AD域将企业内网中的所有资源对象集中到域控上，存储在AD数据库中，采用DNS规则命名，方便管理的同时提高安全性。

这一篇文章中，我们先给大家介绍下AD域服务的应用环境——域，在了解清楚域的形成和结构之后，才能对AD域服务的功能有更深入的理解。

在企业办公场景中，经常需要部门间互相共享资源，如果每与其它计算机通信一次，都要经过一次身份验证，会大大影响部门间的协调性，影响办公效率。

如果我们简单地关闭身份验证服务，将会导致计算机面临严重的安全风险，这种方法得不偿失。最好是与企业内部计算机通信时能够免去身份验证，而与外部计算机通信时依然保留身份验证服务。

这就需要在内部员工计算机间构建信任关系，建立了信任关系的计算机连起来就形成域。域外计算机与域内计算机通信需要进行身份验证，不同域的域计算机通信前需建立信任关系。当以域为单位建立信任关系时，可以在两域中的所有计算机间进行免验证通信。

而企业员工只需注册成域用户，在任一台域计算机上登录，就能与其它域用户通信。

这其实与单点登录的功能类似。单点登录中，用户只需进行一次身份验证，就能访问所有服务器。在域中，域用户只需要在登录时进行一次身份验证，就能与其它域用户进行免验证通信。

这个对用户进行身份验证的服务器就是域控制器（DC），简称域控。

域控是集中存储域内所有资源对象及其属性的服务器。如果把域内资源对象看作团队成员，域控就相当于团队的领导者，所有人都要听它安排，所有事情都要给它汇报，包括对象信息变动、权限划分、资源分配等。

比如，企业中有新员工入职时，就要在域控上给他注册一个账号。该账号作为他进行域内活动的唯一凭证，关联他的所有信息，包括工作岗位、电话号码、对域内资源的使用权限等。

也正因此，黑客侵入企业内网后，都会想方设法横向移动到域控主机，夺取其控制权，进而掌握域内所有资源信息。

更为棘手的是，假使黑客攻破了域控主机，删除其上存储的全部信息，并破坏域控主机的正常功能，那么即使企业能够检测查杀入侵活动，也无法恢复正常业务功能。

这种情况下，我们通常会通过部署额外域控的方式来降低风险。顾名思义，额外域控就是在在已经存在一个域控的基础上，又多设置的域控。

我们只要将主域控上的信息备份到额外域控，并同步更新，那么在主域控发生故障时，就能用额外域控暂时代替主域控，保证信息系统的正常运行。

除此之外，额外域控还有一个重要作用，就是提高效率，它可以在有许多域用户要求提供服务时，替主域控分担压力，由它来响应部分用户的请求，从而提高企业整体效率。

除了以上提到的两种类型，还有一种只能读不能写的域控，简称只读域控（RODC）

在只读域控管辖的域范围，用户只能进行登录验证和查找资源，而无法修改资源信息和配置组策略等，一般在企业的分支机构中应用较多。

当分支机构与中心内网间断开联系，用户无法通过中心域控登录，为了不影响他的正常工作，就由中心域控将用户信息拷贝到只读域控上，用户就能通过只读域控验证登录。

这样，就能保证分支机构的权限不必过大，也能正常运行。

域控作为域内资源管理的主导者，拥有极大的权限，也经常成为攻击者侵入企业内网的目标。保护内网安全，我们必须加强对域控的防护。

作为一台集中管理资源的设备，单一域控的承载能力是有限的，当域内用户数量达到它的承载极限时，为了满足需求，需要在其下再划分一个域。

新划分的域从旧域中衍生出来，与旧域建立了双向传递的信任关系，两者共享同一个存储结构和配置。因为他们间存在上下层次的依赖关系，一般我们将旧域称为父域，新域称为子域。

