Поделиться через

Начало работы с оценками по запросу безопасности Active Directory

  • Статья

Оценка безопасности Active Directory предлагает конкретные действия для устранения рисков безопасности для вашей организации и Active Directory. Кроме того, это решение также позволяет увидеть ваш прогресс в соответствии с рекомендованным Майкрософт стратегическим планом Securing Privilege Access (SPA), в котором Active Directory является критически важным компонентом.

Оценка безопасности Active Directory сосредоточена на определении нескольких ключевых показателей, включая следующие:

  • Проверка рабочих процессов
  • Проверка привилегированных учетных записей/членства в группах, а также регулярная санация учетных записей
  • Проверка доверия в домене и лесу
  • Проверка конфигурации операционной системы, исправлений безопасности и уровней обновления
  • Проверка конфигурации домена и контроллера домена на соответствие рекомендация Майкрософт
  • Проверка делегирования разрешений ключевых объектов Active Directory

Выполнение оценки безопасности Active Directory

Предварительные требования

Чтобы получить полную отдачу от оценок по запросу, выполняемых через Центр служб, необходимо выполнение следующих условий.

  1. Добавлена ссылка активной подписки Azure в Центр служб и добавлена оценка безопасности AD. Дополнительные сведения см. в статье: Начало работы с оценками по запросу или в обучающем видео как создавать ссылки.
  2. Учетная запись домена (учетная запись пользователя или учетная запись управляемой службы) со следующими правами:
    • Членство в группе администраторов предприятия ИЛИ
    • членство в группе встроенных учетных записей администратора для каждого домена в лесу.
    • Членство в группе локальных администраторов на компьютере по сбору данных.
    • Административный доступ ко всем серверам системы имен доменов (DNS) Майкрософт, в которых задействованы контроллеры домена.
  3. Возможность просматривать Документы по предварительным требованиям для оценки безопасности AD.* В этом документе приведен подробный разбор технической документации по оценке безопасности AD, а также этапам подготовки сервера для проведения оценки. В нем также задокументированы различные типы данных, собираемые во время оценки.

Примечание. В среднем первоначальная настройка среды для запуска оценки по запросу занимает около двух часов. После запуска оценки можно просматривать данные в Azure Log Analytics. Они представляют собой разбитый по приоритетам список рекомендаций, отнесенных к шести приоритетным областям. Это позволит вам и вашей группе быстро выяснить уровни рисков и работоспособности своей среды, а затем направить усилия на снижение рисков и улучшение работоспособности всей ИТ-среды.

Настройка оценки безопасности AD:

Примечание. Успешная настройка оценки возможна только после привязки вашей подписки Azure к Центру служб и добавления туда оценки AD Security в разделе Работоспособность ИТ-среды –> Оценки по запросу в Центре служб.

  1. На компьютере для сбора данных создайте следующую папку: C:\OMS\ADS (или любую другую папку, кромеC:\ODA, зарезервированную системой).

  2. Откройте обычный Powershell (не ISE) в режиме администратора и выполните следующий командлет:

    Add-ADSecurityAssessmentTask -WorkingDirectory <workingdirectorypath> command,

    WorkingDirectory – это путь к существующей директории, который используется для хранения файлов, созданных в ходе сбора и анализа данных из среды.

    Workspace Id укажите идентификатор рабочей области Log Analytics, которая будет использоваться для хранения отправленных данных.

  3. Предоставляет необходимые учетные данные, удовлетворяющие требованиям, которые упоминались ранее в этой статье.

  4. Сбор данных запускается через запланированную задачу под названием ADSecurityAssessment в течение часа с момента исполнения предыдущего сценария и затем каждые 7 дней. Задание можно изменять, чтобы оно выполнялось в другую дату/время, или даже принудительно выполнять его немедленный запуск из библиотеки планировщика заданий, перейдя в раздел -> Microsoft -> Operations Management Suite > AOI*** > Оценки > Оценка AD Security.

  5. Во время сбора и анализа данные временно хранятся в каталоге Рабочей директории, который был задан во время процедуры настройки.

  6. Через несколько часов результаты вашей оценки появятся в Log Analytics и на панели мониторинга Центра служб. Вы можете просмотреть результаты, последовательно открыв «Центр служб» > «Работоспособность» > «Оценки», а затем нажав кнопку «Просмотреть все рекомендации» напротив активной оценки.

  7. Если вы хотите, чтобы аккредитованный инженер Microsoft обсудил с вами проблемы, связанные с вашей средой AD, вы можете связаться с вашим представителем Microsoft и спросить его об удаленной или локальной доставке CE.

соглашение Удаленная оценка с привлечением специалиста Локальная оценка с привлечением специалиста
Premier Таблица удаленной оценки ADS* Таблица локальной оценки ADS*
Единая Таблица удаленной оценки ADS* Таблица локальной оценки ADS*