Поделиться через


Снижение уязвимостей Active Directory

В этом разделе рассматриваются технические элементы управления для реализации для уменьшения области атаки установки Active Directory. В разделе содержатся следующие сведения:

  • Реализация административных моделей с наименьшими привилегиями сосредоточена на выявлении риска использования высоко привилегированных учетных записей для повседневного администрирования, а также предоставления рекомендаций по внедрению рекомендаций по сокращению рисков, присутствующих в привилегированных учетных записях.

  • Реализация безопасных административных узлов описывает принципы развертывания выделенных, безопасных административных систем, а также некоторых примеров подходов к развертыванию безопасного административного узла.

  • Защита контроллеров домена от атак обсуждает политики и параметры, которые, хотя и аналогичны рекомендациям по реализации безопасных административных узлов, содержат некоторые рекомендации по контроллерам домена, которые помогут обеспечить, чтобы контроллеры домена и системы, используемые для управления ими, были хорошо защищены.

Привилегированные учетные записи и группы в Active Directory

В этом разделе содержатся общие сведения о привилегированных учетных записях и группах в Active Directory, предназначенных для объяснения общих особенностей и различий между привилегированными учетными записями и группами в Active Directory. Понимая эти различия, следует ли реализовать рекомендации в реализации подробных инструкций по реализации административных моделей с наименьшими привилегиями или выбрать их настройку для вашей организации, у вас есть инструменты, необходимые для обеспечения безопасности каждой группы и учетной записи соответствующим образом.

Встроенные привилегированные учетные записи и группы

Active Directory упрощает делегирование администрирования и поддерживает принцип наименьшей привилегии при назначении прав и разрешений. Обычные пользователи, имеющие учетные записи в домене, по умолчанию могут читать большую часть того, что хранится в каталоге, но могут изменять только очень ограниченный набор данных в каталоге. Пользователям, которым требуется дополнительная привилегия, может быть предоставлено членство в различных "привилегированных" группах, встроенных в каталог, чтобы они могли выполнять определенные задачи, связанные с их ролями, но не могут выполнять задачи, которые не относятся к их обязанностям. Организации также могут создавать группы, которые зависят от конкретных обязанностей работы и предоставляются детализированные права и разрешения, которые позволяют ИТ-сотрудникам выполнять повседневные административные функции без предоставления прав и разрешений, превышающих необходимые для этих функций.

В Active Directory три встроенные группы являются группами с наивысшими привилегиями в каталоге: администраторы предприятия, администраторы домена и администраторы. Конфигурация и возможности каждой из этих групп по умолчанию описаны в следующих разделах:

Группы с наибольшими привилегиями в Active Directory

Администраторы предприятия

Администраторы предприятия (EA) — это группа, которая существует только в корневом домене леса, и по умолчанию она является членом группы "Администраторы" во всех доменах в лесу. Встроенная учетная запись администратора в корневом домене леса является единственным членом группы EA по умолчанию. EAs предоставляются права и разрешения, позволяющие им реализовывать изменения на уровне леса (т. е. изменения, влияющие на все домены в лесу), такие как добавление или удаление доменов, создание доверия к лесу или повышение функциональных уровней леса. В правильно разработанной и реализованной модели делегирования членство EA требуется только при первом создании леса или при внесении определенных изменений на уровне леса, таких как установка доверия к исходящему лесу. Большинство прав и разрешений, предоставленных группе EA, можно делегировать менее привилегированным пользователям и группам.

Администраторы домена

Каждый домен в лесу имеет собственную группу администраторов домена (DA), которая входит в группу администраторов этого домена и член локальной группы администраторов на каждом компьютере, присоединенном к домену. Единственный член группы DA по умолчанию для домена — встроенная учетная запись администратора для этого домена. DAs являются "всеми мощными" в своих доменах, а EAs имеют права на уровне леса. В правильно разработанной и реализованной модели делегирования членство администраторов домена должно требоваться только в сценариях "разбиения" (например, в ситуациях, когда требуется учетная запись с высоким уровнем привилегий на каждом компьютере в домене). Хотя собственные механизмы делегирования Active Directory позволяют делегированию в той степени, в которой можно использовать учетные записи DA только в чрезвычайных ситуациях, создание эффективной модели делегирования может занять много времени, и многие организации используют сторонние средства для ускорения процесса.