父域和子域形成连续的名字空间，同一名字空间的域连成域树。通常将第一个创建的域作为树根，其它随后创建的域就作为树的枝干延伸。每一个子域都用其上父域的名字作为域名后缀，比如，父域的名称是zawx.com时,子域的名称可能为a.zawx.com。

当内网中形成了多棵域树，会给管理增加困难。实际上，不管划分了多少片域形成了多少棵域树，他们都是属于同一个企业的。我们可以将企业中的所有域树连起来，用统一的活动目录管理，这就形成了域林。

“林”中的所有“树”共享同一个存储结构、配置和全局目录。通常将“林”中第一个创建的域作为根域，根域相当于“林”的主人，能够管理其它域，并在其上存储部分其它域的资源。

“林”中的域用户登录后，不仅可以与本域用户进行免验证通信，还能与林中其它域用户免验证通信。甚至在其它域赋予权限后，能查找及使用它域的资源。

简单来说，域树、域林是多个域的集合，从概念上来看，域树、域林代表了更大范围的信任联系，能协调更多部门间的通信和资源使用关系，更大程度上提高企业整体的协作效率。

以上篇章中，我们为大家讲解了域、域控和域树、域林。在企业中应用时，通常将每个子公司单独划分成域，由子公司管理，再在各个域间建立双向传递的信任关系形成域树、域林，由企业统一管理。

实际上，域树域林的形成是借助了活动目录强大的拓展性。活动目录（AD）在内网管理中的优势不限于此，还有很多值得探索的地方，下一篇文章中，我们将给大家详细介绍AD域服务的功能。

8月31日，云驰未来正式发布国内首款车规级 5G 自动驾驶车载中央网关 L3000。为汽车信息化、智能化以及自动化搭起一座桥梁。

智能化时代，现代汽车配置大量内部与外部通信系统，比如，保险扛中的微型传感器（我们俗称的前后雷达）可以帮助我们安全停车；汽车胎压监测系统可以实时检测汽车轮胎状态；安全气囊可以有效的保护我们生命。中央网关模块互连了用于动力总成，驾驶员辅助，底盘，车身和便利性控制的所有车载电子控制单元，它在汽车安全体系结构中扮演着十分重要的角色——“通信枢纽”。 

作为汽车互联的“通信枢纽”汽车中央网关任重道远，目前国内市场已有一些成熟企业专精于此。云驰未来从2018 年参与百度阿波罗安全需求起步，逐渐成长为自动驾驶安全领域的领军企业。作为百度阿波罗深度合作伙伴，云驰未来安全设备和百度阿波罗自动驾驶做了深度安全策略集成，成为百度自动驾驶系统的重要组成部分。

据了解，本次发布的车载中央网关 L3000 在业界有着领先技术：面向新电子电器架构开发，采用全车规器件选型和标准接口，集成车规以太网、5G/C-V2X、Wi-Fi/BT、高精度 GNSS/IMU 等模块，旨在为智能网联汽车提供网联安全能力，能够支持车云、车车、车路协同，同时可作为边缘计算设备解决整车算力不足的问题。

新一代自动驾驶车载中央网关 L3000

发布会上，云驰未来 CEO 曾剑隽介绍，L3000 采用全车规级国产芯片、车规级接口和协议、铝制鳍状被动散热设计；提供包括 20 路 CAN-FD、8 路车载以太网接口、4路 LIN、多路 PWM 采集和输出、多路 ADC 采集和 DAC 输出、多路高边驱动和低边驱动等丰富外设接口；内部构建了主动免疫安全框架，可基于法律法规及应用实践动态优化安全策略；提供多样、稳定的网联能力，面向电子电器架构整合数据面和控制面，保障系统和业务实时、可靠、安全运行。

云驰未来 CEO 曾剑隽

国内将出台汽车信息安全草案，留给汽车工业的时间不多了

传统汽车安全主要指的是功能安全（Safety ），如果要破坏一辆车，主要通过物理的方式去破坏。自动驾驶和 5G 技术兴起以后，汽车形成万物互联，带来了功能安全（Safety ）和信息安全（Security）的融合需求。曾剑隽认为，未来的汽车会带来安全保证（Assurance)的概念，在产品准入上会对汽车有不同等级的安全保证要求。

各国均在推动汽车安全准入法规落地。2021 年 2 月 5 日，根据联合国秘书长的通告，UNECE WP.29 于 2020 年 6 月通过的三项具有里程碑意义的联合国车辆法规已于 2021 年 1 月 22 日正式生效。该法规亦被称为"WP.29 信息安全法规"，规定部分类别车辆需通过 CSMS 信息安全管理体系认证及车辆型式审批。传统汽

车生产强国据此发布了实施计划时间表。如欧盟要求从 2022 年 7 月 1 日起，所有在欧盟上市的新车必须通过信息安全强检。

曾剑隽认为，一旦政府推出 WP.29 信息安全法规中国版实施时间表，行业留给汽车工业的时间不多了，自动驾驶安全产业也会随之爆发。云驰未来作为第三方已经具备了相关能力并打造了领先的技术和产品，能够帮助客户在迈入智能网联汽车时代的实现完善汽车信息安全体系。

8月31日，云驰未来正式发布国内首款车规级 5G 自动驾驶车载中央网关 L3000。为汽车信息化、智能化以及自动化搭起一座桥梁。

智能化时代，现代汽车配置大量内部与外部通信系统，比如，保险扛中的微型传感器（我们俗称的前后雷达）可以帮助我们安全停车；汽车胎压监测系统可以实时检测汽车轮胎状态；安全气囊可以有效的保护我们生命。中央网关模块互连了用于动力总成，驾驶员辅助，底盘，车身和便利性控制的所有车载电子控制单元，它在汽车安全体系结构中扮演着十分重要的角色——“通信枢纽”。 

作为汽车互联的“通信枢纽”汽车中央网关任重道远，目前国内市场已有一些成熟企业专精于此。云驰未来从2018 年参与百度阿波罗安全需求起步，逐渐成长为自动驾驶安全领域的领军企业。作为百度阿波罗深度合作伙伴，云驰未来安全设备和百度阿波罗自动驾驶做了深度安全策略集成，成为百度自动驾驶系统的重要组成部分。

据了解，本次发布的车载中央网关 L3000 在业界有着领先技术：面向新电子电器架构开发，采用全车规器件选型和标准接口，集成车规以太网、5G/C-V2X、Wi-Fi/BT、高精度 GNSS/IMU 等模块，旨在为智能网联汽车提供网联安全能力，能够支持车云、车车、车路协同，同时可作为边缘计算设备解决整车算力不足的问题。

新一代自动驾驶车载中央网关 L3000

发布会上，云驰未来 CEO 曾剑隽介绍，L3000 采用全车规级国产芯片、车规级接口和协议、铝制鳍状被动散热设计；提供包括 20 路 CAN-FD、8 路车载以太网接口、4路 LIN、多路 PWM 采集和输出、多路 ADC 采集和 DAC 输出、多路高边驱动和低边驱动等丰富外设接口；内部构建了主动免疫安全框架，可基于法律法规及应用实践动态优化安全策略；提供多样、稳定的网联能力，面向电子电器架构整合数据面和控制面，保障系统和业务实时、可靠、安全运行。

云驰未来 CEO 曾剑隽

国内将出台汽车信息安全草案，留给汽车工业的时间不多了

传统汽车安全主要指的是功能安全（Safety ），如果要破坏一辆车，主要通过物理的方式去破坏。自动驾驶和 5G 技术兴起以后，汽车形成万物互联，带来了功能安全（Safety ）和信息安全（Security）的融合需求。曾剑隽认为，未来的汽车会带来安全保证（Assurance)的概念，在产品准入上会对汽车有不同等级的安全保证要求。

