cdn高防_流量攻击防护ddos_超高谨防-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > DDOS防御 > cdn高防_流量攻击防护ddos_超高谨防

cdn高防_流量攻击防护ddos_超高谨防

小墨安全管家 2021-07-21 22:00 DDOS防御 89 ℃
DDoS防御

cdn高防_流量攻击防护ddos_超高谨防

幽灵的威胁彻底操纵一家公司是一项需要黑带和严肃绝地黑客技能的壮举。你必须创建一系列零日攻击链才干进入网络(我们都懂它们的确特别"廉价"),使用黑客面具绕过人脸识别认证,最终,使用调频收音机接收器和视频卡提取数据——惟独真正的高手才干做到这一点。极端的例子听起来特别不错,但它们通常属于动作小讲和点击诱饵的文章,因为现实日子中的黑客没有这么引人注目。攻击者倾向于走反抗力最小的道路。通常,在阅读了最新安全漏洞的详细描述后,您会发觉使用了治理员/治理员凭据,或者黑客使用了某个不记得的帐户P@ssw0rd公司或公司123密码。不幸的是,很多安全团队以为他们的关注点能够决定他们的现实。他们花费了大量的精力试图爱护自个儿的资产不受稀有和外来的攻击,而忽视或低估了他们足下的大洞。帕累托原则同样适用于IT安全:您能够花费20%的精力来爱护您的公司免受80%的攻击。我经常建议阅读可靠的分析,比如DBIR(我最爱慕的年度报告),了解最常见的攻击技术,怎么保持目标,以及怎么建立谨防。在最新的报告中,你会看到81%的与黑客攻击有关的漏洞利用了被盗和/或弱密码。在一具数据中心,很接近,不大会儿前…这是一具故事,怎么一具弱密码能够摧毁整个帝国。克隆人的攻击本地治理员帐户是最常见的安全漏洞之一。它通常只赋予你本地的特权,怎么讲?嗯,大小不重要。此帐户存在于贵公司的每台基于Windows的计算机上,DDoS防御,它与其他更有味的帐户共存。本地帐户本质上是分散的,但不幸的是,它们通常共享相同的密码。此漏洞可轻松用于权限提升。为了解决那个咨询题,最常见的想法是使用集中的想法定期更改密码。治理员将挑选新密码并将其推送到所有工作站。只是,DDoS防御,这种想法并没有真正解决咨询题——仍然有多台计算机共享同一具密码,不过密码会更频繁地更改。2014年,微软停止经过组策略首选项(GPP)支持这种想法,甚至公开记录取于在组策略中加密密码的私钥。即使您有GPP之外的其他解决方案,这也不是真正的解决方案,因为核心咨询题仍然存在-您有多个具有本地治理权限的帐户使用相同的密码。一旦攻击者发觉本地帐户使用相同的密码,他将从破解此密码开始。他懂哈希,如今他需要从中恢复明文密码。大多数人都熟悉破解密码的两种想法:暴力(攻击者尝试每个字符组合)和字典攻击(使用字典中的短语)。这通常会导致一种错误的安全感——使用这两种想法破解密码既艰难又耗时。好吧,往常是如此,但如今不好了。今天的现实是,我们基本成功地训练了我们的用户使用密码,他们特别难记住,但计算机特别容易计算。攻击者有特别多不同的挑选;例如,他们能够使用预先计算的彩虹表。为了让您了解攻击者能以多快的速度破解彩虹表密码,我让妻子为我创建一具密码(她挑选了"Qwerty312"),我从密码中生成了一具NTLM散列("115F8AA43E6D29FCCEB4A9FC92991A8F",这并不重要)。没有在我的电脑上安装任何东西,CC防御,也没有花一分钞票购买专业破解服务,我可以在几秒钟内破解密码,DDoS防御,使用的是一具在线彩虹表服务。另一具挑选是使用基于GPU的破解工具,它允许攻击者每秒测试数十亿个密码。或者,假如你的确想成为一名专业人士,为啥不投资于特意的硬件,比如Brutalis或Invictus?即使您不能使用用于哈希计算的机器集群来运行自个儿的数据中心,您还有另一具灵便的挑选:只需在您最爱慕的云提供商中启动几个支持GPU的实例。使用分布式计算,甚至能够在短时刻内破解很复杂的密码,非常是因为攻击者只需要破解单个(本地)密码。在攻击者获得本地治理员密码后,他能够使用Pass-the-Hash技术来模拟运行在任何受损计算机上的任何域帐户,而无需懂该域帐户的密码。