指定强化 Active Directory 域服务 (AD DS) 的要求
下表提供了本文档中提供的用于确保 AD DS 安装安全的建议摘要。 一些最佳做法是战略性的,需要全面规划和实施项目;另一些最佳做法则是战术性的,侧重于 Active Directory 和相关基础架构的特定组件。
实践按优先级的大致顺序列出,即,数字越小表示的优先级越高。 在适用的情况下,将最佳做法确定为预防性或检测性的。 所有这些建议都应根据组织的特点和要求进行彻底的测试和修改。
| 最佳做法 | 战术或战略 | 预防或检测 |
|---|---|---|
| 修补应用程序。 | 战术 | 预防 |
| 修补操作系统。 | 战术 | 预防 |
| 在所有系统中部署并及时更新防病毒和反恶意软件,并监控删除或禁用这些软件的尝试。 | 战术 | 两者 |
| 监视敏感的 Active Directory 对象是否有修改意图,监视 Windows 中可能指示已尝试入侵的事件。 | 战术 | 检测 |
| 保护和监控有权访问敏感数据的用户的帐户 | 战术 | 两者 |
| 防止在未经授权的系统上使用功能强大的帐户。 | 战术 | 预防 |
| 取消高特权组中的永久成员身份。 | 战术 | 预防 |
| 实施控制以在需要时授予特权组中的临时成员资格。 | 战术 | 预防 |
| 实施安全的管理主机。 | 战术 | 预防 |
| 在域控制器、管理主机和其他敏感系统上使用应用程序允许列表。 | 战术 | 预防 |
| 确定关键资产,并确定其安全性和监视的优先级。 | 战术 | 两者 |
| 实施基于角色的最低权限访问控制,以管理目录、其支持基础结构和加入域的系统。 | 策略性 | 预防 |
| 隔离遗留系统和应用程序。 | 战术 | 预防 |
| 淘汰遗留系统和应用程序。 | 策略性 | 预防 |
| 为自定义应用程序实施安全的开发生命周期计划。 | 策略性 | 预防 |
| 实施配置管理,定期审查合规性,并评估每个新硬件或软件版本的设置。 | 策略性 | 预防 |
| 将关键资产迁移到具有严格安全和监视要求的原始森林。 | 策略性 | 两者 |
| 简化最终用户的安全性。 | 策略性 | 预防 |
| 使用基于主机的防火墙来控制和保护通信。 | 战术 | 预防 |
| 修补设备。 | 战术 | 预防 |
| 为 IT 资产实施以业务为中心的生命周期管理。 | 策略性 | 不适用 |
| 创建或更新事件恢复计划。 | 策略性 | 不可用 |
减少 Active Directory 攻击面
本节重点介绍可减少 Active Directory 安装的攻击面的技术控制措施。 本节包括以下主题:
“Active Directory 中的特权帐户和组”一节讨论了 Active Directory 中的最高特权帐户和组,以及保护特权帐户的机制。 在 Active Directory 中,三个内置组(企业管理员、域管理员和管理员)是目录中的最高特权组,尽管还应保护其他一些组和帐户。
“实施最小特权管理模型”部分专注于确定日常管理中使用高特权帐户所带来的风险,并提供可降低该风险的建议。
特权过高不仅在受到入侵的环境中的 Active Directory 中被发现。 当组织养成了授予超过所需权限的习惯时,通常会在整个基础架构中发现这种情况:
在 Active Directory 中
在成员服务器上
在工作站上
在应用程序中
在数据存储库中
“实现安全管理主机”部分介绍了安全管理主机,这些主机是配置为支持管理 Active Directory 和连接系统的计算机。 这些主机专用于管理功能,不运行电子邮件应用程序、Web 浏览器或生产力软件(如 Microsoft Office)等软件。
本节包括以下内容:
创建安全管理主机的原则 - 要记住的一般原则是:
- 切勿从不太受信任的主机管理受信任的系统。
- 在执行特权活动时,不要依赖单一的身份验证因素。
- 在设计和实施安全的管理主机时,不要忘记物理安全性。
保护域控制器免受攻击 - 如果恶意用户获得域控制器的特权访问权限,则该用户可以修改、损坏和破坏 Active Directory 数据库,进而修改、损坏和破坏 Active Directory 管理的所有系统和帐户。
本节包括以下主题:
域控制器的物理安全 - 包含为数据中心、分支机构和远程位置中的域控制器提供物理安全的建议。
域控制器操作系统 - 包含确保域控制器操作系统安全的建议。
保护域控制器的配置 - 本机配置工具和免费提供的配置工具和设置可用于为域控制器创建安全配置基线,这些基线随后可由组策略对象 (GPO) 强制执行。