AD域审核常见误区（四）

一、没有结合用户行为分析(UBA)主动发现威胁

保护企业的资源免受破坏，需要结合企业内部、外部内部威胁并跨越众多服务器或工作站收集和分析数据。然后，它需要与员工的行为模式进行关联，进而发现异常和漏洞，这是一项耗时且复杂的任务，即使是最强大的安全工具很容易束手无策。

另一方面，如果将安全工具与用户行为分析(UBA)相结合，它可以快速检索海量数据，识别行为模式，并通过机器学习主动发现安全问题。

Gartner预测，到2024年底，75%的企业将从试点转向正式开始采用人工智能技术。机器学习的使用有助于为每个员工建立行为基线，从中我们可以判断什么是正常的，什么是不正常的。它包含了与文件访问、进程运行、用户管理活动、登录行为等相关的各种模式。

ADAudit Plus 如何帮到您？

❶它通过机器学习主动发现异常的操作行为，如登录失败次数突然剧增、异常登录时间、用户首次使用远程访问等。

❷它可通过监控用户行为的突然偏离来发现隐藏的威胁，例如服务器上运行的新进程或异常的账户锁定时间或数量。

❸它可每天更新正常的行为模式或基线，以提高ADAudit Plus威胁发现功能的准确性。

二、仍然使用传统的身份验证方式

使用传统身份验证会使企业易受勒索软件攻击并且数据容易被窃取。

在企业内部本地AD环境来说，传统身份验证是指使用不安全的协议，如NTLMv1、SMBv1以及TLS 1.0等。包括WannaCry和Petya在内的勒索软件都会利用SMBv1漏洞在网络设备间横向扩散。此外，由于缺乏更安全的认证方式和存在弱密码的情况，使得企业极易受到中间人攻击。

另一方面, 在Azure中，传统身份验证是指来自旧软件客户端(如Office 2010)的身份验证请求，这些客户端使用SMTP、POP和 IMAP等协议。这是一种过时的身份验证服务，最常用于访问电子邮件服务器。

使用传统身份验证存在多种安全风险，因为它缺少保护凭据的额外安全层，即多因素身份验证(MFA)。传统的身份验证协议无法强制执行MFA，这已成为攻击者的主要攻击目标。

超过99%的密码喷射攻击和97%的凭据填充攻击是通过使用传统身份验证协议进行的。

阻止以上问题发生的第一步是确定这些协议在哪里使用，由谁使用，以及它们用于什么目的。一旦确定，分析并阻止对这些身份验证协议的不当使用才能变得可行。

ADAudit Plus如何帮到您？

❶可以审计所有使用NTLM身份验证来访问您的资源的用户，并提供有关谁、何时以及从何处登录的详细信息。

三、域管理员太多

AD域管理员拥有在加入域的系统(如工作站和服务器)中执行重要任务的特权。当多人同时拥有这些权限时是十分危险的。

为用户提升权限要十分慎重，定期检查和管理域管理组非常重要。此外，监控高特权用户的所有活动来发现异常非常重要。

ADAudit Plus如何帮到您？

❶它可以帮助您有选择地监控高特权用户及其操作，以及谁在什么时间地点做了什么等详细信息。

❷它可以智能找出指定用户行为中的突然偏差，找到恶意内部人员和被攻击的用户账户。