第 0 层：它是什么以及它对 Active Directory 意味着什么

网络安全形势复杂且不断发展。面对高级威胁，组织面临着关于优先保护和恢复的困难决策。

可以采取一些措施来显着增强安全性。首先是确定第 0 层资产的优先级并部署分层管理模型。我们将在这篇文章中详细讨论这两个概念。

什么是 0 级？

第 0 层资产代表组织最关键的 IT 资产，例如本地 Active Directory 环境中的域控制器。第 0 层资产被认为是 IT 环境中最有特权的资产和帐户，这使它们成为威胁行为者的主要目标，因此容易受到攻击。第 0 层帐户的泄露通常会导致组织的 IT 基础设施完全受到损害，从而对组织的运营、声誉甚至财务稳定性造成重大损害。

为了减轻这种风险，应严格管理第 0 层资产和帐户，并且应将其访问权限限制为一小部分授权人员，并且第 0 层系统的管理应与使用专用帐户的其他系统隔离。在某些非常特殊的情况下，组织可能会选择部署单独的 Active Directory 林，以进一步隔离用于管理第 0 层资产的帐户的管理。

不言而喻，应该实行严格的访问控制、监控和安全控制。除此之外，这还可能包括使用特权访问管理（PAM）解决方案。

分级管理如何运作？

分层管理是指将 IT 支持人员以及服务器和平台的管理组织为不同级别或层级的做法，每个层级都有一组特定的职责和技能。最常见的模型是多层方法，其中每个级别（层）代表一组特定的系统，并且其管理彼此（高度）隔离。就本地 Active Directory 环境而言，这意味着使用单独的帐户来管理每一层中的系统。为了有效，一层中的特权帐户不应能够管理另一层中的系统。

• 第 0 层我们在上面介绍了这一点，但它是最重要的一层，包括最关键的任务 IT 资产。
• 第 1 层资产通常是对组织 IT 基础设施的运行至关重要的系统，但不如第 0 层资产那么重要。对一级资产的破坏也不会立即构成对其他系统的破坏，只要它们得到充分的保护。示例包括电子邮件服务器、文件服务器、管理服务器等。
• 第 2 层系统通常是未包含在先前层中的所有其他系统。通常，第 2 层系统是最终用户计算设备，例如台式机、笔记本电脑等。

没有规则确定分级管理应包含多少个级别。但是，建议保持管理模型简单，以免成为管理噩梦。

当今最大的安全威胁

当我们审视广阔的威胁形势时，会发现网络威胁和安全标准有各种形式和规模，影响程度也各不相同。当今一些最大的威胁包括：

• 网络攻击的数量和复杂程度，包括勒索软件、网络钓鱼、传递哈希等。
• 供应链攻击，供应商开发资产受损导致他们及其客户的安全风险增加
• 基于云的资源。云解决方案的安全复杂性、多样性和激增增加了错误配置的风险和组织的整体攻击面
• 物联网和 OT 设备安全——因为它们成为越来越常见的攻击目标
• 人工智能的兴起，用于网络安全的进攻和防御要素
• 缺乏技能和培训
• 法规和合规要求的增加

分层管理模型的好处

现在我们已经建立了复杂的威胁格局、什么是分层管理以及每一层的组成，让我们探讨一下这种模型的好处。虽然这种方法增加了一些管理开销来创建和管理单独的帐户，但好处大于开销。部署后，您可以：

• 降低环境内横向移动的风险。本地 Active Directory 环境中的横向移动是指攻击者通常使用特权帐户在网络内从一个系统横向移动到另一个系统所使用的技术可以访问多个系统。为了执行横向移动，攻击者使用多种技术，包括凭证盗窃或传递哈希。
• 降低未经授权访问的风险。通过实施分层管理模型，组织可以限制较低级别员工对敏感数据和系统的访问。这降低了未经授权的访问和数据泄露的风险。
• 增强对系统配置的控制。通过分层管理，每一层都有特定的职责和访问级别。这有助于防止对系统配置进行未经授权的更改，并降低系统故障或数据丢失的风险。
• 更有效地管理特权帐户。分层管理可以帮助组织更有效地管理特权帐户。可以赋予高层员工管理特权帐户的责任，确保它们仅用于授权目的并降低滥用风险。
• 通过安全监控提高系统的可见性。通过将特定的安全监控职责分配给更高级别的管理员，组织可以检测安全威胁并及时解决它们。这降低了安全事件被忽视的风险，并限制了对组织的潜在损害。

