微软 AD 介绍 | 安全建议 | 防护


介绍:

image.png

  1. 什么是Active Directory(AD)?

    • Active Directory 是由 微软开发的目录服务,用于存储和管理网络中的资源,如计算机、用户、组和其他网络对象。
    • 允许组织管理员轻松地管理和验证网络中的用户和计算机。
  2. Active Directory的角色:

    • 身份验证和授权: 管理用户的身份验证和授权,确保只有授权用户可以访问资源。
    • 资源管理: 管理和维护网络资源,如打印机、文件和其他服务。
    • 目录服务: 存储和组织网络上的所有对象,并提供对这些对象的搜索和访问。

重要性

image.png

  1. 安全性是关键:

    • AD存储着身份验证和授权信息,因此安全性至关重要。未经授权的访问会导致敏感数据泄漏和系统破坏。
  2. 凭据保护:

    • 保护管理员和用户凭据的安全性,防止凭据泄露和滥用。
  3. 权限控制:

    • 只有授权的用户可以执行特定的操作,防止横向和纵向的滥用。
  4. 防范攻击:

    • AD是攻击者经常瞄准的目标之一。采取措施以防范攻击,如拒绝服务(DoS)和恶意软件。
  5. 网络:

    • 保持网络的连通性和正常运作。
  6. 合规:

    • 许多行业和法规要求确保IT基础设施的安全性。AD安全是实现合规性的重要组成部分。
  7. 数据保护:

    • AD中存储了大量的用户和数据。保护AD及其存储数据不受未经授权的访问和篡改。
  8. 业务连续性:

    • AD的可用性直接影响到业务连续性。
  9. 监控和审计:

    • 实施监控和审计措施,及时检测和响应潜在的安全威胁。

AD安全是IT基础设施安全性的基石,对于维护业务运行和防范潜在威胁至关重要。采取综合的安全措施是确保AD在网络生态系统中发挥其作用的关键。
image.png

安全建议

配置安全
  1. 管理本地管理员密码(LAPS)。
  2. RDP 受限管理员模式。
  3. 移除不受支持的操作系统。
  4. 监控敏感系统(如 DC 等)上的定时任务。
  5. 确保 Out-of-Band(OOB)管理密码(DSRM)定期更改并安全存储。
  6. 使用 SMB v2/v3+。
  7. 默认域管理员和 KRBTGT 密码应每年更改一次。
  8. 移除不必要的信任,并根据需要启用 SID 过滤。
  9. 所有域身份验证应尽量设置为:“仅 NTLMv2 响应,拒绝 LM 和 NTLM。”
  10. 阻止域控制器、服务器和所有管理系统的互联网访问。
管理员凭据
  1. 不要将“用户”或计算机帐户添加到管理员组中。
  2. 确保所有管理员帐户都是“敏感的,不可委派的”。
  3. 将管理员帐户添加到“受保护的用户”组(需要 Windows Server 2012 R2 域控制器,2012R2 DFL 用于域保护)。
  4. 禁用所有不活动的管理员帐户并从特权组中删除。
AD 管理凭据
  1. 限制 AD 管理成员资格(DA、EA、架构管理员等),只使用自定义委派组。
  2. 采用“分层”管理,减轻凭据窃取的影响。
  3. 确保管理员只登录到经批准的管理员工作站和服务器。
  4. 为所有管理员帐户使用基于时间的临时组成员资格。
服务帐户凭据
  1. 限制到相同安全级别的系统。
  2. 利用“(群组) 管理服务帐户”(或密码 >20 个字符)以减轻凭据窃取(kerberoast)。
  3. 实施 FGPP(DFL =>2008)以增加服务帐户和管理员的密码要求。
  4. 登录限制 – 防止交互式登录,并将登录能力限制为特定计算机。
  5. 禁用不活动的服务帐户并从特权组中删除。
资源防护
  1. 划分网络保护管理员和关键系统。
  2. 部署 IDS 监控内部公司网络。
  3. 将网络设备和 Out-of-Band(OOB)管理放在单独的网络上。
域控制器防护
  1. 仅运行支持 AD 的软件和服务。
  2. 具有 DC 管理/登录权限的最小组(和用户)。
  3. 在运行 DCPromo 之前确保应用补丁(特别是 MS14-068 和其他关键补丁)。
  4. 验证定时任务和脚本。
工作站(和服务器)防护
  1. 快速补丁迭代,特别是特权升级漏洞。
  2. 部署安全后移植补丁(KB2871997)。
  3. 将 Wdigest 注册键设置为 0(KB2871997/Windows 8.1/2012R2+):HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Wdigest。
  4. 部署工作站白名单(Microsoft AppLocker)以阻止用户文件夹中的代码执行 – 主目录和配置文件路径。
  5. 部署工作站应用程序沙箱技术(EMET)以减轻应用程序内存利用漏洞(0天)。
日志记录
  1. 启用增强型审核。
  2. “审核:强制审核策略子类设置(Windows Vista 或更高版本)覆盖审核策略类别设置”。
  3. 启用 PowerShell 模块日志记录(“*”),并将日志转发到中央日志服务器(WEF 或其他方法)。
  4. 启用 CMD 进程日志记录和增强(KB3004375),并将日志转发到中央日志服务器。
  5. 使用 SIEM 或等效工具集中尽可能多的日志数据。
  6. 为增强对用户活动的了解使用用户行为分析系统(如 Microsoft ATA)。
安全检查
  1. 确定谁拥有 AD 管理权限(域/森林)?
  2. 确定谁可以登录到域控制器(和对托管虚拟 DC 虚拟环境的管理权限)?
  3. 扫描 Active Directory 域、OU、AdminSDHolder 和 GPO,查找不合适的自定义权限?
  4. 确保 AD 管理员(也称为域管理员)通过不登录到不受信任的系统来保护他们的凭据?
  5. 限制当前具有 DA(或等效)的服务帐户权限?

