微软 AD 介绍 | 安全建议 | 防护
介绍:
-
什么是Active Directory(AD)?
- Active Directory 是由 微软开发的目录服务,用于存储和管理网络中的资源,如计算机、用户、组和其他网络对象。
- 允许组织管理员轻松地管理和验证网络中的用户和计算机。
-
Active Directory的角色:
- 身份验证和授权: 管理用户的身份验证和授权,确保只有授权用户可以访问资源。
- 资源管理: 管理和维护网络资源,如打印机、文件和其他服务。
- 目录服务: 存储和组织网络上的所有对象,并提供对这些对象的搜索和访问。
重要性
-
安全性是关键:
- AD存储着身份验证和授权信息,因此安全性至关重要。未经授权的访问会导致敏感数据泄漏和系统破坏。
-
凭据保护:
- 保护管理员和用户凭据的安全性,防止凭据泄露和滥用。
-
权限控制:
- 只有授权的用户可以执行特定的操作,防止横向和纵向的滥用。
-
防范攻击:
- AD是攻击者经常瞄准的目标之一。采取措施以防范攻击,如拒绝服务(DoS)和恶意软件。
-
网络:
- 保持网络的连通性和正常运作。
-
合规:
- 许多行业和法规要求确保IT基础设施的安全性。AD安全是实现合规性的重要组成部分。
-
数据保护:
- AD中存储了大量的用户和数据。保护AD及其存储数据不受未经授权的访问和篡改。
-
业务连续性:
- AD的可用性直接影响到业务连续性。
-
监控和审计:
- 实施监控和审计措施,及时检测和响应潜在的安全威胁。
AD安全是IT基础设施安全性的基石,对于维护业务运行和防范潜在威胁至关重要。采取综合的安全措施是确保AD在网络生态系统中发挥其作用的关键。
安全建议
配置安全
- 管理本地管理员密码(LAPS)。
- RDP 受限管理员模式。
- 移除不受支持的操作系统。
- 监控敏感系统(如 DC 等)上的定时任务。
- 确保 Out-of-Band(OOB)管理密码(DSRM)定期更改并安全存储。
- 使用 SMB v2/v3+。
- 默认域管理员和 KRBTGT 密码应每年更改一次。
- 移除不必要的信任,并根据需要启用 SID 过滤。
- 所有域身份验证应尽量设置为:“仅 NTLMv2 响应,拒绝 LM 和 NTLM。”
- 阻止域控制器、服务器和所有管理系统的互联网访问。
管理员凭据
- 不要将“用户”或计算机帐户添加到管理员组中。
- 确保所有管理员帐户都是“敏感的,不可委派的”。
- 将管理员帐户添加到“受保护的用户”组(需要 Windows Server 2012 R2 域控制器,2012R2 DFL 用于域保护)。
- 禁用所有不活动的管理员帐户并从特权组中删除。
AD 管理凭据
- 限制 AD 管理成员资格(DA、EA、架构管理员等),只使用自定义委派组。
- 采用“分层”管理,减轻凭据窃取的影响。
- 确保管理员只登录到经批准的管理员工作站和服务器。
- 为所有管理员帐户使用基于时间的临时组成员资格。
服务帐户凭据
- 限制到相同安全级别的系统。
- 利用“(群组) 管理服务帐户”(或密码 >20 个字符)以减轻凭据窃取(kerberoast)。
- 实施 FGPP(DFL =>2008)以增加服务帐户和管理员的密码要求。
- 登录限制 – 防止交互式登录,并将登录能力限制为特定计算机。
- 禁用不活动的服务帐户并从特权组中删除。
资源防护
- 划分网络保护管理员和关键系统。
- 部署 IDS 监控内部公司网络。
- 将网络设备和 Out-of-Band(OOB)管理放在单独的网络上。
域控制器防护
- 仅运行支持 AD 的软件和服务。
- 具有 DC 管理/登录权限的最小组(和用户)。
- 在运行 DCPromo 之前确保应用补丁(特别是 MS14-068 和其他关键补丁)。
- 验证定时任务和脚本。
工作站(和服务器)防护
- 快速补丁迭代,特别是特权升级漏洞。
- 部署安全后移植补丁(KB2871997)。
- 将 Wdigest 注册键设置为 0(KB2871997/Windows 8.1/2012R2+):HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Wdigest。
- 部署工作站白名单(Microsoft AppLocker)以阻止用户文件夹中的代码执行 – 主目录和配置文件路径。
- 部署工作站应用程序沙箱技术(EMET)以减轻应用程序内存利用漏洞(0天)。
日志记录
- 启用增强型审核。
- “审核:强制审核策略子类设置(Windows Vista 或更高版本)覆盖审核策略类别设置”。
- 启用 PowerShell 模块日志记录(“*”),并将日志转发到中央日志服务器(WEF 或其他方法)。
- 启用 CMD 进程日志记录和增强(KB3004375),并将日志转发到中央日志服务器。
- 使用 SIEM 或等效工具集中尽可能多的日志数据。
- 为增强对用户活动的了解使用用户行为分析系统(如 Microsoft ATA)。
安全检查
- 确定谁拥有 AD 管理权限(域/森林)?
- 确定谁可以登录到域控制器(和对托管虚拟 DC 虚拟环境的管理权限)?
- 扫描 Active Directory 域、OU、AdminSDHolder 和 GPO,查找不合适的自定义权限?
- 确保 AD 管理员(也称为域管理员)通过不登录到不受信任的系统来保护他们的凭据?
- 限制当前具有 DA(或等效)的服务帐户权限?
相关文章:
微软 AD 介绍 | 安全建议 | 防护
介绍: 什么是Active Directory(AD)? Active Directory 是由 微软开发的目录服务,用于存储和管理网络中的资源,如计算机、用户、组和其他网络对象。允许组织管理员轻松地管理和验证网络中的用户和计算机。 …...
React16源码: React中的reconcileChildren的源码实现
reconcileChildren 1 )概述 在更新了一个节点之后,拿到它的props.children要根据这个children里面的 ReactElement 来去创建子树的所有的 fiber 对象要根据 props.children 来生成 fiber 子树,然后判断 fiber 对象它是否是可以复用的 因为我…...
幻兽帕鲁Docker服务端搭建
幻兽帕鲁Docker服务端搭建 各种命令 https://bbs.saraba1st.com/2b/thread-2168983-1-1.html 存档恢复 这里直接看这个工程的readme就行:https://github.com/yoko-murasame/palworld-host-save-fix 其他参考:https://forum.gamer.com.tw/C.php?bsn7…...
【ARM Cortex-M 系列 1.1 -- Cortex-M33 与 M4 差异 详细介绍】
请阅读【嵌入式开发学习必备专栏 之 Cortex-Mx 专栏】 文章目录 背景Cortex-M33 与 M4 差异Cortex-M33Cortex-M4关系和差异举例说明 背景 在移植 RT-Thread 到 瑞萨RA4M2(Cortex-M33)上时,遇到了hardfault 问题,最后使用了Cortex…...
docker 部署及命令
一、容器概述 1、为什么要用到容器? ①容器可以屏蔽底层操作系统的差异性,让业务应用不管在哪里都是使用容器的环境运行,从而保证开发测试环境与生产环境的一致性 ②容器部署起来非常便捷和迅速,缩短开发测试部署的周期时间 2…...
API接口安全总结
接口分类 HTTP接口 RPC接口(客户端和服务器端的连接 例如游戏登陆)非web协议,PRC 远程过程调用 Remote Procedure Call,其就是一个节点请求另外一个节点提供的服务。当两个物理分离的子系统需要建立逻辑上的关联时,R…...
性能优化-HVX 指令介绍
「发表于知乎专栏《移动端算法优化》」 本文主要介绍了 HVX 指令相关的知识,包括 HVX 寄存器相关内容,指令的背景依赖,部分常用 intrinsic HVX 指令。具体指令的详细内容及使用还需阅读 HVX 的指令文档,以及细致的实践操作。 &…...
web安全思维导图(白帽子)
web安全思维导图(白帽子) 客户端脚本安全 服务端应用安全 白帽子讲web安全 安全运营体系建设...
美,英,法,德、意大利和西班牙的geojson,以及区域json
美,英,法,德、意大利和西班牙的geojson文件 json地址 https://pan.baidu.com/s/1nio1bV_j-jAEVqgEHXWsNw?pwdqwer#list/path/GEOJSON 感谢大佬提供的 大佬连接 大佬的知乎原地址 国内geojson获取工具地址 http://da
JavaEE-微服务-Vuex
Vuex 2.1 什么是Vuex Vuex 是一个专为 Vue.js 应用程序开发的状态管理模式。 Vuex在组件之间共享数据。 2.2 使用 vue cli 构建项目 2.3 入门案例 2.3.1 定义数据 export default new Vuex.Store({state: { // 状态区域(定义变量区域)user: ,toke…...
在Windows虚拟机中挂载IP代理的流程
在虚拟机中挂载IP代理的步骤通常依赖于所使用的虚拟机软件(如VMware、VirtualBox等)以及代理服务器类型(HTTP/HTTPS/SOCKS)。以下是一个通用流程: 在Windows虚拟机中设置网络代理以使用代理IP: 1. SOCKS或H…...
软考之软件工程
一、瀑布模型 严格区分阶段,每个阶段因果关系紧密相连,只适合需求明确的项目 缺点:软件需求完整性、正确性难确定;严格串行化,很长时间才能看到结果;瀑布模型要求每个阶段一次性完全解决该阶段工作…...
微信小程序(六)tabBar的使用
注释很详细,直接上代码 上一篇 新增内容: 1. 标签栏文字的内容以及默认与选中颜色 2. 标签栏图标的默认样式与选中样式 3. 标签选项路径页面 4.标签栏背景颜色 🐼(文末补充)设置标签栏后为什么navigator标签无法跳转页…...
写Shell以交互方式变更Ubuntu的主机名
以下是一个简单的 Bash 脚本,用于以交互方式更改 Ubuntu 20 系统的主机名: 1#!/bin/bash 2 3# 提示用户输入新的主机名 4read -p "请输入新的系统名称(主机名): " new_hostname 5 6# 检查是否输入了新的主机名 7if [ -…...
SpringBoot整合ElasticSearch实现基础的CRUD操作
本文来说下SpringBoot整合ES实现CRUD操作 文章目录 概述spring-boot-starter-data-elasticsearch项目搭建ES简单的crud操作保存数据修改数据查看数据删除数据 本文小结 概述 SpringBoot支持两种技术和es交互。一种的jest,还有一种就是SpringData-ElasticSearch。根据…...
【PyTorch】记一次卷积神经网络优化过程
记一次卷积神经网络优化过程 前言 在深度学习的世界中,图像分类任务是一个经典的问题,它涉及到识别给定图像中的对象类别。CIFAR-10数据集是一个常用的基准数据集,包含了10个类别的60000张32x32彩色图像。在上一篇博客中,我们已…...
C++面试宝典第24题:袋鼠过河
题目 一只袋鼠要从河这边跳到河对岸,河很宽,但是河中间打了很多桩子。每隔一米就有一个桩子,每个桩子上都有一个弹簧,袋鼠跳到弹簧上就可以跳得更远。每个弹簧力量不同,用一个数字代表它的力量,如果弹簧力量为5,就代表袋鼠下一跳最多能够跳5米;如果为0,就会陷进去无法…...
2401vim,vim标号
标号简介 提供高亮,快速告诉用户有用信息.如,调试器在左侧列中有个表示断点的图标. 另一例可能是表示(PC)程序计数器的箭头.标号功能允许在窗口左侧放置标号或图标,并定义应用行的高亮. 此外,调试器还支持8到10种不同的标号和高亮颜色,见|NetBeans|. 使用标号有两个步骤: 1…...
Web开发中HTTP请求、响应等相关知识
目录 params和data区别? post请求可以使用params吗? put、delete请求应该使用params还是data? get和post的区别? 常用注解使用 params和data区别? 在使用Ajax时,"params" 和 "data" 通常用于不同的上下文。 "params…...
[Android] Android文件系统中存储的内容有哪些?
文章目录 前言root 文件系统/system 分区稳定性:安全性: /system/bin用来提供服务的二进制可执行文件:调试工具:UNIX 命令:调用 Dalvik 的脚本(upall script):/system/bin中封装的app_process脚本 厂商定制的二进制可执行文件: /system/xbin/system/lib[64]/system/…...
结构体的进阶应用)
基于算法竞赛的c++编程(28)结构体的进阶应用
结构体的嵌套与复杂数据组织 在C中,结构体可以嵌套使用,形成更复杂的数据结构。例如,可以通过嵌套结构体描述多层级数据关系: struct Address {string city;string street;int zipCode; };struct Employee {string name;int id;…...
调用支付宝接口响应40004 SYSTEM_ERROR问题排查
在对接支付宝API的时候,遇到了一些问题,记录一下排查过程。 Body:{"datadigital_fincloud_generalsaas_face_certify_initialize_response":{"msg":"Business Failed","code":"40004","sub_msg…...
React Native在HarmonyOS 5.0阅读类应用开发中的实践
一、技术选型背景 随着HarmonyOS 5.0对Web兼容层的增强,React Native作为跨平台框架可通过重新编译ArkTS组件实现85%以上的代码复用率。阅读类应用具有UI复杂度低、数据流清晰的特点。 二、核心实现方案 1. 环境配置 (1)使用React Native…...
STM32标准库-DMA直接存储器存取
文章目录 一、DMA1.1简介1.2存储器映像1.3DMA框图1.4DMA基本结构1.5DMA请求1.6数据宽度与对齐1.7数据转运DMA1.8ADC扫描模式DMA 二、数据转运DMA2.1接线图2.2代码2.3相关API 一、DMA 1.1简介 DMA(Direct Memory Access)直接存储器存取 DMA可以提供外设…...
Springcloud:Eureka 高可用集群搭建实战(服务注册与发现的底层原理与避坑指南)
引言:为什么 Eureka 依然是存量系统的核心? 尽管 Nacos 等新注册中心崛起,但金融、电力等保守行业仍有大量系统运行在 Eureka 上。理解其高可用设计与自我保护机制,是保障分布式系统稳定的必修课。本文将手把手带你搭建生产级 Eur…...
Spring Boot面试题精选汇总
🤟致敬读者 🟩感谢阅读🟦笑口常开🟪生日快乐⬛早点睡觉 📘博主相关 🟧博主信息🟨博客首页🟫专栏推荐🟥活动信息 文章目录 Spring Boot面试题精选汇总⚙️ **一、核心概…...
零基础在实践中学习网络安全-皮卡丘靶场(第九期-Unsafe Fileupload模块)(yakit方式)
本期内容并不是很难,相信大家会学的很愉快,当然对于有后端基础的朋友来说,本期内容更加容易了解,当然没有基础的也别担心,本期内容会详细解释有关内容 本期用到的软件:yakit(因为经过之前好多期…...
USB Over IP专用硬件的5个特点
USB over IP技术通过将USB协议数据封装在标准TCP/IP网络数据包中,从根本上改变了USB连接。这允许客户端通过局域网或广域网远程访问和控制物理连接到服务器的USB设备(如专用硬件设备),从而消除了直接物理连接的需要。USB over IP的…...
CSS设置元素的宽度根据其内容自动调整
width: fit-content 是 CSS 中的一个属性值,用于设置元素的宽度根据其内容自动调整,确保宽度刚好容纳内容而不会超出。 效果对比 默认情况(width: auto): 块级元素(如 <div>)会占满父容器…...
站群服务器的应用场景都有哪些?
站群服务器主要是为了多个网站的托管和管理所设计的,可以通过集中管理和高效资源的分配,来支持多个独立的网站同时运行,让每一个网站都可以分配到独立的IP地址,避免出现IP关联的风险,用户还可以通过控制面板进行管理功…...