譯者 | 晶顏

審校 | 重樓

活動目錄（Active Directory，AD）對于網絡安全防護的重要性不言而喻。一旦惡意行為者滲透到公司的活動目錄中，他們就可以提升自己的權限，橫向移動網絡并獲取對敏感數據和系統的訪問權限。

好在有很多方法可以強化活動目錄安全性。在這篇文章中，我們將介紹7條防止攻擊者進入活動目錄的最佳實踐，以幫助組織降低代價高昂的違規風險。

不過，在此之前，讓我們先來詳細了解一下活動目錄及其用途，以及活動目錄安全的重要性及與之相關的一些常見風險。

活動目錄概念及用途

活動目錄服務是Windows 2000 Server最重要的新功能之一，它可將網絡中各種對象組合起來進行管理，方便了網絡對象的查找，加強了網絡的安全性，并有利于用戶對網絡的管理。

活動目錄是一種目錄服務，它存儲有關網絡對象（例如用戶、組、計算機、共享資源、打印機和聯系人）的信息，并使管理員和用戶可以方便的查找和使用這些信息。通過活動目錄，用戶可以對用戶與計算機、域、信任關系，以及站點與服務進行管理。

簡單的說，可以把活動目錄理解成一個動態可擴展的，專門為了查詢、瀏覽、搜索優化的特殊數據庫。它允許管理員執行安全策略、設置密碼策略以及控制對敏感系統和數據的訪問。舉個例子，如果您想要檢查電子郵件或通過公司基于Windows的網絡訪問互聯網，那么AD就是允許您連接到這些資源的所在。此外，它還簡化了單點登錄（SSO）身份驗證過程。

活動目錄安全的重要性

如上所述，如果惡意行為者能夠破壞活動目錄，那么他們就能輕松獲得對敏感數據的訪問權限，或者做一些更糟糕的事情。以下是活動目錄環境成為攻擊者主要目標的幾個原因：

• 集中式控制?；顒幽夸浭强刂凭W絡資源（包括用戶帳戶和服務器）的中心點。一旦進入活動目錄，攻擊者就可以控制整個網絡，并可能危及連接到它的其他資源。
• 憑據盜竊。攻擊者可以竊取存儲在活動目錄中的用戶名和密碼。然后，他們就可以使用這些憑據訪問公司內的其他系統、應用程序和數據。
• 特權升級?；顒幽夸洿鎯τ嘘P用戶角色、權限和組成員關系的信息。因此，如果攻擊者可以升級他們在活動目錄中的權限，他們就可以訪問其他系統或管理帳戶。這將允許他們在網絡內部進行橫向移動，擴大他們的立足點。
• 持久性。一旦攻擊者進入活動目錄，他們就可以在網絡中建立持久性。他們可以設置后門訪問，添加流氓用戶賬戶或操縱安全政策，這些舉措都旨在讓他們更容易逃避檢測。即便他們被發現，安全團隊也很難從網絡中將其移除，因為他們已經創建了多個其他入口點。

常見的活動目錄安全風險

總的來說，活動目錄最關鍵的安全風險主要有兩個：未經授權訪問帳戶和系統以及竊取用戶名和密碼等憑據。當然，后者是獲得未經授權訪問的重要策略。

不過，如果組織想要提高活動目錄安全性，還必須著手解決以下常見風險：

• 密碼策略不足。強密碼對于防止數據泄露和丟失至關重要。如果您的密碼實踐和策略不足，可以肯定的是，攻擊者將充分利用這些弱點。
• 缺乏多因素認證（MFA）。沒有MFA，一個泄露的密碼將為攻擊者提供未經授權訪問的快速路徑。啟用MFA時，您就啟用了一個額外的身份驗證層。使用多因素身份驗證來幫助保護特權帳戶尤為重要。雖然MFA不是100%安全，但它確實有很大幫助。
• 配置錯誤。惡意行為者將迅速采取行動，濫用他們可以在您的活動目錄中識別的任何錯誤配置。一些示例包括錯誤配置的管理員特權、“老舊”帳戶或沒有密碼過期策略的帳戶，以及隱藏的安全標識符（SID）。
• 遺留系統。遺留系統可能依賴于過時版本的活動目錄，攻擊者將尋求利用任何已知的漏洞。此外，重要的是要了解活動目錄環境會隨著時間的推移而積累身份數據。雖然其中一些信息可能仍然相關，但大部分信息可能已經無關緊要了。在這兩種情況下，這些信息可能都沒有得到應有的管理。
• 內部威脅。懷有惡意的員工或其他內部人員可能會濫用對您的活動目錄的合法訪問權限。他們可能試圖竊取高價值的數據（如知識產權和財務數據），破壞系統或以其他方式對業務造成損害。

活動目錄安全優秀實踐

活動目錄提供安全特性，如訪問控制列表（ACL）、加密和審計功能，以保護敏感數據和資源。這些都是很好的特性，但是，全面和持續的活動目錄安全涉及許多其他步驟和策略。

組織的業務環境是復雜的，并且一直在變化，活動目錄環境也是如此。針對活動目錄的威脅也在不斷發展。考慮到所有這些，下面介紹7條活動目錄安全最佳實踐，以幫助組織降低代價高昂的違規風險。