这是一具很简单和强大的特权升级想法。你能够操纵一具本地帐户,破坏运行在同一具系统上的域帐户,把你学到的东西传下去,在特别短的时刻内操纵整个网络。假如所有本地帐户都使用相同的密码,攻击者特别容易生成一具图形,以便在特别短的时刻内访咨询域操纵器。保安算是如此死的…掌声雷动。这是一具特别重要的教训。这是新的一天,新的开始。了解图安全理论,了解攻击者正在使用的工具和想法关于建立有效的谨防至关重要。谨防者在列表中考虑。攻击者用图表考虑。只要这是的确,攻击者就会获胜。—约翰·兰伯特,微软威胁情报中心总经理圈醒了你以为那个咨询题没有解决办法吗?假如你点头表示"是",这么,我发觉你缺乏信心令人不安——即使安全挑战通常特别复杂,它们也总能得到解决。有两种大概的解决方案:要么彻底禁用本地帐户,要么确保每个计算机上的密码基本上唯一的。第一种想法尽管在理论上是可行的,但并不可取,因为假如连接或域成员身份存在任何咨询题,则传统上使用本地帐户。我们惟独一具挑选:随机化所有本地密码。有很多第三方解决方案能够实现此功能,但有一种解决方案可供所有人使用—Microsoft的本地治理员密码解决方案(LAPS)。LAPS正在使用组策略引擎(经过新的客户端扩展)在每个域计算机上自动生成随机密码。LAPS是一具简单、优雅、功能齐全的解决方案。LAPS的差不多逻辑如下:经过访咨询操纵列表(ACL)爱护对该机密属性的访咨询。在每台计算机的本地和ActiveDirectory中,总是有两个位置存储密码—不多,也无数。密码的复杂性和过期时刻能够在组策略中配置。域治理员还能够经过简单的客户端应用程序、使用提供的PowerShell cmdlet或使用第三方解决方案来决定哪些用户有权读取此密码,例如关心台治理员。使用简单的用户界面读取密码。LAPS的实现特别简单——您能够按照本操作指南中的讲明操作,也能够阅读Trond Eirik Haavarstein的这篇博文。本地帐户反击于是,咨询题解决了,对吧?假如你对此感受不行,你是对的,这是个陷阱!尽管单映像治理允许您快速构建克隆大军,但您希翼在虚拟机的某些方面保持唯一性,例如计算机名、防病毒软件使用的任何唯一ID或随机本地密码。关于非持久性计算机和单映像治理,分散密码和随机密码大概具有挑战性,如下图所示:新希翼有时候有点情况是没人能解决的。幸运的是,这不是其中一种事情,因为类似的挑战,快速足本或配置更改能够使解决方案与单一映像治理兼容。在这种事情下,我们的目标是在每次虚拟机恢复到默认状态时生成新密码。我们能够经过向所有非持久性虚拟机添加关闭足本来实现这一点,该足本会将Active Directory中的过期日期属性("ms Mcs AdmPwdExpirationTime")更改为已过期的值。下一次,当机器启动时,LAPS将检测到密码已过期,它将自动生成并同步此机器的新密码。此解决方案并且适用于XenApp和XenDesktop虚拟机。您能够在本文末尾下载我的关闭足本。实现特别简单-只需在组策略中创建一具关闭足本并将其应用于所有非持久性计算机。您还需要在所有主映像上安装LAPS扩展。下面,您能够在我的环境中看到一具配置示例:LAPS关闭足本实现。最终一具密码总而言之:弱密码和/或被盗密码大概是你最大的敌人。所有本地治理员帐户的弱密码和单一密码的组合大概特别快导致彻底的灾害,防止这种事情发生的最简单想法是确保每个Windows计算机都使用随机生成的强化密码。真正重要的不是密码的复杂性,而是它的长度。简短、复杂和难以记住的密码关于计算机来讲特别容易猜到——惟独对最后来用户来讲记住它们才是挑战。使用易于经历的长密码短语/句子更合理。例如,我在2006年的密码是"2000年6月",一台典型的计算机需要5年的时刻才干破解。假如你参加过


DDoS防御

当前位置:主页 > DDOS防御 > cdn高防_流量攻击防护ddos_超高谨防

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119