私募基金成立于21世纪初,专注于科技与工业、消费与健康等领域的投资,在北京、上海、香港等多个金融中心城市设有分支机构,累计资产管理规模超过1500亿元,位列《中国私募股权投资机构100强》前十。

现有AD域面临严峻安全挑战

该基金公司早年部署了Windows AD,多数系统和设备如VPN、网络设备、准入设备等均基于AD做认证,数百台Windows 专业版电脑加域管理并使用AD证书服务,AD影响范围十分广泛。但长期以来,信息安全部门受两大核心问题困扰:

  • AD安全漏洞难解决,攻击事件频发

Windows AD 存在长期无法解决的安全问题。例如,Kerberos TGT黄金票据提权风险、易受攻击的高危端口(135、445)、AD 内用户信息容易被泄漏等等。在最近几年里,该公司遭到了针对AD域的持续恶意攻击,内部安全预警不断,令信息安全部门十分头疼。

  • 运维复杂,依赖高风险远程管理

AD系统管理门槛高,运维团队需要投入大量精力维护,并依赖RDP远程管理,进一步加剧安全隐患。

客户曾考虑升级为Azure AD(现 Microsoft EntraID),但成本高不说,更可能会“水土不服”,难以适应。因此,客户一直在寻找更安全、易管理的本土AD替代方案

采用更安全可靠的宁盾域管替换AD

在了解到宁盾身份域管方案后,该客户针对AD存在的安全漏洞与管理难度对宁盾域管进行了深入调研、对比、测试,最终决定采用宁盾域管来逐渐替换掉Windows AD。为此,宁盾提供了以下落地策略:

  1. 借助宁盾域管循序渐进替换AD功能,不能影响现有AD架构及正常使用;

  2. 为确保用户使用一致性体验,宁盾域管暂时以AD为主认证源,用户继续使用旧的AD密码;

  3. 宁盾域管完成密码学习后,AD下线时用户无感切换至宁盾本地认证;

  4. 宁盾域管提供标准LDAP服务,字段属性兼容性与AD完全一致,VPN、准入等设备可以平滑接入宁盾域管;

  5. 通过安装宁盾NDA客户端实现Windows终端加域管理,支持一键迁移历史数据,确保用户操作简单明了;

  6. 服务端主/备部署,保障域管服务的高可用性和稳定性。

打开网易新闻 查看精彩图片

宁盾域管方案流程图

方案核心价值

  • 安全重构:为客户统一终端管理提供全新国产化技术方案,通过PKI技术体系重构之前AD域信任机制,消除了黄金票据提权、高危端口、LDAP用户泄露等固有风险;

  • 运维简化:无需RDP远程管理,减少暴露面,降低运维门槛;

  • 合规适配:产品认证使用了国密算法,符合等保、密评等合规与安全要求;

  • 密码安全增强:Windows专业版/家庭版均支持动态口令双因子认证登录,进一步解决弱口令、暴力破解等问题;

  • 成本优化:之前只有Windows 专业版才能加入AD域统一管理。使用宁盾域管后,Windows家庭版电脑也能加域(宁盾域)统管,大幅降低专业版采购开支。

客户使用效果

  • 安全水平显著提升:部署后无身份盗用或暴力破解事件,减少AD时期的持续攻击问题;

  • 运维效率提升60%:500台专业版 Windows终端实现统一安全管理,运维工作量大幅减少;

  • 兼容性与扩展性增强:不仅完美替代AD功能,还支持CentOS等非Windows平台;

  • 技术团队高度认可:宁盾安全架构获得客户技术团队高度认可,测试无重大安全问题。

宁盾身份域管以安全、可靠、易扩展的独特优势成为金融、央国企、军工、能源等企业Windows AD替换的优选方案,为本土企业数字化转型、信创转型提供可靠的数字身份安全管理保障。