Снижение уязвимостей Active Directory
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
В этом разделе рассматриваются технические элементы управления для реализации для уменьшения области атаки установки Active Directory. В разделе содержатся следующие сведения:
Реализация наименее привилегированных моделей Администратор istrative Models сосредоточена на выявлении риска использования учетных записей с высоким уровнем привилегий для повседневного администрирования, а также предоставления рекомендаций по внедрению рекомендаций по сокращению рисков, присутствующих в привилегированных учетных записях.
Реализация безопасных Администратор istrative Hosts описывает принципы развертывания выделенных, безопасных административных систем, а также некоторых примеров подходов к развертыванию безопасного административного узла.
Защита контроллеров домена от атак обсуждает политики и параметры, которые, хотя и аналогичны рекомендациям по реализации безопасных административных узлов, содержат некоторые рекомендации по контроллерам домена, которые помогут обеспечить, чтобы контроллеры домена и системы, используемые для управления ими, были хорошо защищены.
Привилегированные учетные записи и группы в Active Directory
В этом разделе содержатся общие сведения о привилегированных учетных записях и группах в Active Directory, предназначенных для объяснения общих особенностей и различий между привилегированными учетными записями и группами в Active Directory. Понимая эти различия, следует ли реализовать рекомендации по реализации наименее привилегированных Администратор строительных моделей или выбрать их настройку для вашей организации, у вас есть инструменты, необходимые для обеспечения безопасности каждой группы и учетной записи соответствующим образом.
Встроенные привилегированные учетные записи и группы
Active Directory упрощает делегирование администрирования и поддерживает принцип наименьшей привилегии при назначении прав и разрешений. Обычные пользователи, имеющие учетные записи в домене, по умолчанию могут читать большую часть того, что хранится в каталоге, но могут изменять только очень ограниченный набор данных в каталоге. Пользователям, которым требуется дополнительная привилегия, может быть предоставлено членство в различных "привилегированных" группах, встроенных в каталог, чтобы они могли выполнять определенные задачи, связанные с их ролями, но не могут выполнять задачи, которые не относятся к их обязанностям. Организации также могут создавать группы, которые зависят от конкретных обязанностей работы и предоставляются детализированные права и разрешения, которые позволяют ИТ-сотрудникам выполнять повседневные административные функции без предоставления прав и разрешений, превышающих необходимые для этих функций.
В Active Directory три встроенные группы — это группы с наивысшими привилегиями в каталоге: корпоративные Администратор, доменные Администратор и Администратор istratorы. Конфигурация и возможности каждой из этих групп по умолчанию описаны в следующих разделах:
Группы с наибольшими привилегиями в Active Directory
Администраторы предприятия
Корпоративные Администратор (EA) — это группа, которая существует только в корневом домене леса, и по умолчанию она является членом группы Администратор istrators во всех доменах в лесу. Встроенная учетная запись Администратор istrator в корневом домене леса является единственным членом группы EA по умолчанию. EAs предоставляются права и разрешения, позволяющие им реализовывать изменения на уровне леса (т. е. изменения, влияющие на все домены в лесу), такие как добавление или удаление доменов, создание доверия к лесу или повышение функциональных уровней леса. В правильно разработанной и реализованной модели делегирования членство EA требуется только при первом создании леса или при внесении определенных изменений на уровне леса, таких как установка доверия к исходящему лесу. Большинство прав и разрешений, предоставленных группе EA, можно делегировать менее привилегированным пользователям и группам.
Администраторы домена
Каждый домен в лесу имеет собственную группу доменных Администратор (DA), которая входит в группу Администратор istratorов этого домена и член локальной группы Администратор istrators на каждом компьютере, присоединенном к домену. Единственным элементом группы DA для домена является встроенная учетная запись Администратор istrator для этого домена. DAs являются "всеми мощными" в своих доменах, а EAs имеют права на уровне леса. В правильно разработанной и реализованной модели делегирования членство в домене Администратор должно требоваться только в сценариях "разбиения" (например, в ситуациях, когда требуется учетная запись с высоким уровнем привилегий на каждом компьютере в домене). Хотя собственные механизмы делегирования Active Directory позволяют делегированию в той степени, в которой можно использовать учетные записи DA только в чрезвычайных ситуациях, создание эффективной модели делегирования может занять много времени, и многие организации используют сторонние средства для ускорения процесса.
