落实这个Active Directory安全指南:打穿域控?深度渗透内网?没门!

admin 2024年9月27日11:15:27评论80 views字数 1703阅读5分40秒阅读模式
当地时间9月26日,美国网络安全和基础设施安全局 (CISA)与多家国际网络安全机构合作,发布了一份关于检测和减轻Active Directory危害的综合指南。该指南由澳大利亚信号局(ASD)、国家安全局(NSA)、加拿大网络安全中心(CCCS)、新西兰国家网络安全中心(NCSC-NZ)和英国国家网络安全中心(NCSC-UK)共同撰写,旨在向组织机构介绍恶意行为者针对Microsoft Active Directory使用的17种常用技术和检测与缓解方法。

落实这个Active Directory安全指南:打穿域控?深度渗透内网?没门!

落实这个Active Directory安全指南:打穿域控?深度渗透内网?没门!

落实这个Active Directory安全指南:打穿域控?深度渗透内网?没门!

落实这个Active Directory安全指南:打穿域控?深度渗透内网?没门!

落实这个Active Directory安全指南:打穿域控?深度渗透内网?没门!

Active Directory是全球企业IT网络中身份验证和授权的基石,提供Active Directory 域服务(AD DS)、Active Directory联合身份验证服务(AD FS)和Active Directory证书服务(AD CS)等服务。
然而,其关键作用使其成为网络攻击者的首要目标。该指南强调,Active Directory容易受到攻击,原因是其宽松的默认设置、复杂的关系和对旧协议的支持,以及缺乏足够的工具来诊断安全问题。响应和恢复涉及Active Directory的恶意活动可能非常耗时、成本高昂且具有破坏性。CISA鼓励组织查看指南并实施建议的缓解措施以提高Active Directory安全性。
恶意行为者利用的常见技术
该指南详细介绍了恶意行为者用来攻击Active Directory 17种常见技术。关键技术包括:
Kerberoasting:这涉及利用配置了服务主体名称(SPN)的用户对象来获取其票据授予服务 (TGS)票据,可以破解该票据以泄露明文口令。
身份验证服务器响应(AS-REP)烘烤:此技术针对不需要Kerberos预身份验证的用户对象,允许攻击者破解身份验证服务器响应(AS-REP)票据以获取口令。
口令喷洒:一种暴力攻击方法,攻击者尝试使用多个帐户的常用口令登录。
MachineAccountQuota泄露:利用用户可以创建的机器账户的默认配额来获取未经授权的访问。
不受约束的委派:允许攻击者冒充域中的任何用户。
缓解策略
该指南提供了强有力的缓解策略来防御这些威胁:
实施Microsoft的企业访问模型:此分层模型可确保第0层用户对象(具有重要访问权限的对象)不会将其凭据暴露给较低层的系统,并且第0层计算机对象仅由第0层用户对象管理。
最小化SPN:减少配置了SPN的用户对象数量,以限制Kerberoasting的攻击面。
确保Kerberos预身份验证:配置所有用户对象以要求Kerberos预身份验证来缓解AS-REP Roasting。
使用组管理服务帐户(gMSA):自动轮换口令并使用复杂、不可预测的口令来保护服务帐户。
监控和日志记录:集中记录和分析TGS票据请求等事件以检测可疑活动。
由于合法活动和恶意活动之间的相似性,检测Active Directory入侵可能具有挑战性。
该指南建议使用BloodHound、PingCastle和Purple Knight等工具来了解和识别错误配置和弱点。
它还建议分析特定事件ID,例如TGS票据请求的4769,以识别潜在的Kerberoasting活动。
该指南的发布强调了组织优先考虑其Active Directory环境的安全性的迫切需要。
通过了解恶意行为者使用的常用技术并实施建议的缓解策略,组织可以显著增强其网络安全态势并防止潜在的破坏性攻击。
随着网络威胁不断演变,保持知情和主动性对于维护企业IT网络的完整性至关重要。
参考资源
1、https://cybersecuritynews.com/active-directory-security-guide/
2、https://www.cisa.gov/news-events/alerts/2024/09/26/asds-acsc-cisa-and-us-and-international-partners-release-guidance-detecting-and-mitigating-active

原文始发于微信公众号(网空闲话plus):落实这个Active Directory安全指南:打穿域控?深度渗透内网?没门!

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月27日11:15:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   落实这个Active Directory安全指南:打穿域控?深度渗透内网?没门!http://cn-sec.com/archives/3212700.html

发表评论

匿名网友 填写信息