Active Directory 的十大特权帐户最佳实践

这是有关特权帐户的最全面的在线指南。

在本指南中，您将了解特权帐户的基础知识、安全风险以及我们保护特权帐户的最佳实践。

由于特权帐户可能产生潜在影响，识别和保护特权帐户应该是首要安全优先事项。

让我们开始吧。

内容：

• 什么是特权帐户？
• 特权组和特权访问
• 特权账户和安全风险
• Active Directory 中的特权帐户列表

• 特权帐户的 10 个最佳实践

  • 扫描并清点特权帐户
• 使用最低特权模型

• 监控特权帐户和组的更改
• 使用多重身份验证
• 使用单独的帐户执行管理任务
• 限制特权帐户的范围
• 使用良好的命名约定

• 使用强密码策略
• 使用特权访问管理软件
• 不要共享管理员帐户

什么是特权帐户？

特权帐户是对计算机系统、应用程序或基础设施设备具有提升的权利、特权和/或权限的帐户。大多数系统都包含一个内置的特权帐户，通常称为管理员或管理员。普通帐户可以被授予更高的权限，从而将其转变为特权帐户。

特权帐户通常用于执行管理任务，例如：

• 安装软件和驱动程序更新
• 管理 Active Directory（创建、删除和修改帐户）
• 管理 Office 365（创建、删除和修改帐户）
• 配置和更改系统设置
• 重新启动、关闭设备
• 更改基础设施设备的配置（路由器、交换机、DNS 等）
• 管理文件和文件夹权限

特权帐户与非特权帐户

系统管理员通常使用特权帐户来管理 IT 系统。非特权帐户通常称为常规用户帐户，是员工用来完成工作的帐户。

如果您可以登录并对服务器进行更改或将用户添加到 Active Directory 组，那么您正在使用特权帐户。

非特权帐户不应拥有对关键系统进行更改的权限。例如，来自财务部门的吉姆登录后对财务系统和数据的访问权限受到限制，但无法对任何关键设备进行更改。

特权帐户不必是系统的完整管理员。它只能被授予特定的权限，例如成为工作站的管理员，而不是服务器的管理员。或者有权管理 Active Directory 中的特定 OU，但无权管理其他 OU。系统管理员将特定权限委托给其他管理员是很常见的，但这些仍然是特权帐户。

下面是 Active Directory 的屏幕截图，显示了内置管理员帐户。此内置帐户具有对 Active Directory 和加入域的系统的完全权限。 这是一个非常强大的帐户。

特权帐户是如何创建的？

通常有两种方式：

1. 大多数系统默认包含一个特权帐户，通常称为管理员或管理员。
2. 现有帐户通过各种方法被授予更高的权限（稍后会详细介绍）。

特权组和特权访问

重要的是要了解，将常规用户帐户添加到群组可以赋予他们特权访问权限。 这是 Active Directory 安全性的关键组件，您需要了解每个组 将授予用户帐户哪些权限。

许多系统（例如 Active Directory）包含配置有提升权限的内置组。例如，Domain Admins 组预先配置了对 Active Directory 和加入域的所有系统的完全管理员权限。该组的任何成员都将拥有更高的权限，将其变成特权帐户。

让我来看一个例子：

我有一个普通用户帐户“Timothy Terrell”，没有提升的权限。此帐户无法对其计算机或任何其他系统进行系统更改。如果我将此帐户添加为域管理员组的成员，那么它将成为特权帐户，授予其进行系统更改的权限。

除了内置组之外，管理员通常还会创建自己的组，然后授予他们更高的权限。

特权帐户和安全风险

特权帐户是管理员完成工作所必需的。安全风险是由以下原因造成的：

1. 过度配置：这基本上意味着为管理员或用户提供超出所需的权限。常见的滥用行为是授予用户本地计算机上的管理员权限。这给予了他们比完成工作所需更多的许可。
2. 缺乏库存：不知道和跟踪哪些帐户具有特权是第二大风险。你无法确保你不知道的东西。
3. 无审核或监控：对特权帐户或组的任何更改都应受到监控和记录。

