声明

吃水不忘挖井人,感谢互联网。转载于:activedirectorypro.com/active-directory-security-best-practices/,本文只做翻译及对中文进行优化。

原文

这是你可能找到的关于 Active Directory 安全提示和最佳实践的最全面的列表。

在本指南中,我将分享有关保护域管理员,本地管理员,审核策略,监视AD遭受破坏,密码策略,漏洞扫描等方面的技巧。

一探究竟:

1.清理域管理员组

Domain Admins组中不应有日常用户帐户,唯一的例外是默认的Domain Administrator帐户。

DA组的成员非常有力量。他们在每个加入域的系统(工作站,服务器,便携式计算机等)上都具有本地管理员权限。

这就是坏人的追求。

Microsoft建议在需要DA访问时,将帐户暂时放置在DA组中。完成工作后,应该从DA组中删除该帐户。

对于企业管理员,备份管理员和架构管理员组,也建议执行此过程。

有什么大不了的?
它已成为攻击者轻松获取或破解用户凭据的方式。

一旦攻击者获得对一个系统的访问权限,他们就可以在网络内横向移动以寻求更高的权限(域管理员)。

一种执行此方法的方法称为传递哈希。

通过散列,攻击者可以使用密码散列而不是常规密码来对远程系统进行身份验证。

这些哈希可以从最终用户计算机获得。

吓人吧?

它所需要的只是一台被攻陷的计算机或用户帐户,攻击者可以借此攻陷网络。

清理Domain Admins组是提高网络安全性的重要第一步。这无疑会降低攻击者的速度。

从DA组中删除帐户的过程并不容易。我最近刚经历了这个过程,所以我是第一手资料。在DA组中拥有太多帐户是很常见的。

事情会破裂,所以要做好准备。

在开始从该组中删除帐户之前,请与您的团队一起记录并审查这些帐户。

然后慢慢开始逐个删除帐户。这可能是一个痛苦的过程,但这是值得的。

这是一项巨大的成就,将大大减少您的攻击面。

推荐工具: SolarWinds访问权限管理器
SolarWinds访问权限管理器将帮助您监视,分析和审核Active Directory和组策略。这使管理员可以立即查看更改的内容以及更改的对象。通过集中式应用程序更好地控制访问。该工具还审核文件共享,以帮助防止数据泄漏和对敏感文件的未授权访问。

其他功能:用户供应和管理,用户权限分析,自定义报告,自助服务门户以及共享点监视和管理。

下载SolarWinds访问权限管理器的30天免费试用版

2.使用至少两个帐户(普通和管理员帐户)

您不应每天都使用本地管理员或具有特权访问权限(域管理员)的帐户登录。

而是创建两个帐户,一个没有管理员权限的普通帐户和一个仅用于管理任务的特权帐户。

但请勿将您的辅助帐户至少永久地放在Domain Admins组中。

而是遵循最低特权管理模型。基本上,这意味着所有用户都应使用具有最小权限才能完成其工作的帐户登录。

您可以阅读其他文章和论坛,以将您的辅助帐户放入Domain Admins组。

这不是Microsoft的最佳做法,我建议您不要这样做。暂时也可以,但需要在工作完成后立即将其删除。

您应该使用常规的非管理员帐户来执行日常任务,例如检查电子邮件,浏览Internet,票务系统等。仅在需要执行管理任务(例如在Active Directory中创建用户,登录服务器,添加DNS记录等)时,才使用特权帐户。

看这两种情况。

方案1 –具有域权限的IT人员

史蒂夫使用特权帐户登录他的计算机,检查他的电子邮件,并无意中下载了病毒。由于Steve是DA组的成员,因此该病毒对其计算机,所有服务器,所有文件以及整个域都拥有完全权限。这可能会导致严重损坏并导致关键系统崩溃。

