微软 AD 介绍 | 安全建议 | 防护


介绍:

image.png

  1. 什么是Active Directory(AD)?

    • Active Directory 是由 微软开发的目录服务,用于存储和管理网络中的资源,如计算机、用户、组和其他网络对象。
    • 允许组织管理员轻松地管理和验证网络中的用户和计算机。
  2. Active Directory的角色:

    • 身份验证和授权: 管理用户的身份验证和授权,确保只有授权用户可以访问资源。
    • 资源管理: 管理和维护网络资源,如打印机、文件和其他服务。
    • 目录服务: 存储和组织网络上的所有对象,并提供对这些对象的搜索和访问。

重要性

image.png

  1. 安全性是关键:

    • AD存储着身份验证和授权信息,因此安全性至关重要。未经授权的访问会导致敏感数据泄漏和系统破坏。
  2. 凭据保护:

    • 保护管理员和用户凭据的安全性,防止凭据泄露和滥用。
  3. 权限控制:

    • 只有授权的用户可以执行特定的操作,防止横向和纵向的滥用。
  4. 防范攻击:

    • AD是攻击者经常瞄准的目标之一。采取措施以防范攻击,如拒绝服务(DoS)和恶意软件。
  5. 网络:

    • 保持网络的连通性和正常运作。
  6. 合规:

    • 许多行业和法规要求确保IT基础设施的安全性。AD安全是实现合规性的重要组成部分。
  7. 数据保护:

    • AD中存储了大量的用户和数据。保护AD及其存储数据不受未经授权的访问和篡改。
  8. 业务连续性:

    • AD的可用性直接影响到业务连续性。
  9. 监控和审计:

    • 实施监控和审计措施,及时检测和响应潜在的安全威胁。

AD安全是IT基础设施安全性的基石,对于维护业务运行和防范潜在威胁至关重要。采取综合的安全措施是确保AD在网络生态系统中发挥其作用的关键。
image.png

安全建议

配置安全
  1. 管理本地管理员密码(LAPS)。
  2. RDP 受限管理员模式。
  3. 移除不受支持的操作系统。
  4. 监控敏感系统(如 DC 等)上的定时任务。
  5. 确保 Out-of-Band(OOB)管理密码(DSRM)定期更改并安全存储。
  6. 使用 SMB v2/v3+。
  7. 默认域管理员和 KRBTGT 密码应每年更改一次。
  8. 移除不必要的信任,并根据需要启用 SID 过滤。
  9. 所有域身份验证应尽量设置为:“仅 NTLMv2 响应,拒绝 LM 和 NTLM。”
  10. 阻止域控制器、服务器和所有管理系统的互联网访问。
管理员凭据
  1. 不要将“用户”或计算机帐户添加到管理员组中。
  2. 确保所有管理员帐户都是“敏感的,不可委派的”。
  3. 将管理员帐户添加到“受保护的用户”组(需要 Windows Server 2012 R2 域控制器,2012R2 DFL 用于域保护)。
  4. 禁用所有不活动的管理员帐户并从特权组中删除。
AD 管理凭据
  1. 限制 AD 管理成员资格(DA、EA、架构管理员等),只使用自定义委派组。
  2. 采用“分层”管理,减轻凭据窃取的影响。
  3. 确保管理员只登录到经批准的管理员工作站和服务器。
  4. 为所有管理员帐户使用基于时间的临时组成员资格。
服务帐户凭据
  1. 限制到相同安全级别的系统。
  2. 利用“(群组) 管理服务帐户”(或密码 >20 个字符)以减轻凭据窃取(kerberoast)。
  3. 实施 FGPP(DFL =>2008)以增加服务帐户和管理员的密码要求。
  4. 登录限制 – 防止交互式登录,并将登录能力限制为特定计算机。
  5. 禁用不活动的服务帐户并从特权组中删除。
资源防护
  1. 划分网络保护管理员和关键系统。
  2. 部署 IDS 监控内部公司网络。
  3. 将网络设备和 Out-of-Band(OOB)管理放在单独的网络上。
域控制器防护
  1. 仅运行支持 AD 的软件和服务。
  2. 具有 DC 管理/登录权限的最小组(和用户)。
  3. 在运行 DCPromo 之前确保应用补丁(特别是 MS14-068 和其他关键补丁)。
  4. 验证定时任务和脚本。
工作站(和服务器)防护
  1. 快速补丁迭代,特别是特权升级漏洞。
  2. 部署安全后移植补丁(KB2871997)。
  3. 将 Wdigest 注册键设置为 0(KB2871997/Windows 8.1/2012R2+):HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Wdigest。
  4. 部署工作站白名单(Microsoft AppLocker)以阻止用户文件夹中的代码执行 – 主目录和配置文件路径。
  5. 部署工作站应用程序沙箱技术(EMET)以减轻应用程序内存利用漏洞(0天)。
日志记录
  1. 启用增强型审核。
  2. “审核:强制审核策略子类设置(Windows Vista 或更高版本)覆盖审核策略类别设置”。
  3. 启用 PowerShell 模块日志记录(“*”),并将日志转发到中央日志服务器(WEF 或其他方法)。
  4. 启用 CMD 进程日志记录和增强(KB3004375),并将日志转发到中央日志服务器。
  5. 使用 SIEM 或等效工具集中尽可能多的日志数据。
  6. 为增强对用户活动的了解使用用户行为分析系统(如 Microsoft ATA)。
安全检查
  1. 确定谁拥有 AD 管理权限(域/森林)?
  2. 确定谁可以登录到域控制器(和对托管虚拟 DC 虚拟环境的管理权限)?
  3. 扫描 Active Directory 域、OU、AdminSDHolder 和 GPO,查找不合适的自定义权限?
  4. 确保 AD 管理员(也称为域管理员)通过不登录到不受信任的系统来保护他们的凭据?
  5. 限制当前具有 DA(或等效)的服务帐户权限?

~喜欢的话,请收藏 | 关注(✪ω✪)~
~万一有趣的事还在后头呢,Fight!!(o^-^)~''☆ミ☆ミ~……

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/645752.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【C++】stack、queue的使用及模拟实现

目录 一、stack1.1 stack的使用1.2 stack的模拟实现 二、queue2.1 queue的使用2.2 queue的模拟实现 一、stack 1.1 stack的使用 stack是一种容器适配器,它的特点是后进先出,只能在容器的一端进行插入和删除操作。 stack的使用很简单,主要有…

卫星影像离线瓦片如何调用?

我们曾为你分享了按区县购买卫星影像并在线调用的方法。 于是就有朋友问,卫星影像瓦片可以离线调用吗? 当然可以,这里就来分享一下卫星影像瓦片离线调用的方法。 卫星影像离线瓦片如何调用? 这里以OpenLayers、Mapbox和Cesiu…

安卓移动设备使用DS file文件管理工具远程访问本地群晖NAS文件

文章目录 1. 群晖安装Cpolar2. 创建TCP公网地址3. 远程访问群晖文件4. 固定TCP公网地址5. 固定TCP地址连接6. 结语 DS file 是一个由群晖公司开发的文件管理应用程序,主要用于浏览、访问和管理存储在群晖NAS(网络附加存储)中的文件。这个应用…

搭建nodejs服务器

简单搭建nodejs服务器,用于爬虫js逆向. 1、安装镜像源 下载nrm npm install -g nrm 设置下载源:(最好使用npm源或者淘宝源) 例子:npm config set registry http://registry.npmjs.org 查看是否设置成功&#xff1a…

Mac 也能玩文明6!下载安装详细教程

最近朋友给我分享了一个 Mac 玩文明6的方法,丝毫不卡顿,非常流畅,分享给大家 文明6是最新的文明系列游戏,和以往的文明游戏一样,玩家将从石器时代创建文明,然后迈向信息时代,最终通过军事、经济…

考研C语言刷题基础篇之数组(一)

目录 第一题:用数组作为参数实现冒泡排序 不用函数的冒泡排序 冒泡排序原理: 错误的数值传参冒泡排序 错误的原因 就是什么是数组名 正确的数组传参的冒泡排序 数组的地址和数组首元素的地址的区别 第一题:用数组作为参数实现冒泡排…

Docker网络配置与自定义IP容器通信

目录 前言 一、docker网络配置 1. bridge 虚拟网桥 2. host 网络模式 3. none 网络模式 4. 自定义container网络模式 二、自定义IP容器通信 1. 自定义IP 2. 创建所需容器(mysql,tomcat) 3. 准备项目资源 4. 构建Nginx实现负载均衡…

this指向问题以及修改函数的this指向方法

1、什么是this this表示对象 取决于函数调用(this表示对象>当前对象>当前环境对象>函数运行时环境对象) this就是函数运行时所在的环境对象(取决于函数调用>不同场合,this有不同的值) 函数的不同使用场…

