警惕可能对Windows网络带来风险的工具

简介: 警惕可能对Windows网络带来风险的工具

本文来源:企业网D1net


保持警惕并定期审查网络资产和策略可以帮助避免利用传统软件和云迁移创建的访问点进行的攻击。


目前,任何维护Windows网络安全的人都需要问几个关键问题以避免参与一些非常危险的行为,其中最重要的可能是——你是否意识到你网络中的工具可能带来的更多风险?


我们中的许多人至少部分转向了云端,因此拥有混合的本地和云资产,这种访问程序的混合通常会在网络中创建入口点。


因此,我们需要从第一个问题延伸出更多的问题:


• 你是否在教育管理员审查他们的流程,并确保这些流程不会成为攻击者的入口?

• 你是否重新评估了你的网络团队使用的工具?

• 你是否在重新审查多年前为Microsoft 365设置的配置,并将其与行业基准进行比较?


从评估Entra ID Connect的风险开始


评估风险的一个好地方是从Azure Active Directory Connect(现在已被Entra Connect取代)开始,因为攻击者经常瞄准这个连接点,因为该帐户在域中通常拥有额外的权限。


特别是,审查SQL服务器的安装,确保其设置了安装所需的最低权限。在安装过程中,默认设置往往被采用,事后没有进行审核以检查权限。


Trimarc Security指出,如果Azure AD Connect安装在1.1.654.0版本之前,需要审查以下几个方面,确保连接器帐户的权限进行了调整:


• 禁用服务帐户对象上的继承。

• 删除服务帐户对象上的所有访问控制条目(ACE),除了专门针对SELF的条目。

• 应用微软文章中提到的锁定AD DS帐户访问部分中引用的权限。


如果你已经完全迁移到云端,你需要确保完全从企业中移除Azure AD Connect,包括安装过程中的任何SQL服务器实例。确保检查你的网络中是否安装了此软件的痕迹,这可能会带来风险。


某些工具可能允许攻击者从本地资产转移到云资产


接下来,考虑你在使用Entra ID(前称Azure Active Directory)时使用的工具,这些工具也可能带来风险。


正如Mandiant指出的那样,AADInternals是一个PowerShell模块,当被滥用时,可以允许攻击者从本地资产转移到云资产。你需要确保使用该模块的服务器或工作站设置正确,并且在管理云资产时始终使用特权访问工作站。


一个名为AADIntPTASpy的模块可以被攻击者利用,允许他们以任何尝试使用通过认证登录的用户身份登录并获得访问权限。


正如Mandiant指出的,“攻击者获得了本地域的访问权限,并能够横向移动到AADConnect/PTA代理服务器。从这台服务器上,攻击者可能利用AADInternals PowerShell模块并调用Install-AADIntPTASpy函数。”这种攻击将从本地资产转移到云资产。


Mandiant还指出,如果攻击者成功攻破了Azure AD全局管理员帐户,风险就会触发。“攻击者可以从自己的基础设施发起攻击。攻击者可以在他们管理的服务器上安装一个Pass-Through Authentication Agent,并使用被攻破的全局管理员帐户注册该代理。”


识别异常活动可能需要特别关注


这些攻击不容易缓解和检测,通常需要特别关注审查身份验证日志以识别异常活动。像Midnight Blizzard(微软对一个在安全行业中也被称为Nobelium或APT29的团体的称呼)和Octo Tempest这样的威胁行为者,已经滥用AADInternals在云环境中持续存在并访问云和本地资源。


AADInternals是一个用于执行各种任务的有价值工具。例如,你可以使用该模块来:


• 枚举Entra ID用户。

• 使用设备加入模块将设备注册到Entra ID。

• 创建新的Entra ID用户。

• 为特定用户禁用多因素身份验证(MFA)。

• 使用VM代理在Azure虚拟机上运行命令。

• 收集云服务的信息,包括SharePoint和Office 365。

• 使用OneDrive访问云存储。

• 修改注册表。

• 转储本地安全机构(LSA)秘密。

• 伪造Kerberos票证。

• 使用OneDrive for Business API,包括下载文件等功能。


实际上,使用这个工具包生成自动Entra ID加入令牌比使用微软提供的任何工具更容易。因此,阻止这个模块通常不是你想要做的事情,因为它为管理员提供了太多有用的工具。


