将企业置于风险之中的五大 Active Directory 错误配置

Tenable 的安全响应团队对攻击者锁定的一些惯用 Active Directory 错误配置进行了复盘，并在帮助网络防御者阻断攻击路径方面提供了一些主动应对措施。 

对于管理企业 IT 网络内的群组和用户而言，Microsoft 的 Active Directory 是得到最广泛采纳的技术之一。 对 Windows 域网络而言，它发挥着中央管理接口的作用，还兼备对所有用户和计算机进行身份验证和授权的用途。 因此，Active Directory 成为了威胁制造者最看重，同时也是最具价值的目标；攻击者能够将其作为部署恶意软件的切入点，新建用户帐户，将新计算机添加到网络之中，并借助其功能性展开横向移动。

一旦攻击者成功入侵企业的 Active Directory，攻击者便可以执行多种恶意操作，如新建管理用户、将新的计算机添加到域、在网络中部署勒索软件、入侵敏感系统、盗取敏感数据等。 只要入侵域中的一个资产，攻击者便能够提升特权，开始在网络中展开横向移动，同时锁定敏感数据或设备。

然而，对于 IT 团队来说，管理 Active Directory 这项工作并不简单且困难重重，就算是安全专业人员，做好 Active Directory 安全保护工作也难度不小。 更何况很多企业并没有对 Active Directory 技术和知识有着深入了解的安全专业人员。 

企业保障 Active Directory 安全所面临的挑战

对于一些常见配置问题，威胁制造者可谓了如指掌，只要他们入侵到企业中，便会立即想尽办法开始牟利。 攻击者获得对 Active Directory 的控制权后，实际上便是得到了一把“万能钥匙”，以此便可以访问连接网络的任意设备或系统。 此外，如果 Active Directory 在企业中还起到身份提供者 (IdP) 的作用，则成功入侵还意味着会影响单点登录 (SSO) 解决方案，让攻击者甚至可以获得更多帐户（配置为用户有权访问）的访问权限。

对绝大多数企业来说，配置问题和常见安全问题是最突出的两大 Active Directory 风险。 企业挑战也会随之而来。 举例来说，许多企业的 IT 管理员负责 Active Directory 部署的管理工作，而安全同行则负责相关安全保障工作。 许多企业的 IT 和安全预算有限，尤其是对于安全专业人士而言，企业往往寄希望于他们可以在多个领域拥有深入见解。 其结果是：在 Active Directory 专业知识和正确实施相关复杂问题面前，往往不得要领，缺乏深入理解。 

我们全新推出的白皮书， 保障 Active Directory 安全： 将企业置于风险之中的五大配置误区，旨在为繁忙的安全和 IT 专业人员提供一种途径，让他们可以从中了解 Active Directory 保护工作的相关要点。 Tenable 的安全响应团队 (SRT) 对漏洞公告展开了深入分析，并向我们的专家研究团队进行了咨询，从而梳理出对 Active Directory 错误配置的见解，而其中更不乏最有可能在攻击中遭到利用的配置问题。 

本白皮书会深入探讨企业会出现此类错误配置的根源、攻击者顺势发动攻击的方式，以及企业可以有哪些应对之道。  

深入了解影响 Active Directory 的两个漏洞

尽管会直接影响 Active Directory 的漏洞还属鲜有，但将漏洞链接在一起，意图提升特权似乎成为了攻击者惯用的手段，并且这些攻击者通常还会利用合法帐户和 Active Directory 的访问权限，试图进一步渗透访问或攻击网络中的敏感系统。 本文会对两个典型漏洞（Zerologon (CVE-2020-1472) 和 ProxyLogon（CVE-2021-26857 等））展开深入分析，并详细介绍这两个漏洞对 Active Directory 会造成何种影响。

下载保障 Active Directory 安全： 将企业置于风险之中的五大配置误区， 企业可以从中了解：

• 攻击者利用 Active Directory 相关漏洞对企业展开攻击的方式

• 将 Active Directory 视为攻击目标的漏洞类型

• 保护企业避免常见 Active Directory 错误配置的最佳实践


改善网络安全机制、形成定期应用补丁的工作周期、制定解决带外补丁的计划及执行定期备份，这些都可以帮助企业在日后出现影响 Active Directory 环境的漏洞时，做好充分准备。 管理员和防御者务必要严阵以待，并持有警觉之心，做好策略实施工作，从而减少风险暴露，保护好核心设施。

了解详情

• 下载白皮书：保障 Active Directory 的安全：将企业置于风险之中的五大配置误区

• 阅读博文：阻断针对 Active Directory 和身份无处不不在的攻击
• 请在此处了解有关 Tenable Research 的更多信息