微软 AD 介绍 | 安全建议 | 防护

news2024/12/27 11:42:33

介绍:

image.png

  1. 什么是Active Directory(AD)?

    • Active Directory 是由 微软开发的目录服务,用于存储和管理网络中的资源,如计算机、用户、组和其他网络对象。
    • 允许组织管理员轻松地管理和验证网络中的用户和计算机。
  2. Active Directory的角色:

    • 身份验证和授权: 管理用户的身份验证和授权,确保只有授权用户可以访问资源。
    • 资源管理: 管理和维护网络资源,如打印机、文件和其他服务。
    • 目录服务: 存储和组织网络上的所有对象,并提供对这些对象的搜索和访问。

重要性

image.png

  1. 安全性是关键:

    • AD存储着身份验证和授权信息,因此安全性至关重要。未经授权的访问会导致敏感数据泄漏和系统破坏。
  2. 凭据保护:

    • 保护管理员和用户凭据的安全性,防止凭据泄露和滥用。
  3. 权限控制:

    • 只有授权的用户可以执行特定的操作,防止横向和纵向的滥用。
  4. 防范攻击:

    • AD是攻击者经常瞄准的目标之一。采取措施以防范攻击,如拒绝服务(DoS)和恶意软件。
  5. 网络:

    • 保持网络的连通性和正常运作。
  6. 合规:

    • 许多行业和法规要求确保IT基础设施的安全性。AD安全是实现合规性的重要组成部分。
  7. 数据保护:

    • AD中存储了大量的用户和数据。保护AD及其存储数据不受未经授权的访问和篡改。
  8. 业务连续性:

    • AD的可用性直接影响到业务连续性。
  9. 监控和审计:

    • 实施监控和审计措施,及时检测和响应潜在的安全威胁。

AD安全是IT基础设施安全性的基石,对于维护业务运行和防范潜在威胁至关重要。采取综合的安全措施是确保AD在网络生态系统中发挥其作用的关键。
image.png

安全建议

配置安全
  1. 管理本地管理员密码(LAPS)。
  2. RDP 受限管理员模式。
  3. 移除不受支持的操作系统。
  4. 监控敏感系统(如 DC 等)上的定时任务。
  5. 确保 Out-of-Band(OOB)管理密码(DSRM)定期更改并安全存储。
  6. 使用 SMB v2/v3+。
  7. 默认域管理员和 KRBTGT 密码应每年更改一次。
  8. 移除不必要的信任,并根据需要启用 SID 过滤。
  9. 所有域身份验证应尽量设置为:“仅 NTLMv2 响应,拒绝 LM 和 NTLM。”
  10. 阻止域控制器、服务器和所有管理系统的互联网访问。
管理员凭据
  1. 不要将“用户”或计算机帐户添加到管理员组中。
  2. 确保所有管理员帐户都是“敏感的,不可委派的”。
  3. 将管理员帐户添加到“受保护的用户”组(需要 Windows Server 2012 R2 域控制器,2012R2 DFL 用于域保护)。
  4. 禁用所有不活动的管理员帐户并从特权组中删除。
AD 管理凭据
  1. 限制 AD 管理成员资格(DA、EA、架构管理员等),只使用自定义委派组。
  2. 采用“分层”管理,减轻凭据窃取的影响。
  3. 确保管理员只登录到经批准的管理员工作站和服务器。
  4. 为所有管理员帐户使用基于时间的临时组成员资格。
服务帐户凭据
  1. 限制到相同安全级别的系统。
  2. 利用“(群组) 管理服务帐户”(或密码 >20 个字符)以减轻凭据窃取(kerberoast)。
  3. 实施 FGPP(DFL =>2008)以增加服务帐户和管理员的密码要求。
  4. 登录限制 – 防止交互式登录,并将登录能力限制为特定计算机。
  5. 禁用不活动的服务帐户并从特权组中删除。
资源防护
  1. 划分网络保护管理员和关键系统。
  2. 部署 IDS 监控内部公司网络。
  3. 将网络设备和 Out-of-Band(OOB)管理放在单独的网络上。
域控制器防护
  1. 仅运行支持 AD 的软件和服务。
  2. 具有 DC 管理/登录权限的最小组(和用户)。
  3. 在运行 DCPromo 之前确保应用补丁(特别是 MS14-068 和其他关键补丁)。
  4. 验证定时任务和脚本。
工作站(和服务器)防护
  1. 快速补丁迭代,特别是特权升级漏洞。
  2. 部署安全后移植补丁(KB2871997)。
  3. 将 Wdigest 注册键设置为 0(KB2871997/Windows 8.1/2012R2+):HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Wdigest。
  4. 部署工作站白名单(Microsoft AppLocker)以阻止用户文件夹中的代码执行 – 主目录和配置文件路径。
  5. 部署工作站应用程序沙箱技术(EMET)以减轻应用程序内存利用漏洞(0天)。
日志记录
  1. 启用增强型审核。
  2. “审核:强制审核策略子类设置(Windows Vista 或更高版本)覆盖审核策略类别设置”。
  3. 启用 PowerShell 模块日志记录(“*”),并将日志转发到中央日志服务器(WEF 或其他方法)。
  4. 启用 CMD 进程日志记录和增强(KB3004375),并将日志转发到中央日志服务器。
  5. 使用 SIEM 或等效工具集中尽可能多的日志数据。
  6. 为增强对用户活动的了解使用用户行为分析系统(如 Microsoft ATA)。
安全检查
  1. 确定谁拥有 AD 管理权限(域/森林)?
  2. 确定谁可以登录到域控制器(和对托管虚拟 DC 虚拟环境的管理权限)?
  3. 扫描 Active Directory 域、OU、AdminSDHolder 和 GPO,查找不合适的自定义权限?
  4. 确保 AD 管理员(也称为域管理员)通过不登录到不受信任的系统来保护他们的凭据?
  5. 限制当前具有 DA(或等效)的服务帐户权限?

~喜欢的话,请收藏 | 关注(✪ω✪)~
~万一有趣的事还在后头呢,Fight!!(o^-^)~''☆ミ☆ミ~……

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1408887.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

解决Sublime Text V3.2.2中文乱码问题

目录 中文乱码出现情形通过安装插件来解决乱码问题 中文乱码出现情形 打开一个中文txt文件,显示乱码,在File->Reopen With Encoding里面找不到支持简体中文正常显示的编码选项。 通过安装插件来解决乱码问题 安装Package Control插件 打开Tool->…

[IO复用] IO复用问答

记录一下IO复用相关的基础知识。 文章目录 阻塞和非阻塞同步和异步为什么使用IO复用什么是IO复用IO复用有哪些方式select IO复用poll IO复用epoll IO复用什么时候用select 或者 epoll? select、poll、epoll的区别Windows中的IO复用Reactor模式C10K问题C10M问题 面试…

【时间序列篇】基于LSTM的序列分类-Pytorch实现 part3 化为己用

系列文章目录 【时间序列篇】基于LSTM的序列分类-Pytorch实现 part1 案例复现 【时间序列篇】基于LSTM的序列分类-Pytorch实现 part2 自有数据集构建 【时间序列篇】基于LSTM的序列分类-Pytorch实现 part3 化为己用 在一个人体姿态估计的任务中,需要用深度学习模型…

【Vue3】组件通信

Vue3组件通信和Vue2的区别: 移出事件总线,使用mitt代替。vuex换成了pinia。把.sync优化到了v-model里面了。把$listeners所有的东西,合并到$attrs中了。$children被砍掉了。 1. props 若 父传子:属性值是非函数。若 子传父&…

【解决】IntelliJ IDEA 重命名 Shift + F6 失效

IntelliJ IDEA 重命名 Shift F6 失效 问题解决 问题 Idea 重命名 Shift F6 ,一直没反应 解决 调查发现原因是微软新版的输入法冲突了。需要设置【使用以前版本的微软拼音输入法】解决兼容性。 设置 -> 时间和语言 -> 区域 -> 语言选项 -> 键盘选项…

ELK之使用Grafana读取ES集群的Nginx日志进行分析展示

一、前提: 直通车 ------------>↓↓↓↓↓↓ 需要ES集群 https://blog.csdn.net/wdy_2099/article/details/125441436需要filebeat https://blog.csdn.net/wdy_2099/article/details/125445893需要logstash https://blog.csdn.net/wdy_2099/article/details/1…

技术变革下职业危机

方向一:技术变革 1.人工智能(AI):AI技术的快速发展正在改变各个行业。AI在医疗诊断、金融分析、客户服务以及物流管理等方面都有广泛应用,提高了效率和准确性。但同时也引发了一些道德和道德问题,比如隐私…

Redis的五种常用数据类型详解及相关面试问题

目录 Redis的五种常用数据类型详解 简述 Redis五种基本数据类型 String字符串 常用命令 应用场景 Hash散列表 常用命令 使用场景 List链表 常用命令 应用场景 Set( 集合) 常用命令 应用场景 SortedSet( 有序集合) zset 常用命令介绍 应用场景 面试题常问的数…

【MySQL】打开科技创新的第一生产力

🌈个人主页: Aileen_0v0 🔥热门专栏: 华为鸿蒙系统学习|计算机网络|数据结构与算法 ​💫个人格言:“没有罗马,那就自己创造罗马~” #mermaid-svg-EtRkflNU19AGWAkT {font-family:"trebuchet ms",verdana,arial,sans-serif;font-siz…

景联文科技大模型数据集更新!教育题库新增高质量数学题、逻辑推理题及英文题

苏格拉底曾以“点燃火焰”的理念来诠释教育。随着大语言模型在教育中的不断应用,教育与AI的深度融合,让我们看到了“点燃火焰”的理念的更多可能性。 大语言模型可以通过与学生的互动,为他们提供个性化的学习体验,更好地满足学习需…

Maven简述

Maven是用于管理和构建Java项目的工具,提供了一套标准化的项目结构,提供了一套标准化的构建流程,提供了一套依赖管理机制,通过Maven使得所有IDE构建的项目结构完全一样,让项目可以通用。 项目名称下分为src 和 pom.xm…

差分进化算法求解基于移动边缘计算 (MEC) 的无线区块链网络的联合挖矿决策和资源分配(提供MATLAB代码)

一、优化模型介绍 在所研究的区块链网络中,优化的变量为:挖矿决策(即 m)和资源分配(即 p 和 f),目标函数是使所有矿工的总利润最大化。问题可以表述为: max ⁡ m , p , f F miner …

Linux系统SSH远程管理服务

目录 一、SSH服务介绍 1、SSH协议是什么? 2、SSH的优点 3、SSH的客户端与服务端 4、SSH的原理 4.1 公钥首次连接原理 4.2 ssh加密通讯原理 4.2.1 对称加密 4.2.2 非对称加密 4.2 ssh远程登录 二、服务端配置 1、常见配置项 1.1 修改默认端口 1.2 禁止…

Transformer and Pretrain Language Models3-1

content transformer attention mechanism transformer structure​​​​​​​ pretrained language models language modeling pre-trained langue models(PLMs) fine-tuning approaches PLMs after BERT applications of masked LM frontiers of PLMs …

【Godot4自学手册】第四节动画状态机-AnimationTree

各位同学大家好!今天继续学习Godot4,本节将要学习AnimationTree,来实现控制主人公的动画。 一、AnimationPlay节点介绍 Godot引擎通过AnimationPlay节点实现了最灵活的动画系统,它几乎可以给godot中的任意节点的任意属性添加动画…

携程基于Jira Cloud的敏捷项目管理实践

好的工具可以满足团队在各个成长阶段的管理诉求 实践一:对齐目标/团队OKR/多团队协作战略项目 实践二:以产品为中心的协作框架 实践三:交付团队管理 实践四:和海外子公司对齐,协作

数灵通丨可以实现抖音引流微信小程序了

抖音作为一款火爆的短视频社交平台,吸引了数亿用户的关注和喜爱。除了观看和制作视频外,抖音还提供了跳转到小程序的功能,让用户可以享受更多功能和乐趣。那么,如何在抖音中跳转到小程序呢?以下是详细解答:…

Android 基础技术——View 的宽高

笔者希望做一个系列,整理 Android 基础技术,本章是关于 View 的宽高 Activity Resume 的时候设置或者获取view的宽高是否有效? 回答:不确定。 首次 onResume 无效,二次 onResume 就有效了。 回顾「Android 基础技术——addView 流…

[Python] glob内置模块介绍和使用场景(案例)

Unix glob是一种用于匹配文件路径的模式,它可以帮助我们快速地找到符合特定规则的文件。在本文中,我们将介绍glob的基本概念、使用方法以及一些实际应用案例。 glob介绍 Glob(Global Match)是Unix和类Unix系统中的一种文件名扩展功能,它可以…

eNSP学习——理解交换机Hybird接口的应用

目录 原理概述 实验内容 实验目的 实验步骤 实验拓扑 实验编址 实验步骤 基本配置(此处仅以PC1为例) 实现组内通信、组间间隔 实现网络管理员对所有网络的访问 原理概述 Hybrid接口既可以连接普通终端的接入链路又可以连接交换机间的干道…