让我通过下图来更好地说明风险。

1. 财务部的吉姆登录他的电脑

2. Active Directory 对 Jim 进行身份验证并根据组成员身份授予访问权限。

   1. 在某个时候，吉姆的帐户被添加到“工作站管理员”组中，以便吉姆可以在他的计算机上安装软件。 Jim 现在是域中所有计算机的管理员。
3. 事实证明，工作站管理员是域管理员的成员，这使吉姆可以访问整个域，包括：

这种情况可能会持续下去，仅取决于您拥有的系统以及如何应用权限。如果吉姆收到一封网络钓鱼电子邮件并输入了他的用户名和密码怎么办？现在，攻击者拥有了他的凭据，这使攻击者能够特权访问整个域。我知道很疯狂。它发生的次数比你想象的要多。

了解特权访问可以来自一个或多个位置也很重要，包括：

• 将用户添加到 Active Directory 组
• 在 Active Directory 中委派权限
• 将用户添加到本地管理员组
• 将权限委派给特定系统（组策略、DHCP、DNS）
• 在 Office 365 中授予用户或组全局管理员权限
• 组策略设置中的用户权限分配
• 文件和文件夹的完整、修改或所有权权限

跟踪这一切可能很困难。最佳实践部分将为您提供一些提示，帮助您控制特权帐户和访问权限。您还需要了解 Active Directory 中的哪些组具有提升的权限，这将在接下来讨论。

Active Directory 中的特权帐户列表

下图显示了 Active Directory 中提供提升权限的内置帐户和组的列表。添加到这些组的任何用户帐户都会成为特权帐户，因此您应该定期清点并监视对这些组的更改。这些组和帐户列在内置和用户容器中。

我在顶部列出了最重要的内容。

企业管理员

Enterprise Admins 组仅存在于 Active Directory 域林的根域中。如果域处于本机模式，则它是一个通用组；如果域处于混合模式，则它是一个全局组。该组的成员有权在 Active Directory 中进行林范围内的更改，例如添加子域。该组中的成员可以修改所有管理组的成员身份。成员资格只能由根域中的默认服务管理员组修改。这被视为服务管理员帐户。

域管理员

Domain Admins 安全组的成员有权管理该域。默认情况下，Domain Admins 组是已加入域的所有计算机（包括域控制器）上 Administrators 组的成员。 Domain Admins 组是该组的任何成员在 Active Directory 中为域创建的任何对象的默认所有者。如果该组的成员创建其他对象（例如文件），则默认所有者是管理员组。

Domain Admins 组控制对域中所有域控制器的访问，并且可以修改域中所有管理帐户的成员身份。

管理员

管理员组的成员对计算机具有完全且不受限制的访问权限，或者如果计算机被提升为域控制器，则成员对域具有不受限制的访问权限。

架构管理员

架构管理员组的成员可以修改 Active Directory 架构。该组仅存在于 Active Directory 域林的根域中。如果域处于本机模式，则它是一个通用组；如果域处于混合模式，则它是一个全局组。

该组有权在 Active Directory 中进行架构更改。默认情况下，该组的唯一成员是林根域的管理员帐户。该组对架构具有完全的管理访问权限。

账户运营商

帐户操作员组向用户授予有限的帐户创建权限。该组的成员可以创建和修改大多数类型的帐户，包括用户、本地组和全局组的帐户，并且成员可以本地登录到域控制器。

其他团体：

• 允许的 RODC 密码复制组
• 备份操作员
• 证书服务 DCOM 访问
• 证书发布者
• 分布式COM用户
• DNS管理员
• 事件日志读取器
• 组策略创建者所有者
• 打印机操作员
• 受保护的用户
• 远程桌面用户
• 服务器运营商

除了内置帐户之外，管理员通常还会创建自己的安全组和帐户，并授予它们更高的访问权限。

例如，在我的网络中，我创建了一个名为 VMware-admins 的安全组。该组的用户拥有 VMware ESXi 服务器的管理员访问权限。我还有一个名为 SQL-admins 的组，用于授予 SQL 服务器管理员权限。

资源：
Active Directory 安全组 - 本文提供了 Active Directory 中每个组的完整描述。

特权帐户最佳实践

以下是我管理特权帐户的 10 个最佳实践。

1. 扫描并清点特权帐户

你无法确保你不知道的东西。

特权帐户可以存在于整个组织的多个位置和配置中。您需要扫描并清点以下内容：

• Active Directory 组成员身份
• 服务器和工作站上的本地组
• Active Directory (ACL) 的委派权限
• 组策略的委派权利
• 在组策略上配置的用户权限分配
• Office 365 角色
• 通过 Active Directory 应用于基础设施设备的权限

