Active Directory 域服务的实用方法,第 7 部分:网络安全和 AD

 在本博客系列的前六部分中,我们为开始使用和管理 Active Directory (AD域) 奠定了基础。随着基础工作的完成,现在是探索网络安全与AD域之间关系的时候了。

让本系列更进一步,本博客概述了哪些设计注意事项对于保护您的AD域基础架构免受潜在安全漏洞的影响很重要。下面我们将探讨任何基于 AD域 的攻击的四个 W:根本原因分析的对象、内容、时间和地点。

如果您认识到监控 AD域 并确保其安全性的重要性,那么这就是您的博客。

有助于组织安全态势的 AD域设计元素和配置

AD域环境的每个方面都容易受到安全风险的影响。在以下三种情况下,暴露给攻击者的风险最大:

AD域环境配置错误时。

当组策略应用不正确时。

当 AD域 域连接的端点管理不善时。

通过关注上面突出显示的三个问题领域来加强您的AD域安全性。

在本系列博客的前六部分中,我们从理论的角度研究了AD域 的各个方面。但是,现在我们可以查看相同的主题列表并从安全角度进一步讨论它们。与上述三种情况相关的风险将在我们下面的讨论中发挥作用:

AD域与域名系统 (DNS) 的集成

AD域中的用户和计算机

AD域组和OU

AD域复制

AD域 中的 FSMO 角色

AD域 与域名系统 (DNS) 的集成

AD域服务对DNS的依赖是不可避免的。虽然 DNS 对于任何互连网络都至关重要,但如果与 DNS 的集成错误,您的 AD域 设置将停止运行。

您将需要考虑以下方面来确保 AD域 攻击面的安全强化:

监控 DNS 基础设施和 DNS 协议,通过 DNS 安全扩展 (DNSSEC)、DNS 加密和 DNS 防火墙等措施确保内置安全性。

定期审核 AD域-DNS 区域文件及其关联的资源记录。

仔细配置区域传输请求。确保密切监视并定期审核区域传输访问控制列表 (ACL)。

实施安全的 LDAP。这将保证在用户或客户端与目录服务通信时,在 LDAP 身份验证绑定过程中对 LDAP 数据进行加密。

AD域用户和计算机

如果您还没有这样做,请开始使用AD域监控系统来帮助您及时了解生态系统中的所有 AD域活动。通过精心设计的日志监控系统进行自动跟踪和监控至关重要。

虽然了解 AD域 用户和计算机的管理很重要,但您必须应用这些知识来保护 AD域 基础架构。

Microsoft 建议将强大的审核策略作为AD域管理的一个组成部分,其中包括AD域活动的审核、警报和报告。

您将需要为登录事件安排警报和自定义报告,包括在任何 AD域 域上经过身份验证的用户帐户和计算机帐户。

安排和执行用户帐户管理审计以监控用户创建和用户修改事件,例如重命名、密码更新或更改帐户状态(例如启用或禁用,或帐户是否被锁定)以及用户删除。

内置和自定义特权用户帐户如果遭到破坏,则会受到 AD域攻击的最不利影响。因此,您必须监视特权帐户以查找与帐户锁定、登录失败或异常登录和注销有关的事件。

您还需要进行计算机帐户管理审计,以监控计算机帐户的创建、修改和删除事件。

AD域组和 OU

与用户和计算机一样,您必须管理和审核有关组和 OU 的报告,以确保纠正任何错误配置并立即解决来自这些 AD域 对象的任何异常事件日志。

考虑以下几点:

应设置和监视AD域组管理报告以创建、修改和删除安全组和通讯组。

与内置和自定义特权用户类似,监控特权和敏感 AD域 组中的用户活动。

您需要仔细研究 AD域架构模型的物理层和逻辑层。检查AD域组设计以了解嵌套的实现情况,并针对 GPO 和组成员身份的更改设置警报。任何偏离标准的活动都应该提醒您。

安全 ACL 提供内置于 AD域 组设计以及组策略设置如何应用于 AD域 对象的安全性。您应该监控这些 ACL,作为保护 AD域 的强制性过程。

监控对组策略、用户权限、访问权限和用户权限的任何更改,尤其是在具有高权限访问的用户组的情况下。继续努力建立最低特权的环境。

确保并审核基于角色的委派,以保持对授予敏感组用户(例如域管理员)的权限和特权的精细控制。

AD域复制

AD域 复制模型的设计充分考虑了三个核心组件。第一个是源域控制器 (DC),它授权 AD域 站点上的任何更改请求。第二个是所有其他复制伙伴,第三个是每个站点内的指定桥头服务器。这三个组件被认为对于设计您的 AD域 设置至关重要,并被置于最重要的位置以使复制无错误。

AD域 环境的复制拓扑的配置和设计在确保弹性 AD域 基础架构中的 AD域 安全方面发挥着重要作用。为确保这一点,您必须研究以下领域:

