Facebook Google Plus Twitter LinkedIn YouTube RSS 功能表 搜尋 資源 - 部落格資源 - 網路研討會資源 - 報告資源 - 活動icons_066 icons_067icons_068icons_069icons_070

保障 Active Directory 的安全並中斷攻擊路徑

tenable-ad

每一則因漏洞引發的新聞頭條背後,都有一個不安全的 Active Directory (AD) 部署環境。AD 已成為攻擊者最喜愛的目標,透過運用已知瑕疵與不當設定,攻擊者就能提升權限並進行橫向移動。

不幸的是,由於網域的複雜度不斷增加而產生的不當設定,使多數企業難以確保 Active Directory 的安全性,讓資安團隊無法在這些不當設定成為影響業務的問題之前找到並修復瑕疵。

Tenable.ad 能讓您在 Active Directory 中洞察一切、預測最重要的事、並且採取行動以因應風險,在攻擊者利用它們之前就中斷攻擊路徑。

申請示範

權限提升

橫向移動

攻擊者的下一步

在攻擊發生前搜尋與修復 Active Directory 的脆弱環節

在您現有的 Active Directory 網域中搜尋與排定脆弱環節的優先順序,並按照 Tenable.ad 的逐步修復指引降低您的曝險。

即時偵測與回應 Active Directory 攻擊

偵測 Active Directory 攻擊,如:DCShadow、Brute Force、Password Spraying、DCSync 等等。 Tenable.ad 能利用攻擊洞察力豐富您的 SIEM、SOC 或 SOAR,因此您就能迅速回應並阻止攻擊。

中斷攻擊路徑

攻擊路徑是攻擊者透過網路已充分探勘過的路線,能夠讓他們從不良的網路安全建置環境中成功牟取利益。Tenable 藉由結合風險型弱點管理與 Active Directory 安全性,能讓您中斷攻擊路徑,確保攻擊者難以找到立足點,也無法採取下一步行動。

初始立足點

透過網路釣魚或弱點

攻擊路徑

提升

取得特殊權限存取

迴避

隱藏鑑識足跡

建立

安裝程式碼以便永久立足

洩漏

洩漏資料或綁架目標以便勒索

探索

在目標環境中橫向移動

「Tenable.ad 解決方案讓我們再也不用擔心 Active Directory 的安全問題,因此我們就能專注於建立新業務的工作上。」 Vinci Energies 資訊長 Dominique Tessaro
製藥業龍頭 Sanofi 如何成功保護其全球 Active Directory 基礎架構

製藥業龍頭 Sanofi 如何成功保護其全球 Active Directory 基礎架構

閱讀案例研究
Vinci Energies 如何在其瞬息萬變的 Active Directory 基礎架構上達到強大的安全性

Vinci Energies 如何在其瞬息萬變的 Active Directory 基礎架構上達到強大的安全性

閱讀案例研究
Lagardère 的小型經營實體如何以有限的資源保護其 Active Directory 基礎架構

Lagardère 的小型經營實體如何以有限的資源保護其 Active Directory 基礎架構

閱讀案例研究

保障 Active Directory 的安全

  • 發現影響您 Active Directory 的底層問題
  • 找出危險的信任關係
  • 掌握您 AD 中的每一個變更
  • 將 AD 變更與惡意動作連結
  • 分析攻擊的深度詳細資訊
  • 直接從資安事端詳細資訊中探索 MITRE ATT&CK 的說明
觀看網路研討會

持續偵測並防止 Active Directory 攻擊

無需代理程式、無需特殊權限、沒有延遲

無需代理程式、無需特殊權限、沒有延遲

無需代理程式和特殊權限,就能防止並偵測複雜的 Active Directory 攻擊。

涵蓋雲端

涵蓋雲端

即時檢查 Azure Active Directory Domain Service、AWS Directory Service、或 Google Managed Service for Active Directory 的安全性。

