Wprowadzenie do ocen na żądanie usługi Active Directory Security
Ocena zabezpieczeń usługi Active Directory ma na celu przygotowanie praktycznych wytycznych pozwalających zredukować zagrożenia bezpieczeństwa dotyczące usługi Active Directory i Twojej organizacji. To rozwiązanie zapewnia także informacje dotyczące postępu w zakresie zalecanego przez Microsoft harmonogramu zabezpieczania dostępu uprzywilejowanego, którego newralgiczną częścią jest usługa Active Directory.
Ocena zabezpieczeń usługi Active Directory koncentruje się na kilku filarach, takich jak:
- Przegląd procesów operacyjnych
- Przegląd uprzywilejowanych kont/grup oraz standardowe działania z zakresu obsługi kont
- Przegląd zaufania domen i lasów
- Przegląd konfiguracji systemu operacyjnego, poprawek zabezpieczeń i poziomów aktualizacji
- Przegląd domen i konfiguracji kontrolerów domeny z uwzględnieniem wytycznych firmy Microsoft
- Przegląd delegowania uprawnień obiektów w usłudze Active Directory
Uruchamianie oceny na żądanie zabezpieczeń usługi Active Directory
Wymagania wstępne
Aby można było w pełni wykorzystać możliwości oceny na żądanie w Centrum usług, powinny być spełnione następujące warunki:
- Aktywna subskrypcja platformy Azure powinna być połączona z Centrum usług. Powinna być także dodana ocena zabezpieczeń usługi Active Directory. Aby dowiedzieć się więcej, zapoznaj się z dokumentem pt. Ocena na żądanie — pierwsze kroki lub obejrzyj film pt. Jak zalinkować wideo.
- Musi istnieć konto domeny (Konto użytkownika lub Zarządzane konto usługi) z następującymi uprawnieniami:
- Członkostwo w grupie Administratorzy Przedsiębiorstwa LUB
- Członkostwo we wbudowanej grupie Administratorzy w każdej domenie w lesie.
- Członkostwo w grupie Administratorzy lokalni na komputerze zbierającym dane.
- Dostęp z uprawnieniami administratora do wszystkich serwerów Microsoft Domain Name System (DNS), w których mają udział kontrolery domeny.
- Zapoznaj się z dokumentem dotyczącym wstępnych wymagań oceny zabezpieczeń usługi AD. W tym dokumencie opisano szczegółową dokumentację techniczną dotyczącą oceny zabezpieczeń usługi Active Directory oraz sposób przygotowania serwera do przeprowadzenia oceny. Przedstawiono w nim również różne rodzaje danych zbieranych w ramach oceny.
Uwaga: Pierwsze skonfigurowanie środowiska w celu przeprowadzenia oceny na żądanie trwa średnio 2 godziny. Po przeprowadzeniu oceny można zapoznać się z danymi dostępnymi w usłudze Azure Log Analytics. Jest to uszeregowana według priorytetu lista zaleceń podzielonych na sześć głównych kategorii. Pozwala ona szybko oszacować poziomy zagrożeń i kondycję środowisk, a także podjąć działania mające na celu zminimalizowanie ryzyka i poprawę stanu infrastruktury IT.
Konfiguracja oceny zabezpieczeń usługi AD
Uwaga: Ocenę można pomyślnie skonfigurować tylko po połączeniu subskrypcji platformy Azure z portalem Services Hub i dodaniu oceny zabezpieczeń usługi AD za pomocą opcji Kondycja środowiska IT -> Oceny na żądanie, dostępnych w portalu Services Hub.
Na maszynie zbierającej dane, utwórz następujący folder:
C:\OMS\ADS(lub inny folder, poza folderemC:\ODA, który jest zarezerwowany dla systemu)Otwórz program Powershell w zwykłej wersji (nie w wersji ISE) w trybie administratora i uruchom następujące polecenie cmdlet:
Add-ADSecurityAssessmentTask -WorkingDirectory <workingdirectorypath> command,WorkingDirectoryjest ścieżką do istniejącego katalogu, w którym zostaną zapisane pliki utworzone podczas gromadzenia i analizowania danych ze środowiska.Workspace Id— podaj identyfikator obszaru roboczego usługi Log Analytics, który będzie używany do przechowywania przesłanych danych.Podaj wymagane poświadczenia konta użytkownika, które spełniają wymagania wymienione wcześniej w tym artykule.
Zbieranie danych zostanie uruchomione przez zaplanowane zadanie o nazwie ADSecurityAssessment w ciągu godziny od uruchomienia poprzedniego skryptu, a następnie co 7 dni. Zadanie można zmodyfikować, aby zostało uruchomione w innym dniu/ o innej godzinie. Można nawet wymusić jego natychmiastowe uruchomienie z poziomu biblioteki harmonogramu zadań -> Microsoft -> Operations Management Suite > AOI*** > Oceny > ADSecurityAssessment.
Podczas zbierania i analizowania dane są tymczasowo przechowywane w katalogu roboczym skonfigurowanym podczas instalacji.
Po kilku godzinach wyniki oceny będą dostępne w usłudze Log Analytics i na pulpicie nawigacyjnym Centrum usług. Aby wyświetlić wyniki, przejdź do obszaru Centrum usług > Kondycja > Oceny, a następnie kliknij opcję „Wyświetl wszystkie zalecenia” dla aktywnej oceny.
Jeśli chcesz, aby akredytowany inżynier firmy Microsoft przejrzał razem z Tobą problemy dotyczące środowiska usługi AD, możesz skontaktować się z przedstawicielem firmy Microsoft i zapytać go o zdalne lub lokalne usługi dostarczane przez CE.
| umowa | Inżynier zdalny | Inżynier lokalny |
|---|---|---|
| Premier | Zdalny arkusz danych usługi ADS | Zdalny arkusz danych usługi ADS |
| Unified | Zdalny arkusz danych usługi ADS | Zdalny arkusz danych usługi ADS |
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla