▎各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 234 期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。
话题抢先看
1. 某集团企业生产网(私有云或机房数据中心)、办公网终端均使用同一个AD域,那么其生产服务器是否需要脱域或其它方式整改?
2. 当上述企业业务应用的登录均使用LDAP进行认证,常因域账号泄露导致业务失陷,有没有什么方法保证应用安全?
3. 针对部分生产服务器需要与终端进行域用户文件共享,应该如何提高安全性?
4. 信创趋势下,针对AD域整改是否有可能国产化?
话题
在企业网络信息化建设中,AD域扮演了重要的角色,集身份验证和服务管理于一身。但随着企业发展的过程中,部分企业因为在一开始没有规划好,AD域慢慢出现了安全隐患。
Q:某集团企业生产网(私有云或机房数据中心)、办公网终端均使用同一个AD域,那么其生产服务器是否需要脱域或其它方式整改?
A1:
AD域用于管理用户,不用在服务器环境。
A2:
不用AD,尤其还对外暴露。
A3:
生产肯定不用AD啊,要用AD也可以用过AAD(现在叫Microsoft Entra ID)转一手,AD现在安全功能太弱了,不适合。
A4:
生产服务器没必要放在域内运行吧,单独隔出来。
A5:
得看企业规模了,如果大企业,且存在历史问题的话,脱域容易,再加进去就麻烦了,相比于脱域,不如在此基础上增加安全措施吧。
A6:
AD只用于用户管理。并且根据微软的最佳实践,最少3个节点,并且在不同的区域,最小化特权来防护。
A7:
使用AD容易一把梭,所以服务器到底用不用AD,能够带来多大价值还是要斟酌的。
A8:
服务器其实不建议加域,加域起不到管理的效果,反而增加很大的风险。日常管理过程中,很难会投入很多时间和精力对域进行安全加固,所以往往是攻击者的首要目录,一旦域被拿下,域内所有服务器都会沦陷。
A9:
2021年还是2020年,AD不是有一个0 Day,直接拿下权限,那以后全部服务器退域。
A10:
我认为是有必要的,人的身份鉴权管理和服务的鉴权管理应该分开,减少互相影响,减少权限委派,而且专业的事情由专业的人和服务去做。
A11:
如果能够把各项基础设施和管理流程完善,及时响应,我觉得在同一域内也还可以。
A12:
很难,这个是很理想的情况了,实际情况是绝大部分企业是头痛医头脚痛医脚,到最后整个网络就是一坨,互相之间的关系错综复杂,但是这玩意要推很多原有的架构就得变,业务和运维都没有太大的意愿去做这个事。我现在是把入域的用户先慢慢踢掉,至少某个用户出问题导致域失陷了。
A13:
改不动就加固,很多安全措施本身就是妥协产物。
A14:
多个域控,域控之间做同步。生产区域控独立网段(与生产服务器网段不同),安全设备隔离;办公区域控同样独立网段(与办公终端网段不同),安全设备隔离。
A15:
域控高可用,一个是单独一台台补漏洞测试,还有一个方案是前端部署专门的防漏洞设备,这是最安全省力的做法,就是费钱。
A16:
我实际都没接触过几次域控,这玩意现在不流行了吗?只在一家轨道交通见过。
A17:
三步走吧,第一新部署的不加域,历史的按业务属性逐步脱离,对于无法脱的强监控。
Q:同上一集团企业,其业务应用的登录均使用LDAP进行认证,常因域账号泄露导致业务失陷,有没有什么方法保证应用安全?
A18:
业务使用LDAP认证,账号泄露就失陷了,这个中间忽略了很多条件吧,这里指的是通过应用口拿到了LDAP内域账号的信息,然后通过域账号进行提权和横向么?
A19:
1. 个人使用域账号与LDAP认证账号、运维域账号分离; 2. 账号密码设置有效期,要求复杂密码策略; 3. 重要业务系统采用多因子认证; 4. 采购统一身份认证管理平台,终结域的弊端。
A20:
常规的账号策略和密码策略。 账号策略:最小特权,限制访问; 密码策略:定期修改密码,密码复杂度,密码锁定策略。 一套下来,让恶意获得账号的方式变得更加困难。就算获得账号了,也很难进行提权或者横向移动。
A21:
不太懂LDAP,但如果只是因为LDAP账户泄露而更换认证方式,或者上其他的统一身份认证,感觉代价又很大,可能还是要从LDAP本身的自带的配置上找方法。
A22:
我也遇到过这一类的问题,AD域控、统一身份认证的问题,办公PC 域控在逐步淘汰掉了,对PC的管控通过终端管理来处理。多业务系统共用账号问题使用的有LDAP、UMS、AD域控,挺杂的,普遍存在风险,没想到这块怎么解决?
