如何构建超级安全的Active Directory基础设施*
CJ Cox //
声明:本文提及的技术和工具可能已过时,不适用于当前环境。但本文仍可作为学习资料,或为现代工具和技术提供更新思路。
我们经常收到客户咨询,询问是否提供系统防御的咨询服务。最近有客户希望我们协助加固其Active Directory基础设施。
让BHIS(Black Hills信息安全团队)来保护您的系统,就像请海豹突击队看守您的院子——我们当然能做到,但可能不是最经济的方案。BHIS专精于攻击性安全,而非防御。让我们发挥所长进行"攻击测试",才能为您创造更大价值。
攻防相长。当您想验证现有安全措施的有效性时,我们可以进行压力测试:发现基础设施漏洞,指明防御短板。通过防御培训,您将变得更高效、更强大。这远比等待真实攻击暴露问题更经济。让专业攻击者检验防御体系,是我们所知最有效的改进方式。
优秀的系统管理需要结合技术与业务需求,持续应用更优的安全原则。外部顾问很难比您的团队更了解自身环境。让顾问熟悉内部基础设施会耗费大量时间和资源。
那么,除了聘请顾问,还能如何获取帮助?我始终推荐最强大的安全工具——搜索引擎。关于Active Directory加固,我快速找到两篇经典文章:《Active Directory安全最佳实践》和2006年的《19条Active Directory安全技巧》(基础建议至今有效)。微软官方指南和CIS基准、SANS白皮书等资源也值得参考。但需注意:指南仅是起点,必须平衡功能性与业务风险。过度安全可能导致业务工具失效,这类决策很难外包。通过理解这些权衡,您将提升业务能力和技术水平。最后——聘请BHIS进行测试。正如John常说的:
安全没有银弹。没有一劳永逸的软件方案。这需要持续努力,且永无止境。
祝您征程顺利!
2017年8月24日更新
几点澄清:
- BHIS所有渗透测试和网站内容都旨在改进防御。我们通过攻击教学实践来提升防御。测试报告包含基于攻击迹象的防御建议。不理解Active Directory等系统的工作原理,就不可能有效攻击。
- 但这不意味测试者是AD实施专家。我们只提供特定视角。如果有人自称"AD全能专家"(除非是Fossen或Russinovich),请保持警惕。我们期望行业破除"黑客全能"神话,转向协作模式。
- BHIS乐于在测试前后讨论防御措施。欢迎随时联系,申请专题博客或网络研讨会。我们保证您会有所收获。
附:本文并非AD操作指南,或许应更名为《渗透测试者在防御改进中的正确定位》。我的初衷不是让客户"去谷歌搜索",而是强调在评估成本效益后,综合使用优质资源、顾问和产品。
*抱歉这并非真正的"操作指南",更像"建议获取途径"。您被"Buzzfeed式标题"吸引了。