微软 AD 介绍 | 安全建议 | 防护
介绍:
-
什么是Active Directory(AD)?
- Active Directory 是由 微软开发的目录服务,用于存储和管理网络中的资源,如计算机、用户、组和其他网络对象。
- 允许组织管理员轻松地管理和验证网络中的用户和计算机。
-
Active Directory的角色:
- 身份验证和授权: 管理用户的身份验证和授权,确保只有授权用户可以访问资源。
- 资源管理: 管理和维护网络资源,如打印机、文件和其他服务。
- 目录服务: 存储和组织网络上的所有对象,并提供对这些对象的搜索和访问。
重要性
-
安全性是关键:
- AD存储着身份验证和授权信息,因此安全性至关重要。未经授权的访问会导致敏感数据泄漏和系统破坏。
-
凭据保护:
- 保护管理员和用户凭据的安全性,防止凭据泄露和滥用。
-
权限控制:
- 只有授权的用户可以执行特定的操作,防止横向和纵向的滥用。
-
防范攻击:
- AD是攻击者经常瞄准的目标之一。采取措施以防范攻击,如拒绝服务(DoS)和恶意软件。
-
网络:
- 保持网络的连通性和正常运作。
-
合规:
- 许多行业和法规要求确保IT基础设施的安全性。AD安全是实现合规性的重要组成部分。
-
数据保护:
- AD中存储了大量的用户和数据。保护AD及其存储数据不受未经授权的访问和篡改。
-
业务连续性:
- AD的可用性直接影响到业务连续性。
-
监控和审计:
- 实施监控和审计措施,及时检测和响应潜在的安全威胁。
AD安全是IT基础设施安全性的基石,对于维护业务运行和防范潜在威胁至关重要。采取综合的安全措施是确保AD在网络生态系统中发挥其作用的关键。
安全建议
配置安全
- 管理本地管理员密码(LAPS)。
- RDP 受限管理员模式。
- 移除不受支持的操作系统。
- 监控敏感系统(如 DC 等)上的定时任务。
- 确保 Out-of-Band(OOB)管理密码(DSRM)定期更改并安全存储。
- 使用 SMB v2/v3+。
- 默认域管理员和 KRBTGT 密码应每年更改一次。
- 移除不必要的信任,并根据需要启用 SID 过滤。
- 所有域身份验证应尽量设置为:“仅 NTLMv2 响应,拒绝 LM 和 NTLM。”
- 阻止域控制器、服务器和所有管理系统的互联网访问。
管理员凭据
- 不要将“用户”或计算机帐户添加到管理员组中。
- 确保所有管理员帐户都是“敏感的,不可委派的”。
- 将管理员帐户添加到“受保护的用户”组(需要 Windows Server 2012 R2 域控制器,2012R2 DFL 用于域保护)。
- 禁用所有不活动的管理员帐户并从特权组中删除。
AD 管理凭据
- 限制 AD 管理成员资格(DA、EA、架构管理员等),只使用自定义委派组。
- 采用“分层”管理,减轻凭据窃取的影响。
- 确保管理员只登录到经批准的管理员工作站和服务器。
- 为所有管理员帐户使用基于时间的临时组成员资格。
服务帐户凭据
- 限制到相同安全级别的系统。
- 利用“(群组) 管理服务帐户”(或密码 >20 个字符)以减轻凭据窃取(kerberoast)。
- 实施 FGPP(DFL =>2008)以增加服务帐户和管理员的密码要求。
- 登录限制 – 防止交互式登录,并将登录能力限制为特定计算机。
- 禁用不活动的服务帐户并从特权组中删除。
资源防护
- 划分网络保护管理员和关键系统。
- 部署 IDS 监控内部公司网络。
- 将网络设备和 Out-of-Band(OOB)管理放在单独的网络上。
域控制器防护
- 仅运行支持 AD 的软件和服务。
- 具有 DC 管理/登录权限的最小组(和用户)。
- 在运行 DCPromo 之前确保应用补丁(特别是 MS14-068 和其他关键补丁)。
- 验证定时任务和脚本。
工作站(和服务器)防护
- 快速补丁迭代,特别是特权升级漏洞。
- 部署安全后移植补丁(KB2871997)。
- 将 Wdigest 注册键设置为 0(KB2871997/Windows 8.1/2012R2+):HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Wdigest。
- 部署工作站白名单(Microsoft AppLocker)以阻止用户文件夹中的代码执行 – 主目录和配置文件路径。
- 部署工作站应用程序沙箱技术(EMET)以减轻应用程序内存利用漏洞(0天)。
日志记录
- 启用增强型审核。
- “审核:强制审核策略子类设置(Windows Vista 或更高版本)覆盖审核策略类别设置”。
- 启用 PowerShell 模块日志记录(“*”),并将日志转发到中央日志服务器(WEF 或其他方法)。
- 启用 CMD 进程日志记录和增强(KB3004375),并将日志转发到中央日志服务器。
- 使用 SIEM 或等效工具集中尽可能多的日志数据。
- 为增强对用户活动的了解使用用户行为分析系统(如 Microsoft ATA)。
安全检查
- 确定谁拥有 AD 管理权限(域/森林)?
