01. 前言
上次介紹了作為一個AD管理人員或者是AD技術支持人員,應該保持關注的幾個工作內容,包括補丁更新、密碼重置、權限梳理和組策略防護等,做好這些事情,能夠讓我們的AD域環境,處于一個相對較為安全的環境。
當然,時代是在變化的,我們的運維理念也應該隨著時代的發展,進行持續的更新迭代,才能做好未來的運維工作。
任何IT組織或者企業,都很難避免不受到來自外界的攻擊。攻擊的途徑、方式各有不同,但是黑客都希望通過一次成功的攻擊,侵入到企業的內部環境中,實現他們的利益和目的。因此我們需要通過適當的策略、流程和管控措施等來保護組織內的關鍵信息或者關鍵組件。即使在未來的某一天受到攻擊和入侵,也能夠放置入侵范圍的擴大,最大程度降低入侵的影響。
在我們決定采取任何防護措施之前,我們不得不了解攻擊入侵的常用途徑,才能更好的根據企業的實際情況,針對性的采取相關的防護措施。
02. 攻擊常用途徑分析
在企業日常運轉過程中,往往會遭遇如下的情況,進而給了別人可趁之機:
1)系統漏洞
絕大部分企業遭受的攻擊,都是漏洞攻擊。漏洞的入侵方式,在網上都是公開的,黑客非常容易利用起來,并且制作成檢測工具進行全網掃描,一旦發現某一個ip存在這樣子的漏洞,就會立即利用漏洞進行入侵。因此,沒有進行及時的漏洞修復,包括操作系統級別的漏洞、防病毒軟件/反垃圾軟件沒有及時更新規則庫等,都會導致企業非常容易遭受入侵和破壞。
2)產品超過生命周期
生命周期管理,對于很多企業來說往往是非常困難的。因為每一個版本的更新迭代,都代表著大量的人力物力財力和時間的投入,很多企業都不愿意進行投入。且缺乏有效的管理手段和方法,很難形成企業資產生命周期管理方法論。
長期無序且混亂的資產管理,導致很多的產品,包括操作系統、中間件、應用程序等,都是超過了其生命周期,無法獲得及時的補丁支持、漏洞修復和技術支持。運維的技術風險和安全風險隨著時間的推遲,逐漸加大。
3)系統或者應用程序配置錯誤
系統或者應用程序配置的異常,也是導致企業遭受攻擊的因素之一。比如密碼在登錄過程中沒有加密,傳輸過程中都是明文,配置信息泄露或者發布到公網等,都有可能帶來各種各樣的安全風險。
4)應用程序安全防護做的太差
我們一直在跟很多企業進行安全加固方面的工作。通過我們的安全加固措施,能夠杜絕絕大部分的入侵。其他應用程序也是如此,如果這些應用程序在開發過程中,僅僅專注于功能層面的實現,而沒有進行一定的安全防護工作,那么將是非常危險的一件事件。漏洞會在代碼層面暴露出來,很容易遭受攻擊。
5)憑據被盜用
憑據被盜用,就好比自己家大門的鑰匙丟了。入侵的人能夠獲得非常大的權限,進而進行肆意的破壞。如果你有下面這些行為,則需要引起高度的重視:
- 用高權限的賬號,登錄到了安全級別較低的計算機,比如公共計算機等;
- 用高權限的賬號,進行互聯網訪問,賬號密碼泄露的風險非常高;
- 本地特權賬號密碼一致,比如所有本地administrator的密碼都是一樣的,一旦出現密碼被攻破的事件,將會是毀滅的打擊。安全跟效率,永遠都是一個需要調和的矛盾點;
- 特權組人員過多,太多賬號具有高權限,極大的增加的密碼泄露的風險。企業在進行權限授予的時候,一定要充分評估賬號的權限使用場景和范圍,使用最小化的權限,并且還需要關注權限的時間段,及時的進行權限回收;
- 特權組使用范圍過大
很多企業管理員,為了日常運維的便利,往往會將一個特權組(比如administrator)用在很多地方,這種其實是不合理的。每一個權限的授予,都要嚴格按照最小化的需求來實現。每一個應用程序,也只能給與最小的權限進行管理。
6)特權賬號被濫用
跟上述的情況類似,需要嚴格控制特權賬號的使用場景。因為特權賬號、服務器、基礎組件都是主要的攻擊目標,是我們安全防護的重點。
我們首先應該盡量避免密碼永不過期的特權賬號。賬號都應該按照企業的賬號管理規定,定期進行重置,才能保障賬號的安全性。如果是特殊的應用程序或者進程必須要使用密碼永不過期的賬號,則需要將密碼設置為盡可能的復雜,且好好的進行存儲。
其次,我們不應該對于普通用戶賬號進行授權。用戶賬號跟管理賬號,一定要嚴格區別。因為我們日常登錄電腦等場景,都是不需要使用特權賬號的。
對于其他第三方平臺,應該嚴格控制應用賬號的權限,盡量不要給與過大的權限。才能確保即使第三方平臺遭受攻擊,密碼泄露之后,也不能入侵到我們的核心服務器。
03. 嘉為AD運維服務
針對企業AD運維,嘉為團隊提供全面一站式的技術服務,包括:AD及基礎架構實施、AD域升級與架構優化、AD安全加固、AD HW服務等,助企業打造堅如磐石的IT系統,為企業信息系統保駕護航。
除此之外,嘉為還提供規劃咨詢服務、系統建設服務、二線專家服務、系統優化服務、IT運維整體外包服務、人員派駐等服務,企業可以根據需求自由組合選擇使用的服務內容和范圍。
04. WeOps綜合服務解決方案
以WeOps一體化運維平臺為基礎,深度結合嘉為AD運維服務,全方位提升AD活動目錄的安全級別,為企業AD域保駕護航。
1)事先預防
WeOps綜合專家服務將從以下兩方面快速提升AD域的防御能力:
① 提供AD域深度檢查及診斷,通過WeOps巡檢工具與檢查腳本、應用/業務配置與關聯拓撲、監控預警、日志,獲取包括:服務器配置、系統日志、應用程序日志、系統安全配置、權限配置、運行狀態、性能數據、告警等信息,為AD活動目錄提供全方位檢查與診斷服務,發現潛在隱患,提前采取應對措施,降低故障發生概率;
② 建立AD域系統補丁更新機制,基于WeOps一鍵批量執行補丁安裝功能,高效完成微軟月度匯總補丁更新,并在此基礎上,結合20+年運維經驗及企業自身的情況,幫助企業快速制定相關的補丁更新流程。
2)事中檢測
WeOps綜合專家服務將從以下兩方面提升AD域運行狀態的監測能力:
① 全方位完善AD活動目錄的監控指標,包括AD域系統關鍵性能指標、AD域服務組件、AD域組策略、AD域安全組等,多維度感知到各項關鍵核心指標運行狀態的變化,及時發現異常;
③ 集中管理AD域的安全日志,通過WeOps強大的日志檢索功能,極大降低日志有效信息的獲取難度,并結合企業自身的情況以及運維經驗實踐,協助對多種關鍵日志進行告警通知,如異常IP登錄告警等,加快問題的發現。
WeOps綜合服務為企業帶來的額外價值是逐步將專家經驗轉化成產品能力,包括AD域深度巡檢指標與腳本、AD域補丁更新流程、AD域深度監控指標與插件、AD域日志監測方法等,極大降低后期AD域的安全運維工作。
如果您的企業對WeOps綜合解決方案以及嘉為AD運維服務感興趣,歡迎聯系我們,我們將為您提供專業的產品試用和產品演示等服務。
05. 后續
當然,企業安全防護是一個持續性的過程,也有一些方法論可以利用起來,限于篇幅我們將在后續進行更多深入分享。想了解如何做好企業安全防護,讓企業IT環境更加的安全,歡迎持續關注嘉為藍鯨!
