发布者:售前小潘 | 本文章发表于:2022-12-09 阅读数:1825
在Windows设备系统上使用这五个技巧,减少企业组织遭受凭证转储攻击的漏洞风险。凭证转储是攻击者永久获取网站访问的一项重要技术。他们通过网络钓鱼潜入工作网站后,利用管理员管理和监视网络的常用方法来获取公开凭据。
一、减少凭证重用
首先,查看自己的网络管理。因工作之外的任务登录了多少次网络?网络账户密码重复登录了多少次?
NIST建议企业定期检查自己的密码是否在公开的密码数据库里。如果在网络上使用过的密码出现在密码泄露列表中,都会使用户的网络更容易受到攻击。
Troy Hunt发布了一个数据库,包含了超过5亿个被盗用的密码。用户可以使用各种资源将这些暴露的密码与自己网络中使用的密码进行比较。例如,用户可以使用密码过滤器以查看网络上正在使用的密码。然后依据组策略给这些密码做专门的核查。
二、管理本地管理员的密码
管理本地管理员密码的重要性不言而喻。本地管理员密码在整个网络中不应该一样。考虑到部署本地管理员密码解决方案(LAPS),可以安装Lithnet LAPS Web应用程序,该应用程序提供了一个简单的易于移动的Web界面,用于访问本地管理员密码。
攻击者知道,一旦他们获得了网络内部的访问权限并获取了本地管理员密码的哈希值,他们便可以在整个网络中畅通无阻。拥有随机分配的密码意味着攻击者无法横行。
三、审查和审核NTLM的使用
如果用户使用的是新技术LAN管理器(NTLM),则攻击者可以使用NTLM哈希来访问其网络。依靠LM或NTLM身份验证,结合任何通信协议(SMB,FTP,RPC,HTTP等)使用,会使用户有攻击的风险。企业内部设备防御较弱,攻击者容易入侵。从Windows 7 / Windows Server 2008 R2开始,默认情况下将禁用NTLMv1和LM身份验证协议,但是现在用户应该重新检查并确保执行了NTLMv2,可以使用PowerShell查看网络中NTLM的使用。
在组策略中,值设置如下:
1.选择“开始”。
2.选择“运行”。
3.输入GPedit.msc。
4.选择“本地计算机策略”。
5.选择“计算机配置”。
6.选择“ Windows设置”。
7.选择“安全设置”。
8.选择“本地策略”。
9.选择“安全选项”
10.滚动到策略“网络安全:LAN Manager身份验证级别”。
11.右键单击“属性”。
12.选择“仅发送NTLMv2响应/拒绝LM和NTLM”。
13.单击“确定”并确认设置更改。
注册表设置值如下:
1.打开regedit.exe并导航到HKLM \ System \ CurrentControlSet \ control \ LSA。单击LSA。如果在右侧窗格中看不到LMCompatibilityLevel,则可能需要添加新的注册表项。
2.选择“编辑”。
3.选择“新建”。
4.选择“ REG_DWORD”。
5.将“新值#1”替换为“ LMCompatibilityLevel”。
6.双击右侧窗格中的LMCompatibilityLevel。
7.输入“ 5”代表更改的级别。您可能需要升级打印机上的固件以支持网络中的NTLMv2。
四、管理“复制目录更改”的访问控制列表
攻击者比用户更了解如何使用他们域中的账户。他们经常会滥用Microsoft Exchange权限组。因此,用户需要注意域中关键功能对安全组和访问控制列表(ACL)的更改。
当攻击者修改域对象的ACL时,将创建一个ID为5136的事件。然后,用户可以使用PowerShell脚本查询Windows事件日志,以在日志中查找安全事件ID 5136:
Get-WinEvent -FilterHashtable @{logname='security'; id=5136}
然后,使用ConvertFrom-SDDL4,它将SDDL字符串转换为可读性更高的ACL对象。Server 2016及更高版本提供了一个额外的审核事件,该事件记录了原始和修改后的描述符。
五、监视与Isass.exe交互的意外进程
