保障 Active Directory 的安全並中斷攻擊路徑

每一則因漏洞引發的新聞頭條背後,都有一個不安全的 Active Directory (AD) 部署環境。AD 已成為攻擊者最喜愛的目標,透過運用已知瑕疵與不當設定,攻擊者就能提升權限並進行橫向移動。
不幸的是,由於網域的複雜度不斷增加而產生的不當設定,使多數企業難以確保 Active Directory 的安全性,讓資安團隊無法在這些不當設定成為影響業務的問題之前找到並修復瑕疵。
Tenable.ad 能讓您在 Active Directory 中洞察一切、預測最重要的事、並且採取行動以因應風險,在攻擊者利用它們之前就中斷攻擊路徑。
申請示範沒有
權限提升
橫向移動
攻擊者的下一步
在攻擊發生前搜尋與修復 Active Directory 的脆弱環節
在您現有的 Active Directory 網域中搜尋與排定脆弱環節的優先順序,並按照 Tenable.ad 的逐步修復指引降低您的曝險。
即時偵測與回應 Active Directory 攻擊
偵測 Active Directory 攻擊,如:DCShadow、Brute Force、Password Spraying、DCSync 等等。 Tenable.ad 能利用攻擊洞察力豐富您的 SIEM、SOC 或 SOAR,因此您就能迅速回應並阻止攻擊。
保障 Active Directory 的安全
- 發現影響您 Active Directory 的底層問題
- 找出危險的信任關係
- 掌握您 AD 中的每一個變更
- 將 AD 變更與惡意動作連結
- 分析攻擊的深度詳細資訊
- 直接從資安事端詳細資訊中探索 MITRE ATT&CK 的說明

常見問題
- 找出任何潛藏在您 Active Directory 組態中的脆弱環節
- 發現威脅 AD 安全性的底層問題
- 以簡易的詞彙說明來剖析每一個不當設定
- 取得每一個問題的建議修復方式
- 建立可管理您 AD 安全性的自訂儀表板,以降低風險
- 找出危險的信任關係
- 掌握您 AD 中的每一個變更
- 發現 AD 中每一個網域的重大攻擊
- 從精確的攻擊時間表中將每一個威脅視覺化
- 在單一檢視畫面中彙整攻擊散佈情形
- 將 AD 變更與惡意動作連結
- 深入分析 AD 攻擊的細節
- 從偵測到的資安事端直接探索 MITRE ATT&CK ® 的說明
攻擊媒介 |
說明 |
已知的侵犯工具 |
Mitre 攻擊對照表 |
執行 Kerberos 服務的特殊權限帳號 |
使用可暴力破解的 Kerberos Service Principal Name 之高度特殊權線帳號 |
Kerberom |
權限提升、橫向移動、持續性 |
危險的 Kerberos 委派動作 |
檢查以確認沒有授權危險的委外動 (不受限、通訊協定轉換等) |
Nishang |
權限提升、橫向移動、持續性 |
Active Directory PKI 使用脆弱的加密演算法 |
在內部 Active Directory PKI 上部署的 Root 認證絕對不能使用脆弱的加密演算法 |
ANSSI-ADCP |
持續性、權限提升、橫向移動 |
重要物件上的危險存取權限委派 |
我們發現某些存取權限會允許非法使用者控制重要的物件 |
BloodHound |
洩漏、橫向移動、指令與控制、存取認證、權限提升 |
密碼原則中的多種問題 |
在某些特定的帳號上,目前所使用的密碼原則應不足以確保認證受到可靠的保護 |
Patator |
規避防禦、橫向移動、存取認證、權限提升 |
危險的 RODC 管理帳號 |
負責管理唯讀網域控制器的系統管理群組中含有不正常的帳號 |
Impacket |
存取認證、規避防禦、權限提升 |
與重要物件連結的敏感 GPO |
某些由非系統管理帳號所管理的 GPO 會連結至敏感的 Active Directory 物件 (例如:KDC 帳號、網域控制器、系統管理群組等) |
ANSSI-ADCP |
指令與控制、存取認證、持續性、權限提升 |
系統管理帳號能連接至除了網域控制器以外的其他系統 |
受監控的基礎架構上所部署的安全原則無法防止系統管理帳號連接除了 DC 以外的資源,導致敏感的認證洩漏 |
CrackMapExec |
規避防禦、存取認證 |
危險的信任關係 |
不當設定的信任關係屬性會降低目錄基礎架構的安全性 |
Kekeo |
橫向移動、存取認證、權限提升、規避防禦 |
GPO 中可還原的密碼 |
驗證 GPO 中包含的密碼不是以可還原的格式儲存 |
SMB 密碼編目程式 |
存取認證、權限提升 |
執行已過時作業系統的電腦 |
已過時的系統已不再受到廠商的支援,因此會大幅增加基礎架構的弱點 |
Metasploit |
橫向移動、指令與控制 |
使用 Windows 2000 之前版本相容存取控制的帳號 |
Windows 2000 之前版本的相容存取群組的帳號成員可迴避特定的安全措施 |
Impacket |
橫向移動、規避防禦 |
本機系統管理帳號的管理 |
確保本機系統管理帳號使用 LAPS 集中且安全地受到管理 |
CrackMapExec |
防禦規避、存取認證、橫向移動 |
危險的匿名使用者組態 |
在受監控的 Active Directory 基礎架構上啟用匿名存取將會導致敏感資訊外洩 |
Impacket |
洩漏 |
不正常的 RODC 篩選屬性 |
套用在某些唯讀網域控制器的篩選原則會造成敏感資訊被快取處理,進而允許權限提升 |
Mimikatz (DCShadow) |
權限提升、規避防禦 |
在橫向移動攻擊情境中缺少限制 |
在受監控的 Active Directory 基礎架構上沒有啟用橫向移動限制,讓攻擊者能夠以同樣的權限層級從一台機器跳到另一台機器上 |
CrackMapExec |
橫向移動 |
DC 共享區中儲存的純文字密碼 |
在 DC 共享區上的某些檔案可以被任何經授權的使用者存取,而其中可能會包含純文字密碼,進而允許權限提升 |
SMBSpider |
存取認證、權限提升、持續性 |
登入指令碼上的危險存取控制權限 |
某些在電腦或使用者登入時執行的指令碼擁有危險的存取權限,進而導致權限提升 |
Metasploit |
橫向移動、權限提升、持續性 |
GPO 中使用了危險的參數 |
某些危險的參數 (例如:限制的群組、LM 雜湊運算、NTLM 認證層級、敏感參數等等) 是由 GPO 所設定,這些參數會造成安全漏洞 |
Responder |
搜尋、存取認證、執行、持續性、權限提升、規避防禦 |
使用者帳號控制 (User Account Control) 組態中所定義的危險參數 |
某些使用者帳號的使用者帳號控制屬性會定義危險的參數 (例如:PASSWD_NOTREQD 或 PARTIAL_SECRETS_ACCOUNT),這些參數會危害這些帳號的安全性 |
Mimikatz (LSADump) |
持續性、權限提升、規避防禦 |
沒有更新應用程式安全修補程式 |
某些在 Active Directory 中登錄的伺服器最近沒有套用安全更新程式 |
Metasploit |
指令與控制權限升級、規避防禦 |
對使用者帳號嘗試暴力破解 |
某些使用者帳號已經被暴力破解攻擊鎖定 |
Patator |
存取認證 |
使用者帳號上的 Kerberos 組態 |
某些帳號會使用安全性脆弱的 Kerberos 組態 |
Mimikatz (Silver Ticket) |
存取認證、權限提升 |
DC 上不正常的共享區或儲存的檔案 |
某些網域控制器會用來存放非必要的檔案或網路共享區 |
SMBSpider |
搜尋、洩漏 |
後門程式技巧 |
說明 |
已知的侵犯工具 |
Mitre 攻擊對照表 |
確保 SDProp 一致性 |
控制 adminSDHolder 物件保持在無毒的狀態 |
Mimikatz (Golden Ticket) |
權限提升、持續性 |
確保 SDProp 一致性 |
驗證使用者的主要群組沒有被變更 |
BloodHound |
權限提升、持續性 |
驗證根網域物件權限 |