~喜欢的话,请收藏 | 关注(✪ω✪)~
~万一有趣的事还在后头呢,Fight!!(o^-^)~''☆ミ☆ミ~……

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/645752.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【C++】stack、queue的使用及模拟实现

目录 一、stack1.1 stack的使用1.2 stack的模拟实现 二、queue2.1 queue的使用2.2 queue的模拟实现 一、stack 1.1 stack的使用 stack是一种容器适配器,它的特点是后进先出,只能在容器的一端进行插入和删除操作。 stack的使用很简单,主要有…

openssl3.2/test/certs - 040 - EC cert with named curve signed by named curve ca

文章目录 openssl3.2/test/certs - 040 - EC cert with named curve signed by named curve ca概述笔记END openssl3.2/test/certs - 040 - EC cert with named curve signed by named curve ca 概述 openssl3.2 - 官方demo学习 - test - certs 笔记 /*! * \file D:\my_dev…

数列分段 Section II

题目描述 给定一个长度为N的正整数数列 A 1 ∼ N A_{1\sim N} A1∼N​,现要将其分成M( M ≤ N M\leq N M≤N)段,并要求每段连续,且每段和的最大值最小。最大值最小的定义如下:例如一个数列 4 2 4 5 1 4\…

【知识---GitHub不允许上传大于100M文件该如何解决】

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言步骤 1: 安装 Git LFS步骤 2: 在 Git 项目中启用 LFS步骤 3: 创建并编辑 .gitattributes 文件步骤 4: 提交并推送到远程仓库步骤 5: 将大文件添加到仓库步骤 6:…

卫星影像离线瓦片如何调用?

我们曾为你分享了按区县购买卫星影像并在线调用的方法。 于是就有朋友问,卫星影像瓦片可以离线调用吗? 当然可以,这里就来分享一下卫星影像瓦片离线调用的方法。 卫星影像离线瓦片如何调用? 这里以OpenLayers、Mapbox和Cesiu…

java实现ftp协议远程网络下载文件

引言 在开发过程中&#xff0c;偶尔会遇到网络文件在FTP服务上存储着&#xff0c;对于这种情况想要下载到本地还有些麻烦&#xff0c;我们直接上世界上最简单的代码。 How to do 1.提前引入包 <!--hutool万能工具包--><dependency><groupId>cn.hutool<…

安卓移动设备使用DS file文件管理工具远程访问本地群晖NAS文件

文章目录 1. 群晖安装Cpolar2. 创建TCP公网地址3. 远程访问群晖文件4. 固定TCP公网地址5. 固定TCP地址连接6. 结语 DS file 是一个由群晖公司开发的文件管理应用程序&#xff0c;主要用于浏览、访问和管理存储在群晖NAS&#xff08;网络附加存储&#xff09;中的文件。这个应用…

搭建nodejs服务器

简单搭建nodejs服务器&#xff0c;用于爬虫js逆向. 1、安装镜像源 下载nrm npm install -g nrm 设置下载源&#xff1a;&#xff08;最好使用npm源或者淘宝源&#xff09; 例子&#xff1a;npm config set registry http://registry.npmjs.org 查看是否设置成功&#xff1a…