限制本地和云之间的访问和联合


应尽可能限制本地和云资产之间的访问和联合。是的,我们已经依赖于在云资产和本地之间共享数据和认证的能力,但这也往往带来了弱点。


最近的一篇ProPublica文章声称,一名举报者在基于这些攻击发生前几年就向微软指出了这些风险。虽然SolarWinds供应链攻击是入口点,但正是滥用Active Directory联合服务使攻击者获得了更多访问权限。因此,理解涉及的风险,并增加更多的监控资源以审查认证过程。


最后,如果你已经是Microsoft 365的客户,并且尚未审查你的安全默认设置和配置,现在是时候进行审查了。从微软到互联网安全中心,多年来各个实体都更新和修订了基准。一些基准有更多的手动步骤,一些则更为自动化。


此外,你可能还想审查发布的其他基准以检查Intune设置。其中一个名为OpenIntuneBaseline的GitHub存储库结合了几个其他基准的经验教训:


• NCSC设备安全指南

• CIS Windows基准

• ACSC Essential Eight

• Intune的Windows、Edge和Defender for Endpoint安全基准

• 微软最佳实践


正如网站上所述,“然后使用来自各种MVP博客和社区资源的信息以及在多个客户环境中的丰富个人经验,逐层添加了额外的配置。”


该基准包括以下关键设置的配置:


• 核心设备安全加固

• 通过BitLocker进行设备加密

• Google Chrome(注意:策略相当“反Chrome”以鼓励使用Edge)

Microsoft Edge(拆分为多个策略以便于管理)

• Microsoft Office(包括OneDrive已知文件夹移动)

• Microsoft Defender for Endpoint(防病毒、防火墙、ASR规则)

• Windows LAPS

• Windows Update for Business(交付优化、遥测和WUfB报告)

• Windows Update Rings(三环模型:试点、用户验收测试和生产)

• Windows Hello for Business


使用这些设置的资源以确保你的网络得到加固,能够抵御已知的攻击序列。遵循这些基准将有助于你限制影响。重新评估你在本地和云资源之间的连接,以确定它是否对你的企业构成可接受的风险。


Susan Bradley的更多内容:


• 可能不值得修补的3个Windows漏洞

• 通过3个边缘安全步骤降低安全风险

• CISO需要了解的关于Microsoft Copilot+的信息

• 如何为未来做准备:立即采取行动应对计划中的淘汰和更改

• 向外看:如何防范非Windows网络漏洞


版权声明:本文为企业网D1Net编译,转载需在文章开头注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。封面图片来源于摄图网


(来源:企业网D1Net)


image.png

如果您在企业IT、网络、通信行业的某一领域工作,并希望分享观点,欢迎给企业网D1Net投稿。

投稿邮箱:

editor@d1net.com

合作电话:

010-58221588(北京公司)

021-51701588(上海公司)

合作邮箱:

Sales@d1net.com


企业网D1net旗下信众智是CIO(首席信息官)的专家库和智力输出及资源分享平台,有五万多CIO专家,也是目前最大的CIO社交平台。


信众智对接CIO为CIO服务,提供数字化升级转型方面的咨询、培训、需求对接等落地实战的服务。也是国内最早的toB共享经济平台。同时提供猎头,选型点评,IT部门业绩宣传等服务。

相关文章
|
21天前
|
存储 安全 网络安全
云计算与网络安全:技术融合下的风险与对策
【9月更文挑战第16天】在数字化时代的浪潮中,云计算以其高效、便捷的特点成为企业信息化的首选。然而,云服务的普及也带来了新的网络安全挑战。本文将深入探讨云计算环境中的安全风险,分析云服务模型特有的安全需求,并提出相应的信息安全措施。我们将通过实际案例,了解如何在享受云计算便利的同时,保障数据的安全性和隐私性。
|
10天前
|
安全 Windows
怎样利用 Windows XP实现网络统一关机
怎样利用 Windows XP实现网络统一关机
怎样利用 Windows XP实现网络统一关机
|
10天前
|
存储 JavaScript 前端开发
Node 版本控制工具 NVM 的安装和使用(Windows)
本文介绍了NVM(Node Version Manager)的Windows版本——NVM for Windows的安装和使用方法,包括如何安装Node.js的特定版本、列出已安装版本、切换使用不同版本的Node.js,以及其他常用命令,以实现在Windows系统上对Node.js版本的便捷管理。
Node 版本控制工具 NVM 的安装和使用(Windows)
|
17天前
|
机器学习/深度学习 安全 网络安全
云端盾牌:云计算时代的网络安全守护在这个数字脉搏加速跳动的时代,云计算以其高效、灵活的特性,成为推动企业数字化转型的强劲引擎。然而,正如每枚硬币都有两面,云计算的广泛应用也同步放大了网络安全的风险敞口。本文旨在探讨云计算服务中网络安全的关键作用,以及如何构建一道坚不可摧的信息防线,确保数据的安全与隐私。
云计算作为信息技术领域的革新力量,正深刻改变着企业的运营模式和人们的生活。但在享受其带来的便利与效率的同时,云服务的安全问题不容忽视。从数据泄露到服务中断,每一个安全事件都可能给企业和个人带来难以估量的损失。因此,本文聚焦于云计算环境下的网络安全挑战,分析其根源,并提出有效的防护策略,旨在为云服务的安全使用提供指导和参考。
|
23天前
|
存储 安全 网络安全
云计算与网络安全:技术融合下的风险与机遇
【9月更文挑战第15天】在数字化浪潮的推动下,云计算已成为企业信息技术架构的核心。然而,随着云服务的广泛应用,网络安全问题也日益凸显。本文将深入探讨云计算环境下的网络安全挑战,分析信息安全的关键技术领域,并提供实用的安全策略和建议。我们将通过案例分析,了解如何在享受云计算带来的便利的同时,保障数据的安全和隐私。
34 3
|
1月前
|
存储 安全 网络安全
云计算与网络安全:技术融合与风险防范
【9月更文挑战第3天】本文深入探讨了云计算与网络安全之间的紧密联系,揭示了云服务在提升企业效率的同时可能带来的安全隐患。文章首先介绍了云计算的基础知识,包括其定义、服务模型和部署类型,随后详细分析了网络安全的重要性以及云计算环境下的安全挑战。通过阐述网络攻击的常见方式,本文进一步讨论了如何在云环境中实施有效的安全策略,包括数据加密、访问控制等措施。最后,文章总结了云计算与网络安全的相互影响,并提出了未来研究方向,旨在为读者提供对这一复杂而重要领域的深刻理解。
|
2月前
|
存储 缓存 监控
警惕网络背后的陷阱:揭秘DNS缓存中毒如何悄然改变你的网络走向
【8月更文挑战第26天】DNS缓存中毒是一种网络攻击,通过篡改DNS服务器缓存,将用户重定向到恶意站点。攻击者利用伪造响应、事务ID猜测及中间人攻击等方式实施。这可能导致隐私泄露和恶意软件传播。防范措施包括使用DNSSEC、限制响应来源、定期清理缓存以及加强监控。了解这些有助于保护网络安全。
53 1
|
2月前
|
域名解析 运维 监控
网络故障排查的常用工具与方法:技术深度解析
【8月更文挑战第20天】网络故障排查是一项复杂而重要的工作,需要网络管理员具备扎实的网络知识、丰富的实践经验和灵活的问题解决能力。通过掌握常用工具和方法,遵循科学的排查流程,可以显著提高故障排查的效率和准确性。希望本文能为读者在网络故障排查方面提供有益的参考和启示。
|
2月前
|
网络安全 Windows
windows电脑如何打开telnet工具
这篇文章提供了在Windows电脑上启用Telnet客户端工具的详细步骤,包括通过控制面板启用Telnet功能,并展示了启用前后的效果对比。
windows电脑如何打开telnet工具
|
2月前
|
传感器 监控 安全
网络监控工具的比较与选择:技术视角的深度剖析
【8月更文挑战第19天】网络监控工具的选择需要根据企业的实际需求、功能性能、成本和可维护性等多方面因素进行综合考虑。通过对SolarWinds、Zabbix、PRTG和Nagios等主流网络监控工具的比较,我们可以看到每种工具都有其独特的优势和适用场景。因此,在选择时,请务必根据您的具体情况进行权衡和选择,以确保您能够获得最佳的监控效果和投资回报。