1. 高度防護域管理員帳戶

攻擊者急于破壞與活動目錄關聯的域管理員帳戶，這是因為這些活動目錄用戶對整個AD“林”（forest，服務目錄中一個或多個域樹的集合）域具有很高的管理控制權限和權限。

保護域管理帳戶的一個技巧是將它們從默認的“管理員”重命名為更有創意（并且更難猜測）的名稱。此外，實現強大的密碼策略和使用助記詞也都會有所幫助。另一個好的實踐是要求MFA進行身份驗證。

2. 限制使用高度權限訪問活動目錄

授權人員應該是在活動目錄中具有管理訪問權限的唯一用戶。而那些擁有域管理員權限的人不應該使用這些帳戶進行日常任務。相反地，他們應該使用單獨的、權限較低的帳戶進行日常或常見的用戶活動。

限制活動目錄訪問的相關措施包括：

• 實現最低權限原則（PoLP），只授予用戶執行其工作所需的權限，而不授予其他權限；
• 使用基于角色的訪問控制（RBAC）來限制用戶對特定任務或系統的訪問；
• 定期審核管理帳戶。

3. 使用已鎖定的安全管理工作站（SAW）

SAW是一個高度安全和隔離的環境，用于在關鍵系統和服務（如活動目錄）中執行管理任務。管理員必須來自SAW，才能執行任何管理任務或連接到任何其他受管理的服務器或網絡。“鎖定”（lock down）SAW的一些方法包括：

• 使用專用硬件或虛擬機（VM）執行管理任務；
• 加固SAW的操作系統，例如，通過禁用不必要的服務和功能；
• 實現嚴格的訪問控制和用戶權限管理；
• 將SAW放置在單獨的網段中；
• 減少或消除與SAW的直接互聯網連接。

4. 禁用本地管理員帳戶

本地管理員也擁有很高的權限。但與域管理員不同的是，他們被限制在一臺本地機器上。但是，本地管理員可以完全訪問本地服務器或客戶機上的資源。他們可以使用自己的帳戶創建本地用戶，分配用戶權限和訪問控制權限，以及安裝軟件。

本地管理帳戶通常在域中的每臺計算機上配置相同的密碼。因此，攻擊者只需要破壞一個帳戶的憑據就可以登錄到其他帳戶。這樣一來，惡意行為者經常在勒索軟件攻擊中使用未管理的本地管理員憑據也就不足為奇了。

這并不意味著您需要完全禁用本地管理帳戶。相反地，您可以設置具有必要權限的個人帳戶來完成關鍵任務。要禁用本地管理帳戶，您需要修改活動目錄中的組策略設置。然后，您可以對加入域的Windows計算機實施安全策略。

5. 使用托管服務帳戶（MSA）

MSA旨在增強在基于Windows的系統上運行的應用程序、服務和任務所使用的服務帳戶的安全性和可管理性。每個MSA都與特定的計算機隔離，這意味著它只能由該系統使用。

MSA帳號密碼復雜，由活動目錄自動管理。活動目錄域控制器定期進行密碼輪換，降低了業務帳號密碼被破解、過期或暴露的風險。通過消除手動密碼更改，將人為錯誤的可能性降至最低。

（注意：MSA適用于Windows Server 2008 R2及更高版本，包括Windows Server 2012、2012 R2、2016、2019和2022。MSA的具體特性和功能可能因所使用的Windows Server版本而異。）

6. 查找并刪除未使用的帳戶

如果攻擊者入侵到活動目錄并發現大量未使用的帳戶，他們無疑會大肆濫用這些帳戶。惡意的內部人員也可以對未使用的帳戶進行惡作劇。

創建一個正式的流程來識別活動目錄中不活躍的用戶和未使用的計算機帳戶，可以幫助確保您始終領先于這種風險。作為這個過程的一部分，您需要確定識別不活躍賬戶的標準，比如一個特定的不活躍期（如90天）。您還應該通知相關的利益相關者，以確保可以安全地刪除已識別的帳戶。

在開始刪除帳戶之前，花點時間備份您的活動目錄環境也是明智之舉。此外，您也可以記錄下打算刪除的賬戶，并列出刪除它們的原因，這樣您就可以擁有很好的記錄。

7. 關注補丁管理和漏洞掃描

這個建議可能看起來很尋常，但重點在于，您需要迅速采取行動修補活動目錄漏洞，就像您應該保護任何其他關鍵系統一樣。攻擊者正專注于利用已知漏洞針對您的活動目錄環境。

以AD漏洞（如CVE-2022-26923）為例，微軟報告稱，經過身份驗證的用戶可以操縱他們擁有或管理的計算機帳戶的屬性，并從活動目錄證書服務獲得證書，這將允許他們提升系統特權。這意味著攻擊者只需幾步就能從普通用戶迅速變成域管理員。

因此，建議組織確保經常掃描并及時修復活動目錄漏洞——如果可能的話，一個月一次或更頻繁一些。優先處理對業務和用戶構成最嚴重風險的修復，并識別和處理任何過時或不受支持的軟件。

原文標題：7 Best Practices for Active Directory Security to Keep Attackers Out ，作者：MATTHEW GARDINER