服务器谨防_ddos高防ip原理_无缝切换-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 高防CDN > 服务器谨防_ddos高防ip原理_无缝切换

服务器谨防_ddos高防ip原理_无缝切换

小墨安全管家 2021-06-11 06:19 高防CDN 89 ℃
DDoS防御

服务器谨防_ddos高防ip原理_无缝切换

我们开始了一系列对于爱护活动名目治理方面的文章,由briansvidergol创建。本系列将分为三个部分(第1部分、第2部分和第3部分),每一部分都将致力于解决有关爱护Active Directory治理的特定咨询题,并为每个领域提供一些方法:最小特权原则。尽管很多治理员都听讲过那个术语并了解差不多概念,它并不总是与环境的配置相关联。今天的重点是内部安全事件、权限提升和最小化咨询题。基础设施注意事项。让我们谈谈治理子网,治理ddos/764.html">服务器,和治理客户计算机.审核/监视/警报。为啥要审核成功和失败,监视怎么在爱护Active Directory治理中发挥作用,减少警报的技术,以便在警报浮上时采取行动安全性如今是个大话题,尤其是思量到最近对Target和其他要紧零售商的攻击。通常,重大攻击后的重点是爱护IT系统和深入企业安全策略以落低今后的风险。可是,在我的旅行中,我发觉有一具领域有时没有得到应有的重视——安全IT治理。在那个博客中,我特意讨论了Active Directory的治理,包括域治理、对象治理以及与名目服务相关的相关治理技术。今天你能够了解一下,其中最小特权原则适用于活动名目主题治理。维基百科特别好地介绍了最小权限原则。在最简单的定义中,最小权限原则意味着Active Directory治理员惟独执行其作业任务所需的最低权限固然,最小特权原则延伸到了所有的内容和其他方面,然而我严格地从那个博客的activedirectory治理的角度来讨论它后内部安全事件。在互联网上到处看看,你会发觉对于IT安全的内部风险有多严峻(或没有)的惊人的不同故事我见过报告讲惟独15%的安全漏洞来自内部网络。我也看到过其他报告显示超过50%的安全漏洞发生在内部网络。确保Active Directory治理的安全并不是对于事件的来源,也不是恶意个人是内部人依旧局外人。在很多事情下,DDoS高防,Active Directory特别大概是一具关键目标。因为一旦恶意个人拥有Active Directory,DDoS防御,该个人就能够经过使用权限提升开始拥有大量其他系统。一些示例,包括权限提升,是:Microsoft Exchange。尽管Exchange治理有时由与Active Directory治理彻底不同的团队执行,但权限是经过使用Active Directory组来分配的。假如您操纵Active Directory,您能够将自个儿添加到适当的组中,防DDoS,并彻底操纵整个电子邮件环境。这意味着能够访咨询CEO的邮箱,可以复制大量机密邮箱数据,可以识别具有高度特权的IT用户(例如能够访咨询敏感数据的DBA)的身份—只需发送一封电子邮件作为DBA获得额外的access.微软Lync。与Exchange的事情相同。基于Active Directory安全组的基于角色的访咨询。将自个儿添加到适当的组中,您能够忽然以整个组织中的任何人的身份发送即时消息。您能够劫持Lync会议、重定向电话呼叫,和日志对话.文件共享。绝大多数文件共享基本上经过使用Active Directory安全组来爱护的。最机密和敏感的数据存储在文件共享中并无数见—HR数据、工资单数据、公司诉讼数据,拥有AD的恶意用户能够使用PowerShell快速授予自个儿访咨询网络。你能够看到,假如恶意个人拥有你的活动名目,情况会怎么迅速失控!以下是一些提示,能够关心最小化咨询题并在AD环境中利用最小特权原则。请查看当前所有的Active Directory委派。我发觉以下咨询题是常见的委派咨询题:关心台人员能够重置大部分或全部Active Directory用户的密码对象。例如,假如关心台人员能够重置DBA的密码,这么他能够有效地访咨询DBA需要的任何内容。即使您的关心台不是恶意人员,外部攻击者总是在寻觅最简单的方式进入。他们并不总是直截了当攻击域治理员帐户。对一些关心台人员的网络钓鱼攻击大概算是他们所需要的。建议:确保只能重置适当密码的人员(这将因环境而异)。在某些组织中,这意味着关心台无法重置任何IT密码或高管密码,这些密码必须由另一具团队或安全的自助服务来处理想法.托付在那个事情下,惟独一具用户的治理对象,治理员才干够使用它,以及阅读电子邮件。幸运的是,那个咨询题得到了广泛的推广,一些公司正在采取行动,将治理帐户与普通企业使用帐户分开。假如你还没有走上这条路,这是一具巨大的胜利。网络钓鱼攻击,CC防御,扫瞄器利用,以及其他经常被用来侵入网络的攻击,变得不这么有效(而且通常不过一种麻烦)。域治理员组中的服务帐户。这一次的确让我发疯了。我相信你们中的很多人都有同样的认为。而且,和我一样,您大概遇到过如此的事情:网络/DBA/应用程序治理员请求一具新的服务帐户,并提到供应商讲该服务帐户必须是域治理员组的成员。在这种事情下,第一步是要求提供正式的供应商文档。希翼您可以确切地讲是需要啥,并使用最小特权原则适当地授权它。通常,供应商实际上并不懂到底需要啥,他们走的是懒散的路线——域治理员。这让IT治理员处于一具不舒畅的境界,要么挑选将服务帐户放入域治理组,要么花费50小时的工作来确定所需的最低权限级别。不管怎么,有时会依靠它论坛将有关心,因为其他治理员大概基本找到了解决方案!在下一篇文章中,您将可以了解更多有关基础设施方面的注意事项。


DDoS防御

当前位置:主页 > 高防CDN > 服务器谨防_ddos高防ip原理_无缝切换

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119