确保 Active Directory 管理安全 - 第 3 部分

我们将继续由 Brian Svidergol 创建的有关 Active Directory 管理安全方面的系列文章。本系列分为三个部分，每个部分专门讨论有关保护 Active Directory 管理的特定问题。为了更深入地了解该主题，欢迎您阅读第一部分，重点介绍最小权限原则，以及第二部分，介绍基础设施注意事项。今天，在本系列的最后一部分中，您可以了解审核、监控和警报。

仅监控这个话题就可以写满一本书。 审计和警报也可以！ 因此，在这篇博文中，我们只会在高层讨论这些系统的几个小领域。 我在监控环境时看到和听到的最常见的事情是管理员收到太多警报。 太多的警报通常会导致一件事——对事件缺乏响应或响应缓慢。 通常，人们都意识到这个难题。 但它不会改变许多组织的配置。 我想谈谈 3 个方面 - 为什么应该审核成功和失败、监控如何保护 Active Directory 以及减少警报数量以改进事件响应。

• 为什么应该审核成功和失败。 查看您的审核配置。 您是否只审核失败的情况？ 如果是这样，你并不孤单！ 但是，现在是重新考虑该策略的时候了。 强烈推荐对成功和失败进行审核的策略。 让我举几个例子来说明审计成功的重要性。 首先，您正在调查域控制器上的配置更改。 改变已经发生了。 这需要成功的身份验证和某种类型的远程管理（RDP 或 MMC）。 在这种情况下，整个路径充满了成功的行动。 如果您不通过审核捕获这些信息，那么找出谁/什么/何时会变得多么困难？ 相当多。 另一个例子 - 您会看到大量与向域控制器进行身份验证的服务帐户相关的失败审核。 好消息 - 您通过审核捕获了失败的尝试。 坏消息 - 您不确定尝试停止是因为攻击者放弃还是因为他实际上进入了。审核成功和失败有助于将事情像这样联系在一起。
• 监控如何影响 Active Directory 的安全。 有很多关于监视 Active Directory 的主题……数量之多以至于整本白皮书都是关于它的。 今天，我不打算深入讨论健康监控和阈值。 相反，我们首先关注安全组。 我们来谈谈域管理员组（尽管即将发布的建议适用于所有关键安全组）。 您应该监视组成员资格的所有更改（添加和减少）。 如果不这样做，您可能永远不会知道是否有人被临时添加（例如，对您的网络造成严重破坏），然后在几个小时后被删除。 现在让我们转向组策略。 组策略是监控 Active Directory 时经常被忽视的一个领域。 使用组策略时，我们会想到许多丑陋的场景：攻击者想要在整个企业范围内发起网络钓鱼攻击，但当前的 IE 设置阻止或降低了有效性 - 快速更改 GPO 并继续，攻击者需要将一些恶意软件推送到所有加入域的计算机- 创建一个 GPO 并开始。 正如您所看到的，监视组策略在整体监视策略中发挥着重要作用。 您需要知道何时创建新 GPO、何时 GPO 链接更改以及何时 GPO 设置更改。 您还想知道谁执行了更改。 最后，管理子网发挥作用。 拥有集中管理子网可以实现高度针对性的监控，并开启了自动化大量初始监控配置的潜力。 您可以针对整个子网进行监控，而不是针对特定服务器、特定 IP 或特定组（容器/组/或其他集合）进行监控。
• 减少警报数量。 对于曾经部署过 System Center Operations Manager (OpsMgr) 的任何人来说，您都已经知道我要去哪里了。 如今，监控工具非常复杂。 它们开箱即用，内置了大量监视器，并针对服务器角色进行了定制。 OpsMgr 拥有几乎所有内容的管理包！ 这是个好消息。 坏消息是，当您打开所有功能并完成基本配置时，管理员将因环境中存在多少“问题”而不知所措。

起初，这是令人兴奋的——大量的活动和一堆唾手可得的成果。 但几天过去了，几周过去了，警报不断出现。 接下来您就会知道，您在收件箱中创建的漂亮的小监控文件夹中加载了数千条未读的警报消息。 您不再实时查看“监控”文件夹，而是在闲暇时仔细阅读它。 这很常见。 当然，还有更糟糕的。 有一次，我与一家公司合作，该公司的一些管理员将他们的短信地址从通知中删除，因为短信警报的数量令人震惊。 我和很多人讨论过减少警报数量的问题。 但通常要等到事件发生后才采取行动。 典型的事件是从停电开始的。 一旦一切都恢复正常，对中断的调查通常会着眼于监控。 当然，现在是添加或增强监控的好时机，以便管理员下次提前知道这一点，对吧？ 是的，但在这种情况下，管理员确实提前知道了。 他们在周三下午收到了 15 条警报，目前监控文件夹中包含 2600 条消息，其中消息 #550-564。因此，甚至没有人注意到他们。 当此类事件发生时，人们最终会开始考虑减少警报数量，以使事情更易于管理。

您可以减少警报数量或雇用 10 个人整天盯着监视器和日志（或者，在预算较多的组织中，您可以同时执行这两种操作）。 我减少警报的策略非常简单。 每当出现问题（中断、性能下降等）时，我都会查看监控。 我查明我们是否知道这件事，如果我们知道了——我们是否足够早地知道这件事，以便采取行动并避免出现问题？ 我查明监控是否为我们提供了足够的信息来采取行动。 我查明是否通知了合适的人。 通常，一个部门的管理员会收到不仅仅是其部门的警报。 这种情况发生在多个团队中。 然后，当警报出现时，即使管理员确实看到了它，也没有人采取行动，因为他们认为其他人也看到了。 在我的监控策略中，当警报出现时，我还会问一个关键问题。警报是否要求我或其他人采取行动？ 如果不是，则警报的值值得怀疑。 在完美的世界中，每个警报都相当于接收者采取的行动。 人们只有在需要采取行动时才会收到警报，并且警报将包含他们需要了解的所有信息。 总结一下我减少警报数量的监控策略，请按照以下步骤操作：

1. 确定是否针对收到的警报采取了任何操作。 如果没有，为什么不呢？ 是否可以在不影响任何内容的情况下删除警报？ 然后将其移除。 数据仍将在监控数据库中用于报告，但不会阻塞您的手机或电子邮件。
2. 您是否收到其他人正在采取行动的警报？ 如果是这样，他们也会收到警报吗？ 如果是这样，请考虑自行退出。 如果没有，请将他们添加到警报中，然后将自己删除。 只有那些愿意采取行动的人才会收到警报。
3. 您是否会通过手机短信收到有关不重要问题的通知（例如磁盘空间可用 20%）？ 如果是这样，请自行移除。 SMS 通知仅应在出现生产问题和中断或即将发生的生产问题和中断时发出。 如果磁盘以 20% 的速度运行，但在 8 天内都不会填满，您应该还不会收到短信通知。

我希望我谈到了一些切中要害的主题，并让您开始思考您的环境中的某些领域。 正如 Bruce Schneier 早在 2000 年 4 月所说，“安全是一个过程，而不是一个产品”。 祝您计算愉快、安全！