Укажите требования для защиты служб домен Active Directory (AD DS)
В следующей таблице приведены общие сведения о рекомендациях, приведенных в этом документе для защиты установки AD DS. Некоторые рекомендации являются стратегическими и требуют комплексных проектов планирования и реализации; другие являются тактическими и сосредоточены на конкретных компонентах Active Directory и связанной инфраструктуре.
Методы перечислены в приблизительном порядке приоритета, то есть более низкие числа указывают на более высокий приоритет. В случае, если применимо, рекомендации определяются как профилактика или детектив в природе. Все эти рекомендации должны тщательно тестироваться и изменяться в соответствии с требованиями и характеристиками вашей организации.
| рекомендациях; | Тактический или стратегический | Предотвращение или детектив |
|---|---|---|
| Исправление приложений. | Тактические | Профилактика |
| Исправление операционных систем. | Тактические | Профилактика |
| Развертывание и оперативное обновление антивирусного и антивредоносного программного обеспечения во всех системах и мониторинг попыток удаления или отключения. | Тактические | Оба |
| Отслеживайте конфиденциальные объекты Active Directory для попыток изменения и Windows для событий, которые могут указывать на попытку компрометации. | Тактические | Обнаружение |
| Защита и мониторинг учетных записей для пользователей, имеющих доступ к конфиденциальным данным | Тактические | Оба |
| Предотвращение использования мощных учетных записей в несанкционированных системах. | Тактические | Профилактика |
| Исключите постоянное членство в группах с высоким уровнем привилегий. | Тактические | Профилактика |
| Реализуйте элементы управления для предоставления временного членства в привилегированных группах при необходимости. | Тактические | Профилактика |
| Реализуйте безопасные административные узлы. | Тактические | Профилактика |
| Используйте списки разрешений приложений на контроллерах домена, административных узлах и других конфиденциальных системах. | Тактические | Профилактика |
| Определите критически важные ресурсы и определите приоритеты их безопасности и мониторинга. | Тактические | Оба |
| Реализуйте наименьшие привилегии, управление доступом на основе ролей для администрирования каталога, его вспомогательной инфраструктуры и присоединенных к домену систем. | Стратегические | Профилактика |
| Изоляция устаревших систем и приложений. | Тактические | Профилактика |
| Отмена эксплуатации устаревших систем и приложений. | Стратегические | Профилактика |
| Реализуйте безопасные программы жизненного цикла разработки для пользовательских приложений. | Стратегические | Профилактика |
| Реализуйте управление конфигурацией, регулярно просматривайте соответствие требованиям и оцените параметры с каждой новой версией оборудования или программного обеспечения. | Стратегические | Профилактика |
| Перенос критически важных ресурсов в нетронутые леса с жесткими требованиями к безопасности и мониторингу. | Стратегические | Оба |
| Упрощение безопасности для конечных пользователей. | Стратегические | Профилактика |
| Используйте брандмауэры на основе узлов для управления и защиты обмена данными. | Тактические | Профилактика |
| Исправление устройств. | Тактические | Профилактика |
| Реализуйте управление жизненным циклом, ориентированным на бизнес для ИТ-ресурсов. | Стратегические | Н/П |
| Создание или обновление планов восстановления инцидентов. | Стратегические | Н/П |
Снижение уязвимостей Active Directory
В этом разделе рассматриваются технические элементы управления, чтобы уменьшить область атаки установки Active Directory. В этом разделе приведены следующие темы:
В разделе "Привилегированные учетные записи и группы" в Active Directory рассматриваются самые привилегированные учетные записи и группы в Active Directory , а также механизмы защиты привилегированных учетных записей. В Active Directory три встроенные группы являются группами с наивысшими привилегиями в каталоге (администраторы предприятия, администраторы домена и администраторы), хотя также следует защитить ряд дополнительных групп и учетных записей.
В разделе "Реализация административных моделей с наименьшими привилегиями" основное внимание уделяется выявлению риска использования учетных записей с высоким уровнем привилегий для повседневного администрирования, а также предоставления рекомендаций по сокращению этого риска.
Чрезмерные привилегии не только находятся в Active Directory в скомпрометированных средах. Когда организация разработала привычку предоставлять больше привилегий, чем требуется, обычно она находится на всей инфраструктуре:
В Active Directory
На серверах-членах
На рабочих станциях
В приложениях
В репозиториях данных
В разделе "Реализация безопасных административных узлов " описаны безопасные административные узлы, которые являются компьютерами, настроенными для поддержки администрирования Active Directory и подключенных систем. Эти узлы предназначены для административных функций и не запускают программное обеспечение, например почтовые приложения, веб-браузеры или программное обеспечение для повышения производительности (например, Microsoft Office).
В этом разделе приведены следующие компоненты:
Принципы создания безопасных административных узлов — общие принципы, которые следует учитывать:
- Никогда не администрировать надежную систему из менее доверенного узла.
- Не полагаться на один фактор проверки подлинности при выполнении привилегированных действий.
- Не забывайте о физической безопасности при разработке и реализации безопасных административных узлов.
Защита контроллеров домена против атаки . Если злоумышленник получает привилегированный доступ к контроллеру домена, пользователь может изменять, повреждена и уничтожать базу данных Active Directory, а также по расширению, все системы и учетные записи, управляемые Active Directory.
В этом разделе приведены следующие темы:
Физическая безопасность для контроллеров домена. Содержит рекомендации по обеспечению физической безопасности для контроллеров домена в центрах обработки данных, филиалах и удаленных расположениях.
Операционные системы контроллера домена— содержит рекомендации по защите операционных систем контроллера домена.
Безопасная конфигурация контроллеров домена — собственные и свободно доступные средства конфигурации и параметры можно использовать для создания базовых показателей конфигурации безопасности для контроллеров домена, которые впоследствии могут быть применены объектами групповой политики (ГОП).