实现安全管理主机
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
安全管理主机是专门为创建安全平台而配置的工作站或服务器,特权帐户可以通过这些平台在 Active Directory 中或者在域控制器、已加入域的系统,以及在加入域的系统上运行的应用程序中执行管理任务。 在这种情况下,“特权帐户”不仅是指 Active Directory 中最高特权组的成员的帐户,而且指任何拥有委托权限的、可以执行管理任务的帐户。
这些帐户可能是能够为域中的大多数用户重置密码的帮助台帐户、用于管理 DNS 记录和区域的帐户,或用于配置管理的帐户。 安全管理主机专用于管理功能,它们不会运行电子邮件应用程序、Web 浏览器或生产力软件(例如 Microsoft Office)等软件。
尽管“最高特权”帐户和组应该相应地受到最严格的保护,但这并不能消除保护任何特权高于标准用户帐户的帐户和组的需要。
安全管理主机可以是仅用于管理任务的专用工作站、运行远程桌面网关服务器角色且 IT 用户需要与其连接以执行目标主机管理的成员服务器,或者运行 Hyper-V 的服务器角色,并为每个 IT 用户提供唯一的虚拟机以用于其管理任务。 在许多环境中,可以实现所有这三种方法的组合。
实现安全管理主机需要做出与组织的规模、管理实践、风险偏好和预算相一致的规划与配置。 此处提供了实现安全管理主机的注意事项和选项,供你在制定适合组织的管理策略时使用。
有关创建安全管理主机的原则
为了有效保护系统免遭攻击,应记住几条一般原则:
不应通过不太受信任的主机(即安全程度不及其管理的系统的工作台)管理受信任的系统(即域控制器等安全服务器)。
在执行特权活动时,不应依赖于单一身份验证;也就是说,用户名和密码组合不应视为可接受的身份验证,因为只表示了一个因素(你所知的)。 应在管理方案中考虑在哪里生成和缓存或存储凭据。
尽管当前威胁环境中的大多数攻击都是利用恶意软件和恶意黑客攻击,但在设计和实现安全管理主机时请不要忽略物理安全性。
帐户配置
即使组织当前未使用智能卡,也应考虑为特权帐户和安全管理主机实现智能卡保护措施。 应该通过在链接到包含管理主机的 OU 的 GPO 中修改以下设置,将管理主机配置为要求所有帐户使用智能卡登录:
计算机配置\策略\Windows 设置\本地策略\安全选项\交互式登录:需要智能卡
无论 Active Directory 中单个帐户的配置如何,此设置都要求所有交互式登录使用智能卡。
还应将安全管理主机配置为仅允许已授权帐户登录,可在以下位置进行配置:
计算机配置\策略\Windows 设置\本地策略\安全设置\本地策略\用户权限分配
这只会向安全管理主机的已授权用户授予交互式登录权限(在适当情况下还会授予远程桌面服务登录权限)。
物理安全性
要使管理主机被视为可信,必须像配置和保护其管理的系统那样对其进行配置和保护。 保护域控制器免遭攻击中提供的大部分建议也适用于用来管理域控制器和 AD DS 数据库的主机。 在大多数环境中实现安全管理系统的挑战之一是物理安全性可能更难实现,因为这些计算机所在的区域(例如管理用户的桌面)通常不如数据中心内托管的服务器那样安全。
物理安全性包括控制对管理主机的物理访问。 在小型组织中,这可能意味着需要维护一个专用的管理工作站,在不使用时要将其锁在办公室或办公桌的抽屉中。 或者,这可能意味着在需要执行 Active Directory 或域控制器的管理时,必须直接登录到域控制器。
在中型组织中,可以考虑实现安全的管理“跳转服务器”,这些服务器位于办公室的安全位置,在需要管理 Active Directory 或域控制器时可以使用它们。 还可以实现在不使用时可锁在安全位置的管理工作站,而不管是否使用跳转服务器。
在大型组织中,可以部署数据中心托管的跳转服务器,这些服务器严格控制对 Active Directory、域控制器、文件、打印或应用程序服务器的访问。 跳转服务器体系结构的实现很可能包括大型环境中的安全工作站和服务器组合。
无论组织规模和管理主机的设计方式如何,都应该保护物理计算机免遭未经授权的访问或盗窃,并且应使用 BitLocker 驱动器加密来加密和保护管理主机上的驱动器。 如果在管理主机上实现 BitLocker,即使主机被盗或其磁盘被移除,也可以确保未经授权的用户无法访问驱动器上的数据。
操作系统版本和配置
出于本文档前面所述的原因,所有管理主机(无论是服务器还是工作站)都应该运行组织中使用的最新操作系统。 运行最新操作系统使管理人员能够受益于新的安全功能、完整的供应商支持,以及操作系统中引入的附加功能。 此外,在评估某个新操作系统时(通过首先将其部署到管理主机),你需要熟悉它提供的新功能、设置和管理机制,以后可以利用这些知识来规划操作系统的更广泛部署。 到时,组织中经验最丰富的用户也是熟悉新操作系统,并最擅长为它提供支持的用户。
Microsoft 安全配置向导
如果你将跳转服务器实现为管理主机策略的一部分,应使用内置的安全配置向导来配置服务、注册表、审核和防火墙设置,以减少服务器的攻击面。 收集并配置安全配置向导中的配置设置后,可将这些设置转换为 GPO,用于在所有跳转服务器上强制实施一致的基线配置。 可以进一步编辑 GPO 以实现特定于跳转服务器的安全设置,并且可以将所有设置与从 Microsoft 安全合规管理器中提取的其他基线设置相结合。
Microsoft 安全合规管理器
Microsoft 安全合规管理器是一个免费工具,它可以根据操作系统版本和角色配置集成 Microsoft 建议的安全配置,并在一个工具和 UI 中收集这些配置,以便为域控制器创建和配置基线安全设置。 Microsoft 安全合规管理器模板可与安全配置向导设置相结合,为跳转服务器生成综合性的配置基线,Active Directory 中跳转服务器所在的 OU 中部署的 GPO 将部署并强制实施这些基线。
注意
在撰写本文时,Microsoft 安全合规管理器不包括特定于跳转服务器或其他安全管理主机的设置,但安全合规管理器 (SCM) 仍可用于为管理主机创建初始基线。 但是,若要正确保护主机,应该应用适用于高度安全的工作站和服务器的其他安全设置。
AppLocker
应通过 AppLocker 或第三方应用程序限制软件使用脚本、工具和应用程序来配置管理主机和虚拟机。 应使用遵守安全开发和管理实践的工具来升级或替换任何不遵守安全设置的管理应用程序或实用工具。 当管理主机上需要新的或额外的工具时,应全面测试应用程序和实用工具,如果该工具适合部署在管理主机上,则可以将其添加到系统中。
RDP 限制
尽管具体的配置根据管理系统的体系结构而异,但应该限制哪些帐户和计算机可用于与托管系统建立远程桌面协议 (RDP) 连接,例如,使用远程桌面网关(RD 网关)跳转服务器来控制已授权用户和系统对域控制器和其他托管系统的访问。
应允许已授权用户进行交互式登录,并且应删除甚至阻止不需要用于服务器访问的其他登录类型。
修补程序和配置管理
小型组织可以依赖 Windows 更新或 Windows Server Update Services (WSUS) 等服务来管理 Windows 系统更新的部署,而大型组织可以实现企业修补程序和配置管理软件,例如 Microsoft Endpoint Configuration Manager。 无论使用哪种机制将更新部署到一般服务器和工作站群,都应该考虑为高度安全的系统(例如域控制器、证书颁发机构和管理主机)单独进行部署。 将这些系统与一般管理基础结构隔离后,如果管理软件或服务帐户遭到入侵,则入侵无法轻易延伸到基础结构中最安全的系统。
