案例|内存安全助力AD域控服务器安全问题防护

近年来，网络安全已经上升到了国家高度，众多企业也更关注自身业务安全运行，纷纷部署了不同的安全产品进行安全防御。即便如此，在行业应用中，客户也会遇到不同的安全问题。今天，我们来分享一个AD域控服务器场景的安全防护案例，希望能给大家一些启发。

便捷&问题

某政企单位在内网中存在大量的域控服务器，利用域控服务器管理全国分支机构的十万多台主机终端，便捷了很多。但是，如果攻击者利用漏洞或者社工等方法获取了外网系统的控制权限，找到了和内网联通的通道，再进一步进行深入渗透，便形成了纵向渗透的通道。然后，攻击者通过mimikazt等工具利用票据传递等攻击手段，实现域控服务器的权限控制，从而访问任意域控下的目标进行数据窃取，最终完成目标突破工作。这将为该政企单位带来不可估量的损失。

1、在域控服务器的防范中，会遇到黄金票据被盗的问题，攻击者可以通过域控服务器进行匿名登录的操作，实现控制域控下所有主机的登录。2、该政企单位的域控服务器访问方式多种多样，有普通用户登录时的验证，有域控服务器相互间的访问，还有域控服务器下发策略时的访问，在这些访问中有很多都是业务需求，这种访问带来的安全风险也是存在的。3、同时，该政企单位还遇到了非域控服务器的匿名登录情况，作为校验身份的域控服务器把这些请求视为正常访问，存在域控服务器下hash盗取防护问题。

解决方案

在了解到该政企单位的痛点需求之后，安芯网盾为该客户部署了安芯智能内存保护系统，帮助客户更清晰、准确、快速地发现、拦截、追溯攻击者的攻击。

图 智能内存保护系统安全防御

价值体现客户采用了安芯网盾的智能内存保护系统之后，解决了安全威胁，同时为客户带来了价值收益：

采用了安芯网盾的智能内存保护系统之后，帮助该政企单位拦截了远线程注入、无文件攻击等基于内存攻击的行为对域控服务器进行攻击，实时拦截。

安芯网盾智能内存保护系统帮助该政企客户检测拦截了攻击方利用Mimikazt攻击工具获取被攻击的域控服务器中的krbtgt账户的hash值的行为。

此外，还帮助该政企单位拦截了攻击者利用Mimikazt进行攻击机的票据hash值读取，获取保留在攻击机中的域控管理员账号信息和hash，进行被攻击机远程登录的行为。

通过安芯神甲Server端的域控策略配置，行为日志功能模块可以有效拦截域内普通PC机越权访问域控主机的行为，防止krbtgt账户hash值得泄露风险以及避免发生制作黄金票据的风险。

安芯网盾（北京）科技有限公司（简称安芯网盾）是专注于内存安全的高新技术企业，致力于为政府、金融、运营商、军工、教育、医疗、互联网及大型企业等行业客户提供面向未来的网络安全解决方案。安芯网盾帮助企业构建基于硬件虚拟化技术的内存安全环境，防御并终止在业务关键应用程序中的无文件攻击、0day漏洞攻击等高级威胁，切实有效保障用户的核心业务不被阻断、核心数据不被窃取服务器安全，已为百度、海关、金山、Google、G42等众多国际知名企事业单位持续提供服务。

（编辑：温州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!