本文选自《内网安全攻防红队之路》扫描二维码75折购书域控制器安全是内网最受关注的安全问题之一有很多安全管理者贡献了大量的智慧本节主要参照网络安全等级保护相关技术要求以分层的思路提出域控制器安全管理建议。主要包括物理环境安全通信网络安全主机设备安全应用数据安全。物理环境安全业界老话如果攻击者可以随时找到你的域控制器那么它就不再是你的了。因此在实施域控制器安全管理时千万不要忘记物理安全。1. 授权访问安全保护域控制器所在的物理服务器免受未经授权的访问。大家都知道Windows操作系统提供了很多恢复密码和找回密码的方法一旦攻击者能够触碰到域控制器的物理服务器就有办法通过相关密码恢复方法登录到域控制器。内网管理员应该将域控制器部署在具备门禁认证、人脸识别等措施的服务器机房中。退一步讲即使不具备相应的机房条件也应该将其锁在防盗笼中。如图所示就是一个专用的服务器机房。2. 二是硬盘驱动器安全硬盘驱动器安全一方面指的是域控制器应该使用本地存储并实施硬盘RAID这样即使硬盘发生了故障也不至于完全影响域控制器的使用从而确保域控制器的可用性不受太大影响。另一方面指的是应该对硬盘驱动器进行加密处理确保域控制器的数据机密性、完整性不被破坏这里建议启用BitLocker对域控制器的所有分区进行加密保护。要打开BitLocker首先需要添加功能我们在域控制器服务器上打开“服务器管理器”工具选择“添加角色和功能”选项如图所示。在弹出的对话中连续点击“下一步”直到“功能”选项这个地方如图所示勾选“BitLocker驱动器加密”来添加功能。其它选项继续默认所有步骤完成后即成功安装了BitLocker驱动器加密功能。3. 虚拟机安全为了便于管理内网管理员经常会将域控制器安装在虚拟机这时一定要小心攻击者利用虚拟机逃逸技术等对虚拟机系统软件或虚拟机中运行软件的漏洞进行攻击进而控制宿主物理机及其上运行的所有虚拟机。因此内网必须采取有效措施避免某一台普通虚拟机的被攻击导致威胁域控制器安全进而威胁到整个内网安全的情况。最有效的措施就是避免域控制器和内网中其它普通服务器运行在同一台物理机应尽量将域控制器虚拟机单独部署在1台物理机上。通信网络安全1. 阻止来自互联网的访问不应允许来自互联网对域控制器的访问也不要允许域控制器随意访问互联网应对外关闭域控制器所有不必要的服务和端口。事实上除了转发DNS查询服务以外域控制器并不应该承载其它访问互联网的业务。即使是DNS查询也应该选用安全可靠DNS服务器地址比如设置为中国电信的DNS服务器地址114.114.114.114。如图所示可以在网络的出口路由器上配置相关访问控制策略仅允许域控制器访问DNS服务器其它流量一率阻断。以华为企业路由器为例出口路由器的配置命令如下。acl name dc2dns 2000 rule permit tcp source 192.168.100.100 0 source-port eq 53 destination 114.114.114.114 rule deny any any2. 严禁内网远程桌面访问通过远程桌面访问域控制器的方式存在较大安全隐患很多攻击工具比如nirsot的工具rdpv.exe都能够获取到远程桌面密码。这里建议内网管理员应该通过堡垒机、KVM等安全运维方式来管理域控制器而不是随意访问域控制器。下面演示一下通过rdpv.exe获取远程桌面密码。将rdpv.exe下载到本地后直接双击运行,就可以在它的窗口界面中看到存储在系统中的远程桌面密码如图所示。rdpv.exe的下载地址为https://www.nirsoft.net/utils/remote_desktop_password.html3. 做好网络访问日志记录任何用户以任何方式尝试登录域控制器包括远程登录、访问共享目录、端口扫描等都应该在系统日志中做好记录。这样一旦域控制器遭受到攻击系统日志即可以用作证据留痕也能够提供信息供内网管理员排查问题。更进一步在发生某些数据丢失导致系统故障时基于系统日志还能挽回一定的损失。常见的网络访问对应的系统日志项如下账户登录情况审核凭证验证kerberos身份验证服务kerberos票据操作账户登录事件系统登录情况账户锁定用户注销用户登录对象访问情况文件共享注册表访问SAM文件访问权限使用情况特权使用敏感权限使用其它权限使用主机设备安全一旦攻击者进入了内网域控制器的主机设备层面就开始面临直接攻击应提前在账号安全、系统安全和权限安全等方面做好防御准备。1. 账号安全域管理员账号安全是最大的安全风险要确保其只能被真正的内网管理员使用。同时绝对不能在域控制器以外的计算机上使用域管理员登录。这并没有什么好办法来限制就是要对内网管理员加强网络安全攻防培训使他们了解域管理员用户的重要性避免麻痹思想。除了域管理员账户也要小心一些弱口令账户。在严格的内网管理环境中弱口令被认为是最严重的安全漏洞它们往往被攻击者利用来横向移动因此一旦发现弱口令必须立即处理。一般情况下会在域控制器的管理中心上应用并细化密码和账户锁定策略具体操作如下第一步用管理员权限打dsac.exe域控制器管理中心第二步左侧窗口切换到Tree view模式找到系统system选项卡的密码设置容器右键单击后从菜单中选择新建再选择密码设置。