卡Bath基20一7年厂商音信系列的安全评估报告

密码是用于授予用户访问关键业务资源的最流行的身份验证方法。根据2018年的身份验证报告,全球超过一半的公司仅使用密码来保护其知识产权和财务信息。这并不是有效可行的方法,因为许多专家不再将密码视为安全的身份验证形式。这并不是说使用密码本质上是错误的,但很多人在使用密码时往往表现得非常糟糕。

原标题:卡巴斯基2017年企业信息系统的安全评估报告

继上篇文章Active Directory域基础结构配置二之后,本文的Active
Directory域基础结构配置三由下文所述:

随着用户每天访问的网站和应用程序的数量,他们通常更喜欢创建常见的,易于记忆的密码。事实上,网络犯罪分子依赖于您和您的员工遵循这一坏习惯,因此他们可以使用字典攻击等复杂攻击轻松侵入您组织的网络。

引言

帐户锁定策略

奥门银河赌城 1

卡巴斯基实验室的安全服务部门每年都会为全球的企业开展数十个网络安全评估项目。在本文中,我们提供了卡巴斯基实验室2017年开展的企业信息系统网络安全评估的总体概述和统计数据。

帐户锁定策略是一项 Active Directory
安全功能,它在一个指定时间段内多次登录尝试失败后锁定用户帐户。允许的尝试次数和时间段基于为安全策略锁定设置配置的值。用户不能登录到锁定的帐户。域控制器跟踪登录尝试,而且服务器软件可以配置为通过在预设时间段禁用帐户来响应此类潜在攻击。

什么是字典攻击?

本文的主要目的是为现代企业信息系统的漏洞和攻击向量领域的IT安全专家提供信息支持。

在 Active Directory
域中配置帐户锁定策略时,管理员可以为尝试和时间段变量设置任何值。但是,如果“复位帐户锁定计数器”设置的值大于“帐户锁定时间”设置的值,则域控制器自动将“帐户锁定时间”设置的值调整为与“复位帐户锁定计数器”设置相同的值。

在字典攻击中,网络犯罪分子试图使用由大量单词组成的字典文件来获取密码,包括常用字典单词,具有字符替换的密码(例如,p
@
ssw0rd),以及来自数据泄露的泄漏密码。随着密码泄露的增加,攻击者现在拥有一组密码泄露的密码来有效地执行字典攻击。

我们已经为多个行业的企业开展了数十个项目,包括政府机构、金融机构、电信和IT公司以及制造业和能源业公司。下图显示了这些企业的行业和地区分布情况。

另外,如果“帐户锁定时间”设置的值比为“复位帐户锁定计数器”设置配置的值低,则域控制器自动将“复位帐户锁定计数器”的值调整为与“帐户锁定时间”设置相同的值。因此,如果定义了“帐户锁定时间”设置的值,则“复位帐户锁定计数器”设置的值必须小于或等于为“帐户锁定时间”设置所配置的值。

ManageEngine Active Directory的域密码策略是否足够抵御网络攻击?

目标企业的行业和地区分布情况

域控制器执行此操作,以避免与安全策略中的设置值冲突。如果管理员将“复位帐户锁定计数器”设置的值配置为比“帐户锁定时间”设置的值大,则为“帐户锁定时间”设置配置的值的实施将首先过期,因此用户可以登录回网络上。但是,“复位帐户锁定计数器”设置将继续计数。因此“帐户锁定阈值”设置将保留最大值
3 次无效登录),用户将无法登录。

考虑到密码的重要性,您希望Active
Directory具有强大的机制来保护它们。很遗憾,该机制- 域密码策略设置-
充其量只是初步防御。即使启用了密码复杂性,域用户仍然可以使用常见的易受攻击的密码。即使在您阅读本文时,您的一些员工也很有可能使用的密码是您公司名称和创建密码的月份和年份的组合。

奥门银河赌城 2

为了避免此情况,域控制器将“复位帐户锁定计数器”设置的值自动重置为与“帐户锁定时间”设置的值相等。
这些安全策略设置有助于防止攻击者猜测用户密码,并且会降低对网络环境的攻击成功的可能性。可以在组策略对象编辑器中以下位置的域组策略中配置下表中的值:
计算机配置\Windows 设置\安全设置\帐户策略\帐户锁定策略
下表包含对本指南中定义的两种安全环境的帐户锁定策略建议。

