前 25 个 Active Directory 安全最佳实践

这是最全面的在线 Active Directory 安全最佳实践列表。

在本指南中，我将分享我对 Active Directory 安全性的建议以及如何提高 Windows 域环境的安全性。

您不必花费大量资金来提高安全性，我将在本指南中向您展示许多免费和低成本的解决方案。

本指南涵盖的 AD 安全主题：

1. 限制域管理员和其他特权组的使用
2. 至少使用两个帐户
3. 保护域管理员帐户
4. 禁用本地管理员帐户（在所有计算机上）
5. 使用圈数
6. 使用安全管理工作站 (SAW)
7. 使用组策略启用审核策略设置
8. 监控妥协迹象
9. 密码复杂性很糟糕（使用密码短语）
10. 使用描述性安全组名称
11. 查找并删除未使用的用户和计算机帐户
12. 从本地管理员组中删除用户
13. 不要在 DC 上安装额外的软件或服务器角色
14. 补丁管理和漏洞扫描
15. 使用安全的 DNS 服务来阻止恶意域
16. 运行支持的操作系统
17. 对 Office 365 和远程访问使用两个因素
18. 监控连接设备的 DHCP 日志
19. 监控 DNS 日志中的恶意网络活动
20. 使用最新的 ADFS 和 azure 安全功能
21. 使用 Office 365 安全评分
22. 有一个恢复计划
23. 将文档委托给 Active Directory
24. 锁定服务帐户
25. 使用安全基线和基准
26. Active Directory 安全检查表

为什么保护 Active Directory 至关重要

在许多组织中，Active Directory 是对网络访问进行身份验证和授权的集中式系统。即使在云或混合环境中，它仍然可以是授予资源访问权限的集中式系统。当访问网络、OneDrive 上的文档、打印到网络打印机、访问互联网、检查电子邮件等时，所有这些资源通常都会通过 Active Directory 来授予您访问权限。

Active Directory 已经存在很长时间了，多年来恶意行为者已经发现了系统中的漏洞以及利用这些漏洞的方法。除了漏洞之外，黑客还很容易窃取或获取用户凭据，从而使他们能够访问您的数据。如果他们可以访问您的计算机或您的登录信息，那么他们就有可能获得对 Active Directory 的完全访问权限并拥有您的网络。

现在让我们深入了解 Active Directory 安全最佳实践列表。

1.限制域管理员和其他特权组的使用

域管理员和其他特权组的成员非常强大。他们可以访问整个域、所有系统、所有数据、计算机、笔记本电脑等。

建议域管理员组中不要有日常用户帐户，唯一的例外是默认域管理员帐户。

域管理员是坏人试图寻找的对象。

Microsoft 建议当需要 DA 访问权限时，将帐户临时放置在 DA 组中。工作完成后，您应该从 DA 组中删除该帐户。

还建议企业管理员、备份管理员和架构管理员组执行此过程。

有什么大不了的？

攻击者获取或破解用户凭据变得太容易了。

一旦攻击者获得对一个系统的访问权限，他们就可以在网络内横向移动以寻求更高的权限（域管理员）。

执行此操作的一种方法称为传递哈希。

传递哈希值允许攻击者使用密码哈希值（而不是常规密码）对远程系统进行身份验证。这些哈希值可以从最终用户计算机获得。

可怕吧？

攻击者只需一台受感染的计算机或一个用户帐户即可危及网络。

清理域管理员组是提高网络安全性的重要第一步。这无疑会减慢攻击者的速度。

从 DA 组中删除帐户的过程并不容易。我有第一手资料，因为我最近经历了这个过程。 DA 组中拥有过多帐户的情况很常见。

事情会破裂，所以要做好准备。

2. 使用两个或更多帐户（常规帐户和管理员帐户）

您不应每天使用本地管理员或具有特权访问权限（域管理员）的帐户登录。

相反，创建两个帐户，一个没有管理权限的常规帐户和一个仅用于管理任务的特权帐户。

但

不要将您的辅助帐户置于域管理员组中，至少不要永久如此。

相反，请遵循最小特权管理模型。基本上，这意味着所有用户都应使用具有完成工作所需的最低权限的帐户登录。

您可以阅读其他文章和论坛，将您的辅助帐户放入域管理员组。

这不是 Microsoft 的最佳实践，我建议不要这样做。同样，临时的也可以，但工作完成后需要立即将其删除。

话虽如此，微软并没有让人们轻易摆脱域管理员权限。没有简单的过程可以将权限委派给所有系统（例如 DNS、DHCP、组策略等）。这通常是很多人拥有域管理员权限的原因。

