Facebook Google Plus Twitter LinkedIn YouTube RSS 菜单 搜索 资源 - 博客资源 - 网络研讨会资源 - 报告资源 - 活动icons_066 icons_067icons_068icons_069icons_070

保障 Active Directory 的安全并阻断攻击路径

tenable-ad

每一条因数据泄露所招致的新闻头条报道背后,都有一个不安全的 Active Directory (AD) 部署环境。AD 已成为攻击者最喜欢的攻击目标,通过利用已知缺陷和错误配置,攻击者就能提升权限并进行横向移动。

不幸的是,由于域的复杂度增加而造成错误配置越积越多,大多数企业便很难确保 Active Directory 的安全性,让安全团队无法在这些缺陷成为影响业务的问题之前将其找出并修复。

Tenable.ad 能让您在 Active Directory 中洞察一切、预测最重要的事以及采取行动解决风险,让攻击者在利用漏洞之前就阻断攻击路径。

申请演示

权限提升

横向移动

攻击者的下一步行动

在攻击发生前查找并修复 Active Directory 漏洞

在您现有的 Active Directory 域中发现漏洞并进行优先级排序,并按照 Tenable.ad 的分步骤修复指南减少风险暴露。

实时检测并响应 Active Directory 攻击

检测 Active Directory 攻击,如 DCShadow、Brute Force、Password Spraying、DCSync 等。Tenable.ad 利用攻击洞察丰富您的 SIEM、SOC 或 SOAR,因此您可以快速响应并阻止攻击。

阻断攻击路径

攻击路径是攻击者通过网络已充分探测过的路线,让攻击者可以从不良的网络环境中成功牟利。通过将基于风险的漏洞管理和 Active Directory 安全性相结合,Tenable 可以阻断攻击路径,确保攻击者难以找到立足点,也无法采取下一步行动。

初始立足点

利用网络钓鱼或漏洞建立

攻击路径

提升

获取特权

回避

隐藏取证分析足迹

建立

安装木马程序以永远立足

泄露

泄露数据或绑架目标以便勒索

探索

在目标环境中横向移动

“Tenable.ad 解决方案让我们对 Active Directory 的安全问题高枕无忧,因此我们就能专注于开展新业务。” Vinci Energies 的 CIO Dominique Tessaro
制药业龙头企业 Sanofi 如何成功保护其全球 Active Directory 基础设施

制药业龙头企业 Sanofi 如何成功保护其全球 Active Directory 基础设施

阅读案例研究
Vinci Energies 如何在其日益发展变化的 Active Directory 基础设施上实现强大的安全性

Vinci Energies 如何在其日益发展变化的 Active Directory 基础设施上实现强大的安全性

阅读案例研究
Lagardère 的小型实体如何以有限的资源保护其 Active Directory 基础设施

Lagardère 的小型实体如何以有限的资源保护其 Active Directory 基础设施

阅读案例研究

保障 Active Directory 的安全

  • 发现影响 Active Directory 的底层问题
  • 识别危险的信任关系
  • 掌握 AD 中的每一个更改
  • 将 AD 更改和恶意操作相关联
  • 分析攻击的深度详细信息
  • 直接从事件详细信息中探索 MITRE ATT&CK 说明
观看网络研讨会

持续检测并预防 Active Directory 攻击

无代理,无特权。无延迟

无代理,无特权。无延迟

在无代理和特权的情况下预防和检测复杂的 Active Directory 攻击。

涵盖云

涵盖云

实时检查 Azure Active Directory Domain Services、AWS Directory Service 或 Google Managed Service for Active Directory 的安全性。

在任何地方部署

在任何地方部署

Tenable.ad 灵活提供两种架构设计。本地部署可将您的数据保留在现场并置于您的控制之下。SaaS 可让您利用云。

常见问题

Tenable.ad 的主要功能是什么?
利用 Tenable.ad,您可以在攻击者利用 Active Directory 中的弱点之前找到并修复这些弱点,然后对攻击进行实时检测和响应。Tenable.ad 的主要功能有
  • 发现 Active Directory 配置内任何隐藏的弱点
  • 发现威胁 AD 安全的底层问题
  • 用简单的术语分析每个错误配置
  • 针对每个问题获得建议的修复方法
  • 创建自定义仪表盘来管理 AD 安全,从而降低风险
  • 发现危险的信任关系
  • 掌握 AD 中的每一个更改
  • 发现 AD 中每个域的主要攻击
  • 通过准确的攻击时间线可视化每个威胁
  • 在单一视图中整合攻击分布情况
  • 将 AD 更改和恶意操作相关联
  • 深入分析 AD 攻击的详细信息
  • 直接从检测到的事件中探索 MITRE ATT&CK ® 说明
Tenable.ad 会检测哪些 Active Directory 攻击和技术?
Tenable.ad 可检测许多在网络攻击中使用的技术,攻击者使用这些技术可以获取提升特权并支持横向移动,包括 DCShadow、暴力破解、Password Spraying、DCSync、Golden Ticket 等。
Tenable.ad 可识别哪些针对 Active Directory 的特权攻击载体?
Tenable.ad 提供了一个丰富的已知攻击载体库,攻击者可使用这些载体获取特权。这些载体包括:

