减少 Active Directory 攻击面
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
本部分重点介绍要实现的技术控制,以减少 Active Directory 安装的攻击面。 该部分包含以下信息:
实施Least-Privilege管理模型 侧重于确定使用高特权帐户进行日常管理的风险,并提供实施建议以减少特权帐户存在的风险。
除了安全管理主机部署的一些示例方法外,实施安全管理主机还介绍了部署专用安全管理系统的原则。
保护域控制器免受攻击 讨论的策略和设置,尽管与实施安全管理主机的建议类似,但包含一些特定于域控制器的建议,以帮助确保域控制器和用于管理它们的系统受到良好保护。
Active Directory 中有权限的帐户和组
本部分提供有关 Active Directory 中特权帐户和组的背景信息,这些帐户和组旨在说明 Active Directory 中特权帐户和组之间的共同之处和差异。 通过了解这些区别,无论是在 逐字实现Least-Privilege管理模型 方面的建议,还是选择为组织自定义它们,你都有适当的工具来保护每个组和帐户。
内置特权帐户和组
Active Directory 有助于委派管理,并支持在分配权限和权限方面最低特权原则。 默认情况下,在域中拥有帐户的“常规”用户能够读取目录中存储的大部分内容,但只能更改目录中一组非常有限的数据。 需要其他特权的用户可以被授予内置于目录中的各种“特权”组中的成员身份,以便他们可以执行与角色相关的特定任务,但不能执行与职责无关的任务。 组织还可以创建根据特定工作职责定制的组,并被授予精细的权限和权限,使 IT 人员无需授予超出这些职能所需的权限和权限即可执行日常管理职能。
在 Active Directory 中,三个内置组是目录中的最高特权组:企业管理员、域管理员和管理员。 以下各节介绍了这些组的默认配置和功能:
Active Directory 中的最高特权组
企业管理员
企业管理员 (EA) 是仅存在于林根域中的组,默认情况下,它是林中所有域中管理员组的成员。 林根域中的内置管理员帐户是唯一的默认 EA 组成员。 授予 EA 的权限和权限,允许它们实现林范围的更改 (即影响林) 中的所有域的更改,例如添加或删除域、建立林信任或提高林功能级别。 在正确设计和实现的委派模型中,仅当首次构造林或进行某些林范围的更改(例如建立出站林信任)时,才需要 EA 成员身份。 向 EA 组授予的大多数权限和权限都可以委托给特权较低的用户和组。
域管理员
林中的每个域都有自己的域管理员 (DA) 组,该组是该域的管理员组的成员,也是加入域的每个计算机上的本地管理员组的成员。 域的 DA 组的唯一默认成员是该域的内置管理员帐户。 DA 在其域中是“全能的”,而 EA 具有林范围的特权。 在正确设计和实现的委派模型中,域管理员成员身份只有在“破玻璃”方案中才需要 (,例如需要域中每个计算机上具有较高权限的帐户) 。 尽管本机 Active Directory 委派机制允许委派在紧急情况下才能使用 DA 帐户,但构建有效的委派模型可能非常耗时,许多组织利用第三方工具加快该过程。
管理员
第三个组是内置域本地管理员 (BA) 组,将 DA 和 EA 嵌套到其中。 此组在目录中和域控制器上被授予许多直接权限和权限。 但是,域的管理员组在成员服务器或工作站上没有权限。 它通过授予本地特权的计算机本地管理员组中的成员身份。
注意
虽然这些是这些特权组的默认配置,但三个组中的任何一个成员都可以操作目录,以获取任何其他组的成员身份。 在某些情况下,获得其他组的成员身份是微不足道的,而在其他组中则比较困难,但从潜在特权的角度来看,这三个组都应被视为有效等效的。
Schema Admins
第四个特权组(架构管理员 (SA) )仅存在于林根域中,并且只有该域的内置管理员帐户作为默认成员,类似于企业管理员组。 架构管理员组旨在仅在需要修改 AD DS 架构时临时和偶尔 (填充) 。
虽然 SA 组是唯一一个可以修改 Active Directory 架构的组, (。但目录的基础数据结构(如对象和属性) ),但 SA 组的权限和权限的范围比前面描述的组更有限。 同样常见的情况是,组织已经为管理 SA 组的成员身份制定了适当的做法,因为通常不需要该组的成员身份,并且仅在短时间内才需要。 这在技术上也适用于 Active Directory 中的 EA、DA 和 BA 组,但发现组织对这些组实施了与 SA 组类似的做法要少得多。
Active Directory 中受保护的帐户和组
在 Active Directory 中,一组称为“受保护的”帐户和组的默认特权帐户和组与目录中的其他对象不同。 任何在受保护组中具有直接或可传递成员身份的帐户 (无论成员身份是从安全组派生还是通讯组) 继承此受限的安全性。
例如,如果用户是通讯组的成员,反过来又是 Active Directory 中受保护组的成员,该用户对象将标记为受保护的帐户。 将帐户标记为受保护的帐户时,该对象上的 adminCount 属性的值设置为 1。
注意
尽管受保护组中的可传递成员身份包括嵌套分发组和嵌套安全组,但作为嵌套通讯组成员的帐户不会在其访问令牌中接收受保护组的 SID。 但是,通讯组可以转换为 Active Directory 中的安全组,这就是为什么通讯组包含在受保护的组成员枚举中的原因。 如果曾经将受保护的嵌套通讯组转换为安全组,则属于前通讯组成员的帐户将在下次登录时在其访问令牌中接收父受保护的组的 SID。
下表列出了 Active Directory 中按操作系统版本和 Service Pack 级别的默认受保护帐户和组。
按操作系统和 Service Pack (SP) 版本在 Active Directory 中默认受保护的帐户和组
| Windows 2000 <SP4 | Windows 2000 SP4 -Windows Server 2003 | Windows Server 2003 SP1+ | Windows Server 2008 -Windows Server 2012 |
|---|---|---|---|
| 管理员 | Account Operators | Account Operators | Account Operators |
| 管理员 | 管理员 | 管理员 | |
| 管理员 | 管理员 | 管理员 | |
| 域管理员 | 备份操作员 | 备份操作员 | 备份操作员 |
| Cert Publishers | |||
| 域管理员 | 域管理员 | 域管理员 | |
| 企业管理员 | 域控制器 | 域控制器 | 域控制器 |
| 企业管理员 | 企业管理员 | 企业管理员 | |
| Krbtgt | Krbtgt | Krbtgt | |
| 打印操作员 | 打印操作员 | 打印操作员 | |
| 只读域控制器 | |||
| 复制程序 | 复制程序 | 复制程序 | |
| Schema Admins | Schema Admins | Schema Admins |
AdminSDHolder 和 SDProp
在每个 Active Directory 域的系统容器中,会自动创建一个名为 AdminSDHolder 的对象。 AdminSDHolder 对象的用途是确保始终强制实施对受保护帐户和组的权限,而不管受保护的组和帐户位于域中的位置。
) 默认情况下, (每隔 60 分钟 (一个称为“安全描述符传播器”的进程 (SDProp) 在包含域的 PDC 模拟器角色的域控制器上运行。 SDProp 将域的 AdminSDHolder 对象的权限与域中受保护帐户和组的权限进行比较。 如果任何受保护帐户和组的权限与 AdminSDHolder 对象的权限不匹配,则受保护帐户和组的权限将重置为匹配域的 AdminSDHolder 对象的权限。
对受保护的组和帐户禁用权限继承,这意味着即使帐户或组移动到目录中的不同位置,它们也不会从其新的父对象继承权限。 在 AdminSDHolder 对象上也禁用继承,以便对父对象的权限更改不会更改 AdminSDHolder 的权限。
注意
从受保护的组中删除帐户时,它不再被视为受保护的帐户,但如果帐户未手动更改,则其 adminCount 属性将保持设置为 1。 此配置的结果是,该对象的 ACL 不再由 SDProp 更新,但该对象仍不从其父对象继承权限。 因此,该对象可能驻留在已委派权限的组织单位 (OU) ,但以前受保护的对象不会继承这些委派的权限。 可在 Microsoft 支持文章817433中找到用于查找和重置域中以前受保护的对象的脚本。
AdminSDHolder 所有权
Active Directory 中的大多数对象都归域的 BA 组所有。 但是,默认情况下,AdminSDHolder 对象由域的 DA 组拥有。 (这是一种情况,即 DA 不会通过域的管理员组中的成员身份来派生其权限。)
在早于 Windows Server 2008 的 Windows 版本中,对象的所有者可以更改对象的权限,包括授予自己最初没有的权限。 因此,域 AdminSDHolder 对象的默认权限可防止属于 BA 或 EA 组的成员的用户更改域 AdminSDHolder 对象的权限。 但是,域的 Administrators 组的成员可以拥有该对象的所有权并授予自己额外的权限,这意味着此保护是基本的,并且仅保护对象免受非域中 DA 组成员的用户的意外修改。 此外,BA 和 EA ((如果适用) 组有权更改 EA) 的本地域中 AdminSDHolder 对象的属性 (根域)。
注意
AdminSDHolder 对象 dSHeuristics 上的属性允许有限的自定义 (删除被视为受保护组且受 AdminSDHolder 和 SDProp 影响的组) 。 如果实施此自定义项,应谨慎考虑,但在某些情况下,对 AdminSDHolder 上的 dSHeuristics 进行修改非常有用。 有关在 AdminSDHolder 对象上修改 dSHeuristics 属性的详细信息,请参阅 Microsoft 支持文章 817433 和 附录 C:Active Directory 中的受保护帐户和组。
尽管此处介绍了 Active Directory 中特权最多的组,但还有其他一些已被授予提升权限级别的组。 有关 Active Directory 中的所有默认组和内置组以及分配给每个组的用户权限的详细信息,请参阅 附录 B:Active Directory 中的特权帐户和组。