实现安全管理主机

  • 项目

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

安全管理主机是专门为创建安全平台而配置的工作站或服务器,特权帐户可以从这些平台在 Active Directory 中或在域控制器、已加入域的系统以及已加入域的系统上运行的应用程序上执行管理任务。 在这种情况下,"特权帐户"不仅指是 Active Directory 中特权组的成员的帐户,还指已委派权限和允许执行管理任务的任何帐户。

这些帐户可能是能够重置域中大多数用户的密码的技术支持帐户、用于管理 DNS 记录和区域的帐户,或用于配置管理的帐户。 安全管理主机专用于管理功能,它们不运行电子邮件应用程序、Web 浏览器或生产力软件(如 Microsoft Office)。

虽然"特权最大的"帐户和组应相应地受到最严格的保护,但这并不意味着保护特权高于标准用户帐户权限的任何帐户和组。

安全管理主机可以是仅用于管理任务的专用工作站、运行 远程桌面网关 服务器角色的成员服务器以及 IT 用户连接到其中以执行目标主机管理的服务器,或运行 Hyper-V 角色并提供唯一虚拟机供每个 IT 用户用于其管理任务的服务器。 在许多环境中,可以实施所有三种方法的组合。

实现安全管理主机需要符合组织规模、管理做法、风险偏好和预算的规划和配置。 此处提供了实现安全管理主机的注意事项和选项,供你用于制定适合组织的管理策略。

创建安全管理主机的原则

若要有效地保护系统免受攻击,应记住一些一般原则:

  1. 切勿管理受信任的系统 (,即,安全服务器(如域控制器) 来自不太受信任的主机 (,即,其保护程度与它管理) 的系统不一样。

  2. 执行特权活动时,不应依赖单个身份验证因素;也就是说,不应将用户名和密码组合视为可接受的身份验证,因为只表示 (一) 因素。 应考虑在管理方案中生成、缓存或存储凭据的位置。

  3. 尽管当前威胁环境中的大多数攻击都利用恶意软件和恶意黑客攻击,但设计和实现安全管理主机时,请勿忽略物理安全性。

帐户配置

即使组织当前不使用智能卡,也应考虑为特权帐户和安全管理主机实施智能卡。 管理主机应配置为要求所有帐户使用智能卡登录,只需修改 GPO 中的以下设置,该设置将链接到包含管理主机的 US:

计算机配置\策略\Windows 设置\本地策略\安全选项\交互式登录:需要智能卡

此设置将要求所有交互式登录都使用智能卡,而不考虑 Active Directory 中单个帐户的配置。

还应将安全管理主机配置为仅允许授权帐户(可在:

计算机配置\策略\Windows 设置\本地策略\安全设置\本地策略\用户权限分配

这会授予交互式 (,并在适当远程桌面服务) 仅向安全管理主机的授权用户授予登录权限。

物理安全性

若要将管理主机视为可信,必须像管理的系统一样对管理主机进行配置和保护。 保护域控制器免受攻击中提供的大多数建议也适用于用于管理域控制器和受攻击AD DS主机。 在大多数环境中实现安全管理系统的一个难题是,物理安全性可能更难实现,因为这些计算机通常位于与数据中心托管的服务器不安全的区域(如管理用户的桌面)。

物理安全性包括控制对管理主机的物理访问。 在小型组织中,这可能意味着你维护一个专用的管理工作站,该工作站在不使用时会锁定在办公室或抽屉中。 或者,这可能意味着,当需要执行 Active Directory 或域控制器的管理时,可以直接登录到域控制器。

在中型组织中,可以考虑实施安全管理"跳转服务器",这些服务器位于办公室的安全位置,在需要管理 Active Directory 或域控制器时使用。 还可以实现管理工作站,这些工作站在不使用时(带或不带跳转服务器)锁定在安全位置。

在大型组织中,可以部署数据中心托管的跳转服务器,以提供对 Active Directory 的严格控制访问权限;域控制器;和 文件、打印或应用程序服务器。 跳转服务器体系结构的实现很可能包括大型环境中的安全工作站和服务器的组合。

无论组织的规模和管理主机的设计如何,都应保护物理计算机免受未经授权的访问或盗窃,并且应该使用 BitLocker 驱动器加密 加密和保护管理主机上的驱动器。 在管理主机上实现 BitLocker,即使主机被盗或磁盘被删除,也可以确保未经授权的用户无法访问驱动器上的数据。

操作系统版本和配置

出于本文档前面所述的原因,所有管理主机(无论是服务器还是工作站)都应运行组织使用中最新的操作系统。 通过运行当前操作系统,你的管理人员可以受益于操作系统中引入的新安全功能、完整的供应商支持和其他功能。 此外,在评估新操作系统时,首先将其部署到管理主机时,需要熟悉它提供的新功能、设置和管理机制,随后可以利用这些功能、设置和管理机制来规划操作系统的更广泛的部署。 到时,组织中最复杂的用户也将是熟悉新操作系统并最适合支持它的用户。

Microsoft 安全配置向导

如果将跳转服务器作为管理主机策略的一部分实现,则应该使用内置的安全配置向导来配置服务、注册表、审核和防火墙设置,以减少服务器的攻击面。 收集并配置安全配置向导配置设置后,这些设置可以转换为 GPO,用于在所有跳转服务器上强制实施一致的基线配置。 可以进一步编辑 GPO,实现特定于跳转服务器的安全设置,并且可以将所有设置与从 Microsoft 安全合规性管理器提取的其他基线设置组合在一起。

Microsoft 安全合规管理器

Microsoft 安全合规性管理器是一种免费可用的工具,它根据操作系统版本和角色配置集成 Microsoft 建议的安全配置,并将其收集到可用于为域控制器创建和配置基线安全设置的单个工具和 UI 中。 Microsoft 安全符合性管理器模板可以与安全配置向导设置结合使用,为跳转服务器生成全面的配置基线,这些服务器由部署在跳转服务器位于 Active Directory 中的 GPU 上部署的 GPO 强制实施。

备注

撰写本文时,Microsoft 安全符合性管理器不包括特定于跳转服务器或其他安全管理主机的设置,但安全合规管理器 (SCM) 仍可用于为管理主机创建初始基线。 但是,若要正确保护主机,应应用适用于高度安全的工作站和服务器的其他安全设置。

AppLocker

应该通过 AppLocker 或第三方应用程序限制软件为管理主机和虚拟机配置脚本、工具和应用程序。 任何不遵循安全设置的管理应用程序或实用工具都应升级或替换为遵循安全开发和管理做法的工具。 在管理主机上需要新工具或其他工具时,应全面测试应用程序和实用程序,如果该工具适合在管理主机上部署,可以添加到系统的 中。

RDP 限制

尽管具体的配置因管理系统的体系结构而异,但应限制哪些帐户和计算机可用于建立与托管系统的 远程桌面协议 (RDP) 连接,例如使用 远程桌面网关 (RD 网关) 跳转服务器来控制授权用户和系统对域控制器和其他托管系统的访问。

应允许授权用户进行交互式登录,并删除甚至阻止服务器访问不需要的其他登录类型。

修补和配置管理

较小的组织可能依赖于 Windows 更新或 Windows Server Update Services (WSUS) 等产品/服务来管理对 Windows 系统的更新部署,而较大的组织可能实现企业修补程序和配置管理软件,例如Microsoft Endpoint Configuration Manager。 无论使用何种机制将更新部署到常规服务器和工作站填充,都应考虑针对高度安全的系统(如域控制器、证书颁发机构和管理主机)单独进行部署。 通过从常规管理基础结构中分离这些系统,如果管理软件或服务帐户遭到入侵,则攻击无法轻松扩展到基础结构中最安全的系统。

尽管不应为安全系统实施手动更新过程,但应配置单独的基础结构来更新安全系统。 即使在非常大的组织中,通常也可通过专用 WSUS 服务器和 GPO 为安全系统实现此基础结构。

