强化 Active Directory 基础架构的最佳策略

Microsoft Active Directory (AD) 是全球 90% 组织的中央凭据存储。作为业务应用程序和数据的看门人，它不仅无处不在，而且无所不在！ 管理 AD 是一项永无止境的任务，而保护它则更加困难。在 Netwrix，我们与许多使用我们的工具来管理和保护 AD 的客户进行了交谈，多年来，加强安全性和强化 AD 以抵御攻击的关键策略已经出现。以下是您可以在您的环境中使用的 10 个 Active Directory 安全强化技巧：

提示#1：清理陈旧的对象。

Active Directory 包括数千个项目和许多需要保护的移动元素。提高安全性的核心方法是通过删除未使用的用户、组和计算机来减少混乱。过时的 AD 对象可能会被攻击者滥用，因此删除它们可以减少攻击面。

您还可能会发现很少使用的物品。使用人力资源数据并与业务利益相关者合作确定他们的状态；例如，对于用户帐户，确定用户的经理。虽然这需要时间，但您会很高兴在下次审计或合规性审查期间完成它。

提示#2：让用户轻松选择安全密码。

为了防止对手泄露用户凭据以进入您的网络并横向移动，密码必须难以破解。但用户根本无法自己记住和管理多个复杂的密码，因此他们采取削弱安全性的做法，例如将密码写在便利贴上，或者在需要更改密码时简单地在末尾增加一个数字。这导致安全专家削弱了有关密码复杂性和重置的建议。

然而，借助企业密码管理解决方案，您可以让用户轻松创建独特且高度安全的密码并对其进行有效管理，因此您不必在强密码要求方面做出妥协。用户只需记住一个强密码，该工具就会为他们管理所有其他密码。

提示#3：不要让员工在其工作站上拥有管理员权限。

如果攻击者获得了用户帐户的控制权（我们都知道这种情况经常发生），他们的下一步通常是在用户的工作站上安装黑客软件，以帮助他们横向移动并接管其他帐户。如果受感染的帐户具有本地管理员权限，那么该任务就很容易。

但大多数企业用户实际上并不需要经常安装软件或更改设置，因此您可以通过不授予他们管理员权限来降低风险。如果他们确实需要额外的应用程序，可以要求帮助台安装。不要忘记使用 Microsoft LAPS 确保所有剩余的本地管理员帐户都拥有强密码并定期更改它们。

提示#4：锁定服务帐户。

应用程序使用服务帐户向 AD 进行身份验证。他们经常成为攻击者的攻击目标，因为他们很少受到监控，拥有更高的权限，并且通常拥有永不过期的密码。因此，请仔细检查您的服务帐户并尽可能限制其权限。有时，服务帐户是域管理员组的成员，但通常不需要所有功能访问权限 - 您可能需要与应用程序供应商核实以找出所需的确切权限。

定期更改服务帐户密码也很重要，以使攻击者更难以利用它们。手动执行此操作很困难，因此请考虑使用 Windows Server 2016 中引入的组托管服务帐户 (gMSA) 功能。当您使用 gMSA 时，操作系统将自动为您处理服务帐户的密码管理。

提示#5：消除安全组中的永久成员身份。

企业管理员、架构管理员和域管理员安全组是 Active Directory 皇冠上的宝石，攻击者会尽一切努力获得其中的成员资格。如果您的管理员在这些组中拥有永久成员身份，则危害其帐户之一的攻击者将在您的域中拥有永久提升的访问权限。

为了降低这种风险，请严格限制所有这些高特权组的成员资格，并且使成员资格成为临时的。企业管理员和架构管理员组不经常使用，因此对于这些组来说，这不会成为问题。需要更多的域管理员，因此必须建立一个授予临时成员资格的系统。

提示#6：尽可能消除提升的权限。

攻击者需要三种相当常见的权限来执行针对 AD 的攻击：重置密码、更改组成员身份和复制。这些权限更难保护，因为它们在日常操作中使用得非常频繁。

因此，您应该监视对安全组权限或成员身份的所有更改，这些更改会将这些权限授予其他用户。更好的是，实施特权访问管理 (PAM) 解决方案，以实现这些特权的及时临时配置。

提示#7：实施多重身份验证 (MFA)

MFA 要求用户提供至少两种以下类型的身份验证因素来验证其身份，从而增加了额外的安全层：

• 他们知道的东西，例如密码、PIN 码或安全问题的答案
• 他们拥有的东西，例如物理令牌或智能卡的代码
• 它们是什么，这意味着生物识别技术，如指纹、虹膜或面部扫描

提示 #8：仔细审核您的 Active Directory。

审核 Active Directory 中的不安全设置和可疑活动非常重要。特别是，您应该定期执行风险评估，以缩小安全漏洞，监控异常用户活动，并及时识别关键系统文件中的配置偏差。投资能够自动提醒您可疑事件甚至自动响应阻止威胁的工具是理想的选择。

提示 #9：保护 DNS。

保护 DNS 安全可以帮助您阻止各种攻击，包括域劫持和 DNS 欺骗。采取的步骤包括实施 DNSSEC、使用安全的 DNS 服务器以及定期检查 DNS 设置。

提示 #10：定期备份 Active Directory。

拥有 Active Directory 的最新备份对于从网络事件（包括勒索软件攻击和自然灾害）中恢复至关重要。备份应安全存储、定期测试并易于访问，以确保在发生灾难时可以恢复关键的 AD 设置。

结论

Active Directory 是一个令人惊叹的访问控制系统。然而，只有当它干净、易于理解、正确配置、密切监控和严格控制时，它才是安全的。这些技巧是您可以加强安全性和强化 Active Directory 的实用方法。

经常问的问题

什么是 Active Directory 中的强化？

Active Directory 中的强化是保护和强化目录服务的过程，以降低数据泄露和停机的风险。它涉及控制对敏感数据的访问、删除不必要的对象、执行密码策略以及监视可疑活动。

什么是域控制器强化？

域控制器强化是强化运行 Active Directory 的服务器的过程，以降低未经授权的访问、数据泄露和服务中断的风险。它包括停用多余的服务、部署安全补丁和更新、建立防火墙规则以及实施强密码实践。

如果域控制器受到威胁会发生什么？

攻击域控制器的攻击者可能会造成重大损害，从访问敏感数据到创建、修改和删除用户帐户和其他关键 AD 对象。

如何保护 Active Directory 的安全？

保护 Active Directory 的安全是一个持续的过程，涉及多层安全控制。特别是，组织需要实施强密码策略、限制用户访问、监控可疑活动、对计算机进行修补和更新、保护域控制器、使用多重身份验证 (MFA) 来增加额外的安全性，并对员工进行网络安全最佳实践和潜力方面的教育威胁。