这不是一个小任务。其中一些可以通过脚本和工具来完成，但也需要一些手动工作。我将介绍一些示例。

检查 Active Directory 组成员身份

您需要检查 Active Directory 中所有特权组的组成员身份。我将打开域管理员组并查看其成员。

在上面的屏幕截图中，您可以看到域管理员组有四名成员。该组的成员资格应受到限制，这意味着域用户和域来宾不应成为该组的成员。否则，这将为域中的每个用户提供完全域访问权限。

清点组的更快选项是使用 PowerShell 或 AD Pro Toolkit 中的组成员报告工具。使用此工具，您可以选择所有特权组并运行报告。

这是报告的输出。

在上面您可以看到我在架构管理员组和组策略创建者所有者组中有一些帐户。该报告可以导出为 CSV，以便您可以跟踪任何更改。由于这些用户帐户是该组的成员，因此它们现在是特权帐户。这些是来自其他部门的用户，不应属于这些组。这就是为什么扫描和清点 Active Directory 和 Office 365/Azure 中的所有特权组非常重要。

检查服务器和工作站上的本地组

用户和 Active Directory 组通常添加到服务器和工作站上的本地组中。这可以授予特权访问权限，例如对这些系统的管理员权限。

要手动检查，请打开“计算机管理”，然后单击其中一个组。我会检查管理员组。

在上面您可以看到本地管理员组有四名成员。域用户是赋予域中每个用户对此服务器完全管理员权限的成员。这不好。

手动检查每个系统的组成员身份是不可能的，因此您可以再次使用 PowerShell 或 AD Pro Toolkit。该工具包有一个名为本地组管理的工具，它允许您获取远程计算机上的组成员身份。

在上面的屏幕截图中，我对域中的所有计算机进行了扫描，以便您可以轻松查看每个组的成员。从这里，您可以过滤结果并仅显示管理员组或任何其他特权组的成员。

Active Directory 的委派权限

就像文件和文件夹一样，Active Directory 对称为 ACL（访问控制列表）的对象设置了权限。管理员通常使用委派控制向导来授予用户或组对 Active Directory 的特定权限。例如，您可能授予帮助台员工创建和删除特定 OU 帐户或删除计算机帐户的权限。这两种情况的问题是没有简单的方法来检查整个域的 ACL 权限。

在上面的示例中，我手动检查了名为 ADPRO Groups 的单个 OU 的安全性。您可以看到有一个名为“Accounting_Folders”的组，它具有创建/删除用户对象的权限。这意味着该组的任何成员都可以在此 OU 中创建和删除用户帐户。这只是域中的一个 OU，因此您可以理解安全性如何容易因此失控。

您可以使用 ACL 扫描工具等工具来创建有关 AD 委派权限的报告。它不是最用户友好的工具，但它比手动检查 AD 中的每个对象要好。

组策略的委派权利

可以将特殊权限委派给组策略对象。这可以赋予用户修改、创建和删除 GPO 的权限。如果攻击者获得了对已将权限委派给 GPO 的帐户的访问权限，他们就可以更改安全设置、安装病毒等。

要检查 GPO 委派权限，请打开组策略管理控制台，选择一个对象并单击委派。

组策略中配置的用户权限分配

您检查过 GPO 上的用户权利分配吗？因为这些设置可以赋予用户更高的权限来执行某些任务。您应该清点所有 GPO 和用户权限分配。

这些设置位于计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 本地策略 -> 用户权限分配

您还可以通过使用策略来提高安全性。

资源：
Microsoft 用户权限文档

清点 Office 365/Azure 角色

就像 Active Directory 一样，Office 365 包含具有提升权限的默认组。 Office 365 将它们称为管理员角色而不是组。以下是在 Office 365 中分配角色的一些指南。