最后,监视lsass.exe进程中的意外峰值。域控制器将lsass.exe进程用作域事务的常规过程的一部分。拒绝服务和恶意流量可能隐藏在这些进程中。确定域控制器中的正常状态是监视攻击时间的关键。在域控制器上运行Active Directory数据收集器,基本要求在于网络正常运行的可视化。
用户要使攻击者始终无法入侵,首先要对自己的网络及其资源使用有良好的基本了解。多花一些时间来理解,这样攻击者就不会占上风。
新一代云安全引领者-------云安全领域服务商------------ 快快网络小潘QQ:712730909
上一篇
下一篇
支付平台系统遭遇黑客攻击怎么办
支付平台系统遭遇黑客攻击怎么办?在数字化时代,支付平台作为连接消费者与商家的关键桥梁,其安全性直接关系到资金的安全与用户的信任。随着网络技术的不断发展,黑客攻击手段也日益复杂多变,支付平台系统面临的安全威胁日益严峻。当支付平台系统不幸遭遇黑客攻击时,迅速而有效的应对措施至关重要,下文为大家分享解决方案。支付平台系统遭遇黑客攻击怎么办认识黑客攻击的危害黑客攻击支付平台可能采取多种手段,包括但不限于DDoS攻击(分布式拒绝服务攻击)、SQL注入、跨站脚本攻击(XSS)等,这些攻击旨在瘫痪系统、窃取数据或篡改交易信息,给平台带来直接的经济损失和声誉损害,甚至可能引发用户信息泄露等严重后果。高防IP的作用高防IP是针对互联网服务器在遭受大流量DDoS攻击后导致服务不可用的情况下推出的安全防护措施。它通过将用户的业务流量牵引至高防IP,由高防IP提供流量清洗功能,将恶意流量(如DDoS攻击流量)进行识别和过滤,确保只有正常流量能够到达服务器,从而保护服务器免受攻击影响。高防IP的核心优势高防护能力:能够提供数十至数百Gbps的防护能力,有效抵御大规模DDoS攻击。智能清洗:采用先进的流量清洗技术,精准识别并过滤恶意流量,保障业务连续性。灵活部署:支持快速部署,用户可根据实际需求调整防护策略,灵活应对各种攻击场景。专业运维:通常由专业的安全团队提供7x24小时运维服务,确保问题及时发现并解决。支付平台遭遇黑客攻击时的五大应对措施①立即启动应急响应:发现攻击迹象后,立即启动应急预案,组织安全团队进行紧急处理。启用高防IP:将支付平台的业务流量牵引至高防IP,利用高防IP的流量清洗能力抵御攻击。②评估损失与影响:对攻击造成的损害进行评估,包括系统受损程度、用户信息泄露情况等,为后续处理提供依据。③加固系统安全:针对攻击手段,对系统进行全面的安全加固,包括但不限于升级安全补丁、优化网络架构、增强访问控制等。④报警与通报:及时向相关部门报警,并向用户通报情况,保持信息透明,减少负面影响。⑤恢复服务与总结经验:在确认安全后,逐步恢复服务,同时总结此次攻击的经验教训,完善安全防护体系,避免类似事件再次发生。面对日益复杂的网络安全威胁,支付平台有必要高度重视安全防护工作。采用高防IP解决方案作为安全防护的不二选择,可以有效提升平台的抗攻击能力,保障业务的连续性和用户数据的安全。
服务器被入侵了怎么办?快快网络快卫士助力恢复
当服务器被入侵并且数据遭到盗取时,企业面临的风险是巨大的。黑客不仅能窃取敏感信息,还可能对企业的名誉和运营造成长期损害。快速响应、尽早控制局面、修复漏洞和恢复数据是关键。快快网络快卫士作为一款集成的安全防护工具,能够帮助企业在服务器被入侵后快速恢复正常运营,防止数据进一步泄露。一旦发现服务器被入侵,需要做的是立即隔离服务器,切断与外界的连接,防止数据进一步被窃取或传播。快快卫士可以迅速分析出入侵路径,并帮助管理员封锁异常流量,限制黑客的控制权限。在隔离过程中,快快卫士会实时监控网络流量,帮助识别黑客活动的轨迹,防止数据进一步泄露。使用快快卫士的深度扫描功能检查服务器的安全状态。快卫士能够全面扫描服务器系统、应用程序和数据库,及时发现未打补丁的漏洞、配置错误或弱口令等安全隐患,并提供详细的修复建议。通过扫描日志,快卫士还能帮助追踪黑客入侵的源头,明确数据泄露的范围,进一步帮助企业评估损失。快快卫士还提供恶意软件清除功能,黑客入侵后常常会植入木马、后门程序或勒索病毒。快快卫士能够彻底清除这些恶意程序,消除潜在的威胁。针对勒索病毒,快快卫士会提供相应的解密工具,帮助恢复被加密的数据。在漏洞修复和恶意软件清除后,快快卫士会帮助企业加强系统的安全防护措施。通过加强防火墙、启用双因素认证、限制不必要的服务和端口,快快卫士能够增强服务器的防御能力,降低未来遭遇类似攻击的风险。快快卫士的实时监控功能将帮助企业24小时监控网络活动,持续防范潜在的威胁。快快网络快卫士在服务器被入侵并盗取数据后,能够迅速帮助企业识别入侵路径、修复漏洞、清除恶意程序,并加强未来的防护,最大限度减少数据泄露和系统破坏带来的损失。
遇到网站爬虫怎么办?快快网络WAF精准防护
在数字化时代,网站面临的威胁日益增多,其中爬虫攻击成为了一大挑战。爬虫(Web Crawlers)通常用于收集网站上的公开信息,但如果被恶意利用,则可能对网站造成极大的危害。为什么需要防护网站爬虫?数据泄露:恶意爬虫可能会抓取网站上的敏感信息,导致数据泄露。性能影响:爬虫活动会占用大量的服务器资源,导致网站响应速度变慢,影响用户体验。内容滥用:爬虫抓取的内容可能会被用于非法用途,损害网站的品牌形象。安全风险:某些爬虫可能携带恶意软件,进一步威胁网站的安全。快快网络WAF的优势精准拦截:快快网络WAF能够识别并拦截恶意爬虫,确保只有合法的访问请求能够到达服务器。智能防御:结合先进的机器学习算法,快快网络WAF能够自动学习和适应新的攻击模式,提高防护效果。灵活配置:快快网络WAF提供多种配置选项,可以根据不同的防护需求进行定制化设置。实时监控:24/7全天候监控,一旦发现异常访问行为,立即启动防护机制。易于集成:快快网络WAF支持快速部署和无缝集成,无需复杂的配置过程。如何使用快快网络WAF防护爬虫?部署WAF:首先,在网站前端部署快快网络WAF,以拦截恶意请求。配置规则:根据网站的具体需求,配置相应的防护规则,如限制访问频率、检测异常行为等。持续监控:定期查看WAF的日志和报告,了解防护效果,并根据需要调整防护策略。技术支持:快快网络提供专业的技术支持,确保在遇到问题时能够得到及时的帮助。防护网站爬虫不仅是技术问题,更是维护数据安全和用户体验的关键。快快网络WAF凭借其精准拦截、智能防御、灵活配置和实时监控等优势,成为抵御爬虫攻击的理想选择。如果你正在寻找一个可靠的网站防护解决方案,快快网络WAF将是你的最佳伙伴。
阅读数:5305 | 2021-05-17 16:50:57
阅读数:4858 | 2021-09-08 11:09:02
阅读数:4443 | 2022-10-20 14:38:47
阅读数:4366 | 2023-04-13 15:00:00
阅读数:4342 | 2022-03-24 15:32:25
阅读数:4239 | 2024-07-25 03:06:04
阅读数:4043 | 2021-05-28 17:19:39
阅读数:3895 | 2022-01-14 13:47:37
阅读数:5305 | 2021-05-17 16:50:57
阅读数:4858 | 2021-09-08 11:09:02
阅读数:4443 | 2022-10-20 14:38:47
阅读数:4366 | 2023-04-13 15:00:00
阅读数:4342 | 2022-03-24 15:32:25
阅读数:4239 | 2024-07-25 03:06:04
阅读数:4043 | 2021-05-28 17:19:39
阅读数:3895 | 2022-01-14 13:47:37
发布者:售前小潘 | 本文章发表于:2022-12-09
在Windows设备系统上使用这五个技巧,减少企业组织遭受凭证转储攻击的漏洞风险。凭证转储是攻击者永久获取网站访问的一项重要技术。他们通过网络钓鱼潜入工作网站后,利用管理员管理和监视网络的常用方法来获取公开凭据。
一、减少凭证重用
首先,查看自己的网络管理。因工作之外的任务登录了多少次网络?网络账户密码重复登录了多少次?
