АннотацияExecutive Summary

Область применения: Windows Server 2012Applies To: Windows Server 2012

Важно!

Следующая документация была написана на 2013 и предназначена только для исторических целей.The following documentation was written in 2013 and is provided for historical purposes only. В настоящее время мы рассмотрим эту документацию, и она может быть изменена.Currently we are reviewing this documentation and it is subject to change. Он может не отражать текущие рекомендации.It may not reflect current best practices.

Организация с инфраструктурой информационных технологий (IT) не подвержена атакам, но если соответствующие политики, процессы и элементы управления реализованы для защиты основных сегментов вычислительной инфраструктуры Организации, то можно предотвратить рост события нарушения до оптовой компрометации вычислительной среды.No organization with an information technology (IT) infrastructure is immune from attack, but if appropriate policies, processes, and controls are implemented to protect key segments of an organization's computing infrastructure, it might be possible to prevent a breach event from growing to a wholesale compromise of the computing environment.

Эта сводка предназначена для использования в качестве автономного документа со сводкой содержимого документа, который содержит рекомендации, которые помогут организациям повысить безопасность своих Active Directoryных установок.This executive summary is intended to be useful as a standalone document summarizing the content of the document, which contains recommendations that will assist organizations in enhancing the security of their Active Directory installations. Реализуя эти рекомендации, организации смогут определять и назначать приоритеты для действий по обеспечению безопасности, защищать ключевые сегменты вычислительной инфраструктуры Организации и создавать элементы управления, которые значительно снижают вероятность успешных атак на критически важные компоненты ИТ – среды.By implementing these recommendations, organizations will be able to identify and prioritize security activities, protect key segments of their organization's computing infrastructure, and create controls that significantly decrease the likelihood of successful attacks against critical components of the IT environment.

Несмотря на то, что в этом документе обсуждаются наиболее распространенные атаки на Active Directory и контрмеры для уменьшения уязвимой зоны, она также содержит рекомендации по восстановлению в случае полной компрометации.Although this document discusses the most common attacks against Active Directory and countermeasures to reduce the attack surface, it also contains recommendations for recovery in the event of complete compromise. Единственный способ восстановления в случае полной компрометации Active Directory — подготовиться к компрометации, прежде чем произойдет.The only sure way to recover in the event of a complete compromise of Active Directory is to be prepared for the compromise before it happens.

Основные разделы этого документа:The major sections of this document are:

  • Способы решения проблемAvenues to Compromise

  • Снижение уязвимостей Active DirectoryReducing the Active Directory Attack Surface

  • Мониторинг Active Directory для обнаружения признаков компрометацииMonitoring Active Directory for Signs of Compromise

  • Планирование при компрометацииPlanning for Compromise

Способы решения проблемAvenues to Compromise

В этом разделе содержатся сведения о некоторых наиболее распространенных уязвимостях, используемых злоумышленниками для нарушения инфраструктуры клиентов.This section provides information about some of the most commonly leveraged vulnerabilities used by attackers to compromise customers' infrastructures. Он содержит общие категории уязвимостей и их использование для первоначального проникнуть инфраструктур клиентов, распространения компромисса между дополнительными системами и, наконец, назначения Active Directory и контроллеров домена для получения полного контроля над лесами организации.It contains general categories of vulnerabilities and how they're used to initially penetrate customers' infrastructures, propagate compromise across additional systems, and eventually target Active Directory and domain controllers to obtain complete control of the organizations' forests. Он не предоставляет подробные рекомендации относительно адресации каждого типа уязвимости, особенно в тех областях, в которых уязвимости не используются для непосредственного назначения Active Directory.It does not provide detailed recommendations about addressing each type of vulnerability, particularly in the areas in which the vulnerabilities are not used to directly target Active Directory. Однако для каждого типа уязвимости мы предоставили ссылки на дополнительные сведения, которые будут использоваться для разработки контрмер и снижения уязвимой зоны Организации.However, for each type of vulnerability, we have provided links to additional information to use to develop countermeasures and reduce the organization's attack surface.

