Začínáme s posouzením zabezpečení služby Active Directory na vyžádání
Posouzení zabezpečení služby Active Directory je navržené tak, aby vám poskytovalo konkrétní akční pokyny ke zmírnění bezpečnostních rizik pro službu Active Directory a vaši organizaci. Toto řešení také poskytuje stav vašeho pokroku vzhledem k doporučenému plánu Microsoftu pro zabezpečení přístupu k oprávněním (SPA), jehož důležitou součástí je Služba Active Directory.
Posouzení zabezpečení služby Active Directory se zaměřuje na několik klíčových pilířů, mezi které patří:
- Kontrola provozních procesů
- Kontrola privilegovaných účtů/členství ve skupinách a také pravidelná hygiena účtů
- Kontrola vztahů důvěryhodnosti doménové struktury a domén
- Kontrola konfigurace operačního systému, opravy zabezpečení a úrovně aktualizací
- Kontrola konfigurace domény a řadiče domény v porovnání s pokyny doporučenými Microsoftem
- Kontrola delegování oprávnění klíčového objektu Active Directory
Spuštění posouzení zabezpečení služby Active Directory
Požadavky
Pokud chcete plně využít výhod posouzení na vyžádání, která jsou k dispozici prostřednictvím centra Services Hub, musíte:
- Propojili jste aktivní předplatné Azure s centrem služeb a přidali hodnocení zabezpečení služby AD. Další informace najdete v tématu Začínáme s posouzeními na vyžádání nebo watch postupu propojení videa.
- Účet domény (uživatel nebo účet spravované služby) s následujícími právy:
- Členství ve skupině podnikových správců NEBO
- Integrované členství ve skupinách správců pro každou doménu v doménové struktuře
- Členství v místní skupině Administrators na počítači pro shromažďování dat.
- Přístup pro správu ke všem serverům DNS (Microsoft Domain Name System), se kterými se řadiče domény účastní.
- Projděte si dokument Předpoklady pro posouzení zabezpečení služby AD. Tento dokument vysvětluje podrobnou technickou dokumentaci k posouzení zabezpečení služby AD a přípravu serveru potřebné ke spuštění posouzení. Dokumentuje také různé typy údajů shromažďovaných hodnocením.
Poznámka: Počáteční konfigurace prostředí pro spuštění posouzení na vyžádání trvá v průměru dvě hodiny. Po spuštění posouzení můžete zkontrolovat data v Azure Log Analytics. Tím získáte seznam doporučení seřazený podle priority, který je rozdělený do šesti oblastí zájmu. To vám a vašemu týmu umožní rychle porozumět úrovním rizik, stavu vašich prostředí, reagovat na snížení rizika a zlepšit celkový stav IT.
Nastavení posouzení zabezpečení služby AD
Poznámka: Hodnocení budete moct úspěšně nastavit, až propojíte své předplatné Azure s centrem služeb a přidáte hodnocení zabezpečení AD ze služby IT Health –> Hodnocení na vyžádání v centru Služeb.
Na počítači pro shromažďování dat vytvořte následující složku:
C:\OMS\ADS(nebo jakoukoli jinou složku, kroměC:\ODAkteré je rezervováno systémem).Otevřete běžný PowerShell (ne ISE) v režimu správce a spusťte následující rutinu:
Add-ADSecurityAssessmentTask -WorkingDirectory <workingdirectorypath> command,WorkingDirectoryje cesta k existujícímu adresáři, který slouží k ukládání souborů vytvořených při shromažďování a analýze dat z prostředí.Workspace Id– zadejte ID pracovního prostoru služby Log Analytics, který se použije k ukládání nahraných dat.Zadejte požadované přihlašovací údaje uživatelského účtu, které splňují požadavky uvedené výše v tomto článku.
Shromažďování dat se aktivuje naplánovanou úlohou s názvem ADSecurityAssessment během jedné hodiny od spuštění předchozího skriptu a pak každých 7 dní. Úlohu je možné upravit tak, aby se spustila v jiné datum a čas, nebo dokonce vynutit okamžité spuštění z knihovny plánovače úloh –> Microsoft –> Operations Management Suite > AOI*** > Assessment > ADSecurityAssessment.
Během shromažďování a analýzy jsou data dočasně uložena ve složce Pracovní adresář, která byla nakonfigurována během instalace.
Po několika hodinách budou výsledky posouzení k dispozici na řídicím panelu centra Log Analytics a služeb. Výsledky můžete zobrazit tak, že přejdete do části Hodnocení stavu > centra > služeb a pak kliknete na Zobrazit všechna doporučení proti aktivnímu hodnocení.
Pokud chcete požádat akreditovaného technika Společnosti Microsoft, aby s vámi prošel problémy týkající se vašeho prostředí AD, můžete se obrátit na zástupce Microsoftu a zeptat se ho na vzdálené doručování nebo doručování CE na místě.
| Dohody | Vzdálený inženýr | Technik na místě |
|---|---|---|
| Premier | Datový list služby ADS Remote | Datový list ads na místě |
| Jednotný | Datový list služby ADS Remote | Datový list ads na místě |
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro