保護網域控制站不受攻擊

適用于:Windows Server 2022 Preview、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

法律數位三:如果不良人對您的電腦有不受限制的實體存取權,就不再是您的電腦。 - 安全性 (2.0 版) 的十項不可變法律

除了提供可讓企業有效管理其伺服器、工作站、使用者和應用程式的服務和資料之外,網域控制站還提供Active Directory 網域服務 (AD DS) 資料庫的實體儲存體。 如果惡意使用者取得網域控制站的特殊許可權存取權,他們可以修改、損毀或終結 AD DS 資料庫,並依延伸模組修改、損毀或終結 Active Directory 所管理的所有系統和帳戶。

因為網域控制站可以讀取和寫入 AD DS 資料庫中的任何專案,所以網域控制站的入侵表示您的 Active Directory 樹系永遠不會再次被視為可信任,除非您可以使用已知的良好備份來復原,並關閉允許入侵的差距。

視攻擊者的準備、工具和技能而定,在數分鐘到數小時內完成無法修復的損害,而不是數天或數周。 重要的是攻擊者具有 Active Directory 特殊許可權存取權的時間長度,但取得特殊許可權存取權時,攻擊者已規劃多少時間。 危害網域控制站可以提供最直接的路徑來解構成員伺服器、工作站和 Active Directory。 由於此威脅,網域控制站應該分開保護,且比一般基礎結構更嚴格。

網域控制站的實體安全性

本節提供實體保護網域控制站的相關資訊。 網域控制站可以是資料中心、分公司或遠端位置中的實體或虛擬機器。

資料中心網域控制站

實體網域控制站

在資料中心,實體網域控制站應該安裝在專用的安全機架中,或與一般伺服器擴展分開的機架。 可能的話,網域控制站應該使用信賴平臺模組 (TPM) 晶片來設定,而且域控制器伺服器中的所有磁片區都應該透過 BitLocker 磁片磁碟機加密來保護。 BitLocker 會在單一位數百分比中增加較小的效能額外負荷,但即使磁片已從伺服器中移除,仍可保護目錄免于遭到入侵。 BitLocker 也可以協助保護系統免于遭受 rootkit 之類的攻擊,因為修改開機檔案會導致伺服器開機進入復原模式,以便載入原始二進位檔。 如果網域控制站設定為使用軟體 RAID、序列連結的 SCSI、SAN/NAS 儲存體或動態磁碟區,則無法實作 BitLocker,因此應盡可能在網域控制站中使用本機連接的存放裝置 (與或不使用硬體 RAID) 。

虛擬網域控制站

如果您實作虛擬網域控制站,您應該確保網域控制站也會在環境中的其他虛擬機器以外的不同實體主機上執行。 即使您使用協力廠商虛擬化平臺,請考慮在 Windows Server 中的 Hyper-V 上部署虛擬網域控制站,這可提供最小的受攻擊面,並可透過它所裝載的網域控制站進行管理,而不是使用其餘虛擬化主機來管理。 如果您實作 System Center Virtual Machine Manager (SCVMM) 來管理虛擬化基礎結構,您可以委派網域控制站虛擬機器所在實體主機的管理,並將網域控制站本身委派給授權的系統管理員。 您也應該考慮分隔虛擬網域控制站的儲存體,以防止儲存體系統管理員存取虛擬機器檔案。

注意

如果您想要將虛擬網域控制站與其他較不敏感的虛擬機器共置在相同的實體虛擬化伺服器上, (主機) ,請考慮實作一個解決方案,以強制執行角色型職責分離,例如 Hyper-V 中的 受防護 VM 。 這項技術可針對惡意或無線索的網狀架構系統管理員提供全面保護, (包括虛擬化、網路、儲存體和備份系統管理員。) 它利用遠端證明和安全 VM 布建的實體根信任,並有效地確保與專用實體伺服器相等的安全性層級。

分支位置

分支中的實體網域控制站

在多部伺服器所在的位置,但並未實際保護資料中心伺服器受到保護的程度,實體網域控制站應該使用 TPM 晶片和 BitLocker 磁片磁碟機加密來設定所有伺服器磁片區。 如果網域控制站無法儲存在分支位置的鎖定會議室中,您應該考慮在這些位置部署Read-Only網域控制站 (RODC) 。

分支中的虛擬網域控制站

可能的話,您應該在分公司中執行虛擬網域控制站,其實體主機與月臺中的其他虛擬機器不同。 在虛擬網域控制站無法從虛擬伺服器母體擴展的其餘部分個別實體主機上執行,您應該在虛擬網域控制站至少執行所在的主機上實作 TPM 晶片和 BitLocker 磁片磁碟機加密,並盡可能在所有主機上執行。 根據分公司的大小和實體主機的安全性,您應該考慮在分支位置部署 RODC。

具有有限空間和安全性的遠端位置

如果您的基礎結構包含只能安裝單一實體伺服器的位置,應該安裝能夠執行虛擬化工作負載的伺服器,且應設定 BitLocker 磁片磁碟機加密來保護伺服器中的所有磁片區。 伺服器上的一部虛擬機器應該以 RODC 的形式執行,而其他執行的伺服器則作為主機上的個別虛擬機器執行。 如需規劃 RODC 部署的相關資訊,請參閱 唯讀網域控制站規劃和部署指南。 如需部署和保護虛擬化網域控制站的詳細資訊,請參閱 在 Hyper-V 中執行網域控制站。 如需強化 Hyper-V 安全性、委派虛擬機器管理和保護虛擬機器的詳細指引,請參閱 Microsoft 網站上的 Hyper-V 安全性指南 解決方案加速器。