各国均在推动汽车安全准入法规落地。2021 年 2 月 5 日，根据联合国秘书长的通告，UNECE WP.29 于 2020 年 6 月通过的三项具有里程碑意义的联合国车辆法规已于 2021 年 1 月 22 日正式生效。该法规亦被称为"WP.29 信息安全法规"，规定部分类别车辆需通过 CSMS 信息安全管理体系认证及车辆型式审批。传统汽

车生产强国据此发布了实施计划时间表。如欧盟要求从 2022 年 7 月 1 日起，所有在欧盟上市的新车必须通过信息安全强检。

曾剑隽认为，一旦政府推出 WP.29 信息安全法规中国版实施时间表，行业留给汽车工业的时间不多了，自动驾驶安全产业也会随之爆发。云驰未来作为第三方已经具备了相关能力并打造了领先的技术和产品，能够帮助客户在迈入智能网联汽车时代的实现完善汽车信息安全体系。

8月26日，2021北京网络安全大会(简称BCS2021)以云峰会形式盛大启幕。

Coremail作为邮件行业领军者受邀参会，Coremail技术副总裁林延中在线上进行了主题为《邮件安全协议Bypass：新型电子邮件发信人伪造攻击与防范的研究》的分享。此次的分享，指出了当前的一系列新型发件人伪造攻击问题，并给出了关键的处理建议。

Coremail具有丰富的邮件安全经验。从2000年开始，Coremail一直致力于邮件反垃圾工作。CAC云安全中心每日支撑服务客户数量高达25000家，日均反垃圾分析请求量高达3千万封,日均截获高危恶意邮件超过100万。

我们看到，邮件安全正面临着严峻的形势！根据Coremail论客与奇安信统计的2020年全国企业级邮箱用户收到钓鱼邮件、病毒邮件的监测数据：

2020年共收到垃圾邮件约3,946.4亿封，约占企业级用户邮件收发总量的59.42%，其中包括病毒和钓鱼邮件，仅有4成为正常邮件。

2017-2020年，钓鱼邮件与病毒邮件的数量均呈逐年上升的趋势；2020年收到钓鱼邮件460.92亿封，病毒邮件492.16封；预计2021年，两者均会超过500亿封！

在这样严峻的背景下，钓鱼邮件、病毒邮件如果伪装成可信的发件人，攻击力度将更为严重！

发信人伪造例子

WebUI不显示任何欺骗警报

欺骗电子邮件通过所有电子邮件安全协议验证

此前，Coremail与清华大学、奇安信等合著的论文《Weak Links in Authentication Chains: A Large-scale Analysis of Email SenderSpoofing Attacks》（译作《验证链中的薄弱环节研究: 电子邮件发件人伪造攻击的大规模分析》）已对伪造发信人的钓鱼邮件攻击进行过研究。

值得一提的是，这一成果已发表于国际网络安全领域顶级会议USENIX Security 2021上。

该研究通过对30个目标电邮服务端的发件人攻击实验，发现30家电子邮件服务商，以及多个邮件客户端，都存在不同程度的缺陷，无法正确识别发信人伪造攻击。

对于这一项研究结论，多个邮件服务商均给予了积极的回应！

#1、阿里云：

对这些研究中提到的攻击很感兴趣，并且现在已经认识到在没有验证的情况下就添加DKIM签名的风险，并承诺会评估和修复此类问题。

#2、新浪邮箱：

将我们研究中提出的问题评估为高风险的脆弱性，并在内部评估相应的保护措施。并给予了一定的奖励。

#3、Gmail:

