活动目录
访问管理

知道可以轻易地破坏Active Directory用户密码的情况,对于组织来说,更好地保护用户凭据并防止出现网络漏洞至关重要。

活动目录-所有访问类型的一个身份源

对于90%的企业 活动目录 继续充当用户身份存储库,充当身份和访问信任的主要来源。

由Microsoft开发,用于 Windows域网络,Active Directory提供 认证服务 验证用户的身份,访问网络上资源的身份验证和授权以及 组策略处理 在组织中的客户端和服务器之间实施安全设置。

如今,随着企业将其架构扩展到传统范围之外,越来越多的用户依赖于 RDP连接和VPN访问策略 用于远程访问。 VPN依靠本地公司身份源(通常是Active Directory)来验证访问公司网络的用户。

为什么访问是防止攻击的关键

对Active Directory的安全攻击 不是问题,而是何时。在几乎每次成功的攻击中, 活动目录被操纵,加密或销毁 。为什么?因为只有少数重要的IT资产可以 黑客传播 在最初的违规行为发生之后,一个高耸于它们之上的就是:Active Directory。

超过80%的与黑客相关的违规行为 涉及使用 凭证丢失或被盗。它们是组织网络及其信息资产的切入点。除非攻击者能够破坏一组内部Active Directory凭据,否则攻击者无能为力。

现在,这种首次访问通常是一个低级端点,无权访问任何有价值的东西。然而,它起着最初的立足点 横向运动 (使机器跳动以定位和访问包含有价值数据的系统的过程)。

实际上,外围攻击除外(在这种攻击中,SQL注入之类的攻击方法不需要凭据即可访问数据), 您环境中的所有访问层在某个时候都需要登录。端点需要登录才能访问,任何类型的横向移动都需要进行身份验证才能访问目标端点,对数据本身的访问首先需要经过身份验证的连接。

简而言之,无需登录,就无法访​​问!

合规性也始于确保访问权限

许多国家/地区还要求企业在保护身份和防止未经授权的访问方面予以关注。 GDPR,HIPAA和Sarbanes-Oxley等法规 使组织对控制访问负责 个人,客户或员工信息。这个单字“访问”表示某人使用帐户主动连接到系统并打开/读取/复制/下载敏感数据的过程,该操作始于该人登录。

登录是最吸引人的地方 在这时,既可以监视合规性,又可以监视(如果您已准备好适当的安全解决方案)阻止潜在的不当访问(再次请参阅:合规性违反)。

活动目录环境的访问管理

有效的访问管理概念围绕五个主要功能展开,所有这些功能协同工作以维护安全的环境:

  • 两要素认证 –监管用户访问涉及验证以验证用户身份。但是,仅使用强壮的用户名和密码进行身份验证已不再有用。两因素身份验证将您所知道的内容(您的密码)与您所拥有的内容(令牌或身份验证器应用程序)结合在一起。
  • 存取限制 –可以添加有关谁可以在何时,何地,多长时间,多久和多久进行登录的策略。它还可以限制登录类型的特定组合(例如基于控制台和RDP的登录)。
  • 访问监控 –每次登录时的意识都将作为实施策略,警报,报告等的基础。
  • 访问警报 –将不适当的登录活动和尝试失败通知IT人员和用户本身,有助于警告涉及凭据的可疑事件。
  • 访问响应 –允许IT与可疑会话进行交互,锁定控制台,注销用户,甚至阻止他们进一步登录。

通过将这些功能集放在一起,访问管理可以在网络的最前端放置保护层,以确保适当的使用。

为什么要进行访问管理?

现在,您可能会问自己,为什么要使用访问管理而不是诸如下一代防病毒或Endpoint Security之类的东西。这是一个有效的问题。与大多数试图驻留在恶意行为点上的安全解决方案不同,访问管理试图将自身无缝插入到流程中,从而在威胁行为发生之前将其停止。

  1. 1. 登录功能是每次攻击的核心

    如前所述 每种攻击的共同点是需要登录。无论是通过远程会话,通过PowerShell,利用驱动器映射还是通过在控制台本地登录来完成,您的网络都要求用户在进行任何类型的访问之前对其进行身份验证。

  2. 2. 自动化控制实际上可以阻止攻击

    这是安全策略最重要的方面之一。市场上几乎所有的安全解决方案都说它们可以阻止攻击。这里要当心–解决方案是否只是警告IT潜在威胁(它只会在IT介入后才停止攻击,或者只是使攻击者的暴露程度降至最低,但实际上并未阻止攻击),还是确实采取了措施并停止了攻击攻击?

    与安全解决方案不同,安全解决方案要求攻击者执行某种不适当的操作,例如尝试访问敏感数据,将副本复制到USB记忆棒或将文件附加到基于Web的电子邮件,以识别潜在的攻击。 访问管理发生在实现任何类型的访问之前,更不用说了。

    如果登录超出了一组既定限制,则可以 自动地 阻止访问或再次提示进行身份验证。或者,如果已经建立连接,则立即强行注销用户并锁定帐户,在采取任何恶意措施之前阻止攻击。

  3. 3. 限制误报的准确性

    任何安全解决方案中最令人恐惧的部分是可能产生大量警报,这些警报最终被证明是误报。在如此之多的用户几乎每天都在登录的情况下,至关重要的是,IT部门必须具备适当的解决方案。 确定攻击可能性.

    使用定制的策略驱动控件,可以根据环境的正常使用配置访问管理,仅在登录超出策略时提供警报。

  4. 4. 与IT团队的Active Directory无缝集成

    访问管理与现有的登录过程集成在一起以扩展而不是取代安全性。解决方案 与现有的Active Directory基础结构一起工作 不要让IT团队感到沮丧。它们易于实现且易于管理。

  5. 5. 易于最终用户采用

    如果安全不堪重负,并且窒息了生产力,那么用户将无法完成工作,解决方案一经推出就无法解决。访问管理 在幕后提供安全保障,直到用户真正与安全协议冲突之前,一直保护用户和环境。

  6. 6. 免培训实施

    您是否可以想象是否必须培训每个用户如何使用某种新的安全解决方案?这样的想法是一个完全的初学者。访问管理应 需要零培训,使在任何类型的组织中实施起来都很容易。

  7. 7. 支持零信任模型

    零信任模型以“永不信任,始终验证”为原则,认识到 查看并验证所有内容 在网络中访问和进行。可以创建自定义的两因素身份验证提示和精细的访问限制,以专门针对风险较高的用户设置更严格的限制,警报和响应。

  8. 8. 成本效益

    如果您同意“如果不是”的前提,那么您已经知道您的安全策略是不完整的,需要更多的投资。安全性不一定要付出高昂的代价,但必须在其成本方面有效。访问管理确保(在安全性支出的情况下) 最安全的保护 花费最少的钱。

两要素认证的神话及其对没有认证的公司的意义

一旦攻击者使用员工的合法登录名登录到您的系统,您的防病毒,防入侵,防火墙和其他技术都将不会标记任何异常。这些工具认为访问您网络的人就是他们所说的。

对于没有两因素身份验证(2FA)的公司而言,清醒的现实是,当员工因网络钓鱼诈骗或共享密码而倒下时,您很容易受到攻击。

尽管存在明显威胁,但几年前,IS 决定对IT决策者的调查发现,只有38%的人使用2FA来增强网络凭据。今天,我们继续看到其他研究表明情况没有太大变化。

那么,为什么不愿意采用2FA?

误解一: 2FA仅适用于大型企业吗?

不能。常见的误解是,公司需要一定规模才能从2FA中受益。无论规模大小,采用2FA解决方案对于任何公司而言都是一项重要的安全举措。他们想要保护的数据同样敏感,破坏也同样严重。它不必复杂,昂贵或令人沮丧!

误解二: 2FA仅适用于特权用户

再没有许多公司继续依赖本地Windows凭据,因为他们认为大多数员工无法访问关键,敏感,受保护或其他有价值的数据。要求他们使用2FA登录似乎有点过分。但是现实情况是,那些员工所在的公司可能会认为“非特权”人员(从事工作的普通用户)实际上有权访问可能损害公司的数据。护士将名人患者的数据出售给小报的简单举动证明了数据的价值,以及由于不当使用数据可能对组织造成的潜在危害。

此外,外部攻击几乎永远不会从有权访问您要保护的数据的特权帐户开始。黑客攻击中使用的第一大策略是凭据被盗;网络犯罪分子利用任何遭受网络钓鱼诈骗的帐户在组织内横向移动,以识别,访问和泄露有价值的数据。

误解三: 2FA不是完美的解决方案

不,但是很近!像任何安全解决方案一样,使用双重身份验证也不是完美的选择。最近,FBI对黑客能够绕过2FA的事件发出了警告。身份验证程序的两个主要漏洞是“通道入侵”(涉及用于身份验证程序的通信通道的接管)和“实时网络钓鱼”(使用中间机拦截和重播身份验证消息)。专家认为,此类攻击类型需要花费大量成本和精力。

遇到2FA的绝大多数攻击者只会继续转移到其下一个(更轻松的)受害者,而不是尝试绕过此安全措施。通过选择不依赖SMS身份验证的2FA身份验证器,您还可以采取简单的预防措施来避免某些漏洞。 (美国国家标准技术研究院(NIST)在其最新的数字身份准则中不鼓励SMS和语音。

尽管最近发布了警告,但FBI仍然认为2FA仍然有效,并且仍然是公司加强安全性可采取的最简单步骤之一。

误解四: 2FA妨碍员工的生产力

与任何新技术一样,挑战在于以最小程度地妨碍用户生产力的方式实施访问控制。员工不会容忍过于破坏性的方法。他们将找到规避安全控制和更方便地访问资源的方法。如果没有这种敏感性,它不仅会减慢采用速度,还会使其停顿下来!

因此,任何2FA解决方案都需要灵活性。管理员可能希望避免在每次登录时都提示用户输入2FA。这样做的一种好方法是通过上下文控件来提高身份保证。他们对最终用户透明,他们使用环境信息来进一步验证所有用户声明的身份,但不影响员工的工作效率。上下文因素可以包括位置,机器,时间,会话类型和同时会话数。

登录时保护组织

有效 访问管理解决方案 使组织能够无缝保护其整个Windows 活动目录网络的登录安全。它使业务可以正常进行,但是需要进行检查和控制,以在进入点自动关闭可疑活动。

阅读有关如何 凯泽市 在勒索软件攻击后,使用UserLock增强访问安全性。

准备尝试UserLock吗?

下载免费试用版