Администраторы

Третья группа — это встроенная группа локальных администраторов домена (BA), в которую вложены DAs и EAs. Эта группа предоставляет множество прямых прав и разрешений в каталоге и на контроллерах домена. Однако группа администраторов для домена не имеет привилегий на серверах-членах или на рабочих станциях. Это через членство в локальной группе администраторов компьютеров, которым предоставлена локальная привилегия.

Примечание.

Хотя это конфигурации этих привилегированных групп по умолчанию, член любой из трех групп может управлять каталогом для получения членства в любой из других групп. В некоторых случаях важно получить членство в других группах, а в других — сложнее, но с точки зрения потенциальной привилегии все три группы должны считаться фактически эквивалентными.

Администраторы схемы

Четвертая привилегированная группа, администраторы схемы (SA), существует только в корневом домене леса и имеет только встроенную учетную запись администратора домена в качестве члена по умолчанию, аналогично группе администраторов предприятия. Группа "Администраторы схемы" предназначена для заполнения только временно и иногда (при необходимости изменения схемы AD DS).

Хотя группа SA является единственной группой, которая может изменить схему Active Directory (т. е. базовые структуры данных каталога, такие как объекты и атрибуты), область прав и разрешений группы SA более ограничена, чем ранее описанные группы. Также часто можно найти, что организации разработали соответствующие методики для управления членством в группе SA, так как членство в группе обычно редко требуется, и только в течение короткого периода времени. Это технически верно для групп EA, DA и BA в Active Directory, но гораздо менее распространено, чтобы найти, что организации реализовали аналогичные методики для этих групп, как для группы SA.

Защищенные учетные записи и группы в Active Directory

В Active Directory набор привилегированных учетных записей и групп с именем "защищенных" учетных записей и групп по умолчанию защищен по-разному, чем другие объекты в каталоге. Любая учетная запись, которая имеет прямое или транзитивное членство в любой защищенной группе (независимо от того, является ли членство производным от групп безопасности или рассылки) наследует эту ограниченную безопасность.

Например, если пользователь является членом группы рассылки, которая, в свою очередь, является членом защищенной группы в Active Directory, этот объект пользователя помечается как защищенная учетная запись. Если учетная запись помечена как защищенная учетная запись, значение атрибута adminCount в объекте имеет значение 1.

Примечание.

Хотя транзитивное членство в защищенной группе включает вложенное распределение и вложенные группы безопасности, учетные записи, которые являются членами вложенных групп рассылки, не получат идентификатор безопасности защищенной группы в маркерах доступа. Однако группы рассылки можно преобразовать в группы безопасности в Active Directory, поэтому группы рассылки включены в перечисление защищенных членов группы. Если защищенная вложенная группа рассылки когда-либо будет преобразована в группу безопасности, учетные записи, которые являются членами бывшей группы распространения, впоследствии получат идентификатор безопасности родительской защищенной группы в маркерах доступа на следующем входе.

В следующей таблице перечислены защищенные учетные записи и группы по умолчанию в Active Directory по версии операционной системы и уровню пакета обновления.

Защищенные учетные записи и группы по умолчанию в Active Directory по операционной системе и версии пакета обновления (SP)

Windows 2000 <с пакетом обновления 4 (SP4) Windows 2000 с пакетом обновления 4 (SP4) — Windows Server 2003 Windows Server 2003 с пакетом обновления 1 (SP1) Windows Server 2008 -Windows Server 2012
Администраторы Операторы учета Операторы учета Операторы учета
Администратор Администратор Администратор
Администраторы Администраторы Администраторы
Администраторы домена Операторы архива Операторы архива Операторы архива
Издатели сертификатов
Администраторы домена Администраторы домена Администраторы домена
Администраторы предприятия Контроллеры доменов Контроллеры доменов Контроллеры доменов
Администраторы предприятия Администраторы предприятия Администраторы предприятия
Krbtgt Krbtgt Krbtgt
Операторы печати Операторы печати Операторы печати
Контроллеры домена только для чтения
Репликатор Репликатор Репликатор
Администраторы схемы Администраторы схемы Администраторы схемы
AdminSDHolder и SDProp