对我们的研究内容表示赞同，并将在随后的更新中修复相关问题。并且表示后续会联系我们，讨论这些安全问题背后的基本原因。

#4、163、QQ邮箱

感谢我们在研究中的工作，并告知我们将通过反垃圾邮件策略来解决这些安全问题。

大会上，Coremail技术副总裁林延中先生基于Coremail对邮件安全技术的实践，全面解析发信人伪造攻击的根本原因，并提出了一系列处置建议。

Coremail研究发现，邮件发信人能伪造成功的根本原因有以下3点：

1、多协议之间的弱关联

SPF、DKIM和DMARC被提出和标准化，以防止来自不同方面的电子邮件欺骗攻击。然而，只有当所有协议都执行良好时，电子邮件系统才能防止电子邮件欺骗攻击。在此基于链的身份验证结构中，任何链路的失败都会导致身份验证链无效

2、多角色之间的弱关联

身份验证发件人的身份是一个复杂的过程。它涉及四个重要的角色：发件人、接收人、转发器和UI渲染器。许多电子邮件服务并没有在所有四个角色中实施正确的安全策略。

3、多服务之间的弱关联

不同的电子邮件服务通常有不同的配置和实现。一些服务禁止发送标题不明确的电子邮件，但可以接收它们。相反，另一些邮件允许发送标题含糊的电子邮件，但在接收验证阶段进行非常严格的检查。安全策略之间的差异使得攻击者能够从具有松散发送策略的服务，向具有松散接收策略的服务发送欺骗电子邮件

基于以上问题，我们需要：

1、更确切的标准

提供更准确的电子邮件协议描述，以消除多方协议实践中的不一致性。例如，DKIM标准应指定何时应向转发的电子邮件中添加DKIM签名。转发商添加DKIM签名以提高电子邮件的可信度是合理的；但是，他们不应该向从未通过DKIM验证的电子邮件中添加DKIM签名。

2、更好的用户界面通知

电子邮件UI需要呈现更多的身份验证细节，帮助普通用户很难判断电子邮件的真实性。

所以，Coremail的建议防御方案如下:

１）针对Mail From和From的不一致，由管理员配置是否允许

２）若邮件来源为空，SPF严格支持对HELO的校验

３）可设置拒绝多个From的邮件，严格的协议解析

４）UI显示邮件验证的异常提示

目前， Coremail 已经采用了此方案，并在邮件的网页端和客户端为用户实施了该方案。此外，研究团队还在 Github 上发布了测试工具，供电子邮件管理员评估和提高他们的安全性。

当然，想要更全面地防御邮件安全攻击，需要形成安全生态体系，没有任何一家企业能够独立解决全部安全问题。同时，要形成全球同感知，需要更多研究者加入进来，共同研究邮件安全的状态与趋势。

8月26日，2021北京网络安全大会(简称BCS2021)以云峰会形式盛大启幕。

Coremail作为邮件行业领军者受邀参会，Coremail技术副总裁林延中在线上进行了主题为《邮件安全协议Bypass：新型电子邮件发信人伪造攻击与防范的研究》的分享。此次的分享，指出了当前的一系列新型发件人伪造攻击问题，并给出了关键的处理建议。

Coremail具有丰富的邮件安全经验。从2000年开始，Coremail一直致力于邮件反垃圾工作。CAC云安全中心每日支撑服务客户数量高达25000家，日均反垃圾分析请求量高达3千万封,日均截获高危恶意邮件超过100万。

我们看到，邮件安全正面临着严峻的形势！根据Coremail论客与奇安信统计的2020年全国企业级邮箱用户收到钓鱼邮件、病毒邮件的监测数据：

2020年共收到垃圾邮件约3,946.4亿封，约占企业级用户邮件收发总量的59.42%，其中包括病毒和钓鱼邮件，仅有4成为正常邮件。

2017-2020年，钓鱼邮件与病毒邮件的数量均呈逐年上升的趋势；2020年收到钓鱼邮件460.92亿封，病毒邮件492.16封；预计2021年，两者均会超过500亿封！