A23:
AD 有两个作用。一个就是对PC管控,这块目前完全可以用桌面管理来覆盖所有场景。二是统一身份认证,我们就直接采购了一套SSO覆盖所有内部和外部的场景。
A24:
这个是正道,终端安全管控能替代AD域,AD域控就是颗地雷,护网的时候随时可能爆。
A25:
这是想换域控,没找到好办法的意思吧,我就想知道,不用AD给用户发账号,那些终端上的账号怎么管,全是Administrator,信息更新能及时么?
A26:
确实是没找到好的办法,其实最主要的就是用户的开机账号密码管控这块,其他的软件安装、推送,第三方桌面软件可以管理。组策略管理,也可以写脚本跑。
A27:
一说都是桌管,那么 一堆终端安全软件的情况下,多好的性能机器都要费。如果是统一管理平台的情况下,那基本是把安全革命了。
A28:
取一个中间方案,AD还是用,但是只管理用户终端,比如账号管理,密码策略,统一壁纸,屏幕锁定策略这种。系统登录用其他SSO方案。
A29:
AD也好,SSO也罢,对于多系统、多环境、多平台对接,还是各项协议的兼容性。
Q:针对部分生产服务器需要与终端进行域用户文件共享,应该如何提高安全性?
A30:
禁用SMB,用其他方式替代。我们用TEAMS全面替代文件共享了。
A31:
问题的这种方式本身不安全,一定要用这种方式,那就开防火墙中允许白名单进行文件共享(开相应端口)。
A32:
1. 从网络上进行隔离,比如让相关的代码服务器或者研发终端的前置交换与数据中心的核心路由接入,保证高速度的同时也可以保证安全隔离,如果是公有云保证安全需要用SDWAN; 2. 身份上使用VPN零信任并且开启MFA; 3. 从文件使用上理想状态要分级别,按照权限下载文件,严格控制权限。比如OSS对象存储这种就是要用中间层做权限验证和拉取对应的文件,数据层是最不好做的; 4. 本地文件加密(可以用云自带的本地加密配置选项,如果有最好); 5. 在云管理平台上或者对象存储WEB管理上可以看到审计日志,当然如果能做到告警监控就是更好的了。
Q:信创趋势下,针对AD域整改是否有可能国产化?
A33:
如果信创趋势下,必定是国产化替代,所以不存在使用AD的场景,一定会有其他替代方案。具体要看使用AD域的业务场景,如果只是用来LADP,那可以用SSO或统一身份认证,如果是管理终端,现在桌管完全够用。
A34:
信创背景下,从使用向政府开源的神州网信版本向Linux过渡,肯定会有替代方案出来。不过目前对于Linux管控方案感觉产品并不多样。
A35:
本质上并不是AD国产化,AD是微软的产物,我相信每个国产OS厂商未来会推出自己的身份管理协议和平台,因为国产OS的市场就是政企,老百姓几乎不用,所以国产OS厂商没有自己的身份认证平台和协议是无法在政企推广使用的,本质上我们做国产化不是卖个OS,而是卖一个企业办公的管理体系。
本周话题总结
在企业网络信息化建设中,AD域在身份验证和服务管理中扮演着重要角色,但随着企业发展,一些企业可能由于初始规划不足,导致AD域出现安全隐患。对于集团企业生产网和办公网共用同一个AD域的情况,针对生产服务器是否需要脱域或整改的问题,讨论中提出了多种观点和建议。一些观点强调生产服务器不必加入域,建议将其隔离出来,以降低安全风险。另一些建议则提到增加安全措施或采用其他身份认证方式。
在业务应用登录使用LDAP认证时,常见的问题是域账号泄露导致业务失陷。针对此问题,建议包括个人账号与LDAP认证账号分离、密码策略设置、多因子认证等措施来提高应用安全性。对于生产服务器与终端进行域用户文件共享的情况,建议采取网络隔离、使用VPN零信任、文件权限控制等方法来提高安全性。在信创趋势下,针对AD域整改国产化的可能性,讨论中提到未来可能会有国产替代方案出现,如政府开源的身份管理平台或国产OS厂商推出的身份认证平台。
近期群内答疑解惑
Q:当公司用了像泛微OA用友NC这类靶机软件,漏洞的新增速度远大于企业打补丁的速度时,漏洞管理怎么做比较好?