隔离和保护您的 DC,包括物理服务器和虚拟服务器。

确保您的 DC 在最新的操作系统版本上运行,以获得最新的功能和安全补丁。

限制 DC 上的 Internet 访问和 Web 浏览功能的可用性,以提供另一层隐式和内置的安全性来抵御外部攻击向量。

仔细审核和监控 DC 组成员,特别是监控域管理员,以及对具有升级权限的帐户的任何异常成员修改。

考虑域连接网络资源的端点管理在保护 AD域 复制方面所起的重要作用。您的职责是维护一份安全和合规清单,该清单专注于实时风险评估并考虑到整个 AD域 日志。

AD域 中的 FSMO 角色

建立 AD域 环境中所有活动的基线可以帮助您检测任何偏差或异常行为。由于 FSMO 角色具有特权访问权限,因此这尤其必要。

在这方面,您应该监控任何无根据的 FSMO 角色转移、对 AD域 方案的意外更改、帐户锁定实例、超活跃帐户、高百分比的登录失败以及其他异常活动。

请注意以下有关 FSMO 角色的设计注意事项:

密切监视并持续审核与任何 AD域 域中的 DC 之间的 FSMO 角色转移有关的任何事件。

记录由于 DC 不工作或死亡而导致 FSMO 角色何时被占用的日志。

为 DC 降级或 DC 遇到故障或关闭时设置警报。

研究对 AD域 架构所做的任何更改。

在实时 AD域 监控和审计控制台上建立规则和策略警报,以跟踪和分析您的整体 AD域 安全状况。

考虑将您的 AD域 日志收集与 SIEM 解决方案集成以转发 AD域 日志,从而使您的监控更加全面。

现在,您知道在开始监控 AD域 服务时应该注意什么,以确保设计的最大安全性。

考虑到这些概念,在本博客系列的下一部分中,我们将着眼于通过用例和一些常见的 AD域 攻击暴露一些 AD域 最关键的安全漏洞。

所有 AD域 管理员的最终目标应该是实现网络弹性和无懈可击的活动目录环境。真正的挑战是要实现这一点,尽管 AD域 具有动态性,而且我们不要忘记当今网络犯罪分子的复杂攻击者思维方式。

评论

发表评论

此博客中的热门博文

通过多因素认证(MFA)确保您的线下远程办公团队的安全性

图片
  根据 Malwarebytes Labs 的一份报告,百分之二十的IT企业在疫情期间因远程工作人员的疏漏而遭受重要 数据泄露事件 。选择允许员工远程办公有其利弊,其中主要的弊端是未预期的安全漏洞。这些漏洞更有可能是由于员工的无知引起的,而不是网络或系统故障。 Malwarebytes Labs “在疯狂作死和安全之间选择,用户每次都会选择疯狂作死。” ——Edward Felten,普林斯顿大学信息技术政策中心主任 作为管理员,您如何确保公司网络安全?您可能会说:“我们已经通过 MFA 为所有用户身份进行了安全验证。我们的员工必须在访问工作设备之前使用多个验证器进行 身份验证 。” 这是一个明智的决策。与许多公司一样,您已经走出了额外的一步,以解决和消除身份盗用的可能性。但是,如果涉及到线下用户,那么可能存在您没有考虑到的漏洞。 网络安全 您的安全措施是否考虑到线下远程员工? 与在办公室工作的员工相比,远程员工更频繁地离线。也就是说,由于连接问题,他们可能与MFA服务器或企业网络断开连接。那么,当远程用户处于脱机状态时,MFA会发生什么情况?绕过MFA或封锁机器访问对他们来说是不可想象的,同时仍然要保证安全性和生产力。幸运的是,有一种方法可以在您的远程工作者脱机时执行MFA。 MFA 确保您的线下远程办公团队的安全 ManageEngine  ADSelfService Plus  提供线下MFA,允许用户在未连接到MFA服务器或企业网络时执行机器登录的MFA。管理员可以为用户配置一个或多个MFA验证器,以便用户在线时可以预先注册这些验证器,以便能够执行线下MFA。 身份验证 最后,要强调在当前远程工作环境下,保护公司的网络安全至关重要。根据 Malwarebytes Labs 的最新报告,远程工作带来的风险不容忽视,但通过采用适当的安全措施,我们可以在确保员工的便利性的同时,有效地应对潜在的威胁。 管理团队需要不断审视并更新安全策略,以确保包括线下远程员工在内的所有员工都受到充分的保护。这需要综合使用各种工具和技术,包括多因素认证(MFA),以确保数据和系统的安全性。 在当前的数字时代,安全性不仅仅是一个选项,而是一项必需。通过投资于适当的安全解决方案,我们可以保护企业免受潜在的风险和威胁。ManageEngine ADSelfSe...
阅读全文