Администраторы
Третья группа — это встроенная локальная группа Администратор istrators (BA), в которую вложены DAs и EAs. Эта группа предоставляет множество прямых прав и разрешений в каталоге и на контроллерах домена. Однако группа Администратор istrator для домена не имеет привилегий на серверах-членах или на рабочих станциях. Это через членство в локальной группе Администратор istrators компьютеров, которым предоставлена локальная привилегия.
Примечание.
Хотя это конфигурации этих привилегированных групп по умолчанию, член любой из трех групп может управлять каталогом для получения членства в любой из других групп. В некоторых случаях важно получить членство в других группах, а в других — сложнее, но с точки зрения потенциальной привилегии все три группы должны считаться фактически эквивалентными.
Администраторы схемы
Четвертая привилегированная группа , схема Администратор (SA), существует только в корневом домене леса и имеет только встроенную учетную запись Администратор istrator домена в качестве члена по умолчанию, аналогично группе корпоративных Администратор. Группа "Схема Администратор" предназначена для заполнения только временно и иногда (при необходимости изменения схемы AD DS).
Хотя группа SA является единственной группой, которая может изменить схему Active Directory (т. е. базовые структуры данных каталога, такие как объекты и атрибуты), область прав и разрешений группы SA больше, чем описанные ранее группы. Также часто можно найти, что организации разработали соответствующие методики для управления членством в группе SA, так как членство в группе обычно редко требуется, и только в течение короткого периода времени. Это технически верно для групп EA, DA и BA в Active Directory, но гораздо менее распространено, чтобы найти, что организации реализовали аналогичные методики для этих групп, как для группы SA.
Защищенные учетные записи и группы в Active Directory
В Active Directory набор привилегированных учетных записей и групп с именем "защищенных" учетных записей и групп по умолчанию защищен по-разному, чем другие объекты в каталоге. Любая учетная запись, которая имеет прямое или транзитивное членство в любой защищенной группе (независимо от того, является ли членство производным от групп безопасности или рассылки) наследует эту ограниченную безопасность.
Например, если пользователь является членом группы рассылки, которая, в свою очередь, является членом защищенной группы в Active Directory, этот объект пользователя помечается как защищенная учетная запись. Если учетная запись помечена как защищенная учетная запись, значение атрибута adminCount в объекте имеет значение 1.
Примечание.
Хотя транзитивное членство в защищенной группе включает вложенное распределение и вложенные группы безопасности, учетные записи, которые являются членами вложенных групп рассылки, не получат идентификатор безопасности защищенной группы в маркерах доступа. Однако группы рассылки можно преобразовать в группы безопасности в Active Directory, поэтому группы рассылки включены в перечисление защищенных членов группы. Если защищенная вложенная группа рассылки когда-либо будет преобразована в группу безопасности, учетные записи, которые являются членами бывшей группы распространения, впоследствии получат идентификатор безопасности родительской защищенной группы в маркерах доступа на следующем входе.
В следующей таблице перечислены защищенные учетные записи и группы по умолчанию в Active Directory по версии операционной системы и уровню пакета обновления.
Защищенные учетные записи и группы по умолчанию в Active Directory по операционной системе и версии пакета обновления (SP)
| Windows 2000 <с пакетом обновления 4 (SP4) | Windows 2000 с пакетом обновления 4 (SP4) — Windows Server 2003 | Windows Server 2003 с пакетом обновления 1 (SP1) | Windows Server 2008 -Windows Server 2012 |
|---|---|---|---|
| Администраторы | Операторы учета | Операторы учета | Операторы учета |
| Администратор | Администратор | Администратор | |
| Администраторы | Администраторы | Администраторы | |
| Администраторы домена | Операторы архива | Операторы архива | Операторы архива |
| Издатели сертификатов | |||
| Администраторы домена | Администраторы домена | Администраторы домена | |
| Администраторы предприятия | Контроллеры доменов | Контроллеры доменов | Контроллеры доменов |
| Администраторы предприятия | Администраторы предприятия | Администраторы предприятия | |
| Krbtgt | Krbtgt | Krbtgt | |
| Операторы печати | Операторы печати | Операторы печати | |
| Контроллеры домена только для чтения | |||
| Репликатор | Репликатор | Репликатор | |
| Администраторы схемы | Администраторы схемы | Администраторы схемы |
Администратор SDHolder и SDProp
В системном контейнере каждого домена Active Directory автоматически создается объект с именем Администратор SDHolder. Цель объекта Администратор SDHolder — обеспечить согласованное применение разрешений для защищенных учетных записей и групп независимо от того, где находятся защищенные группы и учетные записи.