• 全局管理员的数量不要超过 4 个 - 全局管理员拥有无限的权力，因此要限制他们的使用。
• 使用最少许可的角色 - 这意味着仅向管理员提供他们需要的访问权限。如果帮助台想要重置 MFA 或用户密码，请不要让他们成为全局管理员。相反，给他们一个仅授予重置密码访问权限的角色。
• 对所有管理员使用多重身份验证 - 我建议为所有用户启用 MFA。

您可以通过转到 Azure Active Directory，然后转到“角色和管理员”来查看所有组。这是全局管理员角色的屏幕截图。

使用自定义 AD 组委派的权限

Active Directory 通常用作其他系统的集中身份验证和授权。这里有些例子：

• 访问VMware
• 路由器和交换机
• 访问无线网络
• SQL服务器
• 共享点
• 会计系统

无论您使用什么系统，它很可能使用 Active Directory 来验证用户访问。当我在大型组织工作时，我们会创建 Active Directory 组来授予对 Windows 服务器、SQL 服务器、路由器、交换机等的管理员访问权限。

例如，我们创建了一个名为 VMWare-Admins 的组。在VMWare控制台内，我们会将此AD组分配为VMware的管理员。添加到该组的任何用户都将成为特权帐户，并对所有 VMware 服务器具有管理员访问权限。

对路由器和交换机的访问也是通过 Active Directory 组完成的。名为 switch-admins 的组的成员可以使用其 AD 凭据登录交换机并对网络进行更改。

我建议您检查您的系统，看看是否使用 AD 组来提供对它们的更高访问权限。在大型网络中，如果您的管理员没有使用易于遵循的帐户命名约定，那么管理起来可能会是一场噩梦。我总是建议为您的组创建非常具有描述性的名称并添加描述。这将使识别组及其用途变得更容易。

2.使用最低特权模型

最小特权模型只是意味着仅授予用户执行任务或工作所需的权限。这是一个简单的策略，可以大大提高安全性，但不幸的是常常没有得到实施。

相反，通常会发生的情况是有人需要安装软件等权限，并且他们被添加到一个高度特权的组中，该组授予他们比所需更多的权限。一个例子是，帮助台的某人需要为会计部门的用户安装软件，并且为此他们认为需要将其添加到域管理员组中。这是完全没有必要的，现在授予该用户对整个域的完全管理员权限。应该做的是授予用户仅在一台计算机上安装软件的权限。

另一个示例是您的 SQL 管理员需要对所有 SQL 服务器的权限。这些帐户通常会添加到组中，然后授予它们完全的域访问权限或对所有服务器的访问权限。您应该只授予 SQL 管理员对 SQL 服务器的访问权限，而不是所有服务器的访问权限。

资源：
实施最低权限管理模型

3. 监控特权帐户和组的更改

当您确定了您的特权帐户和组后，您需要监视它们的更改。这可以通过即时电子邮件警报或每日或每周报告来完成。我更喜欢即时电子邮件或每日变更报告。

例如，如果用户被添加到域管理员组，您需要收到有关更改的警报。有许多工具可以监控您帐户的更改，例如：

• AD 审计增强版
• 网络
• 莱皮德

如果您擅长使用 PowerShell，则可以编写一个脚本来监视 Windows 事件日志中的特定事件 ID 并创建报告。

4.使用多重身份验证

应为所有帐户启用多重身份验证 (MFA)。这将减慢攻击者窃取您的凭据或从网络钓鱼电子邮件中获取凭据的速度。如果您无法为所有帐户启用 MFA，则必须为所有 IT 员工或具有特权访问权限的任何人启用它。仅仅依靠密码是一种糟糕的安全做法。

如果您使用的是 Office 365，它包含一个使用其 MFA 解决方案的免费选项。当您购买 P1 许可证时，它包含更多安全功能。 Duo 也是一种流行的 MFA 解决方案。

5. 使用单独的帐户执行管理任务

特权帐户只能用于管理任务。您的日常帐户不应具有特殊权限或管理员访问权限。

您用于检查电子邮件、浏览互联网和执行其他基本任务的登录帐户不应是特权帐户。当您确实需要执行管理任务时，您应该使用具有特殊权限或管理员访问权限的单独帐户。

例如，我使用帐户“robert.allen”登录我的计算机。它是一个没有管理员权限的普通用户帐户。无法安装软件、创建AD用户、修改权限等。当我需要执行删除 AD 用户等管理员任务时，我会使用具有这些权限的辅助帐户对 AD 进行身份验证。通常，该名称类似于“robert.allen-admin”，但它可以是您想要指定的任何名称。请记住遵循命名约定，以便其他人更容易识别该帐户的用途。

