保护域控制器免受攻击
第三法则:如果恶意行动者可以不受限制地物理访问你的计算机,则这台计算机就不再属于你自己了。 - 安全性的十项不变法则(版本 2.0)
域控制器为 Active Directory 域服务 (AD DS) 数据库提供物理存储,此外还提供所需的服务和数据来让企业有效管理其服务器、工作站、用户和应用程序。 如果获得了对域控制器的特权访问,恶意用户可以修改、损坏或销毁 AD DS 数据库,进而修改、损坏 Active Directory 管理的所有系统和帐户。
由于域控制器可以在 AD DS 数据库中读取和写入任何内容,域控制器遭到入侵意味着 Active Directory 林不能再次被视为可信,除非可以使用已知良好的备份进行恢复,并弥补允许入侵的漏洞。
根据攻击者的准备充分度、工具和技能,他们可以在数分钟到数小时(而不是数天或几周)内即可造成不可弥补的损坏。 重要的不是攻击者对 Active Directory 有多长时间的特权访问,而是攻击者在获得特权访问时计划了多少时间。 入侵域控制器后,攻击者可以最直接地损坏成员服务器、工作站和 Active Directory。 由于存在这种威胁,应该单独为域控制器提供保护,并且对其的保护措施应该比一般基础设施更严格。
域控制器的物理安全性
本部分提供有关以物理方式保护域控制器的信息。 域控制器可以是位于数据中心、分支机构或远程位置的物理机或虚拟机。
数据中心域控制器
物理域控制器
在数据中心,物理域控制器应安装在独立于常规服务器总体的专用安全机架或笼中。 如果可能,应使用受信任的平台模块 (TPM) 芯片配置域控制器,并且域控制器服务器中的所有卷都应通过 BitLocker 驱动器加密进行保护。 BitLocker 增加了少量的性能开销,但即使从服务器中删除磁盘,它也会保护目录免遭入侵。 BitLocker 还可帮助保护系统免受 Rootkit 等攻击,因为修改启动文件将导致服务器启动进入恢复模式,以便加载原始二进制文件。 如果域控制器配置为使用软件 RAID、串行 SCSI、SAN/NAS 存储或动态卷,则无法实施 BitLocker,因此应尽可能在域控制器中使用本地附加存储(含或不含硬件 RAID)。
虚拟域控制器
如果实施虚拟域控制器,则应确保域控制器也在不同的物理主机上运行,而不是在环境中的其他虚拟机上运行。 即使使用非 Microsoft 虚拟化平台,也可以考虑在 Windows Server 中的 Hyper-V 上部署虚拟域控制器。 此配置提供了最小的攻击面,并且可以使用它所托管的域控制器进行管理,而不是使用其他虚拟化主机进行管理。 如果实施 System Center Virtual Machine Manager (SCVMM) 来管理虚拟化基础设施,则可以将域控制器虚拟机所在的物理主机以及域控制器本身的管理工作委托给已获授权的管理员。 还应考虑将虚拟域控制器的存储分开,以防止存储管理员访问虚拟机文件。
注意
如果你打算将虚拟化域控制器与其他保密性不高的虚拟机共置在相同的物理虚拟化服务器(主机)上,请考虑实现一种解决方案来强制实施基于角色的职责分离,例如 Hyper-V 中的受防护的 VM。 此技术针对恶意或能力不足的结构管理员(包括虚拟化、网络、存储和备份管理员)提供全面的保护。它利用具有远程证明和安全 VM 预配的物理信任根,并有效地确保实现与专用物理服务器相当的安全级别。
分支位置
分支中的物理域控制器
在托管多个服务器但物理保护程度不如数据中心服务器的位置,应该为物理域控制器上的所有服务器卷配置 TPM 芯片和 BitLocker 驱动器加密。 如果域控制器不能存储在分支位置的上锁机房中,则你应考虑在这些位置部署只读域控制器 (RODC)。
分支中的虚拟域控制器
尽可能在分支机构中的与现场其他虚拟机不同的物理主机上运行虚拟域控制器。 如果虚拟域控制器无法在分支机构中与其余虚拟服务器群不同的物理主机上运行,则至少应该在运行虚拟域控制器的主机上实施 TPM 芯片和 BitLocker 驱动器加密,如果可能,在所有主机上实施。 根据分支机构的规模和物理主机的安全性,应考虑在分支位置部署 RODC。
空间和安全性受限的远程位置
如果基础设施中的某些位置只能安装单个物理服务器,则应该安装能够运行虚拟化工作负载的服务器,并且应配置 BitLocker 驱动器加密来保护服务器中的所有卷。 服务器上应有一个虚拟机作为 RODC 运行,其他服务器作为主机上的独立虚拟机运行。 只读域控制器规划和部署指南中提供了有关规划 RODC 部署的信息。 有关部署和保护虚拟化域控制器的详细信息,请参阅在 Hyper-V 中运行域控制器。 有关强化 Hyper-V 安全性、委托虚拟机管理任务和保护虚拟机的更详细指导,请参阅 Microsoft 网站上的 Hyper-V 安全指南 Solution Accelerator。
域控制器操作系统
