Active Directory域和保护它的防火墙

sihayap175

从那时起，网络边界已经从我控制下的计算机变为我可以访问的连接设备、云应用程序和互联网。 即使是曾经抵制云中任何内容的公司利益相关者现在也可以理解，一半在云中，一半在本地。

目前，您不能只担心 Active Directory 用户中列 拉脱维亚电话号码列表 出的计算机。 现在，您还必须担心可以创建指向域内应用程序的身份验证链接的应用程序和 API。



最近，安全边界用户名和密码也成为一个问题。 用户名和密码有什么用？ 我可以登录连接到网络资源的云应用程序和资源吗？ Active Directory 身份验证凭据是否也用于通过 SSO 进行身份验证？ 是否可以通过用户名和密码将数据同步到云资源？

为什么您担心的不仅仅是域名
现在想象一下我们的公司与多家顾问和管理服务公司合作。 如果顾问和托管服务提供商可以通过域内的用户名和密码或支持远程访问的管理工具进行网络访问，那么安全边界现在已扩展到安全防御工具。 您不再只需要担心域名。

最近，一个名为 MoVEit 的漏洞表明，即使使用域中最安全的软件，单个软件也可能受到影响。 目前，该机构正在向相关公司发送通知。

Microsoft 最近采访了 Active Directory 安全专家 Sean Mattcalf，他认为安全边界问题不应超出 Active Directory 的范围。 在采访中，Mattcalf 认为，当前网络的问题在于，虽然它已经建立了很长时间，但发生了多次并购，影响了权限和森林级别（一组一个或多个域）不形成连续名称空间的树）。

其他网络的情况可能类似。 这些网络是通过从 Active Directory 迁移而来的，而 Active Directory 是在无需担心当今存在的安全问题的时代建立的。 任何大型企业都肯定有当前 Active Directory 允许过多入侵的帐户或服务。

森林级别设置也会影响安​​全性
值得注意的是，像森林级别设置这样看似微不足道的事情可能会对公司的安全状况产生影响。 例如，如果域功能级别低于Server 2008，则当KrbtgFullPacSignature在7月份的Windows安全更新中生效时，它将受到影响。 您的 Krbgt 帐户需要一个 AES 密钥。 迁移到 Server 2008 或更高的域林级别时，会自动为 krbgt 帐户生成 AES 密钥。 如果您的 Active Directory 部门不记得您何时更改了 krbgt 帐户密码，您应该安排一个脚本条目立即在您的域上运行并定期运行。

Active Directory 评估工具 Purple Knight 最近发布了一份报告，涵盖了评估域安全性时出现的常见问题。 提到了以下关键问题：

公司未能安全地保护其 AD 环境。 这主要是由于缺乏对风险配置的可见性。
大型企业的情况最为糟糕，因为应用遗留、环境复杂。
资源匮乏的小型企业或垂直市场缺乏 AD 方面的内部专业知识，这阻碍了 AD 安全。

Purple Knight 表示，员工超过 5000 人的大公司比小公司面临的风险更大。 63% 的受访者表示其域的 DCSync 权限不是默认权限，53% 的受访者表示更改了 AdminSDHolder 对象权限。 即使在大型企业中，也可能启用对 Active Directory 的匿名访问。

良好的安全性意味着检查网络变化的影响
在大公司中，经常有一些用户拥有与域管理员相同的权限，但他们并不知道。 甚至可能存在几年前从Novell 网络迁移的原始帐户和权限设置已被转移的情况。

具有强大安全性的公司和没有强大安全性的公司之间的区别在于，他们是否有员工在做出更改时花时间首先测试并检查副作用。 例如，无限制委派是许多 Web 应用程序运行所需的设置，甚至是那些仅驻留在组织内的应用程序。

但是，使用此设置可能会使您的域面临过高的风险。 通过委派，计算机或服务器存储 Kerberos 身份验证票证，并且存储的票证用于代表用户执行操作。 这是攻击者的首选设置，因为一旦他们拥有此票证，他们就可以与服务器交互并假设用户的身份，尤其是他们的特权。

这种类型的委派易于设置，并且是以前服务器支持的唯一委派类型。 旧的传统身份验证方法表明，Active Directory 不能被孤立，必须继续寻找采用新技术的方法，同时将风险保持在尽可能低的水平。