网络攻防学习笔记 Day135
上网行为管理产品的主要作用总结如下:
(1)符合法律法规要求:禁止访问违法网站、禁止非法言论、阻止非法网站。
(2)防止企业信息泄露:阻止单位的敏感信息通过邮件、论坛、网盘、社交软件等方式传播泄露。
(3)符合企业安全管理规定:不合规的计算机禁止上网,禁止私接无线 AP 等。
(4)防止恶意网站及软件:防止恶意网站的访问及恶意软件的传播。
(5)解决工作效率低下问题:防止员工在工作期间沉溺网络游戏、无节制聊天、频繁网络购物、炒股等行为;
(6)避免带宽资源浪费:限制 P2P 下载及大文件传输速度、网络直播视频等。
在工作组环境中,每台计算机都有自己的“本机安全账户数据库”,称为 SAM 数据库。SAM 数据库是干什么用的呢?平时我们登录计算机时,输入账户和密码,计算机就会去 SAM 数据库验证,如果输入的账户存在 SAM 数据库中,则 SAM 数据库会通知系统允许登录。SAM 数据库默认存储在 C:/WINDOWS/system32/config 文件夹中,这便是工作组环境中的登录验证过程。
活动目录必须与 DNS 集成在一起,可基于策略进行管理。可以理解为活动目录是 Windows 网络中的一种目录服务,其存储了整个网络上的资源,方便管理员和用户快速查询。活动目录是由组织单元、域(domain)、域树(tree)、森林(forest)构成的层次结构。组织单元(OU)是活动目录中的一个特殊容器,它可把用户、组、计算机和打印机等对象组织起来。
两个域之间必须创建信任关系(Trust Relationship),才可以访问对方域内的资源。而任何一个新域加入域树后,这个域会自动信任其前一层父域,同时父域也会自动信任这个新子域,并且这些信任关系具备双向传递性(Two-wayTransitive)。
域控防御如下:
(1)严格控制域控制器组策略的设置:由于域控制器共享域的同一个账户数据库,因此必须在所有域控制器上统一设置某些安全设置。
(2)在域 DC.服务器和办公终端安装安全检测软件:定期查杀病毒能够有效防御系统的安全。
(3)域内安装防病毒软件、WAF 等:避免黑客进入域内进行攻击,出现攻击情况能够及时发现预。
(4)重装 DC 预防域控已经被控等问题:出现安全提问时可以重装 DC。
(5)配置 SMB 签名:使用已启用远程直接内存访问(RDMA)的网络适配器。启用服务器消息块(SMB)签名或 SMB 加密后,SMB Direct 与网络适配器的网络性能会显著降低,但可抵御 SMB-Relay 攻击。
(6)关闭域内 WPAD 服务:对抗 LLMNR/NBT Poisoning 攻击。
(7)对域控进行流量梳理和网络访问控制:可以缩小攻击面。
(8)对域账号进行权限梳理,加固高权限账号:检测高权限账号可以用 bloodhound 黑客工具,也可以通过 System Internal Tools 的 ADExplorer 来进行。
(9)域内禁止无限制委派:对抗权限提升,凭证提取。
(10)Windows 和 Exchange 补丁:防止 MS14-068、ExchangeSSRF 等公开漏洞攻击。
(11)根据情况禁用 powershell:攻击者通常喜欢 powershell。
版权声明: 本文为 InfoQ 作者【穿过生命散发芬芳】的原创文章。
原文链接:【http://xie.infoq.cn/article/a0235e489e6914705d79c4751】。文章转载请联系作者。
评论