NIST建议企业定期检查自己的密码是否在公开的密码数据库里。如果在网络上使用过的密码出现在密码泄露列表中,都会使用户的网络更容易受到攻击。
Troy Hunt发布了一个数据库,包含了超过5亿个被盗用的密码。用户可以使用各种资源将这些暴露的密码与自己网络中使用的密码进行比较。例如,用户可以使用密码过滤器以查看网络上正在使用的密码。然后依据组策略给这些密码做专门的核查。
二、管理本地管理员的密码
管理本地管理员密码的重要性不言而喻。本地管理员密码在整个网络中不应该一样。考虑到部署本地管理员密码解决方案(LAPS),可以安装Lithnet LAPS Web应用程序,该应用程序提供了一个简单的易于移动的Web界面,用于访问本地管理员密码。
攻击者知道,一旦他们获得了网络内部的访问权限并获取了本地管理员密码的哈希值,他们便可以在整个网络中畅通无阻。拥有随机分配的密码意味着攻击者无法横行。
三、审查和审核NTLM的使用
如果用户使用的是新技术LAN管理器(NTLM),则攻击者可以使用NTLM哈希来访问其网络。依靠LM或NTLM身份验证,结合任何通信协议(SMB,FTP,RPC,HTTP等)使用,会使用户有攻击的风险。企业内部设备防御较弱,攻击者容易入侵。从Windows 7 / Windows Server 2008 R2开始,默认情况下将禁用NTLMv1和LM身份验证协议,但是现在用户应该重新检查并确保执行了NTLMv2,可以使用PowerShell查看网络中NTLM的使用。
在组策略中,值设置如下:
1.选择“开始”。
2.选择“运行”。
3.输入GPedit.msc。
4.选择“本地计算机策略”。
5.选择“计算机配置”。
6.选择“ Windows设置”。
7.选择“安全设置”。
8.选择“本地策略”。
9.选择“安全选项”
10.滚动到策略“网络安全:LAN Manager身份验证级别”。
11.右键单击“属性”。
12.选择“仅发送NTLMv2响应/拒绝LM和NTLM”。
13.单击“确定”并确认设置更改。
注册表设置值如下:
1.打开regedit.exe并导航到HKLM \ System \ CurrentControlSet \ control \ LSA。单击LSA。如果在右侧窗格中看不到LMCompatibilityLevel,则可能需要添加新的注册表项。
2.选择“编辑”。
3.选择“新建”。
4.选择“ REG_DWORD”。
5.将“新值#1”替换为“ LMCompatibilityLevel”。
6.双击右侧窗格中的LMCompatibilityLevel。
7.输入“ 5”代表更改的级别。您可能需要升级打印机上的固件以支持网络中的NTLMv2。
四、管理“复制目录更改”的访问控制列表
攻击者比用户更了解如何使用他们域中的账户。他们经常会滥用Microsoft Exchange权限组。因此,用户需要注意域中关键功能对安全组和访问控制列表(ACL)的更改。
当攻击者修改域对象的ACL时,将创建一个ID为5136的事件。然后,用户可以使用PowerShell脚本查询Windows事件日志,以在日志中查找安全事件ID 5136:
Get-WinEvent -FilterHashtable @{logname='security'; id=5136}
然后,使用ConvertFrom-SDDL4,它将SDDL字符串转换为可读性更高的ACL对象。Server 2016及更高版本提供了一个额外的审核事件,该事件记录了原始和修改后的描述符。
五、监视与Isass.exe交互的意外进程
最后,监视lsass.exe进程中的意外峰值。域控制器将lsass.exe进程用作域事务的常规过程的一部分。拒绝服务和恶意流量可能隐藏在这些进程中。确定域控制器中的正常状态是监视攻击时间的关键。在域控制器上运行Active Directory数据收集器,基本要求在于网络正常运行的可视化。
用户要使攻击者始终无法入侵,首先要对自己的网络及其资源使用有良好的基本了解。多花一些时间来理解,这样攻击者就不会占上风。
新一代云安全引领者-------云安全领域服务商------------ 快快网络小潘QQ:712730909
上一篇
下一篇
支付平台系统遭遇黑客攻击怎么办
支付平台系统遭遇黑客攻击怎么办?在数字化时代,支付平台作为连接消费者与商家的关键桥梁,其安全性直接关系到资金的安全与用户的信任。随着网络技术的不断发展,黑客攻击手段也日益复杂多变,支付平台系统面临的安全威胁日益严峻。当支付平台系统不幸遭遇黑客攻击时,迅速而有效的应对措施至关重要,下文为大家分享解决方案。支付平台系统遭遇黑客攻击怎么办认识黑客攻击的危害黑客攻击支付平台可能采取多种手段,包括但不限于DDoS攻击(分布式拒绝服务攻击)、SQL注入、跨站脚本攻击(XSS)等,这些攻击旨在瘫痪系统、窃取数据或篡改交易信息,给平台带来直接的经济损失和声誉损害,甚至可能引发用户信息泄露等严重后果。高防IP的作用高防IP是针对互联网服务器在遭受大流量DDoS攻击后导致服务不可用的情况下推出的安全防护措施。它通过将用户的业务流量牵引至高防IP,由高防IP提供流量清洗功能,将恶意流量(如DDoS攻击流量)进行识别和过滤,确保只有正常流量能够到达服务器,从而保护服务器免受攻击影响。高防IP的核心优势高防护能力:能够提供数十至数百Gbps的防护能力,有效抵御大规模DDoS攻击。智能清洗:采用先进的流量清洗技术,精准识别并过滤恶意流量,保障业务连续性。灵活部署:支持快速部署,用户可根据实际需求调整防护策略,灵活应对各种攻击场景。专业运维:通常由专业的安全团队提供7x24小时运维服务,确保问题及时发现并解决。支付平台遭遇黑客攻击时的五大应对措施①立即启动应急响应:发现攻击迹象后,立即启动应急预案,组织安全团队进行紧急处理。启用高防IP:将支付平台的业务流量牵引至高防IP,利用高防IP的流量清洗能力抵御攻击。②评估损失与影响:对攻击造成的损害进行评估,包括系统受损程度、用户信息泄露情况等,为后续处理提供依据。③加固系统安全:针对攻击手段,对系统进行全面的安全加固,包括但不限于升级安全补丁、优化网络架构、增强访问控制等。④报警与通报:及时向相关部门报警,并向用户通报情况,保持信息透明,减少负面影响。⑤恢复服务与总结经验:在确认安全后,逐步恢复服务,同时总结此次攻击的经验教训,完善安全防护体系,避免类似事件再次发生。面对日益复杂的网络安全威胁,支付平台有必要高度重视安全防护工作。采用高防IP解决方案作为安全防护的不二选择,可以有效提升平台的抗攻击能力,保障业务的连续性和用户数据的安全。
服务器被入侵了怎么办?快快网络快卫士助力恢复
