日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
讓黑客在內(nèi)網(wǎng)為所欲為的“憑據(jù)轉(zhuǎn)儲(chǔ)”攻擊應(yīng)該如何防御?

憑據(jù)轉(zhuǎn)儲(chǔ)是網(wǎng)絡(luò)攻擊者用于獲取目標(biāo)網(wǎng)絡(luò)持久訪問(wèn)權(quán)的一項(xiàng)重要技術(shù)。他們通過(guò)網(wǎng)絡(luò)釣魚(yú)的方式潛入目標(biāo)企業(yè)的網(wǎng)絡(luò)工作站中,然后利用管理員管理和監(jiān)視網(wǎng)絡(luò)的典型方法從操作系統(tǒng)和軟件中獲取帳戶(hù)登錄名和密碼信息,通常是哈?;蛎魑拿艽a形式的信息。進(jìn)行憑據(jù)轉(zhuǎn)儲(chǔ)后,攻擊者就可以使用這些憑據(jù)進(jìn)行橫向移動(dòng)及訪問(wèn)受限信息。

創(chuàng)新互聯(lián)公司是一家專(zhuān)業(yè)提供泗洪企業(yè)網(wǎng)站建設(shè),專(zhuān)注與做網(wǎng)站、成都做網(wǎng)站、H5網(wǎng)站設(shè)計(jì)、小程序制作等業(yè)務(wù)。10年已為泗洪眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專(zhuān)業(yè)網(wǎng)站制作公司優(yōu)惠進(jìn)行中。

憑據(jù)對(duì)于攻擊者而言是如此重要,以致在許多情況下,獲取用戶(hù)名和密碼不僅是達(dá)到目的的手段,而且是攻擊的整個(gè)目標(biāo)。因此,在各種犯罪論壇上,憑據(jù)都是可出售的商品,并且有些網(wǎng)站可以追蹤公開(kāi)的憑據(jù)轉(zhuǎn)儲(chǔ)情況。

可以說(shuō),任何企業(yè)組織都可能存在使他們?nèi)菀资艿綉{據(jù)轉(zhuǎn)儲(chǔ)攻擊影響的漏洞。以下是識(shí)別此類(lèi)漏洞或限制這種風(fēng)險(xiǎn)的5種方法,希望可以幫助企業(yè)組織更好地防范憑據(jù)轉(zhuǎn)儲(chǔ)攻擊。

1. 限制憑據(jù)重用

根據(jù)《Verizon數(shù)據(jù)泄露調(diào)查報(bào)告》顯示,“憑據(jù)重用”仍然是攻擊者獲取權(quán)限或在內(nèi)網(wǎng)移動(dòng)的主要方式之一。這是有道理的,因?yàn)閷?duì)于攻擊者來(lái)說(shuō),用戶(hù)名和密碼并不難獲取。弱密碼、密碼重復(fù)使用和眾多的密碼公開(kāi)泄露使得攻擊者能夠輕松找到入侵網(wǎng)絡(luò)的憑據(jù)。他們一旦進(jìn)入網(wǎng)絡(luò),想要獲取更多的憑據(jù)就會(huì)變得更容易。此外,許多網(wǎng)絡(luò)釣魚(yú)攻擊也都在試圖獲取用戶(hù)憑據(jù),然后將其用于獲取網(wǎng)絡(luò)權(quán)限的惡意活動(dòng)中。

這種情況下,我們應(yīng)該怎么做呢?首先,查看自己的網(wǎng)絡(luò)管理。查找陌生登錄地點(diǎn)。此外,在奇怪的時(shí)間登錄,或者同時(shí)有多人登錄也是異常現(xiàn)象。即使你無(wú)法在第一時(shí)間檢測(cè)到可疑登錄,但在事件響應(yīng)的時(shí)候,這些異常事件會(huì)讓你發(fā)現(xiàn)攻擊者進(jìn)入了網(wǎng)絡(luò),此時(shí),你可以在日志中查找可疑活動(dòng)并將其標(biāo)記,以便進(jìn)一步調(diào)查時(shí)使用。

NIST建議稱(chēng),企業(yè)組織應(yīng)該定期檢查自己的用戶(hù)密碼是否在公開(kāi)的密碼數(shù)據(jù)庫(kù)中。如果在網(wǎng)絡(luò)上使用過(guò)的任何密碼信息出現(xiàn)在密碼泄露列表中,都會(huì)使您的網(wǎng)絡(luò)更容易受到攻擊影響。

Troy Hunt已經(jīng)發(fā)布了一個(gè)數(shù)據(jù)庫(kù),其中包含超過(guò)5億個(gè)被盜用的密碼信息。您可以使用各種資源來(lái)將這些泄露的密碼與您自己網(wǎng)絡(luò)中使用的密碼進(jìn)行比較。例如,您可以使用密碼過(guò)濾器在Active Directory域上為Active Directory安裝Lithnet密碼保護(hù)(LPP),以查看網(wǎng)絡(luò)上正在使用的密碼。然后使用組策略來(lái)自定義這些密碼的檢查。當(dāng)然,您可以選擇“拒絕”或“允許”這些操作。

2. 管理本地管理員密碼

企業(yè)組織必須清楚地明白管理本地管理員密碼的重要性。這些密碼在整個(gè)網(wǎng)絡(luò)中不應(yīng)該完全設(shè)置成一樣的。為了方便記憶,企業(yè)組織可以考慮部署本地管理員密碼解決方案(LAPS)。也可以安裝Lithnet LAPS Web應(yīng)用程序,該應(yīng)用程序提供了一個(gè)簡(jiǎn)單的基于Web的移動(dòng)友好型界面,用于訪問(wèn)本地管理員密碼。

