如何防止ad域环境遭受恶意攻击？

关键词：

01 前言

上次介绍了作为一个AD管理人员或者是AD技术支持人员，应该保持关注的几个工作内容，包括补丁更新、密码重置、权限梳理和组策略防护等（​​点击查看​​），做好这些事情，能够让我们的AD域环境，处于一个相对较为安全的环境。

当然，时代是在变化的，我们的运维理念也应该随着时代的发展，进行持续的更新迭代，才能做好未来的运维工作。

任何IT组织或者企业，都很难避免不受到来自外界的攻击。攻击的途径、方式各有不同，但是黑客都希望通过一次成功的攻击，侵入到企业的内部环境中，实现他们的利益和目的。因此我们需要通过适当的策略、流程和管控措施等来保护组织内的关键信息或者关键组件。即使在未来的某一天受到攻击和入侵，也能够放置入侵范围的扩大，最大程度降低入侵的影响。

在我们决定采取任何防护措施之前，我们不得不了解攻击入侵的常用途径，才能更好的根据企业的实际情况，针对性的采取相关的防护措施。

02 攻击常用途径分析

在企业日常运转过程中，往往会遭遇如下的情况，进而给了别人可趁之机：

系统漏洞

绝大部分企业遭受的攻击，都是漏洞攻击。漏洞的入侵方式，在网上都是公开的，黑客非常容易利用起来，并且制作成检测工具进行全网扫描，一旦发现某一个ip存在这样子的漏洞，就会立即利用漏洞进行入侵。因此，没有进行及时的漏洞修复，包括操作系统级别的漏洞、防病毒软件/反垃圾软件没有及时更新规则库等，都会导致企业非常容易遭受入侵和破坏。

产品超过生命周期

生命周期管理，对于很多企业来说往往是非常困难的。因为每一个版本的更新迭代，都代表着大量的人力物力财力和时间的投入，很多企业都不愿意进行投入。且缺乏有效的管理手段和方法，很难形成企业资产生命周期管理方法论。

长期无序且混乱的资产管理，导致很多的产品，包括操作系统、中间件、应用程序等，都是超过了其生命周期，无法获得及时的补丁支持、漏洞修复和技术支持。运维的技术风险和安全风险随着时间的推迟，逐渐加大。

系统或者应用程序配置错误

系统或者应用程序配置的异常，也是导致企业遭受攻击的因素之一。比如密码在登录过程中没有加密，传输过程中都是明文，配置信息泄露或者发布到公网等，都有可能带来各种各样的安全风险。

应用程序安全防护做的太差

我们一直在跟很多企业进行安全加固方面的工作。通过我们的安全加固措施，能够杜绝绝大部分的入侵。其他应用程序也是如此，如果这些应用程序在开发过程中，仅仅专注于功能层面的实现，而没有进行一定的安全防护工作，那么将是非常危险的一件事件。漏洞会在代码层面暴露出来，很容易遭受攻击。

凭据被盗用

凭据被盗用，就好比自己家大门的钥匙丢了。入侵的人能够获得非常大的权限，进而进行肆意的破坏。如果你有下面这些行为，则需要引起高度的重视：

1.  用高权限的账号，登录到了安全级别较低的计算机，比如公共计算机等；

2.  用高权限的账号，进行互联网访问，账号密码泄露的风险非常高；

3.  本地特权账号密码一致，比如所有本地administrator的密码都是一样的，一旦出现密码被攻破的事件，将会是毁灭的打击。安全跟效率，永远都是一个需要调和的矛盾点；

4.  特权组人员过多，太多账号具有高权限，极大的增加的密码泄露的风险。企业在进行权限授予的时候，一定要充分评估账号的权限使用场景和范围，使用最小化的权限，并且还需要关注权限的时间段，及时的进行权限回收；

5.  特权组使用范围过大

很多企业管理员，为了日常运维的便利，往往会将一个特权组（比如administrator）用在很多地方，这种其实是不合理的。每一个权限的授予，都要严格按照最小化的需求来实现。每一个应用程序，也只能给与最小的权限进行管理。

特权账号被滥用

跟上述的情况类似，需要严格控制特权账号的使用场景。因为特权账号、服务器、基础组件都是主要的攻击目标，是我们安全防护的重点。

我们首先应该尽量避免密码永不过期的特权账号。账号都应该按照企业的账号管理规定，定期进行重置，才能保障账号的安全性。如果是特殊的应用程序或者进程必须要使用密码永不过期的账号，则需要将密码设置为尽可能的复杂，且好好的进行存储。

