保護 Active Directory 的最佳做法
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
過去十年來,全球各地對運算基礎結構的攻擊有增無減。 我們正活在網路戰爭、網路犯罪和駭客主義的時代。 因此,世界各地的組織必須處理資訊洩漏、智慧財產權竊取、阻斷服務 (DDoS) 攻擊,甚至摧毀基礎結構。
然而,隨著威脅情勢多年來的變化,安全情勢也已適應來因應這些威脅。 雖然至今還沒有任何擁有資訊技術 (IT) 基礎結構的組織能完全不受攻擊的影響,但安全性的最終目標並不是完全防禦攻擊,而是保護 IT 基礎結構免受攻擊。 若使用正確的原則、流程和控制項,您可以保護到 IT 基礎結構的主要部分以免受侵害。
在本文中,我們會說明我們在 Active Directory (AD) 部署中觀察到的最常見弱點類型。 接下來,我們會為您提供如何保護這些弱點,使其免受侵害的建議。 我們根據 Microsoft IT (MSIT) 和 Microsoft 資訊安全性與風險管理 (ISRM) 組織的專業知識來設計這些建議。 我們也會說明您可以採取的步驟,以減少 AD 上易受攻擊的基礎設施或攻擊面向外界暴露的程度。 我們也包含有關如何在發生安全危害時,復原重要資料和基礎結構功能的建議。
常見安全性弱點
若要了解如何以最好方式保護您的基礎結構,您必須先了解最有可能遭到攻擊的位置,以及攻擊的執行方式。 本文只涵蓋一般建議,但如果您想要更深入了解,我們已包含更詳盡文章連結。
現在,我們來看看最常見的安全性弱點。
常見的進入點
初始入侵目標或進入點,是攻擊者最容易進入 IT 基礎結構的區域。 進入點通常是安全性或更新的漏洞,攻擊者可以利用這些漏洞來存取您的基礎設施內的系統。 攻擊者通常一次從一兩個系統開始,然後在不被發現的情況下將影響力傳播到更多系統時升級攻擊。
最常見的弱點包括:
防毒和反惡意程式碼部署的缺口
修補不完整
過時的應用程式和作業系統
配置錯誤
缺乏安全的應用程式開發做法
認證竊取
認證竊取攻擊是攻擊者使用工具從目前登入的帳戶工作階段擷取認證,以取得網路上電腦的特殊存取權時。 攻擊者通常會前往已提升權限的特定帳戶。 攻擊者竊取此帳戶的認證,以模擬其身分識別來取得系統的存取權。
認證竊賊通常會以這類帳戶為目標:
永久特許權帳戶
VIP 帳戶
附加特權的 Active Directory 帳戶
網域控制站
其他影響身分識別、存取和組態管理的基礎結構服務,例如公鑰基礎結構 (PKI) 伺服器或系統管理伺服器
具有極高特權的帳戶的使用者,會因參與下列行為而使其認證遭竊的風險變高:
在不安全的電腦上登入其特權帳戶
登入特權帳戶時瀏覽網際網路
您也應該避免不良且具風險的組態,以保護系統的認證安全性,例如:
跨所有系統使用相同的認證資料設定本機特權帳戶。
將太多使用者指派給特權網域群組,鼓勵過度使用。
管理網域控制器安全性不足。
如需易受攻擊帳戶的詳細資訊,請參閱常成為認證竊取目標的帳戶。
減少 Active Directory 攻擊面
您可以藉由減少 Active Directory 部署上的攻擊面以防止攻擊。 換句話說,您可以藉由縮小前一節所述的安全差距,讓您的部署更安全。
避免授與過多的權限
認證竊取攻擊取決於管理員授與特定帳戶過多的權限。 您可以預防這些攻擊執行下列動作:
請記住,預設情況下,有三個內建群組在 Active Directory 中具有最高權限:Enterprise Admins、Domain Admins 和 Administrator。 請確定您採取步驟來保護這三個群組,以及貴組織授與更高權限的其他任何群組。
正在執行最低權限管理模型 如果可以避免,請勿針對日常系統管理工作使用高特權帳戶。 此外,請確定您的系統管理員帳戶只有執行其工作所需的基準權限,沒有他們不需的額外權限。 避免對不需要權限的使用者帳戶授與過多權限。 除非您絕對需要帳戶,否則請小心不要為帳戶提供跨系統相同的權限。
請檢查下列基礎結構區域,以確定您不會將過多的權限授與使用者帳戶:
Active Directory
成員伺服器
工作站
應用程式
資料存放庫
如需詳細資訊,請參閱實作最低權限系統管理模型。
使用安全的管理主機
安全系統管理主機是設定為支援 Active Directory 和其他已連線系統管理工作的電腦。 這些主機不執行非管理軟體,例如電子郵件應用程式、網頁瀏覽器或 Microsoft Office 等生產力軟體。
設定安全的系統管理主機時,您必須遵循下列一般原則:
絕不從較不受信任的主機管理受信任的系統。
使用特權帳戶或執行系統管理工作時,需要多重要素驗證。
系統管理主機的實體安全性和系統與網路安全性一樣重要。
如需詳細資訊,請參閱實作安全的管理主機。
使您的網域控制器保持安全
如果攻擊者取得網域控制器的特權存取權,他們可以修改、損毀及破壞 AD 資料庫。 對網域控制器的攻擊可能會威脅組織內所有 AD 管理的系統和帳戶。 因此,請務必採取下列措施來保持網域控制器的安全:
確保網域控制器在其資料中心、子公司和遠端位置內的實體安全。
熟悉您的網域控制器作業系統。
使用內建和可用組態工具來設定網域控制器,讓您可以使用群組原則物件 (GPO) 強制執行的安全組態基準。
如需詳細資訊,請參閱保護網域控制站不受攻擊。
監視 Active Directory 遭到攻擊或危害的徵兆
另一個可以保護 AD 部署安全的方式是,監視 AD 部署是否有惡意攻擊或安全隱患的跡象。 您可以使用舊版稽核類別和稽核原則子類別,或使用進階稽核原則。 如需詳細資訊,請參閱稽核原則建議。
為防範安全隱患做好規畫
雖然您可以保護 AD 免受外部攻擊,但沒有任何防禦是完美的。 重要的是,除了採取預防措施外,您還要為最壞的情況做好計劃。 為針對安全漏洞做好規劃,您應該遵循規劃危害因應措施中的指導方針,特別是重新思考方法一節,您也應該閱讀維護更安全的環境。
以下是為安全隱患做好規劃時應執行的簡短摘要,如維護更安全的環境中所述:
維護更安全的環境
建立以業務為核心的 AD 安全性做法
將商務擁有權指派給 AD 資料
實施商務導向生命週期管理
將所有 AD 資料分類為系統、應用程式或使用者
若要繼續閱讀這些做法的詳細資訊,請參閱維護更安全的環境。
安全性措施摘要資料表
下表摘要說明本文所列的建議,並依照優先順序列出。 靠近資料表底部的內容,是您和您的組織在設定 Active Directory 時應優先考慮的內容。 不過,您也可以自由調整優先順序,以及如何根據組織的獨特需求實施每一項措施。
每項措施也根據其是戰略性、策略性、預防性或偵探性進行分類。 戰略性措施著重於 AD 的特定元件和任何相關基礎結構。 策略性措施更加全面,因此需要實作更多的規劃。 預防性措施可防止惡意執行者的攻擊。 偵探性措施可協助您偵測安全性漏洞,然後才能分散到其他系統。
| 安全性措施 | 戰術性或策略性 | 預防性或探測性 |
|---|---|---|
| 修補應用程式。 | 戰術 | 預防性 |
| 修補作業系統。 | 戰術 | 預防性 |
| 在所有系統上部署並及時更新防毒和反惡意程式碼的軟體,並監視要移除或停用它的嘗試動作。 | 戰術 | 兩者 |
| 監視敏感性的 Active Directory 物件是否有修改的嘗試動作,並監視 Windows 是否有可能指出嘗試危害的事件。 | 戰術 | 偵測性 |
| 保護及監視可存取敏感性資料的使用者帳戶 | 戰術 | 兩者 |
| 防止在未經授權的系統上使用強大的帳戶。 | 戰術 | 預防性 |
| 消除高特許權群組中的永久成員資格。 | 戰術 | 預防性 |
| 實施控制措施,以便在需要時授與特許權群組中的暫時成員資格。 | 戰術 | 預防性 |
| 實作安全的系統管理主機。 | 戰術 | 預防性 |
| 在網域控制站、系統管理主機和其他敏感性系統使用應用程式允許清單。 | 戰術 | 預防性 |
| 識別關鍵資產,並確定其安全性和監視的優先順序。 | 戰術 | 兩者 |
| 實作最低特許權、角色型存取控制來管理目錄、其支援的基礎結構,以及加入網域的系統。 | 策略 | 預防性 |
| 隔離舊版系統和應用程式。 | 戰術 | 預防性 |
| 停用舊版系統和應用程式。 | 策略 | 預防性 |
| 為自訂應用程式實施安全開發生命週期計劃。 | 策略 | 預防性 |
| 實作組態管理、定期檢閱合規性,並評估每個新硬體或軟體版本的設定。 | 策略 | 預防性 |
| 將重要資產移轉到具有嚴格安全性和監視要求的原始樹系中。 | 策略 | 兩者 |
| 簡化一般使用者的安全性。 | 策略 | 預防性 |
| 使用主機型防火牆來控制及保護通訊。 | 戰術 | 預防性 |
| 修補裝置。 | 戰術 | 預防性 |
| 實作以業務為中心的 IT 資產生命週期管理。 | 策略 | N/A |
| 建立或更新事件復原方案。 | 策略 | N/A |