提升AD安全性包括在允许黑客进入的环境中修复安全漏洞-但防御者首先需要确定这些漏洞是什么,而AD 的内置工具却使查看何种用户对何种系统和对象所获得的权限并不容易。如此多的安全问题,甚至其中一些非常危险,就这样被忽视了。
幸运的是,对防御者来说一些常见的 AD 安全问题一旦被识别出来就很容易修复。这些“唾手可得”的问题使防御者能够相对容易地降低其 AD 环境的暴露风险。以下是 AD 环境中三个最常见的安全问题,包括它们的影响以及防御者如何找到和修复它们。
我将使用BloodHound来进行演示,BloodHound 是一个免费的开源工具(我是共同开发者之一),用于映射 Microsoft Active Directory 和 Azure Active Directory,但您可以使用其他工具执行相同的步骤。
具有高级权限的 Kerberoastable 用户
Kerberoast(一种网络密码验证授权系统)攻击由安全研究员 Tim Medin于2014年首次确认。该攻击从AD中提取服务帐户证书的哈希值进行离线破解,并且可以由任何用户执行而无需向目标发送数据包。当目标环境中的高级权限用户暴露出易受这种攻击的漏洞时,被破解的帐户证书哈希值会给黑客提供一条夺取AD控制权的捷径。我和我的同事在我们检测的所有真实AD 环境中都发现了这个问题。
拥有高级权限用户在Kerberoasting上的漏洞会引发很大的安全风险,但仅使用 AD 的内置工具很难识别这些易受攻击的高级权限用户,这是因为 AD 无法凭经验确定任何用户的权限。AD 的界面不允许用户“打开”安全组的成员,并且组和组之间的嵌套使得跟踪具有特定权限级别的个别用户耗时又困难,也很容易出错并且造成遗漏。
在FOSS BloodHound中,这个过程要简单得多。使用FOSS BloodHound底部的“原始查询”栏可以显示最高风险的 kerberoastable 用户。
这将返回一个可视界面,展示这些Kerberoastable的高级权限 用户创建的攻击路径。此示例中的每个起始用户节点(屏幕左侧的绿色图标)都是 Kerberoastable 用户:
目标组是靠右边的黄色图标。如您所见,针对敌对目标,该组有许多可能的攻击路径可以选择。
为了关闭这些攻击路径,需要从Kerberoasting中保护每个易受攻击的用户(我建议从最接近Tier Zero资产的用户开始)。有两种方法可以做到这一点:
域控制器对象所有权
域控制器对象权限应仅由域管理员拥有。但在大多数现实的 AD 环境中,它们并非如此。这个问题非常普遍(我所审核的大约 75% 的环境中都发现到它),因为它导致在AD 中创建对象的用户拥有域控制器对象的所有权。这是一个高风险性的配置,因为拥有域控制器对象的用户可以对这些对象创建新的攻击路径,而传统上的非域管理员帐户并没有得到很好的保护。
要确定这是否发生在网络上,请使用FOSS BloodHound 底部的“原始查询”栏查询:
结果将是一个图形,显示在此 AD 环境中拥有域控制器计算机对象的各种主体。所有这些随机主体都有通向它们的攻击路径,这意味着它们在域控制器处结束。
要解决此问题,请执行以下步骤:
1.打开 Active Directory 用户和计算机。
2.启用高级功能。
3.找到每个域控制器对象。
4.右键单击属性-安全-高级,然后更改。
5.将每个 DC 的所有者更改为 Domain Admins 组。
整个过程不超过一个小时,并且不太可能影响AD中的任何其他关系或权限。
域用户、普通用户和已授权的可控其他对象的用户组
拥有任意权限的域用户、普通用户和授权用户主体可作为攻击路径的入口。这些组其实并不需要权限 – 它更容易为黑客所利用。通常,管理员试图通过授予一揽子特权来解决特定问题,这是另一种危险配置,但也易于补救。
首先,找到控制另一个主体的域用户组的所有情况。FOSS BloodHound 可以通过两种方式显示这一点。
选项一:在 GUI 中查找组并单击“Outbound Object Control”。
