保护域控制器免受攻击

  • 项目

适用于:Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

第三法则:如果恶意行动者可以不受限制地物理访问你的计算机,则这台计算机就不再属于你自己了。 - 安全性的十项不变法则(版本 2.0)

域控制器为 Active Directory 域服务 (AD DS) 数据库提供物理存储,此外还提供所需的服务和数据来让企业有效管理其服务器、工作站、用户和应用程序。 如果恶意用户获取了对域控制器的访问特权,则他们就可以修改、损坏或销毁 AD DS 数据库,进而可以损害 Active Directory 管理的所有系统和帐户。

由于域控制器可以在 AD DS 数据库中读取和写入任何内容,域控制器遭到入侵意味着 Active Directory 林不能再次被视为可信,除非可以使用已知良好的备份进行恢复,并弥补允许入侵的漏洞。

根据攻击者的准备充分度、工具和技能,他们可以在数分钟到数小时(而不是数天或几周)内即可造成不可弥补的损坏。 重要的不是攻击者对 Active Directory 拥有访问特权多长时间,而是攻击者在获取访问特权的那一刻就制定好了计划。 入侵域控制器后,攻击者可以最直接地损坏成员服务器、工作站和 Active Directory。 由于存在这种威胁,应该单独为域控制器提供保护,并且对其的保护措施应该比一般基础设施更严格。

域控制器的物理安全性

本部分提供有关以物理方式保护域控制器的信息。 域控制器可以是位于数据中心、分支机构或远程位置的物理机或虚拟机。

数据中心域控制器

物理域控制器

在数据中心,物理域控制器应安装在独立于常规服务器总体的专用安全机架或笼中。 如果可能,应使用受信任的平台模块 (TPM) 芯片配置域控制器,并且域控制器服务器中的所有卷都应通过 BitLocker 驱动器加密进行保护。 BitLocker 以个位数百分比增加少量的性能开销,但即使从服务器中删除磁盘,它也会保护目录免遭入侵。 BitLocker 还可帮助保护系统免受 Rootkit 等攻击,因为修改启动文件将导致服务器启动进入恢复模式,以便加载原始二进制文件。 如果域控制器配置为使用软件 RAID、串行 SCSI、SAN/NAS 存储或动态卷,则无法实施 BitLocker,因此应尽可能在域控制器中使用本地附加存储(含或不含硬件 RAID)。

虚拟域控制器

如果实施虚拟域控制器,则应确保域控制器也在不同的物理主机上运行,而不是在环境中的其他虚拟机上运行。 即使使用第三方虚拟化平台,也应考虑在 Windows Server 中的 Hyper-V 上部署虚拟域控制器,这样可以提供最小的攻击面,并且可以使用该平台托管的域控制器对其进行管理,而不是使用其余的虚拟化主机进行管理。 如果实施 System Center Virtual Machine Manager (SCVMM) 来管理虚拟化基础设施,则可以将域控制器虚拟机所在的物理主机以及域控制器本身的管理工作委托给已获授权的管理员。 还应考虑将虚拟域控制器的存储分开,以防止存储管理员访问虚拟机文件。

注意

如果你打算将虚拟化域控制器与其他保密性不高的虚拟机共置在相同的物理虚拟化服务器(主机)上,请考虑实现一种解决方案来强制实施基于角色的职责分离,例如 Hyper-V 中的受防护的 VM。 此技术针对恶意或能力不足的结构管理员(包括虚拟化、网络、存储和备份管理员)提供全面的保护。它利用具有远程证明和安全 VM 预配的物理信任根,并有效地确保实现与专用物理服务器相当的安全级别。

分支位置

分支中的物理域控制器

在托管多个服务器但物理保护程度不如数据中心服务器的位置,应该为物理域控制器上的所有服务器卷配置 TPM 芯片和 BitLocker 驱动器加密。 如果域控制器不能存储在分支位置的上锁机房中,则你应考虑在这些位置部署只读域控制器 (RODC)。

分支中的虚拟域控制器

尽可能在分支机构中的与现场其他虚拟机不同的物理主机上运行虚拟域控制器。 如果虚拟域控制器无法在分支机构中与其余虚拟服务器群不同的物理主机上运行,则至少应该在运行虚拟域控制器的主机上实施 TPM 芯片和 BitLocker 驱动器加密,如果可能,在所有主机上实施。 根据分支机构的规模和物理主机的安全性,应考虑在分支位置部署 RODC。

空间和安全性受限的远程位置

如果基础设施中的某些位置只能安装单个物理服务器,则应该安装能够运行虚拟化工作负载的服务器,并且应配置 BitLocker 驱动器加密来保护服务器中的所有卷。 服务器上应有一个虚拟机作为 RODC 运行,其他服务器作为主机上的独立虚拟机运行。 只读域控制器规划和部署指南中提供了有关规划 RODC 部署的信息。 有关部署和保护虚拟化域控制器的详细信息,请参阅在 Hyper-V 中运行域控制器。 有关强化 Hyper-V 安全性、委托虚拟机管理任务和保护虚拟机的更详细指导,请参阅 Microsoft 网站上的 Hyper-V 安全指南 Solution Accelerator。

