譯者 | 晶顏

審校 | 重樓

活動(dòng)目錄（Active Directory，AD）對(duì)于網(wǎng)絡(luò)安全防護(hù)的重要性不言而喻。一旦惡意行為者滲透到公司的活動(dòng)目錄中，他們就可以提升自己的權(quán)限，橫向移動(dòng)網(wǎng)絡(luò)并獲取對(duì)敏感數(shù)據(jù)和系統(tǒng)的訪問權(quán)限。

好在有很多方法可以強(qiáng)化活動(dòng)目錄安全性。在這篇文章中，我們將介紹7條防止攻擊者進(jìn)入活動(dòng)目錄的最佳實(shí)踐，以幫助組織降低代價(jià)高昂的違規(guī)風(fēng)險(xiǎn)。

不過，在此之前，讓我們先來詳細(xì)了解一下活動(dòng)目錄及其用途，以及活動(dòng)目錄安全的重要性及與之相關(guān)的一些常見風(fēng)險(xiǎn)。

活動(dòng)目錄概念及用途

活動(dòng)目錄服務(wù)是Windows 2000 Server最重要的新功能之一，它可將網(wǎng)絡(luò)中各種對(duì)象組合起來進(jìn)行管理，方便了網(wǎng)絡(luò)對(duì)象的查找，加強(qiáng)了網(wǎng)絡(luò)的安全性，并有利于用戶對(duì)網(wǎng)絡(luò)的管理。

活動(dòng)目錄是一種目錄服務(wù)，它存儲(chǔ)有關(guān)網(wǎng)絡(luò)對(duì)象（例如用戶、組、計(jì)算機(jī)、共享資源、打印機(jī)和聯(lián)系人）的信息，并使管理員和用戶可以方便的查找和使用這些信息。通過活動(dòng)目錄，用戶可以對(duì)用戶與計(jì)算機(jī)、域、信任關(guān)系，以及站點(diǎn)與服務(wù)進(jìn)行管理。

簡(jiǎn)單的說，可以把活動(dòng)目錄理解成一個(gè)動(dòng)態(tài)可擴(kuò)展的，專門為了查詢、瀏覽、搜索優(yōu)化的特殊數(shù)據(jù)庫(kù)。它允許管理員執(zhí)行安全策略、設(shè)置密碼策略以及控制對(duì)敏感系統(tǒng)和數(shù)據(jù)的訪問。舉個(gè)例子，如果您想要檢查電子郵件或通過公司基于Windows的網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)，那么AD就是允許您連接到這些資源的所在。此外，它還簡(jiǎn)化了單點(diǎn)登錄（SSO）身份驗(yàn)證過程。

活動(dòng)目錄安全的重要性

如上所述，如果惡意行為者能夠破壞活動(dòng)目錄，那么他們就能輕松獲得對(duì)敏感數(shù)據(jù)的訪問權(quán)限，或者做一些更糟糕的事情。以下是活動(dòng)目錄環(huán)境成為攻擊者主要目標(biāo)的幾個(gè)原因：

• 集中式控制?；顒?dòng)目錄是控制網(wǎng)絡(luò)資源（包括用戶帳戶和服務(wù)器）的中心點(diǎn)。一旦進(jìn)入活動(dòng)目錄，攻擊者就可以控制整個(gè)網(wǎng)絡(luò)，并可能危及連接到它的其他資源。
• 憑據(jù)盜竊。攻擊者可以竊取存儲(chǔ)在活動(dòng)目錄中的用戶名和密碼。然后，他們就可以使用這些憑據(jù)訪問公司內(nèi)的其他系統(tǒng)、應(yīng)用程序和數(shù)據(jù)。
• 特權(quán)升級(jí)。活動(dòng)目錄存儲(chǔ)有關(guān)用戶角色、權(quán)限和組成員關(guān)系的信息。因此，如果攻擊者可以升級(jí)他們?cè)诨顒?dòng)目錄中的權(quán)限，他們就可以訪問其他系統(tǒng)或管理帳戶。這將允許他們?cè)诰W(wǎng)絡(luò)內(nèi)部進(jìn)行橫向移動(dòng)，擴(kuò)大他們的立足點(diǎn)。
• 持久性。一旦攻擊者進(jìn)入活動(dòng)目錄，他們就可以在網(wǎng)絡(luò)中建立持久性。他們可以設(shè)置后門訪問，添加流氓用戶賬戶或操縱安全政策，這些舉措都旨在讓他們更容易逃避檢測(cè)。即便他們被發(fā)現(xiàn)，安全團(tuán)隊(duì)也很難從網(wǎng)絡(luò)中將其移除，因?yàn)樗麄円呀?jīng)創(chuàng)建了多個(gè)其他入口點(diǎn)。

常見的活動(dòng)目錄安全風(fēng)險(xiǎn)

總的來說，活動(dòng)目錄最關(guān)鍵的安全風(fēng)險(xiǎn)主要有兩個(gè)：未經(jīng)授權(quán)訪問帳戶和系統(tǒng)以及竊取用戶名和密碼等憑據(jù)。當(dāng)然，后者是獲得未經(jīng)授權(quán)訪問的重要策略。

不過，如果組織想要提高活動(dòng)目錄安全性，還必須著手解決以下常見風(fēng)險(xiǎn)：

• 密碼策略不足。強(qiáng)密碼對(duì)于防止數(shù)據(jù)泄露和丟失至關(guān)重要。如果您的密碼實(shí)踐和策略不足，可以肯定的是，攻擊者將充分利用這些弱點(diǎn)。
• 缺乏多因素認(rèn)證（MFA）。沒有MFA，一個(gè)泄露的密碼將為攻擊者提供未經(jīng)授權(quán)訪問的快速路徑。啟用MFA時(shí)，您就啟用了一個(gè)額外的身份驗(yàn)證層。使用多因素身份驗(yàn)證來幫助保護(hù)特權(quán)帳戶尤為重要。雖然MFA不是100%安全，但它確實(shí)有很大幫助。
• 配置錯(cuò)誤。惡意行為者將迅速采取行動(dòng)，濫用他們可以在您的活動(dòng)目錄中識(shí)別的任何錯(cuò)誤配置。一些示例包括錯(cuò)誤配置的管理員特權(quán)、“老舊”帳戶或沒有密碼過期策略的帳戶，以及隱藏的安全標(biāo)識(shí)符（SID）。
• 遺留系統(tǒng)。遺留系統(tǒng)可能依賴于過時(shí)版本的活動(dòng)目錄，攻擊者將尋求利用任何已知的漏洞。此外，重要的是要了解活動(dòng)目錄環(huán)境會(huì)隨著時(shí)間的推移而積累身份數(shù)據(jù)。雖然其中一些信息可能仍然相關(guān)，但大部分信息可能已經(jīng)無關(guān)緊要了。在這兩種情況下，這些信息可能都沒有得到應(yīng)有的管理。
• 內(nèi)部威脅。懷有惡意的員工或其他內(nèi)部人員可能會(huì)濫用對(duì)您的活動(dòng)目錄的合法訪問權(quán)限。他們可能試圖竊取高價(jià)值的數(shù)據(jù)（如知識(shí)產(chǎn)權(quán)和財(cái)務(wù)數(shù)據(jù)），破壞系統(tǒng)或以其他方式對(duì)業(yè)務(wù)造成損害。

活動(dòng)目錄安全優(yōu)秀實(shí)踐

活動(dòng)目錄提供安全特性，如訪問控制列表（ACL）、加密和審計(jì)功能，以保護(hù)敏感數(shù)據(jù)和資源。這些都是很好的特性，但是，全面和持續(xù)的活動(dòng)目錄安全涉及許多其他步驟和策略。