阻止 Internet 访问

不应允许管理主机访问 Internet,也不能浏览组织的 Intranet。 不应在管理主机上允许使用 Web 浏览器和类似的应用程序。 可以通过外围防火墙设置、WFAS 配置和安全主机上的"黑孔"代理配置的组合来阻止安全主机的 Internet 访问。 还可使用应用程序允许列表来防止在管理主机上使用 Web 浏览器。

虚拟化

如果可能,请考虑将虚拟机作为管理主机实现。 使用虚拟化,可以创建集中存储和管理的、在不使用时可以轻松关闭的每个用户管理系统,确保凭据不会在管理系统上保持活动状态。 还可以要求每次使用后将虚拟管理主机重置为初始快照,确保虚拟机保持不活动状态。 以下部分提供有关管理主机虚拟化选项的详细信息。

实现安全管理主机的示例方法

无论如何设计和部署管理主机基础结构,都应记住本主题前面"创建安全管理主机的原则"中提供的准则。 此处所述的每种方法都提供有关如何分离 IT 员工使用的"管理"和"生产力"系统的一般信息。 生产力系统是 IT 管理员用于检查电子邮件、浏览 Internet 以及使用常规生产力软件(如 Microsoft Office)。 管理系统是经过强化且专用于 IT 环境日常管理的计算机。

实现安全管理主机的最简单方法就是为 IT 人员提供可以执行管理任务的安全工作站。 在仅工作站实现中,每个管理工作站都用于启动管理工具和 RDP 连接来管理服务器和其他基础结构。 仅工作站实现可以在较小的组织中有效,尽管更大、更复杂的基础结构可能受益于使用专用管理服务器和工作站的管理主机的分布式设计,如本主题稍后的"实现安全管理工作站和跳转服务器"中所述。

实现单独的物理工作站

实现管理主机的一种方式是向每个 IT 用户发出两个工作站。 一个工作站与"常规"用户帐户一起用于执行检查电子邮件和使用生产力应用程序等活动,而第二个工作站严格专用于管理功能。

对于生产力工作站,可以给 IT 人员提供常规用户帐户,而不是使用特权帐户登录到不安全的计算机。 管理工作站应配置严格控制的配置,IT 人员应使用不同的帐户登录到管理工作站。

如果已实现智能卡,则管理工作站应配置为需要智能卡登录,并且应该为 IT 人员提供单独的帐户以用于管理,还配置为要求使用智能卡进行交互式登录。 应如前文所述强化管理主机,并且应仅允许指定的 IT 用户在本地登录到管理工作站。

优点

通过实现单独的物理系统,可以确保每台计算机都针对其角色进行适当配置,并且 IT 用户不会无意中使管理系统面临风险。

缺点

  • 实现单独的物理计算机会增加硬件成本。

  • 使用用于管理远程系统的凭据登录到物理计算机将凭据缓存在内存中。

  • 如果管理工作站未安全地存储,则它们可能会容易受到物理硬件密钥记录器或其他物理攻击等机制的攻击。

使用虚拟化生产力工作站实现安全物理工作站

在此方法中,为 IT 用户提供了一个安全的管理工作站,用户可以使用它来执行日常管理功能,使用远程服务器管理工具 (RSAT) 或与它们职责范围内的服务器的 RDP 连接。 当 IT 用户需要执行工作效率任务时,他们可以通过 RDP 连接到作为虚拟机运行的远程生产力工作站。 应该为每个工作站使用单独的凭据,并应实现智能卡等控件。

优点

  • 管理工作站和生产力工作站是分离的。

  • 使用安全工作站连接到工作效率工作站的 IT 人员可以使用单独的凭据和智能卡,而不是在不太安全的计算机上存放特权凭据。

缺点

  • 实现解决方案需要设计和实现工作,并使用可靠的虚拟化选项。

  • 如果物理工作站没有安全地存储,则可能很容易受到破坏硬件或操作系统的物理攻击,并使其容易遭受通信拦截。

实现单个安全工作站,使其连接到不同的 "生产力" 和 "管理" 虚拟机

在此方法中,你可以向其用户颁发一个被锁定的单个物理工作站,并按前面所述进行锁定,并在其上用户不具有特权访问权限。 你可以提供与托管在专用服务器上的虚拟机的远程桌面服务连接,为 IT 人员提供运行电子邮件和其他工作效率应用程序的虚拟机,以及配置为用户的专用管理主机的第二个虚拟机。