应在组织中支持的最新版 Windows Server 上运行所有域控制器。 组织应优先停用域控制器群中的旧操作系统。 应优先使域控制器保持最新状态并消除旧版域控制器,从而利用新功能和安全性。 此功能在域控制器运行旧版操作系统的域或林中可能不可用。
注意
对于任何安全敏感型和单一用途的配置,我们建议在 Server Core 安装选项中部署操作系统。 这样可以获得多种好处,例如最小化攻击面、提高性能和减少人为错误的可能性。 建议从高度安全的专用终结点(例如特权访问工作站 (PAW) 或安全管理主机)远程执行所有操作和管理。
域控制器的安全配置
可以使用工具为要使用 GPO 强制执行的域控制器创建初始安全配置基线。 Microsoft 操作系统文档的管理安全策略设置部分或适用于 Windows 的 Desired State Configuration (DSC) 中对这些工作进行了介绍。
RDP 限制
如果组策略对象链接到林中所有域控制器 OU,则应将其配置为仅允许从授权用户和系统(例如跳转服务器)进行 RDP 连接。 可以通过将用户权限设置和 Windows 防火墙与高级安全性 (WFAS) 配置相结合来实现控制。 可以使用 GPO 实现这些控件,以便一致地应用策略。 如果绕过策略,则下一次刷新组策略会将系统恢复为适当的配置。
域控制器的修补程序和配置管理
尽管看起来可能有悖常理,但应考虑单独修补域控制器和其他关键基础结构组件,而不跟常规 Windows 基础结构一起修补。 如果将企业配置管理软件用于基础结构中的所有计算机,则损坏系统管理软件可能会损坏或破坏该软件管理的所有基础结构组件。 通过将域控制器的修补程序和系统管理与常规总体分开,可以减少域控制器上安装的软件量,以及严格控制域控制器的管理。
阻止从 Internet 访问域控制器
作为 Active Directory 安全评估的一部分执行的检查之一是在域控制器上使用 Web 浏览器和配置。 不应在域控制器上使用 Web 浏览器。 对数千个域控制器的分析揭示了特权用户使用 Internet Explorer 浏览组织的 Intranet 或 Internet 的许多情况。
从 Windows 基础结构中最强大的计算机之一浏览 Internet 或受感染的 Intranet 会给组织的安全带来极大的风险。 无论是通过偷渡式下载还是通过受恶意软件感染的“实用工具”的下载,攻击者都可以获得所需的一切权限来全面入侵或损坏 Active Directory 环境。
应使用策略和技术控制来限制在域控制器上启动 Web 浏览器。 此外,还应严格控制与域控制器之间的常规 Internet 访问。
Microsoft 鼓励所有组织改用基于云的标识和访问管理方法,并从 Active Directory 迁移到 Microsoft Entra ID。 Microsoft Entra ID 是一个完整的云标识和访问管理解决方案,用于管理目录、启用对本地和云应用的访问以及保护标识免受安全威胁。 Microsoft Entra ID 提供了一组强大而精细的安全控制,以帮助保护标识,例如多重身份验证、条件访问策略、ID 保护、标识治理和 Privileged Identity Management。
大多数组织在过渡到云期间在混合标识模型中运行,其中其本地 Active Directory 的某些元素使用 Microsoft Entra Connect 同步。 虽然这种混合模型存在于任何组织中,但 Microsoft 建议使用 Microsoft Defender for Identity 对这些本地标识进行云支持保护。 域控制器和 AD FS 服务器上 Defender for Identity 传感器的配置允许通过代理和特定终结点与云建立安全的单向连接。 有关如何配置此代理连接的完整说明,请参阅 Defender for Identity 的技术文档。 这种严格控制的配置可确保缓解将这些服务器连接到云服务所带来的风险,并使组织受益于 Defender for Identity 提供的增强式保护功能。 Microsoft 还建议使用 Microsoft Defender for Servers 等有云作为保障的终结点检测来保护这些服务器。
对于具有法规或其他策略驱动要求的组织,以保持仅在本地实施 Active Directory,Microsoft 建议完全限制与域控制器之间的 Internet 访问。
外围防火墙限制
应将外围防火墙配置为阻止从域控制器到 Internet 的出站连接。 尽管域控制器可能需要跨站点边界进行通信,但可以按照如何为 Active Directory 域和信任关系配置防火墙提供的准则将外围防火墙配置为允许站点间通信。
防止从域控制器浏览 Web
可以使用 AppLocker 配置、“黑洞”代理配置和 WFAS 配置的组合来防止域控制器访问 Internet,并防止在域控制器上使用 Web 浏览器。