Mulai Menggunakan Penilaian Sesuai Permintaan Keamanan Direktori Aktif
Penilaian Keamanan Direktori Aktif dirancang untuk memberi Anda panduan khusus yang dapat ditindaklaksana untuk mengurangi risiko keamanan terhadap Direktori Aktif dan organisasi Anda. Solusi ini juga memberi Anda status tentang kemajuan Anda relatif terhadap peta jalan yang direkomendasikan Microsoft untuk Mengamankan Akses Hak Istimewa (SPA), di mana Direktori Aktif adalah komponen penting.
Penilaian Keamanan Direktori Aktif berfokus pada beberapa pilar utama, termasuk:
- Tinjauan proses operasional
- Tinjau keanggotaan akun/grup istimewa serta kebersihan akun reguler
- Tinjauan kepercayaan forest dan domain
- Meninjau konfigurasi sistem operasi, patch keamanan, dan tingkat pembaruan
- Tinjauan konfigurasi pengendali domain dan domain dibandingkan dengan panduan yang direkomendasikan Microsoft
- Tinjauan delegasi izin objek Active Directory utama
Menjalankan Penilaian Keamanan Direktori Aktif
Prasyarat
Untuk memanfaatkan sepenuhnya Penilaian Sesuai Permintaan yang tersedia melalui Services Hub, Anda harus:
- Telah menautkan Langganan Azure aktif ke Services Hub dan menambahkan Penilaian Keamanan AD. Untuk informasi selengkapnya, lihat Memulai Penilaian Sesuai Permintaan atau watch cara menautkan video.
- Akun domain (Pengguna atau Akun Layanan Terkelola) dengan hak berikut:
- Keanggotaan grup Administrator Perusahaan ATAU
- Keanggotaan grup Administrator bawaan ke setiap domain di forest.
- Keanggotaan di grup Administrator Lokal pada komputer Pengumpulan Data.
- Akses administratif ke semua server Microsoft Domain Name System (DNS) yang berpartisipasi dengan pengontrol domain.
- Tinjau dokumen Prasyarat untuk Penilaian Keamanan AD. Dokumen ini menjelaskan dokumentasi teknis terperinci dari Penilaian Keamanan AD dan persiapan server yang diperlukan untuk menjalankan penilaian. Ini juga mendkumentasikan berbagai jenis data yang dikumpulkan oleh penilaian.
Catatan: Rata-rata, dibutuhkan dua jam untuk awalnya mengonfigurasi lingkungan Anda untuk menjalankan Penilaian Sesuai Permintaan. Setelah menjalankan penilaian, Anda dapat meninjau data di Azure Log Analytics. Ini akan memberi Anda daftar rekomendasi yang diprioritaskan, yang dikategorikan di enam area fokus. Ini memungkinkan Anda dan tim Anda untuk dengan cepat memahami tingkat risiko, kesehatan lingkungan Anda, bertindak untuk mengurangi risiko, dan meningkatkan kesehatan IT Anda secara keseluruhan.
Menyiapkan Penilaian Keamanan AD
Catatan: Anda hanya akan berhasil menyiapkan penilaian setelah Anda menautkan Langganan Azure Anda ke Services Hub dan menambahkan Penilaian Keamanan AD dari Kesehatan IT -> Penilaian Sesuai Permintaan di Services Hub.
Pada mesin pengumpulan data buat folder berikut:
C:\OMS\ADS(atau folder lain selainC:\ODAyang dicadangkan oleh sistem).Buka Powershell reguler (bukan ISE) dalam mode Administrator dan jalankan cmdlet di bawah ini:
Add-ADSecurityAssessmentTask -WorkingDirectory <workingdirectorypath> command,WorkingDirectoryadalah jalur ke direktori yang ada yang digunakan untuk menyimpan file yang dibuat saat mengumpulkan dan menganalisis data dari lingkungan.Workspace Id– berikan id untuk ruang kerja Analitik Log yang akan digunakan untuk menyimpan data yang diunggah.Berikan kredensial akun pengguna yang diperlukan yang memenuhi persyaratan yang disebutkan dalam artikel ini sebelumnya.
Pengumpulan data dipicu oleh tugas terjadwal bernama ADSecurityAssessment dalam waktu satu jam setelah menjalankan skrip sebelumnya dan kemudian setiap 7 hari. Tugas dapat dimodifikasi untuk berjalan pada tanggal/waktu yang berbeda atau bahkan dipaksa untuk segera berjalan dari pustaka penjadwal tugas -> Microsoft -> Operations Management Suite > AOI*** > Penilaian > ADSecurityAssessment.
Selama pengumpulan dan analisis, data disimpan sementara di bawah folder Direktori Kerja yang dikonfigurasi selama penyiapan.
Setelah beberapa jam, hasil penilaian Anda akan tersedia di Dasbor Log Analytics dan Services Hub Anda. Anda dapat menavigasi untuk melihat hasilnya dengan masuk ke Penilaian Kesehatan > Services Hub > lalu mengklik Lihat semua rekomendasi terhadap penilaian aktif.
Jika Anda ingin mendapatkan Teknisi Terakreditasi Microsoft untuk mengatasi masalah tentang Lingkungan AD dengan Anda, Anda dapat menghubungi Perwakilan Microsoft Anda dan bertanya kepada mereka tentang Pengiriman Led Ce Jarak Jauh atau Di Tempat.
| Perjanjian | Insinyur Jarak Jauh | Insinyur Lokal |
|---|---|---|
| Premier | Lembar Data Jarak Jauh ADS | Lembar Data Ads Onsite |
| Unified | Lembar Data Jarak Jauh ADS | Lembar Data Ads Onsite |
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk