保护您的 Active Directory：8 个最佳实践

采取正确的步骤来保护您的 Active Directory (AD) 变得前所未有的重要。由于 AD 控制着谁可以进入您的网络以及他们进入后可以做什么，因此未能实施适当的控制将大大增加您遭受代价高昂的违规和延长停机时间的风险。

但是，广泛的、深度防御的 Active Directory 安全性是什么样的呢？在高层次上，您的目标是：

• 通过清理 Active Directory 并保持其有序，最大限度地减少攻击面。
• 清晰地了解整个 IT 环境中的活动，以便您能够及时发现威胁并做出响应。
• 准备好从意外更改和全面灾难中恢复，以尽量减少其对业务的影响。

这篇博文详细介绍了八种最佳实践，可以帮助您实现这些目标并保护您的 Active Directory。

1. 清理IT环境并保持清洁。

保护 Active Directory 的第一步是减少攻击面。多种 Active Directory 安全最佳实践可以提供帮助，其中包括：

整理您的 Active Directory。

更简单的结构更容易理解和管理，所以首先清理不需要的东西。考虑减少林和域的数量，并确保它们之间具有正确的信任。然后识别并删除不必要的 Active Directory 安全组，因为它们使理解权限变得更加困难，并为攻击者提供了升级权限的机会。此外，禁用然后删除任何未使用或违反策略的 AD 对象，例如 90 天未登录的用户和计算机帐户。

简化并自动化正在进行的清理工作。

一旦您的 AD 处于最佳状态，保持其最佳状态的最佳方法就是构建用于识别和修复问题的流程。尽可能自动化。例如，建立一个工作流程来取消配置即将离开公司的用户，确保他们的帐户被立即禁用或删除，从所有组和通讯组列表中删除帐户，以及删除远程 VPN 访问，这一点至关重要。此外，在为承包商等临时员工创建帐户时，请务必设置帐户到期日期。

实施补丁管理和漏洞管理。

减少攻击面的另一种方法是确保您的 Windows Server 操作系统和其他软件的补丁是最新的，并且您仅使用供应商完全支持的版本。但即使系统已完全修补和更新，错误配置也可能使其容易受到攻击。

因此，为了保护您的 Active Directory，您还需要通过漏洞管理来识别和修复这些不正确的设置。这个过程可能非常复杂且耗时。有成百上千的设置需要担心，并且知道应该分配哪些值并不总是那么容易。例如，应该记录哪些事件？应允许哪些类型的防火墙连接？哪些用户应该必须完成多重身份验证 (MFA) 步骤，以及在什么情况下？答案在很大程度上取决于您组织独特的 IT 环境、优先级、风险承受能力和其他因素。

为了获得漏洞管理的帮助，IT 团队通常依赖基于最佳实践和行业标准的长设置清单，例如 Microsoft 的安全合规工具包、互联网安全中心 (CIS) 基准和美国国防部安全技术实施指南 ( STIG）。还可以使用专用工具来自动化某些工作，并提供评估组织是否符合标准的记分卡。

避免弱认证协议。

保护 Active Directory 安全的另一个关键策略是减少或消除旧的且较弱的 NTLM 身份验证协议的使用。 NTLMv1 可以追溯到 Windows NT 3.1，几年后推出了更新的 NTLMv2 协议。由于其设计以及对过时的 MD4 加密哈希函数的依赖，NTLM 非常容易受到暴力攻击、传递哈希攻击等。

尽管 Microsoft 在 Windows 2000 中用 Kerberos 取代了 NTLM 作为默认身份验证协议，但 NTLM（尤其是 v1）对于任何启用它的 IT 环境来说仍然是一个巨大的安全漏洞。但由于重要的业务应用程序和流程可能会依赖 NTLM 身份验证，因此不要急于简单地禁用它。相反，准确确定它的使用位置，并努力系统地重新配置或替换需要它的应用程序。第三方解决方案可以帮助简化此 Active Directory 安全最佳实践的实施。

保护您的域控制器。

每个 Active Directory 环境都至少有一个域控制器 (DC)，而且大多数环境都有多个域控制器。 DC 提供身份验证和授权服务，使用户和进程能够访问 IT 资源，这使它们成为网络攻击的首要目标。因此，必须尽一切努力保护域控制器。尤其要确保：

• 限制每个 DC 上拥有本地管理权限的人员，并最大程度地减少可以交互登录的帐户。此外，对于可以访问 DC 的所有帐户，严格遵守密码复杂性和过期的最佳实践。
• 仅安装对于 DC 的功能和安全性至关重要的应用程序和服务。
• 最大限度地减少对所有域控制器的网络访问，并且绝不允许 DC 访问互联网。
• 严格控制对所有 DC 的物理访问。

2. 强制执行最低权限。

减少攻击面的另一个关键是强制执行最小权限原则。事实上，最小权限可能是所有 Active Directory 安全最佳实践中最基本的。通过准确地授予每个用户完成其工作所需的访问权限（不多也不少），您可以限制用户有意或无意造成的损害。此外，您还可以限制该帐户交付给破坏该帐户的对手的权力，包括勒索软件感染可以使用该帐户传播的范围。

实现最小权限的核心技术是将具有相似角色的用户（例如所有帮助台管理员或所有 HR 员工）放入 Active Directory 安全组中并一起管理它们，而不是以临时方式直接向每个帐户分配权限。此策略简化了权限结构，使得更容易准确了解每个用户被授予的访问权限，并授权数据所有者定期执行权限审查和证明。此外，它还可以帮助您在部署新应用程序、个人在组织内更改角色等时保持最新的权限。

不要将您的注意力限制在分配给个人的帐户上。任何 IT 环境还具有服务帐户、特殊用户帐户，应用程序和服务使用这些帐户在 IT 环境中登录并执行操作。很多时候，服务帐户拥有的权限远远超出了他们实际需要的权限。这种过度配置的常见原因包括欣然接受应用程序供应商指定的权限要求、无法正确应对运营挑战以及简单地克隆现有服务而不是创建具有适当权限集的新服务。花时间确保服务帐户仅拥有他们实际需要的权限可以显着减少您的攻击面。

3. 特别注意高特权帐户。

除了严格执行最低权限之外，有权访问敏感系统和数据的帐户还需要额外的控制，以帮助保护 Active Directory。这包括管理员帐户和许多服务帐户：

管理员帐户

建立有效的特权访问管理 (PAM) 策略。通常，最好的方法是投资第三方 PAM 解决方案，帮助您控制授予特权凭据的过程，并管理和审核特权帐户的活动。只要有可能，不要向帐户永久授予提升的权限，而是通过在所需安全组中分配临时成员身份并在指定的结束日期/时间自动将其删除来授权用户完成任务。要求多重身份验证 (MFA) 可以使攻击者更难在网络中使用被盗的凭据，因此对尝试访问敏感 IT 资源的帐户强制执行 MFA 尤为重要。

此外，密切控制特权帐户可以登录哪些端点。管理员永远不应该使用他们的特权帐户登录工作站，甚至是他们的个人计算机，因为这样做会将他们的密码散列留在内存中，供攻击者窃取并通过散列攻击使用。 （即使您有 PAM 解决方案，这一点也很重要，因为在重置管理员凭据之前仍然存在漏洞窗口。）相反，特权帐户应该只登录到安全特权帐户工作站 (PAW)。

最后，对服务器的访问应该基于用户的角色；例如，SQL 管理员应该只能访问 SQL Server 计算机，而不能访问任何其他服务器。

服务账户

当您按照最低权限减少服务帐户权限后，您可能会发现某些服务帐户实际上需要一些提升的权限。这些情况需要采取特殊预防措施。您永远不应该使服务帐户成为标准管理组的成员，例如本地管理员或域管理员组。更好的选择是在 LocalSystem 帐户下运行服务，或者为服务帐户创建自定义组并明确拒绝对该组的其他帐户的访问。此外，配置服务帐户通常是谨慎的做法，以便它们只能在一天中的指定时间段内登录。

