什么是 Active Directory 安全组？使用安全组的最佳实践

98% 的安全威胁始于 Active Directory。 Active Directory 确实掌握着您王国的钥匙。如果没有建立正确的安全原则，并且您向用户授予过多的权限，那么您就会面临潜在的安全威胁。

在 Active Directory 中，有许多安全协议可供选择来实施最小权限策略，您只向真正需要它的人授予管理访问权限。

在本博客中，我们将详细介绍 Active Directory 中的安全组是什么、通讯组和安全组之间的区别、安全组的用途、如何创建安全组以及使用它们的最佳实践。

什么是 Active Directory 组？

一般来说，Active Directory 是一个将用户分为不同组的程序。它是一个集中式平台，大多数企业用它来管理其计算机帐户并授予对敏感数据的访问权限。

Active Directory 组是一组已被授予对某些资源的访问权限的用户。可以通过两种方式向群组授予此类访问权限；通过全局唯一标识符 (GUID) 或安全标识符 (SID)。

SID 主要在需要向特定用户授予访问权限时使用，而 GUID 在将所有需要访问相同资源的用户分组在一起时使用。

可以基于所有需要访问特定资源的单个用户来创建组，也可以基于全局组（例如部门）或特定域的成员来创建组。

Active Directory 组的类型

Active Directory 组分为两类 - Active Directory 安全组和Active Directory 分发组。

您需要的实际组类型将取决于组所需的功能。 通讯组更简单，因为如果仅需要来自中央控制器的单向通知，则可以使用它们。 安全组更加复杂，当您希望允许用户访问和修改数据时应用它们。

安全团队需要更加关注安全组，以确保权限不会失控，并降低数据安全风险。

为什么应该使用 Active Directory 安全组？

在维护对最敏感数据的适当访问权限时，安全组至关重要。将用户分组以分配权限级别的能力对于维护最小权限策略非常有用。

例如，您可以使用 Active Directory 安全组向董事会成员分配高级权限，以便他们可以为其同事提交财务信息和 KPI。您还可以使用安全组为新加入者分配较低级别的权限。

Active Directory 安全组还可以通过 AD 门户进行修改，用户可以在其中移动或完全删除。

如何在 Active Directory 中创建安全组

以下步骤适用于 Windows 10 和 Windows Server 2016。请注意，您需要成为域管理员组的成员，或者已应用正确的权限，才能自己创建新组。

1. 打开 Active Directory 用户和计算机控制台。
2. 选择要在其中存储组的容器（例如“用户”）。
3. 点击“操作”-“新建”-“组”
4. 使用组名称文本框命名您的组并输入描述。
5. 根据您的 Active Directory 林基础结构，选择正确的组范围：全局或通用。
6. 单击“安全”作为组类型，然后单击“确定”创建安全组。

使用 Active Directory 安全组的最佳实践

以下是使用 AD 安全组的一些关键最佳实践：

1. 确保默认安全组没有提升的权限

每当设置 Active Directory 域时，都会设置一个默认安全组。有时，这些默认安全组将拥有过多的权限，可能会导致用户被授予访问他们不需要的资源和数据的权限。

确保您的用户只能访问他们完成工作所需的数据和资源，仅此而已。如果需要域管理员访问权限，则应在需要时临时提供。

通常仅在设置域和紧急情况（例如灾难恢复）时才需要域管理员帐户。该帐户不应真正用于任何其他目的，并且该帐户的凭据应安全存储。

Active Directory 的一种常见攻击方法是利用本地管理员帐户密码。本地管理员帐户通常在各个域中配置相同的密码，在各个安装中配置相同的 SID。

2. 维护最新的 Active Directory

系统上的所有软件都应该是最新的，以确保已知的漏洞已得到修补。攻击者经常利用这些已知漏洞，因此定期修补可以帮助最大限度地降低这种风险。

3. 维持最低特权政策

正如我们之前提到的，您需要确保您的用户只能访问他们完成工作所需的数据和资源。这称为最小特权策略。您应该表现得好像您的所有用户都是潜在的内部威胁。如果每个人都拥有更高的权限，并且您遭受数据泄露，那么调查来源可能会非常困难。

众所周知，内部威胁很难在最佳时间识别和修复。不要创建具有过多权限的用户，从而给自己带来困难。

4. 确保密码强度高且定期更换