微软 AD 介绍 | 安全建议 | 防护

---

介绍：

1. 什么是Active Directory（AD）？

   • Active Directory 是由 微软开发的目录服务，用于存储和管理网络中的资源，如计算机、用户、组和其他网络对象。
   • 允许组织管理员轻松地管理和验证网络中的用户和计算机。

2. Active Directory的角色：

   • 身份验证和授权： 管理用户的身份验证和授权，确保只有授权用户可以访问资源。
   • 资源管理： 管理和维护网络资源，如打印机、文件和其他服务。
   • 目录服务： 存储和组织网络上的所有对象，并提供对这些对象的搜索和访问。

重要性

1. 安全性是关键：

   • AD存储着身份验证和授权信息，因此安全性至关重要。未经授权的访问会导致敏感数据泄漏和系统破坏。

2. 凭据保护：

   • 保护管理员和用户凭据的安全性，防止凭据泄露和滥用。

3. 权限控制：

   • 只有授权的用户可以执行特定的操作，防止横向和纵向的滥用。

4. 防范攻击：

   • AD是攻击者经常瞄准的目标之一。采取措施以防范攻击，如拒绝服务（DoS）和恶意软件。

5. 网络：

   • 保持网络的连通性和正常运作。

6. 合规：

   • 许多行业和法规要求确保IT基础设施的安全性。AD安全是实现合规性的重要组成部分。

7. 数据保护：

   • AD中存储了大量的用户和数据。保护AD及其存储数据不受未经授权的访问和篡改。

8. 业务连续性：

   • AD的可用性直接影响到业务连续性。

9. 监控和审计：

   • 实施监控和审计措施，及时检测和响应潜在的安全威胁。

AD安全是IT基础设施安全性的基石，对于维护业务运行和防范潜在威胁至关重要。采取综合的安全措施是确保AD在网络生态系统中发挥其作用的关键。

安全建议

配置安全

1. 管理本地管理员密码（LAPS）。
2. RDP 受限管理员模式。
3. 移除不受支持的操作系统。
4. 监控敏感系统（如 DC 等）上的定时任务。
5. 确保 Out-of-Band（OOB）管理密码（DSRM）定期更改并安全存储。
6. 使用 SMB v2/v3+。
7. 默认域管理员和 KRBTGT 密码应每年更改一次。
8. 移除不必要的信任，并根据需要启用 SID 过滤。
9. 所有域身份验证应尽量设置为："仅 NTLMv2 响应，拒绝 LM 和 NTLM。"
10. 阻止域控制器、服务器和所有管理系统的互联网访问。

管理员凭据

1. 不要将"用户"或计算机帐户添加到管理员组中。
2. 确保所有管理员帐户都是"敏感的，不可委派的"。
3. 将管理员帐户添加到"受保护的用户"组（需要 Windows Server 2012 R2 域控制器，2012R2 DFL 用于域保护）。
4. 禁用所有不活动的管理员帐户并从特权组中删除。

AD 管理凭据

1. 限制 AD 管理成员资格（DA、EA、架构管理员等），只使用自定义委派组。
2. 采用"分层"管理，减轻凭据窃取的影响。
3. 确保管理员只登录到经批准的管理员工作站和服务器。
4. 为所有管理员帐户使用基于时间的临时组成员资格。

服务帐户凭据

1. 限制到相同安全级别的系统。
2. 利用"(群组) 管理服务帐户"（或密码 >20 个字符）以减轻凭据窃取（kerberoast）。
3. 实施 FGPP（DFL =>2008）以增加服务帐户和管理员的密码要求。
4. 登录限制 -- 防止交互式登录，并将登录能力限制为特定计算机。
5. 禁用不活动的服务帐户并从特权组中删除。

资源防护

1. 划分网络保护管理员和关键系统。
2. 部署 IDS 监控内部公司网络。
3. 将网络设备和 Out-of-Band（OOB）管理放在单独的网络上。

域控制器防护

1. 仅运行支持 AD 的软件和服务。
2. 具有 DC 管理/登录权限的最小组（和用户）。
3. 在运行 DCPromo 之前确保应用补丁（特别是 MS14-068 和其他关键补丁）。
4. 验证定时任务和脚本。

工作站（和服务器）防护

1. 快速补丁迭代，特别是特权升级漏洞。
2. 部署安全后移植补丁（KB2871997）。
3. 将 Wdigest 注册键设置为 0（KB2871997/Windows 8.1/2012R2+）：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Wdigest。
4. 部署工作站白名单（Microsoft AppLocker）以阻止用户文件夹中的代码执行 -- 主目录和配置文件路径。
5. 部署工作站应用程序沙箱技术（EMET）以减轻应用程序内存利用漏洞（0天）。

日志记录

1. 启用增强型审核。
2. "审核：强制审核策略子类设置（Windows Vista 或更高版本）覆盖审核策略类别设置"。
3. 启用 PowerShell 模块日志记录（"*"），并将日志转发到中央日志服务器（WEF 或其他方法）。
4. 启用 CMD 进程日志记录和增强（KB3004375），并将日志转发到中央日志服务器。
5. 使用 SIEM 或等效工具集中尽可能多的日志数据。
6. 为增强对用户活动的了解使用用户行为分析系统（如 Microsoft ATA）。

安全检查

1. 确定谁拥有 AD 管理权限（域/森林）？
2. 确定谁可以登录到域控制器（和对托管虚拟 DC 虚拟环境的管理权限）？
3. 扫描 Active Directory 域、OU、AdminSDHolder 和 GPO，查找不合适的自定义权限？
4. 确保 AD 管理员（也称为域管理员）通过不登录到不受信任的系统来保护他们的凭据？
5. 限制当前具有 DA（或等效）的服务帐户权限？

---

~喜欢的话,请收藏 | 关注(✪ω✪)~ ~万一有趣的事还在后头呢，Fight!!(ｏ^-^)~''☆ミ☆ミ~......

---