当服务器被入侵并且数据遭到盗取时,企业面临的风险是巨大的。黑客不仅能窃取敏感信息,还可能对企业的名誉和运营造成长期损害。快速响应、尽早控制局面、修复漏洞和恢复数据是关键。快快网络快卫士作为一款集成的安全防护工具,能够帮助企业在服务器被入侵后快速恢复正常运营,防止数据进一步泄露。一旦发现服务器被入侵,需要做的是立即隔离服务器,切断与外界的连接,防止数据进一步被窃取或传播。快快卫士可以迅速分析出入侵路径,并帮助管理员封锁异常流量,限制黑客的控制权限。在隔离过程中,快快卫士会实时监控网络流量,帮助识别黑客活动的轨迹,防止数据进一步泄露。使用快快卫士的深度扫描功能检查服务器的安全状态。快卫士能够全面扫描服务器系统、应用程序和数据库,及时发现未打补丁的漏洞、配置错误或弱口令等安全隐患,并提供详细的修复建议。通过扫描日志,快卫士还能帮助追踪黑客入侵的源头,明确数据泄露的范围,进一步帮助企业评估损失。快快卫士还提供恶意软件清除功能,黑客入侵后常常会植入木马、后门程序或勒索病毒。快快卫士能够彻底清除这些恶意程序,消除潜在的威胁。针对勒索病毒,快快卫士会提供相应的解密工具,帮助恢复被加密的数据。在漏洞修复和恶意软件清除后,快快卫士会帮助企业加强系统的安全防护措施。通过加强防火墙、启用双因素认证、限制不必要的服务和端口,快快卫士能够增强服务器的防御能力,降低未来遭遇类似攻击的风险。快快卫士的实时监控功能将帮助企业24小时监控网络活动,持续防范潜在的威胁。快快网络快卫士在服务器被入侵并盗取数据后,能够迅速帮助企业识别入侵路径、修复漏洞、清除恶意程序,并加强未来的防护,最大限度减少数据泄露和系统破坏带来的损失。
遇到网站爬虫怎么办?快快网络WAF精准防护
在数字化时代,网站面临的威胁日益增多,其中爬虫攻击成为了一大挑战。爬虫(Web Crawlers)通常用于收集网站上的公开信息,但如果被恶意利用,则可能对网站造成极大的危害。为什么需要防护网站爬虫?数据泄露:恶意爬虫可能会抓取网站上的敏感信息,导致数据泄露。性能影响:爬虫活动会占用大量的服务器资源,导致网站响应速度变慢,影响用户体验。内容滥用:爬虫抓取的内容可能会被用于非法用途,损害网站的品牌形象。安全风险:某些爬虫可能携带恶意软件,进一步威胁网站的安全。快快网络WAF的优势精准拦截:快快网络WAF能够识别并拦截恶意爬虫,确保只有合法的访问请求能够到达服务器。智能防御:结合先进的机器学习算法,快快网络WAF能够自动学习和适应新的攻击模式,提高防护效果。灵活配置:快快网络WAF提供多种配置选项,可以根据不同的防护需求进行定制化设置。实时监控:24/7全天候监控,一旦发现异常访问行为,立即启动防护机制。易于集成:快快网络WAF支持快速部署和无缝集成,无需复杂的配置过程。如何使用快快网络WAF防护爬虫?部署WAF:首先,在网站前端部署快快网络WAF,以拦截恶意请求。配置规则:根据网站的具体需求,配置相应的防护规则,如限制访问频率、检测异常行为等。持续监控:定期查看WAF的日志和报告,了解防护效果,并根据需要调整防护策略。技术支持:快快网络提供专业的技术支持,确保在遇到问题时能够得到及时的帮助。防护网站爬虫不仅是技术问题,更是维护数据安全和用户体验的关键。快快网络WAF凭借其精准拦截、智能防御、灵活配置和实时监控等优势,成为抵御爬虫攻击的理想选择。如果你正在寻找一个可靠的网站防护解决方案,快快网络WAF将是你的最佳伙伴。
查看更多文章 >
最新活动
闽公网安备 35020302000839号
公安机关联网备案号 35020301000110
云安全相关活动