选项二:如果您正在运行多个 AD 域,则可以使用此命令启动所有实例:
解决此问题与上一个问题类似。在 Active Directory 用户和计算机中找到受影响的对象,调出其安全描述符,并删除“域用户”组是身份引用的违规 ACE。
识别和修复这三个问题完全在大多数 AD 或安全团队的能力范围内,即使没有后续工作,它们也会使 AD 环境更加安全。如果组织决定不关注 AD 安全,管理员可以(并且应该)通过解决这三个问题来发挥作用。
译者介绍
刘涛,IDC.NET社区编辑,某大型央企系统上线检测管控负责人,主要职责为严格审核系统上线验收所做的漏扫、渗透测试以及基线检查等多项检测工作,拥有多年网络安全管理经验,多年PHP及Web开发和防御经验,Linux使用及管理经验,拥有丰富的代码审计、网络安全测试和威胁挖掘经验。精通Kali下SQL审计、SQLMAP自动化探测、XSS审计、Metasploit审计、CSRF审计、webshell审计、maltego审计等技术。
原文标题:Fixing Common AD Security Issues With BloodHound FOSS,作者:Andy Robbins
为什么变送器选择4-20mA作传送信号
4-20mA信号指定时考虑了在多方面使用的要求:1、30V 电压 30mA 电流 所引起的火花是可以点燃危险气体平均下限,为了保险起见,同时参照其它传统设定,所以将许多仪表定为24V供电,同时限定电流小于30mA,为了留有余地,信号上限定为 20mA。 2、为了区分没有信号,和信号为零,信号的起始值(信号零位值)不能为零(电气值)。 在默认情况下,信号0mA 是故障和没有供电的标记。 3、两线制仪表在信号值为零时仍需要一定的能量供应,在24V供电条件下,4mA电流提供的能量,是当时制定标准时,大部分仪表生产商能接受的能量供应下限。
3、 故障现象:一台电脑配置的硕泰克主板,最近发生如下故障:打开电源开关后,电源风扇、CPU风扇正常转动,但CDROM、硬盘没有反应,等上几分钟后电脑才能加电启动,启动后运行一切正常。在通电情况下重启
内存做为电脑的五大部件之一,对电脑工作的稳定性和可*性起着至关重要的作用。内存质量的好坏和可*性的高低直接影响着计算机能否长时间稳定的工作。同时内存也是故障率最高的部件之一,我们在平时对电脑故障维修过程中,接触最多的也就是常说的“内存报警,开机黑屏”。在这里,我把常见的几种内存故障的表现及其原因总结出来,供大家参考。
一、最常见故障:内存损坏,导致开机内存报警
这种故障大家经常遇到,多数是头天晚上还好好的,第二天早晨一开机,听到的不是平时“嘀”的一声,而是“嘀,嘀,嘀...”响个不停,显示器也没有图像显示。这种故障多数时候是因为电脑的使用环境不好,湿度过大,在长时间使用过程中,内存的金手指表面氧化,造成内存金手指与内存插槽的接触电阻增大,阻碍电流通过,因而内存自检错误。表现为一开机就“嘀嘀”的响个不停,也就是我们通常所说的“内存报警”。
处理方法也很简单,就是取下内存,使用橡皮将内存两面的金手指仔细的擦洗干净,再插回内存插槽就可以了。
注意:在擦洗金手指时,一定不要用手直接接触金手指,因为手上汗液会附着在金手指上,在使用一段时间后会再次造成金手指氧化,重复出现同样的故障。
不过,此类内存报警还有其他几种原因:
1.内存与主板兼容性不好
把内存插在其他主板上,长时间运行稳定可*;把其他内存插在故障主板上也运行可*稳定,没有报警出现。但是把二者放在一起,就出现“嘀嘀”的报警声。此类故障只能更换内存来解决。
2.主板的内存插槽质量低劣
表现为更换多个品牌内存都出现“嘀嘀”的报警声,偶尔有某一个内存不报警,但可能关机重启后又会报警。此类故障的主要出现在二三百元的低档的主板上,原因是主板的价格低,使用的内存插槽质量也差,只能更换主板解决。
3.内存某芯片故障
此类故障相对比较严重,在开机自检时主机能够发现内存存在错误缺陷,不能够通过自检,发出“嘀嘀”的报警声,提示用户检查内存。这种故障要把内存插在其他主机上,检查是否有同样的“嘀嘀”声。如果有,就可以断定是内存有问题;如果没有,就可能属于上述第1个或每2个原因。
