钥匙丢了。入侵的人能够获得非常大的权限,进而进行肆意的破坏。如果你有下面这些行为,则需要引起高度的重视:
1. 用高权限的账号,登录到了安全级别较低的计算机,比如公共计算机等;
2. 用高权限的账号,进行互联网访问,账号密码泄露的风险非常高;
3. 本地特权账号密码一致,比如所有本地 administrator 的密码都是一样的,一旦出现密码被攻破的事件,将会是毁灭的打击。安全跟效率,永远都是一个需要调和的矛盾点;
4. 特权组人员过多,太多账号具有高权限,极大的增加的密码泄露的风险。企业在进行权限授予的时候,一定要充分评估账号的权限使用场景和范围,使用最小化的权限,并且还需要关注权限的时间段,及时的进行权限回收;
5. 特权组使用范围过大
很多企业管理员,为了日常运维的便利,往往会将一个特权组(比如 administrator)用在很多地方,这种其实是不合理的。每一个权限的授予,都要严格按照最小化的需求来实现。每一个应用程序,也只能给与最小的权限进行管理。
特权账号被滥用
跟上述的情况类似,需要严格控制特权账号的使用场景。因为特权账号、服务器、基础组件都是主要的攻击目标,是我们安全防护的重点。
我们首先应该尽量避免密码永不过期的特权账号。账号都应该按照企业的账号管理规定,定期进行重置,才能保障账号的安全性。如果是特殊的应用程序或者进程必须要使用密码永不过期的账号,则需要将密码设置为尽可能的复杂,且好好的进行存储。
其次,我们不应该对于普通用户账号进行授权。用户账号跟管理账号,一定要严格区别。因为我们日常登录电脑等场景,都是不需要使用特权账号的。
对于其他第三方平台,应该严格控制应用账号的权限,尽量不要给与过大的权限。才能确保即使第三方平台遭受攻击,密码泄露之后,也不能入侵到我们的核心服务器。
嘉为 AD 运维服务
针对企业 AD 运维,嘉为团队提供全面一站式的技术服务,包括:AD 及基础架构实施、AD 域升级与架构优化、AD 安全加固、AD HW 服务等,助企业打造坚如磐石的 IT 系统,为企业信息系统保驾护航。
除此之外,嘉为还提供规划咨询服务、系统建设服务、二线专家服务、系统优化服务、IT 运维整体外包服务、人员派驻等服务,企业可以根据需求自由组合选择使用的服务内容和范围。
WeOps 综合服务解决方案
以 WeOps 一体化运维平台为基础,深度结合嘉为 AD 运维服务,全方位提升 AD 活动目录的安全级别,为企业 AD 域保驾护航。
事先预防
WeOps 综合专家服务将从以下两方面快速提升 AD 域的防御能力:
1) 提供 AD 域深度检查及诊断,通过 WeOps 巡检工具与检查脚本、应用/业务配置与关联拓扑、监控预警、日志,获取包括:服务器配置、系统日志、应用程序日志、系统安全配置、权限配置、运行状态、性能数据、告警等信息,为 AD 活动目录提供全方位检查与诊断服务,发现潜在隐患,提前采取应对措施,降低故障发生概率;
AD 域控健康检查报告(示例)
2) 建立 AD 域系统补丁更新机制,基于 WeOps 一键批量执行补丁安装功能,高效完成微软月度汇总补丁更新,并在此基础上,结合 20+年运维经验及企业自身的情况,帮助企业快速制定相关的补丁更新流程。
AD 域控补丁安装结果(示例)
事中检测
WeOps 综合专家服务将从以下两方面提升 AD 域运行状态的监测能力:
1) 全方位完善 AD 活动目录的监控指标,包括 AD 域系统关键性能指标、AD 域服务组件、AD 域组策略、AD 域安全组等,多维度感知到各项关键核心指标运行状态的变化,及时发现异常;
AD 活动目录的监控指标(示例)
2) 集中管理 AD 域的安全日志,通过 WeOps 强大的日志检索功能,极大降低日志有效信息的获取难度,并结合企业自身的情况以及运维经验实践,协助对多种关键日志进行告警通知,如异常 IP 登录告警等,加快问题的发现。
AD 异常日志监控告警(示例)
WeOps 综合服务为企业带来的额外价值是逐步将专家经验转化成产品能力,包括 AD 域深度巡检指标与脚本、AD 域补丁更新流程、AD 域深度监控指标与插件、AD 域日志监测方法等,极大降低后期 AD 域的安全运维工作。
如果您的企业对 WeOps 综合解决方案以及嘉为 AD 运维服务感兴趣,欢迎联系我们,我们将为您提供专业的产品试用和产品演示等服务。
后续
当然,企业安全防护是一个持续性的过程,也有一些方法论可以利用起来,限于篇幅我们将在后续进行更多深入分享。想了解如何做好企业安全防护,让企业 IT 环境更加的安全,欢迎持续关注嘉为蓝鲸!
如果您也有相关建设需求,欢迎关注公众号:嘉为蓝鲸,联系我们~
版权声明: 本文为 InfoQ 作者【嘉为蓝鲸】的原创文章。
原文链接:【http://xie.infoq.cn/article/79ca60313841629eb0c4ac512】。文章转载请联系作者。
评论