Udostępnij za pośrednictwem

Wprowadzenie do ocen na żądanie usługi Active Directory Security

  • Artykuł

Ocena zabezpieczeń usługi Active Directory ma na celu przygotowanie praktycznych wytycznych pozwalających zredukować zagrożenia bezpieczeństwa dotyczące usługi Active Directory i Twojej organizacji. To rozwiązanie zapewnia także informacje dotyczące postępu w zakresie zalecanego przez Microsoft harmonogramu zabezpieczania dostępu uprzywilejowanego, którego newralgiczną częścią jest usługa Active Directory.

Ocena zabezpieczeń usługi Active Directory koncentruje się na kilku filarach, takich jak:

  • Przegląd procesów operacyjnych
  • Przegląd uprzywilejowanych kont/grup oraz standardowe działania z zakresu obsługi kont
  • Przegląd zaufania domen i lasów
  • Przegląd konfiguracji systemu operacyjnego, poprawek zabezpieczeń i poziomów aktualizacji
  • Przegląd domen i konfiguracji kontrolerów domeny z uwzględnieniem wytycznych firmy Microsoft
  • Przegląd delegowania uprawnień obiektów w usłudze Active Directory

Uruchamianie oceny na żądanie zabezpieczeń usługi Active Directory

Wymagania wstępne

Aby można było w pełni wykorzystać możliwości oceny na żądanie w Centrum usług, powinny być spełnione następujące warunki:

  1. Aktywna subskrypcja platformy Azure powinna być połączona z Centrum usług. Powinna być także dodana ocena zabezpieczeń usługi Active Directory. Aby dowiedzieć się więcej, zapoznaj się z dokumentem pt. Ocena na żądanie — pierwsze kroki lub obejrzyj film pt. Jak zalinkować wideo.
  2. Musi istnieć konto domeny (Konto użytkownika lub Zarządzane konto usługi) z następującymi uprawnieniami:
    • Członkostwo w grupie Administratorzy Przedsiębiorstwa LUB
    • Członkostwo we wbudowanej grupie Administratorzy w każdej domenie w lesie.
    • Członkostwo w grupie Administratorzy lokalni na komputerze zbierającym dane.
    • Dostęp z uprawnieniami administratora do wszystkich serwerów Microsoft Domain Name System (DNS), w których mają udział kontrolery domeny.
  3. Zapoznaj się z dokumentem dotyczącym wstępnych wymagań oceny zabezpieczeń usługi AD. W tym dokumencie opisano szczegółową dokumentację techniczną dotyczącą oceny zabezpieczeń usługi Active Directory oraz sposób przygotowania serwera do przeprowadzenia oceny. Przedstawiono w nim również różne rodzaje danych zbieranych w ramach oceny.

Uwaga: Pierwsze skonfigurowanie środowiska w celu przeprowadzenia oceny na żądanie trwa średnio 2 godziny. Po przeprowadzeniu oceny można zapoznać się z danymi dostępnymi w usłudze Azure Log Analytics. Jest to uszeregowana według priorytetu lista zaleceń podzielonych na sześć głównych kategorii. Pozwala ona szybko oszacować poziomy zagrożeń i kondycję środowisk, a także podjąć działania mające na celu zminimalizowanie ryzyka i poprawę stanu infrastruktury IT.

Konfiguracja oceny zabezpieczeń usługi AD

Uwaga: Ocenę można pomyślnie skonfigurować tylko po połączeniu subskrypcji platformy Azure z portalem Services Hub i dodaniu oceny zabezpieczeń usługi AD za pomocą opcji Kondycja środowiska IT -> Oceny na żądanie, dostępnych w portalu Services Hub.

  1. Na maszynie zbierającej dane, utwórz następujący folder: C:\OMS\ADS (lub inny folder, poza folderem C:\ODA, który jest zarezerwowany dla systemu)

  2. Otwórz program Powershell w zwykłej wersji (nie w wersji ISE) w trybie administratora i uruchom następujące polecenie cmdlet:

    Add-ADSecurityAssessmentTask -WorkingDirectory <workingdirectorypath> command,

    WorkingDirectory jest ścieżką do istniejącego katalogu, w którym zostaną zapisane pliki utworzone podczas gromadzenia i analizowania danych ze środowiska.

    Workspace Id — podaj identyfikator obszaru roboczego usługi Log Analytics, który będzie używany do przechowywania przesłanych danych.

  3. Podaj wymagane poświadczenia konta użytkownika, które spełniają wymagania wymienione wcześniej w tym artykule.

  4. Zbieranie danych zostanie uruchomione przez zaplanowane zadanie o nazwie ADSecurityAssessment w ciągu godziny od uruchomienia poprzedniego skryptu, a następnie co 7 dni. Zadanie można zmodyfikować, aby zostało uruchomione w innym dniu/ o innej godzinie. Można nawet wymusić jego natychmiastowe uruchomienie z poziomu biblioteki harmonogramu zadań -> Microsoft -> Operations Management Suite > AOI*** > Oceny > ADSecurityAssessment.

  5. Podczas zbierania i analizowania dane są tymczasowo przechowywane w katalogu roboczym skonfigurowanym podczas instalacji.

  6. Po kilku godzinach wyniki oceny będą dostępne w usłudze Log Analytics i na pulpicie nawigacyjnym Centrum usług. Aby wyświetlić wyniki, przejdź do obszaru Centrum usług > Kondycja > Oceny, a następnie kliknij opcję „Wyświetl wszystkie zalecenia” dla aktywnej oceny.

  7. Jeśli chcesz, aby akredytowany inżynier firmy Microsoft przejrzał razem z Tobą problemy dotyczące środowiska usługi AD, możesz skontaktować się z przedstawicielem firmy Microsoft i zapytać go o zdalne lub lokalne usługi dostarczane przez CE.

umowa Inżynier zdalny Inżynier lokalny
Premier Zdalny arkusz danych usługi ADS Zdalny arkusz danych usługi ADS
Unified Zdalny arkusz danych usługi ADS Zdalny arkusz danych usługi ADS