www.hj8828.com常见AD攻击及预防措施详解一

域控制器仅仅是一个控制器。它们控制身份验证、可能还有授权和一些会计工作,同时且通常且还为你公司中用作Windows部件的所有事件掌控安全身份的生命周期。

域控制器仅仅是一个控制器。它们控制身份验证、可能还有授权和一些会计工作,同时且通常且还为你公司中用作Windows部件的所有事件掌控安全身份的生命周期。

活动目录以下简称AD对于系统管理员有着至关重要的作用,下文是介绍常见的AD的攻击以及预防措施,具体内容如下所述。

就其本身而论,域控制器存在一些特别安全考虑。那么你如何为这方面评分呢?为了强化域控制器周围的整个环境,请注意以下五个要点。

就其本身而论,域控制器存在一些特别安全考虑。那么你如何为这方面评分呢?为了强化域控制器周围的整个环境,请注意以下五个要点。

微软的活动目录AD为大规模的企业系统提供了方便的管理架构,但是,你了解针对AD的攻击吗?你管理的AD安全吗?如何加强AD的安全管理呢?相信本文一定会成为很好的参考。

1.
限制物理访问。这是你可以为你的总体域控制器安全包提供的唯一最大缓解因素。这里的首要问题是,你的域控制器高于你的网络上一切的中央安全机构,并且正如你所知,如果你具备对机器进行本地物理访问的权利,那么就存在许多通过关闭硬盘来获得信息权利的琐碎方法。哈希算法自身提供了一个黑客所需的一切,以使其成为一个真实的、合法的可以通过验证的用户,且如果你控制了域控制器的磁盘,那么这些很容易做到。更不用说通过这些哈希算法来实现实际登录以及修改登录脚本的可能性,以及安装复制到其它域控制器的恶意程序等。

1. 限制物理访问。

现在,许多企业在Windows架构中采用活动目录AD)作为企业目录或者是网络操作系统目录NOS),AD已经成为企业中一项重要的资产。显然,如此有价值的东西当然要受到重点保护。

如果你拥有物理的(非虚拟化的)域控制器,那么在你做任何事情之前,请买一个笼子和一个安全锁并把它们置于其后。不要让域控制器运行在管理服务台之下,也不要让你的数据中心成为一个没有锁的小盒子。它拥有公司的安全财富这个领域的钥匙,所以要像你保护支票一样保护它:置于锁和钥匙的保护下。

这是你可以为你的总体域控制器安全包提供的唯一最大缓解因素。这里的首要问题是,你的域控制器高于你的网络上一切的中央安全机构,并且正如你所知,如果你具备对机器进行本地物理访问的权利,那么就存在许多通过关闭硬盘来获得信息权利的琐碎方法。哈希算法自身提供了一个黑客所需的一切,以使其成为一个真实的、合法的可以通过验证的用户,且如果你控制了域控制器的磁盘,那么这些很容易做到。更不用说通过这些哈希算法来实现实际登录以及修改登录脚本的可能性,以及安装复制到其它域控制器的恶意程序等。

对AD的攻击可以来自许多方面——我们来看看五个常用的攻击手段以及如何保护AD以应对攻击。本文提到的前三种攻击可以在AD中提升攻击者的权限,后两种攻击则严重影响了AD架构的可用性。除非特别说明,本文的内容适用于WindowServer2003和Windows2000Server中的AD。

2.
从一开始就合理设计。一个适当设计的活动目录拓扑结构将会包含威胁,以至于即使是域控制器也会受到危害,但是你的整个森林网络不必被摧毁和重建。请确保你的森林和域反映了你在不同的城市、区县以及国家拥有的真实的、物理的位置;让你的组织单元和你的公司里拥有的机器类型和人员相匹配;并且让安全组代表你的组织结构图的层次结构。那么,如果在一个森林中用于欧洲的域控制器受到了损害,你就不必重建用于亚洲的域控制器。

如果你拥有物理的非虚拟化的)域控制器,那么在你做任何事情之前,请买一个笼子和一个安全锁并把它们置于其后。不要让域控制器运行在管理服务台之下,也不要让你的数据中心成为一个没有锁的小盒子。它拥有公司的安全财富这个领域的钥匙,所以要像你保护支票一样保护它:置于锁和钥匙的保护下。

在本文中我不能列出全部的AD攻击,我的主要目的是让AD管理员有危机感,能够用多种方法加固AD,保护AD。

3.
虚拟化你的域控制器。通过使用虚拟机作为你的域控制器,你就可以使用BitLocker或者其它的全驱动器加密产品对你的虚拟硬盘所在的磁盘进行加密。然后,请确保运行这些虚拟机的主机没有加入这个域。如果由于某种原因有人偷走了你的主机和域控制器,那么对于一个在你的目录中植入恶意文件的攻击者来讲,解密硬盘来获得对虚拟硬盘的访问的可能性会是另一个障碍。

2. 从一开始就合理设计。

攻击一:基于LMHash破解密码

4.
遵从安全信托的最佳做法。正如安全专家所说的,了解你的范围。这里存在一个很好的指南,用来理解信托以及其中关于TechNet的各种考虑。请仔细注意有选择性的身份认证章节,它包含一个很好的防止随机访问攻击的方法。

