正確的 AD 防禦姿態!做好 AD 管理居然可以防禦勒索軟體?
為了避免駭客利用 AD 造成進一步的傷害,從根本做好 AD 防護是一件很重要的事情。
勒索軟體的威脅在近日可以說是成為所有企業最害怕的資安事件了,只要一遭勒索軟體攻擊除了對業務的影響,駭客所要的贖金與系統恢復運轉所需要的時間對企業來說都是不小的傷害。本文將帶大家了解 AD 在眾多的勒索軟體攻擊中扮演著甚麼樣的角色,以及該如何正確的使用 AD 來防禦勒索晚體的侵害。
AD 在勒索事件中的角色
勒索軟體在企業內網中一瞬間爆發的事件時有耳聞,這種型態的攻擊讓企業完全沒有任何的時間因應,造成極為龐大的損害。究竟勒索軟體是如何做到這一類型的攻擊呢?
AD 是甚麼?
AD(Active Directory)是微軟 Windows Server 中,提供中大型網路環境使用的集中管理服務,AD 可以非常基礎地管理公司檔案伺服器和列印伺服器的權限,也可透過 Group Policy(群組政策)控制 PC 安裝軟體、統一 PC 設定、檢查 PC 內部資產、設定防火牆等等,可謂無所不能。
也因為 AD 在內網中是如此的強大,駭客在進入企業內網後並不會急於對單一台電腦設備進行破壞,而是靜靜的潛伏在內網中逐漸地獲取 AD 帳號的權限,到掌握整個 AD 網域後一次性的加密所有電腦設備。
勒索軟體是如何散布到各電腦設備的?
勒索軟體通常經由兩種方式快速散布到內網中的各項設備,分為 GPO 與 SMB。
SMB 為一種網路檔案分享協定,使用 139/TCP 埠與 445/TCP 埠,可以讓網路上多台 PC 之間一起分享檔案、印表機等資源。SMB 的漏洞經常被駭客作為在內網中散播病毒的管道,但是經由微軟的不斷修補,使用 SMB 的勒索軟體不斷的減少。
GPO (群組物件原則) 是 AD 中最重要的功能之一,GPO 可以控制使用者可以或不能在電腦上做什麼,例如:設定密碼複雜性政策避免使用者使用過於簡單的密碼,允許或阻止身分不明的使用者遠端連接到電腦,阻止存取 Windows 工作管理員或限制存取特定資料夾。透過 GPO 的使用,管理人員可以輕易地對網域內的電腦以及使用者進行設備使用上的管理,只要於一台電腦設定好管理政策便可以套用到所有的網域設備與使用者,大幅減少管理人員的工作負擔也可以避免設備因人為疏失而為套用到管理政策。但是 GPO 也可以被駭客利用,當取得 AD 最高權限帳號或管理者帳號後,駭客便可以輕易的篡改 GPO 政策強迫每台設備在開機更新 GPO 時,依據設定的 GPO 下載勒索軟體,以此來迅速部屬勒索軟體。
如何防止 AD 遭駭客利用?
為了避免駭客利用 AD 造成進一步的傷害,從根本做好 AD 防護是一件很重要的事情。以下幾點的保護措施能有效地保護 AD:
- 進行 AD 資產盤點
資產盤點一直以來都是進行內網管理的第一步,進行 AD 防護也是一樣,只有進行完整的資產盤點了解整個網路環境的概況後才能設計相對應的資安防護措施。完整的資產盤點應包括所有的網域設備資訊、使用者訊息、網域和命名慣例等。 - 建立帳號最小權限原則
為避免駭客安裝惡意軟體對內網造成危害,應將本機帳號的權限最小化與納管 AD 帳號,避免給予帳號不必要的權限讓駭客可以直接進行操作。 - 管理 AD 高權限帳號
僅僅限制個人用戶權限是不夠的;評估總體IT人員和AD管理員訪問權限也很重要。僅向組織中提供需要此級別訪問權限才能正確執行其工作的任務,並提供管理權限和特權帳號權限。 - 使用多因素身份驗證
多因素認證可以防止駭客遠端存取 AD 帳號功能,為有效防止 AD 帳號造到冒用的手段。
UAPS 如何保護 AD 遭到非法使用
UPAS 的 AD 管理模組提供下列多樣功能防止 AD 遭到駭客的非法使用:
- 電腦、帳號登入資訊,檢查下班後是否登入 Sever Farm
綜觀近期的勒索軟體、資安侵害等事件,可以發現到多數攻擊行為發生在休息或下班等無人監管的時間,趁資安人員無法及時因應進而對企業內網發起攻擊。
AD 模組擁有下班後 AD 帳號是否可以登入的功能,紀錄 AD 帳號的登入登出時間,當設備使用不可下班登入的帳號登入設備,系統將會產生告警資訊通知管理人員。避免高權限帳號在下班後被駭客使用,造成危害。 - 網域設備管理,防止設備退出網域而無法管控
為了阻止非法人士竊取機敏資料,同時避免員工任意退出 AD 網域,在無法監管的情況下使用電腦設備。AD 強制要求電腦設備必須使用 AD 帳號登入,若偵測到私退 AD 網域事件和未加入網域設備,則自動強制阻斷並要求其加入網域。並且可以將AD帳號與電腦名稱綁定,非指定帳號無法登入。同時整合員工資訊,提供「加入/退出」、「登入/登出」AD網域的日期時間和次數。 - 電腦設備與 AD 帳號整合管理
本機帳號的控管是一項很重要的事情,最小權限的帳號管理可以避免駭客透過本機帳號的權限進行破壞。
UPAS 的 AD 管理可以限制使用者只能以 AD 帳號進行登入使用,無法使用本機帳號登入,防止駭客安裝惡意軟體對內網造成危害。同時提供 AD 登入/登出時間紀錄,以管理內網中閒置設備或者使用 RDP 連線的設備,降低被駭客攻擊的機會。
同時可以將電腦與 AD 帳號進行綁定,限制該電腦只能使用特定 AD 帳號登入或是 AD 帳號只能登入特定電腦,以此來保護設備中的重要資訊與避免無權限人員操作重要設備。 - GPO 檢測模組
UPAS NOC 提供 GPO 檢測模組,在與高完成度的資產盤點配合下,對網域內設備進行GPO 檢查,使用網路阻斷強制未符規設備套用 GPO 政策,提供每台設備的 GPO 套用詳情。在 AD 環境下,系統能對網域內設備進行 GPO 套用檢測,違規者則強制斷網,引導修補;在無 AD 的環境下,系統也可進行組態檢測,標示符合、不符合及例外之項目。
