ad在许多企业内部承担着基础架构核心系统的角色,维护这套系统的正常运行是企业内部基础运维的重要课题,然而,ad建设、防护在许多企业中并未得到良好的实践和足够的重视,本期我们就来谈一谈当前环境下,每个运维人都需要了解的工作——ad防护工作。
01. 我们所面临的问题
当今社会,疫情此起彼伏,寒冬忽至,更行各业都受到了不同程度的影响。但是我们深处的互联网时代,依然非常活跃,似乎大家把更多的精力和重心,都逐渐投入其中。或许是一种错觉,随着疫情的反反复复,我们面临的互联网攻击也愈加频繁,各种勒索病毒和安全漏洞层出不穷,在无数个日日夜夜,折磨着我们每个it维护人员。
当今勒索病毒已经成为了一条灰色产业链,2022年7月,全球新增的活跃勒索病毒家族有:stop247、robaj、redalert、checkmate、lilith、luna、bianlian、0mega等家族,其中redalert、lilith、bianlian、0mega均为双重勒索家族;checkmate为针对nas设备发起攻击的勒索病毒;yanluowang勒索病毒虽不是本月新增,但该勒索病毒家族在近期开始公开发布受害者数据。
现阶段微软产品在身份验证、终端管理等方面,仍然是行业主流。面对时时刻刻的病毒威胁,我们在ad防护这一块,应该都要一些比较全面和通用的措施来进行应对。保障客户的域环境安全和快速恢复业务。
02. 每个运维都必须了解:ad防护工作
按照目前的情况,我们应该从以下几个方面进行防护或者加固,阻止ad被入侵或者二次入侵。
1)补丁更新
万事先补丁,补丁对于大多数微软管理员来说,是又爱又恨。爱的是,补丁能够解决很多漏洞,让管理员更加的放心工作。恨的是,每个月都会有补丁,补丁推动和补丁安装,在企业内部往往都存在一定的阻力,耗时耗力,效果还不是特别好。
但是不管怎么样,补丁正如其名,能够很好把系统的漏洞堵住(虽然往往会产生新的漏洞),给windows操作系统构筑一道坚实的屏障,是我们每个管理员必须要定期做的事情。
对于日常工作来说,必须要有企业自己的补丁更新管理规范和制度,并积极进行推动。在保证系统稳定的情况下,定期进行补丁更新。
对于应急的场景,比如客户已经中了病毒了。这个时候,我们更加应该懂得事急从权,立即针对服务器进行补丁更新,安装最新的补丁,减少系统层级的攻击面。
2)密码重置
现在的攻击者,往往都是利用漏洞或者弱密码撞库,窃取ad域环境的高权限账号密码,然后进行侵入和破坏。
对于日常工作来说,我们应该积极推行密码策略,严格设置密码复杂度,保障账号的安全。同时,对于管理员账号密码,我们应该尽可能的做到改名、禁用、强密码等措施,进行最全面的防护。
对于应急的场景,理应立即重置所有管理员的账号密码,阻断攻击者的利用高权限账号密码进一步搞破坏。
3)权限梳理
在企业里面,90%以上的系统,对接ad域,都不需要域管理员权限的账号,但是90%以上的企业,都给予了管理员权限。这就导致了ad域被入侵的风险极大的增加。任何一套对接了ad的应用系统,在出现漏洞后,都有可能导致ad高权账号密码被泄露,进而发生非常严重的安全事件。毕竟,再安全的保险大门,也禁不住黑客拿着大门钥匙走进来,防不胜防没法防。
在日常工作中,我们对于ad的管理更应该注重权限的控制。一方面我们要严格审核管理员账号,尽量遵循微软的jie原则,只赋予最小化的权限。而不是像马大哈一样,给个管理员权限草率了事。在图省事的同时,也给自己留下了一个巨大的隐患。相当于你把自己的安全,交给了一个陌生人,安全性完全没有任何保障。
对于应急场景,应该立即梳理出高权账号,然后进行逐一的清理和回收。规避其它账号密码泄露造成二次入侵。同时,把高权账号掌握在自己手中,能够更加的安全放心。
4)组策略防护
组策略是一把双刃剑,一方面方便了我们的统一配置和管理,一方面,也给了黑客利用的空间。黑客往往利用组策略来进行病毒的推送和蔓延,导致域内所有的机器收到感染。因此,我们一定要加强组策略的监控和管理。
在日常工作中,定期对组策略进行优化,梳理不需要组策略。同时,对组策略的更新进行实时的监控,发现组策略被异常篡改,则立即进行响应。
对于应急场景,我们应该首先检查组策略是否有被篡改(更新时间和更新记录),检查异常的脚本或者agent等,立即进行回收和删除处理。
03. 后续
我们在平时的工作当中,一定要有非常清晰的防护策略和思路,在正确时间点,采取最正确的措施,实现影响的最小化。
当然除此之外,在ad安全加固措施等其他方面,还有更多可探讨的内容,限于篇幅,本期不作为重点。我们将在后续更深一步推出关于ad加固防护的专题内容,感兴趣的朋友欢迎持续关注嘉为蓝鲸!
同时,企业也可以寻求专业服务,以便快速建立和完善企业ad运维能力。
04. 嘉为ad运维服务
针对企业ad运维,嘉为团队提供全面一站式的技术服务,包括:ad及基础架构实施、ad域升级与架构优化、ad安全加固、ad hw服务等,助企业打造坚如磐石的it系统,为企业信息系统保驾护航。
除此之外,嘉为还提供规划咨询服务、系统建设服务、二线专家服务、系统优化服务、it运维整体外包服务、人员派驻等服务,企业可以根据需求自由组合选择使用的服务内容和范围。
05. weops一体化运维平台
有关企业ad运维,嘉为蓝鲸weops平台产品还可从预防和监控故障处理两方面为企业保驾护航:
1)预防
weops平台可针对日常排查时发现的一系列隐患做到及时预防。案例中由于企业ad不规范导致系统存在没有备份、没有补丁安装、网络环境负载等隐患,而weops平台可通过作业平台定时自动备份、通过补丁安装进行定期安装、通过平台进行网络设备的自动发现,生成拓扑完美解决上述问题。
2)监控故障处理
weops平台中的监控告警系统,可做到持续监控,智能告警,提前发现问题,降低业务影响,一旦发生故障,可通过拓扑图分析关联影响,同时结合资产管理分析资产影响情况,最后采用自动化工具快速解决故障,持续保障企业业务连续性。
嘉为蓝鲸weops平台满足国产化兼容,支持在国产环境下的一体化运维,自主可控,帮助用户解决工具功能单一、众多it运维对象管理难、自动化程度低、信创生态产品兼容等问题,助力客户安全落地一体化运维场景。