尽管不应该为安全系统实现手动更新过程,但应该配置一个单独的基础结构来更新安全系统。 即使在极大型组织中,这种基础结构通常也可以通过专用的 WSUS 服务器和安全系统的 GPO 来实现。
阻止 Internet 访问
不应允许管理主机访问 Internet,也不应允许在其上浏览组织的 Intranet。 不应在管理主机上允许使用 Web 浏览器和类似应用程序。 可以通过外围防火墙设置、WFAS 配置和安全主机上的“黑洞”代理配置的组合来阻止安全主机进行 Internet 访问。 还可以使用应用程序允许列表来防止在管理主机上使用 Web 浏览器。
虚拟化
在可能的情况下,考虑将虚拟机实现为管理主机。 使用虚拟化可以创建集中存储和管理的每用户管理系统,并且可以在不使用时轻松将其关闭,确保凭据不会在管理系统上保持活动状态。 还可以要求在每次使用后将虚拟管理主机重置为初始快照,从而确保虚拟机保持原始状态。 下一部分提供了有关管理主机虚拟化选项的详细信息。
实现安全管理主机的示例方法
无论如何设计和部署管理主机基础结构,都应该记住本主题前面的“有关创建安全管理主机的原则”中提供的准则。 此处所述的每种方法都提供了有关如何将 IT 工作人员使用的“管理”和“生产力”系统隔离的一般信息。 生产力系统是 IT 管理员用来检查电子邮件、浏览 Internet 和使用一般生产力软件(例如 Microsoft Office)的计算机。 管理系统是经过强化并专用于 IT 环境日常管理的计算机。
实现安全管理主机的最简单方法是为 IT 工作人员提供安全的工作站,他们可以从中执行管理任务。 在仅限工作站的实现中,每个管理工作站用于启动管理工具和 RDP 连接,以管理服务器和其他基础结构。 仅限工作站的实现在小型组织中可能很有效,不过,较大、较复杂的基础结构可以受益于使用专用管理服务器和工作站的管理主机的分布式设计,如本主题后面的“实现安全管理工作站和跳转服务器”中所述。
实现独立的物理工作站
实现管理主机的一种方法是为每个 IT 用户分配两个工作站。 一个工作站与“普通”用户帐户一起使用,以执行检查电子邮件和使用生产力应用程序等活动;第二个工作站专用于管理功能。
对于生产力工作站,可为 IT 工作人员提供普通用户帐户,而无需使用特权帐户登录到不安全的计算机。 应该为管理工作站使用严格控制的配置,IT 工作人员应使用另一帐户登录到管理工作站。
如果实现了智能卡,则应将管理工作站配置为要求使用智能卡登录,并为 IT 工作人员提供单独的帐户用于管理目的,此外,应配置为要求使用智能卡进行交互式登录。 应该如前所述强化管理主机,并且只允许指定的 IT 用户在本地登录到管理工作站。
优点
通过实现独立的物理系统,可以确保根据每台计算机的角色对其进行相应的配置,并且 IT 用户不会无意中使管理系统面临风险。
缺点
实现独立的物理计算机会增加硬件成本。
使用用于管理远程系统的凭据登录到物理计算机会将凭据缓存在内存中。
如果不以安全方式保管管理工作站,攻击者可能会通过物理硬件击键记录器等机制或其他物理攻击方法入侵到其中。
使用虚拟化生产力工作站实现安全物理工作站
如果使用此方法,IT 用户将获得一个安全的管理工作站,他们可以在其职责范围内使用远程服务器管理工具 (RSAT) 或通过 RDP 连接到服务器,然后从这些工作站执行日常管理职能。 当 IT 用户需要执行生产力任务时,他们可以通过 RDP 连接到作为虚拟机运行的远程生产力工作站。 应该为每个工作站使用不同的凭据,并且应实现智能卡等控制措施。
优点
管理工作站和生产力工作站是隔离的。
