在内网为所欲为的“凭据转储”攻击应该如何防御?
|
1. 限制凭据重用 根据《Verizon数据泄露调查报告》显示,“凭据重用”仍然是攻击者获取权限或在内网移动的主要方式之一。这是有道理的,因为对于攻击者来说,用户名和密码并不难获取。弱密码、密码重复使用和众多的密码公开泄露使得攻击者能够轻松找到入侵网络的凭据。他们一旦进入网络,想要获取更多的凭据就会变得更容易。此外,许多网络钓鱼攻击也都在试图获取用户凭据,然后将其用于获取网络权限的恶意活动中。 这种情况下,我们应该怎么做呢?首先,查看自己的网络管理。查找陌生登录地点。此外,在奇怪的时间登录,或者同时有多人登录也是异常现象。即使你无法在第一时间检测到可疑登录,但在事件响应的时候,这些异常事件会让你发现攻击者进入了网络,此时,你可以在日志中查找可疑活动并将其标记,以便进一步调查时使用。 NIST建议称,企业组织应该定期检查自己的用户密码是否在公开的密码数据库中。如果在网络上使用过的任何密码信息出现在密码泄露列表中,都会使您的网络更容易受到攻击影响。 Troy Hunt已经发布了一个数据库,其中包含超过5亿个被盗用的密码信息。您可以使用各种资源来将这些泄露的密码与您自己网络中使用的密码进行比较。例如,您可以使用密码过滤器在Active Directory域上为Active Directory安装Lithnet密码保护(LPP),以查看网络上正在使用的密码。然后使用组策略来自定义这些密码的检查。当然,您可以选择“拒绝”或“允许”这些操作。 2. 管理本地管理员密码 企业组织必须清楚地明白管理本地管理员密码的重要性。这些密码在整个网络中不应该完全设置成一样的。为了方便记忆,企业组织可以考虑部署本地管理员密码解决方案(LAPS)。也可以安装Lithnet LAPS Web应用程序,该应用程序提供了一个简单的基于Web的移动友好型界面,用于访问本地管理员密码。
攻击者们知道,一旦他们获得了网络内部的访问权限并获取了本地管理员密码不幸遗留的哈希值,他们便可以在整个网络中进行横向移动。拥有随机分配的密码意味着攻击者将无法执行这种横向移动。 (编辑:莆田站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