美国国家标准与技术研究院在其数字身份指南中建议禁止已知常用,预期或受损的密码。但是,Active
Directory没有内置机制来完成此任务。

漏洞的概括和统计信息是根据我们提供的每种服务分别总结的:

帐户锁定时间

奥门银河赌城 3

外部渗透测试是指针对只能访问公开信息的外部互联网入侵者的企业网络安全状况评估

内部渗透测试是指针对位于企业网络内部的具有物理访问权限但没有特权的攻击者进行的企业网络安全状况评估。

Web应用安全评估是指针对Web应用的设计、开发或运营过程中出现的错误导致的漏洞(安全漏洞)的评估。

表 2.8:设置

使用ADSelfService Plus将Active Directory中常见的易受攻击的密码列入黑名单

本出版物包含卡巴斯基实验室专家检测到的最常见漏洞和安全缺陷的统计数据,未经授权的攻击者可能利用这些漏洞渗透公司的基础设施。

 奥门银河赌城 4

ManageEngine ADSelfService
Plus允许您阻止用户选择包含字典单词,模式,部分用户名或旧密码的常用密码。
ADSelfService Plus中的密码策略实施器功能支持Active
Directory密码策略中不可用的高级密码策略设置。这些设置包括字典规则和模式检查器以及其他13个设置。通过强制执行这些设置,您可以确保用户选择攻击者无法破解的强密码。

针对外部入侵者的安全评估

“帐户锁定时间”设置确定在未锁定帐户且用户可以尝试再次登录之前所必须经历的时间长度。此设置通过指定锁定帐户保持不可用的分钟数来执行此操作。如果“帐户锁定时间”设置的值配置为
0,则锁定的帐户将保持锁定,直到管理员将它们解锁。此设置的 Windows XP
默认值为“没有定义”。

ADSelfService Plus具有高级规则的密码策略实施准则,包括字典规则.

我们将企业的安全等级划分为以下评级:

为了减少帮助台支持呼叫的次数,同时提供安全的基础结构,对于本指南中定义的两种环境,将“帐户锁定时间”设置的值配置为“30
分钟”。

ADSelfService Plus支持的密码策略设置

非常低

中等偏下

中等偏上

将此设置的值配置为永不自动解锁似乎是一个好主意,但这样做会增加组织中的帮助台为了解锁不小心锁定的帐户而收到的呼叫的次数。对于每个锁定级别,将此设置的值配置为
30 分钟可以减少“拒绝服务
(DoS)”攻击的机会。此设置值还使用户在帐户锁定时有机会在 30
分钟内再次登录,这是在无需求助于帮助台的情况下他们最可能接受的时间段。

字典规则允许您导入包含密码列表和泄露密码的字典,并防止用户选择与该字典中的值匹配的密码。您还可以编辑字典以包含您想要限制的单词列表。

我们通过卡巴斯基实验室的自有方法进行总体的安全等级评估,该方法考虑了测试期间获得的访问级别、信息资源的优先级、获取访问权限的难度以及花费的时间等因素。

帐户锁定阈值

模式检查工具允许您限制用户在其密码中包含常见模式,例如qwer,asdf和12345。您还可以编辑模式列表包括公司名称,特定日期等模式。

安全级别为非常低对应于我们能够穿透内网的边界并访问内网关键资源的情况(例如,获得内网的最高权限,获得关键业务系统的完全控制权限以及获得关键的信息)。此外,获得这种访问权限不需要特殊的技能或大量的时间。

表 2.9:设置

在您的组织的密码策略方面,没有设置并忘记它的规则。密码攻击技术在不断发展,根据用户行为和威胁,您需要定期检查密码策略并根据需要进行更新。
ADSelfService Plus可以帮助您在Active
Directory中实施强密码策略控制,以便您可以保持所需的安全级别。

安全级别为高对应于在客户的网络边界只能发现无关紧要的漏洞(不会对公司带来风险)的情况。

 奥门银河赌城 5

目标企业的经济成分分布

“帐户锁定阈值”设置确定用户在帐户锁定之前可以尝试登录帐户的次数。

奥门银河赌城 6

授权用户将自己锁定在帐户外的原因可能有:输错密码或记错密码,或者在计算机上更改了密码而又登录到其他计算机。带有错误密码的计算机连续尝试对用户进行身份验证,由于它用于身份验证的密码不正确,导致用户帐户最终锁定。对于只使用运行
Windows Server 2003
或更早版本的域控制器的组织,不存在此问题。为了避免锁定授权用户,请将帐户锁定阈值设置为较高的数字。此设置的默认值为“0
次无效登录”。