使用安全工作站连接到生产力工作站的 IT 人员可以使用不同的凭据和智能卡,特权凭据不会存放在安全性较低的计算机上。
缺点
实现该解决方案需要在设计和实现上付出努力并使用可靠的虚拟化选项。
如果不以安全方式保管物理工作站,它们可能容易受到物理攻击,导致硬件或操作系统遭到入侵并使通信容易被拦截。
实现与独立“生产力”和“管理”虚拟机连接的单个安全工作站
如果使用此方法,可为 IT 用户分配单个物理工作站,该工作站如前所述被锁定,并且 IT 用户在其上没有访问特权。 可为托管在专用服务器上的虚拟机提供远程桌面服务连接,从而为 IT 工作人员提供一个虚拟机来运行电子邮件和其他生产力应用程序,并提供另一个配置的虚拟机作为用户的专用管理主机。
应该要求使用不同的帐户而不是用于登录到物理计算机的帐户,通过智能卡或其他多重身份验证方法登录到虚拟机。 IT 用户在登录到一台物理计算机后,他们可以使用生产力智能卡连接到远程生产力计算机,并使用一个不同的帐户和智能卡连接到远程管理计算机。
优点
IT 用户可以使用单个物理工作站。
如果要求为虚拟主机使用不同的帐户并使用远程桌面服务连接到虚拟机,IT 用户的凭据就不会缓存在本地计算机的内存中。
物理主机可以像管理主机一样受到保护,从而减少本地计算机遭到入侵的可能性。
如果 IT 用户的生产力虚拟机或其管理虚拟机遭到入侵,可以轻松将该虚拟机重置为“已知良好”状态。
如果物理计算机遭到入侵,将不会在内存中缓存任何特权凭据,并且使用智能卡可以防止击键记录器窃取凭据。
缺点
实现该解决方案需要在设计和实现上付出努力并使用可靠的虚拟化选项。
如果不以安全方式保管物理工作站,它们可能容易受到物理攻击,导致硬件或操作系统遭到入侵并使通信容易被拦截。
实现安全管理工作站和跳转服务器
如果你不想使用安全管理工作站或者不想与它们结合使用,可以实现安全跳转服务器,管理用户可以使用 RDP 和智能卡连接到跳转服务器以执行管理任务。
跳转服务器应配置为运行远程桌面网关角色,以便能够对跳转服务器和从中管理的目标服务器的连接实施限制。 如果可能,还应该安装 Hyper-V 角色并创建个人虚拟桌面或其他每用户虚拟机,供管理用户用于在跳转服务器上执行任务。
通过在跳转服务器上为管理用户提供每用户虚拟机,可为管理工作站提供物理安全性,并且管理用户可以在不使用虚拟机时将其重置或关闭。 如果你不想在同一台管理主机上安装 Hyper-V 角色和远程桌面网关角色,可将其安装在不同的计算机上。
应该尽可能地使用远程管理工具来管理服务器。 远程服务器管理工具 (RSAT) 功能应安装在用户的虚拟机上(如果未实现每用户虚拟机进行管理,则安装在跳转服务器上),管理人员应通过 RDP 连接到其虚拟机来执行管理任务。
如果管理用户必须通过 RDP 连接到目标服务器以直接管理该服务器,则应将 RD 网关配置为仅允许使用适当的用户和计算机来与目标服务器建立连接。 应禁止在非管理系统(例如通用工作站和非跳转服务器的成员服务器)上执行 RSAT(或类似)工具。
优点
创建跳转服务器可以将特定服务器映射到网络中的“区域”(具有相似配置、连接和安全要求的系统集合),并要求每个区域的管理由从安全管理主机连接到指定“区域”服务器的管理人员来实现。
通过将跳转服务器映射到区域,可以精细控制连接属性和配置要求,并可以轻松识别从未经授权系统尝试连接的情况。
通过在跳转服务器上实现每个管理员的虚拟机,可以在管理任务完成时强制关闭虚拟机并将其重置为已知干净状态。 通过在管理任务完成时强制关闭(或重启)虚拟机,虚拟机将无法成为攻击者的目标,凭据盗窃攻击也将不可行,因为内存中缓存的凭据在重启后不会保留。
缺点
无论跳转服务器是物理还是虚拟服务器,都需要为其指定专用服务器。
实现指定的跳转服务器和管理工作站需要经过认真的规划和配置,以映射到环境中配置的任何安全区域。