AD Security最佳实践

仅一夜之间，我的心判若俩人，她似人山人海中而来，原来只会给我一场空欢喜，你来时携风带雨，我避无可避，你走时乱了四季，我久病难医。

——人间失格

文章来源：https://activedirectorypro.com/active-directory-security-best-practices/

据说这是最全面的Active Directory Security Tips和最佳实践列表。

我会在本文分享有关保护域管理员，本地管理员，审核策略，监控AD，密码策略，漏洞扫描等技巧。

XD 😀

1.Check Domain Admins Group

Domain Admins组里面一般不应该出现日常使用的用户，如果临时需要，使用完就要删除。

Domain Admins Group里面的用户权限很大，它可以访问域内其他的系统,例如员工工作的笔记本,Server,Workstations等等.

这也是攻击者平时喜欢做的事:XD

没什么隐患?

攻击者可以轻松获取用户的所有凭据,拿到凭据后,因为用户本身的权限过高,导致攻击者可以快速的在域内横向渗透,试图获得更多机器的权限. 其中的一种方法叫做 pass the hash

pass the hash 允许用户通过用户hash进行远程身份认证.

将不必要的用户删除掉是至关重要的一步.

2.使用至少两个帐户---常规帐户和管理员帐户

不应该经常使用本地管理员或具有高级权限权限的帐户（域管理员）登录系统,而是创建两个帐户，一个没有管理员权限的常规帐户和一个仅用于管理任务的特权帐户。

但不要将辅助帐户放在Domain Admins组中.遵循最小权限管理模型。

基本上，这意味着所有用户都应该使用具有完成其工作的最低权限的帐户登录。

您使用常规非管理员帐户进行日常任务，例如电子邮件，浏览互联网，票务系统等。只有在需要执行管理任务时才能使用特权帐户，例如在Active Directory中创建用户，登录服务器，添加DNS记录等。

假设有两个场景:

(1) 具有DA权限的管理权限

安全牛顿XD使用特权帐户登录电脑之后，登录电子邮箱之后无意下载了病毒。 由于安全牛顿是DA组的成员，因此病毒可以控制牛顿大哥的电脑以及其他的服务器，拥有所有文件和整个域的完全权限。 这可能会造成巨大损失并导致关键系统停机。 现在，采取相同的方案，但这次安全牛顿使用普通权限帐户登录。

(2)正常权限的IT员工

即使对方获得了员工电脑权限,但是如果想要横向,默认情况下是没有权限的. 在不给予员工域管理员权限的情况下委派管理任务其实很容易。

以下是可以委派给辅助帐户的一些常见任务。

• Active Directory用户和计算机权限

• DNS

• DHCP

• 服务器上的本地管理员权限

• 组策略

• Exchange

• Workstation上的本地管理员权限

• Vsphere或Hyper-v管理

有些组织使用两个以上的辅助帐户并使用分层方法。

这绝对是更安全的，但对某些人来说可能觉得不太方便。

• 常规帐户

• 服务器管理帐户

• 网络管理帐户

• Workstation管理帐户

通过使用两个帐户并遵循最小权限原则，可以大大降低安全风险并避免场景1等情况。