|
目前客户端使用较多的是轻型目录访问协议(LDAP),来访问目录服务器保存的数据。客户端和应用程序使用LDAP绑定通过Windows Active Directory(AD)进行身份验证。
LDAP绑定操作有多种,包括: A.简单的LDAP绑定,其中凭据以明文形式通过网络传输,且不安全。 B.未签名的身份验证和安全层(SASL)LDAP绑定,也不安全。 C.已签名的SASL LDAP绑定,这需要签名但很安全。 D.安全接收层/传输层上的LDAP安全,也称为 LDAPS bind,它是加密的也是安全的。 E.域控制器(DC)容易受到攻击,因为它们允许LDAP客户端通过简单的LDAP绑定和不需要签名的SASL LDAP绑定与它们进行通信。 F.简单的LDAP绑定允许如域管理员之类的特权帐户用其凭据来遍历网络,而未签名的SASL LDAP绑定允许任何人在客户端和DC之间捕获数据包,更改数据包,转发数据包。这两种情况都可能带来灾难性的后果,此时,您环境中的DC很有可能有不安全的LDAP绑定。 如何检测不安全的LDAP绑定 缓解此漏洞的第一步是确定您是否受到影响,可以通过查看事件ID 2887来做到这一点。 默认情况下,每24小时在DC中记录一次事件2887,它显示未签名和明文绑定到DC的数量。大于零的任何数字表示您的DC有不安全的LDAP绑定。 然后,您需要通过查看事件ID 2889来检测不安全绑定的所有设备和应用程序。 客户端每次尝试进行未签名的LDAP绑定时,DC中都会记录事件2889,它显示尝试通过未签名的LDAP绑定进行身份验证的计算机的IP地址和帐户名。 注意:默认情况下不会记录此事件,并且需要启用适当的诊断。 ADAudit Plus如何帮助加快检测速度 使用PowerShell脚本从记录的2887和2889事件中解析和提取相关数据需要专业知识和时间,ADAudit Plus会从您域中所有DC收集这些事件,并提供报告,以查明使用不安全LDAP绑定的设备和应用程序。 报告中的详细信息包括IP地址、端口、用户名和绑定类型。此外,您还可以配置ADAudit Plus,以在尝试使用不安全绑定进行身份验证时通过电子邮件和SMS提醒您。 只需单击几下鼠标,即可确定您的DC是否允许不安全的绑定,并检测因此而容易受到攻击的设备和应用程序。 注意:使用ADAudit Plus检测到所有使用不安全LDAP绑定的设备和应用程序后,请确保通过实施LDAP签名和LDAP通道绑定来进行更改(使LDAPS更加安全)。 关于ManageEngine ADAudit Plus ADAudit Plus是一种实时Active Directory,文件服务器,Windows服务器以及工作站安全性和合规性解决方案。 |
|
|