攻擊者們知道,一旦他們獲得了網(wǎng)絡(luò)內(nèi)部的訪問(wèn)權(quán)限并獲取了本地管理員密碼不幸遺留的哈希值,他們便可以在整個(gè)網(wǎng)絡(luò)中進(jìn)行橫向移動(dòng)。擁有隨機(jī)分配的密碼意味著攻擊者將無(wú)法執(zhí)行這種橫向移動(dòng)。

3. 查看并審核NTLM的使用情況

如果您正在使用的是New Technology LAN Manager(NTLM),那么攻擊者就可以使用NTLM哈希來(lái)訪問(wèn)您的網(wǎng)絡(luò)。依靠LM或NTLM身份驗(yàn)證與任何通信協(xié)議(SMB、FTP、RPC、HTTP等)結(jié)合使用,會(huì)將您置于此類(lèi)攻擊風(fēng)險(xiǎn)之中。只要您的企業(yè)內(nèi)部存在哪怕一臺(tái)脆弱設(shè)備,攻擊者也能夠見(jiàn)縫插針,趁虛而入。從Windows 7 / Windows Server 2008 R2開(kāi)始,默認(rèn)情況下NTLMv1和LM身份驗(yàn)證協(xié)議是禁用的,但是現(xiàn)在,是時(shí)候重新檢查一下您的設(shè)置,以確保您已經(jīng)授權(quán)執(zhí)行了NTLMv2。您可以使用PowerShell查看網(wǎng)絡(luò)中NTLM的使用情況。

在組策略中,將值設(shè)置如下:

◆選擇“開(kāi)始”。選擇“運(yùn)行”;

◆輸入GPedit.msc;

◆選擇“本地計(jì)算機(jī)策略”;

◆選擇“計(jì)算機(jī)配置”;

◆選擇“ Windows設(shè)置”;

◆選擇“安全設(shè)置”;

◆選擇“本地策略”;

◆選擇“安全選項(xiàng)”;

◆滾動(dòng)到策略“網(wǎng)絡(luò)安全:LAN Manager身份驗(yàn)證級(jí)別”;

◆右鍵單擊“屬性”;

◆選擇“僅發(fā)送NTLMv2響應(yīng)/拒絕LM和NTLM”;

◆單擊“確定”并確認(rèn)設(shè)置更改;

注冊(cè)表設(shè)置值如下:

◆打開(kāi)regedit.exe并導(dǎo)航到HKLM \ System \ CurrentControlSet \ control \ LSA。單擊LSA。如果在右側(cè)窗格中看不到LMCompatibilityLevel,則可能需要添加新的注冊(cè)表項(xiàng)。選擇“編輯”。

◆選擇“新建”;

◆選擇“ REG_DWORD”;

◆將“New Value#1”替換為“ LMCompatibilityLevel”;

◆雙擊右側(cè)窗格中的LMCompatibilityLevel;

◆輸入“ 5”代表更改的級(jí)別。您可能需要升級(jí)打印機(jī)上的固件以支持網(wǎng)絡(luò)中的NTLMv2;

4. 管理“復(fù)制目錄更改”的訪問(wèn)控制列表

攻擊者比我們更了解如何使用我們域中的賬戶(hù)。他們經(jīng)常會(huì)濫用Microsoft Exchange權(quán)限組。因此,您需要監(jiān)視域中關(guān)鍵功能對(duì)安全組和訪問(wèn)控制列表(ACL)的更改。審核并監(jiān)視您域中ACL的任何更改。

當(dāng)攻擊者修改域?qū)ο蟮腁CL時(shí),將創(chuàng)建一個(gè)ID為5136的事件。然后,您可以使用PowerShell腳本查詢(xún)Windows事件日志,以在日志中查找安全事件ID 5136:

然后,使用ConvertFrom-SDDL4,它能夠?qū)DDL字符串轉(zhuǎn)換為可讀性更高的ACL對(duì)象。Server 2016及更高版本提供了一個(gè)額外的審核事件,該事件記錄了原始和修改后的描述符。

5. 監(jiān)視與Isass.exe交互的異常進(jìn)程

最后,監(jiān)視lsass.exe進(jìn)程中的異常峰值。域控制器將lsass.exe進(jìn)程用作域事務(wù)的常規(guī)過(guò)程的一部分。拒絕服務(wù)(DoS)和惡意流量可能隱藏在這些進(jìn)程之中。確定域控制器中的正常狀態(tài)是監(jiān)視攻擊時(shí)間的關(guān)鍵。在域控制器上運(yùn)行Active Directory數(shù)據(jù)收集器,以你在網(wǎng)絡(luò)上看到的正常進(jìn)程做基線,監(jiān)視出現(xiàn)的異常進(jìn)程。

如果想要始終將攻擊者擋在門(mén)外,首先,我們要對(duì)自己的網(wǎng)絡(luò)及其資源使用情況有個(gè)良好的基本認(rèn)知。正所謂“知己知彼方能百戰(zhàn)不殆”,花一些時(shí)間來(lái)加深理解,才不至于每每讓攻擊者占據(jù)上風(fēng)。


網(wǎng)頁(yè)名稱(chēng):讓黑客在內(nèi)網(wǎng)為所欲為的“憑據(jù)轉(zhuǎn)儲(chǔ)”攻擊應(yīng)該如何防御?
本文來(lái)源:http://www.dlmjj.cn/article/cdcpdho.html