Каждые 60 минут (по умолчанию) процесс, известный как дескриптор распространения дескриптора безопасности (SDProp), выполняется на контроллере домена, который содержит роль эмулятора PDC домена. SDProp сравнивает разрешения для объекта Администратор SDHolder домена с разрешениями на защищенные учетные записи и группы в домене. Если разрешения для любой из защищенных учетных записей и групп не соответствуют разрешениям для объекта Администратор SDHolder, разрешения для защищенных учетных записей и групп сбрасываются в соответствии с разрешениями объекта Администратор SDHolder домена.
Наследование разрешений отключено в защищенных группах и учетных записях, что означает, что даже если учетные записи или группы перемещаются в разные расположения в каталоге, они не наследуют разрешения от новых родительских объектов. Наследование также отключено для объекта Администратор SDHolder, чтобы разрешения на изменения родительских объектов не изменяли разрешения Администратор SDHolder.
Примечание.
Если учетная запись удаляется из защищенной группы, она больше не считается защищенной учетной записью, но его атрибут adminCount остается равным 1, если он не изменен вручную. Результатом этой конфигурации является то, что списки управления доступом объекта больше не обновляются SDProp, но объект по-прежнему не наследует разрешения от родительского объекта. Таким образом, объект может находиться в подразделении , к которому были делегированы разрешения, но ранее защищенный объект не наследует эти делегированные разрешения. Скрипт для поиска и сброса ранее защищенных объектов в домене можно найти в служба поддержки Майкрософт статье 817433.
владение Администратор SDHolder
Большинство объектов в Active Directory принадлежат группе BA домена. Однако объект Администратор SDHolder по умолчанию принадлежит группе DA домена. (Это обстоятельства, в которых DAs не получают свои права и разрешения через членство в группе Администратор istrators для домена.)
В версиях Windows до Windows Server 2008 владельцы объекта могут изменять разрешения объекта, включая предоставление себе разрешений, которые они изначально не имели. Таким образом, разрешения по умолчанию для объекта Администратор SDHolder домена запрещают пользователям, которые являются членами групп BA или EA, изменять разрешения для объекта Администратор SDHolder домена. Однако члены группы Администратор istrator для домена могут взять на себя владение объектом и предоставить себе дополнительные разрешения, что означает, что эта защита является удручающей и защищает объект только от случайного изменения пользователями, которые не являются членами группы DA в домене. Кроме того, группы BA и EA (где применимо) имеют разрешение на изменение атрибутов объекта Администратор SDHolder в локальном домене (корневом домене для EA).
Примечание.
Атрибут объекта Администратор SDHolder dSHeuristics позволяет ограничить настройку (удаление) групп, которые считаются защищенными группами и затронуты Администратор SDHolder и SDProp. Эту настройку следует тщательно учитывать, если она реализована, хотя существуют допустимые обстоятельства, в которых изменение dSHeuristics на Администратор SDHolder полезно. Дополнительные сведения об изменении атрибута dSHeuristics в объекте Администратор SDHolder можно найти в статьях служба поддержки Майкрософт 817433 и в приложении C: Защищенные учетные записи и группы в Active Directory.
Хотя здесь описаны наиболее привилегированные группы в Active Directory, существует ряд других групп, которым предоставлен повышенный уровень привилегий. Дополнительные сведения обо всех стандартных и встроенных группах в Active Directory и правах пользователя, назначенных каждому, см . в приложении B: Привилегированные учетные записи и группы в Active Directory.