JVM内存模型解析

JVM内存模型解析 1. 引言 1.1 背景介绍 Java Virtual Machine&#xff08;JVM&#xff09;作为Java程序的运行环境&#xff0c;扮演着关键的角色。它不仅负责解释和执行Java字节码&#xff0c;还通过其独特的内存模型管理着程序运行过程中所需的各种资源。理解JVM内存模型是…

Mac 也能玩文明6!下载安装详细教程

最近朋友给我分享了一个 Mac 玩文明6的方法&#xff0c;丝毫不卡顿&#xff0c;非常流畅&#xff0c;分享给大家 文明6是最新的文明系列游戏&#xff0c;和以往的文明游戏一样&#xff0c;玩家将从石器时代创建文明&#xff0c;然后迈向信息时代&#xff0c;最终通过军事、经济…

openssl3.2/test/certs - 041 - 1024-bit leaf key

文章目录 openssl3.2/test/certs - 041 - 1024-bit leaf key概述笔记END openssl3.2/test/certs - 041 - 1024-bit leaf key 概述 openssl3.2 - 官方demo学习 - test - certs 笔记 /*! * \file D:\my_dev\my_local_git_prj\study\openSSL\test_certs\041\my_openssl_linux_…

netty的常用类以及执行流程

总体概述 类关系 给ServerBootstrap配置两个EventLoopGroup&#xff0c;一个建立连接&#xff0c;一个处理网络io。 EventLoopGroup给EventLoop分配线程。 在 Netty 中&#xff0c;EventLoop 通过不断轮询 Selector 来检测 Channel 上发生的事件&#xff0c;当 Channel 上的事…

考研C语言刷题基础篇之数组(一)

目录 第一题&#xff1a;用数组作为参数实现冒泡排序 不用函数的冒泡排序 冒泡排序原理&#xff1a; 错误的数值传参冒泡排序 错误的原因 就是什么是数组名 正确的数组传参的冒泡排序 数组的地址和数组首元素的地址的区别 第一题&#xff1a;用数组作为参数实现冒泡排…

npm ERR! code CERT_HAS_EXPIRED errno CERT_HAS_EXPIRED

npm ERR! code CERT_HAS_EXPIRED 和 npm ERR! errno CERT_HAS_EXPIRED 都是指npm 在尝试连接到 npm 仓库时遇到了 SSL 证书过期的问题。这可能是由于您使用的 npm 仓库的证书已过期&#xff0c;或者您的系统时间不正确。 解决此问题的方法如下 1.关闭 npm 的 SSL 验证 通常在…

Docker网络配置与自定义IP容器通信

目录 前言 一、docker网络配置 1. bridge 虚拟网桥 2. host 网络模式 3. none 网络模式 4. 自定义container网络模式 二、自定义IP容器通信 1. 自定义IP 2. 创建所需容器&#xff08;mysql&#xff0c;tomcat&#xff09; 3. 准备项目资源 4. 构建Nginx实现负载均衡…

this指向问题以及修改函数的this指向方法

1、什么是this this表示对象 取决于函数调用&#xff08;this表示对象>当前对象>当前环境对象>函数运行时环境对象&#xff09; this就是函数运行时所在的环境对象&#xff08;取决于函数调用>不同场合&#xff0c;this有不同的值&#xff09; 函数的不同使用场…

rsync命令常用参数详解

1、语法 Usage: rsync [OPTION]… SRC [SRC]… DEST or rsync [OPTION]… SRC [SRC]… [USER]HOST:DEST or rsync [OPTION]… SRC [SRC]… [USER]HOST::DEST or rsync [OPTION]… SRC [SRC]… rsync://[USER]HOST[:PORT]/DEST or rsync [OPTION]… [USER]HOST:SRC [DEST] or r…

PyTorch深度学习实战(32)——DCGAN详解与实现

PyTorch深度学习实战&#xff08;32&#xff09;——DCGAN详解与实现 0. 前言1. 模型与数据集分析1.1 模型分析1.2 数据集介绍 2. 构建 DCGAN 生成人脸图像小结系列链接 0. 前言 DCGAN (Deep Convolutional Generative Adversarial Networks) 是基于生成对抗网络 (Convolution…

el-form动态检验无法生效问题

<el-form-item label"状态&#xff1a;"prop"zt"class"bitianxian"><el-select v-model"ruleForm.zt"placeholder"请选择"change"emptyztXM()"><el-option v-for"(item,index) in ZTdata&quo…

PWN入门Protostar靶场Stack系列

Protostar靶场地址 https://exploit.education/protostar/溢出 源码分析 #include <stdlib.h> #include <unistd.h> #include <stdio.h>int main(int argc, char **argv) {volatile int modified; //定义一个变量char buffer[64]; //给…