攻击载体

说明

已知攻击工具

Mitre 攻击阵列

运行 Kerberos 服务的特权帐户

使用可暴力破解的 Kerberos 服务主体名称的高特权帐户

Kerberom

特权提升、横向移动、持久性

危险的 Kerberos 委派

检查没有授权危险的委派(未约束、协议转换等)

Nishang

特权提升、横向移动、持久性

在 Active Directory PKI 中使用弱加密算法

部署在内部 Active Directory PKI 上的根证书不得使用弱密码算法

ANSSI-ADCP

持续性、特权提升、横向移动

针对关键对象的危险访问权限委派

发现了一些允许非法用户控制关键对象的访问权限

BloodHound

泄露、横向移动、命令和控制、凭据访问、特权提升

密码策略中有多个问题

在某些特定帐户上,当前密码策略不足,无法确保提供可靠的凭据保护

Patator

防御回避、横向移动、凭据访问、特权提升

危险的 RODC 管理帐户

负责只读域控制器的管理组包含异常帐户

Impacket

凭据访问、防御回避、特权提升

已链接到关键对象的敏感 GPO

由非管理帐户管理的某些 GPO 链接到敏感的 Active Directory 对象(例如 KDC 帐户、域控制器、管理组等)。

ANSSI-ADCP

命令和控制、凭据访问、持久性、特权提升

已允许连接到域控制器之外的其他系统的管理帐户

部署在被监控基础设施上的安全策略不会阻止管理帐户连接到 DC 以外的资源,从而造成敏感的凭据暴露

CrackMapExec

防御回避、凭据访问

危险的信任关系

错误配置的信任关系属性会降低目录基础设施的安全性

Kekeo

横向移动、凭据访问、特权提升、防御回避

GPO 中的可逆密码

验证 GPO 没有包含以可逆格式存储的密码

SMB 密码爬虫

凭据访问、特权提升

运行过时操作系统的计算机

供应商不再支持过时的系统,这大大增加了基础设施的脆弱性

Metasploit

横向移动、命令和控制

使用与 Windows 2000 之前的版本兼容的访问控制的帐户

Windows 2000 之前的兼容访问组的帐户成员可以绕过特定的安全措施

Impacket

横向移动、 防御回避

本地管理帐户管理

确保使用 LAPS 集中和安全管理本地管理帐户

CrackMapExec

防御回避、凭据访问、横向移动

危险的匿名用户配置

在被监控的 Active Directory 基础设施上激活匿名访问,造成敏感数据泄露

Impacket

泄露

异常的 RODC 过滤属性

在某些只读域控制器上应用的过滤策略可能导致敏感信息进行缓存,从而造成特权升级

Mimikatz (DCShadow)

特权提升,防御回避

缺乏对横向移动攻击场景的限制

尚未在被监控的 Active Directory 基础设施上激活横向移动限制,从而使攻击者能够以相同的特权级别访问一系列计算机

CrackMapExec

横向移动

DC 共享中存储的明文密码

DC 共享上的某些文件(可被任何经过身份验证的用户访问)可能包含明文密码,从而造成特权提升

SMBSpider

凭据访问、特权提升、持久性

登录脚本上的危险访问控制权限

计算机或用户登录期间的某些脚本具有危险的访问权限,从而造成特权提升

Metasploit

横向移动、特权提升、持久性

在 GPO 中使用了危险参数

GPO 设置了一些危险参数(如受限组、LM 哈希计算、NTLM 身份验证级别、敏感参数等),从而造成安全漏洞

Responder

发现、凭据访问、执行、持久性、特权提升、防御回避

在用户帐户控制配置中定义的危险参数

某些用户帐户的“用户帐户控制”属性定义了危险的参数(如 PASSWD_NOTREQD 或PARTIAL_SECRETS_ACCOUNT),这会危害该帐户的安全性

Mimikatz (LSADump)