您应该使用常规的非管理员帐户来执行日常任务，例如检查电子邮件、浏览互联网、票证系统等。仅当您需要执行管理任务（例如在 Active Directory 中创建用户、登录服务器、添加 DNS 记录等）时，您才会使用特权帐户。

看看这两个场景。

场景 1 - 拥有域权限的 IT 员工

史蒂夫使用特权帐户登录他的计算机，检查他的电子邮件，并无意中下载了病毒。由于 Steve 是 DA 组的成员，该病毒对他的计算机、所有服务器、所有文件和整个域拥有完全的权限。这可能会造成严重损坏并导致关键系统瘫痪。

现在，采用相同的场景，但这次 Steve 使用他的常规非管理员帐户登录。

场景 2 - 拥有常规权限的 IT 员工

史蒂夫检查了他的电子邮件，无意中下载了病毒。该病毒对计算机的访问受到限制，无法访问域或其他服务器。这将造成最小的损害并防止病毒通过网络传播。

只需使用常规帐户即可提高安全性并避免造成严重损害。

以下是一些可以委派给辅助管理员帐户的常见任务。

• Active Directory 用户和计算机的权利
• 域名系统
• 动态主机配置协议
• 服务器上的本地管理员权限
• 组策略
• 交换
• 工作站的本地管理员权限
• Vsphere 或 Hyper-v 管理

一些组织使用两个以上的帐户并使用分层方法。这无疑更安全，但可能会给某些人带来不便。

• 普通账户
• 服务器管理帐户
• 网络管理帐户
• 工作站管理帐户

3. 保护域管理员帐户的安全

每个域都包含一个管理员帐户，该帐户默认是域管理员组的成员。

内置管理员帐户只能用于域设置和灾难恢复（恢复 Active Directory）。

任何需要对服务器或 Active Directory 进行管理级访问的人都应该使用自己的个人帐户。

任何人都不应该知道域管理员帐户密码。设置一个 20 多个字符的超长密码并将其锁在保险库中。同样，唯一需要的时间是出于恢复目的。

此外，Microsoft 还提供了一些保护内置管理员帐户的建议。这些设置可以应用于组策略并应用于所有计算机。

• 启用帐户是敏感的，不能被委托。
• 交互式登录需要启用智能卡
• 拒绝从网络访问此计算机
• 拒绝作为批处理作业登录
• 拒绝作为服务登录
• 拒绝通过 RDP 登录