其次，我们不应该对于普通用户账号进行授权。用户账号跟管理账号，一定要严格区别。因为我们日常登录电脑等场景，都是不需要使用特权账号的。

对于其他第三方平台，应该严格控制应用账号的权限，尽量不要给与过大的权限。才能确保即使第三方平台遭受攻击，密码泄露之后，也不能入侵到我们的核心服务器。

03 嘉为AD运维服务

针对企业AD运维，嘉为团队提供全面一站式的技术服务，包括：AD及基础架构实施、AD域升级与架构优化、AD安全加固、AD HW服务等，助企业打造坚如磐石的IT系统，为企业信息系统保驾护航。

除此之外，嘉为还提供规划咨询服务、系统建设服务、二线专家服务、系统优化服务、IT运维整体外包服务、人员派驻等服务，企业可以根据需求自由组合选择使用的服务内容和范围。

04  WeOps综合服务解决方案

以WeOps一体化运维平台为基础，深度结合嘉为AD运维服务，全方位提升AD活动目录的安全级别，为企业AD域保驾护航。

事先预防

WeOps综合专家服务将从以下两方面快速提升AD域的防御能力：

1） 提供AD域深度检查及诊断，通过WeOps巡检工具与检查脚本、应用/业务配置与关联拓扑、监控预警、日志，获取包括：服务器配置、系统日志、应用程序日志、系统安全配置、权限配置、运行状态、性能数据、告警等信息，为AD活动目录提供全方位检查与诊断服务，发现潜在隐患，提前采取应对措施，降低故障发生概率；

AD域控健康检查报告（示例）

2） 建立AD域系统补丁更新机制，基于WeOps一键批量执行补丁安装功能，高效完成微软月度汇总补丁更新，并在此基础上，结合20+年运维经验及企业自身的情况，帮助企业快速制定相关的补丁更新流程。

AD域控补丁安装结果（示例）

事中检测

WeOps综合专家服务将从以下两方面提升AD域运行状态的监测能力：

1）  全方位完善AD活动目录的监控指标，包括AD域系统关键性能指标、AD域服务组件、AD域组策略、AD域安全组等，多维度感知到各项关键核心指标运行状态的变化，及时发现异常；

AD活动目录的监控指标（示例）

2）  集中管理AD域的安全日志，通过WeOps强大的日志检索功能，极大降低日志有效信息的获取难度，并结合企业自身的情况以及运维经验实践，协助对多种关键日志进行告警通知，如异常IP登录告警等，加快问题的发现。

AD异常日志监控告警（示例）

WeOps综合服务为企业带来的额外价值是逐步将专家经验转化成产品能力，包括AD域深度巡检指标与脚本、AD域补丁更新流程、AD域深度监控指标与插件、AD域日志监测方法等，极大降低后期AD域的安全运维工作。

如果您的企业对WeOps综合解决方案以及嘉为AD运维服务感兴趣，欢迎联系我们，我们将为您提供专业的产品试用和产品演示等服务。

05 后续

当然，企业安全防护是一个持续性的过程，也有一些方法论可以利用起来，限于篇幅我们将在后续进行更多深入分享。想了解如何做好企业安全防护，让企业IT环境更加的安全，欢迎持续关注嘉为蓝鲸！

如何绕开验证码（原理）

...以避免服务器遭受恶意攻击！ 那么，验证码机制又该如何实现。　目前主流的实现技术主要有session和cookie两种方式，而这两种方式可以说技术是一样的，区别在于将验证码字符串存储 查看详情

防止恶意请求 - DOS 攻击

】防止恶意请求-DOS攻击【英文标题】：PreventMaliciousRequests-DOSAttacks【发布时间】：2013-02-0511:13:19【问题描述】：我正在开发一个asp.netMVCWeb应用程序，客户要求我们尽最大努力使其尽可能地抵御拒绝服务攻击。他们担心网站可能... 查看详情

TinyMCE 安全问题：如何防止恶意输入？

】TinyMCE安全问题：如何防止恶意输入？【英文标题】：TinyMCEsecurityquestion:Howdoyoupreventmaliciousinput?【发布时间】：2011-03-0404:50:16【问题描述】：如何防止TinyMCE等所见即所得编辑器中的恶意输入？我有一个系统，用户不是“精通技... 查看详情

防止恶意攻击短信验证码接口方法

防止恶意攻击短信验证码接口方法1、手机号码限制：限制单个手机号码每天的最大发送次数。超过次数不能发送短信，可以考虑将手机号码加入黑名单，禁止1天。2、短信发送时间间隔限制：限制同一个手机号码重复发送的时间... 查看详情

