受到攻击的 IT 安全:为什么组成员身份如此重要?

 安全组决定或破坏您的 IT 安全。组成员身份负责您网络中的管理访问权限,并定义对您域中其他特权资源和数据的访问权限。有没有想过一个简单的组成员配置错误如何导致安全事件?本博客详细阐述了可能导致网络中敏感数据损坏的最常见错误配置或安全漏洞。

组和成员的剖析

在安全性方面,Active Directory 和 Azure AD 中的组成员身份被严重低估。成员资格通常由管理员、帮助台和部门经理修改。


以下是在 AD 或 Azure 中错误配置组成员身份的各种方式。

1、嵌套和间接组成员身份



将一个组添加为另一个组的成员称为嵌套。例如,可以将一个或多个安全组添加到管理员组。尽管对此 Admin Group 的更改受到持续监控,但如果不监视对 Nested Group 的更改,它仍然可能导致安全漏洞。

恶意内部人员或外部攻击者可以轻松地将成员添加到嵌套或间接组并获得对敏感数据的访问权限,因为嵌套组是管理组的一部分。为了克服这一挑战,企业应采用零信任策略,仅向用户授予所需级别的访问权限。

在我们研究组可能被错误配置的各种其他方式之前,让我们看一下如何在 AD 中审核组成员资格更改。

在AD 中启用所需的审核策略以审核组成员身份后,您的 AD 域中任何类型的组的任何成员身份更改都将被审核并记录在域控制器 (DC) 上 Windows 事件查看器的安全选项卡中。

但是,监视组的更改并不是那么简单,因为 AD 域上的所有其他安全更改(例如权限、文件和文件夹的更改以及登录和注销活动)都被转储到同一位置(即事件查看器的安全选项卡) )。我们必须使用表示组修改更改的相应事件 ID 来查看所有这些安全事件。

根据组的范围和执行的操作、 组的创建、权限更改和成员资格更改记录不同的事件和 ID,这使得对组更改进行排序非常繁琐和耗时。

2、组不仅仅是安全组

安全组是唯一可以规定对资源的访问权限的组,但 AD 和 Azure 中还有各种其他类型的组可以授予对其他网络资源的访问权限。

  • 跨 DC 和通用组的安全组:如果您拥有多 DC 环境,那么您可能已经知道这些组。有默认的管理员组,如 DNSadmins、域管理员和企业管理员,允许用户管理 AD 域的各种组件。通用组使您能够定义角色或管理跨越多个域的资源。
  • 其他平台组: 由第三方服务创建的任何组都可以指定对该服务的访问。例如:
  1. 本地 AD 组用于访问 Azure 资源。
  2. Exchange Server 组:默认情况下,该组有权清除域的安全日志。任何属于该组成员的恶意用户都可以轻松擦除域的安全日志,从而消除所有恶意活动的痕迹。
  3. Exchange Windows 权限组:对域 DNS 节点具有写入 DACL 控制权。任何对域 DNS 节点具有权限的用户都可以修改和控制域中的每个对象。

Azure AD 安全组和 Microsoft 365 组: Azure AD 和 Microsoft 365 组对于管理 Azure AD 中的资源至关重要。

  • 安全组用于管理成员和计算机对 Azure 中一组用户的共享资源的访问。
  • Microsoft 365 组通过授予成员访问共享邮箱、日历、文件、SharePoint 网站等的权限来提供协作。

让我们看一下 Azure AD 中的组成员身份审核。

Azure AD 审核日志

就像本地 Active Directory 中的 Windows 事件查看器一样,Azure AD 也有一个存储审核日志的中心位置。这些审核日志记录基于目录的更改,例如对用户、组和应用程序的更改。

幸运的是,与本地 AD 相比,Azure AD 提供了更多的排序和筛选选项。例如,您可以根据时间、操作等过滤安全事件。

然而,审计日志并没有提供安全变化的鸟瞰图。例如,假设您想要找出在您的 Azure AD 中修改的安全组的列表。您必须打开并检查每个日志以确定修改了哪个组,这既不快速也不容易。让我们看看在 Azure AD 中审核安全事件的其他可能方法。

Microsoft 365 统一审核日志

Microsoft 通过其安全与合规中心的统一审核日志为上述问题提供了解决方案。但是,此解决方案效率不高。

安全与合规中心具有审核日志搜索功能,可让您搜索和过滤审核日志。听起来不错,对吧?不完全是!如果您想进一步分析事件,打开它时详细信息将采用 JSON 格式。分析此数据的唯一方法是导出 JSON 日志数据,并使用 Microsoft Excel 对其进行过滤。