在任何地點部署

在任何地點部署

Tenable.ad 提供兩種不同架構設計的彈性。內部部署能讓您將資料保留在現場,並且在您的控制之下。軟體即服務 (SaaS) 則能讓您運用雲端。

常見問題

Tenable.ad 的主要功能為何?
Tenable.ad 能讓您在弱點被攻擊者利用之前搜尋與修復 Active Directory 當中的脆弱環節,並即時偵測與應變攻擊。Tenable.ad 的主要功能包括:
  • 找出任何潛藏在您 Active Directory 組態中的脆弱環節
  • 發現威脅 AD 安全性的底層問題
  • 以簡易的詞彙說明來剖析每一個不當設定
  • 取得每一個問題的建議修復方式
  • 建立可管理您 AD 安全性的自訂儀表板,以降低風險
  • 找出危險的信任關係
  • 掌握您 AD 中的每一個變更
  • 發現 AD 中每一個網域的重大攻擊
  • 從精確的攻擊時間表中將每一個威脅視覺化
  • 在單一檢視畫面中彙整攻擊散佈情形
  • 將 AD 變更與惡意動作連結
  • 深入分析 AD 攻擊的細節
  • 從偵測到的資安事端直接探索 MITRE ATT&CK ® 的說明
Tenable.ad 能夠偵測哪些 Active Directory 攻擊和技巧?
Tenable.ad 可偵測許多在網路攻擊中用來取得提高權限及啟用橫向移動的技巧,包括:DCShadow、暴力破解 (Brute Force)、密碼噴灑 (password spraying)、DCSync、Golden Ticket 等等。
Tenable.ad 能夠偵測 Active Directory 上的哪些特殊權限攻擊媒介?
Tenable.ad 擁有攻擊者用來取得特殊權限的已知攻擊媒介之大量資料庫。 包括:

攻擊媒介

說明

已知的侵犯工具

Mitre 攻擊對照表

執行 Kerberos 服務的特殊權限帳號

使用可暴力破解的 Kerberos Service Principal Name 之高度特殊權線帳號

Kerberom

權限提升、橫向移動、持續性

危險的 Kerberos 委派動作

檢查以確認沒有授權危險的委外動 (不受限、通訊協定轉換等)

Nishang

權限提升、橫向移動、持續性

Active Directory PKI 使用脆弱的加密演算法

在內部 Active Directory PKI 上部署的 Root 認證絕對不能使用脆弱的加密演算法

ANSSI-ADCP

持續性、權限提升、橫向移動

重要物件上的危險存取權限委派

我們發現某些存取權限會允許非法使用者控制重要的物件

BloodHound

洩漏、橫向移動、指令與控制、存取認證、權限提升

密碼原則中的多種問題

在某些特定的帳號上,目前所使用的密碼原則應不足以確保認證受到可靠的保護

Patator

規避防禦、橫向移動、存取認證、權限提升

危險的 RODC 管理帳號

負責管理唯讀網域控制器的系統管理群組中含有不正常的帳號

Impacket

存取認證、規避防禦、權限提升

與重要物件連結的敏感 GPO

某些由非系統管理帳號所管理的 GPO 會連結至敏感的 Active Directory 物件 (例如:KDC 帳號、網域控制器、系統管理群組等)