Включены следующие темы:Included are the following subjects:

  • Цели первоначального нарушения . Большинство нарушений безопасности информации начинается с компрометации небольших частей инфраструктуры организации — часто одна или две системы за один раз.Initial breach targets - Most information security breaches start with the compromise of small pieces of an organization's infrastructure-often one or two systems at a time. Эти начальные события или точки входа в сеть часто используют уязвимые места, которые могли быть исправлены, но не были.These initial events, or entry points into the network, often exploit vulnerabilities that could have been fixed, but weren't. Наиболее распространенные уязвимости:Commonly seen vulnerabilities are:

    • Пробелы в развертываниях антивирусных и антивредоносных программGaps in antivirus and antimalware deployments
    • Незавершенная установка исправленийIncomplete patching
    • Устаревшие приложения и операционные системыOutdated applications and operating systems
    • Неправильные настройкиMisconfiguration
    • Отсутствие защищенных методов разработки приложенийLack of secure application development practices
  • Привлекательные учетные записи для кражи учетных данных — атаки с кражой учетных данных — это те, в которых злоумышленник изначально получает привилегированный доступ к компьютеру в сети, а затем использует свободно доступные средства для извлечения учетных данных из сеансов других учетных записей, выполнивших вход в систему.Attractive Accounts for Credential Theft - Credential theft attacks are those in which an attacker initially gains privileged access to a computer on a network and then uses freely available tooling to extract credentials from the sessions of other logged-on accounts. В этот раздел включены следующие разделы:Included in this section are the following:

    • Действия, повышающие вероятность компрометации , так как целью кражи учетных данных обычно являются учетные записи домена с высоким уровнем привилегий и "очень важные учетные записи" (VIP), важно, чтобы администраторы применяют сведения о действиях, повышающих вероятность успеха атаки кражи учетных данных.Activities that Increase the Likelihood of Compromise - Because the target of credential theft is usually highly privileged domain accounts and "very important person" (VIP) accounts, it is important for administrators to be conscious of activities that increase the likelihood of a success of a credential-theft attack. Это следующие действия:These activities are:

      • Вход на незащищенные компьютеры с привилегированными учетными записямиLogging on to unsecured computers with privileged accounts

      • Просмотр в Интернете учетной записи с высоким уровнем привилегийBrowsing the Internet with a highly privileged account

      • Настройка локальных привилегированных учетных записей с одинаковыми учетными данными в разных системахConfiguring local privileged accounts with the same credentials across systems

      • Избыточное заполнение и чрезмерное употребление групп привилегированных доменовOverpopulation and overuse of privileged domain groups

      • Недостаточное Управление безопасностью контроллеров домена.Insufficient management of the security of domain controllers.

    • Учетные записи, серверы и компоненты инфраструктуры, как правило, являются основными целями атак, связанных с Active Directory .Privilege Elevation and Propagation - Specific accounts, servers, and infrastructure components are usually the primary targets of attacks against Active Directory. Эти учетные записи приведены ниже.These accounts are:

      • Безпостоянный привилегированный учетные записиPermanently privileged accounts

      • Учетные записи виртуальных IP-адресовVIP accounts

      • Учетные записи Active Directory, подключенные с правами доступа"Privilege-Attached" Active Directory accounts

      • Контроллеры доменаDomain controllers

      • Другие службы инфраструктуры, которые влияют на управление удостоверениями, доступом и настройкой, такие как серверы инфраструктуры открытых ключей (PKI) и серверы управления системами.Other infrastructure services that affect identity, access, and configuration management, such as public key infrastructure (PKI) servers and systems management servers

Снижение уязвимостей Active DirectoryReducing the Active Directory Attack Surface