有关保护域管理员帐户的更多详细信息，请参阅此 Microsoft 文章：保护 Active Directory 中的内置管理员帐户

4. 禁用本地管理员帐户（在所有计算机上）

本地管理员帐户是域环境中众所周知的帐户，不需要。

不需要，是真的吗？

是的

您应该使用具有完成任务所需权限的个人帐户。

本地管理员帐户有什么问题？

两个问题。

1. 这是一个众所周知的帐户，即使您重命名它，SID 也是相同的并且被攻击者所熟知。
2. 通常在域中的每台计算机上配置相同的密码。

攻击者只需要破坏一个系统，现在他们就拥有每台加入域的计算机的本地管理权限。然后，他们可以使用此帐户转向另一个系统，以找到域管理员访问权限。

如果您需要在计算机上执行管理任务（安装软件、删除文件等），您应该使用个人帐户而不是本地管理员帐户来执行此操作。

即使该帐户被禁用，您也可以启动进入安全模式并使用本地管理员帐户。

作为管理员，我知道这些最佳实践并不总是实用或会带来巨大的不便。

如果网络出现故障或者网卡坏了怎么办？如果您需要将其从域中删除并重新添加怎么办？有很多方法可以解决这个问题，但它确实会减慢你的速度。

如果您无法禁用该帐户，此处提供了保护该帐户的建议。 更好的替代方法是使用 Microsoft LAPS 工具（在下面的技巧 #5 中有介绍）

• 拒绝从网络访问此计算机
• 拒绝作为批处理作业登录
• 拒绝作为服务登录
• 拒绝通过 RDP 登录

有关更多详细信息，请参阅以下文章：保护本地管理员帐户和组

5.使用本地管理员密码解决方案（LDAPS）

本地管理员密码解决方案 (LAPS) 正在成为处理所有计算机上的本地管理员密码的流行工具。

LAPS 是一种 Microsoft 工具，可提供对加入域的计算机的本地帐户密码的管理。它将为每个本地管理员帐户设置唯一的密码并将其存储在 Active Directory 中以便于访问。

这是缓解哈希传递攻击和计算机之间横向移动的最佳免费选项之一。

组织使用基于映像的系统部署 Windows 是很常见的。这使得可以快速地将标准配置部署到所有设备。

但..

这通常意味着每台计算机上的本地管理员帐户都是相同的。由于本地管理员帐户对计算机上的所有内容拥有完全的权限，因此只要其中一个帐户受到威胁，黑客就可以访问所有系统。

LAPS 构建在 Active Directory 基础架构之上，因此无需安装额外的服务器。

该解决方案使用组策略客户端扩展来执行工作站上的所有管理任务。 Active Directory 2003 SP1 及更高版本以及客户端 Vista Service Pack 2 及更高版本支持它。

如果您需要在计算机上使用本地管理员帐户，您可以从 Active Directory 检索密码，并且该密码对于该计算机来说是唯一的。

有关安装 LAPS 的分步说明，请参阅本文：如何安装本地管理员密码解决方案 (LAPS)

6. 使用安全管理工作站 (SAW)

安全管理工作站是一个专用系统，只能用于使用您的特权帐户执行管理任务。

它不应用于检查电子邮件或浏览互联网。事实上......它甚至不应该访问互联网。

您会在 SAW 上执行哪些任务？

• 活动目录管理
• 组策略
• 管理 DNS 和 DHCP 服务器
• 任何需要服务器管理员权限的任务
• VMware、Hyper-v、Citrix 等管理系统的管理员权限
• Office 365 管理

你明白了。

基本上，当您需要使用特权帐户执行管理任务时，您应该通过 SAW 执行此操作。日常使用的工作站更容易受到散列传递、网络钓鱼攻击、虚假网站、键盘记录器等的攻击。

为您的高级帐户使用安全工作站可以更好地防御这些攻击媒介。由于攻击可能来自内部和外部，因此最好采用假定的安全漏洞。

由于持续的威胁和技术的变化，如何部署 SAW 的方法不断变化。还有 PAW 和跳转服务器使其更加混乱。

以下是一些可帮助您入门的提示：

• 使用全新的操作系统安装（使用最新的 Windows 操作系统）
• 应用强化安全基线（参见提示#25）
• 启用全盘加密
• 限制 USB 端口
• 启用 Windows 防火墙
• 阻止互联网
• 使用虚拟机 - 终端服务器运行良好
• 安装最少的软件
• 使用双因素或智能卡进行访问
• 限制系统仅接受来自 SAW 的连接

这是我使用 SAW 的典型工作流程：

1. 使用我的常规帐户登录我的计算机以检查电子邮件并查看新的支持请求。
2. 如果我有一些管理任务，我将使用我的特权帐户登录我的 SAW，该帐户有权修改 AD 组成员身份并将用户添加到必要的 AD 安全组。

很简单吧？

这可能看起来很麻烦，但实际上我发现这样更方便。我可以在断网时进行远程连接，并拥有一台包含我需要的所有工具的服务器。如果我需要重新映像我的计算机，我也不必担心重新安装所有支持软件。

