基于LDAP实体数据的域内安全扫描方法与流程

基于ldap实体数据的域内安全扫描方法
技术领域
1.本公开涉及计算机安全技术领域，尤其涉及一种基于ldap实体数据的域内安全扫描方法、装置和安全检测系统。


背景技术：

2.域是计算机网络的一种基于ldap实体数据的域内安全扫描方法形式，其中所有用户账户，计算机，打印机和其他安全主体都在位于称为域控制器的一个或多个中央计算机集群上的中央数据库中注册。两个域之间可以通过建立信任(trust)关系来进行联系，使用时，通过安装活动目录ad域(active directory)来实现集中管理、统一管理。
3.目前，大多数组织都在使用一个或多个windows服务器活动目录域，但当审查这些组织活动目录安全状况时，经常发现他们的活动目录部署存在重大安全隐患，无论是架构还是操作或者是安全设置等等。其中，在ldap实体数据安全排查过程中，是通过管理员进行手动排查的，这种方式排查覆盖面不全，非常耗时等痛点。
4.此外，传统的检测方式是都是基于端口的漏洞扫描，没有办法很好得针对ad域内的配置不当进行扫描。


技术实现要素：

5.有鉴于此，本公开提出了一种基于ldap实体数据的域内安全扫描方法、装置和安全检测系统，通过引入了域内的实体数据，提供了覆盖全面的安全性检查项规则，用以协助管理员快速全面的发现当前域内环境可能存在的安全问题；通过ldap协议查询活动目录的各项属性信息进行分析，以判断各项配置是否安全。
6.根据本公开的一方面，提供了一种基于ldap实体数据的域内安全扫描方法，包括如下步骤：
7.s100、预设安全性检查项规则，并将所述安全性检查项规则配置到扫描平台；
8.s200、所述扫描平台向域控制器发起ldap查询请求，获取满足预设条件的检查项属性，并返回至所述扫描平台；
9.s300、根据所述安全性检查项规则，对返回的检查项属性进行比对，判断其是否符合所述安全性检查项规则，并输出判断结果。
10.在一种可能的实现方式中，可选地，步骤s200中，在通过所述扫描平台向域控制器发起ldap查询请求之前，还包括：
11.s201、基于ldap协议，在所述扫描平台和活动目录之间建立ldap连接；
12.s202、预设部署环境，将建立连接的所述扫描平台和活动目录根据预设部署环境部署于服务器；
13.s203、建立所述服务器与所述域控制器端口之间的连接。
14.在一种可能的实现方式中，可选地，在步骤s300中，所述通过所述扫描平台根据所述安全性检查项规则对返回的检查项属性进行比对，判断其是否符合所述安全性检查项规
则，并输出判断结果，包括：
15.s310、设定ldap查询语法；
16.s320、基于所述ldap查询语法，将查询获取并返回的检查项属性与所述ldap查询语法进行比对，判断所述检查项属性是否符合所述ldap查询语法，若是符合，则表明扫描发现不安全的检查项，并输出判断结果；
17.s330、根据判断结果，发出告警提示管理端。
18.在一种可能的实现方式中，可选地，在步骤s300中，所述通过所述扫描平台根据所述安全性检查项规则对返回的检查项属性进行比对，判断其是否符合所述安全性检查项规则，并输出判断结果，还包括：
19.s311、设定第一ldap查询语法；
20.s321、基于所述第一ldap查询语法，将查询获取并返回的检查项的用户账户与所述第一ldap查询语法进行比对，判断所述检查项的用户账户是否符合所述第一ldap查询语法，若是符合，则表明扫描发现受到kerberoasting攻击的域内特权账号，并输出所述域内特权账号；
21.s331、根据所述域内特权账号，发出告警提示管理端。
22.在一种可能的实现方式中，可选地，在步骤s300中，所述通过所述扫描平台根据所述安全性检查项规则对返回的检查项属性进行比对，判断其是否符合所述安全性检查项规则，并输出判断结果，还包括：
23.s312、设定第二ldap查询语法；
24.s322、基于所述第二ldap查询语法，将查询获取并返回的检查项的用户账户与所述第二ldap查询语法进行比对，判断所述检查项的用户账户是否符合所述第二ldap查询语法，检查域内是否存在非约束委派的检查项；若是符合，则表明域内存在非约束委派账号，并输出所述非约束委派账号；
25.s332、根据所述非约束委派账号，发出告警提示管理端。
26.根据本公开的另一方面，提供了一种实现上述所述的基于ldap实体数据的域内安全扫描方法的装置，包括：
27.配置模块，用于预设安全性检查项规则，并将所述安全性检查项规则配置到扫描平台；
28.扫描平台，用于向域控制器发起ldap查询请求，获取满足预设条件的检查项属性，并返回至所述扫描平台；
29.安全判断模块，用于根据所述安全性检查项规则，对返回的检查项属性进行比对，判断其是否符合所述安全性检查项规则，并输出判断结果。
30.在一种可能的实现方式中，可选地，还包括：
