ВведениеIntroduction

Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Атаки на вычислительные инфраструктуры, будь то простые или сложные, существовали столько же, сколько у компьютеров.Attacks against computing infrastructures, whether simple or complex, have existed as long as computers have. Тем не менее за последнее десятилетие растет число организаций всех размеров во всех частях мира, безопасность которых была атакована и скомпрометирована способами, которые существенно изменили характер угроз.However, within the past decade, increasing numbers of organizations of all sizes, in all parts of the world have been attacked and compromised in ways that have significantly changed the threat landscape. Электронные войны и киберпреступность растут рекордными темпами.Cyber-warfare and cybercrime have increased at record rates. «Хакктивисм», когда атаки нацелены на активист позиции, были заявлены в качестве мотивации для ряда нарушений, предназначенных для предоставления секретной информации Организации, для создания отказа в обслуживании или даже для уничтожения инфраструктуры."Hacktivism," in which attacks are motivated by activist positions, has been claimed as the motivation for a number of breaches intended to expose organizations' secret information, to create denials-of-service, or even to destroy infrastructure. Атаки на общедоступные и частные учреждения с целью получения интеллектуальной собственности организации стали повсеместными.Attacks against public and private institutions with the goal of exfiltrating the organizations' intellectual property (IP) have become ubiquitous.

Организация с инфраструктурой информационных технологий (IT) не подвержена атакам, но если соответствующие политики, процессы и элементы управления реализованы для защиты сегментов в вычислительной инфраструктуре организации, может быть предотвращена атака уязвимости, чтобы избежать нарушения безопасности.No organization with an information technology (IT) infrastructure is immune from attack, but if appropriate policies, processes, and controls are implemented to protect key segments of an organization's computing infrastructure, escalation of attacks from penetration to complete compromise might be preventable. Поскольку количество и масштаб атак, исходящих от за пределами Организации, имеет угрозу для предварительной оценки в последние годы, в этом документе часто рассматриваются внешние злоумышленники, а не неправильное использование среды полномочными пользователями.Because the number and scale of attacks originating from outside an organization has eclipsed insider threat in recent years, this document often discusses external attackers rather than misuse of the environment by authorized users. Тем не менее, принципы и рекомендации, приведенные в этом документе, призваны помочь защитить среду от внешних злоумышленников и незаконных или злонамеренных участников.Nonetheless, the principles and recommendations provided in this document are intended to help secure your environment against external attackers and misguided or malicious insiders.

Информация и рекомендации, приведенные в этом документе, взяты из нескольких источников и являются производными от методик, предназначенных для защиты Active Directoryных установок от компрометации.The information and recommendations provided in this document are drawn from a number of sources and derived from practices designed to protect Active Directory installations against compromise. Несмотря на то, что невозможно предотвратить атаки, можно уменьшить Active Directory уязвимую зону и реализовать элементы управления, которые значительно затрудняют атаку на каталог.Although it is not possible to prevent attacks, it is possible to reduce the Active Directory attack surface and to implement controls that make compromise of the directory much more difficult for attackers. В этом документе представлены наиболее распространенные типы уязвимостей, которые мы наблюдали в скомпрометированных средах, и наиболее распространенные рекомендации, которые мы сделали для клиентов, чтобы повысить безопасность своих Active Directoryных установок.This document presents the most common types of vulnerabilities we have observed in compromised environments and the most common recommendations we have made to customers to improve the security of their Active Directory installations.

Соглашения об именовании учетных записей и группAccount and Group Naming Conventions

В следующей таблице представлено описание соглашений об именовании, используемых в этом документе для групп и учетных записей, упоминаемых в документе.The following table provides a guide to the naming conventions used in this document for the groups and accounts referenced throughout the document. В таблицу включены сведения о расположении каждой учетной записи или группы, ее имя, а также о том, как в этом документе указываются ссылки на эти учетные записи или группы.Included in the table is the location of each account/group, its name, and how these accounts/groups are referenced in this document.

Расположение учетной записи или группыAccount/Group Location Имя учетной записи или группыName of Account/Group Как на него ссылаться в этом документеHow It is Referenced in this Document
Active Directory — каждый доменActive Directory - each domain АдминистраторAdministrator Встроенная учетная запись администратораBuilt-in Administrator account
Active Directory — каждый доменActive Directory - each domain АдминистраторыAdministrators Встроенная группа администраторов (BA)Built-in Administrators (BA) group
Active Directory — каждый доменActive Directory - each domain Администраторы доменаDomain Admins Группа администраторов домена (DA)Domain Admins (DA) group
Active Directory — корневой домен лесаActive Directory - forest root domain Администраторы предприятияEnterprise Admins Группа администраторов предприятия (EA)Enterprise Admins (EA) group
База данных диспетчера учетных записей безопасности локального компьютера (SAM) на компьютерах под управлением Windows Server и рабочих станций, не являющихся контроллерами доменаLocal computer security accounts manager (SAM) database on computers running Windows Server and workstations that are not domain controllers АдминистраторAdministrator Учетная запись локального администратораLocal Administrator account
База данных диспетчера учетных записей безопасности локального компьютера (SAM) на компьютерах под управлением Windows Server и рабочих станций, не являющихся контроллерами доменаLocal computer security accounts manager (SAM) database on computers running Windows Server and workstations that are not domain controllers АдминистраторыAdministrators Локальная группа администраторовLocal Administrators group

Сведения об этом документеAbout This Document

Организация Microsoft Information Security and риски (ИСРМ), входящая в состав Microsoft Information IT (MSIT), работает с внутренними подразделениями, внешними клиентами и отраслевыми коллегами для сбора, распространения и определения политик, методик и элементов управления.The Microsoft Information Security and Risk Management (ISRM) organization, which is part of Microsoft Information Technology (MSIT), works with internal business units, external customers, and industry peers to gather, disseminate, and define policies, practices, and controls. Эти сведения могут использоваться корпорацией Майкрософт и нашими клиентами для повышения безопасности и снижения уязвимости ИТ – инфраструктуры.This information can be used by Microsoft and our customers to increase the security and reduce the attack surface of their IT infrastructures. Рекомендации, приведенные в этом документе, основаны на ряде источников информации и практических рекомендаций, используемых в MSIT и ИСРМ.The recommendations provided in this document are based on a number of information sources and practices used within MSIT and ISRM. В следующих разделах содержатся дополнительные сведения о происхождении этого документа.The following sections present more information about the origins of this document.

ИТ и ИСРМ МайкрософтMicrosoft IT and ISRM

Ряд методик и элементов управления разрабатывается в MSIT и ИСРМ для защиты лесов и доменов Microsoft AD DS.A number of practices and controls have been developed within MSIT and ISRM to secure the Microsoft AD DS forests and domains. Если эти элементы управления широко применимы, они были интегрированы в этот документ.Where these controls are broadly applicable, they have been integrated into this document. Security-T (Акселераторы решений для новых технологий) — это группа внутри ИСРМ, Устав которой предназначен для определения новых технологий и определения требований безопасности и элементов управления для ускорения их внедрения.SAFE-T (Solution Accelerators for Emerging Technologies) is a team within ISRM whose charter is to identify emerging technologies, and to define security requirements and controls to accelerate their adoption.

Active Directory оценки безопасностиActive Directory Security Assessments

В рамках Microsoft ИСРМ Группа оценки, консультирования и инженеров (ACE) работает с внутренними бизнес-подразделениями Майкрософт и внешними клиентами для оценки безопасности приложений и инфраструктуры, а также для предоставления тактических и стратегических руководств по повышению безопасности Организации.Within Microsoft ISRM, the Assessment, Consulting, and Engineering (ACE) Team works with internal Microsoft business units and external customers to assess application and infrastructure security and to provide tactical and strategic guidance to increase the organization's security posture. Одно из предлагаемых услуг ACE — Active Directoryная Оценка безопасности (АДСА), которая является комплексной оценкой среды AD DS Организации, которая оценивает людей, процессы и технологии и создает рекомендации для конкретного клиента.One ACE service offering is the Active Directory Security Assessment (ADSA), which is a holistic assessment of an organization's AD DS environment that assesses people, process, and technology and produces customer-specific recommendations. Клиенты предоставляются с рекомендациями, основанными на уникальных характеристиках, методиках и аппетит рисков Организации.Customers are provided with recommendations that are based on the organization's unique characteristics, practices, and risk appetite. Адсас были выполнены для установки Active Directory в корпорации Майкрософт, а также для наших клиентов.ADSAs have been performed for Active Directory installations at Microsoft in addition to those of our customers. Со временем было обнаружено несколько рекомендаций, которые должны быть применимы для клиентов разного размера и отраслей.Over time, a number of recommendations have been found to be applicable across customers of varying sizes and industries.

Источник содержимого и организацииContent Origin and Organization

Большая часть содержимого этого документа является производной от АДСА и других оценок команды ACE, выполненных для скомпрометированных клиентов, и клиентов, которые не сталкивались со значительными компромиссами.Much of the content of this document is derived from the ADSA and other ACE Team assessments performed for compromised customers and customers who have not experienced significant compromise. Хотя отдельные данные клиента не использовались для создания этого документа, мы собрали наиболее часто используемые уязвимости, которые мы определили в наших оценках, и рекомендации, которые мы сделали для клиентов, чтобы повысить безопасность своих AD DSных установок.Although individual customer data was not used to create this document, we have collected the most commonly exploited vulnerabilities we have identified in our assessments and the recommendations we have made to customers to improve the security of their AD DS installations. Не все уязвимости применимы ко всем средам, и не все рекомендации можно реализовать в каждой отдельной организации.Not all vulnerabilities are applicable to all environments, nor are all recommendations feasible to implement in every organization.

Этот документ организован следующим образом:This document is organized as follows:

АннотацияExecutive Summary

Сводные данные о руководителе, которые можно считать автономным документом или в сочетании с полным документом, предоставляют обобщенную сводку по этому документу.The Executive Summary, which can be read as a standalone document or in combination with the full document, provides a high-level summary of this document. В состав руководства входят наиболее распространенные направления атак, которые мы использовали для нарушения безопасности клиентских сред, сводные рекомендации по защите Active Directory установки и основные цели для клиентов, планирующих развертывать новые AD DSные леса сейчас или в будущем.Included in the Executive Summary are the most common attack vectors we have observed used to compromise customer environments, summary recommendations for securing Active Directory installations, and basic objectives for customers who plan to deploy new AD DS forests now or in the future.

ВведениеIntroduction

Это раздел, который вы сейчас читаете.This is the section you are reading now.

Способы решения проблемAvenues to Compromise

В этом разделе содержатся сведения о некоторых наиболее часто используемых уязвимостях, которые могут быть использованы злоумышленниками для нарушения инфраструктуры клиентов.This section provides information about some of the most commonly leveraged vulnerabilities we have found to be used by attackers to compromise customers' infrastructures. Этот раздел начинается с общих категорий уязвимостей и того, как они используются для первоначальной проникнуть инфраструктур клиентов, распространения компромисса между дополнительными системами и, в конечном итоге, к AD DS и контроллерам домена, чтобы получить полный контроль над лесами организации.This section begins with general categories of vulnerabilities and how they are leveraged to initially penetrate customers' infrastructures, propagate compromise across additional systems, and eventually target AD DS and domain controllers to obtain complete control of organizations' forests.

В этом разделе не приводятся подробные рекомендации по адресации каждого типа уязвимости, особенно в тех областях, в которых уязвимости не используются для непосредственного назначения Active Directory.This section does not provide detailed recommendations about addressing each type of vulnerability, particularly in the areas in which the vulnerabilities are not used to directly target Active Directory. Однако для каждого типа уязвимости мы предоставили ссылки на дополнительные сведения, которые можно использовать для разработки контрмер и снижения уязвимой зоны Организации.However, for each type of vulnerability, we have provided links to additional information that you can use to develop countermeasures and reduce your organization's attack surface.

Снижение уязвимостей Active DirectoryReducing the Active Directory Attack Surface

Этот раздел начинается с предоставления общих сведений о привилегированных учетных записях и группах в Active Directory для предоставления сведений, которые помогут объяснить причины появления последующих рекомендаций по защите и управлению привилегированными группами и учетными записями.This section begins by providing background information about privileged accounts and groups in Active Directory to provide the information that helps clarify the reasons for the subsequent recommendations for securing and managing privileged groups and accounts. Затем обсуждаются подходы к снижению необходимости использования учетных записей с высоким уровнем привилегий для повседневного администрирования, для которого не требуется уровень привилегий, предоставляемых группам, таким как Администраторы предприятия (EA), Администраторы домена (DA) и встроенные группы администраторов (BA) в Active Directory.We then discuss approaches to reduce the need to use highly privileged accounts for day-to-day administration, which does not require the level of privilege that is granted to groups such as the Enterprise Admins (EA), Domain Admins (DA), and Built-in Administrators (BA) groups in Active Directory. Далее мы представили рекомендации по обеспечению безопасности привилегированных групп и учетных записей, а также реализации административных методик и систем.Next, we provide guidance for securing the privileged groups and accounts and for implementing secure administrative practices and systems.

Хотя в этом разделе содержатся подробные сведения об этих параметрах конфигурации, мы также включали в себя приложения для каждой рекомендации, которые предоставляют пошаговые инструкции по настройке, которые можно использовать "как есть" или могут быть изменены в соответствии с потребностями Организации.Although this section provides detailed information about these configuration settings, we have also included appendices for each recommendation that provide step-by-step configuration instructions that can be used "as is" or can be modified for the organization's needs. Этот раздел завершается предоставлением сведений для безопасного развертывания контроллеров домена и управления ими, который должен быть между самыми жестко защищенными системами в инфраструктуре.This section finishes by providing information to securely deploy and manage domain controllers, which should be among the most stringently secured systems in the infrastructure.

Мониторинг Active Directory для обнаружения признаков компрометацииMonitoring Active Directory for Signs of Compromise

Если вы реализовали надежную информацию о безопасности и наблюдение за событиями (SIEM) в среде или используете другие механизмы для мониторинга безопасности инфраструктуры, в этом разделе содержатся сведения, которые можно использовать для определения событий в системах Windows, которые могут указывать на то, что Организация подвергается атаке.Whether you have implemented robust security information and event monitoring (SIEM) in your environment or are using other mechanisms to monitor the security of the infrastructure, this section provides information that can be used to identify events on Windows systems that may indicate that an organization is being attacked. Мы обсудим традиционные и расширенные политики аудита, включая эффективную настройку подкатегорий аудита в операционных системах Windows 7 и Windows Vista.We discuss traditional and advanced audit policies, including effective configuration of audit subcategories in the Windows 7 and Windows Vista operating systems. В этом разделе содержатся исчерпывающие списки объектов и систем для аудита, а в связанном приложении перечислены события, которые следует отслеживать, если целью является обнаружение несанкционированных попыток.This section includes comprehensive lists of objects and systems to audit, and an associated appendix lists events for which you should monitor if the goal is to detect compromise attempts.

Планирование при компрометацииPlanning for Compromise

В этом разделе рассматриваются технические подробности о принципах и процессах, которые можно реализовать для поиска пользователей, приложений и систем, которые наиболее важны не только для ИТ-инфраструктуры, но и для бизнеса.This section begins by "stepping back" from technical detail to focus on principles and processes that can be implemented to identify the users, applications, and systems that are most critical not only to the IT infrastructure, but to the business. Определив, что самое важное для стабильности и эксплуатации вашей организации, вы можете сосредоточиться на разделении и защите этих ресурсов независимо от того, являются ли они интеллектуальной собственностью, людьми или системами.After identifying what is most critical to the stability and operations of your organization, you can focus on segregating and securing these assets, whether they are intellectual property, people, or systems. В некоторых случаях разделение и защита ресурсов могут выполняться в существующей среде AD DS. в других случаях следует рассмотреть возможность реализации небольших, отдельных "ячеек", которые позволяют установить безопасную границу для важных ресурсов и отслеживать эти активы более жестко, чем менее критические компоненты.In some cases, segregating and securing assets may be performed in your existing AD DS environment, while in other cases, you should consider implementing small, separate "cells" that allow you to establish a secure boundary around critical assets and monitor those assets more stringently than less-critical components. Понятие "творческое уничтожение", которое является механизмом, с помощью которого можно устранять устаревшие приложения и системы путем создания новых решений, а раздел заканчивается рекомендациями, которые могут помочь в обеспечении более безопасной среды путем объединения бизнес-данных и информационных технологий для создания подробной картины того, что является нормальным рабочим состоянием.A concept called "creative destruction," which is a mechanism by which legacy applications and systems can be eliminated by creating new solutions is discussed, and the section ends with recommendations that can help to maintain a more secure environment by combining business and IT information to construct a detailed picture of what is a normal operational state. Зная, что является нормальным для Организации, необычность может указывать на атаки и взломы, которые могут быть более легко идентифицированы.By knowing what is normal for an organization, abnormalities that may indicate attacks and compromises can be more easily identified.

Сводка рекомендацийSummary of Best Practice Recommendations

В этом разделе приводится таблица со сводкой рекомендаций, сделанных в этом документе, и упорядочивает их по относительным приоритетам, а также предоставляет ссылки на дополнительные сведения о каждой рекомендации, которые можно найти в документе и его приложениях.This section provides a table that summarizes the recommendations made in this document and orders them by relative priority, in addition to providing links to where more information about each recommendation can be found in the document and its appendices.

ПриложенияAppendices

В этот документ включены приложений для дополнения сведений, содержащихся в тексте документа.Appendices are included in this document to augment the information contained in the body of the document. Список приложений и краткое описание каждого из них приведены в следующей таблице.The list of appendices and a brief description of each is included the following table.

ПриложениеAppendix ОписаниеDescription
Приложение Б. Привилегированные учетные записи и группы в Active DirectoryAppendix B: Privileged Accounts and Groups in Active Directory Общие сведения, помогающие в определении пользователей и групп, на которые следует обратить внимание, поскольку они могут быть использованы злоумышленниками для взлома и даже уничтожения установки Active Directory.Provides background information that helps you to identify the users and groups you should focus on securing because they can be leveraged by attackers to compromise and even destroy your Active Directory installation.
Приложение В. Защищенные учетные записи и группы в Active DirectoryAppendix C: Protected Accounts and Groups in Active Directory Содержит сведения о защищенных группах в Active Directory.Contains information about protected groups in Active Directory. Он также содержит сведения о ограниченной настройке (удалении) групп, которые считаются защищенными группами и зависят от AdminSDHolder и SDProp.It also contains information for limited customization (removal) of groups that are considered protected groups and are affected by AdminSDHolder and SDProp.
Приложение Г. Защита встроенных учетных записей администраторов в Active DirectoryAppendix D: Securing Built-In Administrator Accounts in Active Directory Содержит рекомендации, помогающие защитить учетную запись администратора в каждом домене леса.Contains guidelines to help secure the Administrator account in each domain in the forest.
Приложение Д. Защита групп корпоративных администраторов в Active DirectoryAppendix E: Securing Enterprise Admins Groups in Active Directory Содержит рекомендации по защите группы администраторов предприятия в лесу.Contains guidelines to help secure the Enterprise Admins group in the forest.
Приложение Е. Защита групп администраторов домена в Active DirectoryAppendix F: Securing Domain Admins Groups in Active Directory Содержит рекомендации по защите группы администраторов домена в каждом домене леса.Contains guidelines to help secure the Domain Admins group in each domain in the forest.
Приложение Ж. Защита групп администраторов в Active DirectoryAppendix G: Securing Administrators Groups in Active Directory Содержит рекомендации по защите встроенной группы администраторов в каждом домене леса.Contains guidelines to help secure the Built-in Administrators group in each domain in the forest.
Приложение З. Защита учетных записей и групп локальных администраторовAppendix H: Securing Local Administrator Accounts and Groups Содержит рекомендации по защите учетных записей локальных администраторов и групп администраторов на серверах и рабочих станциях, присоединенных к домену.Contains guidelines to help secure local Administrator accounts and Administrators groups on domain-joined servers and workstations.
Приложение И. Создание учетных записей управления для защищенных учетных записей и групп в Active DirectoryAppendix I: Creating Management Accounts for Protected Accounts and Groups in Active Directory Предоставляет сведения для создания учетных записей с ограниченными привилегиями и может быть жестко контролироваться, но их можно использовать для заполнения привилегированных групп в Active Directory, если требуется временное повышение прав.Provides information to create accounts that have limited privileges and can be stringently controlled, but can be used to populate privileged groups in Active Directory when temporary elevation is required.
Приложение М. События для мониторингаAppendix L: Events to Monitor Список событий, которые следует отслеживать в среде.Lists events for which you should monitor in your environment.
Приложение Н. Ссылки на документы и рекомендуемая литератураAppendix M: Document Links and Recommended Reading Содержит список рекомендуемых для чтения данных.Contains a list of recommended reading. Также содержит список ссылок на внешние документы и их URL-адреса, чтобы читатели жестких копий этого документа могли получить доступ к этим сведениям.Also contains a list of links to external documents and their URLs so that readers of hard copies of this document can access this information.