微软 AD 介绍 | 安全建议 | 防护
介绍:
-
什么是Active Directory(AD)?
- Active Directory 是由 微软开发的目录服务,用于存储和管理网络中的资源,如计算机、用户、组和其他网络对象。
- 允许组织管理员轻松地管理和验证网络中的用户和计算机。
-
Active Directory的角色:
- 身份验证和授权: 管理用户的身份验证和授权,确保只有授权用户可以访问资源。
- 资源管理: 管理和维护网络资源,如打印机、文件和其他服务。
- 目录服务: 存储和组织网络上的所有对象,并提供对这些对象的搜索和访问。
重要性
-
安全性是关键:
- AD存储着身份验证和授权信息,因此安全性至关重要。未经授权的访问会导致敏感数据泄漏和系统破坏。
-
凭据保护:
- 保护管理员和用户凭据的安全性,防止凭据泄露和滥用。
-
权限控制:
- 只有授权的用户可以执行特定的操作,防止横向和纵向的滥用。
-
防范攻击:
- AD是攻击者经常瞄准的目标之一。采取措施以防范攻击,如拒绝服务(DoS)和恶意软件。
-
网络:
- 保持网络的连通性和正常运作。
-
合规:
- 许多行业和法规要求确保IT基础设施的安全性。AD安全是实现合规性的重要组成部分。
-
数据保护:
- AD中存储了大量的用户和数据。保护AD及其存储数据不受未经授权的访问和篡改。
-
业务连续性:
- AD的可用性直接影响到业务连续性。
-
监控和审计:
- 实施监控和审计措施,及时检测和响应潜在的安全威胁。
AD安全是IT基础设施安全性的基石,对于维护业务运行和防范潜在威胁至关重要。采取综合的安全措施是确保AD在网络生态系统中发挥其作用的关键。
安全建议
配置安全
- 管理本地管理员密码(LAPS)。
- RDP 受限管理员模式。
- 移除不受支持的操作系统。
- 监控敏感系统(如 DC 等)上的定时任务。
- 确保 Out-of-Band(OOB)管理密码(DSRM)定期更改并安全存储。
- 使用 SMB v2/v3+。
- 默认域管理员和 KRBTGT 密码应每年更改一次。
- 移除不必要的信任,并根据需要启用 SID 过滤。
- 所有域身份验证应尽量设置为:“仅 NTLMv2 响应,拒绝 LM 和 NTLM。”
- 阻止域控制器、服务器和所有管理系统的互联网访问。
管理员凭据
- 不要将“用户”或计算机帐户添加到管理员组中。
- 确保所有管理员帐户都是“敏感的,不可委派的”。
- 将管理员帐户添加到“受保护的用户”组(需要 Windows Server 2012 R2 域控制器,2012R2 DFL 用于域保护)。
- 禁用所有不活动的管理员帐户并从特权组中删除。
AD 管理凭据
- 限制 AD 管理成员资格(DA、EA、架构管理员等),只使用自定义委派组。
- 采用“分层”管理,减轻凭据窃取的影响。
- 确保管理员只登录到经批准的管理员工作站和服务器。
- 为所有管理员帐户使用基于时间的临时组成员资格。
服务帐户凭据
- 限制到相同安全级别的系统。
- 利用“(群组) 管理服务帐户”(或密码 >20 个字符)以减轻凭据窃取(kerberoast)。
- 实施 FGPP(DFL =>2008)以增加服务帐户和管理员的密码要求。
- 登录限制 – 防止交互式登录,并将登录能力限制为特定计算机。
- 禁用不活动的服务帐户并从特权组中删除。
资源防护
- 划分网络保护管理员和关键系统。
- 部署 IDS 监控内部公司网络。
- 将网络设备和 Out-of-Band(OOB)管理放在单独的网络上。
域控制器防护
- 仅运行支持 AD 的软件和服务。
- 具有 DC 管理/登录权限的最小组(和用户)。
- 在运行 DCPromo 之前确保应用补丁(特别是 MS14-068 和其他关键补丁)。
- 验证定时任务和脚本。
工作站(和服务器)防护
- 快速补丁迭代,特别是特权升级漏洞。
- 部署安全后移植补丁(KB2871997)。
- 将 Wdigest 注册键设置为 0(KB2871997/Windows 8.1/2012R2+):HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Wdigest。
- 部署工作站白名单(Microsoft AppLocker)以阻止用户文件夹中的代码执行 – 主目录和配置文件路径。
- 部署工作站应用程序沙箱技术(EMET)以减轻应用程序内存利用漏洞(0天)。
日志记录
- 启用增强型审核。
- “审核:强制审核策略子类设置(Windows Vista 或更高版本)覆盖审核策略类别设置”。
- 启用 PowerShell 模块日志记录(“*”),并将日志转发到中央日志服务器(WEF 或其他方法)。
- 启用 CMD 进程日志记录和增强(KB3004375),并将日志转发到中央日志服务器。
- 使用 SIEM 或等效工具集中尽可能多的日志数据。
- 为增强对用户活动的了解使用用户行为分析系统(如 Microsoft ATA)。
安全检查
- 确定谁拥有 AD 管理权限(域/森林)?
