调查、修复和恢复 |第 5 部分 #NCSAM - Microsoft 平台管理 - 博客 - Quest 社区

即使有最好的防御措施，您的 Active Directory 也可能会发生攻击或严重事故；因此，您需要做好快速调查、修复和恢复的准备。可悲的是，今天的攻击已经发生了明显的丑陋转变，通常试图彻底摧毁您的基础设施，试图隐藏已经发生的真正漏洞。

今天，在我的国家网络安全意识月系列的最后一部分，重点关注Active Directory安全指导原则，我们将探讨在最坏的情况发生时做好准备的最佳方法。

要从本系列的开头开始，请参阅下面的列表：

• 第 1 部分：IT 安全就是国家安全
• 第 2 部分：减少攻击面
• 第 3 部分：经常重新审视组策略管理
• 第 4 部分：持续警惕，又称监控和警报
• 第 5 部分：快速调查、修复和恢复（这一部分）

无论您丢失了域控制器、用户或组策略、整个用户组还是整个林，您都需要准备好调查它是如何发生的，并制定修复和恢复计划。请记住，AD 灾难恢复是业务灾难恢复。

搭建舞台：破坏性的大事

破坏性攻击正在增加，其影响可能是毁灭性的。每个组织都容易受到攻击，无论是作为直接目标还是只是附带损害。想想NotPetya，这是一次敌对国家针对乌克兰的攻击，但却摧毁了航运巨头马士基以及德国、美国、塔斯马尼亚等地的公司——与乌克兰完全无关。还有更多像 NotPetya 那样将破坏传播到其预期目标之外的例子：Stuxnet、Shamoon、WannaCry 等等。

在 2019 年电子邮件提供商 VFEmail 遭受毁灭性攻击后，其首席执行官兼创始人 Rick Romero 在推特上表示：“我从未想过有人会如此关心我的心血，以至于想要彻底彻底摧毁它。 “不要犯同样的错误。

如果您想了解我上面提到的一些攻击背后的更详尽的历史、影响范围和方法，请查看白皮书为寻求彻底消灭的攻击做好准备。

调查、修复和恢复

一旦因整个 AD 宕机、用户中断或 UEBA 解决方案通知您可疑活动而发现攻击，就该卷起袖子调查发生了什么以及如何发生，并开始修复和恢复过程。在制定响应计划时，请记住以下一些最佳实践：

- 审核环境中的更改并使用工具来防止对最关键对象（例如高特权组）进行更改。

- 密切监视配置和其他系统更改并注意异常操作，例如可能更改启动分区或破坏系统的命令。

- 监控用户活动，尤其是特权帐户的活动。理想情况下，使用能够创建正常活动基线、查找异常情况并在上下文中进行分析的工具，以最大程度地减少警报疲劳，同时快速发现真正的威胁。

- 自动响应。 现代攻击在几秒钟内展开，因此您不能满足于安全运营中心的仪表板 - 当人们发现问题、调查问题并采取措施时，损害已经造成。因此，安全自动化和编排至关重要。更具体地说，您需要构建经过测试和验证的灾难恢复策略，以实现：

• 操作系统恢复
• 混合 AD 和 Azure AD 恢复
• 比较报告自上次备份以来的更改，以查明已删除或更改的对象或属性
• 恢复单个属性，例如帐户设置、群组成员身份和二进制属性，即使对象本身尚未删除也是如此。这使您能够仅恢复所需的属性，而无需重新启动域控制器。
• 虚拟测试实验室用于演示您的灾难恢复恢复计划。桌面练习是不够的。您必须使用生产数据在大量虚拟林测试实验室中测试实际的灾难场景。
• 生成详细的恢复过程报告，捕获恢复的每个状态以及需要完成任务的顺序。

为了降低风险，请实施安全最佳实践来阻止攻击、限制攻击范围并帮助确保及时检测和响应。但安全专家和现实世界的攻击清楚地表明，您还需要全面的灾难恢复策略，例如 Quest 提供的Active Directory 恢复管理器 - 灾难恢复版和按需恢复 。

还记得我之前在这篇文章中引用过的 VFEmail 首席执行官吗？他从没想过有人会关心他公司的工作及其知识产权。然而他却遭受了全面的打击。如果您认为没有人真正试图侵入并破坏您的广告，或者您知道他们确实如此并且您正在尝试了解原因，那么观看点播网络广播，探索您为何在其中扮演角色确保您的组织的安全确实事关国家安全。

资料来源：

1. 照片由 Pixabay 提供，来自 Pexels.com