組織的業(yè)務(wù)環(huán)境是復(fù)雜的，并且一直在變化，活動(dòng)目錄環(huán)境也是如此。針對(duì)活動(dòng)目錄的威脅也在不斷發(fā)展?？紤]到所有這些，下面介紹7條活動(dòng)目錄安全最佳實(shí)踐，以幫助組織降低代價(jià)高昂的違規(guī)風(fēng)險(xiǎn)。

1. 高度防護(hù)域管理員帳戶

攻擊者急于破壞與活動(dòng)目錄關(guān)聯(lián)的域管理員帳戶，這是因?yàn)檫@些活動(dòng)目錄用戶對(duì)整個(gè)AD“林”（forest，服務(wù)目錄中一個(gè)或多個(gè)域樹的集合）域具有很高的管理控制權(quán)限和權(quán)限。

保護(hù)域管理帳戶的一個(gè)技巧是將它們從默認(rèn)的“管理員”重命名為更有創(chuàng)意（并且更難猜測(cè)）的名稱。此外，實(shí)現(xiàn)強(qiáng)大的密碼策略和使用助記詞也都會(huì)有所幫助。另一個(gè)好的實(shí)踐是要求MFA進(jìn)行身份驗(yàn)證。

2. 限制使用高度權(quán)限訪問活動(dòng)目錄

授權(quán)人員應(yīng)該是在活動(dòng)目錄中具有管理訪問權(quán)限的唯一用戶。而那些擁有域管理員權(quán)限的人不應(yīng)該使用這些帳戶進(jìn)行日常任務(wù)。相反地，他們應(yīng)該使用單獨(dú)的、權(quán)限較低的帳戶進(jìn)行日?；虺Ｒ姷挠脩艋顒?dòng)。

限制活動(dòng)目錄訪問的相關(guān)措施包括：

• 實(shí)現(xiàn)最低權(quán)限原則（PoLP），只授予用戶執(zhí)行其工作所需的權(quán)限，而不授予其他權(quán)限；
• 使用基于角色的訪問控制（RBAC）來限制用戶對(duì)特定任務(wù)或系統(tǒng)的訪問；
• 定期審核管理帳戶。

3. 使用已鎖定的安全管理工作站（SAW）

SAW是一個(gè)高度安全和隔離的環(huán)境，用于在關(guān)鍵系統(tǒng)和服務(wù)（如活動(dòng)目錄）中執(zhí)行管理任務(wù)。管理員必須來自SAW，才能執(zhí)行任何管理任務(wù)或連接到任何其他受管理的服務(wù)器或網(wǎng)絡(luò)?！版i定”（lock down）SAW的一些方法包括：

• 使用專用硬件或虛擬機(jī)（VM）執(zhí)行管理任務(wù)；
• 加固SAW的操作系統(tǒng)，例如，通過禁用不必要的服務(wù)和功能；
• 實(shí)現(xiàn)嚴(yán)格的訪問控制和用戶權(quán)限管理；
• 將SAW放置在單獨(dú)的網(wǎng)段中；
• 減少或消除與SAW的直接互聯(lián)網(wǎng)連接。

4. 禁用本地管理員帳戶

本地管理員也擁有很高的權(quán)限。但與域管理員不同的是，他們被限制在一臺(tái)本地機(jī)器上。但是，本地管理員可以完全訪問本地服務(wù)器或客戶機(jī)上的資源。他們可以使用自己的帳戶創(chuàng)建本地用戶，分配用戶權(quán)限和訪問控制權(quán)限，以及安裝軟件。

本地管理帳戶通常在域中的每臺(tái)計(jì)算機(jī)上配置相同的密碼。因此，攻擊者只需要破壞一個(gè)帳戶的憑據(jù)就可以登錄到其他帳戶。這樣一來，惡意行為者經(jīng)常在勒索軟件攻擊中使用未管理的本地管理員憑據(jù)也就不足為奇了。

這并不意味著您需要完全禁用本地管理帳戶。相反地，您可以設(shè)置具有必要權(quán)限的個(gè)人帳戶來完成關(guān)鍵任務(wù)。要禁用本地管理帳戶，您需要修改活動(dòng)目錄中的組策略設(shè)置。然后，您可以對(duì)加入域的Windows計(jì)算機(jī)實(shí)施安全策略。

5. 使用托管服務(wù)帳戶（MSA）

MSA旨在增強(qiáng)在基于Windows的系統(tǒng)上運(yùn)行的應(yīng)用程序、服務(wù)和任務(wù)所使用的服務(wù)帳戶的安全性和可管理性。每個(gè)MSA都與特定的計(jì)算機(jī)隔離，這意味著它只能由該系統(tǒng)使用。

MSA帳號(hào)密碼復(fù)雜，由活動(dòng)目錄自動(dòng)管理?；顒?dòng)目錄域控制器定期進(jìn)行密碼輪換，降低了業(yè)務(wù)帳號(hào)密碼被破解、過期或暴露的風(fēng)險(xiǎn)。通過消除手動(dòng)密碼更改，將人為錯(cuò)誤的可能性降至最低。

（注意：MSA適用于Windows Server 2008 R2及更高版本，包括Windows Server 2012、2012 R2、2016、2019和2022。MSA的具體特性和功能可能因所使用的Windows Server版本而異。）

6. 查找并刪除未使用的帳戶

如果攻擊者入侵到活動(dòng)目錄并發(fā)現(xiàn)大量未使用的帳戶，他們無疑會(huì)大肆濫用這些帳戶。惡意的內(nèi)部人員也可以對(duì)未使用的帳戶進(jìn)行惡作劇。

創(chuàng)建一個(gè)正式的流程來識(shí)別活動(dòng)目錄中不活躍的用戶和未使用的計(jì)算機(jī)帳戶，可以幫助確保您始終領(lǐng)先于這種風(fēng)險(xiǎn)。作為這個(gè)過程的一部分，您需要確定識(shí)別不活躍賬戶的標(biāo)準(zhǔn)，比如一個(gè)特定的不活躍期（如90天）。您還應(yīng)該通知相關(guān)的利益相關(guān)者，以確?？梢园踩貏h除已識(shí)別的帳戶。

在開始刪除帳戶之前，花點(diǎn)時(shí)間備份您的活動(dòng)目錄環(huán)境也是明智之舉。此外，您也可以記錄下打算刪除的賬戶，并列出刪除它們的原因，這樣您就可以擁有很好的記錄。

7. 關(guān)注補(bǔ)丁管理和漏洞掃描

這個(gè)建議可能看起來很尋常，但重點(diǎn)在于，您需要迅速采取行動(dòng)修補(bǔ)活動(dòng)目錄漏洞，就像您應(yīng)該保護(hù)任何其他關(guān)鍵系統(tǒng)一樣。攻擊者正專注于利用已知漏洞針對(duì)您的活動(dòng)目錄環(huán)境。

以AD漏洞（如CVE-2022-26923）為例，微軟報(bào)告稱，經(jīng)過身份驗(yàn)證的用戶可以操縱他們擁有或管理的計(jì)算機(jī)帳戶的屬性，并從活動(dòng)目錄證書服務(wù)獲得證書，這將允許他們提升系統(tǒng)特權(quán)。這意味著攻擊者只需幾步就能從普通用戶迅速變成域管理員。

因此，建議組織確保經(jīng)常掃描并及時(shí)修復(fù)活動(dòng)目錄漏洞——如果可能的話，一個(gè)月一次或更頻繁一些。優(yōu)先處理對(duì)業(yè)務(wù)和用戶構(gòu)成最嚴(yán)重風(fēng)險(xiǎn)的修復(fù)，并識(shí)別和處理任何過時(shí)或不受支持的軟件。

原文標(biāo)題：7 Best Practices for Active Directory Security to Keep Attackers Out ，作者：MATTHEW GARDINER