持续性、特权提升、防御回避

缺乏对安全补丁的应用

在 Active Directory 中注册的某个服务器最近未应用安全更新

Metasploit

命令和控制权限提升、防御回避

针对用户帐户进行暴力破解尝试

某些用户帐户已作为暴力破解的目标

Patator

凭据访问

用户帐户的 Kerberos 配置

某些帐户使用弱 Kerberos 配置

Mimikatz (Silver Ticket)

凭据访问、特权提升

DC 上共享和存储的文件异常

某些域控制器用于承载不必要的文件或网络共享

SMBSpider

发现、泄露

Tenable.ad 可识别哪些针对 Active Directory 的后门技术?
Tenable.ad 提供丰富的已知后门技术库,攻击者可利用这些技术来获得持久性。这些技术包括:

后门技术

说明

已知攻击工具

Mitre 攻击阵列

确保 SDProp 持久性

控制 adminSDHolder 对象保持在无害状态

Mimikatz (Golden Ticket)

特权提升,持久性

确保 SDProp 持久性

验证用户的主要组尚未更改

BloodHound

特权提升,持久性

验证根域对象权限

确保在根域对象上设置的权限是正确的

BloodHound

特权提升,持久性

验证敏感的 GPO 对象和文件权限

确保在链接到敏感容器(例如域控制器 OU)的 GPO 对象和文件上设置的权限是正确的

BloodHound

执行、特权提升、持久性

RODC KDC 帐户的危险访问权限

某些只读域控制器上使用的 KDC 帐户可以由非法用户帐户控制,从而造成凭据泄漏

Mimikatz (DCSync)

特权提升,持久性

映射到用户帐户的敏感证书

某些 X509 证书存储在 altSecurityIdentities 用户帐户属性中,从而允许证书的私钥所有者以此用户身份进行身份验证

命令和控制、凭据访问、特权提升、持久性

在常规帐户上设置了危险的 Krbtgt SPN

KDC 的服务主体名称存在于某些常规用户帐户上,从而造成 Kerberos 票证伪造

Mimikatz (Golden Ticket)

特权提升,持久性

KDC 密码密码上次更改

KDC 帐户密码必须定期更改

Mimikatz (Golden Ticket)

凭据访问、特权提升、持久性

帐户具有危险的 SID 历史记录属性

检查 SID 历史记录属性中使用特权 SID 的用户或计算机

DeathStar

特权提升,持久性

恶意域控制器

确保仅将合法的域控制器服务器注册到 Active Directory 基础设施中

Mimikatz (DCShadow)

执行、防御回避、特权提升、持久性

非法的 Bitlocker 密钥访问控制

除管理员和链接计算机外,其他人也可以访问 Active Directory 中存储的某些 Bitlocker 恢复密钥

ANSSI-ADCP

凭据访问、特权提升、持久性

架构安全描述符中存在异常条目

Active Directory 架构已被修改,导致新的标准访问权限或对象可能危及被监控的基础设施

BloodHound

特权提升,持久性

DSRM 帐户已激活

Active Directory 恢复帐户已被激活,从而造成凭据可能被窃取

Mimikatz (LSADump)

凭据访问、泄露、防御回避、特权提升、持久性

RODC 上存在危险的缓存策略

在某些只读域控制器上配置的缓存策略允许全局管理帐户通过 RODC 管理帐户缓存和检索其凭据。

Mimikatz (DCSync)

特权提升,持久性

在 DC 上应用了 GPO 部署的证书

某些 GPO 用于在域控制器上部署证书,从而造成证书的私钥所有者可破坏这些服务器

BloodHound

特权提升,持久性

使用智能卡时不更新身份验证哈希

某些使用智能卡身份验证的用户帐户没有经常性地更新其凭据哈希

Mimikatz (LSADump)

持久性

用户帐户的可逆密码

验证没有参数以可逆格式存储密码

Mimikatz (DC Sync)

凭据访问

在容器上使用明确的拒绝访问

某些 Active Directory 容器或 OU 定义了明确的拒绝访问,从而造成隐藏潜在的后门

BloodHound

防御回避、持久性

Tenable.ad 如何审查 Active Directory?
Tenable.ad 是市面上唯一一款不需要在域控制器和端点上进行部署的解决方案。此外,Tenable.ad 无需用户级特权才能操作。这种独特的架构使安全团队可以快速审查 Active Directory 的配置,而不会遇到复杂的部署问题。
Tenable.ad 是一款适用于 AD 的时间点安全审查工具吗?

