保護網域控制站不受攻擊
適用於:Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
第 3 條定律:如果有心人士可不受限制地進行實體存取,則您的電腦已然是他人之物。 - 安全性 10 大定律 (2.0 版)。
網域控制站除了為 Active Directory Domain Services (AD DS) 資料庫提供實體儲存體,也提供服務與資料,協助企業更有效管理伺服器、工作站、使用者和應用程式。 如果惡意使用者取得網域控制站的特殊權限存取權,則該使用者可以修改、損毀或破壞 AD DS 資料庫,進而修改、損毀和破壞 Active Directory 所管理的所有系統和帳戶。
由於網域控制站可以讀取和寫入 AD DS 資料庫中的任何內容,一旦網域控制站遭入侵,除非使用已知的良好備份進行復原,並修復入侵漏洞,否則 Active Directory 樹系將永久無法信任。
根據攻擊者的準備程度、工具和技能,不須數天或數週,在短短數分鐘到數小時內,便能造成無法挽回的損害。 關鍵並非 Active Directory 特殊權限存取權落入攻擊者手中多久,而是攻擊者為了獲得權限做了多少規劃。 入侵網域控制站是破壞成員伺服器、工作站和 Active Directory 最直接的途徑。 為因應這類威脅,應以較一般基礎結構更嚴格的標準分開保護網域控制站。
網域控制站的實體安全性
本章節說明實體保護網域控制站的相關資訊。 網域控制站可能是位於資料中心、分公司或遠端位置的實體或虛擬機器。
資料中心網域控制站
實體網域控制站
在資料中心,實體網域控制站應該安裝在專用安全機架或與一般伺服器母體分開的機箱中。 可能的話,網域控制站應該使用信賴平台模組 (TPM) 晶片進行設定,而且網域控制器伺服器中的所有磁碟區都應該透過 BitLocker 磁碟機加密來加以保護。 BitLocker 僅會造成極小的效能額外負荷 (約個位數百分比),但即使從伺服器移除磁碟片,也能保護目錄不受入侵。 BitLocker 也可以協助保護系統不受 Rootkit 之類的攻擊,因為修改開機檔案會導致伺服器開機進入復原模式,以便可以載入原始二進位檔。 如果網域控制站設定為使用軟體 RAID、序列連結 SCSI、SAN/NAS 儲存體或動態磁碟區,則無法執行 BitLocker,因此須盡可能在網域控制站中使用本機連結儲存體 (無論有無硬體 RAID)。
虛擬網域控制站
如果要執行虛擬網域控制站,應使用不同於環境中其他虛擬機器的實體主機執行。 即使利用第三方虛擬化平臺,也請考慮在 Windows Server 的 Hyper-V 上部署虛擬網域控制站,以將攻擊面縮減至最小,且可透過其託管的網域控制站管理,不須與其他虛擬化主機共同管理。 如果執行 System Center Virtual Machine Manager (SCVMM) 管理虛擬化基礎結構,則可委派經授權的管理員管理網域控制站虛擬機器的實體主機,以及網域控制站本身。 同時應考慮分隔虛擬網域控制站的儲存體,防止儲存體管理員存取虛擬機器檔案。
注意
如果想在同一部實體虛擬化伺服器 (主機) 上,共置虛擬網域控制站和其他敏感性較低的虛擬機器,請考慮實施可強制執行角色型職責區分的解決方案,例如 Hyper-V 中受防護的 VM。 這項技術可提供全面保護,防止惡意或無知的網狀架構系統管理員 (包括虛擬化、網路、儲存體和備份管理員) 造成危害,並利用實體信任根、遠端證明和安全 VM 佈建,有效確保與專用實體伺服器同等的安全性等級。
分支位置
分支位置的實體網域控制站
在具有多部伺服器,但實體安全等級未達資料中心伺服器安全等級的地點,實體網域控制站應搭載 TPM 晶片,並進行 BitLocker 磁碟機加密。 如果無法將網域控制站存放於分支位置的上鎖房間中,則應於這類地點部署唯獨網域控制站 (RODC)。
分支位置的虛擬網域控制站
在分公司執行虛擬網域控制站時,若可行,請盡量使用不同於現場其他虛擬機器的實體主機。 在分公司中,如果無法使用不同於其他虛擬機器群體的實體主機執行虛擬網域控制站,則至少須於該主機上實施 TPM 晶片和 BitLocker 磁碟機加密,並盡可能於所有主機上執行相同動作。 應根據分公司的大小和實體主機的安全性,考慮在分支位置部署 RODC。
空間與安全性受限的遠端位置
如果您的基礎結構包含只能安裝單一實體伺服器的位置,則應安裝能執行虛擬化工作負載的伺服器,並設定 BitLocker 磁碟機加密以保護伺服器中的所有磁碟區。 伺服器上應有一部虛擬機器作為 RODC 執行,其他伺服器則作為主機上個別的虛擬機器執行。 如需 RODC 規劃和部署的詳細資訊,請參閱唯讀網域控制站規劃和部署指南。 如需虛擬化網域控制站部署與安全的詳細資訊,請參閱在 Hyper-V 中執行網域控制站。 如需強化 Hyper-V 安全性、委派虛擬機器管理及保護虛擬機器的詳細指導方針,請參閱 Microsoft 網站上的 Hyper-V 安全性指南解決方案加速器。
網域控制站作業系統
您應在組織內支援的最新版本 Windows Server 上執行所有網域控制站, 組織則應優先解除委任網域控制站群體中的舊版作業系統。 請將網域控制站保持於最新狀態,並淘汰舊版網域控制站,以使用新功能和安全性。 若網域控制站執行舊版作業系統,則可能無法在網域或樹系中使用此功能。
注意
針對需要高度安全性的單一用途設定,建議您在核心安裝選項中部署作業系統, 以獲得多項優勢,包括將攻擊面縮減至最小、改善效能,並降低人為疏失的可能性。 建議透過高度安全的專用端點,如特殊權限存取工作站 (PAW) 或安全的系統管理主機,遠端執行所有作業與管理。
網域控制站的安全設定
可使用工具針對網域控制站建立初始安全性設定基準,以利未來透過 GPO 強制執行。 在 Microsoft 作業系統文件的管理安全性原則設定章節,或適用於 Windows 的 Desired State Configuration (DSC) 中將說明這些工具。
RDP 限制
針對所有連結至樹系中所有網域控制站 OU 的群組原則物件,應設定為僅允許來自授權使用者和系統 (例如跳躍伺服器) 等的 RDP 連線, 並搭配使用者權限設定和使用 GPO 實施的 WFAS 設定進行控制,以一致地套用原則。 如果略過原則,下一次群組原則重新整理時便會將系統恢復為適當設定。
網域控制站的修補和設定管理
雖然似乎違反直覺,但您應該考慮將網域控制站和其他重要基礎結構元件與一般 Windows 基礎結構分開修補。 如果您針對基礎結構中的所有電腦使用企業組態管理軟體,對這些系統管理軟體的危害可能用來危害或摧毀該軟體管理的所有基礎結構元件。 除了嚴格控制網域控制站的管理之外,您還可以將網域控制站的修補和系統管理與一般母體分開,以減少安裝在網域控制站上的軟體數量。
封鎖網域控制站的網際網路存取
Active Directory 安全性評定包括檢查網域控制站上 Internet Explorer 的使用和設定。 在網域控制站上,不得使用網頁瀏覽器。 針對數千個網域控制站進行分析後,發現許多特殊權限使用者會利用 Internet Explorer 瀏覽組織內部網路或網際網路。
如先前在危及系統安全的途徑的「設定錯誤」一節中所述,若使用高度特殊權限帳戶,從 Windows 基礎結構中最強大的電腦瀏覽網際網路或受感染的內部網路,將對組織的安全性造成極大風險。 無論是透過偷渡式下載,或遭惡意軟體感染的「公用程式」,攻擊者都能如入無人之境,徹底入侵或破壞 Active Directory 環境。
雖然 Windows Server 和目前的 Internet Explorer 版本提供許多防止惡意下載的保護措施,但在大多數使用網域控制站和特殊權限帳戶瀏覽網際網路的情況中,網域控制站仍執行 Windows Server 2003,或即使較新的作業系統和瀏覽器會提供保護措施,也遭刻意停用。
在網域控制站上啟動網頁瀏覽器時,應遵循原則和技術控制項的限制。 此外,也應嚴格控制網域控制站與網際網路間的一般存取活動。
Microsoft 鼓勵所有組織轉向雲端型身分和存取管理方法,並從 Active Directory 遷移到 Microsoft Entra ID。 Microsoft Entra ID 是一個完整的雲端身分和存取管理解決方案,用於管理目錄、支援對內部部署和雲端應用程式的存取,以及保護身分識别免受安全威脅。 Microsoft Entra ID 還提供一組可靠且精細的安全控制機制,以幫助保護身分識别,例如多重要素驗證、條件式存取原則、身分識別保護、身分識別治理和 Privileged Identity Management。
大多數組織在轉移到雲端期間,會在混合式身分識別模型中執行,其中其內部部署 Active Directory 的某些元素會使用 Microsoft Entra Connect 進行同步。 雖然此混合式模型存在於任何組織中,但針對這類內部部署身分識別,Microsoft 建議透過適用於身分識別的 Microsoft Defender 進行雲端保護。 藉由在網域控制站和 AD FS 伺服器上設定適用於身分識別的 Microsoft Defender 感應器,能利用 Proxy 和特定端點,與雲端服務建立高度安全的單向連線。 如需如何設定此 Proxy 連線的完整說明,請參閱適用於身分識別的 Defender 技術文件。 透過這類嚴格控制的設定,可確實降低伺服器連線到雲端服務的風險,適用於身分識別的 Defender 也能進一步強化組織保護功能。 Microsoft 也建議使用雲端端點偵測 (如適用於伺服器的 Microsoft Defender) 保護伺服器。
針對具法規或其他原則需求的組織,若想維護僅限內部部署的 Active Directory,Microsoft 建議全面限制網域控制站的網際網路存取。
周邊防火牆限制
應設置周邊防火牆,以封鎖從網域控制站到網際網路的輸出連線。 雖然網域控制站可能須進行跨站台界限通訊,仍可依照如何設定 Active Directory 網域和信任的防火牆中的指導方針,設定周邊防火牆以允許站台間通訊。
防止從網域控制站瀏覽網頁
可以搭配使用 AppLocker 設定、「黑洞」Proxy 設定和 WFAS 設定,封鎖網域控制站存取網際網路,並防止在網域控制站上使用網頁瀏覽器。