Active Directory 安全性隨選評定快速入門
Active Directory 安全性評定旨在提供具體的可實施指南,以防範 Active Directory 及貴組織遇到的安全風險。 此解決方案亦提供與 Microsoft 建議的 Securing Privilege Access (SPA) 路線圖 (Active Directory 為其關鍵元件) 相關的進度狀態。
Active Directory 安全性評定著重於幾大關鍵支柱,包括:
- 作業流程檢查
- 特權帳戶/群組成員資格以及定期帳戶清潔度的檢查
- 樹系與網域可信性檢查
- 檢查作業系統設定、安全修補程式及更新級別
- 網域及網域控制站設定與 Microsoft 建議指南的比較檢查
- 重要 Active Directory 物件權限委託檢查
執行 Active Directory 安全性評定
先決條件
爲了充分利用服務中樞提供的隨選評定,您必須:
- 已將啟用的 Azure 訂用帳戶連結至服務中樞,並新增 AD 安全性評定。 如需詳細資訊,請參閱隨選評定快速入門 (英文),或觀看如何建立連結影片 (英文)。
- 具有下列權限的網域帳戶 (使用者或受管理的服務帳戶):
- 企業管理員群組成員資格或
- 樹系中每個網域的內建管理員群組成員資格。
- 資料收集電腦上本地管理員群組中的成員資格。
- 網域控制站參與之所有 Microsoft 網域名稱系統 (DNS) 伺服器的系統管理存取權。
- 檢閱 AD 安全性評定的先決條件文件。 此文件說明 AD 安全性評定的詳細技術文件,以及執行評定所需進行的伺服器準備。 文件中也會列出評定所收集的不同資料類型。
請注意:若要執行隨選評定,首次完成環境設定通常需要兩小時左右。 執行評定後,您可以在 Azure Log Analytics 中檢閱資料。 將為您提供六個重點區的分類建議清單。 這讓您和您的團隊能夠快速了解風險等級和環境健康情況,以便您採取措施降低風險並改善整體 IT 健康情況。
設定 AD 安全性評定
請注意:一旦將 Azure 訂用帳戶連結至 Services Hub,並從 Services Hub 的 [IT 健康情況] -> >[隨選評定] 新增 AD 安全性評定,您就可以成功設定評定。
在資料收集電腦建立下列資料夾:
C:\OMS\ADS(或任何其他資料夾,由系統保留的C:\ODA除外)。以系統管理員模式開啟一般 Powershell (不是 ISE),然後執行下列 cmdlet:
Add-ADSecurityAssessmentTask -WorkingDirectory <workingdirectorypath> command,WorkingDirectory是現有目錄路徑,可透過環境來收集並分析資料,同時用來存放檔案。Workspace Id可為用來儲存已上傳資料的 Log Analytics 工作區提供識別碼。提供必要的使用者帳戶認證,以符合本文前述需求。
名為 ADSecurityAssessment 的排定工作會在執行先前指令碼一小時內觸發資料收集,然後每 7 天觸發一次。 您可以修改此工作,以在其他日期/時間執行,或是透過 [工作排程器程式庫] > [Microsoft] > [Operations Management Suite] > [AOI***] > [評定] > [ADSecurityAssessment] 立即強制執行。
在收集和分析期間,系統會將資料暫存於安裝期間設定的工作目錄資料夾。
您的評定結果會在數小時後,顯示於 Log Analytics 和服務中樞儀表板。 您可以前往 [服務中樞] > [健康情況] > [評定],然後對作用中評定按一下 [查看所有建議],以查看結果。
如果您希望找 Microsoft 認證工程師與您一起檢討關於 AD 環境的問題,可以聯絡您的 Microsoft 代表,詢問對方關於遠端或現場 CE 主導的交貨問題。
| 合約 | 遠端工程師 | 現場工程師 |
|---|---|---|
| 頂級 | ADS 遠端資料工作表 | ADS 現場資料工作表 |
| 整合 | ADS 遠端資料工作表 | ADS 現場資料工作表 |