Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 博客

订阅

如何保护 Active Directory 抵御勒索软件攻击

勒索软件对各种类型企业的攻击无所不用其极,而 Active Directory 仍是最常见的攻击目标。通过修复这些关键的 AD 和群组策略错误配置可以阻止特权提升。

勒索软件现已成为全球各类企业的一个头疼问题。勒索软件现在多种多样。攻击者几乎会穷尽各种手段进入企业,将窃取的数据张贴在互联网上,迫使受害者支付赎金。在大多数情况下(请参见 SolarWinds 和 XingLocker),Active Directory (AD) 就是他们的攻击目标之一,因为攻击者可以在得到域特权账号后会扩散勒索范围。当然,企业也可以采用一些方法帮助保障 Active Directory 的安全,防止勒索软件得手。

Active Directory 的各个部分可以得到安全保护,这会增加企业的整体安全性,同时降低了风险。具体而言,下列有关 AD 的配置需要被修复:

  • 需要修复用户属性的错误配置
  • 需要修复群组的错误配置
  • 需要清除特权群组
  • 需要有正确的 AD 流程配置(例如 SDProp)
  • 需要保障服务主体名称 (SPN) 的安全(如图1 所示)
  • 信任关系正确且得到安全保护

  • 需要清理用户的 SidHistory 属性

如何保护 Active Directory 抵御勒索软件攻击

图 1. 具有服务主体名称 (SPN) 的用户帐户

此外,保护 AD 本身和群组策略可确保攻击者无法利用错误配置和特权提升可以达到的部分。下面说明如何做:

  • 需要验证和保护 AD 信任安全(如图 2 所示)

  • 需要清除 AD 代理
  • 需要清除群组策略代理
  • 需要保护群组策略结构组件的安全
  • 需要启用群组策略对象部署的安全设置


如何保护 Active Directory 抵御勒索软件攻击

图 2. 合并与并购案可能会让信任关系变得无人管理;此外,必需信任关系也必须受到保护。

最后,攻击者希望获取特权。在获得特权后,他们想建立攻击路径。因此,能够检测这些类型的 AD 攻击就变得很重要。下面是 AD 管理员和安全专业人员要阻断攻击路径时能够采取的操作:

  • 确保特权群组成员受到监控

  • 检测 DCShadow 和 DCSync 攻击

  • 黄金票据攻击(如图 3 所示)

  • 检测横向移动攻击
  • 检测危险的 SIDHistory 和 PrimaryGroupID 设置


如何保护 Active Directory 抵御勒索软件攻击

图 3. Tenable.ad 可以实时检测针对 Active Directory 的先进攻击,而无需 Agent 或特权。

我们提供了可持续、自动分析和检测 AD 安全和攻击路径的技术。要了解更多有关 Tenable.ad 如何提供帮助的信息,欢迎观看此网络研讨会:全新推出 Tenable.ad — 保障 Active Directory 的安全并阻断攻击路径

了解详情

相关文章

您是否易受最新漏洞利用的攻击?

输入您的电子邮件以在收件箱中接收最新的 Cyber Exposure 警报。

选择 Tenable.io

免费试用 30 天

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即注册。

立即购买 Tenable.io

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

65 项资产

选择您的订阅选项:

立即购买

免费试用 Nessus Professional

免费试用 7 天

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买 Nessus Professional

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买多年期许可,即享优惠价格添加高级支持功能,获取一年 365 天、一天 24 小时的电话、社区和聊天支持。完整介绍请见此处。

试用 Tenable.io Web Application Scanning

免费试用 30 天

完整享有专为现代化应用程序而设、属于 Tenable.io 平台组成部分的最新 Web 应用程序扫描功能。可安全扫描全部在线资产组合的漏洞,具有高度准确性,而且无需繁重的手动操作或中断关键的 Web 应用程序。 立即注册。

购买 Tenable.io Web Application Scanning

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

5 个 FQDN

$3,578

立即购买

试用 Tenable.io Container Security

免费试用 30 天

完整获得已集成至漏洞管理平台之唯一容器安全产品的功能。监控容器映像中的漏洞、恶意软件和策略违规。与持续集成和持续部署 (CI/CD) 系统进行整合,以支持 DevOps 实践、增强安全性并支持企业政策合规。

购买 Tenable.io Container Security

Tenable.io Container Security 经由与构建流程的集成,可供全面了解容器映像的安全性,包括漏洞、恶意软件和策略违规,借以无缝且安全地启用 DevOps 流程。

获取 Tenable.sc 演示

请将您的联系方式填写在下方表格中,我们的销售代表很快与您联系安排演示。您也可以写下简短评论(不得超过 255 个字符)。请注意,带星号 (*) 的字段为必填项。

试用 Tenable Lumin

免费试用 30 天

通过 Tenable Lumin 直观呈现及探索 Cyber Exposure,长期追踪风险降低状况,并比照同行业者进行基准度量。

购买 Tenable Lumin

联系销售代表,了解 Lumin 如何帮助获取整个企业的洞见并管理网络安全风险。

申请演示 Tenable.ot

获得符合需求的运营技术安全性。
降低避之不及的风险。

Tenable.ad

持续检测并响应 Active Directory 攻击事件。无需代理。无需权限账号。本地私有化或云端部署。