紧急提醒!运维人员必知的关键工作

发表时间: 2022-12-07 10:44

上期文章中,我们分享了一个实际案例:保驾护航,嘉为蓝鲸助力某科技公司AD域故障恢复实记。AD在许多企业内部承担着基础架构核心系统的角色,维护这套系统的正常运行是企业内部基础运维的重要课题,然而,AD建设、防护在许多企业中并未得到良好的实践和足够的重视,本期我们就来谈一谈当前环境下,每个运维人都需要了解的工作——AD防护工作。


01 我们所面临的问题


当今社会,疫情此起彼伏,寒冬忽至,更行各业都受到了不同程度的影响。但是我们深处的互联网时代,依然非常活跃,似乎大家把更多的精力和重心,都逐渐投入其中。或许是一种错觉,随着疫情的反反复复,我们面临的互联网攻击也愈加频繁,各种勒索病毒和安全漏洞层出不穷,在无数个日日夜夜,折磨着我们每个IT维护人员。


当今勒索病毒已经成为了一条灰色产业链,2022年7月,全球新增的活跃勒索病毒家族有:Stop247、RoBaj、RedAlert、Checkmate、Lilith、Luna、BianLian、0mega等家族,其中RedAlert、Lilith、BianLian、0mega均为双重勒索家族;Checkmate为针对NAS设备发起攻击的勒索病毒;yanluowang勒索病毒虽不是本月新增,但该勒索病毒家族在近期开始公开发布受害者数据。


现阶段微软产品在身份验证、终端管理等方面,仍然是行业主流。面对时时刻刻的病毒威胁,我们在AD防护这一块,应该都要一些比较全面和通用的措施来进行应对。保障客户的域环境安全和快速恢复业务。


02 每个运维都必须了解:AD防护工作


按照目前的情况,我们应该从以下几个方面进行防护或者加固,阻止AD被入侵或者二次入侵。


1 补丁更新

万事先补丁,补丁对于大多数微软管理员来说,是又爱又恨。爱的是,补丁能够解决很多漏洞,让管理员更加的放心工作。恨的是,每个月都会有补丁,补丁推动和补丁安装,在企业内部往往都存在一定的阻力,耗时耗力,效果还不是特别好。


但是不管怎么样,补丁正如其名,能够很好把系统的漏洞堵住(虽然往往会产生新的漏洞),给Windows操作系统构筑一道坚实的屏障,是我们每个管理员必须要定期做的事情。


对于日常工作来说,必须要有企业自己的补丁更新管理规范和制度,并积极进行推动。在保证系统稳定的情况下,定期进行补丁更新。


对于应急的场景,比如客户已经中了病毒了。这个时候,我们更加应该懂得事急从权,立即针对服务器进行补丁更新,安装最新的补丁,减少系统层级的攻击面。


2 密码重置

现在的攻击者,往往都是利用漏洞或者弱密码撞库,窃取AD域环境的高权限账号密码,然后进行侵入和破坏。


对于日常工作来说,我们应该积极推行密码策略,严格设置密码复杂度,保障账号的安全。同时,对于管理员账号密码,我们应该尽可能的做到改名、禁用、强密码等措施,进行最全面的防护。


对于应急的场景,理应立即重置所有管理员的账号密码,阻断攻击者的利用高权限账号密码进一步搞破坏。


3 权限梳理

在企业里面,90%以上的系统,对接AD域,都不需要域管理员权限的账号,但是90%以上的企业,都给予了管理员权限。这就导致了AD域被入侵的风险极大的增加。任何一套对接了AD的应用系统,在出现漏洞后,都有可能导致AD高权账号密码被泄露,进而发生非常严重的安全事件。毕竟,再安全的保险大门,也禁不住黑客拿着大门钥匙走进来,防不胜防没法防。


在日常工作中,我们对于AD的管理更应该注重权限的控制。一方面我们要严格审核管理员账号,尽量遵循微软的JIE原则,只赋予最小化的权限。而不是像马大哈一样,给个管理员权限草率了事。在图省事的同时,也给自己留下了一个巨大的隐患。相当于你把自己的安全,交给了一个陌生人,安全性完全没有任何保障。


对于应急场景,应该立即梳理出高权账号,然后进行逐一的清理和回收。规避其它账号密码泄露造成二次入侵。同时,把高权账号掌握在自己手中,能够更加的安全放心。


4 组策略防护


组策略是一把双刃剑,一方面方便了我们的统一配置和管理,一方面,也给了黑客利用的空间。黑客往往利用组策略来进行病毒的推送和蔓延,导致域内所有的机器收到感染。因此,我们一定要加强组策略的监控和管理。


在日常工作中,定期对组策略进行优化,梳理不需要组策略。同时,对组策略的更新进行实时的监控,发现组策略被异常篡改,则立即进行响应。


对于应急场景,我们应该首先检查组策略是否有被篡改(更新时间和更新记录),检查异常的脚本或者agent等,立即进行回收和删除处理。


03 后续


我们在平时的工作当中,一定要有非常清晰的防护策略和思路,在正确时间点,采取最正确的措施,实现影响的最小化。


当然除此之外,在AD安全加固措施等其他方面,还有更多可探讨的内容,限于篇幅,本期不作为重点。我们将在后续更深一步推出关于AD加固防护的专题内容,感兴趣的朋友欢迎持续关注嘉为蓝鲸!


同时,企业也可以寻求专业服务,以便快速建立和完善企业AD运维能力。


04 嘉为AD运维服务


针对企业AD运维,嘉为团队提供全面一站式的技术服务,包括:AD及基础架构实施、AD域升级与架构优化、AD安全加固、AD HW服务等,助企业打造坚如磐石的IT系统,为企业信息系统保驾护航。


除此之外,嘉为还提供规划咨询服务、系统建设服务、二线专家服务、系统优化服务、IT运维整体外包服务、人员派驻等服务,企业可以根据需求自由组合选择使用的服务内容和范围。



05 WeOps一体化运维平台


有关企业AD运维,嘉为蓝鲸WeOps平台产品还可从预防和监控故障处理两方面为企业保驾护航:


1 预防

WeOps平台可针对日常排查时发现的一系列隐患做到及时预防。案例中由于企业AD不规范导致系统存在没有备份、没有补丁安装、网络环境负载等隐患,而WeOPs平台可通过作业平台定时自动备份、通过补丁安装进行定期安装、通过平台进行网络设备的自动发现,生成拓扑完美解决上述问题。



2 监控故障处理

WeOps平台中的监控告警系统,可做到持续监控,智能告警,提前发现问题,降低业务影响,一旦发生故障,可通过拓扑图分析关联影响,同时结合资产管理分析资产影响情况,最后采用自动化工具快速解决故障,持续保障企业业务连续性。



嘉为蓝鲸WeOps平台满足国产化兼容,支持在国产环境下的一体化运维,自主可控,帮助用户解决工具功能单一、众多IT运维对象管理难、自动化程度低、信创生态产品兼容等问题,助力客户安全落地一体化运维场景。


如果您的企业对WeOps平台以及嘉为AD运维服务感兴趣,以及了解更多相关内容,欢迎关注公众号:嘉为蓝鲸。