顶级建议:开发者和ChatGPT如何成为最好的朋友

图片
  在过去几个月里,人们因各种原因一直在使用 ChatGPT 。虽然结果并不完美,但无疑令人印象深刻。它在重复和耗时任务上的实用性尤为明显。然而,人们对自己的工作安全感到担忧,这妨碍了他们充分利用ChatGPT的能力。 ChatGPT 如果你是一名开发者,很可能会遇到类似这样的博客文章,提出诸如“开发者将失去工作吗?”、“ChatGPT会取代软件开发工作吗?”、“ChatGPT即将接管低代码行业吗?”的问题。与其争论谁做得更好——ChatGPT还是开发者——本文将提出方法,让你探索将两者最好的特点结合在一起的潜在优势。 (1) 代码生成 凭借其自然语言处理能力,ChatGPT对开发者非常有帮助,因为它能理解并解释他们的请求,并提供相关的代码片段。这个功能对于那些可以节省大量时间的重复任务和样板代码非常有利。此外,它有助于生成复杂的代码以构建完整的模块,而不仅仅是基本函数。这使得编程语言或框架的新手能够快速学习,而无需投入大量时间理解基础知识,对初学者编程者而言是有价值的辅助工具。 代码生成 (2)  测试自动化 ChatGPT理解标准、提示中要求的输出,并将它们转化为具有预期结果的不同输入序列。因此,它有助于自动化编写测试用例的整个过程,减少了人为错误,并节省了时间。它可以迅速生成用于验证符合要求的测试用例,例如要求8位字符密码。 它还有能力分析要求并将其转化为执行的确切步骤,从而有效生成测试场景,提高了准确性。测试人员可以指定需要使用电子邮件或用户名的用户友好登录。 测试自动化 此外,聊天机器人可以利用ChatGPT构建准确的测试场景和用例。将聊天机器人与ChatGPT集成可以增强对话流程,对于非技术用户以交互和提供输入方式参与测试过程非常有帮助。 (3) 文件生成 ChatGPT生成文档的能力有助于开发者节省大量时间,用于准备其代码的详尽文档。开发者可以向ChatGPT提供代码片段,并指示它生成概述功能、输入、输出和其他相关细节的文档。此外,ChatGPT可以为整个模块生成文档,提供了对代码的全面了解。 文件生成 (4) 缺陷跟踪 ChatGPT简化了调试的过程。ChatGPT不同于传统的复杂且需要编程语言专业知识的调试工具,因为它适用于各个级别的开发者。开发者只需输入有关错误或异常的精确提示,ChatGPT将提供建议和潜在解决方案。因此,调试...
阅读全文

Active Directory组成员身份报表

图片
  详细的小组成员报表 嵌套报表 用户不在组中 没有成员的群组 组类型和范围报表 ADManager Plus是基于Web的Active Directory(AD)管理和报表解决方案,也可以用作有效的AD组报表工具。ADManager Plus提供了预打包的报表,这些报表可以帮助您列出Active Directory组,获取详细的组成员资格信息以及仅需单击几下即可获得的更多信息。此外,您可以从这些报表中执行管理操作。 ADManager Plus 详细的小组成员报表 查看属于特定组的所有对象的完整列表,并使用过滤器来缩小希望包含在此报表中的对象的类型。使用ADManager Plus,您还可以查看动态组的详细组成员。使用“ 添加或删除列”按钮来自定义报表,以包含要查看的属性值。 如何在ADManager Plus中生成详细的组成员报表: 1. 登录到ADManager Plus,然后单击“ AD报表”选项卡。 2. 转到左侧导航窗格中的“ 组报表”部分。 3. 单击“ 详细组成员”报表。 4. 选择要查看其成员的组,然后指定所需的对象类型。例如,如果您希望查看属于特定组的禁用用户,请展开“详细成员报表”的“ 要获取的对象”字段下的“ 用户”选项。选择“ 禁用的用户”。 5. 点击生成。 小组成员报表 嵌套报表 一、用户组报表 列出特定用户的所有组以及该用户组所属的所有组。生成报表后,修改报表的结果以查看用户的普通组。 二、群组中的用户报表 查看和分析属于特定组的所有用户。 三、如何使用ADManager Plus生成嵌套报表: 登录到ADManager Plus,然后单击“ AD报表”选项卡。 在“ 用户报表”部分下找到“ 嵌套报表”类别。 点击所需的嵌套报表,提供所需的输入(例如组名或用户名),然后点击生成。 用户不在组中 列出不是特定组成员的所有用户。使用“ 添加或删除列”选项来选择希望在报表中看到的属性。 用户不在组中 没有成员的群组 确定您域中的所有空组,然后从报表中对其进行进一步的处理。 一、如何使用ADManager Plus删除所有空的AD组: 登录到ADManager Plus,然后单击“ AD报表”选项卡。 导航到左窗格中的“ 组报表”部分。 单击“ 无成员组”报表。 选择您选择的域。 点击生成。 选择您要删除的组。 单击删除图标,然后单击...
阅读全文