Active Directory 安全性评估旨在为你提供特定可操作指南,帮助缓解 Active Directory 和贵组织的安全风险。 此解决方案还为你提供有关哪些 Active Directory 是重要组件的相对于 Microsoft 保护权限访问 (SPA) 建议路线图的进度的状态。
Active Directory 安全评估侧重于几个关键支柱
- 回顾操作流程
- 回顾特权帐户/组成员身份以及常规帐户安全机制
- 回顾林和域信任
- 回顾操作系统配置、安全修补程序和更新级别
- 回顾与 Microsoft 建议指南相比的域和域控制器配置
- 回顾重要 Active Directory 对象权限委派
运行 Active Directory 安全性评估
先决条件
要充分利用通过 Microsoft Engage Center 提供的按需评估,必须:
首先需要设置 Services Hub 连接器,才能配置按需评估。 按照这些说明设置 Services Hub 连接器,连接到 Log Analytics 工作区,然后添加要配置的按需评估。
请参阅按需评估入门文章。
具有以下权限的域帐户(用户或“托管服务帐户”):
- 企业管理员组成员身份或
- 林中每个域的内置管理员组成员身份
- 数据收集计算机上本地管理员组中的成员身份
- 对域控制器参与的所有 Microsoft 域名系统 (DNS) 服务器的管理访问权限
查看先决条件文档以获取 AD 安全评估。 此文档从技术角度详细说明了 AD 安全性评估,以及运行评估所需的服务器准备。 此外,它还介绍了评估收集的不同类型数据。
备注
一般而言,初始配置环境以运行按需评估需要两个小时。 运行评估后,可以在 Azure Log Analytics 中查看数据。 这将为你提供按优先级排序的建议列表,分为六个重点领域。 这样,你和团队就能快速了解风险级别和环境运行状况,采取风险缓解措施,并提升整体 IT 运行状况。*
设置
备注
首先需要设置 Services Hub 连接器,才能配置按需评估。 按照这些说明设置 Services Hub 连接器,连接到 Log Analytics 工作区,然后添加要配置的按需评估。 *
在数据收集计算机上创建以下文件夹:
C:\OMS\ADS(或除C:\ODA之外由系统保留的任何其他文件夹)在“管理员”模式下,打开常规 Powershell(而不是 ISE),并运行以下 cmdlet:
Add-ADSecurityAssessmentTask -WorkingDirectory <workingdirectorypath> command,WorkingDirectory is a path to an existing directory used to store the files created while collecting and analyzing the data from the environmentWorkspace Id – provide id for the Log Analytics workspace that will be used to store the uploaded data提供符合本文前述要求的相应用户帐户凭据。
数据收集由名为 ADSecurityAssessment 的计划任务在上一脚本运行一小时内触发,然后每 7 天触发一次。 可以将任务修改为在其他日期/时间运行,甚至可以强制任务立即运行,具体方法是依次转到“任务计划程序库”->“Microsoft”->“Operations Management Suite”->“AOI***”->“评估”->“ADSecurityAssessment”。
在收集和分析期间,数据临时存储在安装期间配置的工作目录文件夹下。
几小时后,评估结果便会显示在 Log Analytics 和 Microsoft Engage Center 仪表板上。 可以转到查看结果,具体方法为依次转到“Microsoft Engage Center”>“运行状况”>“评估”,然后针对有效评估单击“查看所有建议”。
如果您希望让 Microsoft 认证工程师一起讨论有关 AD 环境的问题,可以联系您的 Microsoft 代表,询问他们有关远程或现场 CE 领导交付的问题。
| 合同 | 远程工程师 | 现场工程师 |
|---|---|---|
| 顶级 | ADS 远程数据表 | ADS 现场数据表 |
| 统一 | ADS 远程数据表 | ADS 现场数据表 |