В этом разделе рассматриваются технические элементы управления, которые снижают вероятность атак с Active Directory установкой.This section focuses on technical controls to reduce the attack surface of an Active Directory installation. В этот раздел включены следующие темы:Included in this section are the following subjects:

  • В разделе " привилегированные учетные записи и группы" в Active Directory обсуждаются максимальные привилегированные учетные записи и группы в Active Directory и механизмы защиты привилегированных учетных записей.The Privileged Accounts and Groups in Active Directory section discusses the highest privileged accounts and groups in Active Directory and the mechanisms by which privileged accounts are protected. В Active Directory три встроенных группы являются самыми высокими группами прав в каталоге (Администраторы предприятия, Администраторы домена и администраторы), хотя также необходимо защищать ряд дополнительных групп и учетных записей.Within Active Directory, three built-in groups are the highest privilege groups in the directory (Enterprise Admins, Domain Admins, and Administrators), although a number of additional groups and accounts should also be protected.

  • В разделе реализация Least-Privilege административных моделей основное внимание уделяется определению риска использования учетных записей с высоким уровнем привилегий для повседневного администрирования, а также рекомендации по сокращению этого риска.The Implementing Least-Privilege Administrative Models section focuses on identifying the risk that the use of highly privileged accounts for day-to-day administration presents, in addition to providing recommendations to reduce that risk.

Чрезмерные привилегии не обнаруживаются в Active Directory в скомпрометированных средах.Excessive privilege isn't only found in Active Directory in compromised environments. Если организация разработала привычку предоставления более прав доступа, чем требуется, она обычно обнаруживается во всей инфраструктуре:When an organization has developed the habit of granting more privilege than is required, it is typically found throughout the infrastructure:

  • В Active DirectoryIn Active Directory

  • На рядовых серверахOn member servers

  • На рабочих станцияхOn workstations

  • В приложенияхIn applications

  • В репозиториях данныхIn data repositories

  • Раздел Реализация защищенных административных узлов описывает безопасные административные узлы, которые являются компьютерами, настроенными для поддержки администрирования Active Directory и подключенных систем.The Implementing Secure Administrative Hosts section describes secure administrative hosts, which are computers that are configured to support administration of Active Directory and connected systems. Эти узлы предназначены для административных функций и не запускают программное обеспечение, например приложения электронной почты, веб-браузеры или программное обеспечение для повышения производительности (например, Microsoft Office).These hosts are dedicated to administrative functionality and do not run software such as email applications, web browsers, or productivity software (such as Microsoft Office).

В этот раздел включены следующие разделы:Included in this section are the following:

  • Принципы создания защищенных административных узлов : общие принципы, которые следует учитывать.Principles for Creating Secure Administrative Hosts - The general principles to keep in mind are:

    • Никогда не следует администрировать доверенную систему с узлов с низким уровнем доверия.Never administer a trusted system from a less-trusted host.
    • Не полагайтесь на один фактор проверки подлинности при выполнении привилегированных действий.Do not rely on a single authentication factor when performing privileged activities.
    • Не забывайте о физической безопасности при проектировании и реализации безопасных административных узлов.Do not forget physical security when designing and implementing secure administrative hosts.
  • Защита контроллеров домена от атак . Если злонамеренный пользователь получает привилегированный доступ к контроллеру домена, он может изменять, повредить и уничтожить базу данных Active Directory, а также расширение, все системы и учетные записи, управляемые Active Directory.Securing Domain Controllers Against Attack - If a malicious user obtains privileged access to a domain controller, that user can modify, corrupt, and destroy the Active Directory database, and by extension, all of the systems and accounts that are managed by Active Directory.

В этот раздел включены следующие темы:Included in this section are the following subjects:

  • Физическая безопасность для контроллеров домена . содержит рекомендации по обеспечению физической безопасности контроллеров домена в центрах обработки данных, филиалах и удаленных расположениях.Physical Security for Domain Controllers - Contains recommendations for providing physical security for domain controllers in datacenters, branch offices, and remote locations.