- 确定谁可以登录到域控制器(和对托管虚拟 DC 虚拟环境的管理权限)?
- 扫描 Active Directory 域、OU、AdminSDHolder 和 GPO,查找不合适的自定义权限?
- 确保 AD 管理员(也称为域管理员)通过不登录到不受信任的系统来保护他们的凭据?
- 限制当前具有 DA(或等效)的服务帐户权限?
相关文章:
微软 AD 介绍 | 安全建议 | 防护
介绍: 什么是Active Directory(AD)? Active Directory 是由 微软开发的目录服务,用于存储和管理网络中的资源,如计算机、用户、组和其他网络对象。允许组织管理员轻松地管理和验证网络中的用户和计算机。 …...
React16源码: React中的reconcileChildren的源码实现
reconcileChildren 1 )概述 在更新了一个节点之后,拿到它的props.children要根据这个children里面的 ReactElement 来去创建子树的所有的 fiber 对象要根据 props.children 来生成 fiber 子树,然后判断 fiber 对象它是否是可以复用的 因为我…...
幻兽帕鲁Docker服务端搭建
幻兽帕鲁Docker服务端搭建 各种命令 https://bbs.saraba1st.com/2b/thread-2168983-1-1.html 存档恢复 这里直接看这个工程的readme就行:https://github.com/yoko-murasame/palworld-host-save-fix 其他参考:https://forum.gamer.com.tw/C.php?bsn7…...
【ARM Cortex-M 系列 1.1 -- Cortex-M33 与 M4 差异 详细介绍】
请阅读【嵌入式开发学习必备专栏 之 Cortex-Mx 专栏】 文章目录 背景Cortex-M33 与 M4 差异Cortex-M33Cortex-M4关系和差异举例说明 背景 在移植 RT-Thread 到 瑞萨RA4M2(Cortex-M33)上时,遇到了hardfault 问题,最后使用了Cortex…...
docker 部署及命令
一、容器概述 1、为什么要用到容器? ①容器可以屏蔽底层操作系统的差异性,让业务应用不管在哪里都是使用容器的环境运行,从而保证开发测试环境与生产环境的一致性 ②容器部署起来非常便捷和迅速,缩短开发测试部署的周期时间 2…...
API接口安全总结
接口分类 HTTP接口 RPC接口(客户端和服务器端的连接 例如游戏登陆)非web协议,PRC 远程过程调用 Remote Procedure Call,其就是一个节点请求另外一个节点提供的服务。当两个物理分离的子系统需要建立逻辑上的关联时,R…...
性能优化-HVX 指令介绍
「发表于知乎专栏《移动端算法优化》」 本文主要介绍了 HVX 指令相关的知识,包括 HVX 寄存器相关内容,指令的背景依赖,部分常用 intrinsic HVX 指令。具体指令的详细内容及使用还需阅读 HVX 的指令文档,以及细致的实践操作。 &…...
web安全思维导图(白帽子)
web安全思维导图(白帽子) 客户端脚本安全 服务端应用安全 白帽子讲web安全 安全运营体系建设...
