Active Directory 安全组最佳实践

教程

Active Directory安全组最佳实践 – Azure Active Directory安全组是管理员控制哪些Windows服务器和网络资源个体用户可以访问的强大工具。如果不正确地管理这些组,您可能会无意中为网络犯罪分子提供进入您的网络并窃取敏感信息的后门。

由于未遵循最佳实践而导致的Azure Active Directory妥协是常见的。然而,通过建立稳固的安全保障措施、限制漏洞并不断监控它们,可以确保系统免受攻击。本文对Azure Active Directory安全组及其最佳安全实践进行了深入分析,以更好地保护您的Windows网络。

本文是对Azure Active Directory安全组的深入分析,以及遵循最佳安全实践以更好地保护您的Windows网络的指南。

图片来源:Imanami

另请阅读Azure AD组类型解释 – 安全/Microsoft 365组

Active Directory安全组

AzureActive Directory组在Azure中有两种类型:Active Directory分发组和Active Directory安全组。

活动目录分发组主要用于电子邮件分发,并与Microsoft Exchange和Outlook兼容。它们允许网络管理员向活动目录成员的子集发送电子邮件。

另一方面,活动目录安全组管理用户权限和对硬件资源的访问。这些对组织的网络和业务运营至关重要。

这是因为活动目录安全组对于帮助管理员控制谁可以访问重要的网络资源,并防止未经授权的用户访问敏感数据非常重要。这对于保护私人和机密信息至关重要。

Azure Active Directory 安全组包括管理员、账户操作员、管理员、DNS管理员、用户、来宾、服务器操作员、受保护用户等。

另请阅读 Azure安全最佳实践 – 合规性(检查表)

Active Directory安全组作用域

Azure Active Directory 安全根据其作用域分为4类:本地、域本地、全局和通用组。

本地组:这些是在创建它们的计算机上创建的,并且仅在该计算机上可用。

域本地组: 域本地组用于管理域内资源的访问权限。域本地组由来自任何类型域的成员以及来自可信域的成员组成。

全局组: 全局根据业务角色定义域对象(用户、计算机、组)。用户根据他们的角色(例如,“市场营销”或“会计师”)被组织成组,计算机可以根据它们的角色(例如,“市场营销工作站”)被组织成全局组。

通用组: 这些组用于多域。它们允许管理员为跨域资源指定角色和权限。

另请阅读如何检查Office 365中用户是否启用了MFA

Azure Active Directory安全组的使用

Active Directory安全组主要有两种用途:

分配用户权限:Active Directory安全用于分配用户权限,以指定组内的用户在域或森林内被允许执行的操作。为了管理方便,某些安全组可能会自动获得用户权限。

授予资源权限:用户权限与用户权限不同。用户权限管理用户可以访问哪些资源,而用户权限确定用户拥有的能力。

需要注意的是,某些权限默认授予特定的安全组。账户操作员和域管理员组是预定义安全组的两个例子,它们默认会获得某些权限。当您设置活动目录时,这些组会自动生成。然而,由于授予自动安全权限存在固有的安全风险,因此在管理这些组时必须特别小心。

另请阅读使用PowerShell创建活动目录安全报告

提升您的活动目录安全性和Azure AD

免费试用,访问所有功能。- 提供200多个AD报告模板。轻松定制您自己的AD报告。




8个活动目录安全组最佳实践

1. 避免过度授权

确保默认安全组没有过多的权限:定期检查活动目录(Active Directory)自动分配的默认安全组的权限,因为其中一些组具有相当大的权限。确保用户只有执行日常职责所需的最低访问权限。如果需要更大的访问权限,则应按需授予。

确保只安装必要的工具和功能,并确保账户只有必要的权限并且是所需的成员。如果你给予所有人广泛的权限或访问你的系统,那么检测内部威胁将变得更加困难,如果你的系统中有大量人员在高访问安全组中,系统将变得脆弱。

2. 定期进行软件更新

图片来源:Pixabay

微软建议您定期更新您的Windows软件和第三方程序。为了攻击系统,攻击者经常利用或利用已知的漏洞。另一方面,网络安全专家总是在努力提供安全补丁以修复这些漏洞。因此,定期进行补丁更新有助于确保您的系统免受网络攻击

为了实现这一点,通常建议使用补丁管理器来保持系统软件的最新状态。一个好的补丁管理系统会在您的软件中存在漏洞时通知您,并提供它发现的任何风险的详细信息,包括攻击者特别针对活动目录安全漏洞的情况。

另请阅读如何检查活动目录复制状态健康

3. 实施良好的密码策略

与其依赖复杂性规则,不如实施密码政策,鼓励用户使用他们能够轻松记住的短语。重要的是要有一项政策,要求用户设置包含三个或更多单词的密码,而不是八个或更少字符的复杂密码。密码复杂性规则阻止用户使用易记的密码,并导致不可避免地将密码写下来的做法,这从一开始就否定了拥有密码的目的。还建议设置规则,在一定数量的登录尝试失败后锁定用户。