  • Операционные системы контроллера домена — содержит рекомендации по обеспечению безопасности операционных систем контроллера домена.Domain Controller Operating Systems - Contains recommendations for securing the domain controller operating systems.

  • Безопасная настройка контроллеров домена — собственные и свободно доступные средства настройки и параметры конфигурации могут использоваться для создания базовых показателей конфигурации безопасности для контроллеров домена, которые впоследствии могут быть принудительно применены групповая политика объектами (GPO).Secure Configuration of Domain Controllers - Native and freely available configuration tools and settings can be used to create security configuration baselines for domain controllers that can subsequently be enforced by Group Policy Objects (GPOs).

Мониторинг Active Directory для обнаружения признаков компрометацииMonitoring Active Directory for Signs of Compromise

В этом разделе содержатся сведения о устаревших категориях аудита и подкатегориях политики аудита (которые появились в Windows Vista и Windows Server 2008) и расширенной политике аудита (которая появилась в Windows Server 2008 R2).This section provides information about legacy audit categories and audit policy subcategories (which were introduced in Windows Vista and Windows Server 2008), and Advanced Audit Policy (which was introduced in Windows Server 2008 R2). Кроме того, предоставляются сведения о событиях и объектах, которые необходимо отслеживать, которые могут означать попытки нарушить безопасность среды и некоторые дополнительные ссылки, которые можно использовать для создания полной политики аудита для Active Directory.Also provided is information about events and objects to monitor that can indicate attempts to compromise the environment and some additional references that can be used to construct a comprehensive audit policy for Active Directory.

В этот раздел включены следующие темы:Included in this section are the following subjects:

  • Политика аудита Windows . журналы событий безопасности Windows имеют категории и подкатегории, определяющие отслеживаемые и записываемые события безопасности.Windows Audit Policy - Windows security event logs have categories and subcategories that determine which security events are tracked and recorded.

  • Рекомендации по политикам аудита . в этом разделе описываются параметры политики аудита Windows по умолчанию, параметры политики аудита, рекомендованные корпорацией Майкрософт, и более агрессивные рекомендации для организации аудита критических серверов и рабочих станций.Audit Policy Recommendations - This section describes the Windows default audit policy settings, audit policy settings that are recommended by Microsoft, and more aggressive recommendations for organizations to use to audit critical servers and workstations.

Планирование при компрометацииPlanning for Compromise

В этом разделе содержатся рекомендации, которые помогут организациям подготовиться к компрометации, прежде чем это произойдет, реализовать элементы управления, которые могут обнаружить событие компрометации, прежде чем будет выполнено полное нарушение, и предоставить рекомендации по откликам и восстановлению для случаев, когда злоумышленники получат полную безопасность каталога.This section contains recommendations that will help organizations prepare for a compromise before it happens, implement controls that can detect a compromise event before a full breach has occurred, and provide response and recovery guidelines for cases in which a complete compromise of the directory is achieved by attackers. В этот раздел включены следующие темы:Included in this section are the following subjects:

  • Переоценка подхода — содержит принципы и рекомендации по созданию безопасных сред, в которых Организация может разместить самые важные активы.Rethinking the Approach - Contains principles and guidelines to create secure environments into which an organization can place their most critical assets. Ниже приведены эти рекомендации.These guidelines are as follows:

    • Определение принципов разделения и защиты критически важных ресурсовIdentifying principles for segregating and securing critical assets

    • Определение ограниченного плана миграции на основе рисковDefining a limited, risk-based migration plan

    • Использование "непереносимого" переноса при необходимостиLeveraging "nonmigratory" migrations where necessary

    • Реализация "творческого уничтожения"Implementing "creative destruction"

    • Изоляция устаревших систем и приложенийIsolating legacy systems and applications

    • Упрощение безопасности для конечных пользователейSimplifying security for end users