有关此主题的更多信息，请查看 Microsoft 的特权访问设备文档。

7. 使用组策略启用审核策略设置

确保在组策略中配置以下审核策略设置并将其应用于所有计算机和服务器。

计算机配置->策略-Windows设置->安全设置->高级审核策略配置

账户登录

确保“审核凭证验证”设置为“成功和失败”

帐户管理

审核“应用程序组管理”设置为“成功和失败”
审核“计算机帐户管理”设置为“成功和失败”
审核“其他帐户管理事件”设置为“成功和失败”审核“安全组管理”设置为“成功和失败”
审核“用户帐户管理”设置为“成功和失败”

详细追踪

审核“PNP 活动”设置为“成功”
审核“流程创建”设置为“成功”

登录/注销

审核“帐户锁定”设置为“成功和失败”
审核“组成员身份”设置为“成功”
审核“注销”设置为“成功”
审核“登录”设置为“成功和失败”
审核“其他登录/注销事件”设置为“成功和失败”
审核“特殊登录”设置为“成功”

对象访问

审核“可移动存储”设置为“成功和失败”

政策变化

审核“审核策略更改”设置为“成功和失败”
审核“身份验证策略更改”设置为“成功”
审核“授权策略更改”设置为“成功”

特权使用

审核“敏感权限使用”设置为“成功和失败”

系统

审核“IPsec 驱动程序”设置为“成功和失败”
审核“其他系统事件”设置为“成功和失败”
审核“安全状态更改”设置为“成功”
审核“安全系统扩展”设置为“成功和失败”
审核“系统完整性设置为“成功和失败”

恶意活动通常在工作站上开始，如果您不监控所有系统，您可能会错过攻击的早期迹象。

在下一节中，我将介绍您应该监视哪些事件。

8. 监控 Active Directory 是否存在泄露迹象

您应该监视以下 Active Directory 事件，以帮助检测网络上的危害和异常行为。

以下是您应该每周监控和审查的一些事件。

• 对特权组（例如域管理员、企业管理员和架构管理员）的更改
• 错误密码尝试激增
• 被锁定账户数量激增
• 帐户锁定
• 禁用或删除防病毒软件
• 由特权帐户执行的所有活动
• 登录/注销事件
• 使用本地管理员帐户

