01. 前言

上次介紹了作為一個AD管理人員或者是AD技術(shù)支持人員，應(yīng)該保持關(guān)注的幾個工作內(nèi)容，包括補(bǔ)丁更新、密碼重置、權(quán)限梳理和組策略防護(hù)等，做好這些事情，能夠讓我們的AD域環(huán)境，處于一個相對較為安全的環(huán)境。

當(dāng)然，時代是在變化的，我們的運(yùn)維理念也應(yīng)該隨著時代的發(fā)展，進(jìn)行持續(xù)的更新迭代，才能做好未來的運(yùn)維工作。

任何IT組織或者企業(yè)，都很難避免不受到來自外界的攻擊。攻擊的途徑、方式各有不同，但是黑客都希望通過一次成功的攻擊，侵入到企業(yè)的內(nèi)部環(huán)境中，實(shí)現(xiàn)他們的利益和目的。因此我們需要通過適當(dāng)?shù)牟呗浴⒘鞒毯凸芸卮胧┑葋肀Ｗo(hù)組織內(nèi)的關(guān)鍵信息或者關(guān)鍵組件。即使在未來的某一天受到攻擊和入侵，也能夠放置入侵范圍的擴(kuò)大，最大程度降低入侵的影響。

在我們決定采取任何防護(hù)措施之前，我們不得不了解攻擊入侵的常用途徑，才能更好的根據(jù)企業(yè)的實(shí)際情況，針對性的采取相關(guān)的防護(hù)措施。

02. 攻擊常用途徑分析

在企業(yè)日常運(yùn)轉(zhuǎn)過程中，往往會遭遇如下的情況，進(jìn)而給了別人可趁之機(jī)：

1）系統(tǒng)漏洞

絕大部分企業(yè)遭受的攻擊，都是漏洞攻擊。漏洞的入侵方式，在網(wǎng)上都是公開的，黑客非常容易利用起來，并且制作成檢測工具進(jìn)行全網(wǎng)掃描，一旦發(fā)現(xiàn)某一個ip存在這樣子的漏洞，就會立即利用漏洞進(jìn)行入侵。因此，沒有進(jìn)行及時的漏洞修復(fù)，包括操作系統(tǒng)級別的漏洞、防病毒軟件/反垃圾軟件沒有及時更新規(guī)則庫等，都會導(dǎo)致企業(yè)非常容易遭受入侵和破壞。

2）產(chǎn)品超過生命周期

生命周期管理，對于很多企業(yè)來說往往是非常困難的。因?yàn)槊恳粋€版本的更新迭代，都代表著大量的人力物力財(cái)力和時間的投入，很多企業(yè)都不愿意進(jìn)行投入。且缺乏有效的管理手段和方法，很難形成企業(yè)資產(chǎn)生命周期管理方法論。

長期無序且混亂的資產(chǎn)管理，導(dǎo)致很多的產(chǎn)品，包括操作系統(tǒng)、中間件、應(yīng)用程序等，都是超過了其生命周期，無法獲得及時的補(bǔ)丁支持、漏洞修復(fù)和技術(shù)支持。運(yùn)維的技術(shù)風(fēng)險(xiǎn)和安全風(fēng)險(xiǎn)隨著時間的推遲，逐漸加大。

3）系統(tǒng)或者應(yīng)用程序配置錯誤

系統(tǒng)或者應(yīng)用程序配置的異常，也是導(dǎo)致企業(yè)遭受攻擊的因素之一。比如密碼在登錄過程中沒有加密，傳輸過程中都是明文，配置信息泄露或者發(fā)布到公網(wǎng)等，都有可能帶來各種各樣的安全風(fēng)險(xiǎn)。

4）應(yīng)用程序安全防護(hù)做的太差

我們一直在跟很多企業(yè)進(jìn)行安全加固方面的工作。通過我們的安全加固措施，能夠杜絕絕大部分的入侵。其他應(yīng)用程序也是如此，如果這些應(yīng)用程序在開發(fā)過程中，僅僅專注于功能層面的實(shí)現(xiàn)，而沒有進(jìn)行一定的安全防護(hù)工作，那么將是非常危險(xiǎn)的一件事件。漏洞會在代碼層面暴露出來，很容易遭受攻擊。

5）憑據(jù)被盜用

憑據(jù)被盜用，就好比自己家大門的鑰匙丟了。入侵的人能夠獲得非常大的權(quán)限，進(jìn)而進(jìn)行肆意的破壞。如果你有下面這些行為，則需要引起高度的重視：

1. 用高權(quán)限的賬號，登錄到了安全級別較低的計(jì)算機(jī)，比如公共計(jì)算機(jī)等；
2. 用高權(quán)限的賬號，進(jìn)行互聯(lián)網(wǎng)訪問，賬號密碼泄露的風(fēng)險(xiǎn)非常高；
3. 本地特權(quán)賬號密碼一致，比如所有本地administrator的密碼都是一樣的，一旦出現(xiàn)密碼被攻破的事件，將會是毀滅的打擊。安全跟效率，永遠(yuǎn)都是一個需要調(diào)和的矛盾點(diǎn)；
4. 特權(quán)組人員過多，太多賬號具有高權(quán)限，極大的增加的密碼泄露的風(fēng)險(xiǎn)。企業(yè)在進(jìn)行權(quán)限授予的時候，一定要充分評估賬號的權(quán)限使用場景和范圍，使用最小化的權(quán)限，并且還需要關(guān)注權(quán)限的時間段，及時的進(jìn)行權(quán)限回收；
5. 特權(quán)組使用范圍過大

很多企業(yè)管理員，為了日常運(yùn)維的便利，往往會將一個特權(quán)組（比如administrator）用在很多地方，這種其實(shí)是不合理的。每一個權(quán)限的授予，都要嚴(yán)格按照最小化的需求來實(shí)現(xiàn)。每一個應(yīng)用程序，也只能給與最小的權(quán)限進(jìn)行管理。

6）特權(quán)賬號被濫用

跟上述的情況類似，需要嚴(yán)格控制特權(quán)賬號的使用場景。因?yàn)樘貦?quán)賬號、服務(wù)器、基礎(chǔ)組件都是主要的攻擊目標(biāo)，是我們安全防護(hù)的重點(diǎn)。

我們首先應(yīng)該盡量避免密碼永不過期的特權(quán)賬號。賬號都應(yīng)該按照企業(yè)的賬號管理規(guī)定，定期進(jìn)行重置，才能保障賬號的安全性。如果是特殊的應(yīng)用程序或者進(jìn)程必須要使用密碼永不過期的賬號，則需要將密碼設(shè)置為盡可能的復(fù)雜，且好好的進(jìn)行存儲。

其次，我們不應(yīng)該對于普通用戶賬號進(jìn)行授權(quán)。用戶賬號跟管理賬號，一定要嚴(yán)格區(qū)別。因?yàn)槲覀內(nèi)粘５卿涬娔X等場景，都是不需要使用特權(quán)賬號的。

對于其他第三方平臺，應(yīng)該嚴(yán)格控制應(yīng)用賬號的權(quán)限，盡量不要給與過大的權(quán)限。才能確保即使第三方平臺遭受攻擊，密碼泄露之后，也不能入侵到我們的核心服務(wù)器。

03. 嘉為AD運(yùn)維服務(wù)

針對企業(yè)AD運(yùn)維，嘉為團(tuán)隊(duì)提供全面一站式的技術(shù)服務(wù)，包括：AD及基礎(chǔ)架構(gòu)實(shí)施、AD域升級與架構(gòu)優(yōu)化、AD安全加固、AD HW服務(wù)等，助企業(yè)打造堅(jiān)如磐石的IT系統(tǒng)，為企業(yè)信息系統(tǒng)保駕護(hù)航。

