确保 Active Directory 管理安全 - 第 2 部分

我们将继续撰写由 Brian Svidergol 创建的有关 Active Directory 管理安全方面的系列文章。本系列分为三个部分，每个部分专门讨论有关保护 Active Directory 管理的特定问题。第一部分重点关注最小特权原则，可以在这里找到。今天，您可以了解基础架构注意事项，例如管理子网、管理服务器和管理客户端计算机。

有时，简单的想法在安全策略中非常有效。 考虑一个常见的在线银行建议——仅通过单个计算设备在线银行。 有些人一开始想到这一点时可能会认为这是一种烦恼。 但再想一想，大多数人都会意识到这个建议是合理的。 银行内置了安全监控功能，以监视来自未知计算设备（以及未知区域设置和其他标准）的网上银行登录。 从未知设备或位置登录时，银行通常会提示输入额外的身份验证因素。 但如果它碰巧满足他们的监控阈值，例如在一小时内从两个不同的国家登录，自动化任务就会启动以降低风险。 我想谈谈在保护 Active Directory 管理时应考虑的基础设施的 3 个领域。

• 管理子网。 与网上银行类似，组织可以从对特定子网的集中管理中获益。 因此，当在指定子网之外尝试进行管理连接时，系统会向管理员发送通知。 虽然概念很简单，但执行起来却很困难。 一个主要困难是在 TCP 端口 443 上运行的基于 Web 的管理界面 - 阻止从特定子网到其他特定子网的流量需要大量工时。 不过，使用管理子网可以带来立竿见影的好处。 一个好处是警报 - 如果尝试从非管理子网（用户子网、无线子网）与域控制器建立 RDP 连接，则会立即出现危险信号并需要采取后续行动。 对于许多组织来说，可以从网络上的任何位置执行与域控制器的 RDP 连接。 更糟糕的是，在我的旅行中，我见过一些组织允许从互联网通过 RDP 连接到其域控制器！ 管理子网的另一个好处是可以通过使用安全子网（端口安全）、双因素身份验证和其他技术来锁定它们。 封锁可以在没有大张旗鼓的情况下发生。 与锁定用户子网相比，用户会奋起反抗！ 在本博客的下一部分中，我将讨论与管理子网相关的监控和警报。
• 管理服务器。 即使您无法使用专用子网进行管理，使用专用管理服务器也是退而求其次的选择。 对于可以同时使用专用管理服务器和管理子网的组织来说，那就更好了！ 那么管理服务器能为您带来什么？ 与管理子网一样，您可以在服务器内部和周围部署额外的安全性。 我说的是双因素身份验证或证书身份验证、高安全性 GPO、用于管理服务器身份验证的标准用户帐户，以及我将在博客的下一部分中讨论的专门监控和警报。 管理服务器还包含管理员所需的所有工具，这些工具可以帮助使用相同工具集和相同版本的工具对所有管理员进行标准化。

管理客户端计算机。 我与很多人讨论过他们和组织中的其他人如何执行 Active Directory 管理。 通常，响应都是相同的 - 管理是从指定的客户端计算机执行的。 分配的客户端计算机用于处理电子邮件、浏览互联网和执行管理职责。 毫无疑问，相当方便。 如果您有一个用于所有事务的 AD 用户帐户，那就更方便了！ 但我们今天谈论的不是便利！ 我们正在谈论安全。 而这两件事往往不会同时发生！ 通过单个客户端计算机和单个用户帐户，管理员及其计算机成为多种类型攻击（包括网络钓鱼攻击）的主要目标。 如果管理员的计算机被拥有，攻击者就可以对管理员所做的一切进行管理访问。 更好的是，他拥有计算机上安装的所有工具、管理工具的缓存（RDP 连接信息、FTP 信息等）。 很明显，使用单个 AD 用户帐户在单个客户端计算机上进行操作的风险有多大。 修复？ 使用辅助用户帐户进行管理。 使用管理客户端计算机（可能是 VDI 环境中的 VM）进行管理。 在完美的世界中，拥有第二个用户帐户和管理客户端计算机。 与管理服务器类似，管理客户端计算机可以被锁定，具有双因素身份验证，并成为增强的监视和警报基础设施的一部分。 虽然我看到 IT 领域广泛建议使用单独的管理帐户，但我并不认为管理客户端计算机得到广泛使用。