现在,采用相同的方案,但是这次Steve用他的常规非管理员帐户登录。

方案2 –具有正常权利的IT人员

史蒂夫检查他的电子邮件,无意中下载了病毒。该病毒只能访问计算机,而不能访问域或其他服务器。这将造成最小的损害,并防止病毒通过网络传播。

通过简单地使用普通帐户,可以提高安全性并避免造成严重损坏。

在不授予工作人员域管理员权限的情况下,委派管理任务非常容易。以下是一些可以委派给辅助管理员帐户的常见任务。

Active Directory用户和计算机的权限
域名解析
DHCP服务器
服务器上的本地管理员权限
组策略
交换
工作站上的本地管理员权限
vSphere或Hyper-v管理
一些组织使用两个以上的帐户,并使用分层方法。这绝对是更安全的方法,但可能给某些人带来不便。

普通账户
服务器管理帐户
网络管理帐户
工作站管理帐户
通过使用两个帐户并实施最少的管理特权模型,您将大大降低安全风险并避免出现场景1之类的情况。

3.保护域管理员帐户

每个域都包含一个管理员帐户,默认情况下,该帐户是Domain Admins组的成员。

内置的Administrator帐户应仅用于域设置和灾难恢复(还原Active Directory)。

需要对服务器或Active Directory进行管理级别访问的任何人都应使用自己的个人帐户。

没有人应该知道域管理员帐户密码。设置一个超过20个字符的非常长的密码,并将其锁定在Vault中。同样,唯一需要这样做的时间是出于恢复目的。

此外,Microsoft还提供了一些有关保护内置管理员帐户的建议。这些设置可以应用于组策略,也可以应用于所有计算机。

启用帐户是敏感的,不能被委派。
启用智能卡是交互式登录所必需的
拒绝从网络访问此计算机
拒绝登录为批处理作业
拒绝作为服务登录
拒绝通过RDP登录
有关保护域管理员帐户的详细信息,请参阅此Microsoft文章, 保护Active Directory中的内置管理员帐户

4.禁用本地管理员帐户(在所有计算机上)

本地管理员帐户是域环境中的一个知名帐户,不需要。

不需要,是真的吗?

您应该使用具有完成任务所需权限的个人帐户。

本地管理员帐户有什么问题?

两个问题。

这是一个众所周知的帐户,即使重命名的SID是相同的,也为攻击者所熟知。
通常在域中的每台计算机上都使用相同的密码进行配置。
攻击者只需要破坏一个系统,现在他们在加入每个域的计算机上都具有本地管理员权限。

如果您需要在计算机上执行管理任务(安装软件,删除文件等),则应该使用您的个人帐户而不是本地管理员帐户来执行。

即使禁用了该帐户,您也可以启动到安全模式并使用本地管理员帐户。

作为管理员,我知道这些最佳实践并不总是可行的,或者会带来极大的不便。

如果网络中断或NIC卡坏了怎么办,如果您需要将其从域中删除并重新添加怎么办?可以通过多种方法解决此问题,但这确实会使您减速。

如果您不能禁用该帐户,则此处提供有关保护该帐户的建议。更好的选择是使用Microsoft LAPS工具(在下面的提示#5中进行了介绍)

拒绝从网络访问此计算机
拒绝作为批处理作业登录
拒绝作为服务登录
拒绝通过RDP登录
有关更多详细信息,请参阅以下文章, 保护本地管理员帐户和组

5.使用本地管理员密码解决方案(LAPS)

本地管理员密码解决方案(LAPS)成为在所有计算机上处理本地管理员密码的流行工具。

LAPS是一种Microsoft工具,用于管理加入域的计算机的本地帐户密码。它将为每个本地管理员帐户设置唯一的密码,并将其存储在Active Directory中以便于访问。

这是缓解散列攻击和从计算机到计算机横向移动的最佳免费工具之一。

组织使用基于映像的系统部署Windows是非常普遍的。这样可以快速将标准配置部署到所有设备。

但..

这通常意味着本地管理员帐户在每台计算机上都相同。由于本地管理员帐户对计算机上的所有内容均拥有完全权限,因此只需让其中之一受到入侵,黑客即可访问所有系统。

LAPS建立在Active Directory基础结构上,因此无需安装其他服务器。

该解决方案使用组策略客户端扩展在工作站上执行所有管理任务。它在Active Directory 2003 SP1和更高版本以及客户端Vista Service Pack 2和更高版本上受支持。

如果需要在计算机上使用本地管理员帐户,则可以从活动目录中检索密码,并且该密码对于该单台计算机是唯一的。

有关安装LAPS的分步说明,请参阅本文如何安装本地管理员密码解决方案(LAPS)。

6.使用安全管理工作站(SAW)

安全的管理工作站是专用系统,仅应用于使用特权帐户执行管理任务。

不应将其用于检查电子邮件或浏览Internet。实际上……它甚至不应该有互联网连接。

您将在SAW上执行哪些任务?

