Active Directory 林恢复说明

因此，Active Directory 林恢复必须成为任何组织网络安全策略的核心要素。但是，可靠的 AD 森林恢复计划需要什么？在规划策略时应避免哪些常见错误？这篇博文回答了这些关键问题以及更多问题。

什么是 Active Directory 林恢复？

AD 林恢复是在发生灾难（例如网络攻击、硬件故障、自然灾害或管理错误）后将 Active Directory 林恢复到功能状态的过程。

简单回顾一下，AD 林具有以下层次结构：林 > 树 > 域。也就是说，Active Directory 林是一棵或多棵 Active Directory 树的集合，具有共享目录架构、全局编录、应用程序信息和配置对象。 （全局目录列出了林中的所有对象，架构定义了林中每个对象的类和属性。）每棵树都包含一个或多个分层结构中的域，具有连续的命名空间和域之间的传递信任关系。

每个 Active Directory 至少有一个林，并且每个林至少有一个域。 每个域至少有一个域控制器 (DC)，它是运行 Active Directory 域服务 (AD DS) 的服务器 — 通常简称为“Active Directory”。 ”

因此，当我们谈论 Active Directory 林恢复时，我们谈论的是恢复域控制器。在最简单的情况下，这只是林中一个域中的单个 DC。但对于大多数组织来说，它涉及恢复林的单个域中的多个 DC，甚至是林中多个域中每个域中的多个 DC。

为什么 Active Directory 林恢复很重要？

由于 Active Directory 为当今绝大多数组织提供重要的身份服务，因此它长期以来一直是网络攻击的首要目标。而对手则不断磨练他们的AD攻击技巧；事实上，一些勒索软件攻击可以在几分钟甚至几秒钟内摧毁您的 Active Directory 林。但风险不仅限于网络攻击 - 每个 Active Directory 林还容易受到自然灾害、硬件和软件故障、人为错误和其他类型的逆境的影响。

由于 AD 在 IT 生态系统中发挥着核心作用，森林停机就相当于业务损失。 AD 不可用的每一分钟，您的员工都将无法完成工作，客户将无法下订单，并且几乎所有其他业务流程都将陷入停顿。

森林停工的成本迅速增加。在 Quest 委托 Forrester Consulting 进行的一项总体经济影响研究中，AD 离线每小时会造成 730,000 美元的收入损失。其他研究发现，40% 的企业表示，一小时的停机成本为 100 万至 500 万美元以上。在最坏的情况下，损失可能达到每分钟数百万美元。

很简单，Active Directory 林恢复不仅重要，而且对于在灾难发生后恢复并运行您的业务（无论原因为何）至关重要。

如何备份我的 Active Directory 林？

任何 Active Directory 林恢复策略的第一部分是确保您有可靠的备份可供恢复。请务必定期进行 AD 备份，对其进行测试以确保其有效，并将其存储在安全的地方。 Microsoft 建议遵循 3-2-1 规则：在 2 种不同的存储类型上保留 3 个数据备份，并在异地保留至少 1 个备份。此外，明智的做法是确保至少部分备份是气隙的 - 确保对手对它们的访问权限为零，以便在您需要它们来恢复森林时可以使用它们。

备份类型

在设计 Active Directory 林恢复策略时，实际上有多种类型的备份需要了解。本机选项包括：

• 系统状态备份 - 这些备份几乎包括整个操作系统，而不仅仅是 Active Directory 部分。因此，从系统状态备份进行恢复会增加恢复感染恶意软件或具有零日漏洞的组件的风险，因此它们很少是发生灾难时的最佳选择。
• 裸机恢复 (BMR) 备份— BMR 备份使您能够将 DC 恢复到不同的硬件实例，这在 DC 物理损坏的情况下特别有价值。与系统状态备份一样，BMR 备份包含的数据多于 Active Directory 恢复所需的数据，从而减慢了恢复过程并增加了风险。

一些第三方灾难恢复解决方案提供额外的备份选项：

• Active Directory 备份 - 这些备份仅包含 AD 特定的组件：NTDS 目录、SYSVOL（包含组策略和登录脚本）以及与 AD 相关的注册表方面。
• Azure AD 备份 - 在混合 AD 环境中，您还需要针对纯云对象和属性的备份策略，例如 Microsoft 365 许可证和应用程序角色分配、Office 365 和 Azure AD 组、纯云用户喜欢 Azure B2B 和 B2C 帐户，以及 Azure AD MFA 设置和条件访问策略。这些业务关键对象和属性没有受到本机 Microsoft 工具的充分保护，也没有被任何本地备份解决方案覆盖。