4.其他故障造成的内存报警
这类故障不常见,有可能是主板故障或CPU故障,造成内存报警,只能用排除法逐一替换解决。
二、常见故障1:内存损坏导致系统经常报注册表错误
这类故障比较常见,表现为能够正常启动系统,但是在进入桌面时,系统会提示注册表读取错误,需要重新启动电脑修复该错误,但是再次启动电脑后,仍旧是同样的故障。对于此类问题,我们可以进入安全模式,在运行中敲入“MSCONFIG”命令,将“启动”项中的ScanRegistry前面的“V”去除,然后再重新启动电脑。如果故障排除,说明该问题真的是由注册表错误引起的;如果故障仍然存在,基本上就可以断定该机器内存有问题,这时需要使用替换法,换上性能良好的内存条检验是否存在同样的故障。
有时候,长时间不进行磁盘碎片整理,没有进行错误检查时,也会造成系统错误而提示注册表错误,但对于此类问题在禁止运行“ScanRegistry”后,系统就可以正常运行,但速度会明显的变慢。对于此类问题,解决的最好方法就是先备份重要资料,然后重新安装WIN98。
三、常见故障2:内存损坏导致安装系统时提示“解压缩文件时出错,无法正确解开某一文件”
这类故障常见于安装系统过程中,会经常意外的退出安装。实际上这也经常是因为内存的质量不良或稳定性差造成的,多数问题在更换内存后故障解决。此类问题无论是直接从光盘安装还是从硬盘安装都会出现同样的提示信息。虽然有点类似于我们在安装WIN98、WIN2K及XP过程遇到的无法正常读取某一文件,请选择“忽略,终止,放弃”,但那类问题多数是因为光盘的质量差或光驱的使用时间过久,读盘性能下降造成的,同时还会有光驱灯慢闪,并伴随着间断读盘时的“哗哗”声。
如果我们在维修电脑故障过程中遇到此问题时,最好直接更换内存检测,看是否仍旧出现同样的故障。如故障消失,说明原来内存有问题;如果故障依旧,多数是因为光盘质量差或光驱读盘下降造成的,也可能是硬盘上的系统安装文件损坏。
四、内存短路导致主机无法加电
这种情况内存损坏得比较严重,但是内存芯片表面,金手指、阻容并不一定有明显的烧灼痕迹,有时和完好的内存条子一模一样。不过将此内存插入主板后,主板无法加电。当把电源插入电源插头后,按下电源开关,主机无任何反应,CPU风扇和电源风扇都不工作,电源指示灯也不亮,和没有加电时一模一样。
故障的判别也很简单,使用排除法和最小系统法。如果遇到一台主机是此类的故障现象,第一步是排除电源故障,如果手中有其他正常电源最好,直接替换。如果没有,可将电源取下,用导线直接短路绿线和黑线,观察电源风扇是否工作,并用耳朵仔细聆听电源内部是否有吱吱的异响。如果有说明电源有问题,质量不稳定,需要更换。第二步是将声卡、Modem、硬盘、光驱、软驱、显卡、内存、CPU全部去除,只留下CPU风扇,再插入DEBUG卡(如果没有,那需要观察CPU风扇和电源风扇是否转动),开始对主板加电,观察DEBUG卡的指示灯和数码管是否有指示;然后再插入CPU,加电试机;接着再插入内存,一步一步的添加其他部件。如果到某一部件时出现上述的故障现象,那就说明是该部件有问题,需要更换或维修。此方法对于排除系统启动速度慢,死机等也适用。
五、内存损坏导致系统运行不稳定,经常出现蓝屏或无法正常顺利安装系统,总无规律的提示文件读取或解压错误
对于此类问题,首先应排除软件问题。第一步,先对C盘的重要数据进行备份,然后使用“Format C:/u /c /s”命令对C盘进行强制完全格式化,并仔细观察格式化过程,是否格式化顺利,硬盘是否有坏道。因为硬盘坏道会使系统文件被破坏,造成系统运行不稳定,容易死机。第二步,重新安装操作系统,并注意观察在安装过程中是否有文件无法打开,文件找不到之类的错误。如果没有,基本上就说明硬件方面没有问题,系统不稳定,容易死机,很有可能是系统长时间使用,没有定期进行磁盘扫描和碎片整理,造成系统文件过多的丢失或破坏,而导致系统无法正常稳定的工作。如果在安装过程中出现蓝屏,就需要使用排除法,对内存和CPU进行替换排除。在对CPU和内存替换后故障依旧时,那就必须更换主板进行查验。