31.ldap连接建立模块，用于基于ldap协议，在所述扫描平台和活动目录之间建立ldap连接；
32.部署模块，用于预设部署环境，将建立连接的所述扫描平台和活动目录根据预设部署环境部署于服务器；
33.链接模块，用于建立所述服务器与所述域控制器端口之间的连接。
34.在一种可能的实现方式中，可选地，包括：
35.语法设定模块，用于设定ldap查询语法；
36.属性比对模块，用于基于所述ldap查询语法，将查询获取并返回的检查项属性与所述ldap查询语法进行比对，判断所述检查项属性是否符合所述ldap查询语法，若是符合，则表明扫描发现不安全的检查项，并输出判断结果；
37.警示模块，用于根据判断结果，发出告警提示管理端。
38.根据本公开的另一方面，还提供了一种安全检测系统，包括：
39.处理器；
40.用于存储处理器可执行指令的存储器；
41.其中，所述处理器被配置为执行所述可执行指令时实现上述所述的基于ldap实体数据的域内安全扫描方法。
42.根据本公开的另一方面，还提供了一种非易失性计算机可读存储介质，其上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现上述所述的基于ldap实体数据的域内安全扫描方法。
43.本技术的技术效果：
44.本发明通过预设安全性检查项规则，并将所述安全性检查项规则配置到扫描平台；所述扫描平台向域控制器发起ldap查询请求，获取满足预设条件的检查项属性，并返回至所述扫描平台；根据所述安全性检查项规则，对返回的检查项属性进行比对，判断其是否符合所述安全性检查项规则，并输出判断结果。能够通过引入域内的实体数据，提供覆盖全面的安全性检查项规则，用以协助管理员快速全面的发现当前域内环境可能存在的安全问题；通过ldap协议查询活动目录的各项属性信息进行分析，以判断各项配置是否安全；同时收集整理大量的域内安全设置建议及解决方案，开发出更加完善及全面的ldap实体数据安全扫描方案，解决了管理员手动排查覆盖面不全，耗时等痛点。
45.根据下面参考附图对示例性实施例的详细说明，本公开的其它特征及方面将变得清楚。
附图说明
46.包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面，并且用于解释本公开的原理。
47.图1示出为本发明基于ldap实体数据的域内安全扫描方法的实施流程示意图；
48.图2示出为本发明分析中心的组成示意图。
具体实施方式
49.以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面，但是除非特别指出，不必按比例绘制附图。
50.在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
51.另外，为了更好的说明本公开，在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解，没有某些具体细节，本公开同样可以实施。在一些实例中，对于
本领域技术人员熟知的方法、手段、元件和电路未作详细描述，以便于凸显本公开的主旨。
52.实施例1
53.如图1所示，根据本公开的一方面，提供了一种基于ldap实体数据的域内安全扫描方法，包括如下步骤：
54.s100、预设安全性检查项规则，并将所述安全性检查项规则配置到扫描平台；
55.本技术，为了协助管理员快速全面的发现当前域内环境可能存在的安全问题，引入了域内的实体数据。因此，提供了覆盖全面的安全性检查项规则，用以通过ldap协议查询活动目录的各项属性信息进行分析，以判断各项配置是否安全。
56.在基于ldap协议查询各类重要的检查项属性后，扫描平台将通过内置的规则安全性检查项规则对返回的数据进行比对，发现不安全的配置项，并发出告警提示管理员。
57.因此，需要提前配置安全性检查项规则到扫描平台。本方案中，安全性检查项规则可以根据用户需求以及检查项属性进行设定，本处不做限制。
58.s200、所述扫描平台向域控制器发起ldap查询请求，获取满足预设条件的检查项属性，并返回至所述扫描平台；
59.扫描平台和活动目录在一个服务器上，便于扫描数据的传输和储存。通过部署服务器，运行程序连接域控制器的389端口，通过ldap协议查询各类重要的检查项属性，并将查询结果返回给扫描平台；
60.s300、根据所述安全性检查项规则，对返回的检查项属性进行比对，判断其是否符合所述安全性检查项规则，并输出判断结果。
61.扫描获得的检查项，根据用户定义的重要项目进行索引获取即可，通过ldap协议查询活动目录的各项属性信息，得到各类重要的检查项属性。将获得的各类重要的检查项属性与所述安全性检查项规则进行对比，判断其属性信息是否符合所述安全性检查项规则的定义语法即可，并将判断结果输出。
62.根据判断结果即可发现不安全的配置项，此时可以通过系统并发出告警，提示管理员。
63.采用上述技术思路，可以通过收集整理大量的域内安全设置建议及解决方案，开发出更加完善及全面的ldap实体数据安全扫描方案，解决了管理员手动排查覆盖面不全，耗时等痛点。
64.在一种可能的实现方式中，可选地，步骤s200中，在通过所述扫描平台向域控制器发起ldap查询请求之前，还包括：
65.s201、基于ldap协议，在所述扫描平台和活动目录之间建立ldap连接；
66.s202、预设部署环境，将建立连接的所述扫描平台和活动目录根据预设部署环境部署于服务器；
67.s203、建立所述服务器与所述域控制器端口之间的连接。
68.如图2所示，首先要在所述扫描平台和活动目录之间建立ldap连接，实现扫描平台基于ldap协议向活动目录发起ldap查询请求指令，便于获得目标查询结果。
69.其次，将扫描平台和活动目录组成的分析中心，部署在服务器上，并建立所述服务器与所述域控制器端口之间的连接，本实施例，即通过部署服务器，运行程序连接域控制器的389端口，这样可以通过ldap协议查询各类重要的检查项属性，并将查询结果返回给扫描
平台；进而通过活动目录对域控制器的检查项进行集中管理、统一管理。
70.分析中心的的部署可以私有化部署也可以saas化部署，本发明不进行限定。
71.在一种可能的实现方式中，可选地，在步骤s300中，所述通过所述扫描平台根据所述安全性检查项规则对返回的检查项属性进行比对，判断其是否符合所述安全性检查项规则，并输出判断结果，包括：
72.s310、设定ldap查询语法；
73.s320、基于所述ldap查询语法，将查询获取并返回的检查项属性与所述ldap查询语法进行比对，判断所述检查项属性是否符合所述ldap查询语法，若是符合，则表明扫描发现不安全的检查项，并输出判断结果；
74.s330、根据判断结果，发出告警提示管理端。
75.在具体进行安全性检查时，可以通过设定ldap查询语法的方式，来检测容易存在安全隐患的检查项。
76.ldap查询语法，构成安全性检查项规则的主要语义。在比对判断检查项的属性信息时，主要根据ldap查询语法进行判断。
77.下面将采用两个ldap查询语法，进行域内事项安全检查的示例说明。
78.在一种可能的实现方式中，可选地，在步骤s300中，所述通过所述扫描平台根据所述安全性检查项规则对返回的检查项属性进行比对，判断其是否符合所述安全性检查项规则，并输出判断结果，还包括：
79.s311、设定第一ldap查询语法；
80.s321、基于所述第一ldap查询语法，将查询获取并返回的检查项的用户账户与所述第一ldap查询语法进行比对，判断所述检查项的用户账户是否符合所述第一ldap查询语法，若是符合，则表明扫描发现受到kerberoasting攻击的域内特权账号，并输出所述域内特权账号；
81.s331、根据所述域内特权账号，发出告警提示管理端。
82.本处用于检测容易受到`kerberoasting`攻击的域内特权账号，ldap查询语法定义为"(&((serviceprincipalname＝*)(！(objectclass＝computer))))"。使用kerberos协议访问服务时，用户需要针对该服务对dc请求服务访问票据(服务票据为tgs)。此票证是使用服务帐户的密码hash加密的。所以可以对该票证进行离线的暴力破解以获得服务帐户的原始密码。
83.扫描平台会向域控的389端口发起ldap请求，通过ldap查询语法"(&((serviceprincipalname＝*)(！(objectclass＝computer))))"来查询容易受到kerberoasting攻击的特权账号。
84.在一种可能的实现方式中，可选地，在步骤s300中，所述通过所述扫描平台根据所述安全性检查项规则对返回的检查项属性进行比对，判断其是否符合所述安全性检查项规则，并输出判断结果，还包括：
85.s312、设定第二ldap查询语法；
86.s322、基于所述第二ldap查询语法，将查询获取并返回的检查项的用户账户与所述第二ldap查询语法进行比对，判断所述检查项的用户账户是否符合所述第二ldap查询语法，检查域内是否存在非约束委派的检查项；若是符合，则表明域内存在非约束委派账号，
并输出所述非约束委派账号；
87.s332、根据所述非约束委派账号，发出告警提示管理端。
88.本处用于检查域内是否存在非约束委派，ldap查询语法定义为"(&(useraccountcontrol:1.2.840.113556.1.4.803:＝524288)(！(useraccountcontrol:1.2.840.113556.1.4.803:＝8192)))"。
89.利用非约束委派，攻击者可以轻易捕获开启了非约束委派的帐户的tgt票证，从而获取其帐户访问服务的权限。如果该账户是特权账号或域控制器，则会增加ad域被破坏的安全风险。
90.扫描平台会向域控的389端口发起ldap请求，通过ldap查询语法"(&(useraccountcontrol:1.2.840.113556.1.4.803:＝524288)(！(useraccountcontrol:1.2.840.113556.1.4.803:＝8192)))"来查询域内的非约束委派账号。
91.需要说明的是，尽管以第一ldap查询语法和第二ldap查询语法作为示例，介绍了如上安全扫描检测实施方案，但本领域技术人员能够理解，本公开应不限于此。事实上，用户完全可根据个人喜好和/或实际应用场景灵活设定安全性检查项规则，用户可以自定义安全性检查项规则中的ldap查询语法，只要能够对检测的检测项进行自动识别分析即可。
92.这样，能够通过引入域内的实体数据，提供覆盖全面的安全性检查项规则，用以协助管理员快速全面的发现当前域内环境可能存在的安全问题；通过ldap协议查询活动目录的各项属性信息进行分析，以判断各项配置是否安全；同时收集整理大量的域内安全设置建议及解决方案，开发出更加完善及全面的ldap实体数据安全扫描方案，解决了管理员手动排查覆盖面不全，耗时等痛点。
93.实施例2
94.基于实施例1的实施，本实施，根据本公开的另一方面，提供了一种实现上述所述的基于ldap实体数据的域内安全扫描方法的装置，包括：
95.配置模块，用于预设安全性检查项规则，并将所述安全性检查项规则配置到扫描平台；
96.扫描平台，用于向域控制器发起ldap查询请求，获取满足预设条件的检查项属性，并返回至所述扫描平台；
97.安全判断模块，用于根据所述安全性检查项规则，对返回的检查项属性进行比对，判断其是否符合所述安全性检查项规则，并输出判断结果。
98.在一种可能的实现方式中，可选地，还包括：
99.ldap连接建立模块，用于基于ldap协议，在所述扫描平台和活动目录之间建立ldap连接；
100.部署模块，用于预设部署环境，将建立连接的所述扫描平台和活动目录根据预设部署环境部署于服务器；
101.链接模块，用于建立所述服务器与所述域控制器端口之间的连接。
102.在一种可能的实现方式中，可选地，包括：
103.语法设定模块，用于设定ldap查询语法；
104.属性比对模块，用于基于所述ldap查询语法，将查询获取并返回的检查项属性与所述ldap查询语法进行比对，判断所述检查项属性是否符合所述ldap查询语法，若是符合，
则表明扫描发现不安全的检查项，并输出判断结果；
105.警示模块，用于根据判断结果，发出告警提示管理端。
106.各个模块/硬件的功能和实施原理，具体参见上述实施例的描述，本处不再赘述。
107.显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。
108.实施例3
109.更进一步地，根据本公开的另一方面，还提供了一种安全检测系统。
110.根据本公开的另一方面，还提供了一种安全检测系统，包括：
111.处理器；
112.用于存储处理器可执行指令的存储器；
113.其中，所述处理器被配置为执行所述可执行指令时实现上述所述的基于ldap实体数据的域内安全扫描方法。
114.本公开实施例安全检测系统包括处理器以及用于存储处理器可执行指令的存储器。其中，处理器被配置为执行可执行指令时实现前面任一所述的一种基于ldap实体数据的域内安全扫描方法。
115.此处，应当指出的是，处理器的个数可以为一个或多个。同时，在本公开实施例的安全检测系统中，还可以包括输入装置和输出装置。其中，处理器、存储器、输入装置和输出装置之间可以通过总线连接，也可以通过其他方式连接，此处不进行具体限定。
116.输入装置可用于接收输入的数字或信号。其中，信号可以为产生与设备/终端/服务器的用户设置以及功能控制有关的键信号。输出装置可以包括显示屏等显示设备。
117.实施例4
118.根据本公开的另一方面，还提供了一种非易失性计算机可读存储介质，其上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现上述所述的基于ldap实体数据的域内安全扫描方法。
119.非易失性计算机可读存储介质，可用于存储软件程序、计算机可执行程序和各种模块，如：本公开实施例的一种基于ldap实体数据的域内安全扫描方法所对应的程序或模块。处理器通过运行存储在存储器中的软件程序或模块，从而执行安全检测系统的各种功能应用及数据处理。
120.以上已经描述了本公开的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进，或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。