Active Directory 林恢复需要什么？

Active Directory 林恢复不仅仅涉及从备份恢复 DC。它需要对众多步骤进行细致的协调：准备、执行恢复、将每个 DC 与其复制伙伴同步并使其再次可用等等。

该过程的详细信息取决于您进行的备份类型和您正在使用的恢复工具。 Active Directory 林恢复方法的两种主要类型是裸机恢复和干净操作系统 (OS) 恢复。

仅适用于企业备份和恢复解决方案，在大多数情况下（包括勒索软件攻击），干净的操作系统恢复优于 BMR。主要原因是 BMR 恢复整个卷（磁盘分区），其中包括不属于 AD 的文件，例如引导扇区、程序文件目录以及 Windows 和 WinSXS 目录。这为恶意软件提供了很多隐藏的地方，使您面临恢复操作后重新感染的风险。

另一方面，干净的操作系统恢复仅恢复 AD 组件，这大大减少了恶意软件可以隐藏的地方。此外，要执行 BMR，目标计算机必须具有与原始 DC 相同的物理磁盘布局，并且这些磁盘必须至少与原始 DC 一样大，以便可以像以前一样放置相同的分区。您还必须担心注入启动关键驱动程序、命令行网络配置等。

BMR 更适合的例外情况包括您实际需要在 BMR 备份中存储附加数据的情况。例如，如果您的域控制器用于非 AD 相关服务，例如托管非 AD 集成的 DNS 区域、运行证书颁发机构或运行文件和打印服务，则可能需要 BMR。

如何执行 Active Directory 林恢复？

让您的组织恢复正常运行（如果未完全运行）的最快方法是使用分阶段方法进行 Active Directory 林恢复。每个阶段都可以手动执行，也可以使用专门构建的 Active Directory 恢复解决方案来执行。

第 1 阶段：在每个域中恢复一个 DC

第一步是恢复每个域中的一个 DC，然后让这些 DC 再次作为林进行通信和运行。

• 使用手动方法：虽然仅恢复几个选定的 DC 比恢复所有 DC 快得多，但使用手动方法，此阶段仍然非常耗时。事实上，Microsoft 的 Active Directory 林恢复指南概述了 12 个配置过程，其中包含 40 多个步骤，必须在从备份恢复的每个 DC 上执行这些步骤。未能正确完成这些步骤可能会导致 AD 损坏或留下挥之不去的安全漏洞。
• 使用 AD 恢复解决方案：企业备份和恢复解决方案可以简化和自动化这些任务，将重新启动业务运营所需的时间从几天或几周缩短到几小时。

第 2 阶段：推广其余 DC

然后，您需要提升每个域中的其余 DC。

• 使用手动方法：此阶段有多种选择，包括直接 DC 升级，但 Microsoft 建议使用从媒体安装 (IFM) 方法。由于 IFM 将通过网络发送的流量减少了一半，因此可以显着加快 DC 升级过程。然而，使用原生工具，任何一种方法都需要您逐个升级每个 DC，并且每个服务器将需要几分钟到几个小时来升级。
• 使用 AD 恢复解决方案：第三方解决方案可以自动化 IFM 流程并并行提升多个 DC，从而显着缩短恢复的第 2 阶段。

Active Directory 林恢复规划中的常见错误

现在让我们回顾一下组织在制定 Active Directory 林恢复策略时容易犯的关键错误。以下是最要避免的：

1. 未能确定 Active Directory 备份和恢复的优先级

在备份和恢复方面，IT 团队有许多优先事项：关键业务文件、重要应用程序、重要数据库等等。但简单的事实是，Active Directory 是用户在本地和云端进行身份验证和获取 IT 资源访问权限的主要方式 — 因此，在 Active Directory 恢复之前，用户无法访问这些文件、应用程序和数据库。因此，Active Directory 备份和恢复必须处于优先级列表的首位。

2.认为AD回收站就足够了

AD 回收站是一个很有价值的工具；它提供了一种快速恢复最近删除的某些类型的对象的便捷方法。但它不是——也从来没有打算成为——企业备份和恢复解决方案。

为了说明为什么 AD 回收站对于 Active Directory 林恢复来说严重不足，请考虑一下它在恢复单个 AD 对象方面的局限性。对于初学者来说，回收站仅适用于已删除的对象；无法恢复已修改的对象的特定属性。例如，如果攻击者将密码加扰器放入您的网络，它将重置您的用户帐户的密码。但由于这些 AD 对象是被修改而不是被删除，因此它们不会进入回收站，因此无法从中恢复。