Active Directory管理
组策略
管理DNS和DHCP服务器
任何需要服务器上管理员权限的任务
对管理系统(例如VMware,Hyper-v,Citrix)的管理权限
Office 365管理
你明白了。

基本上,当您需要使用特权帐户执行管理任务时,应该通过SAW进行操作。

日常使用的工作站更容易受到散列,网络钓鱼攻击,假冒网站,键盘记录程序等攻击的危害。

为您的提升帐户使用安全的工作站可以为那些攻击媒介提供更大的保护。

由于攻击可能来自内部和外部,因此最好采取一种假设的违规安全态势。

由于持续的威胁和技术的变化,有关如何部署SAW的方法不断变化。还有PAW和跳转服务器,使它更加令人困惑。

这里有一些技巧可以帮助您入门:

使用全新安装的操作系统(使用最新的Windows操作系统)
应用强化安全性基准(请参阅技巧25)
启用全盘加密
限制USB端口
使用个人防火墙
阻止互联网
使用虚拟机–终端服务器运行良好
安装的软件最少
使用两因素或智能卡进行访问
限制系统仅接受来自SAW的连接
这是我使用SAW的典型工作流程:

使用我的普通帐户登录我的计算机,以查看电子邮件并查看新的支持请求。我有一个向用户授予共享文件夹权限的请求。
我将使用具有修改AD组成员身份并将用户添加到必要的AD安全组中的权限的特权帐户登录到SAW。
很简单吧?

看起来似乎很麻烦,但我实际上发现这种方式更方便。当网络断开时,我可以进行远程访问,并拥有一台具有我所需所有工具的服务器。如果我需要重新映像计算机,也不必担心重新安装所有支持软件。

资源:

https://docs.microsoft.com/zh-CN/windows-server/identity/securing-privileged-access/privileged-access-workstations

7.使用组策略启用审核策略设置

确保在组策略中配置了以下审核策略设置,并将它们应用于所有计算机和服务器。

计算机配置->策略-Windows设置->安全设置->高级审核策略配置

帐号登录
确保将“审核凭据验证”设置为“成功和失败”

帐户管理
审核“应用程序组管理”设置为“成功和失败”
审核“计算机帐户管理”设置为“成功和失败”
审核“其他帐户管理事件”设置为“成功和失败”
审核“安全组管理”设置为设置为“成功和失败”
审核“用户帐户管理”设置为“成功和失败”

详细追踪
审核“ PNP活动”设置为“成功”
审核“流程创建”设置为“成功”

登录/注销
审核'帐户锁定'设置为'成功和失败'
审核'组成员身份'设置为'成功'
审核'注销'设置为'成功'
审核'登录'设置为'成功和失败'
审核'其他登录/注销事件”设置为“成功和失败”
审核“特殊登录”设置为“成功”

对象访问
审核“可移动存储”设置为“成功与失败”

政策变更
审核“审核策略更改”设置为“成功与失败”
审核“身份验证策略更改”设置为“成功”
审核“授权策略更改”设置为“成功”

特权使用
审核“敏感特权使用”设置为“成功与失败”

系统
审核“ IPsec驱动程序”设置为“成功和失败”
审核“其他系统事件”设置为“成功和失败”
审核“安全状态更改”设置为“成功”
审核“安全系统扩展”设置为“成功”和失败”
审核“系统完整性”设置为“成功和失败”

恶意活动通常始于工作站,如果您未监视所有系统,则可能会丢失攻击的早期迹象。

在下一节中,我将介绍您应监视的事件。

8.监视Active Directory事件中是否存在威胁迹象

您应该监视以下Active Directory事件,以帮助检测网络上的入侵和异常行为。

这是您应该每周监视和检查的一些事件。

对特权组(例如域管理员,企业管理员和架构管理员)的更改
错误密码尝试次数激增
锁定帐户激增
帐户锁定
禁用或删除防病毒软件
特权帐户执行的所有活动
登录/注销事件
使用本地管理员帐户
您如何监视Active Directory中的事件?
最好的方法是在集中式服务器上收集所有日志,然后使用日志分析软件生成报告。

