法律 #3:如果不良演员对计算机具有无限制的物理访问权限,则它不再是你的计算机。 - 安全性的十项不变法则(版本 2.0)。
域控制器为 Active Directory 域服务 (AD DS) 数据库提供物理存储,此外还提供所需的服务和数据来让企业有效管理其服务器、工作站、用户和应用程序。 如果获得了对域控制器的特权访问,恶意用户可以修改、损坏或销毁 AD DS 数据库,进而修改、损坏 Active Directory 管理的所有系统和帐户。
由于域控制器可以读取和写入 AD DS 数据库中的任何内容,因此域控制器遭到入侵意味着 Active Directory 林再也不能被视为可信,除非可以使用已知的良好备份来恢复它,并关闭允许泄露的差距。
根据攻击者的准备、工具和技能,无法弥补的损害可以在几分钟或几小时内完成,而不是几天或几周。 重要的是攻击者对 Active Directory 具有特权访问权限的时间,但在特权访问时攻击者的准备程度如何。 入侵域控制器后,攻击者可以最直接地损坏成员服务器、工作站和 Active Directory。 由于存在这种威胁,应该单独为域控制器提供保护,并且对其的保护措施应该比一般基础设施更严格。
域控制器的物理安全性
本部分提供有关以物理方式保护域控制器的信息。 域控制器可以是位于数据中心、分支机构或远程位置的物理机或虚拟机。
数据中心域控制器
物理域控制器
在数据中心,物理域控制器应安装在独立于常规服务器总体的专用安全机架或笼中。 如果可能,应使用受信任的平台模块 (TPM) 芯片配置域控制器,并且域控制器服务器中的所有卷都应通过 BitLocker 驱动器加密进行保护。 BitLocker 增加了少量的性能开销,但即使从服务器中删除磁盘,也会保护目录免受损害。 BitLocker 还可以帮助保护系统免受 rootkit 等攻击,因为修改启动文件会导致服务器启动到恢复模式,以便可以加载原始二进制文件。 如果域控制器配置为使用软件 RAID、串行 SCSI、SAN/NAS 存储或动态卷,则无法实施 BitLocker,因此应尽可能在域控制器中使用本地附加存储(含或不含硬件 RAID)。
虚拟域控制器
如果实现虚拟域控制器,应确保域控制器也运行在独立于环境中其他虚拟机的物理主机上。 即使使用非 Microsoft 虚拟化平台,也可以考虑在 Windows Server 中的 Hyper-V 上部署虚拟域控制器。 此配置提供了最小的攻击面,并且可以使用它所托管的域控制器进行管理,而不是使用其他虚拟化主机进行管理。 如果实现 System Center Virtual Machine Manager(SCVMM)以管理虚拟化基础结构,则可以将域控制器虚拟机所在的物理主机的管理委托给已授权管理员。 还应考虑将虚拟域控制器的存储分开,以防止存储管理员访问虚拟机文件。
Note
如果打算将虚拟化域控制器与其他不太敏感的虚拟机并置在同一物理虚拟化服务器(主机)上,请考虑实施一种强制实施基于角色的职责分离的解决方案,例如 Hyper-V 中 受防护的 VM 。 此技术为恶意或未知情的构造管理员(包括虚拟化、网络、存储和备份管理员)提供全面的保护。 它通过远程证明和安全 VM 预配使用物理信任根,并有效地确保与专用物理服务器相同的安全级别。
分支位置
分支中的物理域控制器
在托管多个服务器但物理保护程度不如数据中心服务器的位置,应该为物理域控制器上的所有服务器卷配置 TPM 芯片和 BitLocker 驱动器加密。 如果域控制器不能存储在分支位置的锁定房间中,应考虑在这些位置部署 Read-Only 域控制器(RODC)。
分支中的虚拟域控制器
应尽可能在与站点中的其他虚拟机分开的物理主机上的分支机构中运行虚拟域控制器。 在虚拟域控制器无法与虚拟服务器填充的其余部分分开的物理主机上运行的分支机构中,应尽可能在虚拟域控制器运行、至少和在所有主机上实现 TPM 芯片和 BitLocker 驱动器加密。 根据分支机构的规模和物理主机的安全性,应考虑在分支位置部署 RODC。
具有有限空间和安全性的远程位置
如果基础结构包含仅可以安装单个物理服务器的位置,则应安装能够运行虚拟化工作负荷的服务器,并且应将 BitLocker 驱动器加密配置为保护服务器上的所有卷。 服务器上的一个虚拟机应作为 RODC 运行,其他服务器应作为主机上的单独虚拟机运行。 只读域控制器规划和部署指南中提供了有关规划 RODC 部署的信息。 有关部署和保护虚拟化域控制器的详细信息,请参阅在 Hyper-V 中运行域控制器。 有关强化 Hyper-V 安全性、委派虚拟机管理和保护虚拟机的更详细指南,请参阅 Hyper-V 安全指南。
域控制器作系统