域控制器操作系统

应在组织中支持的最新版 Windows Server 上运行所有域控制器。 组织应优先停用域控制器群中的旧操作系统。 使域控制器保持最新状态并消除旧域控制器,以便可以利用新功能和安全性。 在包含运行旧操作系统的域控制器的域或林中,此功能可能不可用。

注意

对于任何安全敏感型和单一用途的配置,我们建议在 Server Core 安装选项中部署操作系统。 这样可以获得多种好处,例如最小化攻击面、提高性能和减少人为错误的可能性。 建议从高度安全的专用终结点(例如特权访问工作站 (PAW)安全管理主机)远程执行所有操作和管理。

域控制器的安全配置

可以使用工具来为域控制器创建以后可由 GPO 强制实施的初始安全配置基线。 Microsoft 操作系统文档的管理安全策略设置部分或适用于 Windows 的 Desired State Configuration (DSC) 中对这些工作进行了介绍。

RDP 限制

如果组策略对象链接到林中所有域控制器 OU,则应将其配置为仅允许从授权用户和系统(例如跳转服务器)进行 RDP 连接。 可以通过用户权限设置和使用使用 GPO 执行的 WFAS 配置的组合来实现控制,以便一致地应用策略。 如果绕过策略,则下一次刷新组策略会将系统恢复为适当的配置。

域控制器的修补程序和配置管理

尽管看起来可能有悖常理,但应考虑单独修补域控制器和其他关键基础结构组件,而不跟常规 Windows 基础结构一起修补。 如果将企业配置管理软件用于基础结构中的所有计算机,则损坏系统管理软件可能会损坏或破坏该软件管理的所有基础结构组件。 通过将域控制器的修补程序和系统管理与常规总体分开,可以减少域控制器上安装的软件量,以及严格控制域控制器的管理。

阻止从 Internet 访问域控制器

作为 Active Directory 安全评估的一部分执行的一项检查是在域控制器上使用和配置 Internet Explorer。 不应在域控制器上使用 Web 浏览器。 对数千个域控制器的分析结果表明,特权用户使用 Internet Explorer 浏览组织 Intranet 或 Internet 的情况很多。

如前面的入侵途径中的“错误配置”部分所述,使用高特权帐户从 Windows 基础结构中某台权限最高的计算机浏览 Internet 或受感染的 intranet 会给组织的安全性造成非同寻常的风险。 无论是通过偷渡式下载还是通过受恶意软件感染的“实用工具”的下载,攻击者都可以获得所需的一切权限来全面入侵或损坏 Active Directory 环境。

尽管 Windows Server 和最新版本的 Internet Explorer 提供了许多防恶意下载保护措施,但在使用域控制器和特权帐户浏览 Internet 的大多数情况下,域控制器运行的是 Windows Server 2003,或者较新操作系统和浏览器提供的保护已被故意禁用。

应该通过策略和技术控制来限制在域控制器上启动 Web 浏览器的行为。 除此之外,还应严格控制域控制器的一般入站和出站 Internet 访问。

Microsoft 鼓励所有组织改用基于云的标识和访问管理方法,并从 Active Directory 迁移到 Microsoft Entra ID。 Microsoft Entra ID 是一个完整的云标识和访问管理解决方案,用于管理目录、启用对本地和云应用的访问以及保护标识免受安全威胁。 Microsoft Entra ID 还提供一系列可靠且精细的安全控制来帮助保护标识,例如多重身份验证、条件访问策略、标识保护、标识治理和 Privileged Identity Management。

大多数组织在向云过渡期间将在混合标识模型中运营,在其中,其本地 Active Directory 的某些元素将通过 Microsoft Entra Connect 进行同步。 虽然任何组织都有这种混合模型,但 Microsoft 建议使用 Microsoft Defender for Identity 为这些本地标识提供有云作为保障的保护。 在域控制器和 AD FS 服务器上配置 Defender for Identity 传感器,可以通过代理与云服务建立高度安全的单向连接,并可以与特定终结点建立这种连接。 有关如何配置此代理连接的完整说明,请参阅 Defender for Identity 的技术文档。 这种严格控制的配置可确保缓解将这些服务器连接到云服务所带来的风险,并使组织受益于 Defender for Identity 提供的增强式保护功能。 Microsoft 还建议使用 Microsoft Defender for Servers 等有云作为保障的终结点检测来保护这些服务器。

对于需要遵守法规或其他策略驱动的要求,只能在本地实施 Active Directory 的组织,Microsoft 建议完全限制通过 Internet 对/从域控制器进行访问。

外围防火墙限制

应将外围防火墙配置为阻止从域控制器到 Internet 的出站连接。 尽管域控制器可能需要跨站点边界进行通信,但可以按照如何为 Active Directory 域和信任配置防火墙中提供的准则,将外围防火墙配置为允许站点间通信。

防止从域控制器浏览 Web

可以使用 AppLocker 配置、“黑洞”代理配置和 WFAS 配置的组合来防止域控制器访问 Internet,并防止在域控制器上使用 Web 浏览器。