如何监视 Active Directory 中的事件？

最好的方法是将所有日志收集到集中式服务器上，然后使用日志分析软件生成报告。

一些日志分析器预先构建了 Active Directory 安全报告，而其他日志分析器则需要您自己构建。

以下是一些最流行的日志分析器。

• 麋鹿栈
• 莱皮德
• 斯普朗克
• ManageEngine ADAudit Plus
• Windows 事件转发

借助良好的日志分析器，您将能够快速发现 Active Directory 环境中的可疑活动。

以下是我使用的分析仪的一些屏幕截图。第一个屏幕截图显示帐户锁定数量激增。

这绝对是不正常的。

在此屏幕截图中，您可以看到登录失败的数量大幅增加。如果没有日志分析器，这些事件将很难发现。

9. 密码复杂性很糟糕（使用密码短语）

8个复杂的字符不再是安全的密码。相反，应使用至少 12 个字符并对用户进行密码短语培训。

密码越长越好。

密码短语只是两个或多个随机单词组合在一起。如果需要，您可以添加数字和字符，但我不会提出要求。

研究表明，当您需要复杂性时，它会以类似的模式使用，然后重复。黑客已经发现了这一点，现在有大量的密码列表（免费提供），其中包含数百万个容易猜测的密码。

你知道有人使用这样的密码吗？

S@mmer2018，或 Winter2018！ 2018 年 6 月$

这些密码很糟糕并且很容易被猜到。

长密码和使用密码短语技术使密码破解软件和黑客更难以猜测。

更好的密码政策

• 设置12个字符的密码
• 记住10个密码历史记录
• 使用密码
• 锁定策略 5 次尝试

使用密码的关键是每个单词都是完全随机的，你不想打出一个可以猜到下一个单词的句子。

使用密码短语的好密码

Bucketguitartire22
Screenjugglered
RoadbluesaltCloud

上面的例子完全是随机的。这些需要很长时间才能破解，而且很可能没有人能猜到它们。

错误密码示例

我真的很喜欢披萨22
天空是蓝色的44

NIST 最近更新了特别出版物 800-63 中的密码政策指南，以满足密码政策的新要求。

如果您的组织必须满足某些标准，请确保这些标准支持这些密码建议。

另外，请务必更新贵公司的书面政策。

10.使用描述性安全组名称

首先，确保您通过安全组而不是个人帐户对资源应用权限，这使得管理资源变得更加容易。

接下来，不要使用帮助台或人力资源培训等通用名称来命名您的安全组。

当您拥有这样的通用名称时，它们将被用于各种资源，并且您将失去对安全性的所有控制。

并且没有简单的方法可以查看安全组的使用情况。是的，您可以运行一些工具，但如果您有中型或大型环境，这将是一项艰巨的任务。

这是一个例子

IT_Local 非常通用。光看名字就不知道这是做什么用的。是的，它可能由 IT 部门使用，但在哪里？

这就是权限失控的原因，您最终可能会授予人们访问他们不应该访问的内容的权限。某些系统管理员可能会收到访问 IT 部门网络共享的请求，并将用户添加到该组。但他不知道的是该组可能会用于其他系统。现在他只是给了一些用户对其他一些系统的完全权限。

当您使用“N Drive HR_Training”组等描述性名称时，您可以查看该名称并清楚地了解它的用途。在这个例子中，它是针对N驱动器的，它是针对HR的，并且与培训有关。您的 IT 员工应该通过名称就知道这是什么。

以下是一个真实示例，说明错误的组名称如何导致问题。

我正在与客户合作清理 Active Directory 的权限。有多个安全组已将权限委派给 Active Directory。

有一个小组称为“帮助台”，另一个小组称为“IS 支持”，还有一个小组称为“AD 修改”。

我的印象是只有帮助台员工才有权使用 Active Directory 重置密码和解锁帐户。

来看看这些组用于其他资源，例如帮助台软件、网络共享和打印机。因此其中包括各种 IT 人员。

当我删除这些组后，我接到了程序员和业务分析师的电话，询问他们为什么无法再重置用户密码。程序员到底为什么要重置用户密码？

我清楚准确的安全组名称可以防止这种情况发生。

如果您没有指定特定的安全组，那么它可能会涵盖许多其他事物的权限。

以下是如何命名组的一些很好的示例。

示例 1：允许帮助台重置密码

安全组名称：IT-Helpdesk-PW-Reset

由于组名称是精确的，这将有助于防止它在打印机或网络共享等其他资源上使用。

示例 2：授予 HR 对共享文件夹的权限

安全组名称：N Drive HR-Training-Folder-RW

同样，它有一个非常具体的名称，有助于确定它的用途。

您可以想出自己的命名约定，只需将名称具体化即可，并避免使用通用的单词组名称。

11.查找并删除不活动的用户和计算机帐户

您需要制定适当的程序来检测 Active Directory 中的非活动用户和计算机帐户。

您不希望 Active Directory 中存在一堆未使用的帐户，等待攻击者发现和使用。这还可能导致报告、修补和减慢组策略的问题。

CIS Critical Security Controls 表示，“有很多方法可以秘密获取用户帐户的访问权限，包括弱密码、用户离开企业后仍然有效的帐户、休眠或挥之不去的测试帐户”

CIS 建议在 45 天不活动后删除或禁用休眠帐户

我创建了一个名为 AD Cleanup Tool 的工具，可以让您快速找到不活动的用户和计算机帐户。

如果您想了解有关查找非活动用户或如何使用 PowerShell 执行此操作的更多详细信息，请查看标题为“在 Active Directory 中查找非活动用户”的文章

