域控加固技术栈
域控简介
Active Directory (AD) 是微软公司提供的一种目录服务,它允许网络管理员管理和存储关于网络资源的信息,包括用户、计算机、打印机、共享文件夹等。AD 域控制器是 AD 服务的核心组件,负责处理身份验证和授权请求,以及存储和管理域内所有对象的信息。
AD 域控制器主要功能包括:
1. 身份验证
身份验证是AD域控制器最基础也最关键的功能之一。当用户或计算机尝试登录到域时,它们的凭据(如用户名和密码)会被发送到最近的域控制器进行验证。域控制器会检查凭据的有效性,包括密码是否正确以及用户账户是否处于活动状态等,从而决定是否允许登录。
2. 授权
授权是指域控制器控制用户对网络资源(如文件、打印机、服务器等)的访问权限。这通常通过安全组、访问控制列表(ACLs)和组策略来实现。管理员可以创建安全组并将用户添加到这些组中,然后为这些组分配对网络资源的访问权限。这样,用户就只能访问他们被授权访问的资源。
3. 目录服务
目录服务是AD域控制器的核心功能之一,它存储了域内所有对象(如用户、组、计算机、打印机等)的详细信息。这些信息包括对象的名称、属性、关系等,是AD实现身份验证、授权和其他管理功能的基础。通过查询AD目录,管理员和用户可以快速找到所需的信息。
4. 组策略
组策略是一种强大的管理工具,允许管理员定义和应用网络范围内的配置策略。这些策略可以包括安全设置、软件安装、脚本执行、桌面设置等。通过组策略,管理员可以确保网络中的所有计算机和用户都遵循一致的安全和配置标准。组策略对象(GPOs)被链接到AD中的容器(如域、站点或组织单位OU),并自动应用于容器内的所有对象。
5. 复制
复制是AD域控制器之间保持数据一致性的关键机制。当在域中的任何一台域控制器上做出更改(如添加新用户、修改用户密码等)时,这些更改会被复制到域中的其他所有域控制器上。这种复制机制确保了无论用户从哪个域控制器登录,他们都能获得最新的信息。复制还可以提高网络的可靠性和可用性,因为即使某个域控制器发生故障,其他域控制器仍然可以提供服务。
攻击视角
1、域内信息收集
一旦攻击者渗透进入内网,并成功控制了某台域内服务器,他们便会以此为跳板,发起对整个域环境的深入侦察。这包括先从本机入手,搜集基本信息,逐步定位并揭露域控制器的地址,编录域内用户及管理员的详细名单。借助工具如BloodHound、PVEFindADUser、PsLoggedOn等,精确锁定域管理员的身份及位置,以策划最有效的入侵路径直抵域控核心。
2、域内权限提升
在内网横向渗透的过程中,攻击者通过侵入域管理员操作的服务器,利用已知的系统漏洞,设法夺取服务器的最高权限(system权限)。进而,他们寻找并利用域管理账户、敏感进程或身份验证令牌等作为跳板,实现自身权限向域管理员级别的飞跃。尤其是当域控服务器未及时更新安全补丁时,诸如MS14-068、NetLogon漏洞(CVE-2020-1472)、CVE-2021-42278 & CVE-2021-42287、CVE-2022-26963、CVE-2021-1675等高危漏洞,更是成为了攻击者快速提升权限的利器。
3、域内凭证获取
面对缺乏直接域用户凭证的情况,攻击者会采用暴力破解、密码喷射等策略,试图强行获取用户登录信息。一旦控制服务器,他们便能利用LSASS内存读取、DCSync技术或直接解析ntds.dit文件等手段,悄无声息地搜集存储在目标系统上的认证凭证,为后续在域内的自由穿梭奠定基础。
4、域内横向移动
通过成功收集到的域用户凭证,攻击者能够在内网中自如穿梭,通过IPC连接、计划任务(At/Schtasks)、PsExec远程执行、WMI及WMIRM等技术手段,不断拓展攻击边界,实现资产范围的层层突破。过程中,他们还会频繁使用哈希传递、票据传递及密钥传递等高级攻击技巧,确保每一步都能稳扎稳打,直至触及核心目标。
5、域内权限维持
成功占据域控后,为确保长期稳定的控制权,攻击者会部署一系列后门技术和持久化策略。这些手段包括但不限于生成黄金票据与白银票据、利用Skeleton Key实施万能密码攻击、配置DSRM域后门、通过SSP注入或SID History修改等隐秘途径隐藏踪迹。此外,还涉及篡改AdminSDHolder设置、GPO组策略植入后门、DCShadow技术构建影子域控、滥用约束委派机制及ACL权限提升等手段,以全方位巩固其在域环境中的地位。
网络层面
一、账户与权限管理
1、用户账户策略
-
删除不活跃的账户或者强制其定期更改密码
-
取消配置了可逆加密的账户的错误配置,在域控上的用户与计算机功能中直接对账户进行管理。
-
给空密码用户设置密码
-
取消密码永不过期选项
-
不开启DES加密
-
开启kerberos预认证
-
检查各个账号的SIDHistory并对未授权的SIDHistory进行删除。
2、域控账号加固
-
帐号密码策略:制定并强制执行严格的密码策略。
-
最小化权限设置:遵循最小权限原则,减少账户的权限范围。
-
禁用默认账户:如Administrator账户,除非必要且已重命名和设置强密码。
二、域控策略配置
1、组策略配置
1、禁用来宾账户
目的:防止未授权用户通过来宾账户访问系统。
步骤:
-
打开组策略编辑器(gpedit.msc)。
-
导航至“计算机配置” > “Windows设置” > “安全设置” > “本地策略” > “安全选项”。
-
找到“帐户:来宾帐户状态”策略,双击打开。
-
选择“已禁用”,然后点击“确定”以应用更改。
2、限制空密码账户登录
目的:仅允许空密码账户在控制台登录,防止远程登录。
步骤:
-
打开组策略编辑器(gpedit.msc)。
-
导航至“计算机配置” > “Windows设置” > “安全设置” > “本地策略” > “安全选项”。
-
找到“使用空密码的本地用户只允许进行控制台登录”策略,双击打开。
-
选择“已启用”,然后点击“确定”以应用更改。
3、设置会话空闲时间
目的:限制会话空闲时间,提高系统安全性。
步骤(以Windows Server为例):
-
打开组策略编辑器(gpedit.msc)。
-
导航至“计算机配置” > “管理模板” > “Windows组件” > “远程桌面服务” > “远程桌面会话主机” > “会话时间限制”。
-
找到“为处于活动状态但空闲的远程桌面服务会话指定时间限制”策略,双击打开。
-
选择“已启用”,并设置所需的空闲时间限制,然后点击“确定”以应用更改。
4、密码过期提示
目的:设置密码过期前的提示时间,提醒用户及时更改密码。
步骤(以Windows 10为例,适用于企业版、专业版或教育版):
-
打开组策略编辑器(gpedit.msc)。
-
导航至“计算机配置” > “Windows设置” > “安全设置” > “帐户策略” > “密码策略”。
-
找到“密码过期前提示用户更改密码”策略,双击打开。
-
设置所需的提前通知天数,然后点击“确定”以应用更改。
注意:对于使用Microsoft帐户的用户,密码过期提示和设置通常在Microsoft帐户的在线门户中管理。
5、禁用匿名用户权限
目的:防止匿名用户访问敏感资源。
步骤:
-
打开组策略编辑器(gpedit.msc)。
-
导航至“计算机配置” > “Windows设置” > “安全设置” > “本地策略” > “安全选项”。
-
找到“网络访问:将Everyone权限应用于匿名用户”策略,双击打开。
-
选择“已禁用”,然后点击“确定”以应用更改。
6、禁止SAM账户匿名枚举
目的:增强账户安全性,防止账户信息泄露。
步骤:
-
打开组策略编辑器(gpedit.msc)。
-
导航至“计算机配置” > “Windows设置” > “安全设置” > “本地策略” > “安全选项”。
-
找到“网络访问:不允许SAM账户的匿名枚举”策略,双击打开。
-
选择“已启用”,然后点击“确定”以应用更改。
2、组策略对象(GPO)安全
1、使用GPO权限委派
目的:确保只有授权的管理员可以修改GPO。
步骤:
-
在Active Directory用户和计算机中,找到负责GPO管理的组织单位(OU)。
-
右键点击该OU,选择“属性”,然后转到“组策略”选项卡。
-
点击“编辑”以打开组策略管理编辑器。
-
在编辑器中,右键点击GPO对象,选择“权限”以设置GPO的权限委派。
-
添加或删除用户或组,并分配适当的权限。
2、定期进行GPO清理
目的:删除不再需要的GPO以减少复杂性和潜在的风险。
建议:
-
定期检查并评估所有GPO的必要性。
-
对于不再需要的GPO,使用组策略管理控制台(GPMC)进行删除。
-
确保在删除GPO之前备份相关设置,以防意外删除重要配置。
3、服务主体名称(SPN)管理
1、使用SPN管理工具
目的:确保SPN的正确分配和委派,以防止Kerberos相关的安全威胁,如Kerberoasting攻击。
步骤:
-
识别SPN需求:首先,需要确定哪些服务需要SPN。这通常涉及对系统中运行的服务和应用程序的审查。
-
使用SetSPN工具:Windows Server提供了
SetSPN命令行工具,用于查看、添加、删除和修改SPN。查看SPN:可以使用setspn -Q <serviceclass>/<hostname>命令来查询特定服务类和主机名的SPN。
添加SPN:如果服务尚未注册SPN,可以使用setspn -A<serviceclass>/<hostname> <accountname>命令将SPN分配给特定的账户。
删除SPN:如果SPN被错误地分配或不再需要,可以使用setspn -D<serviceclass>/<hostname>命令删除它。注意,这通常需要账户具有足够的权限。
-
验证SPN:在分配或修改SPN后,应验证SPN是否正确注册和解析。这可以通过使用setspn -L <accountname>命令来列出与特定账户关联的所有SPN来实现。
-
文档和监控:记录所有SPN的分配情况,并定期监控SPN的使用情况,以检测任何异常或未经授权的更改。
2、监控SPN使用情况
目的:检测潜在的Kerberoasting攻击,这些攻击试图通过捕获Kerberos身份验证票据来窃取用户凭据。
步骤:
-
启用Kerberos日志记录:在Windows上,可以启用Kerberos事件日志记录来获取有关Kerberos身份验证的详细信息。这可以通过修改注册表或使用组策略来完成。
-
分析日志:定期分析Kerberos日志以查找任何可疑活动,如来自未知源的SPN请求或大量失败的身份验证尝试。
-
使用安全工具:考虑使用安全信息和事件管理(SIEM)系统或安全监控工具来自动化日志分析和警报生成。这些工具可以帮助您更快地识别潜在的安全威胁。
4、 krbtgt帐号设置
-
设置超长密码并禁用:krbtgt是Kerberos服务的关键账户,应设置超长密码并禁用该账户,防止被恶意利用。
5、高敏感帐号管理
-
禁止设置委派:对于高敏感帐号(如Enterprise Admins、Domain Admins等),禁止设置委派,防止权限被滥用。
隶属于以下组中的帐号:Enterprise Admins、Domain Admins、Schema Admins、Key Admins、Enterprise Key、Admins、Administrators、krbtgt
6、帐号分离
-
运维帐号独立命名:为运维域控和入域服务器的帐号设置独立命名,避免使用默认的管理员帐号。
-
避免将运维帐号加入高敏感组:防止运维帐号权限过大,导致安全风险。
7、禁止普通用户配置特定权限
-
禁止配置SeEnableDelegationPrivilege权限:该权限允许用户配置服务帐户的委派,一旦获取,可能对整个域控造成严重影响。
8、指定域管帐号具备dcsync权限
-
确保指定的域管理帐号具备dcsync权限,以便在需要时能够同步域控信息。
三、安全补丁
-
紧急补丁:针对高危漏洞的补丁,这些漏洞可能会被恶意攻击者立即利用,造成严重的安全威胁。紧急补丁通常需要立即安装。
-
重要补丁:针对较为严重的漏洞,虽然其影响范围可能不如紧急补丁广泛,但仍需尽快安装以修复潜在的安全风险。
-
一般补丁:针对一些非关键性漏洞的补丁,这些漏洞可能不会对系统安全造成直接影响,但安装补丁可以提高系统的稳定性和性能。
一、搭建内部补丁更新平台,并及时更新补丁
例如WSUS平台
-
安装WSUS服务器
-
在企业内部网络中部署一台Windows Server作为WSUS服务器。
-
安装WSUS角色和相关依赖服务,如IIS、BITS、.NET Framework等。
-
配置WSUS同步源
-
将WSUS服务器的同步源设置为Microsoft Update或其他可信的补丁源。
-
如果企业拥有内部补丁更新平台,可以配置WSUS从该平台同步补丁。
-
设置自动同步
-
配置WSUS服务器定期(如每月)从同步源自动下载并同步最新的补丁。
-
设置同步时间,避免在业务高峰期进行,以减少对网络资源的影响。
-
分类和审批补丁
-
根据业务需求和安全策略,对下载的补丁进行分类和审批。
-
特别关注针对域控常见漏洞的补丁,确保它们被及时审批并分发。
-
配置客户端更新策略
-
在域环境中,通过组策略配置客户端计算机通过WSUS服务器进行自动更新。
-
可以设置不同的更新策略,以满足不同客户端的需求。
-
监控和报告
-
监控WSUS服务器的状态和补丁分发情况。
-
使用WSUS的报告功能,定期生成更新报告,以评估补丁分发的效果。
二、针对域控常见漏洞的补丁更新
-
域用户提权(CVE-2022-26923)
-
定期检查并安装针对此漏洞的安全补丁。
-
确保所有域用户账户和权限配置正确,以防止未授权访问。
-
Zerologon漏洞(CVE-2020-1472)
-
这是一个极其严重的漏洞,允许攻击者无需凭据即可获取域管理员权限。
-
必须立即安装微软发布的修复补丁,并确保所有域控服务器都已更新。
-
Name impersonation漏洞(CVE-2021-42278)
-
关注与此漏洞相关的补丁更新,确保域中所有相关系统都已打上补丁。
-
KDC bamboozling漏洞(CVE-2021-42287)
-
同样是一个严重的漏洞,影响Kerberos认证协议。
-
及时安装补丁,并验证补丁的有效性。
-
Windows PrintNightmare漏洞(CVE-2021-1675和CVE-2021-34527)
-
这些漏洞影响Windows打印服务。
-
确保所有受影响的系统都已安装修复补丁,并禁用不必要的打印服务。
-
NTLM中继攻击漏洞(CVE-2019-1040)
-
虽然不是直接针对域控的漏洞,但会影响网络中的身份验证过程。
-
考虑实施更安全的身份验证机制,如Kerberos。
-
域用户提权漏洞(MS14-068)
-
这是一个旧漏洞,但仍需关注是否有新的攻击方式出现。
-
确保所有系统都已安装相应的修复补丁。
-
Gpp漏洞(MS14-025)
-
影响组策略首选项的漏洞,允许攻击者提升权限。
-
安装修复补丁,并审查组策略配置。
-
SAMR协议漏洞(MS14-016)
-
影响Windows安全账户管理器的远程协议。
-
安装修复补丁,并限制对SAMR的远程访问
四、委派和信任加固
1、委派加固
-
理解Kerberos委派类型:
-
无约束委派:允许服务接受并转发来自任何用户的身份验证凭据,包括TGT(票据授予票据)。这种委派方式存在高风险,因为它允许服务以任何用户的身份访问其他服务。
-
约束委派:限制服务只能以特定用户的身份访问特定的服务。这降低了风险,因为委派被限制在预定义的范围内。
-
最小化委派使用:
-
仅在必要时启用委派,并仔细评估哪些服务需要委派权限。
-
定期检查并删除不再需要的委派设置。
-
使用约束委派而非无约束委派:
-
尽可能使用约束委派来替代无约束委派,以减少潜在的安全风险。
-
监控和审计:
-
启用对委派活动的监控和审计,以便及时发现并响应任何异常行为。
-
安全配置:
-
确保所有服务都使用强密码和最新的安全补丁。
-
配置服务以使用最低权限原则,即仅授予服务执行其任务所必需的最小权限集。
2、信任加固
-
理解信任类型:
-
单向信任:允许一个域的用户访问另一个域的资源,但不允许反向访问。
-
双向信任:允许两个域的用户互相访问对方的资源。
-
谨慎建立信任关系:
-
在建立信任关系之前,仔细评估潜在的安全风险。
-
仅在必要时建立信任关系,并尽可能使用单向信任而非双向信任。
-
限制信任范围:
-
通过限制可以访问受信任域的资源和服务来减少潜在的风险。
-
使用条件性访问控制来进一步限制对敏感资源的访问。
-
监控和审计信任活动:
-
启用对信任活动的监控和审计,以便及时发现并响应任何异常行为。
-
定期检查信任关系的状态和配置,以确保它们仍然符合组织的安全策略和标准。
-
加固信任桥梁:
-
在域之间建立信任关系时,使用强加密和身份验证机制来保护信任桥梁的安全。
-
定期检查并更新信任关系的凭据和配置,以确保它们仍然有效且安全。
-
使用防火墙和其他安全设备:
-
在网络边界上部署防火墙和其他安全设备,以限制对受信任域的访问。
-
配置安全策略以阻止未经授权的访问和攻击尝试。
-
定期评估和测试:
-
定期对域环境的委派和信任关系进行评估和测试,以确保它们仍然符合组织的安全需求。
-
使用渗透测试和安全评估工具来识别潜在的安全漏洞和弱点。
网络层面
一、网络架构设计
-
简化域架构:减少不必要的域和站点数量,避免架构过于复杂,以降低管理难度和潜在的安全风险。
-
部署只读域控制器(RODC):在分支机构或远程办公地点部署RODC,以提供身份验证服务同时减少敏感数据泄露的风险。
-
网络隔离:利用VLAN(虚拟局域网)或安全隔离区(DMZ)等技术,将域控服务器与其他网络区域隔离,限制未经授权的访问。
二、访问控制
-
基于角色的访问控制(RBAC)
-
定义:RBAC是一种将用户角色与访问权限相关联的访问控制方法。在RBAC中,用户被分配到一个或多个角色中,每个角色都具有一组预定义的权限。
-
实施:管理员需要定义角色、分配权限,并将用户与角色相关联。当用户尝试访问某个资源时,系统会检查该用户所属的角色是否具有访问该资源的权限。
-
优点:易于管理和维护,能够灵活地适应组织结构和业务流程的变化。
-
基于策略的访问控制(PBAC)
-
定义:PBAC是一种根据策略规则来决定用户访问权限的访问控制方法。策略规则可以基于时间、地点、用户属性、资源属性等多种因素来制定。
-
实施:管理员需要定义策略规则,并将这些规则应用到网络资源上。当用户尝试访问某个资源时,系统会评估用户请求与策略规则的匹配程度,从而决定是否允许访问。
-
优点:能够提供更加灵活和精细的访问控制,适应复杂的安全需求。
-
防火墙和ACL
-
防火墙:防火墙是网络安全的第一道防线,它根据预设的规则来允许或阻止网络流量。在域控环境中,防火墙可以配置为只允许来自特定IP地址或端口的访问请求通过,以限制对域控服务器的访问。
-
ACL(访问控制列表):ACL是一种定义了允许或拒绝哪些网络流量通过的策略列表。通过配置ACL规则,管理员可以精确控制对域控服务器的访问请求。例如,可以配置ACL规则来限制只有特定IP地址或用户才能访问域控服务器的特定端口或服务。
-
VPN(虚拟专用网络)
-
定义:VPN是一种通过公共网络建立安全连接的技术。它允许远程用户或分支机构安全地访问企业内部网络资源。
-
在域控中的应用:当用户需要从外部网络访问域控服务器时,可以通过VPN建立安全连接,以确保数据传输的机密性和完整性。VPN技术通过加密和隧道协议来保护数据在公共网络上的传输安全。
-
多因素认证
-
定义:多因素认证是一种要求用户提供多个认证因素来证明其身份的方法。除了传统的用户名和密码外,还可以包括手机验证码、指纹识别、硬件令牌等多种认证因素。
-
在域控中的应用:为了提高域控服务器的访问安全性,可以实施多因素认证。当用户尝试访问域控服务器时,除了需要输入正确的用户名和密码外,还需要提供额外的认证因素。这可以大大增加未经授权访问的难度。
三、防火墙策略
-
限制入站连接:域控服务器(Domain Controller, DC)是Windows网络环境的关键组件,负责用户身份验证、安全策略管理和网络操作的一致性。通过防火墙策略,可以限制非必要的入站连接,仅允许受信任的IP地址和端口进行通信,从而有效减少潜在的安全威胁。
-
开放必要端口:为域控服务器开放必要的服务端口(如LDAP、DNS、Kerberos等),同时关闭不必要的端口以减少攻击面。
-
加强日志记录和监控:对通过防火墙访问域控服务器的流量进行详细记录和实时监控,以便及时发现并响应潜在的安全威胁。
四、加密通信与存储
-
加密网络通信:使用IPSec、TLS/SSL等加密协议保护域控服务器之间的网络通信,确保数据在传输过程中的机密性和完整性。
-
加密数据存储:利用BitLocker等磁盘加密工具对域控服务器上的敏感数据进行加密存储,防止数据在物理介质丢失或被盗时被未经授权的人员访问。
部署流量层安全产品,监控AD域控流量
1. AD域TCP出网行为审计
目的:监控并分析AD域内服务器(特别是域控制器)的TCP出网行为,确保没有未经授权的通信,防止数据泄露或恶意外联。
实施方法:
-
部署网络流量分析工具:如Wireshark、NetFlow/sFlow收集器或专门的网络安全监测平台,捕获并分析所有进出AD域的TCP流量。
-
设置策略与规则:基于IP地址、端口号、协议类型等参数定义允许的出网行为。任何不符合策略的流量都应被标记并报警。
-
定期审计报告:生成定期审计报告,总结域控服务器的出网行为,以便管理员识别异常并采取相应的安全措施。
2. LDAP(389端口)滥用监控
目的:监控LDAP服务(通常使用389端口)的访问情况,防止未经授权的访问和敏感信息泄露。
实施方法:
-
日志记录与分析:确保LDAP服务器配置了详细的日志记录功能,并定期对日志进行分析,以识别潜在的滥用行为。
-
访问控制列表(ACL):严格配置LDAP服务的ACL,确保只有授权用户才能访问敏感信息。
-
异常检测:使用安全信息和事件管理(SIEM)工具监控LDAP访问模式,识别并报警任何异常行为。
3. DNS隧道检测
目的:防止攻击者利用DNS协议隐蔽地传输数据(即DNS隧道),从而绕过传统的网络安全检测。
实施方法:
-
监控DNS请求:部署DNS监控工具,实时监控并分析DNS请求。特别注意那些长度异常、查询频率过高或查询模式不常见的请求。
-
分析请求内容:对可疑DNS请求进行深度分析,检查其是否包含非标准的查询类型或响应内容,这可能指示DNS隧道的存在。
-
设置响应策略:一旦发现DNS隧道活动,立即阻断相关流量,并通知安全团队进行进一步调查。
4. DCsync协议合规性检查
目的:确保DCsync协议(用于复制域控制器之间的密码哈希等敏感信息)仅在域控之间使用,防止被恶意利用。
实施方法:
-
网络监控:通过网络监控工具监控DCsync协议的使用情况,特别是关注源和目的IP地址是否为域控服务器的IP。
-
审计策略:在域控服务器上实施严格的审计策略,记录所有DCsync协议的使用情况,以便进行事后分析和追责。
-
访问控制:确保只有具有适当权限的账户才能执行DCsync操作。
5. 域控非法请求内网流量监控
目的:监控域控服务器发起的对内网其他设备的非法请求,防止数据泄露或恶意操作。
实施方法:
-
内网流量监控:部署内网流量监控工具,实时监控并分析域控服务器与其他内网设备之间的通信。
-
异常行为检测:设置基于行为分析的异常检测机制,识别并报警任何非正常的内网请求行为。
-
访问控制策略:制定严格的访问控制策略,限制域控服务器对内网其他设备的访问权限,仅允许必要的通信。
审计与监控
一、定期审计
1、人工审计
-
策略与配置审核
-
审核域控服务器的安全策略设置,包括密码策略、账户锁定策略、访问控制策略等,确保它们符合最佳安全实践。
-
检查域控服务器的系统配置,如服务、端口、补丁等,确保没有启用不必要的服务或开放不必要的端口,同时所有系统补丁都已及时安装。
-
账户与权限审核
-
审核域内账户和权限分配情况,识别高权限账户和潜在的恶意账户。
-
检查账户的活动情况,如登录时间、登录地点等,以发现异常行为。
-
评估账户权限的合理性,确保没有账户拥有过高的权限,从而可能引发安全风险。
-
日志与事件审核
-
深入分析域控服务器的日志和事件记录,以发现潜在的安全威胁。
-
识别异常的登录尝试、权限变更、策略修改等行为,并追踪其来源和目的。
-
评估日志记录的完整性和准确性,确保没有关键信息被遗漏或篡改。
-
网络安全审核
-
评估域控服务器的网络安全防护措施,如防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等。
-
检查网络流量和通信协议,以发现潜在的恶意流量和异常通信模式。
-
评估网络架构的合理性,确保没有安全漏洞或弱点被暴露。
-
合规性与风险评估
-
评估域控环境是否符合相关的安全标准和法规要求,如ISO 27001、NIST 800-53等。
-
对域控环境进行全面的风险评估,识别潜在的安全威胁和漏洞,并制定相应的应对措施。
2、脚本审计
-
自动化检测:减少人工审计的时间和人力成本,提高审计效率。
-
全面覆盖:通过脚本可以检查系统配置、用户权限、网络流量等多个方面,确保审计的全面性。
-
实时监控:脚本可以设置为定时运行,实时监控域控环境的变化,及时发现异常行为。
-
报告生成:自动生成审计报告,方便管理员查看和分析审计结果。
二、实时监控与入侵检测
1. 检测敏感共享目录访问
-
使用文件监控工具:如Sysmon、AuditPol(Windows审计策略)等,配置规则以监控对特定共享目录(非SYSVOL)的访问。
-
网络监控:使用网络监控工具(如Wireshark、Snort)来捕获和分析网络流量,特别是SMB/CIFS协议相关的流量,以识别对敏感共享目录的访问。
2. 检测Mimikatz攻击行为
-
Sysmon配置:配置Sysmon以监控进程创建、网络连接、文件创建等事件,特别是包含Mimikatz相关关键字的进程(如
gentilkiwi、kerberos::golden等)。 -
日志分析:定期分析安全日志和Sysmon日志,查找与Mimikatz相关的可疑活动。
-
防火墙规则:设置防火墙规则以阻止Mimikatz常用的出站连接或端口。
3. 检测Kerberos弱加密方式
-
Kerberos策略配置:确保Kerberos策略强制使用AES加密,禁用较弱的加密方法。
-
事件日志监控:监控Kerberos相关的安全事件日志,查找非AES加密的票据请求。
4. 检测异常注册表变更和dump
-
注册表监控:使用Sysmon或内置的Windows审核策略来监控对关键注册表项的访问和修改,如
DSRMAdminLogonBehavior、AdminSDHolder、HKLMISAM、HKLMSYSTEM、HKLMSECURITY等。 -
文件完整性监控:使用文件完整性监控工具(如OSSEC、Tripwire)来检测对注册表文件的未授权修改。
5. 检测ntdsutil滥用
-
Sysmon配置:监控包含ntdsutil命令的命令行活动,特别是与activate instance、set dsrm password等敏感参数相关的命令。
-
权限管理:限制对ntdsutil工具的访
问权限,确保只有授权的管理员才能使用。
6. 检测SID History变更
-
安全日志分析:分析安全日志,查找与SID历史记录更改相关的事件。
-
审计策略:配置Windows审计策略以捕获对SID历史记录的更改。
7. 检测Lazagne密码提取工具
-
文件监控:监控Lazagne工具的可执行文件在系统上的出现和执行。
-
进程监控:使用Sysmon等工具监控包含Lazagne特征或命令行的进程活动。
-
网络监控:如果Lazagne尝试通过网络发送凭证,使用网络监控工具捕获这些活动。
参考文章:
https://www.ctfiot.com/48945.html
https://www.cnblogs.com/xiaozi/p/17221077.html
原文始发于微信公众号(青锋云盾):护网蓝队之AD域控安全加固
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论