A1: 漏洞管理工程师能干的就是实时监控,然后派发漏洞给项目组。或者了解漏洞之后厂商没有办法,自己和项目组讨论解决办法。 A2: 差不多,若是基于这些职责为前提,像这类靶机软件,怎么做呢?关注安全公告,发现新的就输出给系统负责人,然后Stop?漏洞太多,打补丁后还需要功能测试,QA工作量很大的。 A3: 从风险的角度,中高危的漏洞评估好影响和复现验证后,通知给业务(这是先做好通知),以及看能不能WAF给防一下。从业务连续性的角度,做好备份和快照恢复。从企业暴露面的话,看能不能商量收内网/限制互联网访问,尽量减少一点被干的几率。安全能干的基本就这些了,修复时间这些是无解的,只能减少修复过程中导致的损失了。
Q:现在网站登录的双因子怎么认定的?APP端短信登录可以校验IEMI号等信息,可以算双因子, 但是PC端 感觉就是一个短信码校验,这种要短信登录怎么做双因子?
A1: 密码 短信。 A2: 就是觉得密码 短信比较麻烦,想看看有没有好点的办法。 A3: 或者类似购物网站,弄个最近收货人或者收货地址之类的。或者是密码 首次登录获取设备信息。 A4: 单纯的短信验证码只是单因子吧? A5: 人家说,你要有双因子认证登录,你提供了这种方式,但是也提供了其他方式,也是合理的啊,没有说,每个登录方式都要双因子认证。 A6: 还可以这样吗?我还以为必须每种方式都包含2个校验因子。
A7: 你提供功能就行了,让用户自行选择用不用,你想完全过那条,其中一个因素是要用密码技术实现。
Q:远程办公这种场景,你们如何解决数据防泄露问题?
A1: SDP 沙箱、云桌面。 A2: 1. VDI,可以隔离数据,防截屏; 2. 数据加密,防非授权传输。
Q:行为监控日志,例如IP guard的文档操作日志 , 适合用作法庭的证据吗?会不会被员工认为是侵权?
A1: 不能直接用,都没有做证据固定怎么能直接用在法庭呢?要是证据可以固定、证据完整是可以的。 A2: 应该不能做直接证据,旁证还是什么的是可以的。前提是日志核实过吧,我记得日志需要厂商出人作证。 A3: 一般公司入职合同还有安全承诺书,保密协议里面都会写入这些作为公司必要监控,至于会不会被反控就不清楚了,反正我们之前有员工删除交接资料去仲裁没被采纳。 A4: 上网行为日志是公安强制要求的,没有反而会被处罚的,还有你们公司入职告知书没有明确告知这些内容吗? A5: 如果能找到一些司法鉴定机构做证据固定是能够作为直接证据,现在计算机犯罪这么多,法院认定采纳率还行。
Q:大家做年度漏洞盘点的时候,对典型漏洞案例分析都是怎么做的,分享下思路和关键词?
A1: 分类整理,以编码安全培训的角度进行咯,用实际漏洞案例和数据支撑你讲的内容。 A2: 多少关键系统受影响;优先处理了哪些对外服务器;临时下线了哪些业务;通过与研发合作完成哪些快速修复/临时举措、多少条措施;自定义多少NGFW、WAF等防护规则;增加多少监控项;最终对某漏洞实现有效降低入侵风险。 A3: 1. 不能修的漏洞,比如openssh升级影响上层业务,大量路由器交换机年久失修; 2. 很难修的漏洞,如管理问题,服务器组件漏洞业务和基础设施团队踢皮球;技术问题,供应商补丁未出来,只能临时按照安全厂商建议缓解; 3. 很难发现的漏洞,一般管理问题、影子资产这种; 4. 成功修复的重要漏洞,如log4J。
甲方群最新动态
上期话题回顾: 大模型如何赋能企业安全;重要文件的保护措施有哪些 活动回顾: 碰撞AI安全的火花,探索企业安全建设新路径