Начало работы с оценками по запросу безопасности Active Directory
Оценка безопасности Active Directory предлагает конкретные действия для устранения рисков безопасности для вашей организации и Active Directory. Кроме того, это решение также позволяет увидеть ваш прогресс в соответствии с рекомендованным Майкрософт стратегическим планом Securing Privilege Access (SPA), в котором Active Directory является критически важным компонентом.
Оценка безопасности Active Directory сосредоточена на определении нескольких ключевых показателей, включая следующие:
- Проверка рабочих процессов
- Проверка привилегированных учетных записей/членства в группах, а также регулярная санация учетных записей
- Проверка доверия в домене и лесу
- Проверка конфигурации операционной системы, исправлений безопасности и уровней обновления
- Проверка конфигурации домена и контроллера домена на соответствие рекомендация Майкрософт
- Проверка делегирования разрешений ключевых объектов Active Directory
Выполнение оценки безопасности Active Directory
Предварительные требования
Чтобы получить полную отдачу от оценок по запросу, выполняемых через Центр служб, необходимо выполнение следующих условий.
- Добавлена ссылка активной подписки Azure в Центр служб и добавлена оценка безопасности AD. Дополнительные сведения см. в статье: Начало работы с оценками по запросу или в обучающем видео как создавать ссылки.
- Учетная запись домена (учетная запись пользователя или учетная запись управляемой службы) со следующими правами:
- Членство в группе администраторов предприятия ИЛИ
- членство в группе встроенных учетных записей администратора для каждого домена в лесу.
- Членство в группе локальных администраторов на компьютере по сбору данных.
- Административный доступ ко всем серверам системы имен доменов (DNS) Майкрософт, в которых задействованы контроллеры домена.
- Возможность просматривать Документы по предварительным требованиям для оценки безопасности AD.* В этом документе приведен подробный разбор технической документации по оценке безопасности AD, а также этапам подготовки сервера для проведения оценки. В нем также задокументированы различные типы данных, собираемые во время оценки.
Примечание. В среднем первоначальная настройка среды для запуска оценки по запросу занимает около двух часов. После запуска оценки можно просматривать данные в Azure Log Analytics. Они представляют собой разбитый по приоритетам список рекомендаций, отнесенных к шести приоритетным областям. Это позволит вам и вашей группе быстро выяснить уровни рисков и работоспособности своей среды, а затем направить усилия на снижение рисков и улучшение работоспособности всей ИТ-среды.
Настройка оценки безопасности AD:
Примечание. Успешная настройка оценки возможна только после привязки вашей подписки Azure к Центру служб и добавления туда оценки AD Security в разделе Работоспособность ИТ-среды –> Оценки по запросу в Центре служб.
На компьютере для сбора данных создайте следующую папку:
C:\OMS\ADS(или любую другую папку, кромеC:\ODA, зарезервированную системой).Откройте обычный Powershell (не ISE) в режиме администратора и выполните следующий командлет:
Add-ADSecurityAssessmentTask -WorkingDirectory <workingdirectorypath> command,WorkingDirectory– это путь к существующей директории, который используется для хранения файлов, созданных в ходе сбора и анализа данных из среды.Workspace Idукажите идентификатор рабочей области Log Analytics, которая будет использоваться для хранения отправленных данных.Предоставляет необходимые учетные данные, удовлетворяющие требованиям, которые упоминались ранее в этой статье.
Сбор данных запускается через запланированную задачу под названием ADSecurityAssessment в течение часа с момента исполнения предыдущего сценария и затем каждые 7 дней. Задание можно изменять, чтобы оно выполнялось в другую дату/время, или даже принудительно выполнять его немедленный запуск из библиотеки планировщика заданий, перейдя в раздел -> Microsoft -> Operations Management Suite > AOI*** > Оценки > Оценка AD Security.
Во время сбора и анализа данные временно хранятся в каталоге Рабочей директории, который был задан во время процедуры настройки.
Через несколько часов результаты вашей оценки появятся в Log Analytics и на панели мониторинга Центра служб. Вы можете просмотреть результаты, последовательно открыв «Центр служб» > «Работоспособность» > «Оценки», а затем нажав кнопку «Просмотреть все рекомендации» напротив активной оценки.
Если вы хотите, чтобы аккредитованный инженер Microsoft обсудил с вами проблемы, связанные с вашей средой AD, вы можете связаться с вашим представителем Microsoft и спросить его об удаленной или локальной доставке CE.
| соглашение | Удаленная оценка с привлечением специалиста | Локальная оценка с привлечением специалиста |
|---|---|---|
| Premier | Таблица удаленной оценки ADS* | Таблица локальной оценки ADS* |
| Единая | Таблица удаленной оценки ADS* | Таблица локальной оценки ADS* |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по