在Windows环境中,某个不满或粗心的特权用户很容易便可造成灾难,因为一切都依赖于Active Directory (AD)。如果Active Directory中断,则整个网络就会中断,即使您的任何服务器和应用程序都没有问题也是如此。
有多么容易? 本电子书介绍了特权用户(或窃取了特权凭据的攻击者)可用来使AD中断继而使网络其余部分中断的许多方式中的3种,包括:
然后,我们介绍了8种重要的AD安全妥善做法,可帮助您降低该风险并提高您在遇到灾难情况时的恢复能力。
当今许多企业花费数以百万美元计的资金来加强网络边界,将攻击者拒之网络之外,但是未能充分关注已在内部的恶意用户。实际上,内部威胁占所有网络安全攻击的60 %,因此绝不可被忽略。但是发现内部威胁说起了容易做起来难,尤其是您依靠基于规则的检测方法时。在第一周结束时,您可能仅仅因追踪误报便筋疲力竭。幸运的是,我们可以提供帮助。
在本电子书中,我们将介绍为何使用基于用户行为的检测方法的解决方案(如Change Auditor Threat Detection,)可以大大提高您捕获内部威胁的几率,避免它们对您的企业造成灾难。您不仅能够使用各种策略来捕获内部威胁,还可消除与基于规则的检测方法相关联的大量误报。
本文档将Quest 的Active Directory 迁移解决方 案与Microsoft Active Directory Migration Tool (ADMT) 版本3.2 进行了比较。在执行复杂的AD 迁移项目时,Quest 产品组合可以提供许多优势, 包括许多重要的竞争优势。
本文档反映了2022 年9 月执行的比较研究。
检测恶意用户进行的可疑活动是一个巨大的难题。基于规则的传统用户威胁检测方法会生成很多警报,以至您无法完全对它们进行调查;您最终会浪费时间来找出误报问题并面临忽略所有真正威胁的风险,从而使您的企业面临数据安全违规的风险。但是,如果您拥有成熟的模式识别技术,可以仅在用户异常行为足以表明其危害凭据或滥用权限时才发出警报,这会怎么样?
Quest® Change Auditor威胁检测使用高级机器学习、用户和实体行为分析(UEBA)以及SMART关联技术,在您的环境中准确发现异常活动并识别风险很高的用户,以便您可以有效保护数据和业务。本技术简介对此解决方案的工作方式进行了说明。
由于Active Directory (AD)为超过90 %的全球企业提供主要身份验证和授权目录服务,因此它已成为网络攻击的共同目标。据Microsoft统计,事实上每天有超过9500万AD帐户遭到网络攻击。
虽然没有一种完全保险的方法能阻止外部人员或内部人员泄露数据,但是,您可以通过多层安全在物理、逻辑、管理和数据层共同发挥作用来加强AD的安全,从而显著降低发生安全事件和未经授权访问的风险。不过,构建这些安全层需要补充AD的本机安全机制(含额外功能)。
本白皮书详细介绍了您应该实施以改善AD安全态势的逻辑安全层和管理安全层,并阐述了您应在第三方解决方案(如Quest Software提供的Active Directory安全套件)中寻找的一些功能,以补充本机安全机制。
组策略对象(GPO)的设计目的是为了简化IT操作和跨Active Directory环境提供集中式安全策略。与任何其他强大的系统一样,GPO也会遭到滥用或侵入,以规避安全控制并获得敏感数据的访问权限。一些大中型企业跨大范围分布式环境部署了数百甚至数千个GPO,这不仅会产生巨大的内部威胁,还会暴露大量表面攻击区域(在未提供适当补偿安全控制的情况下)。
本白皮书介绍了在未提供适当安全控制的情况下GPO如何遭到滥用或侵入,并解释了如何实施分层安全基础架构,便于您检测和阻止对GPO的未经授权访问并发出相应警报。
对Active Directory安全的内部威胁真实存在、范围广泛且成本颇高。AD在全球企业中的优势使其成为敌人的首要目标,用于利用技术限制和人为错误来从内部实施数据泄露。
AD事件的监控日志仅仅是起点,但许多内部威胁都利用未记录的AD事件。除此之外,需要注意的可疑攻击点非常之多,并且没有自动化方法来防止所有方面。
本白皮书重点介绍Microsoft Active Directory (AD)因在面向所有用户的身份验证和授权中至关重要而成为攻击者的首要目标。读者将看到典型的内部威胁如何展开并了解有关Active Directory安全的最佳做法,这些最佳做法能够最大限度地降低对AD可用性、机密性和完整性的内部威胁风险。
如需详细了解Active Directory安全,请按需观看我们的网络广播: