您好,欢迎访问利联科技官网!    24小时服务热线:400-161-0880    无锡高防BGP服务器特价火爆热销中!登录  /  注册

高防攻击服务器的潜藏漏洞

 

高防攻击服务器虽然安全,但服务器潜藏的漏洞或导致在任何Windows计算机上执行远程代码、或对任何支持Windows

集成身份验证(WIA)的服务器(如Exchange和ADFS)进行身份验证。具体说来是,研究小组发现了由三个逻辑缺陷组

的两个严重漏洞,且所有Windows版本都易受到攻击影响。


消息完整性代码(MIC)字段可确保攻击者不会篡改NTLM消息,但研究人员发现的旁路攻击,可以卸下MIC的保护,并修

改NTLM身份验证流程中的各个字段,如签名协商。


下面是管理员对高防攻击服务器的建议操作:

(1)强制SMB签名,放置攻击者发起更简单的NTLM中继攻击,请务必在网络中的所有计算机上启用SMB签名。

(2)屏蔽NTLMv1——该版本相当不安全,建议通过适当的组策略来完全封禁。

(3)执行修补程序——确保为工作站和服务器打上了所需的补丁。

(4)强制执行LDAP / S签名——要防止LDAP中的NTLM中继,请在域控制器上强制执行LDAP签名和LDAPS通道绑定。

(5)减少NTLM的使用——因为即便采用了完整的安全配置,NTLM也会比Kerberos带来更大的安全隐患,建议在不必要

的环境中彻底弃用。

(6)实施EPA——为防止Web服务器上的NTLM中继,请强化所有Web服务器(OWA / ADFS),仅接受使用EPA的请求。


高防攻击服务器的SMB会话签名可防止攻击者转发NTLM身份验证消息以建立SMB和DCE / RPC会话,但旁路攻击仍能将

NTLM身份验证请求中继到域中的任何服务器(包括域控制器),同时建立签名会话以执行远程代码。如果中继身份验证属

于特权用户,则会对全域造成损害。


高防攻击服务器的增强型身份验证保护(EPA)还可以防止攻击者将NTLM消息转发到TLS会话,但攻击者仍可绕过并修改

NTLM消息,以生成合法的通道绑定信息。这使得攻击者可利用用户权限连接到各种Web服务,并执行读取用户电子邮

件(通过中继到OWA服务器)、甚至连接到云资源(通过中继到ADFS服务器)等各种操作。


您可能还会对下面的文章感兴趣: