Sdílet prostřednictvím

Začínáme s posouzením zabezpečení služby Active Directory na vyžádání

  • Článek

Posouzení zabezpečení služby Active Directory je navržené tak, aby vám poskytovalo konkrétní akční pokyny ke zmírnění bezpečnostních rizik pro službu Active Directory a vaši organizaci. Toto řešení také poskytuje stav vašeho pokroku vzhledem k doporučenému plánu Microsoftu pro zabezpečení přístupu k oprávněním (SPA), jehož důležitou součástí je Služba Active Directory.

Posouzení zabezpečení služby Active Directory se zaměřuje na několik klíčových pilířů, mezi které patří:

  • Kontrola provozních procesů
  • Kontrola privilegovaných účtů/členství ve skupinách a také pravidelná hygiena účtů
  • Kontrola vztahů důvěryhodnosti doménové struktury a domén
  • Kontrola konfigurace operačního systému, opravy zabezpečení a úrovně aktualizací
  • Kontrola konfigurace domény a řadiče domény v porovnání s pokyny doporučenými Microsoftem
  • Kontrola delegování oprávnění klíčového objektu Active Directory

Spuštění posouzení zabezpečení služby Active Directory

Požadavky

Pokud chcete plně využít výhod posouzení na vyžádání, která jsou k dispozici prostřednictvím centra Services Hub, musíte:

  1. Propojili jste aktivní předplatné Azure s centrem služeb a přidali hodnocení zabezpečení služby AD. Další informace najdete v tématu Začínáme s posouzeními na vyžádání nebo watch postupu propojení videa.
  2. Účet domény (uživatel nebo účet spravované služby) s následujícími právy:
    • Členství ve skupině podnikových správců NEBO
    • Integrované členství ve skupinách správců pro každou doménu v doménové struktuře
    • Členství v místní skupině Administrators na počítači pro shromažďování dat.
    • Přístup pro správu ke všem serverům DNS (Microsoft Domain Name System), se kterými se řadiče domény účastní.
  3. Projděte si dokument Předpoklady pro posouzení zabezpečení služby AD. Tento dokument vysvětluje podrobnou technickou dokumentaci k posouzení zabezpečení služby AD a přípravu serveru potřebné ke spuštění posouzení. Dokumentuje také různé typy údajů shromažďovaných hodnocením.

Poznámka: Počáteční konfigurace prostředí pro spuštění posouzení na vyžádání trvá v průměru dvě hodiny. Po spuštění posouzení můžete zkontrolovat data v Azure Log Analytics. Tím získáte seznam doporučení seřazený podle priority, který je rozdělený do šesti oblastí zájmu. To vám a vašemu týmu umožní rychle porozumět úrovním rizik, stavu vašich prostředí, reagovat na snížení rizika a zlepšit celkový stav IT.

Nastavení posouzení zabezpečení služby AD

Poznámka: Hodnocení budete moct úspěšně nastavit, až propojíte své předplatné Azure s centrem služeb a přidáte hodnocení zabezpečení AD ze služby IT Health –> Hodnocení na vyžádání v centru Služeb.

  1. Na počítači pro shromažďování dat vytvořte následující složku: C:\OMS\ADS (nebo jakoukoli jinou složku, kromě C:\ODA které je rezervováno systémem).

  2. Otevřete běžný PowerShell (ne ISE) v režimu správce a spusťte následující rutinu:

    Add-ADSecurityAssessmentTask -WorkingDirectory <workingdirectorypath> command,

    WorkingDirectory je cesta k existujícímu adresáři, který slouží k ukládání souborů vytvořených při shromažďování a analýze dat z prostředí.

    Workspace Id – zadejte ID pracovního prostoru služby Log Analytics, který se použije k ukládání nahraných dat.

  3. Zadejte požadované přihlašovací údaje uživatelského účtu, které splňují požadavky uvedené výše v tomto článku.

  4. Shromažďování dat se aktivuje naplánovanou úlohou s názvem ADSecurityAssessment během jedné hodiny od spuštění předchozího skriptu a pak každých 7 dní. Úlohu je možné upravit tak, aby se spustila v jiné datum a čas, nebo dokonce vynutit okamžité spuštění z knihovny plánovače úloh –> Microsoft –> Operations Management Suite > AOI*** > Assessment > ADSecurityAssessment.

  5. Během shromažďování a analýzy jsou data dočasně uložena ve složce Pracovní adresář, která byla nakonfigurována během instalace.

  6. Po několika hodinách budou výsledky posouzení k dispozici na řídicím panelu centra Log Analytics a služeb. Výsledky můžete zobrazit tak, že přejdete do části Hodnocení stavu > centra > služeb a pak kliknete na Zobrazit všechna doporučení proti aktivnímu hodnocení.

  7. Pokud chcete požádat akreditovaného technika Společnosti Microsoft, aby s vámi prošel problémy týkající se vašeho prostředí AD, můžete se obrátit na zástupce Microsoftu a zeptat se ho na vzdálené doručování nebo doručování CE na místě.

Dohody Vzdálený inženýr Technik na místě
Premier Datový list služby ADS Remote Datový list ads na místě
Jednotný Datový list služby ADS Remote Datový list ads na místě