PyTorch深度学习实战(32)——DCGAN详解与实现

PyTorch深度学习实战(32)——DCGAN详解与实现 0. 前言1. 模型与数据集分析1.1 模型分析1.2 数据集介绍 2. 构建 DCGAN 生成人脸图像小结系列链接 0. 前言 DCGAN (Deep Convolutional Generative Adversarial Networks) 是基于生成对抗网络 (Convolution…

PWN入门Protostar靶场Stack系列

Protostar靶场地址 https://exploit.education/protostar/溢出 源码分析 #include <stdlib.h> #include <unistd.h> #include <stdio.h>int main(int argc, char **argv) {volatile int modified; //定义一个变量char buffer[64]; //给…

Git 入门精讲

我们为什么要学习git&#xff1f; 就当下的发展而言&#xff0c;只要你从事开发就一定会接触git。作为最强大的分布式版本控制器&#xff0c;git 与 svn 有着本质上的区别。 Git是一种分布式版本控制系统&#xff0c;每个开发者都可以在本地维护完整的代码库&#xff0c;可以离…

c++ 加密与解密代码(普通加密 + 凯撒加密 + 图灵来了都解不开的加密)

当你和你的好朋友聊天的时候&#xff0c;你们的聊天内容很容易就被看出来&#xff0c;那么小天狼星这边可以给到一些建议~~ 一、用另一种语言 通常来说&#xff0c;使用除中文和其他常用语言外的语言是一个优秀的选择&#xff01; 例如&#xff1a;乌伯克语、阿亚帕涅科语。 …

智能泊车,再上热搜

编者按&#xff1a;相比于行车&#xff0c;低速可控场景&#xff0c;更有利于泊车功能快速迭代。同时&#xff0c;对于部分消费者来说&#xff0c;泊车智能化也是加分项。 智能泊车赛道&#xff0c;正在重新成为各路势力争夺的焦点。而上一次“高潮”&#xff0c;要追溯到2018年…

开源客户沟通平台Chatwoot账号激活问题

安装docker docker-compose 安装git clone https://github.com/chatwoot/chatwoot 下载之后根目录有一个docker-compose.production.yaml将其复制到一个目录 重命名 docker-compose.yaml 执行docker-compose up -d 构建 构建之后所有容器都安装好了 直接访问http://ip:3…

护眼台灯怎么选——明基、书客、孩视宝实测横评

最近护眼台灯的热度真是不小&#xff0c;许多博主纷纷推荐。考虑到孩子即将放寒假&#xff0c;市场上的产品也是五花八门&#xff0c;于是我决定认真研究一下&#xff0c;找出其中的水货和宝藏产品。我挑选了市场上口碑较好的3款产品进行深入评估&#xff0c;主要从照度、显色指…

Revit二次开发 设置材质

设置此处材质&#xff0c;需要在材质浏览器中创建材质&#xff0c;根据材质名字设置此材质。 代码如下&#xff1a; Material material new FilteredElementCollector(doc).OfClass(typeof(Material)).FirstOrDefault(x > x.Name "窗框") as Material; Element…

如何利用streamlit 將 gemini pro vision 進行圖片內容介紹

如何利用streamlit 將 gemini pro vision 進行圖片內容介紹 1.安裝pip install google-generativeai 2.至 gemini pro 取 api key 3.撰寫如下文章:(方法一) import json import requests import base64 import streamlit as st 讀取圖片檔案&#xff0c;並轉換成 Base64 編…

Android SeekBar 进度条圆角

先看下效果图&#xff1a; 之前&#xff1a; 优化后&#xff1a; 之前的不是圆角是clip切割导致的 全代码&#xff1a; <SeekBarandroid:layout_width"188dp"android:layout_height"wrap_content"android:background"null"android:focusa…

风速预测 | Python基于CEEMDAN-CNN-Transformer+ARIMA的风速时间序列预测

目录 效果一览基本介绍程序设计参考资料 效果一览 基本介绍 CEEMDAN-CNN-TransformerARIMA是一种用于风速时间序列预测的模型&#xff0c;结合了不同的技术和算法。收集风速时间序列数据&#xff0c;并确保数据的质量和完整性。这些数据通常包括风速的观测值和时间戳。CEEMDAN分…

使用Spring Boot实现基于HTTP的API

Spring Boot是一个用于简化Spring应用程序开发的框架&#xff0c;它提供了一系列的开箱即用的功能&#xff0c;使得快速构建RESTful Web服务和基于HTTP的API变得简单。以下是使用Spring Boot实现基于HTTP的API的步骤&#xff1a; 添加依赖&#xff1a;在Maven项目中&#xff0c…