Active Directory 安全性按需评估入门

  • 项目

Active Directory 安全性评估旨在为你提供特定可操作指南,帮助缓解 Active Directory 和贵组织的安全风险。 此解决方案还为你提供有关哪些 Active Directory 是重要组件的相对于 Microsoft 保护权限访问 (SPA) 建议路线图的进度的状态。

Active Directory 安全评估侧重于以下几个关键支柱,包括:

  • 回顾操作流程
  • 回顾特权帐户/组成员身份以及常规帐户安全机制
  • 回顾林和域信任
  • 回顾操作系统配置、安全修补程序和更新级别
  • 回顾与 Microsoft 建议指南相比的域和域控制器配置
  • 回顾重要 Active Directory 对象权限委派

运行 Active Directory 安全性评估

先决条件

为了充分利用通过服务中心提供的按需评估,你必须:

  1. 已将有效 Azure 订阅链接到服务中心,并添加了 AD 安全性评估。 有关详细信息,请参阅:按需评估文档入门或观看链接方法视频
  2. 具有以下权限的域帐户(用户或“托管服务帐户”):
    • 企业管理员组成员身份
    • 林中每个域的内置管理员组成员身份。
    • 数据收集计算机上本地管理员组中的成员身份。
    • 对域控制器参与的所有 Microsoft 域名系统 (DNS) 服务器的管理访问权限。
  3. 查看先决条件文档以获取 AD 安全评估。 此文档从技术角度详细说明了 AD 安全性评估,以及运行评估所需的服务器准备。 此外,它还介绍了评估收集的不同类型数据。

              备注:一般而言,初始配置环境以运行按需评估需要两个小时。 运行评估后,可以在 Azure Log Analytics 中查看数据。 这将为你提供按优先级排序的建议列表,分为六个重点领域。 这使你和你的团队能够快速了解风险级别、环境的运行状况,采取措施来降低风险并改善整体的 IT 运行状况。

设置 AD 安全评估

备注:只有在将 Azure 订阅链接到 Services Hub,并从 Services Hub 内的“IT 运行状况”->“按需评估”中添加 AD 安全评估后,才能成功设置评估。

  1. 在数据收集计算机上创建以下文件夹:C:\OMS\ADS(或除 C:\ODA 之外由系统保留的任何其他文件夹)

  2. 在“管理员”模式下,打开常规 Powershell(而不是 ISE),并运行以下 cmdlet:

    Add-ADSecurityAssessmentTask -WorkingDirectory <workingdirectorypath> command,

                  WorkingDirectory 是现有目录的路径,用于存储在从环境中收集和分析数据时创建的文件。

                  Workspace Id – 为将用于存储上传数据的 Log Analytics 工作区提供 ID。

  3. 提供符合本文前述要求的相应用户帐户凭据。

  4. 数据收集由名为 ADSecurityAssessment 的计划任务在上一脚本运行一小时内触发,然后每 7 天触发一次。 可以将任务修改为在其他日期/时间运行,甚至可以强制任务立即运行,具体方法是依次转到“任务计划程序库”->“Microsoft”->“Operations Management Suite”->“AOI***”->“评估”->“ADSecurityAssessment”。

  5. 在收集和分析期间,数据临时存储在安装期间配置的工作目录文件夹下。

  6. 几小时后,评估结果便会显示在 Log Analytics 和服务中心仪表板上。 可以导航查看结果,具体方法为依次转到“Services Hub”>“运行状况”>“评估”,再单击有效评估的“查看所有建议”。

  7. 如果您希望让 Microsoft 认证工程师一起讨论有关 AD 环境的问题,可以联系您的 Microsoft 代表,询问他们有关远程或现场 CE 领导交付的问题。

合同 远程工程师 现场工程师
顶级               ADS 远程数据表               ADS 现场数据表
统一               ADS 远程数据表               ADS 现场数据表