微软AD域替代方案,助力企业摆脱hw期间被攻击的窘境

在红蓝攻防演练(hw行动)中,AD域若被攻击成功,是其中一个扣分最多的一项内容。每年,宁盾都会接到大量AD在hw期间被攻击,甚至是被打穿的企业客户。过去,企业还会借助2FA双因子认证加强OA、Exchange邮箱等重要应用账号密码的安全保护,但随着信创改造范围扩大、步伐加速,采取措施补救AD漏洞均属于治标不治本,企业客户正在寻求能够替代微软AD的国产方案。

微软AD域作为企业的核心身份验证和授权系统,为应用、网络、终端、基础设施(VPN、虚拟桌面)等提供统一身份认证和鉴权。在企业场景中,微软AD的核心功能主要体现在以下6个方面:

1.**应用接入管理:**主要对接LDAP协议的应用,如云桌面、VPN、研发应用等;

2.**终端认证及管理:**Windows操作系统终端的统一接入认证及组策略、桌面管理;

3.**NPS网络准入:**RADIUS协议,如有线网络接入认证;

4.**文件共享:**NAS文件共享、打印机等设备

5.**DNS服务:**域控组织架构信息通过DNS下放

6.**CA证书:**主要用于802.1X证书认证及域控计算机与内网服务器之间建立可信的Https

AD的核心能力必须依赖于微软生态 。国产应用、云应用、操作系统、服务器等等异构化的基础设施组成的新IT架构下,微软AD无法发挥作用,且现代化的IT组织对身份安全 (2FA双因子认证)、身份同步 (对接飞书/企微/钉钉/HR等账号)、单点登录SSO (SaaS、云/本地应用)、多类型终端统一管理(Windows、macOS、Linux、BYOD)等场景的需求增大,微软AD天然不具备这些能力。从这些客户需求来看,微软AD替代有其必然性。

企业在寻找微软AD替代国产方案时,首先要考虑到国产方案的兼容性与开放性 :对微软AD的兼容性,对异构化的IT架构的开放性。保证了兼容性与开放性,那么AD迁移、后续(非)信创产品的选型、对接都将轻松不少。在这方面,宁盾国产化身份域管已经先一步在国内率先实现了高度兼容微软AD、IBM、Apache、OpenLDAP等传统身份管理系统的,同时基于标准LDAP协议自主开发的优势,对于第三方应用、设备的开放性是显而易见的。

在核心能力上,国产化身份域管已经足够成熟。对于接管微软AD的位置,国产身份域管已经积累了大量最佳实践。例如,某大型金融机构在信创改造建设中,借助宁盾国产化身份域管作为微软AD备胎,从外围应用、新购国产操作系统终端到新购信创应用再到核心应用、终端,逐步迁移、对接到宁盾国产身份域管上,逐步减少AD接管的资源,直至AD停止服务或停止使用。此外,鉴于金融行业的特殊性,宁盾国产身份域管还支持异地分布式部署,以保障系统安全可靠。

核心能力之外,国产身份域管还可以叠加其他自选能力模块 ,如2FA双因子认证、身份同步、单点登录SSO、泛终端敏捷准入等,助力企业信息安全建设在现代化的IT架构下更加强壮、有效。

如果您有替换微软AD、新建目录服务的需求,或AD曾被攻击,宁盾国产身份域管将有针对性的解决方案为您排忧解难。

相关推荐
冰茶_11 分钟前
.NET MAUI 发展历程:从 Xamarin 到现代跨平台应用开发框架
学习·microsoft·微软·c#·.net·xamarin
谈不譚网安26 分钟前
CSRF请求伪造
前端·网络安全·csrf
JM丫1 小时前
PWNOS:2.0(vulnhub靶机)
网络安全
极小狐3 小时前
极狐GitLab 项目功能和权限解读
运维·git·安全·gitlab·极狐gitlab
半路_出家ren4 小时前
流量抓取工具(wireshark)
网络·网络协议·测试工具·网络安全·wireshark·流量抓取工具
国科安芯5 小时前
面向高性能运动控制的MCU:架构创新、算法优化与应用分析
单片机·嵌入式硬件·安全·架构·机器人·汽车·risc-v
ALe要立志成为web糕手6 小时前
[BJDCTF2020]EzPHP
web安全·网络安全·php·ctf
迷路的小绅士6 小时前
常见网络安全攻击类型深度剖析(四):跨站脚本攻击(XSS)——分类、漏洞利用与前端安全防护
前端·安全·web安全
自由鬼7 小时前
开源漏洞扫描器:OpenVAS
运维·服务器·安全·网络安全·开源·漏洞管理
Python_金钱豹7 小时前
Text2SQL零代码实战!RAGFlow 实现自然语言转 SQL 的终极指南
前端·数据库·sql·安全·ui·langchain·机器人