译者 | 晶颜
审校 | 重楼
活动目录(Active Directory,AD)对于网络安全防护的重要性不言而喻。一旦恶意行为者渗透到公司的活动目录中,他们就可以提升自己的权限,横向移动网络并获取对敏感数据和系统的访问权限。
好在有很多方法可以强化活动目录安全性。在这篇文章中,我们将介绍7条防止攻击者进入活动目录的最佳实践,以帮助组织降低代价高昂的违规风险。
不过,在此之前,让我们先来详细了解一下活动目录及其用途,以及活动目录安全的重要性及与之相关的一些常见风险。
活动目录概念及用途
活动目录服务是Windows 2000 Server最重要的新功能之一,它可将网络中各种对象组合起来进行管理,方便了网络对象的查找,加强了网络的安全性,并有利于用户对网络的管理。
活动目录是一种目录服务,它存储有关网络对象(例如用户、组、计算机、共享资源、打印机和联系人)的信息,并使管理员和用户可以方便的查找和使用这些信息。通过活动目录,用户可以对用户与计算机、域、信任关系,以及站点与服务进行管理。
简单的说,可以把活动目录理解成一个动态可扩展的,专门为了查询、浏览、搜索优化的特殊数据库。它允许管理员执行安全策略、设置密码策略以及控制对敏感系统和数据的访问。举个例子,如果您想要检查电子邮件或通过公司基于Windows的网络访问互联网,那么AD就是允许您连接到这些资源的所在。此外,它还简化了单点登录(SSO)身份验证过程。
活动目录安全的重要性
如上所述,如果恶意行为者能够破坏活动目录,那么他们就能轻松获得对敏感数据的访问权限,或者做一些更糟糕的事情。以下是活动目录环境成为攻击者主要目标的几个原因:
- 集中式控制。活动目录是控制网络资源(包括用户帐户和服务器)的中心点。一旦进入活动目录,攻击者就可以控制整个网络,并可能危及连接到它的其他资源。
- 凭据盗窃。攻击者可以窃取存储在活动目录中的用户名和密码。然后,他们就可以使用这些凭据访问公司内的其他系统、应用程序和数据。
- 特权升级。活动目录存储有关用户角色、权限和组成员关系的信息。因此,如果攻击者可以升级他们在活动目录中的权限,他们就可以访问其他系统或管理帐户。这将允许他们在网络内部进行横向移动,扩大他们的立足点。
- 持久性。一旦攻击者进入活动目录,他们就可以在网络中建立持久性。他们可以设置后门访问,添加流氓用户账户或操纵安全政策,这些举措都旨在让他们更容易逃避检测。即便他们被发现,安全团队也很难从网络中将其移除,因为他们已经创建了多个其他入口点。
常见的活动目录安全风险
总的来说,活动目录最关键的安全风险主要有两个:未经授权访问帐户和系统以及窃取用户名和密码等凭据。当然,后者是获得未经授权访问的重要策略。
不过,如果组织想要提高活动目录安全性,还必须着手解决以下常见风险:
- 密码策略不足。强密码对于防止数据泄露和丢失至关重要。如果您的密码实践和策略不足,可以肯定的是,攻击者将充分利用这些弱点。
- 缺乏多因素认证(MFA)。没有MFA,一个泄露的密码将为攻击者提供未经授权访问的快速路径。启用MFA时,您就启用了一个额外的身份验证层。使用多因素身份验证来帮助保护特权帐户尤为重要。虽然MFA不是100%安全,但它确实有很大帮助。
- 配置错误。恶意行为者将迅速采取行动,滥用他们可以在您的活动目录中识别的任何错误配置。一些示例包括错误配置的管理员特权、“老旧”帐户或没有密码过期策略的帐户,以及隐藏的安全标识符(SID)。
- 遗留系统。遗留系统可能依赖于过时版本的活动目录,攻击者将寻求利用任何已知的漏洞。此外,重要的是要了解活动目录环境会随着时间的推移而积累身份数据。虽然其中一些信息可能仍然相关,但大部分信息可能已经无关紧要了。在这两种情况下,这些信息可能都没有得到应有的管理。
- 内部威胁。怀有恶意的员工或其他内部人员可能会滥用对您的活动目录的合法访问权限。他们可能试图窃取高价值的数据(如知识产权和财务数据),破坏系统或以其他方式对业务造成损害。
活动目录安全优秀实践
活动目录提供安全特性,如访问控制列表(ACL)、加密和审计功能,以保护敏感数据和资源。这些都是很好的特性,但是,全面和持续的活动目录安全涉及许多其他步骤和策略。
组织的业务环境是复杂的,并且一直在变化,活动目录环境也是如此。针对活动目录的威胁也在不断发展。考虑到所有这些,下面介绍7条活动目录安全最佳实践,以帮助组织降低代价高昂的违规风险。
1. 高度防护域管理员帐户
攻击者急于破坏与活动目录关联的域管理员帐户,这是因为这些活动目录用户对整个AD“林”(forest,服务目录中一个或多个域树的集合)域具有很高的管理控制权限和权限。
保护域管理帐户的一个技巧是将它们从默认的“管理员”重命名为更有创意(并且更难猜测)的名称。此外,实现强大的密码策略和使用助记词也都会有所帮助。另一个好的实践是要求MFA进行身份验证。
2. 限制使用高度权限访问活动目录
授权人员应该是在活动目录中具有管理访问权限的唯一用户。而那些拥有域管理员权限的人不应该使用这些帐户进行日常任务。相反地,他们应该使用单独的、权限较低的帐户进行日常或常见的用户活动。
限制活动目录访问的相关措施包括:
- 实现最低权限原则(PoLP),只授予用户执行其工作所需的权限,而不授予其他权限;
- 使用基于角色的访问控制(RBAC)来限制用户对特定任务或系统的访问;
- 定期审核管理帐户。
使用已锁定的安全管理工作站(SAW)
SAW是一个高度安全和隔离的环境,用于在关键系统和服务(如活动目录)中执行管理任务。管理员必须来自SAW,才能执行任何管理任务或连接到任何其他受管理的服务器或网络。“锁定”(lock down)SAW的一些方法包括:
- 使用专用硬件或虚拟机(VM)执行管理任务;
- 加固SAW的操作系统,例如,通过禁用不必要的服务和功能;
- 实现严格的访问控制和用户权限管理;
- 将SAW放置在单独的网段中;
- 减少或消除与SAW的直接互联网连接。
4. 禁用本地管理员帐户
本地管理员也拥有很高的权限。但与域管理员不同的是,他们被限制在一台本地机器上。但是,本地管理员可以完全访问本地服务器或客户机上的资源。他们可以使用自己的帐户创建本地用户,分配用户权限和访问控制权限,以及安装软件。
本地管理帐户通常在域中的每台计算机上配置相同的密码。因此,攻击者只需要破坏一个帐户的凭据就可以登录到其他帐户。这样一来,恶意行为者经常在勒索软件攻击中使用未管理的本地管理员凭据也就不足为奇了。
这并不意味着您需要完全禁用本地管理帐户。相反地,您可以设置具有必要权限的个人帐户来完成关键任务。要禁用本地管理帐户,您需要修改活动目录中的组策略设置。然后,您可以对加入域的Windows计算机实施安全策略。
5. 使用托管服务帐户(MSA)
MSA旨在增强在基于Windows的系统上运行的应用程序、服务和任务所使用的服务帐户的安全性和可管理性。每个MSA都与特定的计算机隔离,这意味着它只能由该系统使用。
MSA帐号密码复杂,由活动目录自动管理。活动目录域控制器定期进行密码轮换,降低了业务帐号密码被破解、过期或暴露的风险。通过消除手动密码更改,将人为错误的可能性降至最低。
(注意:MSA适用于Windows Server 2008 R2及更高版本,包括Windows Server 2012、2012 R2、2016、2019和2022。MSA的具体特性和功能可能因所使用的Windows Server版本而异。)
6. 查找并删除未使用的帐户
如果攻击者入侵到活动目录并发现大量未使用的帐户,他们无疑会大肆滥用这些帐户。恶意的内部人员也可以对未使用的帐户进行恶作剧。
创建一个正式的流程来识别活动目录中不活跃的用户和未使用的计算机帐户,可以帮助确保您始终领先于这种风险。作为这个过程的一部分,您需要确定识别不活跃账户的标准,比如一个特定的不活跃期(如90天)。您还应该通知相关的利益相关者,以确保可以安全地删除已识别的帐户。
在开始删除帐户之前,花点时间备份您的活动目录环境也是明智之举。此外,您也可以记录下打算删除的账户,并列出删除它们的原因,这样您就可以拥有很好的记录。
7. 关注补丁管理和漏洞扫描
这个建议可能看起来很寻常,但重点在于,您需要迅速采取行动修补活动目录漏洞,就像您应该保护任何其他关键系统一样。攻击者正专注于利用已知漏洞针对您的活动目录环境。
以AD漏洞(如CVE-2022-26923)为例,微软报告称,经过身份验证的用户可以操纵他们拥有或管理的计算机帐户的属性,并从活动目录证书服务获得证书,这将允许他们提升系统特权。这意味着攻击者只需几步就能从普通用户迅速变成域管理员。
因此,建议组织确保经常扫描并及时修复活动目录漏洞——如果可能的话,一个月一次或更频繁一些。优先处理对业务和用户构成最严重风险的修复,并识别和处理任何过时或不受支持的软件。
原文标题:7 Best Practices for Active Directory Security to Keep Attackers Out ,作者:MATTHEW GARDINER