对于虚拟机,你应需要智能卡或其他多因素登录,并使用不同于登录到物理计算机的帐户以外的帐户。 IT 用户登录到物理计算机后,他们可以使用其工作效率智能卡连接到其远程生产力计算机,并使用单独的帐户和智能卡连接到其远程管理计算机。

优点

  • IT 用户可以使用单个物理工作站。

  • 通过要求对虚拟机使用单独的帐户并使用虚拟机的远程桌面服务连接,不会在本地计算机的内存中缓存 IT 用户的凭据。

  • 物理主机的安全级别与管理主机相同,从而降低了本地计算机的安全可能性。

  • 如果 IT 用户的生产力虚拟机或其管理虚拟机可能已泄露,则可以轻松地将虚拟机重置为 "已知良好" 状态。

  • 如果物理计算机遭到破坏,则不会在内存中缓存任何特权凭据,使用智能卡可以防止击键记录器泄露凭据。

缺点

  • 实现解决方案需要设计和实现工作,并使用可靠的虚拟化选项。

  • 如果物理工作站没有安全地存储,则可能很容易受到破坏硬件或操作系统的物理攻击,并使其容易遭受通信拦截。

实现安全的管理工作站和跳转服务器

作为保护管理工作站或结合使用的一种替代方法,你可以实施安全的跳转服务器,管理用户可以使用 RDP 和智能卡连接到跳转服务器来执行管理任务。

应将 "跳转服务器" 配置为运行远程桌面网关角色,以允许你对跳转服务器的连接以及将从该服务器管理的目标服务器实施限制。 如果可能,还应安装 Hyper-v 角色并创建 个人虚拟 机或其他每个用户的虚拟机,以便管理用户在跳转服务器上用于其任务。

通过在跳转服务器上向管理用户提供每用户虚拟机,你可以为管理工作站提供物理安全性,管理用户可以在不使用时重置或关闭虚拟机。 如果你不想在相同的管理主机上安装 Hyper-v 角色和远程桌面网关角色,则可以将它们安装在不同的计算机上。

应该尽可能使用远程管理工具来管理服务器。 远程服务器管理工具 (RSAT) 功能应安装在用户的虚拟机 (或跳转服务器上(如果你未实现用于管理) 的按用户虚拟机),并且管理人员应通过 RDP 连接到其虚拟机以执行管理任务。

如果管理用户必须通过 RDP 连接到目标服务器才能直接对其进行管理,则应将 RD 网关配置为仅当使用适当的用户和计算机建立与目标服务器的连接时才允许连接。 在未指定管理系统的系统(如一般用途工作站和不是跳转服务器的成员服务器)上,应禁止执行 RSAT (或类似的) 工具。

优点

  • 通过创建跳转服务器,你可以将特定服务器映射到在网络中具有类似配置、连接和安全) 要求的系统集合 (,并要求管理人员通过从安全的管理主机连接到指定的 "区域" 服务器来实现每个区域的管理。

  • 通过将跳转服务器映射到区域,你可以为连接属性和配置要求实现精细控制,并可以轻松地识别从未经授权的系统进行连接的尝试。

  • 通过在跳转服务器上实现每个管理员虚拟机,可以在完成管理任务时强制虚拟机关机并重置为已知的干净状态。 通过在完成管理任务时强制执行关闭 (或重启虚拟机) ,攻击者无法针对虚拟机进行攻击,也不会导致凭据被盗攻击,因为在重新启动后,内存缓存的凭据不会保留。

缺点

  • 跳转服务器(无论是物理的还是虚拟的)需要专用服务器。

  • 实现指定的跳转服务器和管理工作站需要认真规划和配置,这些配置将映射到环境中配置的任何安全区域。