说明:有些光驱的读盘性能非常好,在使用两三年后,还是“呜呜”的高速读盘,但是此时因其纠错率下降,使光驱读入的错误数据过多。这些数据如果是用来播放VCD,那不会产生特别大的影响,但是这类光驱读入的数据用于安装系统就极可能会出现上面的类似错误,报文件找不到或解压错误,即使偶尔安装成功,也经常出现“非法操作”,系统非常的不稳定。这类故障比较难于判断,会被判别为内存和CPU的问题,而耽误好多维修时间。
六、内存损坏,导致计算机频繁重启,无法正常运行
对于此类故障,先直接更换内存,看故障是否还仍然出现。如果故障消失,就可以直接判断是内存故障。如果故障依旧,那就需要按第五种故障的排除方法,重新安装操作系统,检查是不是由于系统的原因造成的。
计算机自动重启的故障原因比较多,较常见的是电源功率不足。当计算机满负荷工作,消耗的电力大时,就容易自动重启。还有就是市电电压不稳,变化范围太大或者市电的电源插座接触不良也会产生计算机自动重启故障。但内存损坏后造成计算机自动重启的故障并不多见。
七、内存损坏导致系统启动后不能正常运行,快进入桌面时就自动关机
此问题也需要采用第五类故障中的排除方法解决。
提示一点:因为WIN98系统本身的问题,该操作系统很容易遭到破坏。如果我们把C:WINDOWSFONTS的目录名改为其他字母,这时当你再启动系统时,系统就会在出现蓝天白云后,快进入桌面时自动关机。解决的方法也很简单,在启动时按住“CRTL”进入DOS状态,使用REN命令将该目录名改为“FONTS”就可以了。如果是人为的破坏系统,那将会使计算机维修人员费很大的周折,浪费好多的时间,所以做为计算机的服务人员,也应该了解一些操作系统的启动原理和主要文件。
八、内存损坏导致光驱狂读
此类问题我遇到过两次,都是一模一样的表现。只要一开机,自检过后,快进入系统时,光驱开始“呜呜”的高速旋转。即使你不放入光盘它也照转,挺吓人的。在自检过程中也没有任何错误提示,但是在使用替换法更换内存后故障消失。把故障内存放在别的机器上(主板不一样),开机就“嘀嘀”的报警。
九、内存损坏但加电后主机不报警,也不能正常启动
故障机器:主板为硕泰克SL-85DR-C(845D),CPU为PIV1.6G,显卡为GForce2 Ti 64M,内存为Kingston DDR 128M,硬盘为迈拓40G。
故障现象:主机能够加电,按下电源开关后,CPU风扇,显卡风扇转动,电源指示灯,硬盘指示灯亮,但是没有正常启动时“嘀”的一声,显示器显示“请检查信号线连接”字样。
故障排除:仔细观察发现有一个特殊的现象,插入DEBUG卡,加电后,显示“03”,大约4秒钟时,主机断电,电源指示灯熄。再过大约2秒钟,主机再次得电,此时“DEBUG”指示由00经03再跳至“AD”后停止,CPU风扇一直转动,但是始终主机不启动。
对于此类黑屏不启动的故障,采用最小系统逐一排除法最有效,首先去掉内存,加电试机,这时主机会叫了,连续报“嘀嘀嘀”三短声一组的报警声。查知:3短系统基本内存(第1个64K)检查失败。这不同于一般内存报警的连续“嘀”声,但可以估计是内存出现问题。
于是把内存插到验机台上,一开机就是连续的“嘀嘀”声,果真内存坏了。
十、内存有问题,但开机后却是连续的八声短“嘀”报警
我们平时遇到的内存报警都是“嘀嘀”的断续长音,但是在华擎主板ASROCK M266A主板上,内存损坏时,报警声却是连续的八声短“嘀”,八声一组。在我第一次遇到此类故障时,也不知道原因所在,因为系统不启动,只有使用DEBUG卡,发现错误代码指示的是内存,就再用替换法,发现是内存问题。把该内存插在其他主板上,提示的错误就是我们经常遇到的连续短“嘀”了。
因为PC机使用的是通用插卡,维修起来也非常简单,只要遵循“先软后硬,最小系统,逐一排除,望闻问切”这十六个字,所有的问题我们都可以解决。再有就是在维修过程中,我们必须经常总结,把平时自己遇到的问题写下来,发现其规律,就能获得新的知识,更加进步。 i
网络管理员需要学些什么课程?