防止来自恶意 protobuf 数据包的 DoS 攻击

】防止来自恶意protobuf数据包的DoS攻击【英文标题】：PreventingDoSattacksfrommaliciousprotobufpackets【发布时间】：2014-06-1619:11:20【问题描述】：我目前正在编写一个客户端/服务器应用程序，使用Google协议缓冲区对底层消息进行编码。由... 查看详情

如何防止web攻击

参考技术A高防IP拉黑 参考技术BSQL注入攻击(SQLInjection)攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL命令，或作为... 查看详情

特殊字符的过滤，防止xss攻击

...的页面中。项目环境spring+struts2+.....(仅列举相关的)需求防止xss攻击分析1.防止xss攻击，可以从请求处拦截特殊字符，核心是过滤特殊字符串 查看详情

客户端遭受大流量的ddos攻击了怎么办？

...（根据攻击情况推荐防御套餐）Anti防御是针对客户端在遭受大流量的DDoS攻击后导致服务不可用的情况下，推出的付费增值服务，用户可以通过配置Anti防御，将攻击流量引流到Anti防御节点上，确保源站的稳定可靠。把域名解析... 查看详情

asp.net如何防止sql注入

参考技术AASP.NET如何防止SQL注入　　一、什么是SQL注入式攻击?　　所谓SQL注入式攻击，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用... 查看详情

ad域安全攻防实践（附攻防矩阵图）

...、凭证窃取、横向移动、权限维持等攻击阶段，把域环境下众多且繁杂的攻击行为映射到ATT&CK，梳理成一个AD域攻防矩阵图。（1）域内信息收集当攻击者获得内网某台域内服务器的权限，就会以此为起始攻... 查看详情

创建组策略，防止误点程序

描述：目标目录开启了可执行文件运行权限。 1.恶意攻击者可以在该目录下执行恶意文件或程序。 2.目录开启可执行文件运行权限是IIS服务器所特有的一种情况。该目录下的可执行文件(.EXE、.DLL、.BAT）等后缀的文件可以... 查看详情

618techtalk丨大促活动如何抵御大流量ddos攻击？

...按需使用DDoS防护。本篇文章由专业的安全团队为你分享如何根据DDoS攻击情况和业务健康状况，实时调整防护策略，保障业务稳定性的同时，节省大量安全防护和运营成本。如果你的网站或应用程序 查看详情

向日葵资深产品总监技术分享：“国民远控”如何在ad域环境下应用

...作为最具代表性的国产远程控制品牌，那么其服务是如何融入企业自有的AD域系统的？本篇文章详细介绍了向日葵如何在企业的AD域环境下运行，并在强化安全的同时减轻管理负担。AD（Act 查看详情

向日葵资深产品总监技术分享：“国民远控”如何在ad域环境下应用

...作为最具代表性的国产远程控制品牌，那么其服务是如何融入企业自有的AD域系统的？本篇文章详细介绍了向日葵如何在企业的AD域环境下运行，并在强化安全的同时减轻管理负担。AD（Act 查看详情

防病毒技术：无文件攻击

...比如无文件攻击就代表真的没有攻击文件吗?没有文件又如何实施攻击?如何检测?如何防御……，其实“无文件攻击”只是一种攻击策略，其出发点就是避免将恶意文件放在磁盘上，以逃避安全检测。有一点需要明确，就是无文件... 查看详情

如何防止xsrf攻击

djangopost出现403的解决法据说，从django1.x开始，加入了CSRF保护。CSRF（Cross-siterequestforgery跨站请求伪造，也被称成为“oneclickattack”或者sessionriding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS）... 查看详情

利用闪电贷恶意投票黑客抽空beanstalk资金

...击过程陆续得到了其他区块链安全机构的分析印证。对于如何挽回损失，Beanstalk尚未公开回应。攻击者利用闪电贷通过恶意提案根据DefiLlama数据，4月16日，锁仓在Beanstalk协议的加密资产还价值3200万美元，一天后&#x... 查看详情

mybatis以及预编译如何防止sql注入

SQL注入是一种代码注入技术，用于攻击数据驱动的应用，恶意的SQL语句被插入到执行的实体字段中（例如，为了转储数据库内容给攻击者）。[摘自] SQLinjection-WikipediaSQL注入，大家都不陌生，是一种常见的攻击方式。攻击者在... 查看详情