ADAudit Plus
活动目录客户端使用轻量级目录访问协议 (LDAP) 来访问目录服务器保存的数据。客户端和应用程序使用 LDAP 绑定方式向Windows Active Directory (AD) 进行身份验证。
一、几种不同种类的LDAP绑定方式,包括:
通过明文凭据的LDAP绑定方式目前已经是不安全的了,未签名的简单身份验证和安全层 (SASL) LDAP绑定,不需要签名且不安全。签名的SASL LDAP绑定,它需要签名并且是安全的。
LDAP over Secure Sockets Layer/Transport Layer Security,也称为LDAPS 绑定,已加密且安全。域控制器 (DC) 易受攻击,因为它们允许LDAP客户端通过简单的LDAP绑定和不需要签名的 SASL LDAP绑定与其通信。虽然简单的LDAP绑定允许特权帐户(例如域管理员)的凭据以明文形式遍历网络,但未签名的SASL LDAP绑定允许任何人包括恶意攻击者在客户端和DC 之间捕获数据包,更改数据包,然后转发他们。这两种情况都可能造成灾难性的后果。此时您的环境中的DC很有可能允许不安全的LDAP绑定。
二、如何检测不安全的LDAP绑定
缓解此漏洞的第一步是确定您是否受到影响,您可以通过查看事件 ID 2887 来做到这一点。
默认情况下,事件2887每 24 小时在 DC 中记录一次,它显示绑定到DC的未签名和明文的数量。任何大于零的数字都表示您的DC允许不安全的 LDAP 绑定。
接下来,您需要通过查看事件ID 2889来检测所有使用不安全绑定的设备和应用程序。
每次客户端计算机尝试未签名的LDAP绑定时,都会在 DC 中记录事件 2889。它显示试图通过未签名的 LDAP 绑定进行身份验证的计算机的IP地址和帐户名称。
注意:默认情况下不会记录此事件,需要启用适当的诊断。
三、ADAudit Plus 如何提升LDAP绑定监测效率
使用 PowerShell 脚本从记录的 2887 和 2889 事件中解析和提取相关数据需要专业知识和时间。ADAudit Plus从您域中的所有DC收集这些事件,并提供不安全LDAP绑定的设备和应用程序报表。报表中的详细信息包括IP地址、端口、用户名和绑定类型。此外,您还可以将 ADAudit Plus及时监测环境中的非法LDAP绑定,锁定其位置,并通过邮件向您发布通知。
只需单击几下即可确定您的DC是否允许不安全的绑定,并检测易受攻击的设备和应用程序。
LDAP绑定
ADAudit Plus是一个实时 Active Directory、文件服务器、Windows 服务器和工作站安全与合规解决方案。希望他能为您公司的IT安全提供更全面的帮助!