12. 从本地管理员组中删除用户

普通用户不应属于计算机上的本地管理员组。

具有本地管理员权限的用户可以完全访问整个 Windows 操作系统。这可能会导致各种安全问题，例如安装软件、禁用防病毒软件、下载和安装恶意软件、窃取数据、黑客凭据、转移到其他计算机等。

微软的一份漏洞报告称：

“在 2018 年发现的所有 Windows 漏洞中，有 169 个被视为‘严重’。删除管理员权限可以缓解 85% 的严重漏洞”

通过从本地管理员组中删除用户，您可以大大减少攻击者访问您的计算机和网络的机会。

我建议您使用组策略来控制本地管理员组。如果您在没有集中控制的情况下将它们从计算机中删除，那么有人只会将权限添加回来。我和服务台已经多次打过这场仗。我删除了权限，然后他们在解决问题时将其添加回来。

使用组策略和受限组将阻止您的员工在组中留下帐户。

我写了一份完整的指南，请在此处查看 -> 使用组策略从本地管理员组中删除用户。

13. 不要在 DC 上安装额外的软件或服务器角色

域控制器上应安装有限的软件和角色。

DC 对企业至关重要，您不希望通过在其上运行其他软件来增加安全风险。

Windows Server Core 是运行 DC 角色和其他角色（例如 DHCP、DNS、打印服务器和文件服务器）的绝佳选择。 Server Core 无需 GUI 即可运行，并且由于占用空间较小，因此需要的安全补丁也较少。

尽管某些第三方软件不兼容，但服务器核心可能会面临挑战。

14.补丁管理和漏洞扫描

攻击者很快就会利用已知的漏洞。

如果您不定期扫描和修复发现的漏洞，您将面临更大的风险。

有大量可用的漏洞和扫描工具，请参阅我的最佳补丁管理软件列表。

持续漏洞管理的技巧

• 每月至少扫描一次所有系统，以识别所有潜在漏洞。如果您可以更频繁地扫描那就更好了。
• 优先查找漏洞扫描，并首先修复已知存在的漏洞。
• 将自动软件更新部署到操作系统
• 部署对第三方软件的自动更新
• 识别不再受支持的过时软件并进行更新。

