安全 Active Directory 管理模型的 4 个步骤

Active Directory (AD) 是黑客的主要目标，因为它提供了一种访问敏感公司数据的方法。以下是为 Active Directory 建立安全管理模型的四个注意事项。

1.删除多余的域管理员权限

域和企业管理员帐户掌握着您王国的钥匙，一旦受到威胁，您就可以认为您的组织拥有它。记住这一点，公司面临的最大安全问题之一可能是域管理员帐户的激增和域管理员帐户密码的共享，这可能会让人感到惊讶。

首先确保域管理员帐户密码较长且复杂，并定期更改。同时，不要忘记目录服务还原模式 (DSRM) 密码。对架构管理员、域管理员和企业管理员执行组成员身份审核。除任何默认帐户外，这些组在大多数情况下应保持为空。

大多数与 Active Directory 相关的任务不需要管理员权限，但当需要对域控制器进行特权访问时，请临时分配适合该任务的权限。如果您决定永久委派“管理员”类型权限，例如重新启动 Windows 服务或重新启动域控制器的能力，请确保将审核配置为记录帐户持有者所做的任何更改。

2.委托

日常 Active Directory 管理任务（例如创建新用户帐户和修改组成员身份）不需要使用域管理权限。内置的委派向导可用于为用户或组分配执行最常见任务所需的权限。

为了促进委派，我建议设计一个组织单位 (OU) 结构，允许将域中分配特殊权限的帐户与分配给非 IT 员工的帐户分开。例如，IT 帮助台员工可能被授予解锁用户帐户和修改一个 OU 中的组对象的权限，但禁止对为具有域特权访问权限的帐户保留的 OU 中的对象进行任何更改。

3.使用受限组策略来保护特权组

组策略包含一项称为“受限组”的功能，该功能允许定义确定 AD 或本地组成员身份的策略。如果如上所述正确限制特权 AD 帐户的使用并出于管理目的委派对 AD 的访问权限，则可以设置组策略对象 (GPO) 来管理架构管理员、域管理员和企业管理员组的成员身份。

虽然具有任何这些组的成员身份或能够修改 GPO 的用户将能够覆盖该策略，但如果流氓管理员尝试使用受限组来定义具有 AD 特权访问权限的组的成员身份，则可以帮助保护域控制器将自己添加到特权组中。

为了节省处理组策略设置的时间，请使用 Active Directory 工具，使管理 AD 和 GPO 变得更加容易。

4. 隔离用于管理 DC 的工作站

如果您需要使用具有特权访问权限的帐户登录或以其他方式远程授权 AD，则应始终从经过专门配置的设备执行这些操作，以降低与日常计算任务相关的风险。

指定用于特权域帐户的工作站应与 Internet 隔离、按照最小特权原则使用、启用审核并配置其他安全防御措施，例如反恶意软件、端点防火墙和应用程序控制。此外，将这些工作站的计算机对象放置在它们自己的 OU 中，以便可以单独应用策略。仅限制对本地登录的访问，并使用组策略强制执行上述限制。