確保根網域物件上的權限設定是合理的 |
BloodHound |
權限提升、持續性 |
驗證敏感的 GPO 物件與檔案權限 |
確保 GPO 物件和連結至敏感容器 (如網域控制器 OU) 的檔案權限設定是合理的 |
BloodHound |
執行、權限提升、持續性 |
RODC KDC 帳號上的危險存取權限 |
某些唯讀網域控制器上所使用的 KDC 帳號可以被非法使用者帳號控制,導致認證外洩 |
Mimikatz (DCSync) |
權限提升、持續性 |
對應至使用者帳號的敏感憑證 |
某些儲存在 altSecurityIdentities 使用者帳號屬性中的 X509 憑證能讓憑證的私密金鑰擁有者以該使用者的身分通過身分驗證 |
指令與控制、存取認證、權限提升、持續性 |
|
正常帳號上的不良 Krbtgt SPN 設定 |
KDC 的 Service Principal Name 會出現在某些正常的使用者帳號上,進而偽造 Kerberos 工單 |
Mimikatz (Golden Ticket) |
權限提升、持續性 |
KDC 密碼上次更改 |
KDC 帳號密碼必須定期更改 |
Mimikatz (Golden Ticket) |
存取認證、權限提升、持續性 |
帳號擁有危險的 SID History 屬性 |
檢查在 SID 歷程屬性中使用特權 SID 的使用者或電腦帳號 |
DeathStar |
權限提升、持續性 |
流氓網域控制器 |
確保只有合法的網域控制器伺服器登錄至 Active Directory 基礎架構中 |
Mimikatz (DCShadow) |
執行、規避防禦、權限提升、持續性 |
非法的 Bitlocker 金鑰存取控制 |
某些儲存在 Active Directory 中的 Bitlocker 復原金鑰可以被除了系統管理員以外的人員以及連結的電腦存取 |
ANSSI-ADCP |
存取認證、權限提升、持續性 |
Schema 安全描述項中不正常的項目 |
Active Directory Schema 被修改為新的標準存取權限或可能危害受監控基礎架構的物件 |
BloodHound |
權限提升、持續性 |
啟用 DSRM 帳號 |
Active Directory 復原帳號被啟用,使其曝露在認證遭竊的風險之中 |
Mimikatz (LSADump) |
存取認證、執行、規避防禦、權限提升、持續性 |
RODC 中危險的快取原則 |
某些唯讀網域控制器上所設定的快取原則會讓全域系統管理員帳號的認證被 RODC 管理帳號快取處理及擷取 |
Mimikatz (DCSync) |
權限提升、持續性 |
套用在 DC 上由 GPO 部署的憑證 |
某些 GPO 會用來在網域控制器上部署憑證,讓憑證的私密金鑰擁有者得以入侵這些伺服器 |
BloodHound |
權限提升、持續性 |
在使用智慧卡時無法更新身分驗證雜湊 |
某些使用智慧卡身分驗證的使用者帳號無法經常更新其認證雜湊 |
Mimikatz (LSADump) |
持續性 |
使用者帳號的密碼可還原 |
驗證不會有參數使得密碼以可還原的格式儲存 |
Mimikatz (DC 同步) |
存取認證 |
在容器上使用明確的拒絕存取 |
某些 Active Directory 容器或 OU 會定義明確的拒絕存取,可能會導致後門程式隱藏 |
BloodHound |
規避防禦、持續性 |
AD 不當設定隨時都有可能發生,因此只有在 AD 啟動後數分鐘進行、而且只將重點放在不當設定,而沒有包括入侵指標的時點稽核已經過時。
另一方面而言,Tenable.ad 是一套持續掃描 AD 是否有新的脆弱環節和攻擊的安全平台,當發生問題時,它還能即時警示使用者。
AD 安全性是您資安拼圖中非常重要的一塊,而 Tenable.ad 能夠將其嚴密地融合在您的安全生態系統之中。
我們的 Syslog 整合性可確保所有 SIEM 及大多數的工單系統與 Tenable.ad 能夠立即整合。我們也針對 QRadar、Splunk 和 Phantom 提供原生應用程式。