尽管使用分层管理模型并不能保证上述任何技术都不会被滥用，但它有助于大大降低滥用的可能性和影响（如果发生）。例如，如果没有分层，单个帐户的泄露可能会让攻击者轻松地从一层转移到另一层。在这种情况下，域管理员帐户用于在例如台式计算机上执行管理任务。违反后者不仅允许攻击者访问计算机，还可能访问域管理员帐户，然后可以重新使用该帐户横向移动到域中的任何其他系统。考虑到最终用户设备受到损害的可能性远高于未用于主动浏览互联网的系统，因此在这些系统上不使用特权帐户似乎是明智的，对吗？毕竟，如果您将笔记本电脑和台式机的管理限制为专用管理帐户（否则这些帐户在其他地方没有权限），那么您就限制了所述设备横向移动的风险。当然，如果每个设备都有自己的、不同的管理帐户，那就更好了。但这是另一个故事了。

Active Directory 中的层模型应该是什么样子？

在 Active Directory 中实施分层管理模型既简单又具有挑战性。从技术上讲，您只需要几个组策略对象即可控制允许哪些帐户登录特定系统。这允许您将第 0 级账户限制为第 0 级资产，将第 1 级账户限制为第 1 级资产，依此类推。

除了实施各个层之外，还必须执行其他几项任务，例如识别哪些资产属于哪个层以及创建、分发、维护和监控每个层中管理帐户的使用情况。仅仅隔离管理是不够的，您还必须确保每一层中的系统都得到充分的保护。

为了实现这一目标，您需要为每种类型的应用程序部署安全基线，实施必要的安全控制和解决方案，例如反恶意软件、防火墙和端点检测和响应 (EDR)。此外，您必须监控分层模型的使用，并对任何潜在的分层违规或管理帐户的异常使用保持警惕，检测任何此类事件并发出警报。

识别 0 级资产

如前所述，第 0 层资产代表对组织环境最关键的系统，例如负责身份验证的系统，如 Active Directory、Active Directory 联合服务和 Active Directory 证书服务。

然而，这还不是全部。其他系统由于它们在 Active Directory 中可能拥有的权限而被视为高特权，也应被视为第 0 层资产。一些示例包括以下内容：

• Microsoft Exchange Server，尤其是在未配置 Active Directory 拆分权限的情况下。在这种情况下，Exchange 受信任子系统在 Active Directory 中拥有如此多的权限，以至于 Exchange 服务器的泄露几乎总是会导致整个目录的泄露。
• Microsoft System Center Configuration Manager (SCCM) 或同等产品。任何用于管理其他资产（尤其是第 0 层资产）的服务器，如果它们有能力修改托管第 0 层资产的配置，或者如果它们拥有本地管理权限，则应自动被视为第 0 层系统。这样的资产。
• Microsoft Azure AD Connect（同步）。根据 Azure AD Connect 的配置，它可能直接参与云系统的身份验证以及云系统的身份验证。篡改 Azure AD Connect 的配置可能会让攻击者转向云系统或使这些系统对用户不可用。

请注意，您在第 0 层中包含的系统的数量和类型将根据您部署的系统、它们的用途、它们利用的权限等而有所不同。

最后一句话

实施具有多个层的分层管理模型可能是一项复杂的任务，并且需要时间来实施。一步一步地从识别第 0 层资源开始。首先，确定哪些系统属于该层，然后创建新的管理帐户，以确保（新的）第 0 层帐户无法再直接登录或管理较低级别的系统。完成此步骤后，请对第 1 层、第 2 层等重复相同的过程。

通过将系统划分为多个层，可以使攻击者更难以在环境中移动，从而破坏他们可能发现的任何潜在攻击路径。借助 BloodHound 等工具，您应该会立即看到在本地 Active Directory 中实施层所带来的好处。

重要的是要记住，即使采用分层管理，也不可能完全阻止攻击者，但您会大大减慢他们的速度。因此，请将分层管理视为安全策略的重要组成部分。提高安全性的好处在很大程度上超过了 IT 部门额外管理工作的任何缺点。