目标企业的安全等级分布

对于本指南中定义的两种环境,将“帐户锁定阈值”的值配置为“50 次无效登录”。
由于无论是否配置此设置的值都会存在漏洞,所以,为这些可能性中的每种可能性定义了独特措施。您的组织应该根据识别的威胁和正在尝试降低的风险来在两者之间做出平衡。

奥门银河赌城 7

有两个选项可用于此设置。
将“帐户锁定阈值”的值配置为“0”可以确保帐户不会锁定。此设置值将避免旨在锁定组织中的帐户的
DoS
攻击。它还可以减少帮助台呼叫次数,因为用户不会将自己意外地锁定在帐户外。由于此设置不能避免强力攻击,所以,只有当明确符合下列两个条件时才将它配置为比
0 大的值 密码策略强制所有用户使用由 8 个或更多字符组成的复杂密码。
强健的审核机制已经就位,以便当组织环境中发生一系列帐户锁定时提醒管理员。例如,审核解决方案应该监视安全事件
539此事件为登录失败)。此事件意味着当尝试登录时锁定帐户。

根据测试期间获得的访问级别来划分目标企业

如果不符合上述条件,则第二个选项为:
将“帐户锁定阈值”设置配置为足够高的值,以便让用户可以意外输错密码若干次而不会将自己锁定在帐户外,同时确保强力密码攻击仍会锁定帐户。在这种情况下,将此设置的值配置为一定次数例如
3 到 5
次)的无效登录可以确保适当的安全性和可接受的可用性。此设置值将避免意外的帐户锁定和减少帮助台呼叫次数,但不能如上所述避免
DoS 攻击。

奥门银河赌城 8

复位帐户锁定计数器

用于穿透网络边界的攻击向量

表 2.10:设置

大多数攻击向量成功的原因在于不充分的内网过滤、管理接口可公开访问、弱密码以及Web应用中的漏洞等。

 奥门银河赌城 9

尽管86%的目标企业使用了过时、易受攻击的软件,但只有10%的攻击向量利用了软件中的未经修复的漏洞来穿透内网边界(28%的目标企业)。这是因为对这些漏洞的利用可能导致拒绝服务。由于渗透测试的特殊性(保护客户的资源可运行是一个优先事项),这对于模拟攻击造成了一些限制。然而,现实中的犯罪分子在发起攻击时可能就不会考虑这么多了。

“复位帐户锁定计数器”设置确定“帐户锁定阈值”重置为零之前的时间长度。此设置的默认值为“没有定义”。如果定义了“帐户锁定阈值”,则此重置时间必须小于或等于“帐户锁定时间”设置的值。
对于本指南中定义的两种环境,将“复位帐户锁定计数器”设置配置为“30
分钟之后”。

建议:

将此设置保留为其默认值,或者以很长的间隔配置此值,都会使环境面临 DoS
攻击的威胁。攻击者对组织中的所有用户恶意地进行大量失败登录,如上所述锁定他们的帐户。如果没有确定策略来重置帐户锁定,则管理员必须手动解锁所有帐户。

除了进行更新管理外,还要更加注重配置网络过滤规则、实施密码保护措施以及修复Web应用中的漏洞。

反过来,如果为此设置配置了合理的时间值,在所有帐户自动解锁之前用户只锁定一段已设置的时间。因此,建议的设置值
30 分钟定义了用户在无需求助于帮助台的情况下最可能接受的时间段。

奥门银河赌城 10

用户权限分配

利用 Web应用中的漏洞发起的攻击

模块 3“Windows XP
客户端安全设置”中详细介绍了用户权限分配。但是,应该对所有域控制器设置“域中添加工作站”用户权限,本模块中讨论了其原因。“Windows
2003 Server Security Guide”英文)的模块 3 和 4
中介绍了有关成员服务器和域控制器设置的其他信息。

我们的2017年渗透测试结果明确表明,对Web应用安全性的关注仍然不够。Web应用漏洞在73%的攻击向量中被用于获取网络外围主机的访问权限。

域中添加工作站

在渗透测试期间,任意文件上传漏洞是用于穿透网络边界的最广泛的Web应用漏洞。该漏洞可被用于上传命令行解释器并获得对操作系统的访问权限。SQL注入、任意文件读取、XML外部实体漏洞主要用于获取用户的敏感信息,例如密码及其哈希。账户密码被用于通过可公开访问的管理接口来发起的攻击。

表 2.11:设置

建议:

 奥门银河赌城 11

应定期对所有的公开Web应用进行安全评估;应实施漏洞管理流程;在更改应用程序代码或Web服务器配置后,必须检查应用程序;必须及时更新第三方组件和库。

“域中添加工作站”用户权限允许用户向特定域中添加计算机。为了使此权限生效,必须将它作为域的默认域控制器策略的一部分分配给用户。授予了此权限的用户可以向域中最多添加
10 个工作站。授予了 Active Directory 中 OU
或计算机容器的“创建计算机对象”权限的用户还可以将计算机加入域。授予了此权限的用户可以向域中添加不限数量的计算机,无论他们是否已被分配“域中添加工作站”用户权限。

用于穿透网络边界的Web应用漏洞

默认情况下,“Authenticated Users”组中的所有用户能够向 Active Directory
域中最多添加 10 个计算机帐户。这些新计算机帐户是在计算机容器中创建的。
在 Active Directory
域中,每个计算机帐户是一个完整的安全主体,它能够对域资源进行身份验证和访问。某些组织想要限制
Active Directory
环境中的计算机数量,以便他们可以始终跟踪、生成和管理它们。

奥门银河赌城 12

允许用户向域中添加工作站会妨碍此努力。它还为用户提供了执行更难跟踪的活动的途径,因为他们可以创建其他未授权的域计算机。
出于这些原因,在本指南中定义的两种环境中,“域中添加工作站”用户权限只授予给“Administrators”组。

利用Web应用漏洞和可公开访问的管理接口获取内网访问权限的示例

安全设置

奥门银河赌城 13

帐户策略必须在默认域策略中定义,且必须由组成域的域控制器强制执行。域控制器始终从默认域策略
GPO 获取帐户策略,即使存在对包含域控制器的 OU 应用的其他帐户策略。

第一步

在安全选项中有两个策略,它们也像域级别要考虑的帐户策略那样发挥作用。可以在组策略对象编辑器中的以下位置配置下表中的域组策略值:
计算机配置\Windows 设置\安全设置\本地策略\安全选项 Microsoft
网络服务器:当登录时间用完时自动注销用户

利用SQL注入漏洞绕过Web应用的身份验证

表 2.12:设置

第二步

 奥门银河赌城 14

利用敏感信息泄露漏洞获取Web应用中的用户密码哈希

“Microsoft
网络服务器:当登录时间用完时自动注销用户”设置确定在超过用户帐户的有效登录时间后,是否断开连接到本地计算机的用户。此设置影响服务器消息块
(SMB) 组件。启用此策略后,它使客户端与 SMB
服务的会话在超过客户端登录时间后强制断开。如果禁用此策略,则允许已建立的客户端会话在超过客户端登录时间后继续进行。启用此设置可以确保也启用了“网络安全:在超过登录时间后强制注销”设置。

第三步

如果组织已经为用户配置了登录时间,则很有必要启用此策略。否则,已假设无法在超出登录时间后访问网络资源的用户,实际上可以通过在允许的时间中建立的会话继续使用这些资源。
如果在组织中未使用登录时间,则启用此设置将没有影响。如果使用了登录时间,则当超过现有用户的登录时间后将强制终止现有用户会话。  

离线密码猜测攻击。可能利用的漏洞:弱密码

希望本系列Active Directory域基础结构配置内容能够对读者有所帮助。

第四步

Active Directory域
基础结构配置二之后,本文的Active Directory域基础结构配置三由下文所述:
帐户锁定策略 帐户锁定策略是一项…

利用获取的凭据,通过XML外部实体漏洞(针对授权用户)读取文件

第五步

针对获取到的用户名发起在线密码猜测攻击。可能利用的漏洞:弱密码,可公开访问的远程管理接口

第六步

在系统中添加su命令的别名,以记录输入的密码。该命令要求用户输入特权账户的密码。这样,管理员在输入密码时就会被截获。

第七步

获取企业内网的访问权限。可能利用的漏洞:不安全的网络拓扑

利用管理接口发起的攻击

虽然“对管理接口的网络访问不受限制”不是一个漏洞,而是一个配置上的失误,但在2017年的渗透测试中它被一半的攻击向量所利用。57%的目标企业可以通过管理接口获取对信息资源的访问权限。

通过管理接口获取访问权限通常利用了以下方式获得的密码:

