Dela via

Komma igång med Active Directory Security-utvärdering på begäran

  • Artikel

Active Directory Security-utvärderingen är utformad för att ge dig specifik vägledning för att minska säkerhetsriskerna för din Active Directory och din organisation. Den här lösningen ger dig också status för dina framsteg i förhållande till Microsofts rekommenderade översikt för säker kompatibilitet (SPA), där Active Directory är en viktig komponent.

Utvärderingen av Active Directory-säkerhet fokuserar på flera nyckelpelare, inklusive:

  • Översyn av driftsprocesser
  • Översyn av medlemskap i privilegierade konton/grupper samt regelbunden redovisningshygien
  • Översyn av skogen och domänförtroenden
  • Översyn av operativsystemets konfiguration, säkerhetskorrigering och uppdateringsnivåer
  • Översyn av domän- och domänkontrollantskonfiguration jämfört med Microsofts rekommenderade vägledning
  • Översyn av delegering av viktig Active Directory-objektbehörighet

Köra Active Directory Security-utvärderingen

Förhandskrav

Om du vill utnyttja de utvärderingar på begäran som finns tillgängliga via tjänstehubben måste du:

  1. Ha länkat en aktiv Azure-prenumeration till tjänstehubben och lagt till AD Security-utvärderingen. Mer information finns i Kom igång med Utvärderingar på begäran eller titta på videon Så här länkar du.
  2. Ett domänkonto (Användare eller Managed Service Account) med följande behörighet:
    • Medlemskap i Enterprise Administrator-grupper ELLER
    • Inbyggt administratörsgruppsmedlemskap i alla domäner i skogen.
    • Medlemskap i gruppen Lokala administratörer på datorn för datainsamling.
    • Administrativ åtkomst till alla DNS-servrar (Microsoft Domain Name System) som domänkontrollanterna deltar i.
  3. Granska dokumenten om förutsättningarna för AD-säkerhetsutvärdering. I det här dokumentet förklaras den detaljerade tekniska dokumentationen för AD Security-utvärderingen och de serverförberedelser som behövs för att köra utvärderingen. Dessutom dokumenteras de olika typer av information som samlats in under utvärderingen.

              Obs! Det tar i genomsnitt två timmar att konfigurera miljön så att den kör en utvärdering på begäran. När du har kört en utvärdering kan du granska informationen i Azure Log Analytics. Det ger dig en prioriterad lista över rekommendationer, uppdelade på sex fokusområden. På så sätt kan du och ditt team snabbt förstå risknivåer, miljöns hälsa, agera för att minska risken och förbättra den övergripande IT-hälsan.

Konfigurera AD-säkerhetsutvärderingen

              Obs! Du kan bara konfigurera utvärderingen när du har länkat din Azure-prenumeration till Services Hub och lagt till AD Security-utvärderingen från IT-hälsa –> Utvärderingar på begäran på Services Hub.

  1. På datainsamlingsdatorn skapar du följande mapp: C:\OMS\ADS (eller någon annan mapp förutom C:\ODA som är reserverad av systemet).

  2. Öppna vanliga PowerShell (inte ISE) i administratörsläge och kör nedanstående cmdlet:

    Add-ADSecurityAssessmentTask -WorkingDirectory <workingdirectorypath> command,

                  WorkingDirectory är sökvägen till en befintlig katalog som används för att lagra filer som skapats vid insamling och analys av data från miljön.

                  Workspace Id – ange ID för Log Analytics-arbetsytan som ska användas för att lagra uppladdade data.

  3. Ange de autentiseringsuppgifter som krävs för användarkontot som uppfyller kraven som nämnts tidigare i den här artikeln.

  4. Datainsamlingen utlöses av den schemalagda aktiviteten ”ADSecurityAssessment” inom en timme efter att det tidigare skriptet har körts och sedan var 7:e dag. Aktiviteten kan ändras så att den körs på ett annat datum/en annan tid eller till och med tvingas att köras omedelbart från biblioteket för schemaläggaren > Microsoft > Operations Management Suite > AOI*** > Utvärderingar > ADSecurity-utvärdering.

  5. Under insamling och analys lagras data tillfälligt i mappen Arbetskatalog som konfigurerades under installationen.

  6. Efter några timmar kommer dina utvärderingsresultat att vara tillgängliga på instrumentpanelen i Log Analytics och på tjänstehubben. Du kan gå till resultaten genom att gå till Services Hub > Hälsa > Utvärderingar och sedan klicka på Visa alla rekommendationer för den aktiva utvärderingen.

  7. Om du vill få en Microsoft-ackrediterad tekniker att gå igenom problemen om din AD-miljö med dig, kan du kontakta din Microsoft-representant och fråga dem om CE-ledd fjärrleverans eller på plats.

Avtal Fjärrtekniker Lokal tekniker
Premier               ADS fjärrdatablad               Lokalt ADS-datablad
Unified               ADS fjärrdatablad               Lokalt ADS-datablad