微软 AD 介绍 | 安全建议 | 防护
介绍:
-
什么是Active Directory(AD)?
- Active Directory 是由 微软开发的目录服务,用于存储和管理网络中的资源,如计算机、用户、组和其他网络对象。
- 允许组织管理员轻松地管理和验证网络中的用户和计算机。
-
Active Directory的角色:
- 身份验证和授权: 管理用户的身份验证和授权,确保只有授权用户可以访问资源。
- 资源管理: 管理和维护网络资源,如打印机、文件和其他服务。
- 目录服务: 存储和组织网络上的所有对象,并提供对这些对象的搜索和访问。
重要性
-
安全性是关键:
- AD存储着身份验证和授权信息,因此安全性至关重要。未经授权的访问会导致敏感数据泄漏和系统破坏。
-
凭据保护:
- 保护管理员和用户凭据的安全性,防止凭据泄露和滥用。
-
权限控制:
- 只有授权的用户可以执行特定的操作,防止横向和纵向的滥用。
-
防范攻击:
- AD是攻击者经常瞄准的目标之一。采取措施以防范攻击,如拒绝服务(DoS)和恶意软件。
-
网络:
- 保持网络的连通性和正常运作。
-
合规:
- 许多行业和法规要求确保IT基础设施的安全性。AD安全是实现合规性的重要组成部分。
-
数据保护:
- AD中存储了大量的用户和数据。保护AD及其存储数据不受未经授权的访问和篡改。
-
业务连续性:
- AD的可用性直接影响到业务连续性。
-
监控和审计:
- 实施监控和审计措施,及时检测和响应潜在的安全威胁。
AD安全是IT基础设施安全性的基石,对于维护业务运行和防范潜在威胁至关重要。采取综合的安全措施是确保AD在网络生态系统中发挥其作用的关键。
安全建议
配置安全
- 管理本地管理员密码(LAPS)。
- RDP 受限管理员模式。
- 移除不受支持的操作系统。
- 监控敏感系统(如 DC 等)上的定时任务。
- 确保 Out-of-Band(OOB)管理密码(DSRM)定期更改并安全存储。
- 使用 SMB v2/v3+。
- 默认域管理员和 KRBTGT 密码应每年更改一次。
- 移除不必要的信任,并根据需要启用 SID 过滤。
- 所有域身份验证应尽量设置为:“仅 NTLMv2 响应,拒绝 LM 和 NTLM。”
- 阻止域控制器、服务器和所有管理系统的互联网访问。
管理员凭据
- 不要将“用户”或计算机帐户添加到管理员组中。
- 确保所有管理员帐户都是“敏感的,不可委派的”。
- 将管理员帐户添加到“受保护的用户”组(需要 Windows Server 2012 R2 域控制器,2012R2 DFL 用于域保护)。
- 禁用所有不活动的管理员帐户并从特权组中删除。
AD 管理凭据
- 限制 AD 管理成员资格(DA、EA、架构管理员等),只使用自定义委派组。
- 采用“分层”管理,减轻凭据窃取的影响。
- 确保管理员只登录到经批准的管理员工作站和服务器。
- 为所有管理员帐户使用基于时间的临时组成员资格。
服务帐户凭据
- 限制到相同安全级别的系统。
- 利用“(群组) 管理服务帐户”(或密码 >20 个字符)以减轻凭据窃取(kerberoast)。
- 实施 FGPP(DFL =>2008)以增加服务帐户和管理员的密码要求。
- 登录限制 – 防止交互式登录,并将登录能力限制为特定计算机。
- 禁用不活动的服务帐户并从特权组中删除。
资源防护
- 划分网络保护管理员和关键系统。
- 部署 IDS 监控内部公司网络。
- 将网络设备和 Out-of-Band(OOB)管理放在单独的网络上。
域控制器防护
- 仅运行支持 AD 的软件和服务。
- 具有 DC 管理/登录权限的最小组(和用户)。
- 在运行 DCPromo 之前确保应用补丁(特别是 MS14-068 和其他关键补丁)。
- 验证定时任务和脚本。
工作站(和服务器)防护
- 快速补丁迭代,特别是特权升级漏洞。
- 部署安全后移植补丁(KB2871997)。
- 将 Wdigest 注册键设置为 0(KB2871997/Windows 8.1/2012R2+):HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Wdigest。
- 部署工作站白名单(Microsoft AppLocker)以阻止用户文件夹中的代码执行 – 主目录和配置文件路径。
- 部署工作站应用程序沙箱技术(EMET)以减轻应用程序内存利用漏洞(0天)。
日志记录
- 启用增强型审核。
- “审核:强制审核策略子类设置(Windows Vista 或更高版本)覆盖审核策略类别设置”。
- 启用 PowerShell 模块日志记录(“*”),并将日志转发到中央日志服务器(WEF 或其他方法)。
- 启用 CMD 进程日志记录和增强(KB3004375),并将日志转发到中央日志服务器。
- 使用 SIEM 或等效工具集中尽可能多的日志数据。
- 为增强对用户活动的了解使用用户行为分析系统(如 Microsoft ATA)。
安全检查
- 确定谁拥有 AD 管理权限(域/森林)?
