保護 Active Directory 對任何資安策略都至關重要。Active Directory 控制了誰可以存取您的網路及存取後所進行的操作行為,若缺乏對 AD 的管控,企業的違規風險和停機時間都將大幅增加。
然而,一個廣泛且深度防禦的 Active Directory 安全性是甚麼樣呢 ? Quest 在文章中介紹了八種最佳實踐作法,幫助您實現這些目標並保護您的 Active Directory。
1. 清理 IT 環境以減少受攻擊面 一個更簡單的結構更易於理解和管理,整理您的 Active Directory,識別並刪除不必要的 Active Directory 安全群組,以減少攻擊者提升權限的機會。而後進一步將清理工作簡化及自動化,同時實施patch和弱點管理、避免使用弱認證協議、保護您的網域控制器。 2. 執行最小權限 最小權限可以說是 Active Directory 安全最佳實踐中的基本,透過準確地給予每個使用者適當的工作存取權限,以減少過度配置所造成的風險。 3. 關注高特權帳號 針對擁有存取敏感系統及資料的高特權帳號進行額外的控制,包括:管理員帳號等。 4. 實施攻擊路徑管理和監控 了解可能的攻擊路徑,並進行管理及監控,可避免攻擊者用來提升權限以控制 AD domain,透過關閉這些節點,可以封鎖依賴這些節點的攻擊路徑,以保護您的關鍵資產 【ebook】透過攻擊路徑管理提升 Active Directory 安全性 5. 從多個來源端收集並整合成全面的審核資料 收集來自多個來源端的日誌資料,包含本機日誌或透過日誌系統收集。將所有資料進行整合和正規化,以便快速準確地發現威脅並用於取證分析。 6. 即時發覺可疑活動並進行調查 除了提升權限外,還須注意其他可疑活動(如:異常登入行為、多次失敗登入、高權限帳號的密碼更改行為等),每當發現威脅時,您需要能快速調查並做出回應。 7. 關注群組策略 GPO 的特性使其成為駭客的頭號目標,他們可能利用 GPO 盜取有價值的資料和部屬惡意軟體,甚至在事後銷毀其活動軌跡。您應該定期檢查 GPO,並在 IT 生態系統有重大變化時進行檢查。理想情況下,您應該能夠預防對最關鍵的GPO進行任何更改。 8. 一個可靠的 AD 備份和復原策略 無論您採取多少方法來保護 Active Directory,仍然需要一個全面的 Active Directory 災難復原解決方案,能夠快速有效地進行復原。 |