导读
| 插件/组件/服务 | 主动防御 | 实时防护 | 事后审查 | 本地 | 混合 |
|---|---|---|---|---|---|
| AD 强密码策略插件 | ✅ | ✅ | ✅ | ||
| AD 密码自助重置/解锁 | ✅ | ✅ | ✅ | ✅ | |
| AD 账号弱密码扫描工具 | ✅ | ✅ | ✅ | ||
| OWA 图形验证码 | ✅ | ✅ | ✅ | ||
| OWA 双因素登录 | ✅ | ✅ | ✅ | ||
| OWA 水印 | ✅ | ✅ | ✅ | ✅ |
# AD 安全加固
# AD 密码自助重置/自助解锁
为什么使用自助服务密码重置
- 降低成本 支持协助密码重置通常占组织 IT 开支的 20%
- 提供用户体验 用户不希望每次忘记密码时需要呼叫帮助台,花费 10 分钟在电话服务上
- 降低帮助台容量 密码管理对于大多数组织来说是最大的单个帮助台事件
- 启用移动性 用户可从任何位置重置密码
功能特点
- 集成三大帐号操作功能 修改密码,重置密码,智能帐号解锁,
- 多设备支持,支持中英文双语切换 页面自适应 PC 浏览器,移动端浏览器
- 防信息遍历 匿名方式遍历企业用户名和手机号码
- 自动判断锁定状态 自动判断帐号锁定状态给出最佳恢复方案
- 从哪里来回哪里去 方便嵌入任何基于微软活动目录表单登录的页面,从哪里跳转过来,完成恢复后可跳转回原登录入口
- 客户化界面配置
- 背景图片
- 标题文字
- 页脚注释/支持信息(支持 HTML)
- 客户化密码策略配置(输入实时检测)
- 是否允许 N 位连续相同字符
- 是否允许包含空格
- 密码最短位数,最长位数
- 是否允许包含登录名,显示名
- 是否允许包含简单密码(自定义黑名单检查)
- 必须包含大写、小写、数字、特殊字符中的 N 种组合
- 短信验证码安全级别配置
- 6 位数字
- 6 位数字/字母
- 用户日志配置
- 标准日志(提供系统排错,文本方式)
- 高级日志(需要数据库支持,包括用户操作)
# AD 账号弱密码口令扫描工具
- 渗透测试服务是在用户授权的条件下,对应用系统进行非破坏性攻击的安全测试,例如:AD 帐号进行弱口令扫描发现隐藏的安全隐患和安全风险,为客户输出渗透测试报告和整改加固建议
- 可以达到 10 分钟内扫描数万弱口令。
# AD 账号密码到期提醒服务
- 使用电子邮件和短信向用户发送有关密码到期的提醒。
- 支持配置为分阶段发送多个通知,以确保用户在密码到期之前看到报警并采取必要的措施。
- 支持基于 OU 和组的过滤功能,可讲提醒发送给所有用户或特定的用户组。
- 提供您将发送给用户的所有通知的摘要报告汇总并通过电子邮件发送给管理员
- 支持多域,多森林环境
- 自定义报警发送间隔和提醒方式 密码提醒会按指定时间间隔通过电子邮件或(和)短信自动发送给用户
- 基于 OU 和组的过滤功能 可将提醒发送给所有用户和特定用户组
- 提醒摘要报告 发送给用户的所有通知中整体摘要将汇总通过电子邮件发送给指定管理员,以便可以确定潜在问题并在提前解决它们。
- 自定义通知模板 更加企业需要自定义短信和邮件报警模板
# AD 强密码策略(常用密码过滤)插件
- 部署在活动目录服务器上的密码安全增强插件
- 支持客户化配置不接受的易攻破密码
- 常见密码列表(例如:1234.com ,Password01!,!QAZ1qaz)
- 不得出现连续 3 个相同字符
- 密码必须包含 4 种字符(大写,小写,数字,符号)中的2类或4类。
- 对各种修改密码途径都有效
- 管理员新建帐号,帐号重置密码
- 用户通过 Ctrl+Alt+Del 修改密码
- 用户通过 OWA,或自己开发的页面修改密码
- 基于微软标准的 Password Filters 功能开发
- 域控制器收到明文密码时,会被插件截取,并按配置做检查
- 如果不符合要求则直接拒绝
- 如果符合要求则继续由系统完成
- 系统会记录相应的日志,供管理员审计查询
# Exchange 安全加固
# OWA 图形验证码
- 为 Outlook 网页版(OWA)登录提供人机验证服务,登录密码加密传输保护
- 有效降低暴力破解用户名密码风险
- 采用后端验证机制,嵌入 OWA 验证模块中
工作原理:
- 访问 OWA 登录页,返回带有服务器端生成验证码的登录页面
- 用户输入用户名和密码以及验证码并在在客户端中被加密提交给服务器
- 提交信息被“图形验证码插件”截获
- 首先验证验证码是否正确?如果不正确,返回“ 验证码为空或验证码错误” 提示;
- 通过验证码验证后,解密用户名和密码后,提交给原生 OWA 验证接口
- 验证通过,转入 OWA 邮件页面
- 安装插件后,任何方式都无法绕过,直接访问微软 OWA 验证模块
# OWA 双因素登录(微信/短信/动态口令)
- 适用于本地部署或混合部署使用 ADFS 的环境
- 一套本地部署 Exchange 2010-2019 的 OWA 登陆支持双因素认证登陆解决方案。(无需 Azure 订阅)
- 一次性密码 OTP 动态令牌/手机短信
- 支持动态密码生成器的移动客户端
- 谷歌身份验证器 (Google Authenticator)
- 阿里云 身份宝(ID Sec)
- Exchange 服务器无需与 Google 服务器通信
- 组件:用户注册与绑定,密钥管理, ExMFA for OWA 插件
视频演示
下方的视频将会带您完整体验 OWA 微信扫码登录在不同平台用户端的操作和功能。
# OWA 水印
随着手机等移动智能设备的普及,随手拍照、截屏等成为数据外泄的一个重要途径。传统的数据防泄露方案无法有效地防止此类场景下的数据扩散和泄露。此外,企业员工信息安全意识普遍较低,除了集中式的安全意识培训外,还需要通过触发式、场景化的方式进行及时提醒,以防范无意识的被动泄密。
OWA 水印解决方案,能够根据用户的 Email 和 登录名及 IP 地址等信息,自动生成水印。
水印本身不影响 OWA 的正常使用。
水印样式及内容支持自定义
← IT 运维分析