网管分企业网管和网吧网管,具体的要求也就不一样了. 网管要知道的东西确实很多,首先你得热爱,喜欢,一点点积累,但别心急,一口是吃不了一个馒头的,要精通一两门知识,都应该是自己喜欢的,什么都得学,但要有主要的,主要的一定要通,那就是靠自己不断的努力和积累。 又能学到知识,就先学着!然后再多学点自己最喜欢的,工作个两三年,根据形势再做决定了,到那时就争取早一个最喜欢的最能发展自己的行业了! 做一名合格的网管关键在于做人,作一个实在的人.虽然说:作的不如看的,看的不如说的,说的不如遛的,但我觉得做人是最重要的, 做网吧网管: 1、做网管,主要是维护服务器,终端,客户端和网络综合布线以及网络规划等等,也许刚刚开始觉得工作量很大,心情很烦,压力挺大,给别人的感觉就是工作浮躁,经过一段时间工作实践和生活的琢磨,可以感觉到主要的问题是自己没有学会调节自己,调节好自己的生活情趣,自然工作中的问题也会游刃而解,并且懂得了生活的美好。 2、做一名合格的网络管理员最需要掌握网络个合理规划,动态管理,静态监视,远程调试维护,包括网络的拓扑结构,网络协议的传输步骤,网络的流量控制,QOs,各种协议的配置与合理使用。 网络管理员本身就是技术性的岗位,所以技术必须第一。 至于什么技术最重要,那就要看各个单位的需求,简单的可能只要连通并能互访就行了。 复杂的网络可能就是几个人甚至更多人的事了,就有了分工与合作,各人维护与钻研的方向也不一样了。 一般中小型单位都不设网管,因为电脑少,不需要专门设岗,有问题外面找人去。 超过20台的单位可能就要设专门网管或兼职网管,象这样单位的网管就要求有IT各方面的知识,越广越好。 二:企业网管需要掌握的技能做网管几乎什么都要知道那么点点,不一定要精,当然你也要有自己的强项。 1.做系统是最基本的要求了,从98到2003,从unix到linux都要会玩,不一定都精(这个难度系统很高) 2.能够维护PC硬件及打印机(从针式到喷墨在到激光),如果这部分做的不好,可能每天够你忙上半天的. 3.会MAIL服务及客户端的配置及管理,主要有Exchange,Imail,Qmail,Sendmail等,现在的企业都有自己的MAIL,而且占的地位之高绝对不容忽视. 4.对windows/*nix系统要知道常见的服务配置,最基本当然属DHCP(DHCPD),DNS(BIND),IIS(APACHE), FTP(WUFTPD/VSFTPD),AD(SAMBA),WINS等,如果连这些都不太懂的话,赶紧狠补一下.不然就不要去了. 5.数据库至少要懂SQL SERVER跟MYSQL,如果会ORACLE/SYBASE/DB2/INFORMIX,那工资肯定会高10%的(呵呵有点夸张,要是这些都会,还不做DBA去了?). 6.对交换机及路由器的简单设置及管理一定要的,不然只能去小企业了(主要是CISCO,华为3COM,北电,当然对TP-LINK,D-LINK的低端设备也要熟悉). 7.熟悉综合布线技术(至少知道怎么做568A/568B吧),光纤技术也要略懂一二,如果你所应聘的是工厂的话,厂房跟厂房之间往往都会拉光纤. 8.要知道如何规划网络,尽可能提高网络的稳定性(最重要),安全性及利用率等. 9.会写脚本,不管用的是windows还是*nix,脚本往往会使你的工作效率事半功倍的(汇编/C等语言就更好了). 10.要知道如何快速安全的备份与恢复数据. 11.对代理防火墙杀毒等技术要熟悉,不然哪天你的网络全部瘫痪了还不知道咱回事. 技术也要尽快掌握,这是趋势,很多企业的部分网络都融入了它. 13.对接入网技术要熟悉,至少要知道ADSL,ISDN,FTTX,FR,DDN是怎么回事. 14.当然有些公司招管理员时要求你会ASP,PHOTOSHOP,DW等,他们主要是网站的日常维护. 15.对整个网络模型及架构要有一个清晰的认识,至少要知道层,协议,接口,服务等知道吧,如果能够把TCP/IP协议这三卷书啃透,那你就可以开始牛了. 16.对ERP系统有个清晰的认识. 17.最重要,也是决定命运的事情,要学会忍,小不忍则乱大谋啊,这句话对网管很合适. hehe.说了这么多,是不是觉得做网管不简单.当然,别以为网管是这么好做的,只知道装装系统,弄弄PC,顶多做个网吧管理员(合不合格还很难说,看你对游戏熟不熟悉了,用无盘的话更加了,搞不好问题一大堆).一个真正的网管,必须要有高深的知识,丰富的经验,敏略的洞察力.当然这么东东我们不可能全明白,只能择其一而行,具体看个人爱好了:)~
发表评论