譯者 | 晶顏

審校 | 重樓

活動目錄（Active Directory，AD）對于網(wǎng)絡安全防護的重要性不言而喻。一旦惡意行為者滲透到公司的活動目錄中，他們就可以提升自己的權(quán)限，橫向移動網(wǎng)絡并獲取對敏感數(shù)據(jù)和系統(tǒng)的訪問權(quán)限。

好在有很多方法可以強化活動目錄安全性。在這篇文章中，我們將介紹7條防止攻擊者進入活動目錄的最佳實踐，以幫助組織降低代價高昂的違規(guī)風險。

不過，在此之前，讓我們先來詳細了解一下活動目錄及其用途，以及活動目錄安全的重要性及與之相關(guān)的一些常見風險。

活動目錄概念及用途

活動目錄服務是Windows 2000 Server最重要的新功能之一，它可將網(wǎng)絡中各種對象組合起來進行管理，方便了網(wǎng)絡對象的查找，加強了網(wǎng)絡的安全性，并有利于用戶對網(wǎng)絡的管理。

活動目錄是一種目錄服務，它存儲有關(guān)網(wǎng)絡對象（例如用戶、組、計算機、共享資源、打印機和聯(lián)系人）的信息，并使管理員和用戶可以方便的查找和使用這些信息。通過活動目錄，用戶可以對用戶與計算機、域、信任關(guān)系，以及站點與服務進行管理。

簡單的說，可以把活動目錄理解成一個動態(tài)可擴展的，專門為了查詢、瀏覽、搜索優(yōu)化的特殊數(shù)據(jù)庫。它允許管理員執(zhí)行安全策略、設置密碼策略以及控制對敏感系統(tǒng)和數(shù)據(jù)的訪問。舉個例子，如果您想要檢查電子郵件或通過公司基于Windows的網(wǎng)絡訪問互聯(lián)網(wǎng)，那么AD就是允許您連接到這些資源的所在。此外，它還簡化了單點登錄（SSO）身份驗證過程。

活動目錄安全的重要性

如上所述，如果惡意行為者能夠破壞活動目錄，那么他們就能輕松獲得對敏感數(shù)據(jù)的訪問權(quán)限，或者做一些更糟糕的事情。以下是活動目錄環(huán)境成為攻擊者主要目標的幾個原因：

• 集中式控制?；顒幽夸浭强刂凭W(wǎng)絡資源（包括用戶帳戶和服務器）的中心點。一旦進入活動目錄，攻擊者就可以控制整個網(wǎng)絡，并可能危及連接到它的其他資源。
• 憑據(jù)盜竊。攻擊者可以竊取存儲在活動目錄中的用戶名和密碼。然后，他們就可以使用這些憑據(jù)訪問公司內(nèi)的其他系統(tǒng)、應用程序和數(shù)據(jù)。
• 特權(quán)升級?；顒幽夸洿鎯τ嘘P(guān)用戶角色、權(quán)限和組成員關(guān)系的信息。因此，如果攻擊者可以升級他們在活動目錄中的權(quán)限，他們就可以訪問其他系統(tǒng)或管理帳戶。這將允許他們在網(wǎng)絡內(nèi)部進行橫向移動，擴大他們的立足點。
• 持久性。一旦攻擊者進入活動目錄，他們就可以在網(wǎng)絡中建立持久性。他們可以設置后門訪問，添加流氓用戶賬戶或操縱安全政策，這些舉措都旨在讓他們更容易逃避檢測。即便他們被發(fā)現(xiàn)，安全團隊也很難從網(wǎng)絡中將其移除，因為他們已經(jīng)創(chuàng)建了多個其他入口點。

常見的活動目錄安全風險

總的來說，活動目錄最關(guān)鍵的安全風險主要有兩個：未經(jīng)授權(quán)訪問帳戶和系統(tǒng)以及竊取用戶名和密碼等憑據(jù)。當然，后者是獲得未經(jīng)授權(quán)訪問的重要策略。