  • Поддержка более безопасной среды — содержит рекомендации высокого уровня, которые предназначены для использования в качестве руководств по разработке не только эффективного обеспечения безопасности, но и эффективного управления жизненным циклом.Maintaining a More Secure Environment - Contains high-level recommendations meant to be used as guidelines to use in developing not only effective security, but effective lifecycle management. В этот раздел включены следующие темы:Included in this section are the following subjects:

    • Создание Business-Centric методов обеспечения безопасности для Active Directory для эффективного управления жизненным циклом пользователей, данных, приложений и систем, управляемых Active Directory, следуйте этим принципам.Creating Business-Centric Security Practices for Active Directory - To effectively manage the lifecycle of the users, data, applications and systems managed by Active Directory, follow these principles.

      • Назначение владения предприятием Active Directory данных — назначение владельцам компонентов инфраструктуры. для данных, добавляемых в домен Active Directory Services (AD DS) для поддержки бизнеса, например новых сотрудников, новых приложений и новых репозиториев данных, необходимо связать с данными указанное подразделение или пользователя.Assign a Business Ownership to Active Directory Data - Assign ownership of infrastructure components to IT; for data that is added to Active Directory Domain Services (AD DS) to support the business, for example, new employees, new applications, and new information repositories, a designated business unit or user should be associated with the data.

      • Реализация управления жизненным циклом Business-Driven — управление жизненным циклом должно быть реализовано для данных в Active Directory.Implement Business-Driven Lifecycle Management - Lifecycle management should be implemented for data in Active Directory.

      • Классификация всех Active Directoryных владельцев бизнес-данных должна обеспечивать классификацию для данных в Active Directory.Classify all Active Directory Data - Business owners should provide classification for data in Active Directory. В модели классификации данных классификация для следующих Active Directory данных должна быть включена.Within the data classification model, classification for the following Active Directory data should be included:

        • Системы — классификация заполнения серверов, их операционной системы, их роли, приложений, работающих на них, а также владельцев ИТ-систем и владельца записей.Systems - Classify server populations, their operating system, their role, the applications running on them, and the IT and business owners of record.

        • Приложения — классифицируют приложения по функциональным возможностям, основам пользователя и их операционной системе.Applications - Classify applications by functionality, user base, and their operating system.

        • Пользователи . учетные записи в Active Directoryных установках, которые, скорее всего, будут отмечаться злоумышленниками и отслеживаться.Users - The accounts in the Active Directory installations that are most likely to be targeted by attackers should be tagged and monitored.

Обзор рекомендаций по обеспечению безопасности служб домен Active DirectorySummary of Best Practices for Securing Active Directory Domain Services

Следующая таблица содержит сводку рекомендаций, приведенных в этом документе для обеспечения безопасности установки AD DS.The following table provides a summary of the recommendations provided in this document for securing an AD DS installation. Некоторые рекомендации являются стратегическими и нуждаются в комплексных проектах по планированию и реализации. другие тактических и посвящены конкретным компонентам Active Directory и связанной инфраструктуры.Some best practices are strategic in nature and require comprehensive planning and implementation projects; others are tactical and focused on specific components of Active Directory and related infrastructure.

Рекомендации перечислены в приблизительном порядке приоритета, т. е. более низкие значения указывают более высокий приоритет.Practices are listed in approximate order of priority, that is., lower numbers indicate higher priority. Там, где это применимо, передовые методики идентифицируются как превентивные или выявляющий.Where applicable, best practices are identified as preventative or detective in nature. Все эти рекомендации должны быть тщательно протестированы и изменены по мере необходимости в соответствии с характеристиками и требованиями вашей организации.All of these recommendations should be thoroughly tested and modified as needed for your organization's characteristics and requirements.

