保护 Active Directory 的最佳方案
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
过去十年来,全球各地对计算基础设施的攻击不断增加。 我们生活在网络战争、网络犯罪和黑客主义的时代。 因此,世界各地的组织必须应对信息泄露、知识产权盗窃、拒绝服务 (DDoS) 攻击甚至是摧毁基础设施的行为。
然而,随着多年来的威胁格局发生变化,为应对这些威胁,安全环境也进行了调整。 虽然任何拥有信息技术 (IT) 基础设施的组织都无法完全避免受到攻击,但安全的最终目标不是阻止攻击,而是保护 IT 基础设施免受攻击。 有了正确的策略、流程和控制,便可保护 IT 基础设施的关键部分免受损害。
本文将介绍在 Active Directory (AD) 部署中观察到的最常见漏洞类型。 接下来,我们将为你提供有关如何保护这些弱点免受攻击的建议。 这些建议基于 Microsoft IT (MSIT) 和 Microsoft 信息安全和风险管理 (ISRM) 组织的专业知识。 我们还将介绍可以采取哪些步骤来减少 AD 上易受攻击的基础设施或攻击面暴露在外部世界的程度。 还提供了有关如何恢复重要数据和基础设施功能(如果存在安全性损害)的建议。
常见安全漏洞
为了解如何最好地保护基础设施,首先需要了解攻击最有可能发生的位置及其工作原理。 本文仅介绍一般建议,但如果你想要更详细的介绍,我们提供了指向更深入的文章的链接。
现在,我们来看看最常见的安全漏洞。
常见入口点
初始入侵目标或入口点是攻击者最容易进入 IT 基础设施的区域。 入口点通常是安全或更新中的漏洞,攻击者可以利用这些漏洞来访问基础设施中的系统。 攻击者通常一次启动一两个系统,然后在未检测到的更多系统中传播其影响力时升级攻击。
最常见的漏洞包括:
防病毒和反恶意软件部署方面的差距
未完成修补
过时的应用程序和操作系统
配置错误
缺乏安全的应用程序开发实践
凭据盗窃
凭据盗窃攻击是攻击者使用工具从当前登录的帐户会话中提取凭据来获取对网络上计算机的特权访问。 攻击者通常会转到已提升权限的特定帐户。 攻击者窃取此帐户的凭据,模拟其标识以获取对系统的访问权限。
凭据窃贼通常针对以下类型的帐户:
永久特权帐户
VIP 帐户
附加特权的 Active Directory 帐户
域控制器
影响身份、访问和配置管理的其他基础结构服务,例如公钥基础结构 (PKI) 服务器或系统管理服务器
参与以下行为的高特权帐户用户,其凭据被盗的风险更高:
在不安全的计算机上登录其特权帐户
登录到特权帐户时浏览 Internet
还应避免不良和有风险的配置来保护系统的凭据安全性,例如:
在所有系统中使用相同凭据配置本地特权帐户
将过多用户分配到特权域组,鼓励过度使用。
管理域控制器安全性不足。
有关易受攻击的帐户的详细信息,请参阅吸引凭据盗窃的帐户。
减少 Active Directory 攻击面
可以通过减少 Active Directory 部署上的攻击面来防止攻击。 换句话说,通过减小我们在上一部分中提及的安全漏洞,使部署更安全。
避免授予过高特权
凭据盗窃攻击取决于管理员授予某些帐户过多的特权。 可以阻止这些攻击执行以下操作:
请记住,在 Active Directory 中,默认三个内置组拥有最高特权:Enterprise Admins、Domain Admins 和 Administrators。 请确保采取措施保护这三个组,以及组织授予提升权限的任何其他组。
实施最小特权管理模型。 如果可以避免,请不要对日常管理任务使用高特权帐户。 此外,请确保管理员帐户只有执行作业所需的基线权限,无需额外的特权。 避免向不需要权限的用户帐户授予过多的权限。 请确保不会意外地在多个系统中为帐户提供相同的权限,除非绝对需要。
检查基础设施的以下区域,确保不会向用户帐户授予过多的权限:
Active Directory
成员服务器
工作站
应用程序
数据存储库
有关详细信息,请参阅实施最小特权管理模型。
使用安全管理主机
安全管理主机是配置为支持管理 Active Directory 及其他互连系统的计算机。 这些主机不运行非管理软件,例如电子邮件应用程序、Web 浏览器或生产力软件(如 Microsoft Office)。