在这样严峻的背景下，钓鱼邮件、病毒邮件如果伪装成可信的发件人，攻击力度将更为严重！

发信人伪造例子

WebUI不显示任何欺骗警报

欺骗电子邮件通过所有电子邮件安全协议验证

此前，Coremail与清华大学、奇安信等合著的论文《Weak Links in Authentication Chains: A Large-scale Analysis of Email SenderSpoofing Attacks》（译作《验证链中的薄弱环节研究: 电子邮件发件人伪造攻击的大规模分析》）已对伪造发信人的钓鱼邮件攻击进行过研究。

值得一提的是，这一成果已发表于国际网络安全领域顶级会议USENIX Security 2021上。

该研究通过对30个目标电邮服务端的发件人攻击实验，发现30家电子邮件服务商，以及多个邮件客户端，都存在不同程度的缺陷，无法正确识别发信人伪造攻击。

对于这一项研究结论，多个邮件服务商均给予了积极的回应！

#1、阿里云：

对这些研究中提到的攻击很感兴趣，并且现在已经认识到在没有验证的情况下就添加DKIM签名的风险，并承诺会评估和修复此类问题。

#2、新浪邮箱：

将我们研究中提出的问题评估为高风险的脆弱性，并在内部评估相应的保护措施。并给予了一定的奖励。

#3、Gmail:

对我们的研究内容表示赞同，并将在随后的更新中修复相关问题。并且表示后续会联系我们，讨论这些安全问题背后的基本原因。

#4、163、QQ邮箱

感谢我们在研究中的工作，并告知我们将通过反垃圾邮件策略来解决这些安全问题。

大会上，Coremail技术副总裁林延中先生基于Coremail对邮件安全技术的实践，全面解析发信人伪造攻击的根本原因，并提出了一系列处置建议。

Coremail研究发现，邮件发信人能伪造成功的根本原因有以下3点：

1、多协议之间的弱关联

SPF、DKIM和DMARC被提出和标准化，以防止来自不同方面的电子邮件欺骗攻击。然而，只有当所有协议都执行良好时，电子邮件系统才能防止电子邮件欺骗攻击。在此基于链的身份验证结构中，任何链路的失败都会导致身份验证链无效

2、多角色之间的弱关联

身份验证发件人的身份是一个复杂的过程。它涉及四个重要的角色：发件人、接收人、转发器和UI渲染器。许多电子邮件服务并没有在所有四个角色中实施正确的安全策略。

3、多服务之间的弱关联

不同的电子邮件服务通常有不同的配置和实现。一些服务禁止发送标题不明确的电子邮件，但可以接收它们。相反，另一些邮件允许发送标题含糊的电子邮件，但在接收验证阶段进行非常严格的检查。安全策略之间的差异使得攻击者能够从具有松散发送策略的服务，向具有松散接收策略的服务发送欺骗电子邮件

基于以上问题，我们需要：

1、更确切的标准

提供更准确的电子邮件协议描述，以消除多方协议实践中的不一致性。例如，DKIM标准应指定何时应向转发的电子邮件中添加DKIM签名。转发商添加DKIM签名以提高电子邮件的可信度是合理的；但是，他们不应该向从未通过DKIM验证的电子邮件中添加DKIM签名。

2、更好的用户界面通知

电子邮件UI需要呈现更多的身份验证细节，帮助普通用户很难判断电子邮件的真实性。

所以，Coremail的建议防御方案如下:

１）针对Mail From和From的不一致，由管理员配置是否允许

２）若邮件来源为空，SPF严格支持对HELO的校验

３）可设置拒绝多个From的邮件，严格的协议解析

４）UI显示邮件验证的异常提示

目前， Coremail 已经采用了此方案，并在邮件的网页端和客户端为用户实施了该方案。此外，研究团队还在 Github 上发布了测试工具，供电子邮件管理员评估和提高他们的安全性。

当然，想要更全面地防御邮件安全攻击，需要形成安全生态体系，没有任何一家企业能够独立解决全部安全问题。同时，要形成全球同感知，需要更多研究者加入进来，共同研究邮件安全的状态与趋势。