15.使用安全 DNS 服务来阻止恶意域

您可以通过阻止恶意 DNS 查找来防止大量恶意流量进入您的网络。

每当系统需要访问互联网时，大多数情况下都会使用域名。计算机通过 IP 地址相互通信，因此计算机使用 DNS 将域名映射到 IP 地址。

有多种服务可以检查 DNS 查询是否存在恶意域并阻止它们。

这是如何运作的？

这些 DNS 服务从各种公共和私人来源收集有关恶意域的情报。当它收到对其标记为恶意的域的查询时，当您的系统尝试联系它们时，它将阻止访问。

这是一个例子：

第 1 步： 客户端单击转到 example.net 的链接

第2步：检查本地缓存

第 3 步： DNS 服务检查该域是否在其威胁列表中，如果是，则返回阻止回复。

在上面的示例中，由于 DNS 查询返回了一个块，因此没有恶意流量进入网络。

以下是一些最流行的安全 DNS 服务。

• 四方9
• 开放DNS
• Comodo 安全 DNS

我目前正在使用 Quad9，它是免费且易于设置的。

此外，大多数 IPS（入侵防御系统）系统都支持根据恶意域列表检查 DNS 查找的功能。

16. 运行支持的操作系统

对于每个新版本的 Windows 操作系统，Microsoft 都包含内置的安全功能和增强功能。更重要的是，您可以获得安全更新。

只需使用最新的操作系统即可提高整体安全性。

Server 2022 中的新安全功能：

• 安全核心服务器
• 硬件信任根
• 固件保护
• UEFI 安全启动
• 基于虚拟化的安全

这是 Robert McMillen 提供的有关 server 2002 中的安全功能的视频。

17.对office 365和远程访问使用双因素身份验证

帐户受损非常常见，攻击者可以通过 VPN、Citrix 或其他远程访问系统远程访问您的系统。

检查您的 Office 365 或 ADFS 日志，您会惊讶地发现有多少次登录尝试来自中国和俄罗斯。

防止帐户被盗的最佳方法之一是两因素身份验证。这也将有助于防止密码喷射攻击。

假设用户陷入了网络钓鱼尝试，要求用户验证其用户名和密码。

现在，攻击者拥有该用户的 Active Directory 凭据。攻击者现在可以从任何地方访问许多系统。

如果用户启用了双因素，即使帐户已被盗用，也可能会阻止访问。攻击者需要第二组凭据才能登录。

确实无法阻止帐户被盗，攻击者可以通过多种方式获取凭据。

如果您使用的是 Office 365，并且根据您拥有的软件包，可能会包含 MFA。利用此功能。

流行的双因素身份验证解决方案

• 双人组
• RSA
• Office 365 MFA 设置

18. 监控连接设备的 DHCP 日志

如果您有多个位置且有大量用户和计算机，您应该知道连接到网络的内容可能会很有挑战性。

有多种方法可以阻止仅授权设备进行连接，但这可能成本高昂且需要进行大量设置。如果你有资源，那么这就是你要走的路。

您已经可以使用的另一种方法是监视已连接设备的 DHCP 日志。

您应该将所有最终用户设备设置为使用 DHCP。然后您可以查看日志以了解正在连接的内容。您应该为您的设备制定命名约定，这样可以轻松发现可能未经授权的设备。

在下面的屏幕截图中，我可以轻松地发现一个不遵循我的计算机命名约定的设备。

minint-1bdvd67 不是我认识的东西。我需要调查一下它是否是授权设备。

19. 监控 DNS 日志中的恶意网络活动

大多数连接都以 DNS 查询开始。所有加入域的系统都应设置为使用本地 Windows DNS 服务器。

通过此设置，您可以记录每个内部和外部 DNS 查找。当客户端设备连接到恶意站点时，它会将该站点名称记录在 DNS 日志中。

这些恶意域名通常是奇怪的随机字符域名，看起来不正常。

以下是我的日志中可疑 DNS 查找的一些屏幕截图。这些反复出现在我的少数设备的日志中。

我严重怀疑用户是否故意尝试访问该网站。需要研究这些类型的查找以确定其是否是恶意的。

要查看 DNS 查找，您首先需要在 Windows 服务器上启用 DNS 调试日志。

在 Windows Server 上启用 DNS 调试日志的步骤

第 1 步：打开 DNS 管理控制台

第 2 步：右键单击并选择属性

第 3 步：单击“调试日志记录”选项卡

第 4 步：选中“记录数据包以进行调试”复选框

设置调试日志后，您可以将这些日志导入分析器中以快速发现恶意活动。

您还可以将日志文件转换为 CSV，以便于阅读和过滤。

20.使用最新的 ADFS 和 Azure 安全功能

ADFS 和 Azure 具有一些出色的安全功能。这些功能将有助于密码喷洒、帐户泄露、网络钓鱼等。

无论您使用的是哪个级别的 Office 365，都应该研究一些功能。

当然，高级订阅具有最好的安全功能。

但

微软确实在各个层面上进行了改进并添加了新功能（至少这是我自从使用 Office 365 以来注意到的）。

以下是一些值得研究的功能：

• 智能锁定 - 使用算法来发现异常标志活动。
• IP 锁定 - 使用 Microsoft 的已知恶意 IP 地址数据库来阻止登录。
• 攻击模拟 - 您应该定期进行网络钓鱼测试以帮助培训最终用户。微软将很快发布网络钓鱼模拟器软件。
• MFA 身份验证 - Microsoft 的两因素解决方案
• 禁止的密码 - 根据已知列表检查密码
• Azure AD Connect Health - 提供一些不错的报告
• 自定义错误密码 - 能够添加自定义禁止密码进行检查。

我目前正在运行混合 Office 365 设置。在天蓝色中，我可以在报告上看到几个危险的迹象。

Azure 提醒我，我们的一个帐户中有一个来自中国的登录信息。

其中一些功能可在最新的 ADFS 版本中使用，另一些则包含在 Office 365 订阅中。

一定要检查 ADFS、Office 365 和 Azure 中所有可用的安全功能。

资源：

防御密码喷射攻击

21.使用Office 365安全分数

安全分数根据活动和安全设置分析您的 Office 365 组织安全性。

安全分数检查您的 Office 365 服务，然后检查您的设置和活动，并为您提供安全分数。

分析您的分数后，它将提供详细的评分列表以及解决问题的建议操作。

您需要高级版或企业版订阅才能访问此功能，此外，您还需要被分配全局管理员或自定义角色。

Microsoft 继续扩展 Secure Score 并添加其他功能。

如果您有权使用此功能，请充分利用它。

有关更多详细信息，请参阅我的文章 Office 365 安全最佳实践。

22.制定恢复计划

如果您的网络今天遭到破坏或遭到勒索软件攻击，您会怎么做？

• 你们有应对政策吗？
• 您是否对员工进行了如何处理此类事件的测试和培训？
• 您有活动目录的系统状态备份吗？这是必须的，以防您需要从备份恢复域。

网络攻击可以关闭系统并导致业务运营停止。

亚特兰大市因网络攻击而关闭，居民无法在线支付水电费。此外，警察必须手写报告。

最后我查了一下，他们从攻击中恢复过来的成本超过了 500 万美元。

良好的事件响应计划可以限制影响并使服务更快地恢复在线。

以下是事件响应计划中应包含的一些内容

• 制定事件响应政策和计划
• 创建执行事件处理和报告的程序
• 建立与外部各方沟通的程序
• 建立响应团队和领导者
• 优先考虑服务器
• 演练和培训

NIST 有一个很棒的计算机安全事件处理指南，我建议您查看。

23. 将文件委托给 AD

控制对 Active Directory 和相关资源的访问的最佳方法是使用安全组。

如果您将权利委托给个人，那么您就失去了对谁有权访问的控制。

创建具有非常具体的名称、拥有权限的文档以及添加新用户的流程的自定义组。不要未经批准流程就允许将用户添加到这些自定义组中。这只是权限失控的另一种方式。

了解哪些组被委派了哪些资源，将其记录下来，并确保您的团队达成共识。

24. 锁定服务帐户

服务帐户是运行可执行文件、任务或服务、AD 身份验证等的帐户。

这些被广泛使用，并且通常将密码设置为永不过期。

这些帐户通常会拥有过多的权限，并且通常是域管理员组的成员。

不好..非常不好

有时这是供应商建议的。

不要允许这种情况发生，有一些方法可以让它在没有 DA 访问权限的情况下工作。

以下是锁定服务帐户的一些提示。

• 请改用托管服务帐户
• 使用长强密码
• 仅允许访问需要的内容
• 尽量避免授予本地管理员权限
• 不要放入域管理员
• 拒绝本地登录
• 拒绝批量登录
• 要求供应商在没有域管理员权限的情况下运行他们的软件

25.使用安全基线和基准

Windows 操作系统的默认安装有许多不安全的功能、服务、默认设置和启用的端口。

应根据已知的安全基准审查这些默认设置。

在所有系统上建立安全配置可以在保持功能的同时减少攻击面。有多种资源可以提供安全基准。

Microsoft 拥有安全合规性工具包，可让您根据 Microsoft 推荐的安全配置基线进行分析和测试。

另一个很棒的资源是 CIS SecureSuite

它还提供安全配置基线。此外，它还提供了可以扫描系统并提供故障报告的工具。

大多数推荐的设置都可以使用组策略进行设置并部署到所有计算机。

这是 CIS Securesuite 工具的屏幕截图。它在我的计算机上运行扫描并生成有关所有通过和失败的设置的报告。

CIS Securesuite 还可以扫描其他系统，例如 Cisco、VMware、Linux 等。

Active Directory 安全检查表

以简单清单格式下载本指南。其中包括 3 个额外的安全提示。

下载 PDF 清单

我希望您发现我的 Active Directory 安全最佳实践列表很有用。

如果您有任何问题或意见，请在下面发表。