此外，并非所有类型的对象在删除时都会移至回收站，甚至通常会移至回收站的项目也可以通过阻止它们进入回收站的方式进行删除。 例如，在灾难发生后肯定需要恢复的组策略对象 (GPO) 并不包含在回收站中。即使已删除的对象确实进入回收站，也只会保留 30 天，之后就会被永久删除。最后但并非最不重要的一点是，很难弄清楚需要恢复什么，因为没有更改日志或比较报告来帮助您确定需要恢复哪些对象。

简而言之，虽然回收站确实是在某些有限情况下恢复已删除 AD 对象的便捷方法，但它不是备份，当然不应被误认为是 Active Directory 林恢复策略。

3. 计划从备份中手动恢复 DC

如前所述，可以手动从备份恢复 DC，但这是一个极其复杂且容易出错的过程，可能需要数天甚至数周才能完成。此外，犯错误或不按顺序执行步骤可能会导致各种严重问题，包括破坏域控制器之间的复制。

此外，如果该过程包括 Azure AD 恢复，用户最终可能会丢失基于云的属性，例如 Office 365 许可证和应用程序角色分配，而这些属性对于他们能够完成工作至关重要。由于大多数这些属性不会进入 Azure AD 回收站，因此通过手动方法几乎不可能及时恢复它们。

简而言之，从备份中手动恢复 DC 根本无法提供快速的 Active Directory 林恢复，而您需要这种快速恢复来使您的企业及时恢复正常运转并最大限度地减少灾难造成的损失。

4. 依靠 Microsoft DART 和关键响应 (CRSP) 团队

Microsoft DART 和 CRSP 团队可以帮助您执行 Active Directory 林恢复 — 但要准备好付费。这是因为他们会向您收取完成这项工作所需的时间，并且正如我们所见，使用本机工具和流程进行恢复是一个耗时的过程。

另外，请记住，如果您没有创建适当的备份并确保它们免受损坏、删除和加密，即使是 Microsoft 专家也无法恢复您的林。

5. 未能将恢复视为网络安全的重要组成部分

强大的网络安全计划对于每个组织都至关重要。它必须包括通过风险评估和攻击路径管理等方法减少攻击面的策略。它还需要对可疑活动进行深入审核、高级威胁分析和快速响应能力。

但请记住，恢复对于网络安全也至关重要；事实上，它是 NIST 网络安全框架 (CSF) 的支柱之一。此外，请记住，您的目标不仅仅是网络安全，还有网络弹性：通过尽可能保持 IT 环境正常运行并在发生中断时使其快速恢复运行，使您的组织能够持续实现其目标或使命发生。因此，投资 Active Directory 林恢复与网络弹性策略的任何其他部分一样必要。

6. 从云端存储的孤立镜像恢复AD

VM 快照（虚拟机 (VM) 在给定时间点的映像）根本不足以作为 Active Directory 备份，无论它们存储在何处。使用它们进行林恢复几乎总是会导致难以解决的数据一致性问题。此外，云中的图像并不能神奇地免受网络攻击、人为错误、故障和其他可能损坏或删除图像的逆境的影响。

7. 未能保护你的备份

攻击者知道 Active Directory 林恢复需要良好的备份，因此他们经常尝试删除、加密或损坏他们可以访问的每个备份，以确保他们的攻击造成尽可能多的损害。因此，创建任何人都无法有意或无意更改的不可变备份至关重要。此外，请确保至少部分备份是气隙的（存储在没有物理网络连接且无法通过网络访问的地方），这样威胁者和恶意软件就无法访问它们。

结论

拥有全面且铁定的 Active Directory 森林恢复策略对于网络安全和网络弹性至关重要。投资企业级工具可以确保准确性并显着加快恢复过程，从几天或几周缩短到仅仅几个小时。让我引用 Gartner 研究的一句话：

“如果可能，请投资用于 Active Directory 恢复的专用工具，因为 Microsoft 工具和程序以及企业备份工具的有限功能通常不适合用途。 ”

• Gartner, Inc.，“恢复与重建 — 勒索软件攻击后恢复应用程序的策略”，Nik Simpson 和 Ron Blair，2022 年 3 月 2 日