不過，如果組織想要提高活動目錄安全性，還必須著手解決以下常見風險：

• 密碼策略不足。強密碼對于防止數(shù)據(jù)泄露和丟失至關(guān)重要。如果您的密碼實踐和策略不足，可以肯定的是，攻擊者將充分利用這些弱點。
• 缺乏多因素認證（MFA）。沒有MFA，一個泄露的密碼將為攻擊者提供未經(jīng)授權(quán)訪問的快速路徑。啟用MFA時，您就啟用了一個額外的身份驗證層。使用多因素身份驗證來幫助保護特權(quán)帳戶尤為重要。雖然MFA不是100%安全，但它確實有很大幫助。
• 配置錯誤。惡意行為者將迅速采取行動，濫用他們可以在您的活動目錄中識別的任何錯誤配置。一些示例包括錯誤配置的管理員特權(quán)、“老舊”帳戶或沒有密碼過期策略的帳戶，以及隱藏的安全標識符（SID）。
• 遺留系統(tǒng)。遺留系統(tǒng)可能依賴于過時版本的活動目錄，攻擊者將尋求利用任何已知的漏洞。此外，重要的是要了解活動目錄環(huán)境會隨著時間的推移而積累身份數(shù)據(jù)。雖然其中一些信息可能仍然相關(guān)，但大部分信息可能已經(jīng)無關(guān)緊要了。在這兩種情況下，這些信息可能都沒有得到應有的管理。
• 內(nèi)部威脅。懷有惡意的員工或其他內(nèi)部人員可能會濫用對您的活動目錄的合法訪問權(quán)限。他們可能試圖竊取高價值的數(shù)據(jù)（如知識產(chǎn)權(quán)和財務數(shù)據(jù)），破壞系統(tǒng)或以其他方式對業(yè)務造成損害。

活動目錄安全優(yōu)秀實踐

活動目錄提供安全特性，如訪問控制列表（ACL）、加密和審計功能，以保護敏感數(shù)據(jù)和資源。這些都是很好的特性，但是，全面和持續(xù)的活動目錄安全涉及許多其他步驟和策略。

組織的業(yè)務環(huán)境是復雜的，并且一直在變化，活動目錄環(huán)境也是如此。針對活動目錄的威脅也在不斷發(fā)展?？紤]到所有這些，下面介紹7條活動目錄安全最佳實踐，以幫助組織降低代價高昂的違規(guī)風險。

1. 高度防護域管理員帳戶

攻擊者急于破壞與活動目錄關(guān)聯(lián)的域管理員帳戶，這是因為這些活動目錄用戶對整個AD“林”（forest，服務目錄中一個或多個域樹的集合）域具有很高的管理控制權(quán)限和權(quán)限。

保護域管理帳戶的一個技巧是將它們從默認的“管理員”重命名為更有創(chuàng)意（并且更難猜測）的名稱。此外，實現(xiàn)強大的密碼策略和使用助記詞也都會有所幫助。另一個好的實踐是要求MFA進行身份驗證。

2. 限制使用高度權(quán)限訪問活動目錄

授權(quán)人員應該是在活動目錄中具有管理訪問權(quán)限的唯一用戶。而那些擁有域管理員權(quán)限的人不應該使用這些帳戶進行日常任務。相反地，他們應該使用單獨的、權(quán)限較低的帳戶進行日常或常見的用戶活動。

限制活動目錄訪問的相關(guān)措施包括：

• 實現(xiàn)最低權(quán)限原則（PoLP），只授予用戶執(zhí)行其工作所需的權(quán)限，而不授予其他權(quán)限；
• 使用基于角色的訪問控制（RBAC）來限制用戶對特定任務或系統(tǒng)的訪問；
• 定期審核管理帳戶。

3. 使用已鎖定的安全管理工作站（SAW）

SAW是一個高度安全和隔離的環(huán)境，用于在關(guān)鍵系統(tǒng)和服務（如活動目錄）中執(zhí)行管理任務。管理員必須來自SAW，才能執(zhí)行任何管理任務或連接到任何其他受管理的服務器或網(wǎng)絡。“鎖定”（lock down）SAW的一些方法包括：