例如,设置一项政策,确保用户在三次不成功的密码尝试后被锁定。通过使用双因素认证可以使密码更加安全。您可以使用Microsoft多因素认证(MFA)、Duo和RSA来实现双因素认证。

4. 保护默认组和账户

当创建一个活动目录域时,也会创建一组默认的安全组,其中一些组具有相当广泛的权限。在管理这些组时要谨慎,因为给予用户对其中一个组的访问权限会自动授予他们强大的管理访问权限和组角色。

为了做到这一点,请确保遵循以下实践:

  • 确保除了默认的“域管理员”之外,没有普通用户可以访问“域管理员”组。
  • 确保域管理员账户仅用于域设置和灾难恢复
  • 仅在必要时授予用户临时访问权限。
  • 确保密码存储在安全的地方,只有授权用户才能访问。
  • 禁用本地管理员账户,以防止其成为入侵者的访问点。这是因为网络犯罪分子可以轻松地访问您的系统,如果您启用它,因为它在安装过程中共享相同的SID和密码。

另请阅读网络安全中十大最佳威胁狩猎工具(优缺点)

5. 进行定期的活动目录审计

强烈建议活动目录,日志和事件应仔细并持续监控。对任何可疑行为的迹象保持警惕,例如登录尝试次数增加或账户锁定,任何特权组成员资格的变化,防病毒软件的停用或删除,或者登录或注销时间的任何变化。

这些事件中的任何一项都可能是您的系统遭受尝试性或正在进行中的攻击的警告信号。此外,跟踪谁有权访问什么,并在必要时进行调整或移除,以确保没有人拥有超出其所需的安全权限,这一点至关重要。

6. 实施零信任政策

零信任意味着在组织中默认不信任任何人。实施“零信任”政策,即任何用户,无论是内部还是外部,在没有首先经过验证的情况下,都不能自动访问网络的保护区域。

A lot of system compromises are carried out by insiders. Therefore, no company should underestimate the risk posed by insider threats. Please follow the concept of least privilege by not giving users too much control over the network’s resources.

只给予您的员工或组织成员他们所需的访问权限,并且仅在他们需要时给予。每当不需要此类访问权限时,就将其移除,并在可能的情况下,始终授予临时访问权限。

7. 移除空白的活动目录组

理想情况下,没有成员的Active Directory组不应该存在,因为这完全削弱了创建组的意义。然而,对于不断扩大的网络来说,其Active Directory中存在多个空组并不罕见。

空白的Active Directory安全会导致两个主要问题。首先,它们增加了不必要的混乱,使得Active Directory管理变得困难,即使与用户友好的Active Directory工具结合使用也是如此。其次,也是最重要的一点是,空组对您的网络构成了安全风险。

I personally view every inactive security group in Active Directory as an additional and potential point of entry for attackers. Empty groups are much simpler for hackers to find a backdoor and steal sensitive information. 

幸运的是,有一些工具可以帮助您清除不活跃的AD组。这些工具的种类取决于您使用的Active Directory组管理软件。利用这些工具来定位空白的Active Directory组,并通过合并或完全删除它们来消除。例如,如果所有相关组都需要相同的权限,您可以将它们合并。

另请阅读如何为用户启用MFA(多因素认证)

8. 启用Azure AD多因素认证(MFA)

图片来源:Unsplash

Azure AD MFA通过要求用户提供两种或更多因素的组合来降低仅凭密码认证的风险:“

  • 他们知道的东西(例如,一个密码)。
  • 他们拥有的东西(例如,一个受信任的设备,如手机)。
  • 他们是谁(例如,指纹)。

在Azure中有几种激活多因素身份验证的方法:

通过Azure AD安全默认值:此选项允许管理员加快MFA部署,并应用要求所有用户使用Microsoft Authenticator进行MFA的设置。此方法还允许您作为管理员禁止传统身份验证协议。

使用条件访问策略:这些策略使您可以在特定情况下要求MFA,例如当您从不寻常的地方登录、不信任的设备或风险应用程序时。通过仅在发现更大的危险时要求进一步验证,这种方法减轻了用户的负担。只有在识别到额外风险时,通过要求额外验证来减轻用户的负担。

通过个人用户状态修改:这种方法得到了基于云的Azure AD MFA和Azure MFA身份验证服务器的支持。它绕过了条件访问限制,强制用户在登录时使用双因素认证。

另请参阅 部署Azure AD监控

最佳实践活动目录安全组(结论)

活动目录是一个强大的服务,用于控制个人用户可以访问哪些Windows服务器和网络资源。通过建立坚实的安全保障、限制漏洞并不断监控,可以使您的系统免受攻击。

遵循上述推荐的做法,以避免昂贵的不便并保持系统安全。

Source:
https://infrasos.com/active-directory-security-groups-best-practices/