一些日志分析器是预先与Active Directory安全报告一起构建的,而另一些则需要您自行构建。

以下是一些最受欢迎的日志分析器。

麋鹿堆栈
鳞片状
Splunk
ManageEngine ADAudit Plus
Windows事件转发
使用良好的日志分析器,您将能够快速发现Active Directory环境中的可疑活动。

这是我使用的分析仪的一些屏幕截图。第一个屏幕截图显示了帐户锁定的激增。

那绝对不正常。

在此屏幕截图中,您可以看到登录失败的急剧增加。没有日志分析器,这些事件将很难发现。

9.密码复杂度很低(改为使用密码短语)

复杂的8个字符不再是安全密码。相反,请至少使用12个字符并训练用户密码。

密码越长越好。

密码短语只是两个或多个随机单词组合在一起。您可以根据需要添加数字和字符,但我没有要求。

研究表明,当您需要复杂性时,可以类似的方式使用它,然后重复进行。黑客已经注意到了这一点,现在有大量密码列表(免费提供),其中包含数百万个易于猜测的密码。

知道有人使用这种密码吗?

S@mmer2018 或 Winter2018 或 2018year6month

这些密码太糟糕了,很容易猜到。

长密码和使用密码技术使密码破解软件和黑客难以猜测。

更好的密码政策
设置12个字符的密码
记住10个密码历史记录
使用密码
锁定策略3次尝试
使用密码短语的关键是每个单词都是完全随机的,您不想键入一个可以猜出下一个单词的句子。

使用密码短语的良好密码
Bucketguitartire22
Screenjuggleded
RoadbluesaltCloud

上面的例子是完全随机的。这些将花费很长时间才能破解,并且很可能没人会猜到它们。

错误的密码短语示例
非常
喜欢披萨22 Theskyisblue44

NIST 最近在特殊出版物800-63中更新了其密码策略指南, 以解决密码策略的新要求。

如果您的组织必须满足某些标准,请确保这些标准支持这些密码建议。

另外,请务必更新您公司的书面政策。

10.使用描述性安全组名称

首先,请确保将权限应用于具有安全组而不是单个帐户的资源,这将使资源管理变得更加容易。

接下来,不要使用通用名称(例如服务台或HR培训)来命名安全组。

当您具有这样的通用名称时,它们将在各种资源上使用,并且您将失去对安全性的所有控制。

而且,没有简单的方法来查看所有安全组具有哪些权限。是的,有些工具可以运行,但是如果您具有中型或大型环境,这将是一项艰巨的任务。

这是一个最近的例子,说明它如何失控(真实故事)。

我正在与客户端一起清理Active Directory的权限。那里有多个将权限委派给Active Directory的安全组。

有一个叫帮助台的小组,另一个是IS支持小组,还有一个叫AD Modify小组。

我的印象是只有服务台人员有权使用Active Directory来重置密码和解锁帐户。

来发现这些组被用于其他资源,例如帮助台软件,网络共享和打印机。因此,它包括各种IT人员。

删除这些组后,我收到了程序员和业务分析师的电话,询问他们为什么现在无法重设用户密码。到底为什么程序员要重置用户密码?

我知道精确的安全组名称将阻止这种情况的发生。

如果您没有指定特定的安全组,那么对于许多其他事物的权限可能会笼统。

这是一些如何命名组的好例子。

示例1:允许服务台重置密码

安全组名称:IT-帮助台-ActiveDirectory

由于组名是精确的,因此这将有助于防止其在其他资源(如打印机或网络共享)上使用。

示例2:允许对共享文件夹的HR权限

安全组名称:HR-培训-文件夹-RW

再次,它有一个非常特定的名称,并有助于确定其用途。

您可以提出自己的命名约定,只是要明确名称,并避免使用通用的单个单词组名称。

11.清理旧的Active Directory用户和计算机帐户

您需要有一个过程来检测Active Directory中未使用的用户和计算机帐户。

您不希望一堆未使用的帐户坐在Active Directory中只是在等待攻击者发现和使用。

这也可能导致报告问题,修补问题以及放慢组策略。

我每个月都会运行一个过程,以检测并删除未使用的帐户。

这是我编写的分步指南,内容涉及如何清除Active Directory中的旧帐户。

12.不要在域控制器上安装其他软件或角色

域控制器应在其上安装有限的软件和角色。

DC对企业至关重要,您不希望通过在其上运行其他软件来增加安全风险。

Windows Server Core是运行DC角色和其他角色(如DHCP,DNS,打印服务器和文件服务器)的理想选择。

Server Core在没有GUI的情况下运行,并且由于占用空间较小,因此需要较少的安全补丁。

我已经在多个客户端上运行核心,这是一个不错的选择。非常稳定

更多的软件,更多的角色=增加安全风险。

使DC保持清洁和干净。

13.继续修补程序管理和漏洞扫描

攻击者可以迅速利用已知漏洞。

如果您不定期扫描和补救发现的漏洞,则面临更大的风险。

有大量可用的漏洞和扫描工具,请参阅我比较的前6大补丁程序管理软件列表。

继续漏洞管理的提示
每月至少扫描一次所有系统,以识别所有潜在漏洞。如果您可以更频繁地扫描,那就更好了。
优先查找漏洞扫描,然后首先修复在野外已知漏洞的扫描。
将自动化软件更新部署到操作系统
部署自动更新到第三方软件
确定不再受支持的过时软件并进行更新。
14.使用DNS服务阻止恶意域
您可以通过阻止恶意DNS查找来防止大量恶意流量进入您的网络。

每当系统需要访问Internet时,大多数情况下都会使用域名。

计算机通过IP地址相互通信,因此计算机使用DNS将域名映射到IP地址。

有几种服务可以检查DNS查询中的恶意域并将其阻止。

这是如何运作的?

这些DNS服务从各种公共和私人来源收集有关恶意域的情报。当它查询到一个被标记为恶意的域时,当您的系统尝试与它们联系时,它将阻止访问。

这是Quad 9的视频,介绍了他们的DNS服务。

这是一个例子:

步骤1:客户端单击一个链接到example.net

步骤2:检查本地缓存

步骤3:DNS服务检查该域是否在其威胁列表中,以便返回阻止回复。

在上面的示例中,由于DNS查询返回了一个阻止,因此从未有恶意流量进入网络。

以下是一些最受欢迎的安全DNS服务

Quad9
OpenDNS
Comodo安全DNS

我目前正在使用Quad9,它是免费且易于安装的。

而且,大多数IPS(入侵防御系统)系统都支持根据恶意域列表检查DNS查找的功能。

15.在最新的Windows操作系统上运行关键基础结构

在Windows OS的每个新版本中,Microsoft都包含内置的安全功能和增强功能。

仅使用最新的操作系统将提高整体安全性。

Server 2016中的新安全功能

屏蔽虚拟机
足够的管理
无头Windows Defender
凭证守卫
设备防护
这是Microsoft提供的有关Windows Server 2016 Security的精彩视频。

16.使用两因素身份验证进行远程访问

遭到破坏的帐户非常普遍,这可以使攻击者通过VPN,Citrix或其他远程访问系统远程访问您的系统。

检查您的Office 365或ADFS日志,您会惊讶于来自中国和俄罗斯的登录尝试次数。

防止帐户遭到入侵的最佳方法之一是两因素身份验证。这也将有助于防止密码泄露攻击。

假设某位用户因网络钓鱼尝试而下落,该请求要求用户验证其用户名和密码。

现在,攻击者拥有该用户的Active Directory凭据。攻击者现在可以从任何地方访问许多系统。

如果用户启用了两个因素,即使该帐户已被盗用,这也可能阻止访问。攻击者将需要第二组凭据才能登录。

确实没有停止帐户受到威胁的情况,攻击者有太多方法可以获取凭据。

如果您使用的是Office 365,并且取决于您拥有的软件包,则可能包含MFA。利用此功能。

流行的双因素身份验证解决方案

DUO:duo.com
RSA:www.rsa.com/en-us/products/rsa-securid-suite/rsa-securid-access
Microsoft MFA:azure.microsoft.com/en-us/services/multi-factor-authentication/