还建议从安全工作站使用这些单独的特权帐户。安全工作站是一台独立的计算机，它应用了额外的安全性，例如 MFA 访问，仅限于无互联网，具有网络 ACL 来限制哪些 IP 地址可以访问它，等等。

为什么这很重要？

黑客很容易通过网络钓鱼电子邮件、密码喷射和其他方法访问用户帐户。如果您或其他用户使用特权帐户检查电子邮件并陷入网络钓鱼电子邮件，那么攻击者现在拥有您的特权帐户的凭据，从而使他们能够远程访问以及对您的关键系统的完全权限。

6.限制特权帐户的范围

除了创建单独的帐户之外，您还应该限制特权帐户的范围。这与最小特权模型基本相同，但需要再次提及。大多数情况下，一组管理员都拥有对所有内容的完全访问权限。您应该划分职责，消除 10 多个系统管理员，所有管理员都可以完全访问所有内容。以下是一些分离行政职责的例子。

• 网络管理员 - 该组有权更改交换机和路由器
• 服务器管理员 - 该组可以对所有服务器进行更改
• SQL 管理员 - 该组只能对 SQL 服务器进行更改
• VMware 管理员 - 该组有权管理 VMware 服务器
• 文件服务器仅就绪 - 该组对文件服务器具有只读访问权限
• 2-3 名全局管理员 - 对所有内容的完全访问权限

7. 使用良好的命名约定

正如我已经提到的，良好的命名约定可以大大帮助您控制特权帐户。通用帐户和组名称没有帮助，因为除非您拥有出色的文档系统，否则您不会知道它们的用途。很少看到好的文档。通常只有一个人做得对，但其他人都说他们太忙了。

我相信您应该能够查看帐户或组并知道它的用途。这将对您、您的团队以及任何未来的管理员有所帮助。

遵循命名约定将帮助您轻松识别所有特权帐户。没有千篇一律的命名约定，只要确保它有意义并且每个人都遵循它即可。

服务帐户也是如此；我见过太多的通用服务帐户，这让我抓狂。我什至在我自己的团队中有人创建了服务帐户，但一年后没有人知道该帐户的用户。

8. 创建强密码策略

每个用户都应该使用强密码策略。您甚至可以使用适用于特定帐户的细粒度密码策略。以下是制定强有力政策的一些最佳实践

• 最小长度 12
• 每 90 天更改一次密码
• 使用多重因素分析
• 关注密码短语，而不是密码复杂性
• 使用密码黑名单
• 不要将用户帐户设置为密码永不过期

9.使用特权访问管理软件

特权访问管理 (PAM) 软件可帮助您管理和监控组织中的特权帐户。有许多供应商提供 PAM 解决方案，例如：

• Cyberark - 我没有使用过他们的产品，但他们是 Gartner 的领导者。
• Netwrix - 提供许多安全工具
• Microsoft Pam - 有用于本地 AD 的 MIM Pam，还有用于 Azure AD 的 Azure AD PIM。微软喜欢把事情复杂化。
• 超越信任——他们有一些不错的产品，但价格昂贵。
• ManageEngine Pam 360 - 我使用过几种非常好的ME产品。他们有时会推出很多新功能，并且可能会出现很多问题。

PAM 软件可能很昂贵，但在我看来，如果您遵循本指南中的所有提示，那么您可能不需要完整的 PAM 解决方案。我强烈推荐的一个工具是监控帐户更改的工具。因此，如果您买不起 PAM 软件，那么您至少应该投资一些可以监控帐户访问和更改的软件。

10.不要共享管理员帐户

每个管理员都应该有自己的个人帐户。这将有助于审计和职责分离。使用默认帐户或共享帐户不提供任何审核或责任。这也使得当员工离开时很难删除访问权限。如果管理员拥有自己的帐户访问权限，则可以通过禁用用户的个人帐户轻松终止。

我希望您觉得这篇文章有用。正如您所看到的，Active Directory 安全性是一个复杂的主题，有许多变化的部分。如果没有适当的流程，它很容易失控。