苏州众里 专注企业信息安全服务

服务热线:18625216903
众里成立8大社群,1000+CIO人才构建行业生态链

如何保护AD防御勒索软件攻击

2021-08-25

        我们知道,钓鱼链接之所以叫这个名称,就是因为它的突然性和难以防范性,可以说是防不胜防,而这种情况一旦出现,员工就可能会对使用 AD的公司构成重大的安全风险。即使是最善意的员工也可能无意中去点击网络钓鱼链接,或被一封旨在诱骗他们泄露私人公司主旨的电子邮件欺骗。

就网络安全攻击的真正威胁和危险对员工进行培训和教育,将为他们避免系统受损所需的工具。现场和远端用户的一些基本策略包括:

1、培训他们识别网络钓鱼及恶意软件攻击的能力(社交工程演练)

2、教育他们了解各种用户行为的安全风险(网络安全手法呈现及教育 )

3、确定是否用户权限不正确,能直接完全访问整个系统

4、建立和执行密码策略许多IT管理员缺乏在其组织中实施统一的Active Directory安全

network-3537401_640

如果Active Directory 的各个部分得到安全保护,会增加企业的整体安全性,同时降低安全风险。具体而言,下列有关 AD 的配置需要被修复如下:

1、需要修复用户属性的错误配置

2、需要修复群组的错误配置

3、需要清除特权群组

4、需要有正确的 AD 流程配置(例如 SDProp)

5、需要保障服务主体名称 (SPN) 的安全

6、信任关系正确且得到安全保护

需要清理用户的 SidHistory 属性,具有服务主体名称 (SPN) 的用户账户

此外,保护 AD本身和群组策略可确保攻击者无法利用错误配置和特权提升达到攻击。

下列配置需要被正确设置:

1、需要验证和保护 AD 信任安全

2、需要清除 AD 代理

3、需要清除群组策略代理

4、需要保护群组策略结构组件的安全

5、需要启用群组策略对象部署的安全设置

合并与并购案可能会让信任关系变得无人管理;信任关系也必须受到保护。

最后,攻击者希望获取特权。在获取特权后,他们想要建立攻击路径。因此,能够检测这些各类的AD攻击就变很相当的重要。

下列内容是 AD 管理员和资安从业人员要阻断攻击路径时能采取的操作:

1、确保特权群组成员是受到监控

2、检测 DCShadow 和 DCSync 攻击

3、Golden tricky攻击

4、检测横向移动攻击

5、检测危险的 SIDHistory 和 PrimaryGroupID 设置

苏州众里友情提示,在勒索病毒攻击防范工作中,首先要确保的就是员工自上而下提升安全防范意识,避免钓鱼攻击的中招,不随意点击不明来源的邮件或链接等等,此外,在自身网络攻击防护能力不足的情况下,尽快与类似苏州众里这样能够提供专业的信息安全服务的服务商联系,尽快完善网络攻击防护的壁垒。

咨询热线

18625216903