規劃危害因應措施

適用于: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

第一條定律:無人認為可能發生的任何錯誤,直到發生為止。 - -

許多組織中的嚴重損壞修復計畫,著重在從可能導致計算服務遺失的區域性災難或失敗中復原。 不過,在與遭入侵的客戶合作時,我們通常會發現嚴重損壞修復計畫中不存在從刻意入侵中復原的功能。 尤其是當洩漏造成智慧財產權遭竊,或利用邏輯界限 ((例如,所有 Active Directory 網域或所有) 伺服器的銷毀)(而非實體 (界限)(例如,資料中心) 的銷毀)時,這種情況特別成立。 雖然組織可能會定義事件回應計畫,以定義發現入侵時要採取的初始活動,但這些計畫通常會略過從影響整個運算基礎結構的危害中復原的步驟。

因為 Active Directory 為使用者、伺服器、工作站和應用程式提供豐富的身分識別和存取管理功能,所以攻擊者一定會將其設為目標。 如果攻擊者取得 Active Directory 網域或網域控制站的高度特殊存取權限,則可以利用該存取權來存取、控制或甚至終結整個 Active Directory 樹系。

本檔已討論過 Windows 的一些最常見攻擊,Active Directory 以及您可以執行以減少受攻擊面的因應措施,但在完全入侵 Active Directory 的情況下,唯一的修復方法是在發生問題之前,先準備好進行入侵。 這一節的重點不在於本檔先前章節的技術實行詳細資料,以及您可以用來建立全面、全方位的方法來保護及管理貴組織的重要商務和 IT 資產的高階建議。

無論您的基礎結構從未受到攻擊、resisted 嘗試的缺口,或 succumbed 到攻擊,並受到徹底入侵,您都應該規劃無法避免的情況,您會再次遭受攻擊。 您無法防止攻擊,但可能的確可以防止嚴重的缺口或大量入侵。 每個組織都應該仔細評估其現有的風險管理程式,並進行必要的調整,藉由在預防、偵測、內含專案和復原方面進行平衡的投資,來協助降低整體的弱點。

若要建立有效的防禦功能,同時仍將服務提供給相依于基礎結構和應用程式的使用者和業務,您可能需要考慮新穎方式來預防、偵測和包含環境中的危害,然後再從入侵中復原。 本檔中的方法和建議可能無法協助您修復遭盜用的 Active Directory 安裝,但可協助您保護下一部電腦的安全。

復原 Active Directory 樹系的建議會在 Windows Server 2012 中顯示:規劃 Active Directory 樹系復原。 您可以防止新的環境遭到完全入侵,但即使您無法這樣做,您也可以使用工具來復原和重新控制您的環境。

重新思考方法

定律數位八:保護網路的困難度與複雜度的比例。 - -

一般來說,如果攻擊者取得系統、系統管理員、根或對等電腦的存取權(不論作業系統為何),不論作業系統為何,都不會再被視為值得信任的電腦。 Active Directory 是不一樣的。 如果攻擊者已在 Active Directory 中取得網域控制站或高許可權帳戶的特殊許可權存取權,除非您有記錄攻擊者所進行的每項修改或已知的良好備份,否則您永遠不能將目錄還原到完全值得信任的狀態。

當成員伺服器或工作站遭到攻擊者入侵並改變時,電腦已不再值得信任,但鄰近的無損害伺服器和工作站仍可受到信任。 入侵一部電腦並不表示所有電腦都遭到入侵。

不過,在 Active Directory 網域中,所有網域控制站都會裝載相同 AD DS 資料庫的複本。 如果單一網域控制站遭到入侵,而攻擊者修改了 AD DS 資料庫,則這些修改會複寫到網域中的其他所有網域控制站,而且會根據進行修改的資料分割(樹系)。 即使您重新安裝樹系中的每個網域控制站,也只是重新安裝 AD DS 資料庫所在的主機。 Active Directory 的惡意修改將會輕易地複寫到全新安裝的網域控制站,因為它們會複寫到多年來執行的網域控制站。

在評估遭入侵的環境時,我們經常發現,在幾周、幾個月之後,在攻擊者一開始就會對環境發出入侵之後,第一次缺口「事件」是什麼。 攻擊者通常會在偵測到缺口之前取得高許可權帳戶的認證,並利用這些帳戶來危害目錄、網域控制站、成員伺服器、工作站,甚至是連線的非 Windows 系統。

這些發現會與 Verizon 的2012資料缺口調查報告中的數個結果一致,其中指出:

  • 詞幹分析自外部代理程式的98% 資料缺口

  • 85% 的資料缺口花了數周或更多時間來探索

  • 協力廠商發現92% 的事件,以及

  • 有97% 的缺口是透過簡單或中繼控制項來肇因。

稍早所述之程度的危害是有效的無法修復,而且如果 Active Directory 遭到盜用或損毀,則將每個遭入侵的系統「壓平合併和重建」的標準建議也是不可行或甚至可能的。 即使還原為已知的良好狀態,也不會消除允許環境在一開始就遭到入侵的瑕疵。

