组织平常部署多要素认证(MFA)后就以为被盗密码不再梗概探访系统。但在Windows环境中,这种假定时时是无理的。袭击者每天仍在使用灵验证据入侵收集。问题不在于MFA自己,而在于覆盖范围。
通过Microsoft Entra ID、Okta或Google Workspace等身份提供商(IdP)实施的MFA,在云应用和探究登录方面阐发精采。但好多Windows登录完竣依赖于Active Directory(AD)身份考据旅途,这些旅途从不触发MFA领导。为了减少基于证据的入侵,安全团队需要了解Windows身份考据在身份堆栈以外的发生位置。
{jz:field.toptypename/}Windows班师登录绕过云表MFA
当用户班师登录Windows责任站或干事器时,身份考据平常由AD(通过Kerberos或NTLM)处理,而不是云表IdP。
在羼杂环境中,即使Entra ID对云应用强制推行MFA,传统的Windows登录到域加入系统仍由土产货域适度器考据。除非实施Windows Hello for Business、智能卡或其他集成MFA机制,不然该历程中莫得附加因子。
张开剩余81%要是袭击者得到用户密码(或NTLM哈希),他们不错在不触发保护软件即干事应用或探究单点登录的MFA计谋的情况下,对域加入机器进行身份考据。从域适度器的角度来看,这是圭臬身份考据肯求。
像Specops Secure Access这么的器具是抛弃这些场景中证据花消风险的要道。通过对Windows登录以及VPN和而已桌面契约(RDP)连续强制推行MFA,此器具使袭击者更难得到对收集的未授权探访。这以致彭胀到离线登录,这些登录通过一次性密码身份考据得到保护。
而已桌面契约RDP成为主要袭击成见
RDP是Windows环境中最受袭击的探访方法之一。即使RDP未知道给互联网,袭击者也相同在启动入侵后通过横向迁移到达它。班师的RDP会话到干事器不会自动通过基于云的MFA适度,这意味着登录可能仅依赖于底层AD证据。
NTLM契约的安全隐患
NTLM是一种传统身份考据契约,尽管为了赞助更安全的Kerberos契约而被弃用,但出于兼容性原因仍然存在。它亦然常见的袭击向量,因为它赞助哈希传递等时代。
在哈希传递袭击中,袭击者不需要明文密码,而是使用NTLM哈希进行身份考据。要是系统收受哈希手脚身份解说,MFA就无法提供匡助。
NTLM还可能出目下组织可能不会主动监控的里面身份考据历程中;惟有事件或审核才会向安全团队知道它。
Kerberos单子袭击时代
Kerberos是AD的主要身份考据契约。袭击者不是班师窃取密码,而是从内存中窃取Kerberos单子或在入侵特权账户青年景伪造单子。这启用了以下时代:
单子传递
黄金单子
白银单子
这些袭击允许长期探访和横向迁移,还减少了重迭登录的需要,kaiyun sports从而镌汰了检测契机。即使在密码重置后,要是底层入侵莫得完竣经管,这些袭击仍可能抓续存在。
土产货经管员账户风险
组织仍然依赖土产货经管员账户进行赞助任务和系统收复。要是土产货经管员密码在端点间重迭使用,袭击者不错将一次入侵升级为世俗探访。
土产货经管员账户平常班师向端点进行身份考据,完竣绕过MFA适度。Entra ID条款探访计谋不适用。这是证据转储在Windows环境中仍然如斯灵验的原因之一。
SMB文献分享契约的横向迁移风险
SMB用于文献分享和对Windows资源的而已探访。一朝袭击者领有灵验证据,它亦然最可靠的横向迁移旅途之一。袭击者平常使用SMB探访经管分享(如C$)或使用灵验证据而已与系统交互。
要是SMB身份考据被视为里面流量,在此层很少强制推行MFA。要是袭击者领有灵验证据,他们不错使用SMB在系统之间快速迁移。
干事账户的长期胁迫
干事账户存在是为了运行计较任务、应用范例、集成和系统干事。它们平常具有牢固的证据、世俗的权限和较长的人命周期。
在好多组织中,干事账户密码不会逾期且很少被监控。它们也很难用MFA保护,因为身份考据是自动化的。这些账户相同在无法赞助当代身份考据适度的传统应用范例中使用。
这是袭击者在入侵早期针对匡助台证据和端点经管探访的原因之一。
Windows身份考据驻防计谋
安全团队应将Windows身份考据视为孤苦的安全面。安全团队不错收受几个本色设施来减少知道:
强化密码计谋
强密码计谋应强制推行15个或更多字符的较长密码短语。密码短语对用户来说更容易记着,对袭击者来说更难破解。强计谋还应把稳密码重迭使用并结巴袭击者不错揣摸的弱时势。
结巴已表示密码
证据窃取并不老是暴力袭击的成果。数十亿密码已在表示数据靠拢可供袭击者在证据袭击中重迭使用。在创建时结巴已表示密码不错减少用户拓荒袭击者照旧领有的证据的契机。
抛弃NTLM身份考据
在可能的情况下,组织应抛弃或排斥NTLM身份考据。安全团队应设定成见:了解NTLM存在的位置,在可能的所在减少它,在无法移除的所在加强适度。
经管干事账户安全
将干事账户视为高风险身份。组织应盘货它们,减少毋庸要的权限,轮流证据,并删除不再需要的账户。要是干事账户具有域级权限,组织应假定它将成为袭击成见。
强密码计谋和对已知表示证据的主动检验是减少基于证据袭击风险的两种最灵验方法。Specops Password Policy通过应用卓越Microsoft原生功能的机动密码适度来提供匡助。
其表示密码保护功能抓续检验Active Directory密码与包含朝上54亿个知道证据的数据库,要是发现用户密码存在风险,会快速警报您。要是您思了解Specops怎样匡助您的组织,请究诘众人或预订演示以搜检咱们的经管决议。
Q&A
Q1:为什么部署MFA后Windows环境仍然存在证据袭击?
A:问题在于MFA覆盖范围有限。MFA通过身份提供商对云应用灵验,但Windows班师登录、RDP连续等仍依赖Active Directory身份考据,不会触发MFA领导。袭击者不错哄骗这些绕过旅途进行未授权探访。
Q2:NTLM和Kerberos契约存在哪些安全风险?
A:NTLM赞助哈希传递袭击,袭击者无需明文密码即可使用NTLM哈希进行身份考据。Kerberos靠近单子传递、黄金单子、白银单子等袭击,袭击者可窃取或伪造单子完了长期探访和横向迁移。
Q3:怎样灵验驻防Windows环境的证据花消袭击?
A:提议收受四项方法:实施15字符以上的强密码计谋;部署表示密码检测结巴已知弱密码;抛弃或排斥NTLM身份考据;将干事账户视为高风险身份进行挑升经管,包括权限适度和证据轮流。
发布于:北京市
备案号: