当前位置: 首页 > news >正文

微软 AD 介绍 | 安全建议 | 防护

news 2026/2/7 13:30:57

介绍:

image.png

  1. 什么是Active Directory(AD)?

    • Active Directory 是由 微软开发的目录服务,用于存储和管理网络中的资源,如计算机、用户、组和其他网络对象。
    • 允许组织管理员轻松地管理和验证网络中的用户和计算机。

  2. Active Directory的角色:

    • 身份验证和授权: 管理用户的身份验证和授权,确保只有授权用户可以访问资源。
    • 资源管理: 管理和维护网络资源,如打印机、文件和其他服务。
    • 目录服务: 存储和组织网络上的所有对象,并提供对这些对象的搜索和访问。

重要性

image.png

  1. 安全性是关键:

    • AD存储着身份验证和授权信息,因此安全性至关重要。未经授权的访问会导致敏感数据泄漏和系统破坏。

  2. 凭据保护:

    • 保护管理员和用户凭据的安全性,防止凭据泄露和滥用。

  3. 权限控制:

    • 只有授权的用户可以执行特定的操作,防止横向和纵向的滥用。

  4. 防范攻击:

    • AD是攻击者经常瞄准的目标之一。采取措施以防范攻击,如拒绝服务(DoS)和恶意软件。

  5. 网络:

    • 保持网络的连通性和正常运作。

  6. 合规:

    • 许多行业和法规要求确保IT基础设施的安全性。AD安全是实现合规性的重要组成部分。

  7. 数据保护:

    • AD中存储了大量的用户和数据。保护AD及其存储数据不受未经授权的访问和篡改。

  8. 业务连续性:

    • AD的可用性直接影响到业务连续性。

  9. 监控和审计:

    • 实施监控和审计措施,及时检测和响应潜在的安全威胁。

AD安全是IT基础设施安全性的基石,对于维护业务运行和防范潜在威胁至关重要。采取综合的安全措施是确保AD在网络生态系统中发挥其作用的关键。
image.png

安全建议

配置安全
  1. 管理本地管理员密码(LAPS)。
  2. RDP 受限管理员模式。
  3. 移除不受支持的操作系统。
  4. 监控敏感系统(如 DC 等)上的定时任务。
  5. 确保 Out-of-Band(OOB)管理密码(DSRM)定期更改并安全存储。
  6. 使用 SMB v2/v3+。
  7. 默认域管理员和 KRBTGT 密码应每年更改一次。
  8. 移除不必要的信任,并根据需要启用 SID 过滤。
  9. 所有域身份验证应尽量设置为:“仅 NTLMv2 响应,拒绝 LM 和 NTLM。”
  10. 阻止域控制器、服务器和所有管理系统的互联网访问。
管理员凭据
  1. 不要将“用户”或计算机帐户添加到管理员组中。
  2. 确保所有管理员帐户都是“敏感的,不可委派的”。
  3. 将管理员帐户添加到“受保护的用户”组(需要 Windows Server 2012 R2 域控制器,2012R2 DFL 用于域保护)。
  4. 禁用所有不活动的管理员帐户并从特权组中删除。
AD 管理凭据
  1. 限制 AD 管理成员资格(DA、EA、架构管理员等),只使用自定义委派组。
  2. 采用“分层”管理,减轻凭据窃取的影响。
  3. 确保管理员只登录到经批准的管理员工作站和服务器。
  4. 为所有管理员帐户使用基于时间的临时组成员资格。
服务帐户凭据
  1. 限制到相同安全级别的系统。
  2. 利用“(群组) 管理服务帐户”(或密码 >20 个字符)以减轻凭据窃取(kerberoast)。
  3. 实施 FGPP(DFL =>2008)以增加服务帐户和管理员的密码要求。
  4. 登录限制 – 防止交互式登录,并将登录能力限制为特定计算机。
  5. 禁用不活动的服务帐户并从特权组中删除。
资源防护
  1. 划分网络保护管理员和关键系统。
  2. 部署 IDS 监控内部公司网络。
  3. 将网络设备和 Out-of-Band(OOB)管理放在单独的网络上。
域控制器防护
  1. 仅运行支持 AD 的软件和服务。
  2. 具有 DC 管理/登录权限的最小组(和用户)。
  3. 在运行 DCPromo 之前确保应用补丁(特别是 MS14-068 和其他关键补丁)。
  4. 验证定时任务和脚本。
工作站(和服务器)防护
  1. 快速补丁迭代,特别是特权升级漏洞。
  2. 部署安全后移植补丁(KB2871997)。
  3. 将 Wdigest 注册键设置为 0(KB2871997/Windows 8.1/2012R2+):HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Wdigest。
  4. 部署工作站白名单(Microsoft AppLocker)以阻止用户文件夹中的代码执行 – 主目录和配置文件路径。
  5. 部署工作站应用程序沙箱技术(EMET)以减轻应用程序内存利用漏洞(0天)。
日志记录
  1. 启用增强型审核。
  2. “审核:强制审核策略子类设置(Windows Vista 或更高版本)覆盖审核策略类别设置”。
  3. 启用 PowerShell 模块日志记录(“*”),并将日志转发到中央日志服务器(WEF 或其他方法)。
  4. 启用 CMD 进程日志记录和增强(KB3004375),并将日志转发到中央日志服务器。
  5. 使用 SIEM 或等效工具集中尽可能多的日志数据。
  6. 为增强对用户活动的了解使用用户行为分析系统(如 Microsoft ATA)。
安全检查
  1. 确定谁拥有 AD 管理权限(域/森林)?
  2. 确定谁可以登录到域控制器(和对托管虚拟 DC 虚拟环境的管理权限)?
  3. 扫描 Active Directory 域、OU、AdminSDHolder 和 GPO,查找不合适的自定义权限?
  4. 确保 AD 管理员(也称为域管理员)通过不登录到不受信任的系统来保护他们的凭据?
  5. 限制当前具有 DA(或等效)的服务帐户权限?
~喜欢的话,请收藏 | 关注(✪ω✪)~
~万一有趣的事还在后头呢,Fight!!(o^-^)~''☆ミ☆ミ~……

相关文章:

微软 AD 介绍 | 安全建议 | 防护

介绍: 什么是Active Directory(AD)? Active Directory 是由 微软开发的目录服务,用于存储和管理网络中的资源,如计算机、用户、组和其他网络对象。允许组织管理员轻松地管理和验证网络中的用户和计算机。 …...

编程日记 2024/1/24 10:11:11

React16源码: React中的reconcileChildren的源码实现

reconcileChildren 1 )概述 在更新了一个节点之后,拿到它的props.children要根据这个children里面的 ReactElement 来去创建子树的所有的 fiber 对象要根据 props.children 来生成 fiber 子树,然后判断 fiber 对象它是否是可以复用的 因为我…...

编程日记 2024/1/24 10:09:09

幻兽帕鲁Docker服务端搭建

幻兽帕鲁Docker服务端搭建 各种命令 https://bbs.saraba1st.com/2b/thread-2168983-1-1.html 存档恢复 这里直接看这个工程的readme就行:https://github.com/yoko-murasame/palworld-host-save-fix 其他参考:https://forum.gamer.com.tw/C.php?bsn7…...

编程日记 2024/1/24 10:08:08

【ARM Cortex-M 系列 1.1 -- Cortex-M33 与 M4 差异 详细介绍】

请阅读【嵌入式开发学习必备专栏 之 Cortex-Mx 专栏】 文章目录 背景Cortex-M33 与 M4 差异Cortex-M33Cortex-M4关系和差异举例说明 背景 在移植 RT-Thread 到 瑞萨RA4M2(Cortex-M33)上时,遇到了hardfault 问题,最后使用了Cortex…...

编程日记 2024/1/24 10:07:07

docker 部署及命令

一、容器概述 1、为什么要用到容器? ①容器可以屏蔽底层操作系统的差异性,让业务应用不管在哪里都是使用容器的环境运行,从而保证开发测试环境与生产环境的一致性 ②容器部署起来非常便捷和迅速,缩短开发测试部署的周期时间 2…...

编程日记 2024/1/24 10:03:02

API接口安全总结

接口分类 HTTP接口 RPC接口(客户端和服务器端的连接 例如游戏登陆)非web协议,PRC 远程过程调用 Remote Procedure Call,其就是一个节点请求另外一个节点提供的服务。当两个物理分离的子系统需要建立逻辑上的关联时,R…...

编程日记 2024/1/24 9:59:57

性能优化-HVX 指令介绍

「发表于知乎专栏《移动端算法优化》」 本文主要介绍了 HVX 指令相关的知识,包括 HVX 寄存器相关内容,指令的背景依赖,部分常用 intrinsic HVX 指令。具体指令的详细内容及使用还需阅读 HVX 的指令文档,以及细致的实践操作。 &…...

编程日记 2024/1/24 9:58:56

web安全思维导图(白帽子)

web安全思维导图(白帽子) 客户端脚本安全 服务端应用安全 白帽子讲web安全 安全运营体系建设...

编程日记 2024/1/24 9:57:55

美,英,法,德、意大利和西班牙的geojson,以及区域json

美,英,法,德、意大利和西班牙的geojson文件 json地址 https://pan.baidu.com/s/1nio1bV_j-jAEVqgEHXWsNw?pwdqwer#list/path/GEOJSON 感谢大佬提供的 大佬连接 大佬的知乎原地址 国内geojson获取工具地址 http://da![在这里插入图片描述](h…...

编程日记 2024/1/24 9:53:49

JavaEE-微服务-Vuex

Vuex 2.1 什么是Vuex Vuex 是一个专为 Vue.js 应用程序开发的状态管理模式。 Vuex在组件之间共享数据。 2.2 使用 vue cli 构建项目 2.3 入门案例 2.3.1 定义数据 export default new Vuex.Store({state: { // 状态区域(定义变量区域)user: ,toke…...

编程日记 2024/1/24 9:51:46

在Windows虚拟机中挂载IP代理的流程

在虚拟机中挂载IP代理的步骤通常依赖于所使用的虚拟机软件(如VMware、VirtualBox等)以及代理服务器类型(HTTP/HTTPS/SOCKS)。以下是一个通用流程: 在Windows虚拟机中设置网络代理以使用代理IP: 1. SOCKS或H…...

编程日记 2024/1/24 9:48:43

软考之软件工程

一、瀑布模型 严格区分阶段,每个阶段因果关系紧密相连,只适合需求明确的项目 缺点:软件需求完整性、正确性难确定;严格串行化,很长时间才能看到结果;瀑布模型要求每个阶段一次性完全解决该阶段工作&#xf…...

编程日记 2024/1/24 9:45:39

微信小程序(六)tabBar的使用

注释很详细,直接上代码 上一篇 新增内容: 1. 标签栏文字的内容以及默认与选中颜色 2. 标签栏图标的默认样式与选中样式 3. 标签选项路径页面 4.标签栏背景颜色 🐼(文末补充)设置标签栏后为什么navigator标签无法跳转页…...

编程日记 2024/1/24 9:42:36

写Shell以交互方式变更Ubuntu的主机名

以下是一个简单的 Bash 脚本,用于以交互方式更改 Ubuntu 20 系统的主机名: 1#!/bin/bash 2 3# 提示用户输入新的主机名 4read -p "请输入新的系统名称(主机名): " new_hostname 5 6# 检查是否输入了新的主机名 7if [ -…...

编程日记 2024/1/24 9:39:29

SpringBoot整合ElasticSearch实现基础的CRUD操作

本文来说下SpringBoot整合ES实现CRUD操作 文章目录 概述spring-boot-starter-data-elasticsearch项目搭建ES简单的crud操作保存数据修改数据查看数据删除数据 本文小结 概述 SpringBoot支持两种技术和es交互。一种的jest,还有一种就是SpringData-ElasticSearch。根据…...

编程日记 2024/1/24 9:38:28

【PyTorch】记一次卷积神经网络优化过程

记一次卷积神经网络优化过程 前言 在深度学习的世界中,图像分类任务是一个经典的问题,它涉及到识别给定图像中的对象类别。CIFAR-10数据集是一个常用的基准数据集,包含了10个类别的60000张32x32彩色图像。在上一篇博客中,我们已…...

编程日记 2024/1/24 9:36:26

C++面试宝典第24题:袋鼠过河

题目 一只袋鼠要从河这边跳到河对岸,河很宽,但是河中间打了很多桩子。每隔一米就有一个桩子,每个桩子上都有一个弹簧,袋鼠跳到弹簧上就可以跳得更远。每个弹簧力量不同,用一个数字代表它的力量,如果弹簧力量为5,就代表袋鼠下一跳最多能够跳5米;如果为0,就会陷进去无法…...

编程日记 2024/1/24 9:35:25

2401vim,vim标号

标号简介 提供高亮,快速告诉用户有用信息.如,调试器在左侧列中有个表示断点的图标. 另一例可能是表示(PC)程序计数器的箭头.标号功能允许在窗口左侧放置标号或图标,并定义应用行的高亮. 此外,调试器还支持8到10种不同的标号和高亮颜色,见|NetBeans|. 使用标号有两个步骤: 1…...

编程日记 2024/1/24 9:28:17

Web开发中HTTP请求、响应等相关知识

目录 params和data区别? post请求可以使用params吗? put、delete请求应该使用params还是data? get和post的区别? 常用注解使用 params和data区别? 在使用Ajax时,"params" 和 "data" 通常用于不同的上下文。 "params…...

编程日记 2024/1/24 9:25:14

[Android] Android文件系统中存储的内容有哪些?

文章目录 前言root 文件系统/system 分区稳定性:安全性: /system/bin用来提供服务的二进制可执行文件:调试工具:UNIX 命令:调用 Dalvik 的脚本(upall script):/system/bin中封装的app_process脚本 厂商定制的二进制可执行文件: /system/xbin/system/lib[64]/system/…...

编程日记 2024/1/24 9:24:13

RestClient

什么是RestClient RestClient 是 Elasticsearch 官方提供的 Java 低级 REST 客户端,它允许HTTP与Elasticsearch 集群通信,而无需处理 JSON 序列化/反序列化等底层细节。它是 Elasticsearch Java API 客户端的基础。 RestClient 主要特点 轻量级&#xff…...

编程新知 2025/11/30 15:33:36

相机Camera日志实例分析之二:相机Camx【专业模式开启直方图拍照】单帧流程日志详解

【关注我,后续持续新增专题博文,谢谢!!!】 上一篇我们讲了: 这一篇我们开始讲: 目录 一、场景操作步骤 二、日志基础关键字分级如下 三、场景日志如下: 一、场景操作步骤 操作步…...

编程新知 2026/1/30 10:10:55

无法与IP建立连接,未能下载VSCode服务器

如题,在远程连接服务器的时候突然遇到了这个提示。 查阅了一圈,发现是VSCode版本自动更新惹的祸!!! 在VSCode的帮助->关于这里发现前几天VSCode自动更新了,我的版本号变成了1.100.3 才导致了远程连接出…...

编程新知 2026/1/22 21:24:01

大数据零基础学习day1之环境准备和大数据初步理解

学习大数据会使用到多台Linux服务器。 一、环境准备 1、VMware 基于VMware构建Linux虚拟机 是大数据从业者或者IT从业者的必备技能之一也是成本低廉的方案 所以VMware虚拟机方案是必须要学习的。 (1)设置网关 打开VMware虚拟机,点击编辑…...

编程新知 2026/1/25 14:43:07

如何在看板中有效管理突发紧急任务

在看板中有效管理突发紧急任务需要:设立专门的紧急任务通道、重新调整任务优先级、保持适度的WIP(Work-in-Progress)弹性、优化任务处理流程、提高团队应对突发情况的敏捷性。其中,设立专门的紧急任务通道尤为重要,这能…...

编程新知 2026/2/3 22:50:06

【单片机期末】单片机系统设计

主要内容:系统状态机,系统时基,系统需求分析,系统构建,系统状态流图 一、题目要求 二、绘制系统状态流图 题目:根据上述描述绘制系统状态流图,注明状态转移条件及方向。 三、利用定时器产生时…...

编程新知 2026/1/31 12:27:36

Springcloud:Eureka 高可用集群搭建实战(服务注册与发现的底层原理与避坑指南)

引言:为什么 Eureka 依然是存量系统的核心? 尽管 Nacos 等新注册中心崛起,但金融、电力等保守行业仍有大量系统运行在 Eureka 上。理解其高可用设计与自我保护机制,是保障分布式系统稳定的必修课。本文将手把手带你搭建生产级 Eur…...

编程新知 2026/1/31 7:23:48

HashMap中的put方法执行流程(流程图)

1 put操作整体流程 HashMap 的 put 操作是其最核心的功能之一。在 JDK 1.8 及以后版本中,其主要逻辑封装在 putVal 这个内部方法中。整个过程大致如下: 初始判断与哈希计算: 首先,putVal 方法会检查当前的 table(也就…...

编程新知 2026/2/5 4:32:47

代码规范和架构【立芯理论一】(2025.06.08)

1、代码规范的目标 代码简洁精炼、美观,可持续性好高效率高复用,可移植性好高内聚,低耦合没有冗余规范性,代码有规可循,可以看出自己当时的思考过程特殊排版,特殊语法,特殊指令,必须…...

编程新知 2026/1/28 11:47:09

ui框架-文件列表展示

ui框架-文件列表展示 介绍 UI框架的文件列表展示组件,可以展示文件夹,支持列表展示和图标展示模式。组件提供了丰富的功能和可配置选项,适用于文件管理、文件上传等场景。 功能特性 支持列表模式和网格模式的切换展示支持文件和文件夹的层…...

编程新知 2026/2/4 17:34:02