阻击攻击队_黑客技术

记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

首页

网络安全

移动安全

招聘信息

黑客关键词

海外英文版

«Defeat-Defender 免杀批处理脚...

使用javascript确认对方是否开bur... »

阻击攻击队

2021-04-19 01:48

#活动目录 2

#Active Directory 1

#入侵对抗 4

防御目标1：缩短检测和响应攻击者的时间。

防御目标2：让进攻者花更多的时间来完成他们的目标。

1.防御提权：域管不允许登录服务器和工作站

https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-f--securing-domain-admins-groups-in-active-directory

2.防御横向移动和内网漫游，部署LAPS

https://www.microsoft.com/en-us/download/details.aspx?id=46899

3.防御哈希传递：使用“受保护的用户安全组”，限制NTLMv1/v2

https://docs.microsoft.com/zh-cn/windows-server/security/credentials-protection-and-management/protected-users-security-group

4.防御凭据窃取：使用Credential Guard

https://docs.microsoft.com/zh-cn/windows/security/identity-protection/credential-guard/credential-guard

5.防御横向移动和内网漫游（端点隔离）：Windows防火墙

https://medium.com/think-stack/preventing-lateral-movement-using-network-access-groups-7e8d539a9029）或私有VLAN/Private VLAN

文末再讲个小故事，故事还得回到几年前，当时国内安全行业有过这么一个说法：“基于网络杀链（Cyber Kill Chain®）进行APT检测，主要思路是在网络杀链的每一个环节部署相关的检测设备”。笔者最近又听到了一种类似的说法：“APT检测，只需要在杀链的某个阶段检测对手就可以了”。这两种说法也不是说是错误的，不过笔者认为这里面有个大前提，你必须有“强悍”的检测能力。什么叫“强悍”呢？假设网络杀链上的某个点存在100中攻击手法，除非你能够检测95%的攻击手法，那么上面两种说法才勉勉强强说的通吧！