AD 安全：6 项公共服务公告 - Microsoft 平台管理 - 博客 - Quest Community

Sean Metcalf，Microsoft 认证大师，我和我在 Microsoft Ignite 期间回答了您的 AD 安全问题。 Sean 通过针对任何混合 AD 环境的六个永恒的 AD 安全公共服务公告拉开了本次问答的序幕。我将更详细地审查 Sean 的具体 PSA，以便您可以参考并将其添加到您的定期 AD 安全审查中。

针对 ZeroLogon 修补域控制器 (CVE-2020-1472)

如果您尚未执行此操作，请立即执行。这一点正在被积极利用，应该优先考虑。下面您可以看到 Microsoft 最近发布的 Twitter 警告，此后我们看到了无数组织利用此漏洞的文章，包括威胁参与者 TA505 和 MERCURY 寻求获得控制权限，甚至还有身份不明的 APT 试图扰乱 2020 年美国大选。1,2,3

此 PSA 的永恒部分是您的 DC 应始终拥有最新补丁。不要等待。不要让它们堆积起来。修补。修补。修补。

更改您的 (AD) KRBTGT 帐户密码 2 次/年

KRBTGT 是一个已禁用的域帐户，用作域的 Kerberos 服务计数。该帐户具有很高的特权，因为它用于 Kerberos 票证操作。一旦有人获得此密码哈希，此人将能够在您的环境中创建黄金票证。由于 Active Directory 使用 Kerberos，黄金票证可提供对整个域的完全访问权限，并且 Kerberos 黄金票证可以无限制地访问其所能执行的操作。我们在本文中详细分析了这些攻击：金票攻击：它们如何运作以及如何防御它们。

该密码每年至少需要更改两次。通过定期轮换 KRBTGT，如果有人使用黄金票，这将停止使用。此外，找到一个变更审核工具，可以检测您的环境中是否正在使用黄金票证。

创建并测试 AD 灾难恢复计划

勒索软件攻击影响您的组织（包括 Active Directory）的可能性处于历史最高水平。如果您没有计划，那么制定一个计划至关重要。如果您确实有计划，那么对其进行测试至关重要。如果您最近完成了测试，也请考虑其他场景。并非所有灾难都可能源自勒索软件。有些可能只是 AD 损坏，甚至是组织出于良好意图（更改旧服务帐户密码并且无法恢复旧密码并导致应用程序中断）而造成的停机。

像 DC 一样保护 Azure AD Connect 服务器

由于 Azure AD Connect 能够获取密码哈希并将其移至 Azure AD，因此应像域控制器一样对其进行保护。 Azure AD 连接服务帐户具有很高的特权，它控制其他 Azure AD 集成服务。验证谁拥有这台机器的权限。希望您已经考虑过采用分层管理方法，例如 ESAE（增强安全管理环境）、红森林或橙森林（Quest 的方法，用于委派谁可以在目录的不同层执行哪些操作）。任何类型的分层管理方法都会制定策略来限制域管理员和其他人在本地登录。

限制哪些帐户具有全局管理员角色

AD 安全方面存在共同责任。 Microsoft 可能是您的服务提供商，但这并不能保证您的组织不会伤害自己。 Microsoft 建议拥有全局管理员权限的人员少于 5 人，这样可以授予对 Azure AD、Office 365 的完全访问权限，还可以控制 Azure。您还必须对这些帐户进行多重身份验证 (MFA)，以增加安全控制。

Microsoft 确实提供了不同的角色，可用于 Azure AD 安全中的最低权限，这将有助于保护 Office 365 中的所有资产。

将 Azure AD PIM 用于特权角色中的管理员帐户

任何特权帐户（例如 Azure AD 的全局管理员）都应该具有额外的保护。这就是为什么任何具有特权角色的帐户都应该使用 Azure AD PIM（特权身份管理）。打开 PIM 后，您将立即收到有关特权访问角色更改的通知电子邮件。建议在这些组成员身份设置发生更改时进行额外的审查。进行持续证明有助于实现最小权限访问。

寻求一种解决方案，将证明扩展到您的混合环境并帮助您现有的组成员身份。

概括

通过实施这些永恒的解决方案，您将显着提高 AD 安全性，并进一步巩固抵御勒索软件和其他外部和内部威胁的堡垒。当我说永恒时，我的意思是应始终及时遵循这些 AD 安全要素 - 这意味着不要等待！