рекомендациях;Best Practice Тактическая или стратегическаяTactical or Strategic Превентивная или выявляющийPreventative or Detective
Установка исправлений приложений.Patch applications. ТактическаяTactical ПрофилактикаPreventative
Обновление операционных систем.Patch operating systems. ТактическаяTactical ПрофилактикаPreventative
Развертывайте и немедленно обновляйте антивирусные и Антивредоносные программы во всех системах и отслеживайте попытки их удаления или отключения.Deploy and promptly update antivirus and antimalware software across all systems and monitor for attempts to remove or disable it. ТактическаяTactical ОбаBoth
Отслеживайте важные Active Directory объекты для попыток изменения и Windows для событий, которые могут указывать на попытку компрометации.Monitor sensitive Active Directory objects for modification attempts and Windows for events that may indicate attempted compromise. ТактическаяTactical ОбнаружениеDetective
Защита и мониторинг учетных записей для пользователей, имеющих доступ к конфиденциальным даннымProtect and monitor accounts for users who have access to sensitive data ТактическаяTactical ОбаBoth
Предотвращение использования мощных учетных записей в неавторизованных системах.Prevent powerful accounts from being used on unauthorized systems. ТактическаяTactical ПрофилактикаPreventative
Исключите постоянное членство в группах с высоким уровнем привилегий.Eliminate permanent membership in highly privileged groups. ТактическаяTactical ПрофилактикаPreventative
Реализуйте элементы управления, чтобы предоставить временное членство в привилегированных группах при необходимости.Implement controls to grant temporary membership in privileged groups when needed. ТактическаяTactical ПрофилактикаPreventative
Реализуйте безопасные административные узлы.Implement secure administrative hosts. ТактическаяTactical ПрофилактикаPreventative
Используйте алловслистс приложений на контроллерах домена, узлах администрирования и других конфиденциальных системах.Use application allowslists on domain controllers, administrative hosts, and other sensitive systems. ТактическаяTactical ПрофилактикаPreventative
Определите критически важные ресурсы и задайте приоритеты для их безопасности и мониторинга.Identify critical assets, and prioritize their security and monitoring. ТактическаяTactical ОбаBoth
Реализуйте средства управления доступом на основе ролей с минимальными правами доступа для администрирования каталога, его поддерживающей инфраструктуры и систем, присоединенных к домену.Implement least-privilege, role-based access controls for administration of the directory, its supporting infrastructure, and domain-joined systems. СтратегическийStrategic ПрофилактикаPreventative
Изолируйте устаревшие системы и приложения.Isolate legacy systems and applications. ТактическаяTactical ПрофилактикаPreventative
Списание устаревших систем и приложений.Decommission legacy systems and applications. СтратегическийStrategic ПрофилактикаPreventative
Реализуйте программы безопасного жизненного цикла разработки для пользовательских приложений.Implement secure development lifecycle programs for custom applications. СтратегическийStrategic ПрофилактикаPreventative
Реализуйте управление конфигурацией, регулярно просматривайте соответствие и оцените параметры с каждым новым оборудованием или программным обеспечением.Implement configuration management, review compliance regularly, and evaluate settings with each new hardware or software version. СтратегическийStrategic ПрофилактикаPreventative
Перенесите критические активы в поддерживалась леса с жесткими требованиями к безопасности и мониторингу.Migrate critical assets to pristine forests with stringent security and monitoring requirements. СтратегическийStrategic ОбаBoth
Упростите безопасность для конечных пользователей.Simplify security for end users. СтратегическийStrategic ПрофилактикаPreventative
Используйте брандмауэры на основе узлов для управления и защиты обмена данными.Use host-based firewalls to control and secure communications. ТактическаяTactical ПрофилактикаPreventative
Устройства с исправлениями.Patch devices. ТактическаяTactical ПрофилактикаPreventative
Реализация управления жизненным циклом, ориентированного на бизнес, для ИТ-ресурсов.Implement business-centric lifecycle management for IT assets. СтратегическийStrategic НедоступноN/A
Создание или обновление планов восстановления инцидентов.Create or update incident recovery plans. СтратегическийStrategic Н/ДN/A