- 确定谁可以登录到域控制器(和对托管虚拟 DC 虚拟环境的管理权限)?
- 扫描 Active Directory 域、OU、AdminSDHolder 和 GPO,查找不合适的自定义权限?
- 确保 AD 管理员(也称为域管理员)通过不登录到不受信任的系统来保护他们的凭据?
- 限制当前具有 DA(或等效)的服务帐户权限?
相关文章:
微软 AD 介绍 | 安全建议 | 防护
介绍: 什么是Active Directory(AD)? Active Directory 是由 微软开发的目录服务,用于存储和管理网络中的资源,如计算机、用户、组和其他网络对象。允许组织管理员轻松地管理和验证网络中的用户和计算机。 …...
React16源码: React中的reconcileChildren的源码实现
reconcileChildren 1 )概述 在更新了一个节点之后,拿到它的props.children要根据这个children里面的 ReactElement 来去创建子树的所有的 fiber 对象要根据 props.children 来生成 fiber 子树,然后判断 fiber 对象它是否是可以复用的 因为我…...
幻兽帕鲁Docker服务端搭建
幻兽帕鲁Docker服务端搭建 各种命令 https://bbs.saraba1st.com/2b/thread-2168983-1-1.html 存档恢复 这里直接看这个工程的readme就行:https://github.com/yoko-murasame/palworld-host-save-fix 其他参考:https://forum.gamer.com.tw/C.php?bsn7…...
【ARM Cortex-M 系列 1.1 -- Cortex-M33 与 M4 差异 详细介绍】
请阅读【嵌入式开发学习必备专栏 之 Cortex-Mx 专栏】 文章目录 背景Cortex-M33 与 M4 差异Cortex-M33Cortex-M4关系和差异举例说明 背景 在移植 RT-Thread 到 瑞萨RA4M2(Cortex-M33)上时,遇到了hardfault 问题,最后使用了Cortex…...
docker 部署及命令
一、容器概述 1、为什么要用到容器? ①容器可以屏蔽底层操作系统的差异性,让业务应用不管在哪里都是使用容器的环境运行,从而保证开发测试环境与生产环境的一致性 ②容器部署起来非常便捷和迅速,缩短开发测试部署的周期时间 2…...
API接口安全总结
接口分类 HTTP接口 RPC接口(客户端和服务器端的连接 例如游戏登陆)非web协议,PRC 远程过程调用 Remote Procedure Call,其就是一个节点请求另外一个节点提供的服务。当两个物理分离的子系统需要建立逻辑上的关联时,R…...
性能优化-HVX 指令介绍
「发表于知乎专栏《移动端算法优化》」 本文主要介绍了 HVX 指令相关的知识,包括 HVX 寄存器相关内容,指令的背景依赖,部分常用 intrinsic HVX 指令。具体指令的详细内容及使用还需阅读 HVX 的指令文档,以及细致的实践操作。 &…...
web安全思维导图(白帽子)
web安全思维导图(白帽子) 客户端脚本安全 服务端应用安全 白帽子讲web安全 安全运营体系建设...
美,英,法,德、意大利和西班牙的geojson,以及区域json
美,英,法,德、意大利和西班牙的geojson文件 json地址 https://pan.baidu.com/s/1nio1bV_j-jAEVqgEHXWsNw?pwdqwer#list/path/GEOJSON 感谢大佬提供的 大佬连接 大佬的知乎原地址 国内geojson获取工具地址 http://da
JavaEE-微服务-Vuex
Vuex 2.1 什么是Vuex Vuex 是一个专为 Vue.js 应用程序开发的状态管理模式。 Vuex在组件之间共享数据。 2.2 使用 vue cli 构建项目 2.3 入门案例 2.3.1 定义数据 export default new Vuex.Store({state: { // 状态区域(定义变量区域)user: ,toke…...
在Windows虚拟机中挂载IP代理的流程
在虚拟机中挂载IP代理的步骤通常依赖于所使用的虚拟机软件(如VMware、VirtualBox等)以及代理服务器类型(HTTP/HTTPS/SOCKS)。以下是一个通用流程: 在Windows虚拟机中设置网络代理以使用代理IP: 1. SOCKS或H…...
软考之软件工程
一、瀑布模型 严格区分阶段,每个阶段因果关系紧密相连,只适合需求明确的项目 缺点:软件需求完整性、正确性难确定;严格串行化,很长时间才能看到结果;瀑布模型要求每个阶段一次性完全解决该阶段工作…...
微信小程序(六)tabBar的使用
注释很详细,直接上代码 上一篇 新增内容: 1. 标签栏文字的内容以及默认与选中颜色 2. 标签栏图标的默认样式与选中样式 3. 标签选项路径页面 4.标签栏背景颜色 🐼(文末补充)设置标签栏后为什么navigator标签无法跳转页…...
写Shell以交互方式变更Ubuntu的主机名
以下是一个简单的 Bash 脚本,用于以交互方式更改 Ubuntu 20 系统的主机名: 1#!/bin/bash 2 3# 提示用户输入新的主机名 4read -p "请输入新的系统名称(主机名): " new_hostname 5 6# 检查是否输入了新的主机名 7if [ -…...
SpringBoot整合ElasticSearch实现基础的CRUD操作
本文来说下SpringBoot整合ES实现CRUD操作 文章目录 概述spring-boot-starter-data-elasticsearch项目搭建ES简单的crud操作保存数据修改数据查看数据删除数据 本文小结 概述 SpringBoot支持两种技术和es交互。一种的jest,还有一种就是SpringData-ElasticSearch。根据…...
【PyTorch】记一次卷积神经网络优化过程
记一次卷积神经网络优化过程 前言 在深度学习的世界中,图像分类任务是一个经典的问题,它涉及到识别给定图像中的对象类别。CIFAR-10数据集是一个常用的基准数据集,包含了10个类别的60000张32x32彩色图像。在上一篇博客中,我们已…...
C++面试宝典第24题:袋鼠过河
题目 一只袋鼠要从河这边跳到河对岸,河很宽,但是河中间打了很多桩子。每隔一米就有一个桩子,每个桩子上都有一个弹簧,袋鼠跳到弹簧上就可以跳得更远。每个弹簧力量不同,用一个数字代表它的力量,如果弹簧力量为5,就代表袋鼠下一跳最多能够跳5米;如果为0,就会陷进去无法…...
2401vim,vim标号
标号简介 提供高亮,快速告诉用户有用信息.如,调试器在左侧列中有个表示断点的图标. 另一例可能是表示(PC)程序计数器的箭头.标号功能允许在窗口左侧放置标号或图标,并定义应用行的高亮. 此外,调试器还支持8到10种不同的标号和高亮颜色,见|NetBeans|. 使用标号有两个步骤: 1…...
Web开发中HTTP请求、响应等相关知识
目录 params和data区别? post请求可以使用params吗? put、delete请求应该使用params还是data? get和post的区别? 常用注解使用 params和data区别? 在使用Ajax时,"params" 和 "data" 通常用于不同的上下文。 "params…...
[Android] Android文件系统中存储的内容有哪些?
文章目录 前言root 文件系统/system 分区稳定性:安全性: /system/bin用来提供服务的二进制可执行文件:调试工具:UNIX 命令:调用 Dalvik 的脚本(upall script):/system/bin中封装的app_process脚本 厂商定制的二进制可执行文件: /system/xbin/system/lib[64]/system/…...
未来机器人的大脑:如何用神经网络模拟器实现更智能的决策?
编辑:陈萍萍的公主一点人工一点智能 未来机器人的大脑:如何用神经网络模拟器实现更智能的决策?RWM通过双自回归机制有效解决了复合误差、部分可观测性和随机动力学等关键挑战,在不依赖领域特定归纳偏见的条件下实现了卓越的预测准…...
测试markdown--肇兴
day1: 1、去程:7:04 --11:32高铁 高铁右转上售票大厅2楼,穿过候车厅下一楼,上大巴车 ¥10/人 **2、到达:**12点多到达寨子,买门票,美团/抖音:¥78人 3、中饭&a…...
【CSS position 属性】static、relative、fixed、absolute 、sticky详细介绍,多层嵌套定位示例
文章目录 ★ position 的五种类型及基本用法 ★ 一、position 属性概述 二、position 的五种类型详解(初学者版) 1. static(默认值) 2. relative(相对定位) 3. absolute(绝对定位) 4. fixed(固定定位) 5. sticky(粘性定位) 三、定位元素的层级关系(z-i…...
【ROS】Nav2源码之nav2_behavior_tree-行为树节点列表
1、行为树节点分类 在 Nav2(Navigation2)的行为树框架中,行为树节点插件按照功能分为 Action(动作节点)、Condition(条件节点)、Control(控制节点) 和 Decorator(装饰节点) 四类。 1.1 动作节点 Action 执行具体的机器人操作或任务,直接与硬件、传感器或外部系统…...
【AI学习】三、AI算法中的向量
在人工智能(AI)算法中,向量(Vector)是一种将现实世界中的数据(如图像、文本、音频等)转化为计算机可处理的数值型特征表示的工具。它是连接人类认知(如语义、视觉特征)与…...
云原生玩法三问:构建自定义开发环境
云原生玩法三问:构建自定义开发环境 引言 临时运维一个古董项目,无文档,无环境,无交接人,俗称三无。 运行设备的环境老,本地环境版本高,ssh不过去。正好最近对 腾讯出品的云原生 cnb 感兴趣&…...
用机器学习破解新能源领域的“弃风”难题
音乐发烧友深有体会,玩音乐的本质就是玩电网。火电声音偏暖,水电偏冷,风电偏空旷。至于太阳能发的电,则略显朦胧和单薄。 不知你是否有感觉,近两年家里的音响声音越来越冷,听起来越来越单薄? —…...
安宝特方案丨船舶智造的“AR+AI+作业标准化管理解决方案”(装配)
船舶制造装配管理现状:装配工作依赖人工经验,装配工人凭借长期实践积累的操作技巧完成零部件组装。企业通常制定了装配作业指导书,但在实际执行中,工人对指导书的理解和遵循程度参差不齐。 船舶装配过程中的挑战与需求 挑战 (1…...
R语言速释制剂QBD解决方案之三
本文是《Quality by Design for ANDAs: An Example for Immediate-Release Dosage Forms》第一个处方的R语言解决方案。 第一个处方研究评估原料药粒径分布、MCC/Lactose比例、崩解剂用量对制剂CQAs的影响。 第二处方研究用于理解颗粒外加硬脂酸镁和滑石粉对片剂质量和可生产…...
rknn toolkit2搭建和推理
安装Miniconda Miniconda - Anaconda Miniconda 选择一个 新的 版本 ,不用和RKNN的python版本保持一致 使用 ./xxx.sh进行安装 下面配置一下载源 # 清华大学源(最常用) conda config --add channels https://mirrors.tuna.tsinghua.edu.cn…...