雖然您必須保護基礎結構的每個層面,但攻擊者只需要在您的防禦中找出足夠的瑕疵,就能達到所需的目標。 如果您的環境相當簡單、初始化,且在過去是妥善管理的,則執行本檔稍早提供的建議可能是直接的主張。

不過,我們發現環境中較舊、更大且更複雜的環境,這可能是因為這份檔中的建議不可行或甚至無法執行。 相較于開始新的,以及建立可抵抗攻擊和入侵的環境,保護基礎結構的工作更加困難。 但如先前所述,重建整個 Active Directory 樹系並不是那麼簡單。 基於這些理由,我們建議以更專注、更具針對性的方法來保護您 Active Directory 的樹系。

與其專注于和嘗試修正「已中斷」的所有專案,您可以考慮使用一種方法,根據您對企業和基礎結構中最重要的專案來排列優先順序。 請考慮建立新的小型安全環境,讓您安全地將最重要的使用者、系統和資訊提供給您的公司,而不是嘗試修復已過期、設定錯誤的系統和應用程式的環境。

在本節中,我們將說明一種方法,可讓您建立初始化 AD DS 樹系,以作為核心商務基礎結構的「生命船」或「安全儲存格」。 初始化樹系只是一種新安裝的 Active Directory 樹系,通常大小和範圍有限,而且是使用目前的作業系統、應用程式,以及 降低 Active Directory 攻擊面所述的原則所建立。

藉由在新建立的樹系中執行建議的設定,您可以建立一種以安全設定和實務從頭開始建立的 AD DS 安裝,也可以減少支援舊版系統和應用程式的挑戰。 雖然設計和實施初始化 AD DS 安裝的詳細指示不在本檔的討論範圍內,但您應該遵循一些一般準則和指導方針,來建立「安全單元」,讓您可以在其中存放最重要的資產。 這些指導方針如下所示:

  1. 識別用來隔離及保護重要資產的原則。

  2. 定義受限的風險型遷移計畫。

  3. 在必要時利用「nonmigratory」的遷移。

  4. 實行「創意損毀」。

  5. 隔離舊版系統和應用程式。

  6. 簡化終端使用者的安全性。

識別用於隔離和保護重要資產的原則

您建立用來存放重要資產的初始化環境特性,可能會有很大的差異。 例如,您可以選擇建立初始化樹系,只將 VIP 使用者和敏感資料移轉至只有這些使用者可以存取的資料。 您可以建立初始化樹系,而不只遷移 VIP 使用者,但您可以將它實作為系統管理樹系,來實行 減少 Active Directory 攻擊面 來建立安全的系統管理帳戶和主機,以用來從初始化樹系管理舊版樹系的原則。 您可以執行「專門建立」的樹系,其中裝載 VIP 帳戶、特殊許可權帳戶,以及需要額外安全性的系統(例如執行 Active Directory 憑證服務 (AD CS) 的伺服器,其唯一目標是將它們從較不安全的樹系中隔離。 最後,您可以實行初始化樹系,以成為所有新使用者、系統、應用程式和資料的實際位置,讓您最後可以透過流失解除委任舊版樹系。

無論您的初始化樹系是否包含幾個使用者和系統,或是構成更積極遷移的基礎,您都應該在規劃中遵循下列準則:

  1. 假設您的舊版樹系已遭盜用。

  2. 請勿將初始化環境設定為信任舊版樹系,雖然您可以設定舊版環境來信任初始化樹系。

  3. 如果帳戶的群組成員資格、SID 歷程記錄或其他屬性可能已遭到惡意修改,請勿將使用者帳戶或群組從舊版樹系遷移至初始化環境。 相反地,請使用 "nonmigratory" 方法來填入初始化樹系。 本節稍後會說明 (Nonmigratory 方法。 )

  4. 請勿將電腦從舊版樹系遷移至初始化樹系。 在初始化樹系中執行全新安裝的伺服器、在新安裝的伺服器上安裝應用程式,以及將應用程式資料移轉至新安裝的系統。 針對檔案伺服器,將資料複製到新安裝的伺服器,使用新樹系中的使用者和群組來設定 Acl,然後以類似的方式建立列印伺服器。

  5. 不允許在初始化樹系中安裝舊版作業系統或應用程式。 如果無法更新應用程式並安裝新的應用程式,請將它保留在舊版樹系中,並考慮使用創意的銷毀來取代應用程式的功能。

