确保 Active Directory 管理安全第 1 部分

我们开始发布一系列有关 Active Directory 管理安全方面的文章，由 Brian Svidergol 创建。本系列分为三个部分（第 1 部分、第 2 部分、第 3 部分），每个部分专门讨论有关保护 Active Directory 管理的特定问题，并为每个领域提供一些想法：

• 最小权限原则。 虽然许多管理员听说过这个术语并了解基本概念，但它并不总是与其环境的配置相关。 今天要讨论的内容包括内部安全事件、权限升级示例以及最小化问题。
• 基础设施考虑因素。 我们来谈谈管理子网、管理服务器和管理客户端计算机。
• 审核/监控/警报。 为什么您应该审核成功和失败、监控如何确保 Active Directory 管理安全、减少警报的技术以便您在收到警报时采取行动。

如今，安全是一个大话题，特别是考虑到最近针对 Target 和其他主要零售商的攻击。 通常，重大攻击后的重点是保护 IT 系统并深入研究企业安全策略以降低未来风险。 然而，在我的旅行中，我发现有一个领域有时没有得到应有的关注——保护 IT 管理。 在本博客中，我将专门讨论 Active Directory 的管理，包括域管理、对象管理以及目录服务相关技术的相关管理。

今天您可以了解最小权限原则如何应用于 Active Directory 管理主题。

维基百科对最小权限原则有很好的介绍。 在最简单的定义中，最小权限原则意味着 Active Directory 管理员仅拥有执行其工作任务所需的最低权限。 当然，最小权限原则适用于所有 IT 领域及其他领域，但我在这篇博文中严格从 Active Directory 管理的角度来介绍它。

内部安全事件。 环顾互联网，您会发现关于 IT 安全的内部风险有多严重（或不严重）的令人难以置信的不同故事。 我看到报告称，只有 15% 的安全漏洞发生在内部网络。 我看过其他报告，显示超过 50% 的安全漏洞发生在内部网络。 保护 Active Directory 管理的安全实际上与事件的来源或恶意个人是内部人员还是外部人员无关。 在许多情况下，Active Directory 很可能是关键目标。 因为一旦恶意个人拥有 Active Directory，该个人就可以通过使用权限升级来开始拥有无数其他系统。 包括权限升级在内的一些示例是：

• 微软交换。 虽然 Exchange 管理有时是由与 Active Directory 管理完全不同的团队执行的，但权限是通过使用 Active Directory 组来分配的。 如果您控制 Active Directory，则可以将自己添加到适当的组并完全控制整个电子邮件环境。 这意味着可以访问 CEO 的邮箱、复制大量机密邮箱数据的能力、采用高特权 IT 用户身份的能力（例如有权访问敏感数据的 DBA）——只需发送一封电子邮件作为DBA 获得额外的访问权限。
• 微软Lync。 与交易所的情况相同。 基于 Active Directory 安全组构建的基于角色的访问。 将您自己添加到适当的组中，您可以突然以整个组织中的任何人的身份发送即时消息。 您可以劫持 Lync 会议、重定向电话和记录对话。
• 文件共享。 绝大多数文件共享都通过使用 Active Directory 安全组来保护。 将最机密和敏感的数据存储在文件共享上的情况并不罕见——人力资源数据、工资数据、公司诉讼数据等等。 拥有 AD 的恶意用户可以使用 PowerShell 快速授予自己对网络上每个文件共享的访问权限。

您可以看到，如果恶意个人拥有您的 Active Directory，事情会如何迅速失控！ 以下是一些有助于最大程度地减少问题并在 AD 环境中利用最小权限原则的提示。 查看当前存在的所有 Active Directory 委派。 我发现以下问题是常见的委托问题：

1. 帮助台人员可以重置大多数或所有 Active Directory 用户对象的密码。 例如，如果帮助台人员可以重置 DBA 的密码，那么他实际上可以访问 DBA 可以访问的任何内容（如果需要）。 即使您的帮助台不是恶意人员，外部攻击者也总是在寻找最简单的进入方式。他们并不总是直接攻击域管理员帐户。 对一些服务台人员进行网络钓鱼攻击可能就是他们所需要的。 建议：确保人员只能重置适当的密码（这会因环境而异）。 在某些组织中，这意味着帮助台无法重置任何 IT 密码或高管密码，这些密码必须由其他团队或安全的自助服务方法处理。
2. 委托给单个用户对象。 在这种情况下，IT 管理员只有一个用户对象。 用户对象用于 IT 管理、上网和阅读电子邮件。 幸运的是，这个问题已得到广泛推广，一些公司正在采取行动将管理帐户与一般企业使用帐户分开。 如果你还没有走这条路，那么这样做就是一个巨大的胜利。 网络钓鱼攻击、浏览器漏洞攻击以及其他经常用于闯入网络的攻击的有效性大大降低（而且通常只是一种烦恼）。
3. 域管理员组中的服务帐户。 这真的让我抓狂。 我相信你们很多人都有同样的感觉。 而且，像我一样，您可能遇到过这样的情况：网络/DBA/应用程序管理员请求一个新的服务帐户，并提到供应商说该服务帐户必须是域管理员组的成员。 在这些情况下，第一步是索取官方供应商文档。 希望您能够准确得出所需的内容，并使用最小权限原则适当地委派它。 通常，供应商实际上并不确切知道需要什么，他们会走懒惰的路线——域管理员。 这让 IT 管理员陷入了尴尬的境地，要么选择将服务帐户放入域管理员组，要么花费 50 小时的工作来尝试确定所需的最低权限级别。 无论如何，有时依靠 IT 论坛会有所帮助，因为其他管理员可能已经找到了解决方案！

在下一篇文章中，您将能够了解有关基础设施注意事项的更多信息。