網域控制站作業系統

您應該在組織內支援的最新版本 Windows Server 上執行所有網域控制站。 組織應該優先解除委任網域控制站母體中的舊版作業系統。 讓網域控制站保持最新狀態並消除舊版網域控制站,可讓您利用新功能和安全性。 在執行舊版作業系統的網域控制站的網域或樹系中,可能無法使用這項功能。

注意

如同任何安全性敏感性和單一用途組態,建議您在 Server Core 安裝選項中部署作業系統。 它提供多項優點,例如將受攻擊面降至最低、改善效能並降低人為錯誤的可能性。 建議從專用高度安全端點遠端執行所有作業和管理 例如特殊 許可權存取工作站 (PAW) 安全系統管理主機

網域控制站的安全設定

工具可用來為網域控制站建立初始安全性設定基準,以供 GPO 稍後強制執行。 這些工具會在 Microsoft 作業系統檔的 管理安全性原則設定 一節中說明。

RDP 限制

群組原則連結至樹系中所有網域控制站 OU 的物件,應該設定為只允許來自已授權使用者和系統之 RDP 連線,例如跳躍伺服器。 控制可透過使用 GPO 實作的使用者權限設定和 WFAS 組態的組合來達成,以便一致地套用原則。 如果略過原則,下一個群組原則重新整理會將系統傳回其適當的設定。

網域控制站的修補程式和組態管理

雖然看起來可能很直覺,但您應該考慮將網域控制站和其他重要基礎結構元件與一般Windows基礎結構分開修補。 如果您針對基礎結構中的所有電腦使用企業組態管理軟體,系統管理軟體的入侵可用來危害或終結該軟體所管理的所有基礎結構元件。 除了嚴格控制網域控制站的管理之外,您還可以將網域控制站的修補程式和系統管理與一般母體分開,以減少安裝在網域控制站上的軟體數量。

封鎖網域控制站的網際網路存取

在 Active Directory 安全性評定中執行的其中一項檢查,就是在網域控制站上使用和設定 Internet Explorer。 網域控制站上不應該使用網頁瀏覽器。 數千個網域控制站的分析顯示許多案例,其中特殊許可權使用者使用 Internet Explorer 流覽組織的內部網路或網際網路。

如先前在「入侵途徑」的「設定錯誤」一節中所述,使用高度特殊許可權帳戶從Windows基礎結構中其中一部最強大的電腦流覽網際網路或受感染的內部網路,對組織的安全性造成不良風險。 無論是透過下載或下載受惡意程式碼感染「公用程式」的磁片磁碟機,攻擊者都可以存取完全入侵或終結 Active Directory 環境所需的所有專案。

雖然 Windows Server 和目前的 Internet Explorer 版本提供許多防止惡意下載的保護,但在大部分情況下,網域控制站和特殊許可權帳戶已用來流覽網際網路、網域控制站執行Windows Server 2003,或已刻意停用較新作業系統和瀏覽器所提供的保護。

在網域控制站上啟動網頁瀏覽器應該受限於原則和技術控制。 此外,對網域控制站的一般網際網路存取也應該受到嚴格控制。

Microsoft 鼓勵所有組織移至雲端式身分識別和存取管理方法,並從 Active Directory 遷移至 azure AD) Azure Active Directory (。 Azure AD 是完整的雲端身分識別和存取管理解決方案,可用來管理目錄、啟用內部部署和雲端應用程式的存取,以及保護身分識別免于安全性威脅。 Azure AD 也提供強固且細微的安全性控制項集,以協助保護身分識別,例如多重要素驗證、條件式存取原則、Identity Protection、身分識別控管,以及Privileged Identity Management。

大部分的組織在轉換至雲端期間會在混合式身分識別模型中運作,其中某些內部部署的 Active Directory元素會使用 Azure AD 連線進行同步處理。 雖然此混合式模型存在於任何組織中,但 Microsoft 建議使用 適用於身分識別的 Microsoft Defender 為這些內部部署身分識別提供雲端支援的保護。 網域控制站和 AD FS 伺服器上適用于身分識別的 Defender 感應器設定,允許透過 Proxy 和特定端點對雲端服務進行高度安全的單向連線。 如需有關如何設定此 Proxy 連線的完整說明,請參閱適用于身分識別的 Defender 技術檔。 此嚴格控制的組態可確保將這些伺服器連線到雲端服務的風險會降低,而且組織可受益于適用于身分識別的 Defender 供應專案保護功能增加。 Microsoft 也建議這些伺服器受到雲端支援的端點偵測保護,例如適用于伺服器的 Microsoft Defender。

對於具有法規或其他原則驅動需求的組織,為了維護僅限內部部署的 Active Directory 實作,Microsoft 建議完全限制網域控制站的網際網路存取。

周邊防火牆限制

周邊防火牆應設定為封鎖從網域控制站到網際網路的輸出連線。 雖然網域控制站可能需要跨月臺界限進行通訊,但可以依照 如何為 Active Directory 網域和信任設定防火牆中提供的指導方針,將周邊防火牆設定為允許月臺間通訊。

防止來自網域控制站的網頁流覽

您可以使用 AppLocker 設定、「黑洞」Proxy 設定和 WFAS 設定的組合,以防止網域控制站存取網際網路,以及防止在網域控制站上使用網頁瀏覽器。