应在组织支持的最新版本的 Windows Server 上运行所有域控制器。 组织应优先停用域控制器群中的旧操作系统。 将域控制器保持为当前和消除旧域控制器的优先级使你能够利用新功能和安全性。 此功能在运行旧作系统的域控制器的域或林中可能不可用。
Note
对于任何安全敏感且单一用途的配置,我们建议使用 服务器核心 安装选项部署作系统。 它提供了多种优势,例如最小化攻击面、提高性能并减少人为错误的可能性。 我们建议从专用高度安全的终结点(例如 特权访问工作站(PAW) 或 安全管理主机等专用高度安全的终结点远程执行所有作和管理。
域控制器的安全配置
可以使用工具创建初始安全配置基线,以便使用 GPO 强制执行域控制器。 这些工具在 管理安全策略设置 和 Desired State Configuration 概述中介绍。
RDP 限制
应将链接到林中所有域控制器 OU 的组策略对象配置为仅允许来自授权用户和系统(如跳转服务器)的 RDP 连接。 可以通过将用户权限设置和 Windows 防火墙与高级安全配置相结合来实现控制。 可以使用 GPO 实现这些控件,以便一致地应用策略。 如果绕过策略,则下一次刷新组策略会将系统恢复为适当的配置。
域控制器的修补和配置管理
尽管看起来可能有悖常理,但应考虑单独修补域控制器和其他关键基础结构组件,而不跟常规 Windows 基础结构一起修补。 如果将企业配置管理软件用于基础结构中的所有计算机,则损坏系统管理软件可能会损坏或破坏该软件管理的所有基础结构组件。 通过将域控制器的修补和系统管理与一般人群分开,除了严格控制域控制器的管理外,还可以减少域控制器上安装的软件数量。
阻止域控制器的 Internet 访问
作为 Active Directory 安全评估的一部分执行的检查是在域控制器上使用和配置 Web 浏览器。 不应在域控制器上使用 Web 浏览器。 对数千个域控制器的分析揭示了许多情况下,特权用户使用 Internet Explorer 浏览组织的 Intranet 或 Internet。
从 Windows 基础结构中最强大的计算机之一浏览 Internet 或受感染的 Intranet 会给组织的安全带来极大的风险。 无论是通过下载还是下载受恶意软件感染的“实用工具”的驱动器,攻击者都可以访问完全入侵或销毁 Active Directory 环境所需的一切。
应使用策略和技术控制来限制在域控制器上启动 Web 浏览器。 还应严格控制对域控制器的 Internet 访问和传出。
我们鼓励所有组织迁移到基于云的标识和访问管理方法,并从 Active Directory 迁移到 Microsoft Entra ID。 Microsoft Entra ID 是一个完整的云标识和访问管理解决方案,用于管理目录、启用对本地和云应用的访问以及保护标识免受安全威胁。 Microsoft Entra ID 提供了一组可靠而精细的安全控制来帮助保护标识,例如多重身份验证、条件访问策略、ID 保护、标识治理和 Privileged Identity Management。
大多数组织在过渡到云期间在混合标识模型中运行,其中本地 Active Directory 的某些元素通过 Microsoft Entra Connect 进行同步。 尽管此混合模型存在于任何组织中,但我们建议通过 Microsoft Defender for Identity 对这些本地标识进行云支持的保护。 域控制器和 AD FS 服务器上 Defender for Identity 传感器的配置允许通过代理和特定终结点安全地单向连接到云。 有关如何配置此代理连接的完整说明,请参阅 Defender for Identity 的技术文档。 这种严格控制的配置可确保缓解将这些服务器连接到云服务所带来的风险,并使组织受益于 Defender for Identity 提供的增强式保护功能。 我们还建议使用云支持的终结点检测来保护这些服务器,例如 Microsoft Defender for Servers。
对于具有法规或其他策略驱动要求的组织,为了维护仅本地 Active Directory 的实现,我们建议完全限制对域控制器的 Internet 访问和从域控制器进行访问。
外围防火墙限制
应将外围防火墙配置为阻止从域控制器到 Internet 的出站连接。 尽管域控制器可能需要跨站点边界通信,但可以按照 “如何为 Active Directory 域和信任配置防火墙”中提供的准则来配置外围防火墙,以允许站点间通信。
阻止从域控制器进行 Web 浏览
可以将 AppLocker 配置、“黑洞”代理配置和 Windows 防火墙与高级安全配置结合使用,以防止域控制器访问 Internet,并防止在域控制器上使用 Web 浏览器。