AD 错误配置随时都会发生,因此时间点审核仅在开始并专注于错误配置几分钟后就被弃用,而不包括危害指标。

另一方面,Tenable.ad 是一个安全平台,可以持续扫描 AD 以发现新的弱点和攻击 - 实时向用户发出问题警报。

Tenable.ad 能检测到 Golden Ticket 攻击吗?
可以,Golden Ticket 是 Tenable.ad 可以用来检测并帮助预防的许多攻击技术之一。利用数百个并行运行的安全检查和更正,Tenable.ad 针对 AD 提供最为宽广的安全范围。
Tenable.ad 可以与我的 SIEM/SOAR/工单系统等集成吗?

AD 安全是您安全拼图非常重要的一块,Tenable.ad 可以无缝融入您的安全生态系统。

我们的 Syslog 集成可确保所有 SIEM 和大多数工单系统可以与 Tenable.ad 立即集成。我们还为 QRadar、Splunk 和 Phantom 提供了原生应用程序。

Tenable.ad 是一款基于云的解决方案吗?
我们的解决方案同时支持基于云的部署和本地部署。这两种部署方法在功能上没有差别。
Tenable.ad 是否可以扩展到多组织和多林 Active Directory 部署?
已经有一些规模最大、最敏感的 AD 受到 Tenable.ad 的保护。我们的平台已打造成企业级解决方案,其无代理、AD 原生架构使其能够支持复杂的、多组织、多林 Active Directory 部署。
如何获得 Tenable.ad 许可?
Tenable.ad 按启用的用户帐户授予许可。
Tenable.ad 是否需要对 Active Directory 进行特权访问才能找到弱点并响应攻击?
Tenable.ad 仅需要一个标准的用户帐户就可以审核、配置和识别针对 Active Directory 的攻击。
我如何购买 Tenable.ad?
您可以通过与当地的 Tenable 认证合作伙伴合作或与您的 Tenable 代表联系来购买 Tenable.ad。
可以对 Tenable.ad 进行评估吗?
可以对 Tenable.ad 进行评估,请填写评估请求表立即开始评估。

相关资源

国王的赎金:如何阻止勒索软件通过 AD 扩散

对企业的全球威胁:AD 攻击的影响

保障 Active Directory 的安全:如何主动检测攻击

开始使用 TENABLE.AD


“通过在全球范围内部署 Tenable.ad,我们为利益相关者提供了企业网络安全风险急需的可见性。” Jean-Yves Poichotte 的全球网络安全主管 Sanofi
免费试用 立即购买

选择 Tenable.io

免费试用 30 天

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即注册。

立即购买 Tenable.io

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

65 项资产

选择您的订阅选项:

立即购买
免费试用 立即购买

免费试用 Nessus Professional

免费试用 7 天

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买 Nessus Professional

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买多年期许可,即享优惠价格添加高级支持功能,获取一年 365 天、一天 24 小时的电话、社区和聊天支持。完整介绍请见此处。

免费试用 立即购买

试用 Tenable.io Web Application Scanning

免费试用 30 天

完整享有专为现代化应用程序而设、属于 Tenable.io 平台组成部分的最新 Web 应用程序扫描功能。可安全扫描全部在线资产组合的漏洞,具有高度准确性,而且无需繁重的手动操作或中断关键的 Web 应用程序。 立即注册。

购买 Tenable.io Web Application Scanning

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

5 个 FQDN

$3,578

立即购买

免费试用 联系销售人员

试用 Tenable.io Container Security

免费试用 30 天

完整获得已集成至漏洞管理平台之唯一容器安全产品的功能。监控容器映像中的漏洞、恶意软件和策略违规。与持续集成和持续部署 (CI/CD) 系统进行整合,以支持 DevOps 实践、增强安全性并支持企业政策合规。

购买 Tenable.io Container Security

Tenable.io Container Security 经由与构建流程的集成,可供全面了解容器映像的安全性,包括漏洞、恶意软件和策略违规,借以无缝且安全地启用 DevOps 流程。

获取演示

获取 Tenable.sc 演示

请将您的联系方式填写在下方表格中,我们的销售代表很快与您联系安排演示。您也可以写下简短评论(不得超过 255 个字符)。请注意,带星号 (*) 的字段为必填项。

免费试用 联系销售人员

试用 Tenable Lumin

免费试用 30 天

通过 Tenable Lumin 直观呈现及探索 Cyber Exposure,长期追踪风险降低状况,并比照同行业者进行基准度量。

购买 Tenable Lumin

联系销售代表,了解 Lumin 如何帮助获取整个企业的洞见并管理网络安全风险。

申请演示

申请演示 Tenable.ot

获得符合需求的运营技术安全性。
降低避之不及的风险。

申请演示

Tenable.ad

持续检测并响应 Active Directory 攻击事件。无需代理。无需权限账号。本地私有化或云端部署。