17.监视所连接设备的DHCP日志

如果您在多个地点拥有大量用户和计算机,则应该知道连接到网络的内容,这可能是一个挑战。

有多种方法可以防止仅授权设备进行连接,但这可能会导致成本高昂且需要进行大量工作。如果您有足够的资源,那就是要走的路。

您已经可以使用的另一种方法是监视所连接设备的DHCP日志。

您应该将所有最终用户设备设置为使用DHCP。然后,您可以查看日志以查看正在连接的内容。您应该为设备指定一个命名约定,这样可以轻松发现可能的未授权设备。

在下面的屏幕截图中,我可以轻松地发现不符合计算机命名约定的设备。

我认识不到minint-1bdvd67。我将需要对此进行调查,看看它是否是授权的设备。

18.监视DNS日志中的安全威胁

大多数连接以DNS查询开头。应该将所有加入域的系统设置为使用本地Windows DNS服务器。

使用此设置,您可以记录每个内部和外部DNS查找。当客户端设备连接到恶意站点时,它将在DNS日志中记录该站点名称。

这些恶意域通常是引起危险信号的奇数,随机字符域。

以下是我的日志中可疑DNS查找的一些屏幕截图。这些重复出现在我的日志中,其中包含少量设备。

我严重怀疑用户是否有意去该网站。需要检查这些类型的查找以确定它是否是恶意的。

要查看DNS查找,首先需要在Windows Server上启用DNS调试日志。

在Windows Server上启用DNS调试日志的步骤
步骤1:打开DNS管理控制台

步骤2:右键点击并选择属性

步骤3:单击调试日志选项卡

步骤4:选中“记录调试日志包”框

设置调试日志后,您可以将这些日志导入分析仪,以快速发现恶意活动。

您还可以将日志文件转换为csv,以使其更易于阅读和过滤。

19.使用最新的ADFS和Azure安全功能

ADFS和Azure具有一些强大的安全功能。这些功能将有助于密码喷涂,帐户泄露,网络钓鱼等。

无论您使用的是哪种Office 365级别,都应该考虑一些功能。

当然,高级订阅具有最佳的安全性功能。

Microsoft确实在每个级别上都进行了改进和添加了新功能(至少这是自从使用Office 365以来我已经注意到的功能)。

以下是一些值得研究的功能:

智能锁定–使用算法发现异常登录事件。
IP锁定–使用Microsoft的已知恶意IP地址数据库来阻止登录。
攻击模拟–您应该定期进行网络钓鱼测试,以帮助培训最终用户。微软将很快发布网络钓鱼模拟器软件。
MFA身份验证– Microsoft的两要素解决方案
禁止的密码–根据已知列表检查密码
Azure AD Connect运行状况–提供一些良好的报告
自定义错误密码–可以添加自定义的禁止密码进行检查。
我当前正在运行混合Office 365安装程序。天蓝色,我可以在报告中看到一些危险的迹象。

Azure提醒我有一个迹象表明来自我们其中一个帐户的中国。

这些功能中的某些功能随最新的ADFS版本提供,而某些功能随Office 365订阅一起提供。

绝对签出ADFS,Office 365和Azure中的所有可用安全功能。

资源:

https://cloudblogs.microsoft.com/enterprisemobility/2018/03/05/azure-ad-and-adfs-best-practices-defending-against-password-spray-attacks/

20.使用Office 365安全评分
安全评分基于活动和安全设置来分析Office 365组织的安全性。

安全评分会检查您的Office 365服务,然后检查您的设置和活动并为您提供安全评分。

一旦分析了您的分数,它将提供详细的分数列表以及建议的解决问题的措施。

您需要高级或企业订阅才能访问此功能,此外,还需要分配全局管理员或自定义角色。

Microsoft继续扩展并向Secure Score添加其他功能。

如果您可以使用此功能,请利用它。

21.妥协计划(制定恢复计划)

如果您的网络今天受到攻击或受到RansomWare的攻击,您将怎么办?