- 确定谁可以登录到域控制器(和对托管虚拟 DC 虚拟环境的管理权限)?
- 扫描 Active Directory 域、OU、AdminSDHolder 和 GPO,查找不合适的自定义权限?
- 确保 AD 管理员(也称为域管理员)通过不登录到不受信任的系统来保护他们的凭据?
- 限制当前具有 DA(或等效)的服务帐户权限?
相关文章:
微软 AD 介绍 | 安全建议 | 防护
介绍: 什么是Active Directory(AD)? Active Directory 是由 微软开发的目录服务,用于存储和管理网络中的资源,如计算机、用户、组和其他网络对象。允许组织管理员轻松地管理和验证网络中的用户和计算机。 …...
React16源码: React中的reconcileChildren的源码实现
reconcileChildren 1 )概述 在更新了一个节点之后,拿到它的props.children要根据这个children里面的 ReactElement 来去创建子树的所有的 fiber 对象要根据 props.children 来生成 fiber 子树,然后判断 fiber 对象它是否是可以复用的 因为我…...
幻兽帕鲁Docker服务端搭建
幻兽帕鲁Docker服务端搭建 各种命令 https://bbs.saraba1st.com/2b/thread-2168983-1-1.html 存档恢复 这里直接看这个工程的readme就行:https://github.com/yoko-murasame/palworld-host-save-fix 其他参考:https://forum.gamer.com.tw/C.php?bsn7…...
【ARM Cortex-M 系列 1.1 -- Cortex-M33 与 M4 差异 详细介绍】
请阅读【嵌入式开发学习必备专栏 之 Cortex-Mx 专栏】 文章目录 背景Cortex-M33 与 M4 差异Cortex-M33Cortex-M4关系和差异举例说明 背景 在移植 RT-Thread 到 瑞萨RA4M2(Cortex-M33)上时,遇到了hardfault 问题,最后使用了Cortex…...
docker 部署及命令
一、容器概述 1、为什么要用到容器? ①容器可以屏蔽底层操作系统的差异性,让业务应用不管在哪里都是使用容器的环境运行,从而保证开发测试环境与生产环境的一致性 ②容器部署起来非常便捷和迅速,缩短开发测试部署的周期时间 2…...
API接口安全总结
接口分类 HTTP接口 RPC接口(客户端和服务器端的连接 例如游戏登陆)非web协议,PRC 远程过程调用 Remote Procedure Call,其就是一个节点请求另外一个节点提供的服务。当两个物理分离的子系统需要建立逻辑上的关联时,R…...
性能优化-HVX 指令介绍
「发表于知乎专栏《移动端算法优化》」 本文主要介绍了 HVX 指令相关的知识,包括 HVX 寄存器相关内容,指令的背景依赖,部分常用 intrinsic HVX 指令。具体指令的详细内容及使用还需阅读 HVX 的指令文档,以及细致的实践操作。 &…...
web安全思维导图(白帽子)
web安全思维导图(白帽子) 客户端脚本安全 服务端应用安全 白帽子讲web安全 安全运营体系建设...
