AD 安全的颜色：红森林、橙森林等 - Microsoft 平台管理 - 博客 - Quest Community

在 Active Directory 的早期，必须决定是要对现有 Windows NT 4.0 环境进行就地升级，还是要进行“绿地”迁移。一些组织拥有多个领域，并将两者结合起来。随着 Active Directory (AD) 越来越受欢迎，绿地迁移越来越少，而 AD 林级整合越来越多（尤其是合并和收购迅速增加）。在当今世界，为了提高安全性，出现了 AD 迁移。

“红森林”

大多数组织在外围防御方面投入巨资，但现实是 90% 的组织感到容易受到内部攻击。员工窃取知识产权以接受新工作，或者笨手笨脚的管理员犯了严重的配置错误，都是由网络内部人员造成的破坏的例子。通常，外部攻击者会接管合法帐户：Microsoft 报告称，每天有 9500 万个 Active Directory 帐户和 1000 万个 Azure AD 帐户成为网络攻击的目标。

主要媒介现已从对计算资源的直接攻击转变为通常通过网络钓鱼攻击来窃取用户凭据。一旦获得用户的凭据，攻击者就可以访问工作站，在该工作站上运行捕获其他帐户凭据的软件。首选目标是服务帐户和域管理员帐户，允许攻击者水平和垂直遍历基础设施。

为了阻止攻击者通过哈希传递和相关方法追求水平杀伤链，微软提供了一个参考架构和其他寻求隔离特权凭据的最佳实践。 Microsoft 建议使用新的安全模型，即增强安全管理环境 (ESAE)，用于保留由于对生产林具有特权访问权限而需要额外安全性的帐户。 ESAE是一个特殊的管理森林，也称为红森林，用于管理AD中的所有特权身份，使其更加安全。

Active Directory 红森林模型的一个关键原则是管理员帐户分为三个安全级别：

• 第 0 层 — 域控制器 (DC)、身份管理资源、管理员用户帐户和服务帐户
• 第 1 层 — 服务器、应用程序和云管理权限
• 第 2 层 — 标准用户帐户、工作站、打印机和设备

图 1：Active Directory 管理层模型中的控制限制

这些推荐仅包括 Microsoft 产品（这是有道理的，因为很难推荐他们无法控制的其他产品）。使用此体系结构时，一个可能不适用于大多数组织的组件是禁用 NTLM 身份验证。话虽如此，这可能不适用于所有组织（尽管如果可能的话，我强烈推荐这种模型，但许多人需要重新构建遗留应用程序）。

微软安全战略的另一个指导原则是“假设违规”。话虽如此，您可能还需要考虑将现有环境完全迁移到另一个环境，作为风险缓解。在大多数组织中，这可能是一个成本高昂且耗时的项目。尽管 Microsoft 仅针对 Microsoft 产品提供建议，但我仍然相信 Quest 有一些产品可以补充此模型。

有关更多信息，请观看录制的网络广播，安全专家兰迪·富兰克林·史密斯 (Randy Franklin Smith) 解释了您可能会遇到这种额外麻烦的原因以及此结构的局限性。

“橙林”

在开始谷歌搜索或搜索 TechNet 之前，请注意，这还不是一个众所周知的行业术语。

我的一位客户在描述他们的 Active Directory 红森林实施时使用了“Orange Forest”一词。由于执行 AD 迁移的成本很高，他们计划按照红森林的建议部署一个单独的管理林，但不进行迁移。因此，他们称其为“橙林”，因为它们还没有完全红色。

反思这个术语，我意识到 Quest 产品组合已经允许客户在 Orange Forest 场景中行动已有相当长一段时间了。通过删除管理员对目录的本机权限并通过代理连接到 Active Directory，我们添加了在红林和橙林场景中都有用的附加功能。这里有一些例子：

• Active Directory 中发生更改之前的工作流程审批
• 组策略发生更改之前的工作流程审批
• Active Directory 和 GPO 的最小权限访问

通过对 Active Directory 使用这种代理方法，您可以确保没有人拥有超出其工作所需的权限，并且可以消除用户必须处于特权组中的情况。创建最小特权访问模型可能很困难。然而，Quest 不仅拥有可以帮助您的 AD 工具，还提供专业服务产品，为您提供数据，以决定谁应该能够在您的环境中执行哪些操作。

“绿地”

如果您遇到了安全漏洞并决定转向红森林设计，那么您的未来可能很快就会进行迁移。 Quest 数十年来一直致力于 AD 迁移，并且一直在帮助客户迁移到与您的新红森林设计相连的新绿地森林。您应该考虑进行迁移时面临的许多挑战。

• 应用程序修复
• 用户停机时间和体验
• 服务器迁移

“蓝队”

蓝色指的是蓝队，通常是负责网络防御的安全团队的一部分。无论您选择红森林还是橙森林模式，Quest 的产品都可以为您提供帮助，并且还有可以帮助您完成这一转变的人员。如果您想讨论我们如何提供帮助，请随时与我们联系！