您有回应政策吗?您是否对如何处理此类事件进行了测试和培训?

网络攻击可以关闭系统并停止业务运营。

亚特兰大市因网络攻击而关闭,这阻止了居民支付在线水电费。此外,警务人员必须手工撰写报告。

上次我检查过,他们从袭击中恢复的费用超过500万美元。

好的事件响应计划可能会限制影响,并使服务更快地重新联机。

以下是事件响应计划中应包括的一些内容

创建事件响应策略和计划
创建执行事件处理和报告的程序
建立与外界沟通的程序
建立响应团队和领导者
优先处理服务器
演练和培训
NIST在计算机安全事件处理方面有很好的指南, https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf

22.将文档委派给Active Directory

控制对Active Directory和相关资源的访问的最佳方法是使用安全组。

如果您将授权权授予个人,那么您将失去对谁有权访问权限的控制。

创建具有非常特定名称的自定义组,记录谁拥有权限以及添加新用户的过程。

不要仅在未经批准的情况下允许将用户添加到这些自定义组中。这是权限失控的另一种方式。

知道将哪些组委派给哪些资源,对其进行记录,并确保您的团队在同一页面上。

23.锁定服务帐户
服务帐户是那些运行可执行文件,任务或服务,AD身份验证等的帐户。

这些已被广泛使用,并且通常将密码设置为永不过期。

这些帐户通常最终会获得太多权限,并且通常不是Domain admins组的成员。

不好..非常糟糕

有时这是供应商建议的。

不允许这种情况发生,有一些方法可以使它在没有DA访问的情况下工作。

以下是一些锁定服务帐户的提示。

使用长密码
仅允许访问所需的内容
尝试避免授予本地管理员权限
不要放入域管理员
拒绝本地登录
批量拒绝登录
要求供应商使其软件在没有域管理员权限的情况下工作
24.禁用SMBv1
SMBv1已有30年历史了,微软表示将停止使用它(他们已经说了很长时间了)。

SMB(服务器消息块)是网络文件和打印机共享协议。

SMBv1已被SMBv2和SMBv3取代。

许多病毒可以传播和利用SMBv1协议中的缺陷。

此外,由于SMBv1的安全性问题,它不是一种有效的协议,因此使用此旧版本将失去性能。

从Windows 10 Fall Creators Update SMBv1开始,默认情况下将被禁用。

如果您运行的是Windows的旧版本,或者仍在Windows 7上,请按照以下步骤禁用它。

警告:您将要对此进行测试。即使大多数操作系统都支持smbv2和smbv3,您仍然会在某些较旧的应用程序中遇到问题。

方法1:通过Windows功能禁用

第1步:转到程序和功能>打开或关闭Windows功能

步骤2:滚动浏览列表,然后取消选中“ SMB 1.0 / CIFS文件共享支持”

系统将提示您重新启动。

方法2:在注册表中禁用

如果您仍在运行Windows 7,则必须编辑注册表以禁用SMBv1。

导航到此键

HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services LanmanServer Parameters
右键单击参数键,然后选择“新建”>“ DWORD(32位)”值。

命名新值SMB1。默认情况下,它应为值0,这将禁用它。

要在所有计算机上禁用SMBv1,可以使用组策略注册表首选项。这将允许您在所有计算机上创建上述注册表设置。

25.使用安全基准和基准

Windows操作系统的默认安装具有许多不安全的功能,服务,默认设置和已启用的端口。

这些默认设置应根据已知的安全基准进行审查。

在所有系统上建立安全配置可以减少攻击面,同时保持功能。

有几种提供安全基准的资源。

Microsoft提供了一个“ 安全合规性工具包”,使您可以根据Microsoft建议的安全配置基线进行分析和测试。

另一个很棒的资源是CIS SecureSuite

它还提供了安全配置基准。此外,它提供了可以扫描系统并提供故障报告的工具。

可以使用组策略设置大多数建议的设置,并将其部署到所有计算机。

这是CIS Securesuite工具的屏幕截图。它在我的计算机上进行了扫描,并生成了有关通过和失败的所有设置的报告。

最后修改:2020 年 08 月 25 日 09 : 43 PM
如果觉得文章帮助了您,您可以随意赞赏。