Delen via

Aan de slag met de evaluatie op aanvraag van Active Directory-beveiliging

  • Artikel

De evaluatie van Active Directory-beveiliging is ontworpen om je specifieke, bruikbare richtlijnen te bieden om de beveiligingsrisico's voor je Active Directory en voor je organisatie te beperken. Met deze oplossing zie je ook de status van je vooruitgang ten opzichte van de door Microsoft aanbevolen roadmap voor Securing Privilege Access (SPA), waarvan Active Directory een cruciaal onderdeel is.

De Active Directory-beveiligingsevaluatie richt zich op een aantal belangrijke pijlers, waaronder:

  • Controle van operationele processen
  • Controle van lidmaatschap van gemachtigde accounts/groepen en regelmatig accountonderhoud
  • Controle van de forest- en domeintrusts
  • Controleer van de configuratie van het besturingssysteem, de beveiligingspatch en update-niveaus
  • Controle van de domein- en domeincontrollerconfiguratie in vergelijking met de door Microsoft aanbevolen richtlijnen
  • Controle van de delegatie van de belangrijkste Active Directory voor objectmachtigingen

Uitvoer van de beveiligingsevaluatie van Active Directory

Voorwaarden

Om volledig te profiteren van de evaluaties op aanvraag die beschikbaar zijn via Services Hub, moet je:

  1. Een actief Azure-abonnement hebben gekoppeld aan Services Hub en de AD-beveiligingsevaluatie hebben toegevoegd. Ga voor meer informatie naar Aan de slag met evaluaties op aanvraag of bekijk de video over koppelen.
  2. Een domeinaccount (Gebruikers- of Beheerd serviceaccount) met de volgende rechten:
    • Groepslidmaatschap voor ondernemingsbeheerders OF
    • ingebouwd lidmaatschap van de beheerdersgroep voor elk domein in het forest.
    • Lidmaatschap van de lokale beheerdersgroep op het apparaat voor gegevensverzameling.
    • Beheerderstoegang tot alle Microsoft Domain Name System (DNS)-servers waaraan de domeincontrollers deelnemen.
  3. Raadpleeg het Document met vereisten voor de AD-beveiligingsevaluatie. In dit document wordt de gedetailleerde technische documentatie van de AD-beveiligingsevaluatie uitgelegd en de servervoorbereiding die nodig is om de evaluatie uit te voeren. Verder worden de verschillende soorten gegevens beschreven die door de evaluatie worden verzameld.

              Opmerking: Het duurt gemiddeld twee uur om uw omgeving in eerste instantie te configureren voor het uitvoeren van een evaluatie op aanvraag. Na het uitvoeren van een evaluatie kun je de gegevens in Azure Log Analytics bekijken. Hierin wordt een lijst met aanbevelingen weergegeven, opgedeeld in zes aandachtsgebieden. Hiermee kunnen jij en je team snel bekijken wat de risiconiveaus zijn, wat de gezondheid van je omgevingen is, handelen om risico's te verminderen en je algemene IT-status verbeteren.

De AD-beveiligingsevaluatie instellen

              Opmerking: U kunt de evaluatie pas instellen nadat u uw Azure-abonnement aan Services Hub heeft gekoppeld en de AD-beveiligingsevaluatie van IT-staus heeft toegevoegd - > Evaluaties op aanvraag in Services Hub.

  1. Maak op de computer voor gegevensverzameling de volgende map: C:\OMS\ADS (of een andere map naast C:\ODA die door het systeem is gereserveerd).

  2. Open de standaard PowerShell (niet ISE) in beheerdermodus en voer het onderstaande cmdlet uit:

    Add-ADSecurityAssessmentTask -WorkingDirectory <workingdirectorypath> command,

                  WorkingDirectory is een pad naar een bestaande map die wordt gebruikt om de bestanden op te slaan die zijn gemaakt tijdens het verzamelen en analyseren van de gegevens uit de omgeving.

                  Workspace Id - geef de ID op voor de Log Analytics-werkruimte die wordt gebruikt om de geĆ¼ploade gegevens op te slaan.

  3. Verstrek de vereiste gebruikersaccountgegevens die voldoen aan de eisen die eerder in dit artikel zijn vermeld.

  4. De gegevensverzameling wordt binnen een uur na het uitvoeren van het vorige script en vervolgens om de 7 dagen geactiveerd door een geplande taak genaamd ADSecurityAssessment. De taak kan worden aangepast om op een andere datum/tijd te worden uitgevoerd of kan zelfs meteen geforceerd worden uitgevoerd in met de taak planner bibliotheek-> Microsoft -> Operations Management Suite > AOI*** > Evaluaties > ADSecurityAssessment.

  5. Tijdens het verzamelen en analyseren worden de gegevens tijdelijk opgeslagen in de map Working Directory die tijdens de installatie is geconfigureerd.

  6. Na een paar uur zijn de resultaten van je evaluatie beschikbaar op je Log Analytics- en Services Hub-dashboard. U kunt de resultaten bekijken in Services Hub > Status > Evaluaties en vervolgens klikken op Alle aanbevelingen bekijken ten opzichte van de actieve evaluatie.

  7. Als u samen met een door Microsoft erkende technicus de problemen met uw AD-omgeving wil overlopen, kunt u contact opnemen met uw Microsoft-vertegenwoordiger en hem of haar vragen naar de externe of on-site CE-gestuurde levering.

overeenkomst Externe expert Expert op locatie
Premier               ADS Remote-gegevensblad               ADS Onsite-gegevensblad
Unified               ADS Remote-gegevensblad               ADS Onsite-gegevensblad