网站空间150m,app广告联盟,深圳的企业排名,建一个网站大约花多少钱介绍#xff1a; 什么是Active Directory#xff08;AD#xff09;#xff1f; Active Directory 是由 微软开发的目录服务#xff0c;用于存储和管理网络中的资源#xff0c;如计算机、用户、组和其他网络对象。允许组织管理员轻松地管理和验证网络中的用户和计算机。 …
介绍 什么是Active DirectoryAD Active Directory 是由 微软开发的目录服务用于存储和管理网络中的资源如计算机、用户、组和其他网络对象。允许组织管理员轻松地管理和验证网络中的用户和计算机。 Active Directory的角色 身份验证和授权 管理用户的身份验证和授权确保只有授权用户可以访问资源。资源管理 管理和维护网络资源如打印机、文件和其他服务。目录服务 存储和组织网络上的所有对象并提供对这些对象的搜索和访问。
重要性 安全性是关键 AD存储着身份验证和授权信息因此安全性至关重要。未经授权的访问会导致敏感数据泄漏和系统破坏。 凭据保护 保护管理员和用户凭据的安全性防止凭据泄露和滥用。 权限控制 只有授权的用户可以执行特定的操作防止横向和纵向的滥用。 防范攻击 AD是攻击者经常瞄准的目标之一。采取措施以防范攻击如拒绝服务DoS和恶意软件。 网络 保持网络的连通性和正常运作。 合规 许多行业和法规要求确保IT基础设施的安全性。AD安全是实现合规性的重要组成部分。 数据保护 AD中存储了大量的用户和数据。保护AD及其存储数据不受未经授权的访问和篡改。 业务连续性 AD的可用性直接影响到业务连续性。 监控和审计 实施监控和审计措施及时检测和响应潜在的安全威胁。
AD安全是IT基础设施安全性的基石对于维护业务运行和防范潜在威胁至关重要。采取综合的安全措施是确保AD在网络生态系统中发挥其作用的关键。
安全建议
配置安全
管理本地管理员密码LAPS。RDP 受限管理员模式。移除不受支持的操作系统。监控敏感系统如 DC 等上的定时任务。确保 Out-of-BandOOB管理密码DSRM定期更改并安全存储。使用 SMB v2/v3。默认域管理员和 KRBTGT 密码应每年更改一次。移除不必要的信任并根据需要启用 SID 过滤。所有域身份验证应尽量设置为“仅 NTLMv2 响应拒绝 LM 和 NTLM。”阻止域控制器、服务器和所有管理系统的互联网访问。
管理员凭据
不要将“用户”或计算机帐户添加到管理员组中。确保所有管理员帐户都是“敏感的不可委派的”。将管理员帐户添加到“受保护的用户”组需要 Windows Server 2012 R2 域控制器2012R2 DFL 用于域保护。禁用所有不活动的管理员帐户并从特权组中删除。
AD 管理凭据
限制 AD 管理成员资格DA、EA、架构管理员等只使用自定义委派组。采用“分层”管理减轻凭据窃取的影响。确保管理员只登录到经批准的管理员工作站和服务器。为所有管理员帐户使用基于时间的临时组成员资格。
服务帐户凭据
限制到相同安全级别的系统。利用“(群组) 管理服务帐户”或密码 20 个字符以减轻凭据窃取kerberoast。实施 FGPPDFL 2008以增加服务帐户和管理员的密码要求。登录限制 – 防止交互式登录并将登录能力限制为特定计算机。禁用不活动的服务帐户并从特权组中删除。
资源防护
划分网络保护管理员和关键系统。部署 IDS 监控内部公司网络。将网络设备和 Out-of-BandOOB管理放在单独的网络上。
域控制器防护
仅运行支持 AD 的软件和服务。具有 DC 管理/登录权限的最小组和用户。在运行 DCPromo 之前确保应用补丁特别是 MS14-068 和其他关键补丁。验证定时任务和脚本。
工作站和服务器防护
快速补丁迭代特别是特权升级漏洞。部署安全后移植补丁KB2871997。将 Wdigest 注册键设置为 0KB2871997/Windows 8.1/2012R2HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Wdigest。部署工作站白名单Microsoft AppLocker以阻止用户文件夹中的代码执行 – 主目录和配置文件路径。部署工作站应用程序沙箱技术EMET以减轻应用程序内存利用漏洞0天。
日志记录
启用增强型审核。“审核强制审核策略子类设置Windows Vista 或更高版本覆盖审核策略类别设置”。启用 PowerShell 模块日志记录“*”并将日志转发到中央日志服务器WEF 或其他方法。启用 CMD 进程日志记录和增强KB3004375并将日志转发到中央日志服务器。使用 SIEM 或等效工具集中尽可能多的日志数据。为增强对用户活动的了解使用用户行为分析系统如 Microsoft ATA。
安全检查
确定谁拥有 AD 管理权限域/森林确定谁可以登录到域控制器和对托管虚拟 DC 虚拟环境的管理权限扫描 Active Directory 域、OU、AdminSDHolder 和 GPO查找不合适的自定义权限确保 AD 管理员也称为域管理员通过不登录到不受信任的系统来保护他们的凭据限制当前具有 DA或等效的服务帐户权限 ~喜欢的话,请收藏 | 关注(✪ω✪)~ ~万一有趣的事还在后头呢Fight!!(^-^)~☆ミ☆ミ~……
