域内安全检测方法、装置、设备、介质和程序产品与流程

本公开涉及网络安全领域，具体地涉及一种域内安全检测方法、装置、设备、介质和程序产品。

背景技术：

1、随着信息时代的发展，将每台主机独立管理的工作组模式逐渐无法满足业务需求，越来越多的企业和机构使用windows域搭建办公网络，提供便捷的同时，也带来了巨大的安全隐患。

2、在windows域内，域内主机均具备与域控主机的交互权限，每个域账户通常具有多台域主机的管理权限，若遇到域内配置不当导致攻击者可以轻松获取域内高权限账户，攻击者将能够完全渗透整个域。

技术实现思路

1、鉴于上述问题，本公开提供了一种域内安全检测方法、装置、设备、介质和程序产品。

2、根据本公开的第一个方面，提供了一种域内安全检测方法，包括：收集域内与访问控制策略相关的所有数据；将所述所有数据按所属主体分类，得到分类结果，所述主体包括用户、计算机以及组；分别按照所述用户、计算机以及组的分类，根据所述分类结果确定所述域内是否存在安全风险。

3、根据本公开的实施例，所述收集域内与访问控制策略相关的所有数据包括：采集轻量级目录访问协议数据和域控制器的注册表数据；枚举域内机器会话、域内本地安全策略、多个域之间的信任关系以及分布式组件对象模型。

4、根据本公开的实施例，所述分类结果包括所述用户的属性信息、所述计算机的属性信息以及所述组的属性信息；所述用户的属性信息包括节点信息、组成员身份信息、本地管理员权限信息以及对象控制信息；所述计算机的属性信息包括节点信息、本地管理员信息、组成员身份信息、本地管理员权限信息以及对象控制信息；所述组的属性信息包括节点信息、组成员信息、组成员身份信息、本地管理员权限信息以及对象控制信息。

5、根据本公开的实施例，所述方法包括：根据所述域控制器的注册表数据，确定所述用户的节点信息、所述用户的组成员身份信息、所述用户的本地管理员权限信息、所述计算机的节点信息、所述计算机的组成员身份信息、所述组的节点信息、所述组的组成员信息；根据所述轻量级目录访问协议数据，确定所述用户的对象控制信息、所述计算机的本地管理员权限信息；根据所述域内机器会话和所述轻量级目录访问协议数据，确定所述计算机的本地管理员信息；根据所述本地安全策略和所述轻量级目录访问协议数据，确定所述计算机的对象控制信息；根据所述多个域之间的信任关系、分布式组件对象模型和所述轻量级目录访问协议数据，确定所述组的对象控制信息。

6、根据本公开的实施例，所述按照所述用户的分类，根据所述分类结果确定所述域内是否存在安全风险，包括：获取所述域内的高权限用户，所述高权限用户的操作权限高于所述低权限用户的操作权限；根据所述分类结果，判断所述高权限用户所属组用户中是否存在低权限用户；在所述高权限用户所属组用户中不存在低权限用户的情况下，根据所述分类结果，判断所述高权限用户账户登录的设备是否允许低权限账户登录；在所述高权限用户账户登录的设备不允许低权限账户登录的情况下，根据所述分类结果，判断所述高权限用户账户所属对象是否可被低权限账户调用；在所述高权限用户账户所属对象不可被低权限账户调用的情况下，确定所述高权限账户不存在安全风险。

7、根据本公开的实施例，所述按照所述组的分类，根据所述分类结果确定所述域内是否存在安全风险，包括：获取所述域内的高权限组，所述高权限组的操作权限高于所述低权限组的操作权限；根据所述分类结果，判断所述高权限组所属组成员是否存在低权限用户；在高权限组所属组成员中不存在低权限用户的情况下，根据所述分类结果，判断所述高权限组所属管理员设备是否允许低权限账户登录；在所述高权限组所属管理员设备不允许低权限账户登录的情况下，根据所述分类结果，判断所述高权限组所属对象是否可被低权限账户调用；在所述高权限组所属对象不可被低权限用户调用的情况下，确定所述高权限组不存在安全风险。

8、根据本公开的实施例，所述按照所述计算机的分类，根据所述分类结果确定所述域内是否存在安全风险，包括：获取所述域内的高权限计算机，所述高权限计算机的访问控制权限高于所述低权限计算机的访问控制权限；根据所述分类结果，判断所述高权限计算机上可登录用户和管理员中是否存在低权限用户；在所述高权限计算机上可登录用户和管理员中不存在低权限用户的情况下，根据所述分类结果，判断所述高权限计算机本地访问控制列表配置是否正确；在所述高权限计算机本地访问控制列表配置正确的情况下，根据所述分类结果，判断所述高权限计算机证书信任是否正确；在所述高权限计算机证书信任正确的情况下，确定所述高权限组不存在安全风险。

9、本公开的第二方面提供了一种域内安全检测装置，包括：收集模块，用于收集域内与访问控制策略相关的所有数据；分类模块，用于将所述所有数据按所属主体分类，得到分类结果，所述主体包括用户、计算机以及组；确定模块，用于分别按照所述用户、计算机以及组的分类，根据所述分类结果确定所述域内是否存在安全风险。

10、本公开的第三方面提供了一种电子设备，包括：一个或多个处理器；存储器，用于存储一个或多个计算机程序，其中，上述一个或多个处理器执行上述一个或多个计算机程序以实现上述方法的步骤。

11、本公开的第四方面还提供了一种计算机可读存储介质，其上存储有计算机程序或指令，上述计算机程序或指令被处理器执行时实现上述方法的步骤。

12、本公开的第五方面还提供了一种计算机程序产品，包括计算机程序或指令，上述计算机程序或指令被处理器执行时实现上述方法的步骤。

技术特征：

1.一种域内安全检测方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述收集域内与访问控制策略相关的所有数据包括：

3.根据权利要求1所述的方法，其特征在于，所述分类结果包括所述用户的属性信息、所述计算机的属性信息以及所述组的属性信息；

4.根据权利要求1所述的方法，其特征在于，所述方法包括：

5.根据权利要求3所述的方法，其特征在于，所述按照所述用户的分类，根据所述分类结果确定所述域内是否存在安全风险，包括：

6.根据权利要求1所述的方法，其特征在于，所述按照所述组的分类，根据所述分类结果确定所述域内是否存在安全风险，包括：

7.根据权利要求1所述的方法，其特征在于，所述按照所述计算机的分类，根据所述分类结果确定所述域内是否存在安全风险，包括：

8.一种域内安全检测装置，其特征在于，所述装置包括：

9.一种电子设备，包括：

10.一种计算机可读存储介质，其上存储有计算机程序或指令，其特征在于，所述计算机程序或指令被处理器执行时实现根据权利要求1~7中任一项所述方法的步骤。

11.一种计算机程序产品，包括计算机程序或指令，其特征在于，所述计算机程序或指令被处理器执行时实现根据权利要求1~7中任一项所述方法的步骤。

技术总结
本公开提供了一种域内安全检测方法，可以应用于网络安全技术领域。该域内安全检测方法包括：收集域内与访问控制策略相关的所有数据；将所有数据按所属主体分类，得到分类结果，主体包括用户、计算机以及组；分别按照用户、计算机以及组的分类，根据分类结果确定域内是否存在安全风险。本公开还提供了一种域内安全检测装置、设备、存储介质和程序产品。

技术研发人员：李宗霖,何帅,张金涛
受保护的技术使用者：中国工商银行股份有限公司
技术研发日：
技术公布日：2025/3/18