攻击面减少的定义

组织的攻击面包括可能在网络攻击中受到损害的网络、设备或 IT 基础设施的任何区域。正如您可以想象的那样，攻击面的增长速度与我们对各种设备和远程应用程序的依赖一样快。

在本博客中，我们将深入探讨减少攻击面 (ASR) 的主题，这是网络安全中的一个重要概念，重点是最大限度地减少潜在攻击者可以在系统中利用的漏洞，以及保护 Active Directory 在减少攻击面方面发挥的核心作用。整体攻击面。

什么是减少攻击面？

简而言之，系统的攻击面是未经授权的用户可以利用尝试闯入环境以实现其目标的所有攻击向量的总和，例如造成严重破坏、窃取数据或发起额外攻击（其他）目标。减少攻击面 (ASR) 是网络安全的核心概念，涉及最大限度地减少潜在攻击者可能在系统中利用的漏洞。

ASR策略旨在通过消除不必要的功能、加强服务和功能的整体强化、加强访问控制和定期更新软件来缩小这些攻击面。

除其他外，减少环境攻击面的策略可能包括：

• 最小权限原则。通过将访问限制为仅允许所需的内容，限制攻击者在破坏用户帐户或应用程序时可能造成的损害用户的角色，仅此而已。
• 网络分段。将网络划分为单独的网段，限制威胁在网络内的传播或使其更具挑战性。如果攻击者获得对网络某一部分的访问权限，网络分段可以帮助将他们限制在网络的该部分内，迫使他们采取额外的步骤在整个环境中移动，并为您提供更多的时间和机会来检测恶意活动。
• 强化（保护）配置。 增强应用程序和系统的安全配置。例如，禁用不必要的服务、关闭未使用的端口、安装和配置适当的安全工具（如端点检测和响应解决方案）等。
• 审计和监控。定期审核和监控系统和网络是否存在异常行为、政策违规或攻击迹象。这可以帮助识别潜在的漏洞或正在进行的攻击。

现在我们已经探讨了减少攻击面的总体概念，让我们看看它如何应用于 Active Directory（IT 基础设施最关键的组件之一）。

为什么 Active Directory 是常见的攻击面

Microsoft Active Directory 已有二十多年的历史，是 Microsoft 最古老的产品之一。即使在今天，它仍然是许多环境中的关键组件，提供身份验证和策略执行（组策略）等基本服务。尽管 Active Directory 经历了重大发展并获得了众多改进，但它仍然对组织构成挑战，常常成为安全漏洞的致命弱点。正如 Microsoft 身份安全目录副总裁 Alex Weinert 在 2022 年亚特兰大专家会议上强调的那样，数据泄露主要发生在本地。

考虑到 Active Directory 存在的时间很长，人们可能会认为防御者会变得善于保护它。不幸的是，事实恰恰相反。随着云技术的普及并吸引了劳动力，人们对 Active Directory 的熟悉程度似乎迅速下降。此外，二十多年来，攻击者还有机会磨练自己的技能，这可能会带来灾难。

如果有的话，以上所有内容都凸显了维护强大的 Active Directory 基础架构的极端重要性。组织应努力最大程度地减少其环境中的攻击面。通过这样做，他们可以增强 Active Directory 的安全状况并减轻或显着减少潜在风险。

Active Directory 攻击面管理最佳实践

减少 Active Directory 的攻击面需要考虑多个要素并实施具体措施，包括以下方面：

定期修补和更新

对于软件来说，错误是会发生的。根据错误（类型），可能存在漏洞，为攻击者提供访问环境的机会。尽管并非所有错误和漏洞都是一样的，但它们有一个共同点：发布软件更新来修复它们。因此，保持最新的软件更新和补丁至关重要。补丁管理可能是您可以执行的最有效的减少攻击面的活动。

实行分级管理

将管理活动与常规用户活动分开可以最大限度地减少横向移动和权限升级的风险。这种方法限制了受损帐户的潜在影响并减少了攻击面。由于分层管理主题本身就值得一篇文章，因此请考虑阅读有关第 0 层的这篇文章以获取更多信息。

实施监控和审计

监视和审核 Active Directory 有几个方面。

• 确保监控环境中的活动。这需要定期查看登录日志以检查是否有任何异常情况。这使您能够在潜在的恶意活动发生时检测到它们，从而使您能够及时做出响应。监视这些活动并不简单，特别是考虑到 Active Directory 负责如此多的服务。尽管您可以通过启用高级审核和日志记录并将这些日志导出到 SIEM 来尝试关联事件来创建监控系统，但考虑可以简化这些流程的现成第三方审核解决方案要高效得多。
• 考虑审核对环境的更改。如果有足够的权限，攻击者喜欢更改环境的配置，例如，使他们能够保持不被发现、提供更广泛的系统访问权限或创建后门以进行持续访问。 Change Auditor for Active Directory 是一个很好的解决方案示例，可以帮助您了解正在发生的情况。它甚至允许您快速恢复错误或恶意所做的更改。
• 定期检查环境配置。与许多应用程序一样，Active Directory 是一个生存环境：配置可能会随着时间的推移而更改、创建和删除帐户、授予权限等等。环境越大，就越难了解其中发生的一切。考虑到单个错误配置可能会增加您环境的暴露程度，因此您必须定期检查其配置。在这里，与之前相同的建议适用：即使您可以自己完成，也可以考虑利用第三方解决方案来帮助您完成监视、审核和暴露攻击路径等任务。

定期重置KRBTGT密码两次

KRBTGT 帐户是攻击者的关键目标，因为攻击者可以利用该帐户为所有域资源创建有效令牌。按照特定程序重置密码两次会使之前的密码失效，从而使受感染帐户颁发的令牌变得无用。请记住，这样做只是工作的一部分：如果攻击者建立了其他攻击路径或后门，重置密码并不能阻止攻击者访问环境。

保护域控制器

通过限制互联网访问、限制特定知名端口的入站流量以及使用端点检测和响应 (EDR) 和反恶意软件解决方案等现代安全工具保护操作系统来强化域控制器系统。

消除不安全协议和密码的使用

众所周知，Active Directory 支持的某些协议容易受到攻击。示例包括 SMB v1 和 NTLM v1。除非无法支持某些遗留应用程序，否则您应该通过在域和域控制器级别禁用对这些协议的支持来从您的环境中消除对这些协议的使用。

实施强密码策略

与其经常轮换密码，不如考虑实施需要更长密码的强密码策略。当密码足够长时（例如，像密码短语一样），密码的复杂性不会显着提高其安全性。有了良好的密码政策，每年更改一次密码就足够了。如果可以，请通过为本地 Active Directory 实施密码保护 (Azure AD) 来增强密码安全性。通过这样做，来自本地环境的密码哈希值将与一组已知泄露/破坏的密码进行比较。如果在环境中检测到此类密码，管理员将收到警报。

减少攻击面和 AD 安全至关重要

由于 Active Directory 在组织环境中发挥着关键作用，因此保护 Active Directory 的安全非常重要。虽然可能缺乏对多因素身份验证等现代身份验证机制的本机支持，但您可以采取许多其他操作来增强其安全性。关键是要专注于减少攻击面并实施对环境的持续监控。通过减少攻击面，您可以限制攻击者访问环境的机会。

持续监控对于日常活动和定期检查环境配置至关重要。通过主动监控环境，您可以更快速、更高效地检测和响应可疑或恶意活动。

虽然这些措施都不能保证您永远不会遇到漏洞，但它们可能会显着减缓和阻止攻击者，为您提供更多时间和机会来识别和减轻潜在威胁。