Active Directory 攻击面：如何减少它 - Microsoft 平台管理 - 博客 - Quest Community

我的系列的第 1 部分解释了为什么您保护组织安全的努力事关国家安全 - 保护知识产权 (IP)，它使您的公司取得成功并支持您国家的经济和最终安全。

现在，在本系列的接下来的几篇文章中，我将深入探讨一些特定的 Active Directory 指导原则，这些原则将帮助您保护组织的 IP 并实现国家安全的更高目标。今天的文章（本系列的第 2 部分）重点介绍清理 Active Directory 攻击面，而本系列的其余部分重点介绍以下主题：

• 第 3 部分：经常重新审视组策略管理
• 第 4 部分：持续警惕，又称监控和警报
• 第 5 部分：快速调查、修复和恢复

您的 Active Directory 攻击面及其失控的方式

大多数 Active Directory 网络已有 20 多年的历史，大多数组织都从 Windows NT 4.0、Novell NetWare 甚至 Banyan VINES 迁移到 Active Directory。您可以保证您的 AD 在那段时间积累了一些混乱，包括无人使用的用户帐户和早已废弃的设备的计算机帐户。

您甚至可能已经失去了隐藏在其中的许多安全组的踪迹。当然，你有一些拥有干净的所有者和明确的目的。但我知道你有太多没有明确的所有者或目的，甚至用户是谁（如果特定群体中有的话）。我最近采访过几家企业，他们都坦言：

“我只需要止血。场所内不良团体泛滥。 ”

“我们在过去 5 年里进行了大规模的映射工作，试图清理我们域中的 41,000 个安全组。 ”

“当人们离开一个角色并转到另一个角色时，我们很难清理干净。 ”

用户和组访问是一个主要问题。 Microsoft 认证大师和 AD 安全专家 Sean Metcalf 在专家会议的主题演讲中概述了 Active Directory 的八种入侵途径。由于访问囤积，八个中的五个不得不处理过于广泛的攻击面。

在此观看他在 TEC 主题演讲的完整录音：AD 安全的现状。

减少 Active Directory 攻击面

第一步：清理

降低风险的第一步是清理。从 IT 环境本身开始：减少林和域的数量。识别并删除重复的组和其他不必要的组。删除域控制器和敏感服务器上安装的不必要的软件。

然后减少环境可能被滥用或利用的方式。严格按照最小权限原则限制所有用户（尤其是特权用户）的权限。为承包商、实习生和访客等临时员工创建帐户时，请务必设置帐户到期日期。减少跨组织单位的委派，并阻止域控制器访问 Internet。

第 2 步：加强对敏感系统和凭证的访问控制

为了进一步最大限度地降低最有价值的数据被泄露的风险，需要对敏感系统进行多重身份验证，并确保管理员在使用特权帐户连接时使用跳线盒，并且仅登录到强化的工作站。

使用强化的密码库解决方案管理您的特权帐户。并且不要授予任何人对敏感服务器的永久管理员访问权限，而是使用具有自动开始和结束日期/时间的临时组成员身份。

第 3 步：密切关注特权组成员资格

一旦你的房子井然有序，你就需要监控里面每个人的行为。监视权限升级应该是您的首要任务。不仅可以实时监控对特权组的直接更改（可以在本机安全日志中跟踪），还可以监控嵌套组中成员的任何添加（Windows 服务器不记录这些更改）。要监控的特权组包括：管理员、打印操作员、网络配置操作员、DHCP 管理员、备份操作员、传入林信任构建者、帐户操作员、证书发布者、组策略创建者所有者、域管理员、域控制器、企业管理员、服务器操作员、RAS和 IAS 服务器、架构管理员。

下一步

这些只是减少 Active Directory 攻击面的几种方法。我强烈建议您观看今年早些时候在专家会议上Sean Metcalf 的主题演讲，以更好地了解常见的 AD 安全问题和缓解步骤/技术。我还鼓励您观看点播网络广播，探讨为什么所有这些工作如此重要。 CISSP 和战略系统顾问 Bryan Patton 和我一起阐述了为什么您在保护组织安全方面的角色确实事关国家安全。您可以在这里观看。

资料来源：

1. 摄影：Marcin Szmigiel，来自 Pexels.com