美,英,法,德、意大利和西班牙的geojson,以及区域json
美,英,法,德、意大利和西班牙的geojson文件 json地址 https://pan.baidu.com/s/1nio1bV_j-jAEVqgEHXWsNw?pwdqwer#list/path/GEOJSON 感谢大佬提供的 大佬连接 大佬的知乎原地址 国内geojson获取工具地址 http://da
JavaEE-微服务-Vuex
Vuex 2.1 什么是Vuex Vuex 是一个专为 Vue.js 应用程序开发的状态管理模式。 Vuex在组件之间共享数据。 2.2 使用 vue cli 构建项目 2.3 入门案例 2.3.1 定义数据 export default new Vuex.Store({state: { // 状态区域(定义变量区域)user: ,toke…...
在Windows虚拟机中挂载IP代理的流程
在虚拟机中挂载IP代理的步骤通常依赖于所使用的虚拟机软件(如VMware、VirtualBox等)以及代理服务器类型(HTTP/HTTPS/SOCKS)。以下是一个通用流程: 在Windows虚拟机中设置网络代理以使用代理IP: 1. SOCKS或H…...
软考之软件工程
一、瀑布模型 严格区分阶段,每个阶段因果关系紧密相连,只适合需求明确的项目 缺点:软件需求完整性、正确性难确定;严格串行化,很长时间才能看到结果;瀑布模型要求每个阶段一次性完全解决该阶段工作…...
微信小程序(六)tabBar的使用
注释很详细,直接上代码 上一篇 新增内容: 1. 标签栏文字的内容以及默认与选中颜色 2. 标签栏图标的默认样式与选中样式 3. 标签选项路径页面 4.标签栏背景颜色 🐼(文末补充)设置标签栏后为什么navigator标签无法跳转页…...
写Shell以交互方式变更Ubuntu的主机名
以下是一个简单的 Bash 脚本,用于以交互方式更改 Ubuntu 20 系统的主机名: 1#!/bin/bash 2 3# 提示用户输入新的主机名 4read -p "请输入新的系统名称(主机名): " new_hostname 5 6# 检查是否输入了新的主机名 7if [ -…...
SpringBoot整合ElasticSearch实现基础的CRUD操作
本文来说下SpringBoot整合ES实现CRUD操作 文章目录 概述spring-boot-starter-data-elasticsearch项目搭建ES简单的crud操作保存数据修改数据查看数据删除数据 本文小结 概述 SpringBoot支持两种技术和es交互。一种的jest,还有一种就是SpringData-ElasticSearch。根据…...
【PyTorch】记一次卷积神经网络优化过程
记一次卷积神经网络优化过程 前言 在深度学习的世界中,图像分类任务是一个经典的问题,它涉及到识别给定图像中的对象类别。CIFAR-10数据集是一个常用的基准数据集,包含了10个类别的60000张32x32彩色图像。在上一篇博客中,我们已…...
C++面试宝典第24题:袋鼠过河
题目 一只袋鼠要从河这边跳到河对岸,河很宽,但是河中间打了很多桩子。每隔一米就有一个桩子,每个桩子上都有一个弹簧,袋鼠跳到弹簧上就可以跳得更远。每个弹簧力量不同,用一个数字代表它的力量,如果弹簧力量为5,就代表袋鼠下一跳最多能够跳5米;如果为0,就会陷进去无法…...
2401vim,vim标号
标号简介 提供高亮,快速告诉用户有用信息.如,调试器在左侧列中有个表示断点的图标. 另一例可能是表示(PC)程序计数器的箭头.标号功能允许在窗口左侧放置标号或图标,并定义应用行的高亮. 此外,调试器还支持8到10种不同的标号和高亮颜色,见|NetBeans|. 使用标号有两个步骤: 1…...
Web开发中HTTP请求、响应等相关知识
目录 params和data区别? post请求可以使用params吗? put、delete请求应该使用params还是data? get和post的区别? 常用注解使用 params和data区别? 在使用Ajax时,"params" 和 "data" 通常用于不同的上下文。 "params…...