• 使用專用硬件或虛擬機（VM）執(zhí)行管理任務；
• 加固SAW的操作系統(tǒng)，例如，通過禁用不必要的服務和功能；
• 實現(xiàn)嚴格的訪問控制和用戶權(quán)限管理；
• 將SAW放置在單獨的網(wǎng)段中；
• 減少或消除與SAW的直接互聯(lián)網(wǎng)連接。

4. 禁用本地管理員帳戶

本地管理員也擁有很高的權(quán)限。但與域管理員不同的是，他們被限制在一臺本地機器上。但是，本地管理員可以完全訪問本地服務器或客戶機上的資源。他們可以使用自己的帳戶創(chuàng)建本地用戶，分配用戶權(quán)限和訪問控制權(quán)限，以及安裝軟件。

本地管理帳戶通常在域中的每臺計算機上配置相同的密碼。因此，攻擊者只需要破壞一個帳戶的憑據(jù)就可以登錄到其他帳戶。這樣一來，惡意行為者經(jīng)常在勒索軟件攻擊中使用未管理的本地管理員憑據(jù)也就不足為奇了。

這并不意味著您需要完全禁用本地管理帳戶。相反地，您可以設置具有必要權(quán)限的個人帳戶來完成關(guān)鍵任務。要禁用本地管理帳戶，您需要修改活動目錄中的組策略設置。然后，您可以對加入域的Windows計算機實施安全策略。

5. 使用托管服務帳戶（MSA）

MSA旨在增強在基于Windows的系統(tǒng)上運行的應用程序、服務和任務所使用的服務帳戶的安全性和可管理性。每個MSA都與特定的計算機隔離，這意味著它只能由該系統(tǒng)使用。

MSA帳號密碼復雜，由活動目錄自動管理?；顒幽夸浻蚩刂破鞫ㄆ谶M行密碼輪換，降低了業(yè)務帳號密碼被破解、過期或暴露的風險。通過消除手動密碼更改，將人為錯誤的可能性降至最低。

（注意：MSA適用于Windows Server 2008 R2及更高版本，包括Windows Server 2012、2012 R2、2016、2019和2022。MSA的具體特性和功能可能因所使用的Windows Server版本而異。）

6. 查找并刪除未使用的帳戶

如果攻擊者入侵到活動目錄并發(fā)現(xiàn)大量未使用的帳戶，他們無疑會大肆濫用這些帳戶。惡意的內(nèi)部人員也可以對未使用的帳戶進行惡作劇。

創(chuàng)建一個正式的流程來識別活動目錄中不活躍的用戶和未使用的計算機帳戶，可以幫助確保您始終領先于這種風險。作為這個過程的一部分，您需要確定識別不活躍賬戶的標準，比如一個特定的不活躍期（如90天）。您還應該通知相關(guān)的利益相關(guān)者，以確?？梢园踩貏h除已識別的帳戶。

在開始刪除帳戶之前，花點時間備份您的活動目錄環(huán)境也是明智之舉。此外，您也可以記錄下打算刪除的賬戶，并列出刪除它們的原因，這樣您就可以擁有很好的記錄。

7. 關(guān)注補丁管理和漏洞掃描

這個建議可能看起來很尋常，但重點在于，您需要迅速采取行動修補活動目錄漏洞，就像您應該保護任何其他關(guān)鍵系統(tǒng)一樣。攻擊者正專注于利用已知漏洞針對您的活動目錄環(huán)境。

以AD漏洞（如CVE-2022-26923）為例，微軟報告稱，經(jīng)過身份驗證的用戶可以操縱他們擁有或管理的計算機帳戶的屬性，并從活動目錄證書服務獲得證書，這將允許他們提升系統(tǒng)特權(quán)。這意味著攻擊者只需幾步就能從普通用戶迅速變成域管理員。

因此，建議組織確保經(jīng)常掃描并及時修復活動目錄漏洞——如果可能的話，一個月一次或更頻繁一些。優(yōu)先處理對業(yè)務和用戶構(gòu)成最嚴重風險的修復，并識別和處理任何過時或不受支持的軟件。

原文標題：7 Best Practices for Active Directory Security to Keep Attackers Out ，作者：MATTHEW GARDINER