在配置安全管理主机时,必须遵循以下一般原则:
切勿从不太受信任的主机管理受信任的系统。
使用特权帐户或执行管理任务时需要多重身份验证。
管理主机的物理安全性与系统和网络安全性一样重要。
有关详细信息,请参阅“实施安全管理主机”。
确保域控制器安全
如果攻击者获得了对域控制器的特权访问权限,则可以修改、损坏和销毁 AD 数据库。 对域控制器的攻击可能会威胁组织内的所有 AD 托管系统和帐户。 因此,请务必采取以下措施,确保域控制器安全:
确保域控制器在其数据中心、分支机构和远程位置内的物理安全。
熟悉域控制器操作系统。
使用内置和自由可用的配置工具配置域控制器,以设置可对组策略对象 (GPO) 强制实施的安全配置基线。
有关详细信息,请参阅保护域控制器免受攻击。
监视 Active Directory 以获取攻击或入侵的迹象
保护 AD 部署安全的另一种方法是监视 AD 部署是否存在恶意攻击或安全破坏的迹象。 可以使用旧的审核类别和审核策略子类别,或使用高级审核策略。 有关详细信息,请参阅审核策略建议。
制定安全泄露
虽然可以保护 AD 免受外部攻击,但任何防御永远不可能真正完美。 除了采取预防措施外,还必须对最坏的情况做出规划。 在针对安全漏洞进行规划时,应遵循“规划泄露”中的准则,尤其是“重新思考方法”部分,还应阅读“维护更安全的环境”。
下面简要介绍规划安全泄露时应执行的操作,如“维护更安全的环境”中所述:
维护更安全的环境
为 AD 创建以业务为中心的安全做法
将业务所有权分配给 AD 数据
实现业务驱动的生命周期管理
将所有 AD 数据分类为系统、应用程序或用户
若要继续阅读有关这些做法的更多详细信息,请参阅“维护更安全的环境”。
安全措施摘要表
下表按优先顺序汇总了本文中列出的建议。 离表底部更近的表是在设置 Active Directory 时,你和你的组织应优先考虑的事项。 但是,还可以根据组织的独特需求调整优先顺序以及如何实施每项措施。
每项措施也根据它是策略性措施、战略性措施、预防性措施还是检测性措施进行分类。 战术性措施侧重于 AD 的特定组件和任何相关的基础设施。 战略性措施更加全面,因此需要更多规划才能实施。 预防性措施可防止恶意参与者的攻击。 检测性措施有助于在安全漏洞发生时检测安全漏洞,然后才能将其传播到其他系统。
| 安全措施 | 战术或战略 | 预防或检测 |
|---|---|---|
| 修补应用程序。 | 战术 | 预防 |
| 修补操作系统。 | 战术 | 预防 |
| 在所有系统中部署并及时更新防病毒和反恶意软件,并监控删除或禁用这些软件的尝试。 | 战术 | 推送、请求和匿名 |
| 监视敏感的 Active Directory 对象是否遭受修改尝试,监视 Windows 中可能表示已尝试入侵的事件。 | 战术 | 检测 |
| 保护和监控有权访问敏感数据的用户的帐户 | 战术 | 两者 |
| 防止在未经授权的系统上使用功能强大的帐户。 | 战术 | 预防 |
| 取消高特权组中的永久成员身份。 | 战术 | 预防 |
| 实施控制以在需要时授予特权组中的临时成员资格。 | 战术 | 预防 |
| 实施安全的管理主机。 | 战术 | 预防 |
| 在域控制器、管理主机和其他敏感系统上使用应用程序允许列表。 | 战术 | 预防 |
| 确定关键资产,并确定其安全性和监视的优先级。 | 战术 | 两者 |
| 实施基于角色的最低权限访问控制,以管理目录、其支持基础结构和加入域的系统。 | 策略性 | 预防 |
| 隔离遗留系统和应用程序。 | 战术 | 预防 |
| 淘汰遗留系统和应用程序。 | 策略性 | 预防 |
| 为自定义应用程序实施安全的开发生命周期计划。 | 策略性 | 预防 |
| 实施配置管理,定期审查合规性,并评估每个新硬件或软件版本的设置。 | 策略性 | 预防 |
| 将关键资产迁移到具有严格安全和监视要求的原始森林。 | 策略性 | 两者 |
| 简化最终用户的安全性。 | 策略性 | 预防 |
| 使用基于主机的防火墙来控制和保护通信。 | 战术 | 预防 |
| 修补设备。 | 战术 | 预防 |
| 为 IT 资产实施以业务为中心的生命周期管理。 | 策略性 | 不适用 |
| 创建或更新事件恢复计划。 | 策略性 | 不可用 |