安全組會保護亦會破壞您的it網路安全,該組成員主要負責管理網路中的訪問許可權,如對資源和資料的訪問許可權。但您有沒有想過,乙個組成員身份的配置錯誤可能會導致一些安全事件的發生?
深度剖析組成員許可權
在安全方面,active directory和azure ad中的組成員身份通常會被低估,成員身份通常由it管理員、服務台和部門經理授權。
以下是在ad或azure ad中配置組成員身份的錯誤場景:
巢狀和間接組成員身份
將乙個組新增到另乙個組作為成員時稱為巢狀組。例如,可以將乙個或多個安全組新增到管理組。儘管可以對該管理組的更改進行連續監視,但當不監視巢狀組的更改時,仍可能存在安全漏洞。
惡意內部人員或外部攻擊者可以輕鬆地將成員新增到巢狀組或間接組中,由於巢狀組是管理組的一部分,所以他們很容易獲得對敏感資料的訪問許可權。為了克服這一挑戰,建議企業採用「零信任」安全策略,僅向使用者授予他們所需的訪問許可權。
讓我們先看一下如何在ad中審核組成員身份的更改。
當您啟用所需的審核策略去審核ad中的組成員時,ad域的任何型別的組中的任何成員身份更改事件都會被審核並記錄在域控制器(dc)的windows事件檢視器的安全選項卡上。
但是,監視組的更改活動事件並不是這麼簡單,因為ad域上的所有其他安全更改(如許可權,檔案和資料夾的更改以及登入和登出活動)都會被轉儲到同一位置(即event viewer的安全選項卡)。所以我們必須使用表示組更改的相應事件id去檢視所有這些安全事件(如下圖)。
根據組型別和執行的操作,如組建立、許可權更改和成員身份更改會記錄成不同的事件id,這使得審核組更改事件並進行分類時非常繁瑣且耗時。
組不僅僅是安全組
安全組是唯一可以決定組成員對資源的訪問許可權的組,但是ad和azure中還有其他各種型別的組可以授予組成員對其他網路資源的訪問許可權。
跨dc的通訊組和安全組:如果您擁有多dc環境,那麼您可能已經了解這些組。有預設的管理員組,例如dns admins、域管理員和企業管理員,這些管理員允許使用者管理ad域的某些元件。通訊組可以讓您自定義使用者角色或管理跨多個域的資源。
其他平台組:任何第三方服務建立的組都可以決定使用者對該服務的訪問許可權。例如:
· 本地ad組用於訪問azure資源。
· exchange server組:預設情況下,該組有權清除域的安全日誌。所以任意加到該組內的惡意使用者都可以輕鬆刪除域的安全日誌,從而消除所有惡意活動痕跡。
· exchange windows許可權組:具有對域dns節點的dacl寫入控制權。任何具有域dns節點許可權的使用者都可以更改並控制域中的每個物件。
· azure ad安全組和microsoft 365組: azure ad和microsoft 365組對於管理azure ad中的資源至關重要。
· 安全組用於管理azure中的一組使用者或計算機對共享資源的訪問許可權。
· microsoft 365組通過允許成員訪問共享的郵箱、日曆、檔案和sharepoint站點等來提供團隊協作。
讓我們看一下azure ad中的組成員身份審核。
azure ad審核日誌
就像本地active directory中的windows event viewer一樣,azure ad也有乙個位置用於儲存審核日誌。這些審核日誌記錄基於目錄的更改,例如對使用者、組和應用程式的更改。
不過與本地ad相比,azure ad提供了更多的排序和篩選選項。例如,您可以根據時間、操作等來過濾安全事件。
但是,審核日誌不能提供安全更改的概括圖。例如,假設您要查詢在azure ad中已修改的安全組的列表,您將不得不開啟並檢查每個日誌以確定具體哪個組被修改了,可想而知這是乙個繁瑣且耗時的過程。
讓我們看看審核azure ad中安全事件的其他可能的方法。
microsoft 365統一審核日誌
microsoft通過其安全與合規中心中的統一審核日誌為上述問題提供了解決方案。但其實,此解決方案效率並不高。
從上圖可以看到,安全與合規中心具有審核日誌搜尋功能,可讓您快速搜尋和過濾審核日誌。聽起來不錯吧?不完全是!如果想進一步分析事件,因其詳細資訊為json格式,所以分析此資料的唯一方法就是匯出json日誌資料,並使用microsoft excel對其再次進行過濾。
如您所見,儘管篩選選項會友好一些,但是azure內也存在您在典型的本地ad基礎架構中面臨的那些審核和分析中的挑戰!最重要的是,azure ad和microsoft 365都分別僅儲存30天和90天的短時間內的日誌,這使得取證分析變得困難,甚至無法執行!
綜上所述,實時捕獲和分析安全組成員身份更改是當務之急。儘管本機服務可以按時捕獲敏感事件,但是有限的排序和搜尋功能使分析這些事件具有非常大的挑戰性。況且,僅檢測成員身份更改是不夠的。您的組織也應具有實時告警機制和響應措施,以應對任何未經授權的組成員身份更改事件的發生。
譯文 為什麼軟體架構如此重要?
本文翻譯自 why software architecture matters 拋開某項特定的技術或某個特定的專案不說,這篇文章我想講講關於犯錯這個話題。談論和讚揚成功也許很輕鬆,但是我發現犯錯仍是個很有意思的話題。主要是因為它們在學習的過程中頗有用處。一開始我將講一些背景知識,然後闡述一下我對軟體...
譯文 為什麼軟體架構如此重要?
本文翻譯自 why software architecture matters 拋開某項特定的技術或某個特定的專案不說,這篇文章我想講講關於犯錯這個話題。談論和讚揚成功也許很輕鬆,但是我發現犯錯仍是個很有意思的話題。主要是因為它們在學習的過程中頗有用處。一開始我將講一些背景知識,然後闡述一下我對軟體...
使用者體驗為什麼如此這麼重要?
1.使用者體驗 產品如何與外界 發生聯絡 接觸 並 發揮作用 使用 的。2.出現的最初,成功的關鍵是 第一時間 現在,則是提供優質的使用者體驗。高效的溝通是決定產品是否成功的關鍵因素。以使用者為中心的設計 建立吸引人的 高效的使用者體驗的方法。在開發產品的每乙個步驟中,都要把使用者列入考慮範圍。把使...