强化安全从Windows AD帐号密码保护措施做起
您可曾评估过, 如果人员无法登录网域或是密码遭破解将会肇致多少的营业损失?
随着企业组织持续深化IT系统的应用,采用Window网域登入作为人员认证与 授权分派的管理方式已经相当普及。然而,从安全防御的角度看弱点,只要能 获取Windows 网域管理架构下的帐号密码资讯就等于拥有了企业组织里IT系统 的使用权利。也因此,密码暴力猜测成为最常见的攻击手段之一。骇客透过入 侵内部电脑将暴力猜测程序注入内网环境中大量执行Windows帐号的尝试登入 动作,而IT人员为了防止这类的暴力猜测攻击一般会采取限制登入错误次数的 措施,把登入错误次数过高的帐号锁定一段时间。这似乎是不得不为的策略, 只是这个方式往往造成广泛密码猜测攻击后导致众多的帐号遭到自动锁定,人 员无法登入网域使用IT资源,衍生出影响企业运作的负面效果。
要有效防止这类灾害的发生,IT部门必须摒弃过去被动的叫修后查察除错方式 ,重新建构一个具备智慧化自我分析能力的网路维运机制。当暴力密码猜测发 生的那一瞬间立即定位来源IP与其所在位置,并发出告警协助IT维运部门能够在 最短的时间内隔离攻击来源。
N-Partner 的事件自动学习与分析技术为您建构出真正的智慧维运网路
N-Partner公司运用大数据分析技术能根据持续蒐集到的Windows AD日志进行自动学习,若是侦测到登入失败行为有异 常爆量的情况,将即时发出告警给IT维运人员。告警的内容包含来源IP(在这个案例中为攻击端)以及使用那些帐号登入。 除了暴力猜测登入失败的分析功能之外,N-Partner公司的分析技术还能针对大量登入失败之后的登入成功行为发出告警 ,这类事件被视为密码可能遭到破解。尤其是遭破解的帐号拥有高权限时,IT单位更需要被即时通知,并在最短时间内重 设新密码,才可以避免IT系统遭到盗用后所产生的钜额损失。
将流量分析结果关联AD与SNMP,提供使用者名与所在交换机位置资讯
N-Partner公司拥有一项核心技术是将三大网管方式:负责健康状态监控的SNMP、分析流量的Flow以及了解深层行为的 Syslog进行关联整合,目的是让IT维运者更清楚的掌握人员使用网路的详细动态。除了上述针对AD登入异常进行分析告警 功能之外,透过来自Windows AD日志登入讯息中所提供的使用者名,还可以作为关联其他日志以及流量分析结果的有利帮手。快速知悉发出异常流量或是攻击行为来源IP的当下使用者是谁;此外,结合SNMP则可以得知这个IP的实体位置是在下辖网路环境中的哪个Switch的哪个Interface底下。
