Začíname s hodnotením zabezpečenia na požiadanie služby Active Directory
Hodnotenie zabezpečenia služby Active Directory je navrhnuté tak, aby vám poskytuje špecifické pokyny na zníženie rizík zabezpečenia na vašu Active Directory a vašu organizáciu. Toto riešenie vám tiež poskytne stav týkajúci sa priebehu vzhľadom na plán odporúčaný spoločnosťou Microsoft na zabezpečenie prístupu k oprávnení (SPA), ktorého Active Directory je kritickou súčasťou.
Hodnotenie zabezpečenia služby Active Directory sa zameriava na niekoľko kľúčových stĺpov vrátane týchto:
- Kontrola prevádzkových procesov
- Prehľad privilegovaných kont/skupín, členstvá aj pravidelného konta
- Revízia dôveryhodnosti doménových štruktúr a domén
- Kontrola konfigurácie operačného systému, opravy zabezpečenia a úrovní aktualizácií
- Kontrola konfigurácie radiča domény a domény v porovnaní s odporúčaným návodom od spoločnosti Microsoft
- Kontrola delegovania povolení pre objekt služby Active Directory
Spustenie hodnotenia zabezpečenia služby Active Directory
Predpoklady
Ak chcete naplno využívať hodnotenia na požiadanie dostupné prostredníctvom centra služieb, musíte:
- Prepoji ste aktívne predplatné na Azure so centrom služieb a pridali hodnotenie zabezpečenia AD. Ďalšie informácie nájdete v téme: Začíname s hodnotením na požiadanie alebo si pozrite, ako prepojiť video.
- Nainštalujte agenta sledovania spoločnosti Microsoft a vyberte príslušné nastavenie agenta v podporovanej Windows Serveri. Môžete si tiež pozrieť videopríručky o inštalácii agenta alebo o konfigurácii brány.
- konto domény (používateľské konto alebo konto spravovanej služby)s týmito právami,
- Členstvo v skupine podnikového správcu OR
- Vstavané členstvo v skupine správcov pre každú doménu v doméne.
- Členstvo v skupine Lokálni správcovia v počítači na zhromažďovanie údajov.
- Správcovský prístup ku všetkým DNS serverom spoločnosti Microsoft, ktorých sa zúčastňujú radiče domén.
- Skontrolujte dokument Predpoklady na hodnotenie zabezpečenia AD. V tomto dokumente sa vysvetľuje podrobná technická dokumentácia hodnotenia zabezpečenia AD a príprava servera potrebná na spustenie hodnotenia. Takisto obsahuje informácie o rôznych typoch údajov zhromaždených na základe hodnotenia.
Poznámka
V priemere trvá dve hodiny, kým sa na začiatku nakonfiguruje vaše prostredie na spustenie hodnotenia na požiadanie. Po spustení hodnotenia môžete skontrolovať údaje v analýze denníkov služby Azure. Budete mať k dispozícii prioritne zoradený zoznam odporúčaní kategorizovaných v šiestich oblastiach zamerania. Vďaka tomu vám a vášmu tímu môžete rýchlo porozumieť úrovniam rizík, stavu vašich prostredí, znížiť riziko a zlepšiť celkový stav IT.*
Nastavenie hodnotenia zabezpečenia AD – pozrite si video príručku
Poznámka
Hodnotenie budete môcť úspešne nastaviť len vtedy, keď prepojíte svoje predplatné na Azure so centrom služieb a do centra zabezpečenia AD zo služby IT Health > na požiadanie v Centre služieb.*
- V počítači na zhromažďovanie údajov vytvorte nasledujúci priečinok: C:\OMS\ADS (alebo ľubovoľný iný priečinok, ako môžete).
- Otvorte bežné prostredie PowerShell (nie ISE) v režime správcu a spustite nižšie otvorenú rutinu typu cmdlet:
Add-ADSecurityAssessmentTask -WorkingDirectory <workingdirectorypath> command,
where workingdirectorypath is a path to an existing directory used to store the files created while collecting and analyzing the data from the environment.
- Zadajte požadované poverenia používateľského konta, ktoré spĺňajú požiadavky uvedené vyššie v tomto článku.
- Zhromažďovanie údajov spúšťa naplánovaná úloha s názvom ADSecurityA sassment do hodiny od spustenia predchádzajúceho skriptu a potom každých 7 dní. Úlohu možno upraviť tak, aby sa spúšťala v inom dátume alebo čase, alebo ju dokonca je potrebné spustiť okamžite z knižnice plánovača úloh > Microsoft -> Operations Management Suite > AOI*** > Hodnotenia > ADSecurityA 12013.
- Počas zhromažďovania a analýzy sa údaje dočasne ukladajú v priečinku Pracovný adresár, ktorý bol nakonfigurovaný počas inštalácie.
- Po niekoľkých hodinách budú výsledky hodnotenia k dispozícii na tabuli analýzy denníkov a centra služieb. Ak chcete zobraziť výsledky, prejdite do časti Centrum služieb > hodnotenia > a potom kliknite na položku Zobraziť všetky odporúčania v rámci aktívneho hodnotenia.
- Ak chcete, aby vám akreditovaný inžinier spoločnosti Microsoft preveril problémy týkajúce sa AD prostredia, môžete sa obrátiť na svojho zástupcu spoločnosti Microsoft a spýtať sa ho na doručenie vedeného vzdialenému alebo miestneho CE.
| zmluva | Vzdialený inžinier | Inžinier lokality |
|---|---|---|
| Premier | ADS Remote Datasheet | Údajový hárok webovej lokality ADS |
| Zjednotené | ADS Remote Datasheet | Údajový hárok webovej lokality ADS |
Ak chcete získať všeobecné pripomienky k Strediska zdrojov alebo k obsahu, pošlite svoje pripomienky zástupcovi spoločnosti Microsoft. Konkrétne požiadavky a aktualizácie obsahu týkajúce sa centra služieb vám poskytne náš tím podpory a odošliteprípad.