一个适当设计的活动目录拓扑结构将会包含威胁,以至于即使是域控制器也会受到危害,但是你的整个森林网络不必被摧毁和重建。请确保你的森林和域反映了你在不同的城市、区县以及国家拥有的真实的、物理的位置;让你的组织单元和你的公司里拥有的机器类型和人员相匹配;并且让安全组代表你的组织结构图的层次结构。那么,如果在一个森林中用于欧洲的域控制器受到了损害,你就不必重建用于亚洲的域控制器。

密码破解实际上是利用操作系统使用的同一个哈希算法对可能的用户密码进行哈希运算,然后把结果和目标操作系统中保存的密码哈希进行对比,从而获得破解的密码。密码破解一般非常耗时,破解者通常要试验大量有时候是全部)可能的密码。不过,一些免费工具,如JohntheRipper和LCP可以进行自动破解,最新版本的JohntheRipper和LCP可以分别从

5.
保证目录服务还原模式的密码比其它任何密码更安全。目录服务还原模式是一个特别的模式,当出现某些错误时,利用它来离线修复活动目录。目录服务还原模式密码是一个特别的后门,它提供了对目录的管理访问。你是在一个离线的文本模式状态下使用它。把它个密码当作一个可以进入林的东西来保护它,因为它就是这样。你也可以为Windows
Server
2008下载一个hotfix,它将会使目录服务还原密码与域管理员账号同步。或者,如果你已经安装了Service
Pack 2版本,那么你已经拥有了这个功能,仅仅使用如下命令即可:

3. 虚拟化你的域控制器。

由于Windows创建LM哈希的方法存在漏洞,可以显著加速破解过程。一个漏洞是密码不能长于14个字符,并且LM还在哈希运算中将密码字符全部转换为大写,此外,LM哈希实际上并没有使用哈希函数,而是采用对称加密生成了哈希值。

ntdsutil “set dsrm password” “sync from domain account

通过使用虚拟机作为你的域控制器,你就可以使用BitLocker或者其它的全驱动器加密产品对你的虚拟硬盘所在的磁盘进行加密。然后,请确保运行这些虚拟机的主机没有加入这个域。如果由于某种原因有人偷走了你的主机和域控制器,那么对于一个在你的目录中植入恶意文件的攻击者来讲,解密硬盘来获得对虚拟硬盘的访问的可能性会是另一个障碍。

在图1中显示了用户密码“hpinvent1”是如何生成LM哈希值的过程。首先,密码被转换成大写字母“HPINVENT1”;然后,这些大写字母被分割成两段字符串,每段7个字符,“HPINVEN”和“T1*****”,其中第二段要用空字符补齐;接着,这两段字符串作为密钥,通过DigitalEncryptionStandardDES)对称加密去加密一个常数,而不是使用哈希函数;最后,把DES加密的结果连接起来就生成了LM哈希值。

<DomainAdminAccount>”q q

4. 遵从安全信托的最佳做法。

攻击一预防措施

总之,如果一个域控制器被窃取或者以其它方式让你的公司财产处于一个未认证的状态,那么你可以不再信任那个机器。但不幸的是,因为那个域控制器包含了关于你IT身份的所有有价值的东西以及密码,所以最好的(也是最容易后悔和痛苦的)建议只能是毁灭该林并重建它。这就是最规范和积极主动的最佳做法,它构成了本文的第一点。

正如安全专家所说的,了解你的范围。这里存在一个很好的指南,用来理解信托以及其中关于TechNet的各种考虑。请仔细注意有选择性的身份认证章节,它包含一个很好的防止随机访问攻击的方法。

要降低LM密码哈希的危害,需要采取以下措施:在AD数据库中取消LM哈希,要求Windows用户采用更为强壮的NTLMv2认证协议,或者要求用户应用特殊的密码创建规则。

TechTarget中国原创内容,原文链接:

5. 保证目录服务还原模式的密码比其它任何密码更安全。

在WindowsServer2003、WindowsXP和后续的平台中,可以设置组策略GPO)或者本地策略禁止AD保存LM哈希:

目录服务还原模式是一个特别的模式,当出现某些错误时,利用它来离线修复活动目录。目录服务还原模式密码是一个特别的后门,它提供了对目录的管理访问。你是在一个离线的文本模式状态下使用它。把它个密码当作一个可以进入林的东西来保护它,因为它就是这样。你也可以为Windows
Server
2008下载一个hotfix,它将会使目录服务还原密码与域管理员账号同步。或者,如果你已经安装了Service
Pack 2版本,那么你已经拥有了这个功能,仅仅使用如下命令即可:

网络安全:在下次改变密码时不保存LANManager哈希。

ntdsutil "set dsrm password" "sync from domain account
<DomainAdminAccount>" q q

在Windows2000,该设置并不能从AD或SAM本地安全数据库)移除LM哈希,只能确保用户下次更改密码的时候不会保存LM哈希。因此,进行该设置以后,需要强制所有受影响的用户更改密码。在WindowsServer2003和WindowsXP,上述设置则可以清除安全数据库中的LM哈希历史数据。