此外，只要有可能，请使用托管服务帐户 (MSA) — 独立 MSA (sMSA) 或组 MSA (gMSA)。由于涉及麻烦和风险，组织通常无法定期（或根本！）更改服务帐户密码。因此，破坏服务帐户凭据的对手将长期保留对环境的访问权限。 MSA 提供自动密码管理，以确保服务帐户密码定期更改，从而限制其对攻击者的价值。此外，gMSA 被限制以交互方式使用，从而添加一层保护来帮助保护您的 Active Directory，而无需 IT 团队付出任何努力。

4. 实施攻击路径管理和攻击路径监控。

上述最佳实践将极大地保护您的 Active Directory。但现实是，Active Directory 是一头复杂的野兽。特别是，AD 允许组成为其他组的成员，并且嵌套可以深入多层（组 A 是组 B 的成员，组 B 是组 C 的成员）。您甚至可以嵌套不属于同一域的组。再加上以前版本的 Windows Server 造成的多年技术债务、IT 人员流动率高以及全球 AD 安全专业知识的短缺，其结果往往是高度复杂的 Active Directory，并且面临高风险，因为几乎不可能准确确定谁在您的环境中拥有更高的权限。

更令人担忧的是，对手很容易在不被发现的情况下提升权限。事实上，在许多 IT 环境中，攻击普通用户帐户的对手通常只需几个步骤即可成为域管理员！了解和阻止这些攻击路径的唯一方法是通过攻击路径管理和攻击路径监控。

攻击路径管理暴露了可滥用特权和用户行为的复杂链，这些特权和用户行为在计算机和用户之间创建了直接和间接连接，使攻击者能够提升其特权以控制 AD 域。此外，它还可以识别阻塞点，即攻击路径中最后的关键部分。通过关闭这些阻塞点，您可以阻止依赖它们的攻击路径，从而保护您的关键资产。

然而，组织通常无法快速修复某些瓶颈，因为存在中断重要业务流程的风险，例如依赖特定权限的关键应用程序。因此，实施攻击路径监控也至关重要——持续观察是否有任何攻击路径实际上被利用，以便您可以及时采取行动。

有关详细信息，请参阅电子书“通过攻击路径管理提升 Active Directory 安全性。 ”

5. 收集并整合来自多个来源的审核数据。

使用上述策略可以显着减少攻击面，从而帮助保护 Active Directory。但即使是最好的防御策略也无法保证没有攻击者会渗透您的网络，或者内部人员不会故意滥用其特权或犯下导致停机或数据丢失的严重错误。

因此，您还需要收集有关 IT 环境中活动的全面审核数据。 Microsoft 日志包含大量有价值的信息，但它们不足以保护您的 Active Directory。您还需要收集系统提供的日志未捕获的关键审核信息。例如，本机日志通常记录发生的更改，但不记录关键的人物、事件、时间、地点和工作站详细信息或重要的前后值。

此外，所有这些数据都必须进行整合和标准化，以提供快速准确地发现威胁并在事件的所有阶段进行彻底的取证分析所需的背景。系统提供的日志中的神秘数据需要转换为简单的标准化格式，并与其他审核信息相结合，以提供跨用户和资源的所有相关活动的清晰、360 度视图，无论是在本地还是在云中。

有关本机日志的限制以及审核范围中应包含哪些内容的更多详细信息，请参阅博客文章“Active Directory 审核：它的含义以及如何有效实施它。 ”

6. 及时发现并调查可疑活动。

当然，收集、整合和规范化审计数据的目的是及时发现威胁，采取行动防止或至少尽量减少对组织的损害。与上面详细介绍的许多其他最佳实践一样，自动化在这里至关重要：即使在最小的 Active Directory 环境中，也有太多的活动，无法通过手动方式有效地发现威胁。相反，您需要一个旨在帮助保护您的 Active Directory 的 Active Directory 审核解决方案。

要查找的最重要的可疑活动类型之一是尝试特权升级。攻击者获得提升权限的常见方法是成为内置管理组的成员。最强大的组包括企业管理员、架构管理员和域管理员。但密切关注本地 Windows 系统级别的组也同样重要，例如管理员、备份操作员、高级用户和 Hyper-V 管理员。请注意，攻击者不仅可以通过直接更改特权组（可以在本机安全日志中跟踪）来提升权限，还可以通过将自己添加为嵌套组（Windows 服务器不记录）的成员来提升权限。至少，您需要获得有关任何这些组的成员资格更改的实时警报。理想情况下，实施一个可以从一开始就阻止任何人进行此类更改的解决方案。

除了权限升级之外，您还应该留意其他可疑活动，包括以下活动：

• 正常工作时间后异常登录敏感服务器
• 帐户锁定，以及多次尝试失败后成功登录
• 创建新的 AD 帐户
• 更改强大或敏感帐户的密码
• 直接向用户分配管理权限
• 使用具有长生命周期的 Kerberos 票证
• LDAP 查询过多
• 尝试获取 NTDS.dit 文件的副本，该文件存储密码哈希值
• 注册表设置的更改

每当您发现威胁时，您都需要做好快速调查并做出适当反应的准备。您需要能够快速确定漏洞源自何处、如何展开以及到底涉及哪些系统和数据。这样，您可以让个人对其行为负责，并采取措施防止将来发生类似事件，以进一步保护您的 Active Directory。

7. 特别注意组策略。

您可能想知道前面所有有关如何保护 Active Directory 的讨论中明显缺乏对组策略的关注。当然，它本来可以在之前提到过，但事实是，组策略是如此强大，以至于值得单独占据一整章。

组策略是 Active Directory 的一个不可或缺的功能，旨在使 IT 管理员能够跨域集中管理用户和计算机。例如，他们可以使用组策略对象 (GPO) 强制实施强密码策略、禁止使用可移动媒体驱动器、部署软件、禁用弱身份验证协议以及在计算机启动或关闭时运行特定脚本。事实上，实际上有数千种设置可用于帮助保护您的 Active Directory。

这种令人难以置信的力量使组策略成为提高生产力和加强安全性的有用工具，同时也使其成为黑客的首要目标，他们利用 GPO 窃取有价值的数据并部署恶意软件，甚至随后销毁其活动的证据。例如，对 GPO 进行一次更改就可以让用户插入 USB 驱动器，从而将勒索软件释放到您的系统中。

组策略本质上是脆弱的，因为 Active Directory 的设计确保每个用户都可以看到您拥有的策略、它们的应用位置以及谁有权访问它们。此外，为了简化管理，IT 团队通常会为 GPO 分配描述性名称，这对任何想要磨练攻击的黑客来说都是一份礼物。

尽管如此，还是有一些行之有效的策略可以降低您的风险。有效的组策略管理从仔细检查 GPO 开始。确保它们清晰且组织良好；特别是，积极寻找冗余或冲突的设置并清理它们。此外，正如您希望避免直接向特定用户分配一次性权限一样，您也希望避免创建仅将设置应用于某些计算机上的某些用户的 GPO；这种复杂性使得理解组策略应该做什么以及它实际做什么变得更加困难。

请记住，GPO 在链接到 Active Directory 容器（例如站点、域或组织单位 (OU)）之前不会产生任何影响，因此要了解 GPO 的影响，您需要确定它的链接位置。另请记住，组策略审查不是一项一次性工作。您应该定期以及在 IT 生态系统发生重大变化时仔细检查您的 GPO。

是的，还有更多！您还需要准确地发现谁有能力创建、修改和删除 GPO。域管理员和企业管理员组的所有成员都拥有该权力，但大多数组织将 GPO 管理委托给其他管理员，例如服务器团队或桌面团队。所有这些账户都需要密切管理和跟踪，如上面最佳实践#3 中详述的那样。

最后，为了保持组策略有序并保护 Active Directory，请构建基于批准的组策略工作流程，以帮助确保所有更改均经过授权且准确。然而，即使做到了这一点，您仍然需要确保能够快速发现并恢复任何不当或未经授权的更改。理想情况下，您应该能够防止对最关键的 GPO 进行任何更改。

8. 拥有可靠的 AD 备份和恢复策略。

粒度回收

无论您采取多少步骤来保护 Active Directory，问题都是不可避免的。匆忙的管理员可能会意外修改或删除重要的用户帐户，从而扰乱紧急的业务任务。或者，攻击者可能会潜入您的网络并更改关键 GPO 或将自己添加到域管理员组，从而使安全面临直接风险。因此，能够快速有效地精细恢复特定对象和属性至关重要。

本机工具可以在这方面提供帮助，但它们并不是完整的解决方案。特别是，AD 回收站旨在提供一种快速简便的方法，以便在有限的时间内快速恢复一组有限的已删除 AD 对象。但它从来没有打算成为一个全面的 AD 恢复策略。例如，如果首席执行官的用户帐户被更改而不是删除，则回收站无法帮助您在即将开始的重要客户会议之前及时恢复它。如果帐户在 30 多天前被删除，那么您也就不走运了；当员工休假回来时，你必须从头开始重建它，并处理延迟造成的后果。因此，为了保护您的 Active Directory 并确保业务连续性，您需要一个能够实现快速精细恢复的第三方解决方案。

灾难恢复

尽管首席执行官无法登录的愤怒电话可能很严重，但其他情况要糟糕得多。例如，隐藏在标准业务应用程序中的恶意软件可以在几分钟内使整个网络瘫痪，就像航运巨头马士基在臭名昭著的 NetPetya 攻击中所发生的那样。或者，过度劳累的用户可能会忘记他们的安全意识培训，并点击网络钓鱼电子邮件的附件，释放勒索软件，在几分钟内加密您的 DC。同样，自然灾害甚至是匆忙的管理员犯下的严重错误也可能导致整个 Active Directory 林崩溃。

由于 AD 在身份验证和授权中发挥着至关重要的作用，因此您的 Active Directory 宕机的每一秒，您的业务也会宕机。成本可能是惊人的：40% 的企业表示，一小时的停机成本可达 100 万至 500 万美元以上。在最坏的情况下，损失可能达到每分钟数百万美元。

有效的 Active Directory 灾难恢复策略是什么样的？嗯，手动恢复是可能的，但是速度太慢了。事实上，Microsoft 的 AD 恢复过程包括 40 多个步骤，必须在您计划恢复的每个 DC 上正确且按适当的顺序执行这些步骤，并且必须在整个林中协调该过程。另外，很多步骤并不是AD管理员所熟悉的操作，它们是乏味的、通常基于命令行的步骤，因此很容易犯错误并且必须重新开始。

全面的 Active Directory 灾难恢复解决方案的价值是无价的。它应该尽可能自动化恢复过程，不仅包括恢复单个 DC，还包括协调这些 DC 之间的配置工作，以确保 Active Directory 在恢复后正常运行。

该解决方案还应该提供多种备份选项。特别是，寻找一种提供仅包含 AD 特定组件的备份的解决方案；在本机系统状态或裸机恢复 (BMR) 备份中排除许多其他组件可显着降低恢复过程后被恶意软件重新感染的风险，从而帮助保护 Active Directory。在混合 AD 环境中，您还需要针对纯云对象和属性的备份策略，例如 Microsoft 365 许可证、应用程序角色分配、Office 365 和 Azure AD 组以及 Azure AD MFA 设置和条件访问策略。

还要寻找灵活的恢复选项，以便您可以选择在给定情况下最有效的方法，无论是分阶段恢复、恢复到干净的操作系统还是 BMR。确保您可以在任何计算机上恢复到干净的操作系统：物理机、本地虚拟机或云托管虚拟机。为了进一步保护您的 Active Directory，请选择具有自动恶意软件检测功能的解决方案，以最大限度地降低受感染文件重新引入已恢复 DC 的风险。

结论

遵循此处概述的最佳实践将帮助您保护 Active Directory。但是，请记住，安全性不是一次性配置事件，而是一个持续的过程。除了主动审核可疑活动之外，请务必定期检查安全组的成员资格，清理不活动和禁用的帐户，保持系统修补和正确配置，并识别和修复环境中的攻击路径。如果您有兴趣进一步保护 Active Directory，请考虑实施零信任模型。