[Android] Android文件系统中存储的内容有哪些?
文章目录 前言root 文件系统/system 分区稳定性:安全性: /system/bin用来提供服务的二进制可执行文件:调试工具:UNIX 命令:调用 Dalvik 的脚本(upall script):/system/bin中封装的app_process脚本 厂商定制的二进制可执行文件: /system/xbin/system/lib[64]/system/…...
K8S认证|CKS题库+答案| 11. AppArmor
目录 11. AppArmor 免费获取并激活 CKA_v1.31_模拟系统 题目 开始操作: 1)、切换集群 2)、切换节点 3)、切换到 apparmor 的目录 4)、执行 apparmor 策略模块 5)、修改 pod 文件 6)、…...
k8s从入门到放弃之Ingress七层负载
k8s从入门到放弃之Ingress七层负载 在Kubernetes(简称K8s)中,Ingress是一个API对象,它允许你定义如何从集群外部访问集群内部的服务。Ingress可以提供负载均衡、SSL终结和基于名称的虚拟主机等功能。通过Ingress,你可…...
Oracle查询表空间大小
1 查询数据库中所有的表空间以及表空间所占空间的大小 SELECTtablespace_name,sum( bytes ) / 1024 / 1024 FROMdba_data_files GROUP BYtablespace_name; 2 Oracle查询表空间大小及每个表所占空间的大小 SELECTtablespace_name,file_id,file_name,round( bytes / ( 1024 …...
HTML前端开发:JavaScript 常用事件详解
作为前端开发的核心,JavaScript 事件是用户与网页交互的基础。以下是常见事件的详细说明和用法示例: 1. onclick - 点击事件 当元素被单击时触发(左键点击) button.onclick function() {alert("按钮被点击了!&…...
【OSG学习笔记】Day 16: 骨骼动画与蒙皮(osgAnimation)
骨骼动画基础 骨骼动画是 3D 计算机图形中常用的技术,它通过以下两个主要组件实现角色动画。 骨骼系统 (Skeleton):由层级结构的骨头组成,类似于人体骨骼蒙皮 (Mesh Skinning):将模型网格顶点绑定到骨骼上,使骨骼移动…...
2025季度云服务器排行榜
在全球云服务器市场,各厂商的排名和地位并非一成不变,而是由其独特的优势、战略布局和市场适应性共同决定的。以下是根据2025年市场趋势,对主要云服务器厂商在排行榜中占据重要位置的原因和优势进行深度分析: 一、全球“三巨头”…...
HarmonyOS运动开发:如何用mpchart绘制运动配速图表
##鸿蒙核心技术##运动开发##Sensor Service Kit(传感器服务)# 前言 在运动类应用中,运动数据的可视化是提升用户体验的重要环节。通过直观的图表展示运动过程中的关键数据,如配速、距离、卡路里消耗等,用户可以更清晰…...
Mysql中select查询语句的执行过程
目录 1、介绍 1.1、组件介绍 1.2、Sql执行顺序 2、执行流程 2.1. 连接与认证 2.2. 查询缓存 2.3. 语法解析(Parser) 2.4、执行sql 1. 预处理(Preprocessor) 2. 查询优化器(Optimizer) 3. 执行器…...
IP如何挑?2025年海外专线IP如何购买?
你花了时间和预算买了IP,结果IP质量不佳,项目效率低下不说,还可能带来莫名的网络问题,是不是太闹心了?尤其是在面对海外专线IP时,到底怎么才能买到适合自己的呢?所以,挑IP绝对是个技…...
LangChain知识库管理后端接口:数据库操作详解—— 构建本地知识库系统的基础《二》
这段 Python 代码是一个完整的 知识库数据库操作模块,用于对本地知识库系统中的知识库进行增删改查(CRUD)操作。它基于 SQLAlchemy ORM 框架 和一个自定义的装饰器 with_session 实现数据库会话管理。 📘 一、整体功能概述 该模块…...