В системном контейнере каждого домена Active Directory автоматически создается объект adminSDHolder. Цель объекта AdminSDHolder — обеспечить согласованное применение разрешений на защищенные учетные записи и группы независимо от того, где находятся защищенные группы и учетные записи.

Каждые 60 минут (по умолчанию) процесс, известный как дескриптор распространения дескриптора безопасности (SDProp), выполняется на контроллере домена, который содержит роль эмулятора PDC домена. SDProp сравнивает разрешения для объекта AdminSDHolder домена с разрешениями на защищенные учетные записи и группы в домене. Если разрешения для любой из защищенных учетных записей и групп не соответствуют разрешениям объекта AdminSDHolder, разрешения для защищенных учетных записей и групп сбрасываются, чтобы соответствовать разрешениям объекта AdminSDHolder домена.

Наследование разрешений отключено в защищенных группах и учетных записях, что означает, что даже если учетные записи или группы перемещаются в разные расположения в каталоге, они не наследуют разрешения от новых родительских объектов. Наследование также отключено для объекта AdminSDHolder, чтобы разрешения на изменения родительских объектов не изменяли разрешения AdminSDHolder.

Примечание.

Если учетная запись удаляется из защищенной группы, она больше не считается защищенной учетной записью, но его атрибут adminCount остается равным 1, если он не изменен вручную. Результатом этой конфигурации является то, что списки управления доступом объекта больше не обновляются SDProp, но объект по-прежнему не наследует разрешения от родительского объекта. Таким образом, объект может находиться в подразделении , к которому были делегированы разрешения, но ранее защищенный объект не наследует эти делегированные разрешения. Скрипт для поиска и сброса ранее защищенных объектов в домене можно найти в служба поддержки Майкрософт статье 817433.

Права владения adminsdHolder

Большинство объектов в Active Directory принадлежат группе BA домена. Однако объект AdminSDHolder по умолчанию принадлежит группе DA домена. (Это обстоятельства, в которых DAs не получают свои права и разрешения через членство в группе администраторов для домена.)

В версиях Windows до Windows Server 2008 владельцы объекта могут изменять разрешения объекта, включая предоставление себе разрешений, которые они изначально не имели. Таким образом, разрешения по умолчанию для объекта AdminSDHolder домена запрещают пользователям, которые являются членами групп BA или EA, изменять разрешения для объекта AdminSDHolder домена. Однако члены группы "Администраторы" для домена могут взять на себя владение объектом и предоставить себе дополнительные разрешения, что означает, что эта защита является рудиментной и защищает объект только от случайного изменения пользователями, которые не являются членами группы DA в домене. Кроме того, группы BA и EA (где применимо) имеют разрешение на изменение атрибутов объекта AdminSDHolder в локальном домене (корневой домен для EA).

Примечание.

Атрибут объекта AdminSDHolder dSHeuristics разрешает ограниченную настройку (удаление) групп, которые считаются защищенными группами, и затрагиваются adminSDHolder и SDProp. Эту настройку следует тщательно рассмотреть, если она реализована, хотя существуют допустимые обстоятельства, в которых изменение dSHeuristics в AdminSDHolder полезно. Дополнительные сведения об изменении атрибута dSHeuristics в объекте AdminSDHolder см. в статьях 817433 служба поддержки Майкрософт и в приложении C: защищенные учетные записи и группы в Active Directory.

Хотя здесь описаны наиболее привилегированные группы в Active Directory, существует ряд других групп, которым предоставлен повышенный уровень привилегий. Дополнительные сведения обо всех стандартных и встроенных группах в Active Directory и правах пользователя, назначенных каждому, см . в приложении B: Привилегированные учетные записи и группы в Active Directory.