如您所见,尽管筛选选项明显更好,但您在典型的本地 AD 基础结构中面临的审核和分析挑战也存在于 Azure 中!最重要的是,Azure AD 和 Microsoft 365 都只存储 30 天和 90 天的较短时间段,这使得进行取证分析变得困难。

及时捕获和分析安全组成员的变化是当务之急。尽管本机选项可按时捕获敏感事件,但有限的排序和搜索功能使分析这些事件具有挑战性。有时,仅检测成员更改是不够的。您的组织应具有实时警报机制和缓解措施,以应对任何未经授权的组成员资格更改。

没有适当的群组成员监控策略?这是一个可能导致的示例。

想要改进您的安全计划?访问我们的IT 受到攻击的安全性页面,并在 Active Directory、Azure AD、Windows 等环境中观看各种 IT 上广泛使用的攻击技术的实时模拟。正在寻找一个全面的解决方案来解决您的团体安全问题?查看 ManageEngine Log360!

评论

发表评论

此博客中的热门博文

通过多因素认证(MFA)确保您的线下远程办公团队的安全性

图片
  根据 Malwarebytes Labs 的一份报告,百分之二十的IT企业在疫情期间因远程工作人员的疏漏而遭受重要 数据泄露事件 。选择允许员工远程办公有其利弊,其中主要的弊端是未预期的安全漏洞。这些漏洞更有可能是由于员工的无知引起的,而不是网络或系统故障。 Malwarebytes Labs “在疯狂作死和安全之间选择,用户每次都会选择疯狂作死。” ——Edward Felten,普林斯顿大学信息技术政策中心主任 作为管理员,您如何确保公司网络安全?您可能会说:“我们已经通过 MFA 为所有用户身份进行了安全验证。我们的员工必须在访问工作设备之前使用多个验证器进行 身份验证 。” 这是一个明智的决策。与许多公司一样,您已经走出了额外的一步,以解决和消除身份盗用的可能性。但是,如果涉及到线下用户,那么可能存在您没有考虑到的漏洞。 网络安全 您的安全措施是否考虑到线下远程员工? 与在办公室工作的员工相比,远程员工更频繁地离线。也就是说,由于连接问题,他们可能与MFA服务器或企业网络断开连接。那么,当远程用户处于脱机状态时,MFA会发生什么情况?绕过MFA或封锁机器访问对他们来说是不可想象的,同时仍然要保证安全性和生产力。幸运的是,有一种方法可以在您的远程工作者脱机时执行MFA。 MFA 确保您的线下远程办公团队的安全 ManageEngine  ADSelfService Plus  提供线下MFA,允许用户在未连接到MFA服务器或企业网络时执行机器登录的MFA。管理员可以为用户配置一个或多个MFA验证器,以便用户在线时可以预先注册这些验证器,以便能够执行线下MFA。 身份验证 最后,要强调在当前远程工作环境下,保护公司的网络安全至关重要。根据 Malwarebytes Labs 的最新报告,远程工作带来的风险不容忽视,但通过采用适当的安全措施,我们可以在确保员工的便利性的同时,有效地应对潜在的威胁。 管理团队需要不断审视并更新安全策略,以确保包括线下远程员工在内的所有员工都受到充分的保护。这需要综合使用各种工具和技术,包括多因素认证(MFA),以确保数据和系统的安全性。 在当前的数字时代,安全性不仅仅是一个选项,而是一项必需。通过投资于适当的安全解决方案,我们可以保护企业免受潜在的风险和威胁。ManageEngine ADSelfSe...
阅读全文

