零信任模型和 Active Directory 安全提示 - Microsoft 平台管理 - 博客 - Quest Community

如果您对 Active Directory 安全性感兴趣，那么您无疑听说过零信任模型。简而言之，零信任是现代 IT 环境的一个很好的安全模型，因为它假设违规是不可避免的，并且恶意行为者已经存在于您的 IT 生态系统中。因此，任何用户、服务或其他实体都不应该被隐式信任，并且您应该始终积极寻找可能表明安全威胁的异常活动。

这就是我在这里要说的关于零信任是什么的全部内容。要更深入地介绍零信任模型，我强烈建议阅读博客文章“零信任：它是什么、为什么需要它以及如何开始。 ”

相反，我将重点介绍如何在本地或混合 Active Directory 环境中实施零信任模型。具体来说，我将提供三个最佳实践，它们可以成为零信任策略的重要组成部分，因为它们可以显着增强 Active Directory 安全性。

不要信任管理员帐户：仅在有限的时间内提供提升的权限。

拥有巨大权力的常备账户本质上是一件危险的事情。管理员故意或无意地滥用其提升的权限可能会造成巨大的损失，而破坏特权帐户的攻击者是一个严重的威胁。

因此，零信任模型涉及仅在管理员需要时授予他们更高的权限，并且仅在他们需要时才授予他们。有多种方法可以在 Active Directory 中完成这种“即时”权限升级，包括以下内容：

• ESAE（红森林）模型 - 多年来，Microsoft 一直倡导增强安全管理环境 (ESAE) 模型，在该模型中，具有特权访问权限的帐户被保存在一个特殊的、高度安全的管理林中，通常称为红色森林。该模型的一部分是这些用户将在一段时间内成为“msDS-ShadowPrincipal”对象的成员。这些对象映射到托管域中的强大组，这本质上意味着管理员可以在一段时间内获得域管理员权限，而无需真正成为域管理员组的成员。然而，ESAE 体系结构很复杂，通常仅对 Active Directory 中最强大的帐户有效。因此，Microsoft 不再向大多数客户推荐 ESAE。 （例外情况是对强大安全性的需求超过了 ESAE 增加的复杂性和运营成本，例如离线研究实验室和工业控制系统。）
• 临时组成员身份 - Active Directory 帐户通常不会直接分配权限；相反，他们通过特定群体的成员身份获得特权。始终可以实现在有限时间内提供组成员资格的软件，但这样做通常会为帐户留下颁发的 Kerberos 票证的权限，这些权限在用户不再是授予他们的组的成员后仍会持续存在那些权限。 Windows 2016 改变了这一点：现在可以为组成员身份分配一个“生存时间”值，并同步票证到期时间。这意味着 Active Directory 本身将使特权组中的用户过期，并且该用户的 Kerberos 票证很快就会过期。
• 临时管理员帐户 - 有什么比拥有没有权限的管理员帐户更好呢？在需要使用该帐户之前将其禁用。特权身份管理系统使用签入/签出系统，因此未使用的特权帐户不会构成威胁。

无论您选择哪种方法作为零信任模型的一部分进行即时特权升级，请确保您可以指定“谁可以在何时执行什么操作”。 ” 还可以考虑使用 Change Auditor for Active Directory 等软件来仔细审核特权用户帐户和普通用户帐户的活动，甚至防止对关键 Active Directory 安全对象的意外或故意更改。

不要信任密码：考虑放弃密码。

安全研究人员和大型 IT 部门开始意识到用户早已知道的事实：密码太糟糕了！特别是，强制用户选择非常复杂的密码并每季度更改一次的古老做法对用户和帮助台来说都是祸根，而且它最终并没有多大程度地提高 Active Directory 的安全性。

零信任模型对单个密码的信任要少得多。以下是一些选项：

• 如果你有混合 Active Directory 环境并使用 Microsoft 365 服务，则你的用户已拥有 Azure AD 帐户和 Active Directory 帐户。考虑将用户转变为利用 Azure AD 作为其主要身份验证源，因为 Azure AD 现在可以为本地 Active Directory 域颁发票证授予票证。这允许您的用户使用未加入域（甚至不是混合！）的端点并访问需要 Kerberos 身份验证的网络资源。使用 Azure AD 进行身份验证不仅使用户无需定期使用 VPN 进行身份验证，还可以启用 Azure Active Directory 中的所有出色安全功能，从 Windows Hello 和其他无密码选项到地理过滤和不可能旅行等选项。
• 如果您没有混合 Active Directory 环境或无法将 Azure AD 作为主要身份验证源，请投资与 Active Directory 集成的多重身份验证系统。这样，即使用户帐户确实需要密码，该密码也不需要经常更改 - 并且如果密码被泄露，所造成的威胁也会小得多。

不要信任云中的 AD 管理员帐户：Azure AD 或 Microsoft 365 中具有特权角色的所有帐户都应该仅限于云。

Microsoft 投入了大量的工程资源来使 Active Directory 和 Azure Active Directory 紧密协作。在混合 Active Directory 环境中，可以轻松利用已在本地部署的基础架构和凭据来访问 Microsoft 云中的数据、应用程序和基础架构。

事实上，这可能太容易了。许多迁移到混合 Active Directory 部署的组织希望利用其现有的本地策略和流程在云中进行管理，因此他们只是将本地管理帐户和服务帐户混合在一起。这种架构导致了一些针对云基础设施的非常严重的攻击，其中攻击者利用 Active Directory 的复杂性和遗留特性来攻击云中的系统和信息。

简而言之：在 Azure AD 或 Microsoft 365 中拥有特权角色的任何帐户都不应该是混合帐户 - 它应该是纯云帐户！

最后的想法

这三个最佳实践为实施零信任模型提供了坚实的基础。但请注意，它们并不构成“实现”零信任的清单。事实上，实施任何安全模型都不是采用一些最佳实践或部署一种软件解决方案的问题；而是要实现的。相反，它需要构建一个涉及广泛技术、流程和策略的分层安全框架，并随着您的 IT 环境、业务需求和威胁形势的发展不断评估和改进它。请记住，零信任模型与 Active Directory 安全一样，是一个旅程，而不是目的地。