如图所示。第三步在“创建密码设置”对话框中填写相应字段的信息如图所示第四步点击“添加...”按钮打开“选择用户或组”窗口输入需要应用细粒度密码策略的用户帐户或组的名称也可以单击“高级”选项进行搜索并选择指定的用户或用户组。第五步单击“确定”在域控制器上应用密码和账户锁定策略如图所示。除此以外也需要小心一些在域环境下自动生成的账户比如krbtgt、DSRM等一定要确保其口令复杂度和密码的唯一性并定期进行更改。如图所示在当前域控制器下有4个用户afei是普通用户Guest是访客账户这里需要重点关注的是Administrator和krbtgt这两个账户。Administrator账户是一个可用的本地管理员账户非域用户而krbtgt账户是域控制器KDC的服务账户这两个账户权限很高却往往不被注意到因此一旦丢失往往会被攻击者长时间使用。2. 系统防护安全。域控制器的系统安全防护落脚点在于防病毒软件、系统补丁修复工具和基于主机的入侵检测系统上。防病毒软件和系统补丁修复工具这两方面在其它章节中有所涉及简单来说就是域控制器必须强制安装必要的商业杀毒软件并精准补丁提前测试避免造成域控制器瘫痪、及时、有序主、备域控制器不能同一样时间处理的安装系统漏洞补丁。基于主机的入侵检测系统HIDS主要用于监视域控制器的操作系统全部或部分运行状态情况并提供发现入侵行为和触发警报的功能。由于域控制器的重要性应在确保域控制器稳定的情况下再部署基于主机的入侵检测系统。比较常用的产品是OSSEC它是免费开源的基于主机的入侵防护系统提供的功能包括有日志分析、rootkit检测、安全警报等。其界面展示如图所示。3. 系统备份安全域控制器是基于域的内网环境中的骨干基础设施应定期执行域控制器系统备份工作避免域控制器所在服务器发生不可逆转的操作系统损坏或配置丢失的情况。可按如下步骤创建域控制器备份第一步登录到域控制器在域控制器上接入备份专用的硬盘驱动器。第二步启动服务器管理器一般情况下域控制器会自动启动该进程。如果关闭了或者没有自启动在菜单栏的“运行窗口”中输入servermanager.exe启动它点击顶部的“工具”菜单选择Windows Server Backup如图所示。打开服务器备份窗口Windows Server Backup后在左侧导航中选择本地备份如图所示。在服务器备份器的右侧操作窗格中单击“备份计划...”出现备份计划向导窗口如图所示。如果没有特殊的配置要求一路点选下一步就可以了直到最后在Select Destination Disk对话框中选择要备份的磁盘即刚刚接入的硬盘驱动器。最后在确认屏幕中单击“完成”按钮运行一段时间后就完成了系统备份工作。应用数据安全很多内网管理员为了使用方便会在域控制器上安装Exchange Server等应用程序这个操作会给域控制器安全带来很大威胁具体原因如下一是在域控制器上安装Exchange Server时会将Exchange 受信任子系统通用安全组添加到域管理员组中这导致Exchange服务器获得了域管理员权限。二是Exchange Server非常耗费资源导致存在容易引发域控制器资源紧张的风险易受网络中的DDoS攻击。三是越是使用广泛的应用程序越容易受到攻击者青睐以Exchange Server为例近年出现了如下所示的漏洞。如果Exchange Server安装在域控制器上这就意味着域控制器也存在着大量漏洞。CVE-2018-8581任意用户位置漏洞CVE-2019-1040Windows NTLM篡改漏洞CVE-2020-0688Microsoft Exchage 远程代码执行漏洞CVE-2020-16875Microsoft Exchage 远程代码执行漏洞CVE-2020-17144Microsoft Exchage 远程代码执行漏洞CVE-2021-26855服务端请求伪造漏洞CVE-2021-26857反序列化漏洞CVE-2021-26858/CVE-2021-27065任意文件写入漏洞综上所述如果一个应用程序被部署或安装在域控制器上那么往往就会拥有过多的权限。一个拥有过多权限的应用程序受到威胁攻击者就能借机进一步扩大攻击范围。如果应用程序的使用权限恰好也是域管理员权限那么攻击者通过该应用程序就能够轻松拥有域管理员权限从而不受限制地访问域网络上的几乎所有敏感数据。因此我们建议不要在域控制器上安装运行与域控制器功能无关的任何应用程序让每一台域控制器只做它必须做的事情确保域控制器的应用和数据安全。— 关于我们 —镇江刺掌信息科技有限公司成立于2020年公司旗下MS08067安全实验室专注于网络安全领域教育、培训、认证产品及服务提供商。近两年线上培训人数近10万人次培养网络安全人才近6000名。公司被认定为国家高新技术企业、国家科技型中小企业、江苏省创新性中小企业、江苏省民营科技企业、江苏省软件企业。并荣获机械工业出版社“年度最佳合作伙伴”、电子工业出版社-博文视点“优秀合作伙伴”、镇江市企业发展服务中心优质合作伙伴、镇江市网络安全应急支撑服务单位等荣誉称号。如果喜欢我们 欢迎 在看丨留言丨分享至朋友圈 三连