「运维有小邓」AD域常见攻击之——黄金票据

 “Golden Ticket Attack(黄金票据)”是一个特别丰富多彩的(如果你会原谅双关语)名称,用于特别危险的攻击。这个绰号来自罗尔德·达尔(Roald Dahl)的书 查理和巧克力工厂, 其中一张金票是令人梦寐以求的通行证,可以让其所有者进入威利旺卡戒备森严的糖果工厂。同样,成功的Golden Ticket(黄金票据) 攻击使黑客能够访问组织的整个 Active Directory

然而,这个类比在一个重要的方面被打破了:虽然查理和其他持有金票的孩子(大部分)在严密的监督下被护送在糖果工厂周围,但成功的金票攻击使黑客几乎可以不受限制地访问您域中的所有内容,包括所有计算机、文件、文件夹和域控制器 (DC)。他们可以冒充任何人,做任何事情。

「运维有小邓」AD域常见攻击之——黄金票据

Active Directory

让我们看看这种强大的攻击是如何展开的——以及您可以做些什么来保护您的组织。

Golden Ticket(黄金票据) 攻击的工作原理

Golden Ticket 攻击利用了Kerberos 身份验证协议中的一个漏洞,自 Windows 2000 以来,Microsoft 一直将其用作其默认身份验证协议。

Kerberos 身份验证的正常工作方式

使用 Kerberos,用户永远不会直接对他们需要使用的各种服务(例如文件服务器)进行身份验证。相反, Kerberos 密钥分发中心 (KDC) 充当受信任的第三方身份验证服务。Active Directory 域中的每个域控制器都运行 KDC 服务。

具体来说,当用户进行身份验证时,KDC会发出一个票据授予票据 (TGT),其中包括一个唯一的会话密钥和一个时间戳,该时间戳指定该会话的有效时间(通常为 8 或 10 小时)。当用户需要访问资源时,无需重新认证;他们的客户端机器只是发送 TGT 来证明用户最近已经通过身份验证。

「运维有小邓」AD域常见攻击之——黄金票据

黄金票据

以上就是“黄金票据”攻击的简单工作原理,虽然利用技术手段可以控制或减小这类攻击。但是随着黑客技术的不断更新迭代,想要更好地对此类攻击进行防护必须利用防护工具。

ADAudit Plus是一款活动目录变更和报告软件。通过提取windows中的安全日志,对活动目录中的所有活动及操作进行判断。明确AD域内谁干了什么,谁没干什么。对用户的一些删除,创建,修改,重置等动作进行统计。通过相关分析确定用户行为是否合规。

「运维有小邓」AD域常见攻击之——黄金票据

ADAudit Plus

在日常工作中为了工作的正常进行,管理员经常需要对权限进行相应分配。但用户分配到权限后,很可能因为误操或有意破坏,在活动目录中执行非合法性操作。这时我们即可通过ADAudit Plus对windows安全日志进行分析,通过生成的各类报表轻松锁定权限所有人,以便对其进行处理。

ADAudit Plus对企业AD域的安全维护具有重要作用。其生成的海量报表完全让用户行为可视化。轻松解决企业AD管理合规问题。

评论

发表评论

此博客中的热门博文

通过多因素认证(MFA)确保您的线下远程办公团队的安全性

图片
  根据 Malwarebytes Labs 的一份报告,百分之二十的IT企业在疫情期间因远程工作人员的疏漏而遭受重要 数据泄露事件 。选择允许员工远程办公有其利弊,其中主要的弊端是未预期的安全漏洞。这些漏洞更有可能是由于员工的无知引起的,而不是网络或系统故障。 Malwarebytes Labs “在疯狂作死和安全之间选择,用户每次都会选择疯狂作死。” ——Edward Felten,普林斯顿大学信息技术政策中心主任 作为管理员,您如何确保公司网络安全?您可能会说:“我们已经通过 MFA 为所有用户身份进行了安全验证。我们的员工必须在访问工作设备之前使用多个验证器进行 身份验证 。” 这是一个明智的决策。与许多公司一样,您已经走出了额外的一步,以解决和消除身份盗用的可能性。但是,如果涉及到线下用户,那么可能存在您没有考虑到的漏洞。 网络安全 您的安全措施是否考虑到线下远程员工? 与在办公室工作的员工相比,远程员工更频繁地离线。也就是说,由于连接问题,他们可能与MFA服务器或企业网络断开连接。那么,当远程用户处于脱机状态时,MFA会发生什么情况?绕过MFA或封锁机器访问对他们来说是不可想象的,同时仍然要保证安全性和生产力。幸运的是,有一种方法可以在您的远程工作者脱机时执行MFA。 MFA 确保您的线下远程办公团队的安全 ManageEngine  ADSelfService Plus  提供线下MFA,允许用户在未连接到MFA服务器或企业网络时执行机器登录的MFA。管理员可以为用户配置一个或多个MFA验证器,以便用户在线时可以预先注册这些验证器,以便能够执行线下MFA。 身份验证 最后,要强调在当前远程工作环境下,保护公司的网络安全至关重要。根据 Malwarebytes Labs 的最新报告,远程工作带来的风险不容忽视,但通过采用适当的安全措施,我们可以在确保员工的便利性的同时,有效地应对潜在的威胁。 管理团队需要不断审视并更新安全策略,以确保包括线下远程员工在内的所有员工都受到充分的保护。这需要综合使用各种工具和技术,包括多因素认证(MFA),以确保数据和系统的安全性。 在当前的数字时代,安全性不仅仅是一个选项,而是一项必需。通过投资于适当的安全解决方案,我们可以保护企业免受潜在的风险和威胁。ManageEngine ADSelfSe...
阅读全文

顶级建议:开发者和ChatGPT如何成为最好的朋友

图片
  在过去几个月里,人们因各种原因一直在使用 ChatGPT 。虽然结果并不完美,但无疑令人印象深刻。它在重复和耗时任务上的实用性尤为明显。然而,人们对自己的工作安全感到担忧,这妨碍了他们充分利用ChatGPT的能力。 ChatGPT 如果你是一名开发者,很可能会遇到类似这样的博客文章,提出诸如“开发者将失去工作吗?”、“ChatGPT会取代软件开发工作吗?”、“ChatGPT即将接管低代码行业吗?”的问题。与其争论谁做得更好——ChatGPT还是开发者——本文将提出方法,让你探索将两者最好的特点结合在一起的潜在优势。 (1) 代码生成 凭借其自然语言处理能力,ChatGPT对开发者非常有帮助,因为它能理解并解释他们的请求,并提供相关的代码片段。这个功能对于那些可以节省大量时间的重复任务和样板代码非常有利。此外,它有助于生成复杂的代码以构建完整的模块,而不仅仅是基本函数。这使得编程语言或框架的新手能够快速学习,而无需投入大量时间理解基础知识,对初学者编程者而言是有价值的辅助工具。 代码生成 (2)  测试自动化 ChatGPT理解标准、提示中要求的输出,并将它们转化为具有预期结果的不同输入序列。因此,它有助于自动化编写测试用例的整个过程,减少了人为错误,并节省了时间。它可以迅速生成用于验证符合要求的测试用例,例如要求8位字符密码。 它还有能力分析要求并将其转化为执行的确切步骤,从而有效生成测试场景,提高了准确性。测试人员可以指定需要使用电子邮件或用户名的用户友好登录。 测试自动化 此外,聊天机器人可以利用ChatGPT构建准确的测试场景和用例。将聊天机器人与ChatGPT集成可以增强对话流程,对于非技术用户以交互和提供输入方式参与测试过程非常有帮助。 (3) 文件生成 ChatGPT生成文档的能力有助于开发者节省大量时间,用于准备其代码的详尽文档。开发者可以向ChatGPT提供代码片段,并指示它生成概述功能、输入、输出和其他相关细节的文档。此外,ChatGPT可以为整个模块生成文档,提供了对代码的全面了解。 文件生成 (4) 缺陷跟踪 ChatGPT简化了调试的过程。ChatGPT不同于传统的复杂且需要编程语言专业知识的调试工具,因为它适用于各个级别的开发者。开发者只需输入有关错误或异常的精确提示,ChatGPT将提供建议和潜在解决方案。因此,调试...
阅读全文

Active Directory组成员身份报表

图片
  详细的小组成员报表 嵌套报表 用户不在组中 没有成员的群组 组类型和范围报表 ADManager Plus是基于Web的Active Directory(AD)管理和报表解决方案,也可以用作有效的AD组报表工具。ADManager Plus提供了预打包的报表,这些报表可以帮助您列出Active Directory组,获取详细的组成员资格信息以及仅需单击几下即可获得的更多信息。此外,您可以从这些报表中执行管理操作。 ADManager Plus 详细的小组成员报表 查看属于特定组的所有对象的完整列表,并使用过滤器来缩小希望包含在此报表中的对象的类型。使用ADManager Plus,您还可以查看动态组的详细组成员。使用“ 添加或删除列”按钮来自定义报表,以包含要查看的属性值。 如何在ADManager Plus中生成详细的组成员报表: 1. 登录到ADManager Plus,然后单击“ AD报表”选项卡。 2. 转到左侧导航窗格中的“ 组报表”部分。 3. 单击“ 详细组成员”报表。 4. 选择要查看其成员的组,然后指定所需的对象类型。例如,如果您希望查看属于特定组的禁用用户,请展开“详细成员报表”的“ 要获取的对象”字段下的“ 用户”选项。选择“ 禁用的用户”。 5. 点击生成。 小组成员报表 嵌套报表 一、用户组报表 列出特定用户的所有组以及该用户组所属的所有组。生成报表后,修改报表的结果以查看用户的普通组。 二、群组中的用户报表 查看和分析属于特定组的所有用户。 三、如何使用ADManager Plus生成嵌套报表: 登录到ADManager Plus,然后单击“ AD报表”选项卡。 在“ 用户报表”部分下找到“ 嵌套报表”类别。 点击所需的嵌套报表,提供所需的输入(例如组名或用户名),然后点击生成。 用户不在组中 列出不是特定组成员的所有用户。使用“ 添加或删除列”选项来选择希望在报表中看到的属性。 用户不在组中 没有成员的群组 确定您域中的所有空组,然后从报表中对其进行进一步的处理。 一、如何使用ADManager Plus删除所有空的AD组: 登录到ADManager Plus,然后单击“ AD报表”选项卡。 导航到左窗格中的“ 组报表”部分。 单击“ 无成员组”报表。 选择您选择的域。 点击生成。 选择您要删除的组。 单击删除图标,然后单击...
阅读全文