除此之外，嘉為還提供規(guī)劃咨詢服務(wù)、系統(tǒng)建設(shè)服務(wù)、二線專家服務(wù)、系統(tǒng)優(yōu)化服務(wù)、IT運(yùn)維整體外包服務(wù)、人員派駐等服務(wù)，企業(yè)可以根據(jù)需求自由組合選擇使用的服務(wù)內(nèi)容和范圍。

04. WeOps綜合服務(wù)解決方案

以WeOps一體化運(yùn)維平臺為基礎(chǔ)，深度結(jié)合嘉為AD運(yùn)維服務(wù)，全方位提升AD活動目錄的安全級別，為企業(yè)AD域保駕護(hù)航。

1）事先預(yù)防

WeOps綜合專家服務(wù)將從以下兩方面快速提升AD域的防御能力：

① 提供AD域深度檢查及診斷，通過WeOps巡檢工具與檢查腳本、應(yīng)用/業(yè)務(wù)配置與關(guān)聯(lián)拓?fù)洹⒈O(jiān)控預(yù)警、日志，獲取包括：服務(wù)器配置、系統(tǒng)日志、應(yīng)用程序日志、系統(tǒng)安全配置、權(quán)限配置、運(yùn)行狀態(tài)、性能數(shù)據(jù)、告警等信息，為AD活動目錄提供全方位檢查與診斷服務(wù)，發(fā)現(xiàn)潛在隱患，提前采取應(yīng)對措施，降低故障發(fā)生概率；

② 建立AD域系統(tǒng)補(bǔ)丁更新機(jī)制，基于WeOps一鍵批量執(zhí)行補(bǔ)丁安裝功能，高效完成微軟月度匯總補(bǔ)丁更新，并在此基礎(chǔ)上，結(jié)合20+年運(yùn)維經(jīng)驗(yàn)及企業(yè)自身的情況，幫助企業(yè)快速制定相關(guān)的補(bǔ)丁更新流程。

2）事中檢測

WeOps綜合專家服務(wù)將從以下兩方面提升AD域運(yùn)行狀態(tài)的監(jiān)測能力：

① 全方位完善AD活動目錄的監(jiān)控指標(biāo)，包括AD域系統(tǒng)關(guān)鍵性能指標(biāo)、AD域服務(wù)組件、AD域組策略、AD域安全組等，多維度感知到各項(xiàng)關(guān)鍵核心指標(biāo)運(yùn)行狀態(tài)的變化，及時發(fā)現(xiàn)異常；

③ 集中管理AD域的安全日志，通過WeOps強(qiáng)大的日志檢索功能，極大降低日志有效信息的獲取難度，并結(jié)合企業(yè)自身的情況以及運(yùn)維經(jīng)驗(yàn)實(shí)踐，協(xié)助對多種關(guān)鍵日志進(jìn)行告警通知，如異常IP登錄告警等，加快問題的發(fā)現(xiàn)。

WeOps綜合服務(wù)為企業(yè)帶來的額外價(jià)值是逐步將專家經(jīng)驗(yàn)轉(zhuǎn)化成產(chǎn)品能力，包括AD域深度巡檢指標(biāo)與腳本、AD域補(bǔ)丁更新流程、AD域深度監(jiān)控指標(biāo)與插件、AD域日志監(jiān)測方法等，極大降低后期AD域的安全運(yùn)維工作。

如果您的企業(yè)對WeOps綜合解決方案以及嘉為AD運(yùn)維服務(wù)感興趣，歡迎聯(lián)系我們，我們將為您提供專業(yè)的產(chǎn)品試用和產(chǎn)品演示等服務(wù)。

05. 后續(xù)

當(dāng)然，企業(yè)安全防護(hù)是一個持續(xù)性的過程，也有一些方法論可以利用起來，限于篇幅我們將在后續(xù)進(jìn)行更多深入分享。想了解如何做好企業(yè)安全防護(hù)，讓企業(yè)IT環(huán)境更加的安全，歡迎持續(xù)關(guān)注嘉為藍(lán)鯨！