利用目标主机的其它漏洞(27.5%)。例如,攻击者可利用Web应用中的任意文件读取漏洞从Web应用的配置文件中获取明文密码。

使用Web应用、CMS系统、网络设备等的默认凭据(27.5%)。攻击者可以在相应的文档中找到所需的默认账户凭据。

发起在线密码猜测攻击(18%)。当没有针对此类攻击的防护措施/工具时,攻击者通过猜测来获得密码的机会将大大增加。

从其它受感染的主机获取的凭据(18%)。在多个系统上使用相同的密码扩大了潜在的攻击面。

在利用管理接口获取访问权限时利用过时软件中的已知漏洞是最不常见的情况。

奥门银河赌城 15

利用管理接口获取访问权限

奥门银河赌城 16

通过何种方式获取管理接口的访问权限

奥门银河赌城 17

管理接口类型

奥门银河赌城 18

建议:

定期检查所有系统,包括Web应用、内容管理系统(CMS)和网络设备,以查看是否使用了任何默认凭据。为管理员帐户设置强密码。在不同的系统中使用不同的帐户。将软件升级至最新版本。

大多数情况下,企业往往忘记禁用Web远程管理接口和SSH服务的网络访问。大多数Web管理接口是Web应用或CMS的管理控制面板。访问这些管理控制面板通常不仅可以获得对Web应用的完整控制权,还可以获得操作系统的访问权。获得对Web应用管理控制面板的访问权限后,可以通过任意文件上传功能或编辑Web应用的页面来获取执行操作系统命令的权限。在某些情况下,命令行解释程序是Web应用管理控制面板中的内置功能。

建议:

严格限制对所有管理接口(包括Web接口)的网络访问。只允许从有限数量的IP地址进行访问。在远程访问时使用VPN。

利用管理接口发起攻击的示例

第一步 检测到一个只读权限的默认社区字符串的SNMP服务

第二步

通过SNMP协议检测到一个过时的、易受攻击的思科IOS版本。漏洞:cisco-sa-20170629-snmp(
.
com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170629-snmp)。

该漏洞允许攻击者通过只读的SNMP社区字符串进行提权,获取设备的完全访问权限。利用思科发布的公开漏洞信息,卡巴斯基专家Artem
Kondratenko开发了一个用来演示攻击的漏洞利用程序(
第三步
利用ADSL-LINE-MIB中的一个漏洞以及路由器的完全访问权限,我们可以获得客户的内网资源的访问权限。完整的技术细节请参考
最常见漏洞和安全缺陷的统计信息

最常见的漏洞和安全缺陷

奥门银河赌城 19

针对内部入侵者的安全评估

我们将企业的安全等级划分为以下评级:

非常低

中等偏下

中等偏上

我们通过卡巴斯基实验室的自有方法进行总体的安全等级评估,该方法考虑了测试期间获得的访问级别、信息资源的优先级、获取访问权限的难度以及花费的时间等因素。安全级别为非常低对应于我们能够获得客户内网的完全控制权的情况(例如,获得内网的最高权限,获得关键业务系统的完全控制权限以及获取关键的信息)。此外,获得这种访问权限不需要特殊的技能或大量的时间。

安全级别为高对应于在渗透测试中只能发现无关紧要的漏洞(不会对公司带来风险)的情况。

在存在域基础设施的所有项目中,有86%可以获得活动目录域的最高权限(例如域管理员或企业管理员权限)。在64%的企业中,可以获得最高权限的攻击向量超过了一个。在每一个项目中,平均有2-3个可以获得最高权限的攻击向量。这里只统计了在内部渗透测试期间实践过的那些攻击向量。对于大多数项目,我们还通过bloodhound等专有工具发现了大量其它的潜在攻击向量。

奥门银河赌城 20

奥门银河赌城 21

奥门银河赌城 22

这些我们实践过的攻击向量在复杂性和实践步骤数(从2步到6步)方面各不相同。平均而言,在每个企业中获取域管理员权限需要3个步骤。

奥门银河赌城 ,获取域管理员权限的最简单攻击向量的示例:

攻击者通过NBNS欺骗攻击和NTLM中继攻击拦截管理员的NetNTLM哈希,并利用该哈希在域控制器上进行身份验证;

利用HP Data
Protector中的漏洞CVE-2011-0923,然后从lsass.exe进程的内存中提取域管理员的密码

获取域管理员权限的最小步骤数

奥门银河赌城 23

下图描述了利用以下漏洞获取域管理员权限的更复杂攻击向量的一个示例:

使用包含已知漏洞的过时版本的网络设备固件

使用弱密码

在多个系统和用户中重复使用密码

使用NBNS协议

SPN账户的权限过多