ANSSI-ADCP

指令與控制、存取認證、持續性、權限提升

系統管理帳號能連接至除了網域控制器以外的其他系統

受監控的基礎架構上所部署的安全原則無法防止系統管理帳號連接除了 DC 以外的資源,導致敏感的認證洩漏

CrackMapExec

規避防禦、存取認證

危險的信任關係

不當設定的信任關係屬性會降低目錄基礎架構的安全性

Kekeo

橫向移動、存取認證、權限提升、規避防禦

GPO 中可還原的密碼

驗證 GPO 中包含的密碼不是以可還原的格式儲存

SMB 密碼編目程式

存取認證、權限提升

執行已過時作業系統的電腦

已過時的系統已不再受到廠商的支援,因此會大幅增加基礎架構的弱點

Metasploit

橫向移動、指令與控制

使用 Windows 2000 之前版本相容存取控制的帳號

Windows 2000 之前版本的相容存取群組的帳號成員可迴避特定的安全措施

Impacket

橫向移動、規避防禦

本機系統管理帳號的管理

確保本機系統管理帳號使用 LAPS 集中且安全地受到管理

CrackMapExec

防禦規避、存取認證、橫向移動

危險的匿名使用者組態

在受監控的 Active Directory 基礎架構上啟用匿名存取將會導致敏感資訊外洩

Impacket

洩漏

不正常的 RODC 篩選屬性

套用在某些唯讀網域控制器的篩選原則會造成敏感資訊被快取處理,進而允許權限提升

Mimikatz (DCShadow)

權限提升、規避防禦

在橫向移動攻擊情境中缺少限制

在受監控的 Active Directory 基礎架構上沒有啟用橫向移動限制,讓攻擊者能夠以同樣的權限層級從一台機器跳到另一台機器上

CrackMapExec

橫向移動

DC 共享區中儲存的純文字密碼

在 DC 共享區上的某些檔案可以被任何經授權的使用者存取,而其中可能會包含純文字密碼,進而允許權限提升

SMBSpider

存取認證、權限提升、持續性

登入指令碼上的危險存取控制權限

某些在電腦或使用者登入時執行的指令碼擁有危險的存取權限,進而導致權限提升

Metasploit

橫向移動、權限提升、持續性

GPO 中使用了危險的參數

某些危險的參數 (例如:限制的群組、LM 雜湊運算、NTLM 認證層級、敏感參數等等) 是由 GPO 所設定,這些參數會造成安全漏洞

Responder

搜尋、存取認證、執行、持續性、權限提升、規避防禦

使用者帳號控制 (User Account Control) 組態中所定義的危險參數

某些使用者帳號的使用者帳號控制屬性會定義危險的參數 (例如:PASSWD_NOTREQD 或 PARTIAL_SECRETS_ACCOUNT),這些參數會危害這些帳號的安全性

Mimikatz (LSADump)

持續性、權限提升、規避防禦

沒有更新應用程式安全修補程式

某些在 Active Directory 中登錄的伺服器最近沒有套用安全更新程式

Metasploit

指令與控制權限升級、規避防禦

對使用者帳號嘗試暴力破解

某些使用者帳號已經被暴力破解攻擊鎖定

Patator

存取認證

使用者帳號上的 Kerberos 組態

某些帳號會使用安全性脆弱的 Kerberos 組態

Mimikatz (Silver Ticket)

存取認證、權限提升

DC 上不正常的共享區或儲存的檔案

某些網域控制器會用來存放非必要的檔案或網路共享區

SMBSpider

搜尋、洩漏

Tenable.ad 能夠判別 Active Directory 上的哪些後門程式技巧?
Tenable.ad 擁有大量攻擊者用來取得持續性的已知後門程式技巧資料庫。包括:

後門程式技巧

說明

已知的侵犯工具

Mitre 攻擊對照表

確保 SDProp 一致性

控制 adminSDHolder 物件保持在無毒的狀態

Mimikatz (Golden Ticket)

權限提升、持續性

確保 SDProp 一致性

驗證使用者的主要群組沒有被變更

BloodHound

權限提升、持續性

驗證根網域物件權限

確保根網域物件上的權限設定是合理的

BloodHound

權限提升、持續性

驗證敏感的 GPO 物件與檔案權限

確保 GPO 物件和連結至敏感容器 (如網域控制器 OU) 的檔案權限設定是合理的

BloodHound

執行、權限提升、持續性

RODC KDC 帳號上的危險存取權限

某些唯讀網域控制器上所使用的 KDC 帳號可以被非法使用者帳號控制,導致認證外洩

Mimikatz (DCSync)

權限提升、持續性

對應至使用者帳號的敏感憑證

某些儲存在 altSecurityIdentities 使用者帳號屬性中的 X509 憑證能讓憑證的私密金鑰擁有者以該使用者的身分通過身分驗證

指令與控制、存取認證、權限提升、持續性

正常帳號上的不良 Krbtgt SPN 設定

KDC 的 Service Principal Name 會出現在某些正常的使用者帳號上,進而偽造 Kerberos 工單

Mimikatz (Golden Ticket)

權限提升、持續性

KDC 密碼上次更改

KDC 帳號密碼必須定期更改

Mimikatz (Golden Ticket)

存取認證、權限提升、持續性

帳號擁有危險的 SID History 屬性

檢查在 SID 歷程屬性中使用特權 SID 的使用者或電腦帳號

DeathStar

權限提升、持續性

流氓網域控制器

確保只有合法的網域控制器伺服器登錄至 Active Directory 基礎架構中

Mimikatz (DCShadow)

執行、規避防禦、權限提升、持續性

非法的 Bitlocker 金鑰存取控制

某些儲存在 Active Directory 中的 Bitlocker 復原金鑰可以被除了系統管理員以外的人員以及連結的電腦存取

ANSSI-ADCP

存取認證、權限提升、持續性

Schema 安全描述項中不正常的項目

Active Directory Schema 被修改為新的標準存取權限或可能危害受監控基礎架構的物件

BloodHound

權限提升、持續性

啟用 DSRM 帳號

Active Directory 復原帳號被啟用,使其曝露在認證遭竊的風險之中

Mimikatz (LSADump)

存取認證、執行、規避防禦、權限提升、持續性

RODC 中危險的快取原則

某些唯讀網域控制器上所設定的快取原則會讓全域系統管理員帳號的認證被 RODC 管理帳號快取處理及擷取

Mimikatz (DCSync)

權限提升、持續性

套用在 DC 上由 GPO 部署的憑證

某些 GPO 會用來在網域控制器上部署憑證,讓憑證的私密金鑰擁有者得以入侵這些伺服器

BloodHound

權限提升、持續性

在使用智慧卡時無法更新身分驗證雜湊

某些使用智慧卡身分驗證的使用者帳號無法經常更新其認證雜湊

Mimikatz (LSADump)

持續性

使用者帳號的密碼可還原

驗證不會有參數使得密碼以可還原的格式儲存

Mimikatz (DC 同步)

存取認證

在容器上使用明確的拒絕存取

某些 Active Directory 容器或 OU 會定義明確的拒絕存取,可能會導致後門程式隱藏

BloodHound

規避防禦、持續性

Tenable.ad 如何稽核 Active Directory?
Tenable.ad 是市面上唯一無需在網域控制器或端點上部署任何代理程式的解決方案。Tenable.ad 甚至只需要使用者層級的權限就能操作。這套獨特的架構能讓資安團隊快速稽核 Active Directory 的組態,而不會有複雜的部署問題。
Tenable.ad 是一種 AD 專用的時點安全稽核工具嗎?

AD 不當設定隨時都有可能發生,因此只有在 AD 啟動後數分鐘進行、而且只將重點放在不當設定,而沒有包括入侵指標的時點稽核已經過時。

另一方面而言,Tenable.ad 是一套持續掃描 AD 是否有新的脆弱環節和攻擊的安全平台,當發生問題時,它還能即時警示使用者。

Tenable.ad 能夠偵測到 Golden Ticket 攻擊嗎?
是的,Golden Ticket 是 Tenable.ad 能夠偵測出來且協助您預防的眾多攻擊技巧之一。利用同步執行數百種安全檢查和關聯分析,Tenable.ad 能夠為 AD 涵蓋最廣泛的安全範圍。
Tenable.ad 是否能與我的 SIEM / SOAR / 工單系統等整合?

