欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

卡巴斯基2017年企业信息系统的安全评估报告

来源:本站整理 作者:佚名 时间:2018-09-12 TAG: 我要投稿
内存中。因此,操作系统的特权用户能够访问所有登录用户的凭据。
安全建议:
在所有系统中遵循最小权限原则。此外,建议尽可能避免在域环境中重复使用本地管理员帐户。针对特权账户遵循微软层级模型以降低入侵风险。
使用Credential Guard机制(该安全机制存在于Windows 10/Windows Server 2016中)
使用身份验证策略(Authentication Policies)和Authentication Policy Silos
禁用网络登录(本地管理员帐户或者本地管理员组的账户和成员)。(本地管理员组存在于Windows 8.1/ Windows Server2012R2以及安装了KB2871997更新的Windows 7/Windows 8/Windows Server2008R2中)
使用“受限管理模式RDP”而不是普通的RDP。应该注意的是,该措施可以减少明文密码泄露的风险,但增加了通过散列值建立未授权RDP连接(Hash传递攻击)的风险。只有在采取了综合防护措施以及能够阻止Hash传递攻击时,才推荐采用此方法。
将特权账户置于受保护的用户组,该组中的成员只能通过Kerberos协议登录。(Microsoft网站上提供了该组的所有保护机制的列表)
启用LSA保护,以阻止通过未受保护的进程来读取内存和进行代码注入。这为LSA存储和管理的凭据提供了额外的安全防护
禁用内存中的WDigest存储或者完全禁用WDigest身份验证机制(适用于Windows8.1 / Windows Server 2012 R2或安装了KB2871997更新的Windows7/Windows Server 2008系统)。
在域策略配置中禁用SeDebugPrivilege权限
禁用自动重新登录(ARSO)功能
使用特权帐户进行远程访问(包括通过RDP)时,请确保每次终止会话时都注销。
在GPO中配置RDP会话终止:计算机配置\策略\管理模板\ Windows组件\远程桌面服务\远程桌面会话主机\会话时间限制。
启用SACL以对尝试访问lsass.exe的进程进行登记管理
使用防病毒软件。
此措施列表不能保证完全的安全。但是,它可被用于检测网络攻击以及降低攻击成功的风险(包括自动执行的恶意软件攻击,如NotPetya/ExPetr)。
检测建议:
检测从lsass.exe进程的内存中提取密码攻击的方法根据攻击者使用的技术而有很大差异,这些内容不在本出版物的讨论范围之内。更多信息请访问https://kas.pr/16a7。
我们还建议您特别注意使用PowerShell(Invoke-Mimikatz)凭据提取攻击的检测方法。
Hash传递攻击

在此类攻击中,从SAM存储或lsass.exe进程内存中获取的NTLM哈希被用于在远程资源上进行身份验证(而不是使用帐户密码)。
这种攻击成功地在25%的攻击向量中应用,影响了28%的目标企业。
安全建议:
防止此类攻击的最有效方法是禁止在网络中使用NTLM协议。
使用LAPS(本地管理员密码解决方案)来管理本地管理员密码。
禁用网络登录(本地管理员帐户或者本地管理员组的账户和成员)。(本地管理员组存在于Windows 8.1/ Windows Server2012R2以及安装了KB2871997更新的Windows 7/Windows 8/Windows Server2008R2中)
在所有系统中遵循最小权限原则。针对特权账户遵循微软层级模型以降低入侵风险。
检测建议:
在对特权账户的使用具有严格限制的分段网络中,可以最有效地检测此类攻击。
建议制作可能遭到攻击的账户的列表。该列表不仅应包括高权限帐户,还应包括可用于访问组织关键资源的所有帐户。
在开发哈希传递攻击的检测策略时,请注意与以下相关的非典型网络登录事件:
源IP地址和目标资源的IP地址
登录时间(工作时间、假期)
此外,还要注意与以下相关的非典型事件:
帐户(创建帐户、更改帐户设置或尝试使用禁用的身份验证方法);
同时使用多个帐户(尝试从同一台计算机登录到不同的帐户,使用不同的帐户进行VPN连接以及访问资源)。
哈希传递攻击中使用的许多工具都会随机生成工作站名称。这可以通过工作站名称是随机字符组合的4624事件来检测。
从SAM中提取本地用户凭据

从Windows SAM存储中提取的本地帐户NTLM哈希值可用于离线密码猜测攻击或哈希传递攻击。
检测建议:
检测从SAM提取登录凭据的攻击取决于攻击者使用的方法:直接访问逻辑卷、Shadow Copy、reg.exe,远程注册表等。
有关检测凭据提取攻击的详细信息,请访问 https://kas.pr/16a7。
最常见漏洞和安全缺陷的统计信息
最常见的漏洞和安全缺陷


在所有的目标企业中,都发现网络流量过滤措施不足的问题。管理接口(SSH、Telnet、SNMP以及Web应用的管理接口)和DBMS访问接口都可以通过用户段进行访问。在不同帐户中使用弱密码和密码重用使得密码猜测攻击变得更加容易。
当一个应用程序账户在操作系统中具有过多的权限时,利用该应用程序中的漏洞可能在主机上获得最高权限,这使得后续攻击变得更加容易。
Web应用安全评估
以下统计数据包括全球范围内的企业安全评估结果。所有Web应用中有52%与电子商务有关。

上一页  [1] [2] [3] [4] [5] [6] [7] [8]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载