Active Directory 清理：保持 AD 清洁的 5 种最佳实践

恶意行为者通常会寻求利用过时的 Active Directory 对象来执行攻击。

为了保持您的 Active Directory 清洁和安全，您必须准确了解谁有权访问什么内容、如何授予访问权限以及他们正在使用该访问权限做什么，这一点至关重要。

拥有干净的 AD 将有助于简化授予和撤销访问权限的过程。它还将使安全审计和遵守相关数据隐私法规变得更加容易。

在某些情况下，企业需要迁移存储在 AD 中的数据，可能是由于与另一家公司合并，或者可能是他们决定将数据迁移到 Azure AD。

拥有一个干净的广告将使过渡更加顺利。以下是保持 Active Directory 清洁和安全的一些最佳实践。

1. 禁用延长或永久休假用户的帐户

员工休长假的原因有很多。也许是因为产假，或者可能是因为不可预见的情况而暂时休假[咳嗽]。在他们回来之前禁用他们的帐户总是明智的。

我们需要关注的不仅仅是黑客。例如，如果员工在休假后感到不满，他们可能会尝试在家中访问自己的帐户并将其用于邪恶目的。

还应该指出的是，仅仅因为帐户已被禁用，并不意味着黑客不会仍然尝试访问它。例如，他们可能会尝试使用社会工程策略来欺骗人力资源部门重新启用该帐户。

除了禁用帐户之外，在执行此操作之前限制帐户的访问权限通常也是一个好主意。然后，当员工返回时，他们可以在需要时提交更多访问权限的请求。

如果员工有可能不会回来，他们的帐户可能会被转移到一个单独的组织单位一段时间，然后再被删除。如果用户的雇佣合同已正式终止，则应尽快禁用其帐户。

2.禁用内置和未使用的管理员帐户

仅应在绝对必要时才启用管理员帐户。同样，内置管理员帐户应仅用于设置和灾难恢复，并且应在不使用时禁用。

应详细记录授予管理员帐户访问权限的审批流程，并应记录启用帐户的流程。同样，禁用管理员帐户的过程应该被安排、自动化和记录。这样做将使管理员能够了解帐户的使用方式、时间和原因。

3. 确保访客访问已禁用

访客帐户允许用户无需密码即可访问网络。访客帐户的问题在于，恶意行为者会尝试以这些帐户为目标，希望他们能够通过某种方式获得更高的权限。

默认情况下禁用所有来宾帐户并重命名它们是个好主意。管理员需要确保删除任何必要的来宾用户帐户，并为必要的帐户分配达到其目的所需的最低权限。

管理员还必须确保不允许来宾用户邀请其他用户加入网络。

4. 删除所有不活动的用户帐户

攻击者经常试图破坏不活动的用户帐户，因为这些帐户很少受到监控，这主要是因为安全团队通常不知道它们的存在。您能够及时识别并删除不活动的用户帐户至关重要。

如今，最复杂的实时审核解决方案都具有可以检测和管理不活动用户帐户的内置功能。

它们通常通过检查 LastLogonTimeStamp 属性以及创建日期、上次登录日期和上次密码重置日期等其他因素来确定帐户是否仍然相关。

5、清理用户组和组织单位

Active Directory 组通常用于向用户组分配访问权限，而 OU 则充当用户、组和计算机的容器。

在某些情况下，组和 OU 是空的，但在系统中仍然保持活动状态，从而产生潜在的安全风险。安全团队需要确保他们能够及时识别并删除过时的用户组和 OU。

在删除任何 OU 之前，您必须检查它是否不包含任何子级。如果您不能 100% 确定组或 OU 是否会再次使用，您可以将它们转换为通讯组，并将它们移动到安全容器中。这样您就可以在必要时恢复它们。

Active Directory 清理解决方案

正如已经简要提到的，有一些解决方案可以为您提供增强的可见性和对 AD 环境的控制。这些解决方案使用机器学习算法来监视用户活动，这有助于为您提供与特定用户、组、计算机和 OU 关联的使用模式的概述。甚至还有特定的 Active Directory 清理解决方案可以检测和管理非活动用户帐户、安排 AD 清理操作等。

使用此信息，您可以就这些实体中哪些仍然相关、哪些不相关做出明智的决策。他们还可以自动执行检测和管理不活动或“幽灵”用户帐户的过程，以确保恶意行为者无法劫持它们。

使用Lepide Active Directory Cleaner管理非活动 AD 帐户