美,英,法,德、意大利和西班牙的geojson,以及区域json
美,英,法,德、意大利和西班牙的geojson文件 json地址 https://pan.baidu.com/s/1nio1bV_j-jAEVqgEHXWsNw?pwdqwer#list/path/GEOJSON 感谢大佬提供的 大佬连接 大佬的知乎原地址 国内geojson获取工具地址 http://da
JavaEE-微服务-Vuex
Vuex 2.1 什么是Vuex Vuex 是一个专为 Vue.js 应用程序开发的状态管理模式。 Vuex在组件之间共享数据。 2.2 使用 vue cli 构建项目 2.3 入门案例 2.3.1 定义数据 export default new Vuex.Store({state: { // 状态区域(定义变量区域)user: ,toke…...
在Windows虚拟机中挂载IP代理的流程
在虚拟机中挂载IP代理的步骤通常依赖于所使用的虚拟机软件(如VMware、VirtualBox等)以及代理服务器类型(HTTP/HTTPS/SOCKS)。以下是一个通用流程: 在Windows虚拟机中设置网络代理以使用代理IP: 1. SOCKS或H…...
软考之软件工程
一、瀑布模型 严格区分阶段,每个阶段因果关系紧密相连,只适合需求明确的项目 缺点:软件需求完整性、正确性难确定;严格串行化,很长时间才能看到结果;瀑布模型要求每个阶段一次性完全解决该阶段工作…...
微信小程序(六)tabBar的使用
注释很详细,直接上代码 上一篇 新增内容: 1. 标签栏文字的内容以及默认与选中颜色 2. 标签栏图标的默认样式与选中样式 3. 标签选项路径页面 4.标签栏背景颜色 🐼(文末补充)设置标签栏后为什么navigator标签无法跳转页…...
写Shell以交互方式变更Ubuntu的主机名
以下是一个简单的 Bash 脚本,用于以交互方式更改 Ubuntu 20 系统的主机名: 1#!/bin/bash 2 3# 提示用户输入新的主机名 4read -p "请输入新的系统名称(主机名): " new_hostname 5 6# 检查是否输入了新的主机名 7if [ -…...
SpringBoot整合ElasticSearch实现基础的CRUD操作
本文来说下SpringBoot整合ES实现CRUD操作 文章目录 概述spring-boot-starter-data-elasticsearch项目搭建ES简单的crud操作保存数据修改数据查看数据删除数据 本文小结 概述 SpringBoot支持两种技术和es交互。一种的jest,还有一种就是SpringData-ElasticSearch。根据…...
【PyTorch】记一次卷积神经网络优化过程
记一次卷积神经网络优化过程 前言 在深度学习的世界中,图像分类任务是一个经典的问题,它涉及到识别给定图像中的对象类别。CIFAR-10数据集是一个常用的基准数据集,包含了10个类别的60000张32x32彩色图像。在上一篇博客中,我们已…...
C++面试宝典第24题:袋鼠过河
题目 一只袋鼠要从河这边跳到河对岸,河很宽,但是河中间打了很多桩子。每隔一米就有一个桩子,每个桩子上都有一个弹簧,袋鼠跳到弹簧上就可以跳得更远。每个弹簧力量不同,用一个数字代表它的力量,如果弹簧力量为5,就代表袋鼠下一跳最多能够跳5米;如果为0,就会陷进去无法…...
2401vim,vim标号
标号简介 提供高亮,快速告诉用户有用信息.如,调试器在左侧列中有个表示断点的图标. 另一例可能是表示(PC)程序计数器的箭头.标号功能允许在窗口左侧放置标号或图标,并定义应用行的高亮. 此外,调试器还支持8到10种不同的标号和高亮颜色,见|NetBeans|. 使用标号有两个步骤: 1…...
Web开发中HTTP请求、响应等相关知识
目录 params和data区别? post请求可以使用params吗? put、delete请求应该使用params还是data? get和post的区别? 常用注解使用 params和data区别? 在使用Ajax时,"params" 和 "data" 通常用于不同的上下文。 "params…...
[Android] Android文件系统中存储的内容有哪些?
文章目录 前言root 文件系统/system 分区稳定性:安全性: /system/bin用来提供服务的二进制可执行文件:调试工具:UNIX 命令:调用 Dalvik 的脚本(upall script):/system/bin中封装的app_process脚本 厂商定制的二进制可执行文件: /system/xbin/system/lib[64]/system/…...
企业级OA系统高可用方案:泛微ecology+Nginx负载均衡最佳实践
企业级OA系统高可用架构设计与实践:泛微ecologyNginxResin全栈解决方案 在数字化转型浪潮中,办公自动化系统(OA)已成为企业核心IT基础设施。作为国内领先的协同管理平台,泛微ecology承载着企业关键业务流程,其稳定性直接影响组织运…...
Unity物理游戏开发:如何用FixedTimestep优化不同设备的性能表现
Unity物理游戏开发:动态调整FixedTimestep实现跨设备性能优化 移动端游戏开发者常面临一个核心矛盾:物理模拟精度与设备性能的平衡。当你的游戏在高端设备上流畅运行,却在低端机型出现卡顿时,问题往往出在Fixed Timestep的静态配置…...
)
别再只用ZF和MMSE了!手把手教你用MATLAB实现ML信号检测(附完整代码与性能对比)
突破传统线性检测:MATLAB实战ML信号检测全解析 在无线通信系统的接收端设计领域,信号检测算法的选择直接影响着系统性能与实现复杂度之间的平衡。许多初学者往往止步于迫零(ZF)和最小均方误差(MMSE)这两种线性检测方法,却忽视了最大似然(ML)检…...
5个步骤搞定苹果设备Windows连接:从无法识别到无缝协作
5个步骤搞定苹果设备Windows连接:从无法识别到无缝协作 【免费下载链接】Apple-Mobile-Drivers-Installer Powershell script to easily install Apple USB and Mobile Device Ethernet (USB Tethering) drivers on Windows! 项目地址: https://gitcode.com/gh_mi…...
nli-distilroberta-base入门教程:零基础理解自然语言推理任务
nli-distilroberta-base入门教程:零基础理解自然语言推理任务 1. 什么是自然语言推理? 自然语言推理(Natural Language Inference,简称NLI)是让计算机理解两段文本之间逻辑关系的任务。想象一下老师批改作业的场景&a…...
【科研必备】Elsevier Tracker:5分钟搞定学术投稿监控的终极解决方案
【科研必备】Elsevier Tracker:5分钟搞定学术投稿监控的终极解决方案 【免费下载链接】Elsevier-Tracker 项目地址: https://gitcode.com/gh_mirrors/el/Elsevier-Tracker 你是否也曾为了追踪Elsevier期刊的审稿状态而反复刷新页面?每天登录系统…...
实战部署与优化指南)
神州数码无线网络(AC+AP)实战部署与优化指南
1. 神州数码ACAP无线网络部署前的规划准备 第一次接触神州数码无线网络方案时,我被它简洁的架构设计惊艳到了。AC(无线控制器)AP(接入点)的组网模式,特别适合500-2000平米的中型企业办公环境。但在真正动手…...
Pixel Language Portal效果展示:多轮对话上下文跨语种一致性保持
Pixel Language Portal效果展示:多轮对话上下文跨语种一致性保持 1. 产品概览 **像素语言跨维传送门(Pixel Language Portal)**是一款突破性的多语言交互工具,基于腾讯Hunyuan-MT-7B核心引擎构建。不同于传统翻译工具的机械感,它将语言转换…...
EdisonZhou
AI训练存储选型的演进路线 第一阶段:单机直连时代 早期的深度学习数据集较小,模型训练通常在单台服务器或单张GPU卡上完成。此时直接将数据存储在训练机器的本地NVMe SSD/HDD上。 其优势在于IO延迟最低,吞吐量极高,也就是“数据离…...
)
避坑指南:nRF52840蓝牙DFU配置中那些官方文档没细说的‘坑’(基于SDK 17.1.0)
nRF52840蓝牙DFU实战避坑手册:从原理到解决方案的深度解析 在嵌入式开发领域,无线固件升级(DFU)功能已成为蓝牙产品的标配需求。nRF52840作为Nordic Semiconductor的旗舰级蓝牙SoC,配合其完善的SDK支持,理论上应该能够轻松实现这一…...