AD 安全性是您資安拼圖中非常重要的一塊,而 Tenable.ad 能夠將其嚴密地融合在您的安全生態系統之中。

我們的 Syslog 整合性可確保所有 SIEM 及大多數的工單系統與 Tenable.ad 能夠立即整合。我們也針對 QRadar、Splunk 和 Phantom 提供原生應用程式。

Tenable.ad 是一款雲端型解決方案嗎?
我們的解決方案同時支援雲端型和內部部署方案。這兩種部署方式在功能上沒有任何差異。
Tenable.ad 可擴充至多組織和多樹系 Active Directory 部署環境嗎?
已經有一些規模最大、最敏感的 AD 受到 Tenable.ad 的保護。我們的平台是以企業級解決方案建構,其無代理程式型 AD 原生架構能支援複雜的多組織、多樹系 Active Directory 部署環境。
Tenable.ad 的授權方式為何?
Tenable.ad 按啟用的使用者帳號授權。
Tenable.ad 需要 Active Directory 的特殊權限才能找出脆弱環節並回應攻擊嗎?
Tenable.ad 在稽核組態和判別針對 Active Directory 的攻擊方面,只需要標準使用者帳號。
我要如何購買 Tenable.ad?
您可以配合您當地的 Tenable 認證合作夥伴或聯絡 Tenable 業務代表,以購買 Tenable.ad。
Tenable.ad 有提供評估版嗎?
有的,Tenable.ad 有提供評估版,請填寫評估申請表,現在就能開始您的試用評估。

相關資源

國王的贖金 (鉅額贖金):如何防止勒索軟體透過 AD 散播

企業的全面性威脅:AD 攻擊的影響

保障 Active Directory 的安全:如何主動偵測攻擊

開始使用 TENABLE.AD


「透過在我們的全球網路周邊部署 Tenable.ad,我們才得以提供利害關係人所需的企業網路安全風險能見度。」 Sanofi 全球網路安全主管 Jean-Yves Poichotte
免費試用 立即購買
Tenable.io 免費試用 30 天

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。 立即註冊。

Tenable.io 購買

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

65 項資產

選取您的訂閱選項:

立即購買
免費試用 立即購買

免費試用 Nessus Professional

免費試用 7 天

Nessus® 是現今市場上功能最全面的弱點掃描工具。Nessus Professional 能協助自動化弱點掃描程序、節省您達到合規性的時間並讓您的 IT 團隊合作。

購買 Nessus Professional

Nessus® 是現今市場上功能最全面的弱點掃描工具。Nessus Professional 能協助自動化弱點掃描程序、節省您達到合規性的時間並讓您的 IT 團隊合作。

購買多年期授權,節省更多。新增 365 天全年無休 24 小時全天候可使用電話、社群及對談的進階支援。完整詳情請見此處。

免費試用 立即購買

試用 Tenable.io Web Application Scanning

免費試用 30 天

享受我們專為現代應用程式而設計,屬於 Tenable.io 平台一部分的最新 Web 應用程式掃描產品的所有功能。不需耗費大量人力或中斷重要 Web 應用程式,即可高度準確且安全地掃描您整個線上產品系列中是否含有任何弱點。 立即註冊。

購買 Tenable.io Web Application Scanning

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

5 個 FQDN

$3,578

立即購買

免費試用 聯絡業務人員

試用 Tenable.io Container Security

免費試用 30 天

享受整合至弱點管理平台中的唯一容器安全產品的完整功能。監控容器映像中是否有弱點、惡意軟體及政策違規的情形。與持續整合和持續部署 (CI/CD) 系統整合,以支援 DevOps 作法、加強安全性並支援企業政策合規性。

購買 Tenable.io Container Security

Tenable.io Container Security 整合了建置程序,能提供包含弱點、惡意軟體和政策違規等容器影像安全性的能見度,讓您無縫並安全地啟用 DevOps 流程。

免費試用 聯絡業務人員

試用 Tenable Lumin

免費試用 30 天

透過 Tenable Lumin,能夠以視覺方式呈現 Cyber Exposure 並加以探索,長期追蹤風險降低狀況,以及對照同業進行指標分析。

購買 Tenable Lumin

聯絡業務代表,瞭解 Lumin 如何協助您獲得整個企業的深入洞見,並管理網路風險。