顶级建议:开发者和ChatGPT如何成为最好的朋友

图片
  在过去几个月里,人们因各种原因一直在使用 ChatGPT 。虽然结果并不完美,但无疑令人印象深刻。它在重复和耗时任务上的实用性尤为明显。然而,人们对自己的工作安全感到担忧,这妨碍了他们充分利用ChatGPT的能力。 ChatGPT 如果你是一名开发者,很可能会遇到类似这样的博客文章,提出诸如“开发者将失去工作吗?”、“ChatGPT会取代软件开发工作吗?”、“ChatGPT即将接管低代码行业吗?”的问题。与其争论谁做得更好——ChatGPT还是开发者——本文将提出方法,让你探索将两者最好的特点结合在一起的潜在优势。 (1) 代码生成 凭借其自然语言处理能力,ChatGPT对开发者非常有帮助,因为它能理解并解释他们的请求,并提供相关的代码片段。这个功能对于那些可以节省大量时间的重复任务和样板代码非常有利。此外,它有助于生成复杂的代码以构建完整的模块,而不仅仅是基本函数。这使得编程语言或框架的新手能够快速学习,而无需投入大量时间理解基础知识,对初学者编程者而言是有价值的辅助工具。 代码生成 (2)  测试自动化 ChatGPT理解标准、提示中要求的输出,并将它们转化为具有预期结果的不同输入序列。因此,它有助于自动化编写测试用例的整个过程,减少了人为错误,并节省了时间。它可以迅速生成用于验证符合要求的测试用例,例如要求8位字符密码。 它还有能力分析要求并将其转化为执行的确切步骤,从而有效生成测试场景,提高了准确性。测试人员可以指定需要使用电子邮件或用户名的用户友好登录。 测试自动化 此外,聊天机器人可以利用ChatGPT构建准确的测试场景和用例。将聊天机器人与ChatGPT集成可以增强对话流程,对于非技术用户以交互和提供输入方式参与测试过程非常有帮助。 (3) 文件生成 ChatGPT生成文档的能力有助于开发者节省大量时间,用于准备其代码的详尽文档。开发者可以向ChatGPT提供代码片段,并指示它生成概述功能、输入、输出和其他相关细节的文档。此外,ChatGPT可以为整个模块生成文档,提供了对代码的全面了解。 文件生成 (4) 缺陷跟踪 ChatGPT简化了调试的过程。ChatGPT不同于传统的复杂且需要编程语言专业知识的调试工具,因为它适用于各个级别的开发者。开发者只需输入有关错误或异常的精确提示,ChatGPT将提供建议和潜在解决方案。因此,调试...
阅读全文

Active Directory组成员身份报表

图片
  详细的小组成员报表 嵌套报表 用户不在组中 没有成员的群组 组类型和范围报表 ADManager Plus是基于Web的Active Directory(AD)管理和报表解决方案,也可以用作有效的AD组报表工具。ADManager Plus提供了预打包的报表,这些报表可以帮助您列出Active Directory组,获取详细的组成员资格信息以及仅需单击几下即可获得的更多信息。此外,您可以从这些报表中执行管理操作。 ADManager Plus 详细的小组成员报表 查看属于特定组的所有对象的完整列表,并使用过滤器来缩小希望包含在此报表中的对象的类型。使用ADManager Plus,您还可以查看动态组的详细组成员。使用“ 添加或删除列”按钮来自定义报表,以包含要查看的属性值。 如何在ADManager Plus中生成详细的组成员报表: 1. 登录到ADManager Plus,然后单击“ AD报表”选项卡。 2. 转到左侧导航窗格中的“ 组报表”部分。 3. 单击“ 详细组成员”报表。 4. 选择要查看其成员的组,然后指定所需的对象类型。例如,如果您希望查看属于特定组的禁用用户,请展开“详细成员报表”的“ 要获取的对象”字段下的“ 用户”选项。选择“ 禁用的用户”。 5. 点击生成。 小组成员报表 嵌套报表 一、用户组报表 列出特定用户的所有组以及该用户组所属的所有组。生成报表后,修改报表的结果以查看用户的普通组。 二、群组中的用户报表 查看和分析属于特定组的所有用户。 三、如何使用ADManager Plus生成嵌套报表: 登录到ADManager Plus,然后单击“ AD报表”选项卡。 在“ 用户报表”部分下找到“ 嵌套报表”类别。 点击所需的嵌套报表,提供所需的输入(例如组名或用户名),然后点击生成。 用户不在组中 列出不是特定组成员的所有用户。使用“ 添加或删除列”选项来选择希望在报表中看到的属性。 用户不在组中 没有成员的群组 确定您域中的所有空组,然后从报表中对其进行进一步的处理。 一、如何使用ADManager Plus删除所有空的AD组: 登录到ADManager Plus,然后单击“ AD报表”选项卡。 导航到左窗格中的“ 组报表”部分。 单击“ 无成员组”报表。 选择您选择的域。 点击生成。 选择您要删除的组。 单击删除图标,然后单击...
阅读全文