定義有限的 Risk-Based 遷移計畫

建立有限、以風險為基礎的遷移計畫,單純地表示在決定要遷移至初始化樹系的使用者、應用程式和資料時,您應該根據組織在其中一個使用者或系統遭到入侵時所公開的風險程度來識別遷移目標。 其帳戶最有可能成為攻擊者目標的 VIP 使用者,應該存放在初始化樹系中。 提供重要商務功能的應用程式應該安裝在初始化樹系中的全新組建伺服器上,而且必須將高度敏感的資料移至初始化樹系中的安全伺服器。

如果您還沒有清楚瞭解 Active Directory 環境中最重要的商務關鍵使用者、系統、應用程式和資料,請與業務單位一起進行識別。 應該識別企業營運所需的任何應用程式,就像執行重要應用程式或儲存重要資料的任何伺服器一樣。 藉由識別貴組織所需的使用者和資源以繼續運作,您可以建立自然優先的資產集合,以專注于工作。

利用「Nonmigratory」遷移

無論您是否知道您的環境已遭入侵、懷疑其已遭入侵,或只是想要將舊版的資料和物件從舊版 Active Directory 安裝遷移至新的,請考慮在技術上「遷移」物件的遷移方法。

使用者帳戶

在傳統 Active Directory 從一個樹系遷移到另一個樹系時,使用者物件上的 SIDHistory (SID 歷程記錄) 屬性會用來儲存使用者的 SID,以及使用者在舊版樹系中的成員之群組的 sid。 如果將使用者帳戶遷移至新的樹系,並存取舊版樹系中的資源,則 SID 歷程記錄中的 Sid 會用來建立存取權杖,讓使用者在遷移帳戶之前,存取他們具有存取權的資源。

不過,維護 SID 歷程記錄在某些環境中已證明有問題,因為使用目前和歷程記錄 Sid 來擴展使用者的存取權杖可能會導致權杖膨脹。 權杖膨脹的問題是,必須儲存在使用者存取權杖中的 Sid 數目會使用或超過權杖中的可用空間量。

雖然權杖大小可增加到有限的範圍,但權杖膨脹的終極解決方案是減少與使用者帳戶相關聯的 Sid 數目,不論是藉由合理化群組成員資格、消除 SID 歷程記錄,或兩者的組合。 如需權杖膨脹的詳細資訊,請參閱 MaxTokenSize 和 Kerberos 權杖膨脹

您可以使用 SID 歷程記錄,而不是從舊版環境遷移使用者 (特別是群組成員資格和 SID 歷程記錄可能遭到入侵) 使用 SID 歷程記錄,請考慮利用目錄應用程式來「遷移」使用者,而不需將 SID 歷程記錄放入新樹系中。 在新樹系中建立使用者帳戶時,您可以使用中繼目錄應用程式,將帳戶對應到舊版樹系中對應的帳戶。

若要讓新的使用者帳戶能夠存取舊版樹系中的資源,您可以使用元組工具來識別使用者的舊版帳戶被授與存取權的資源群組,然後將使用者的新帳戶新增至這些群組。 根據舊版樹系中的群群組原則,您可能需要建立用於資源存取權的網域本機群組,或將現有的群組轉換為網網域本機群組,以允許將新帳戶新增至資源群組。 藉由專注于最重要的應用程式和資料,並將它們遷移到新環境 (無論有沒有 SID 歷程記錄) ,您都可以限制在舊版環境中所需的工作量。

伺服器和工作站

相較于遷移使用者、群組和應用程式,從一個 Active Directory 樹系遷移到另一個樹系,遷移電腦通常相當簡單。 根據電腦角色,遷移至新樹系的方式可以像是退出舊網域並加入新的網域一樣簡單。 但是,將電腦帳戶原封不動地遷移至初始化樹系,將無法建立全新的環境。 與其將 (可能遭盜用、設定錯誤或過期的) 電腦帳戶遷移至新的樹系,您應該在新的環境中安裝伺服器和工作站。 您可以將來自舊版樹系中系統的資料移轉至初始化樹系中的系統,但不能將資料移轉到存放資料的系統。

應用程式

應用程式在從一個樹系遷移到另一個樹系時,可能會帶來最大的挑戰,但是在「nonmigratory」遷移的情況下,您應該套用的其中一個最基本原則是初始化樹系中的應用程式應該是最新、支援且最新的安裝。 可能的話,可以從舊樹系中的應用程式實例遷移資料。 在初始化樹系中無法「重新建立」應用程式的情況下,您應該考慮像下一節中所述的方法,像是創意的銷毀或隔離繼承應用程式。

實行創意損毀

創意的銷毀是一項經濟術語,描述由先前訂單的終結所建立的經濟開發。 在最近幾年,此詞彙已套用至資訊技術。 這通常是指舊的基礎結構被排除的機制,而不是透過升級,而是將它取代為全新的基礎結構。 針對 Cio 和資深 IT 主管所提供的 2011 Gartner SYMPOSIUM ITXPO ,將其視為可降低成本並提高效率的其中一個重要主題。 安全性的增強功能可做為流程的自然 outgrowth。

例如,組織可能由多個使用不同應用程式執行類似功能的業務單位所組成,且具有不同程度的現代化和廠商支援。 在過去,它可能會負責個別維護每個業務單位的應用程式,而合併工作則是由嘗試找出哪些應用程式提供最佳功能,然後再將資料移轉至其他應用程式。

在創意的終結中,您不需要維護過期或多餘的應用程式,而是執行全新的應用程式來取代舊的應用程式,將資料移轉到新的應用程式,並解除委任舊的應用程式及其執行的系統。 在某些情況下,您可以藉由在自己的基礎結構中部署新的應用程式,來實作為繼承應用程式的創意損毀,但盡可能考慮將應用程式移植到雲端式解決方案。

藉由部署以雲端為基礎的應用程式來取代舊版的內部應用程式,不僅能減少維護工作和成本,還可以消除舊版系統和應用程式,讓攻擊者得以利用,進而減少組織的攻擊面。 這種方法可提供更快速的方式,讓組織取得所需的功能,同時消除基礎結構中的舊版目標。 雖然創意損毀的原則並不適用于所有 IT 資產,但它提供了一個可讓您排除舊版系統和應用程式,同時又能同時部署穩固且安全的雲端式應用程式的選項。

隔離舊版系統和應用程式

將業務關鍵使用者和系統移轉至初始化安全環境的自然 outgrowth 是您的舊版樹系將包含較不寶貴的資訊和系統。 雖然舊版的系統和應用程式在較不安全的環境中可能會有更高的危害風險,但它們也代表降低了折衷的嚴重性。 藉由 rehoming 及現代化您的重要商務資產,您可以專注于部署有效的管理和監視,而不需要容納舊版的設定和通訊協定。

當您將重要資料重新隸屬至初始化樹系時,可以評估選項,進一步隔離「主要」 AD DS 樹系中的舊版系統和應用程式。 雖然您可以實行創意的終結來取代某個應用程式及其執行所在的伺服器,但在其他情況下,您可能會考慮額外隔離最不安全的系統和應用程式。 例如,少數使用者使用的應用程式,但需要舊版認證(例如 LAN Manager 雜湊)可以遷移至您所建立的小型網域,以支援您沒有取代選項的系統。

藉由將這些系統從強制執行舊版設定的網域中移除,您接著可以藉由將這些系統設定為僅支援目前的作業系統和應用程式,以提高網域的安全性。 不過,最好盡可能解除委任舊版系統和應用程式。 如果解除委任對您舊版擴展的一小部分是不可行的,則將它分割成不同的網域 (或樹系) 可讓您在其餘的舊版安裝中執行累加式的改進。

簡化終端使用者的安全性

在大部分的組織中,因為組織中角色的本質而存取最機密資訊的使用者,通常會有花費最少的時間來學習複雜的存取限制和控制項。 雖然您對於組織中的所有使用者都應該有全方位的安全性教育計畫,您也應該將焦點放在讓安全性變得更容易使用,方法是實行透明的控制項,並簡化使用者遵守的原則。

例如,您可以定義原則,讓主管和其他 Vip 必須使用安全工作站來存取敏感性資料和系統,讓他們能夠使用其他裝置來存取較不敏感的資料。 這是使用者要記住的簡單準則,但您可以執行一些後端控制項,以協助強制執行此方法。

您可以使用「 驗證機制保證 」來允許使用者只有在使用智慧卡登入安全的系統時才能存取機密資料,而且可以使用 IPsec 和使用者權限限制來控制可連接至機密資料存放庫的系統。 您可以執行 動態存取控制 ,根據存取嘗試的特性來限制資料的存取,並將商務規則翻譯成技術控制項。

從使用者的觀點來看,從安全系統存取機密資料「只是正常運作」,並嘗試從不安全的系統(不是如此)進行。不過,從監視和管理環境的觀點來看,您將有助於建立使用者存取敏感性資料和系統的可辨識模式,讓您更輕鬆地偵測異常的存取嘗試。

在使用者的時間抵抗的環境中,複雜密碼已產生密碼不足的密碼原則,特別是在 VIP 使用者的情況下,請考慮使用替代的方法來進行驗證,不論是透過智慧卡 (,這種方式有許多外型規格,還有其他功能可強化驗證) 、生物特徵辨識控制項(例如手指滑動讀取器),或甚至是由使用者電腦上的信賴平臺模組 (TPM) 晶片所 雖然多重要素驗證無法防止認證竊取攻擊,但是如果電腦已經遭入侵,藉由為您的使用者提供容易使用的驗證控制,您可以將更健全的密碼指派給使用者的帳戶,而這些帳戶的傳統使用者名稱和密碼控制措施不容易使用。