本文由机器翻译。若要查看英语原文,请勾选“英语”复选框。 也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

规划安全隐患

 

适用对象:Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012

法律第一部分:没有人认为什么不好可能发生,直至其实现的功能。10 个永恒定律的安全管理

在许多组织中的灾难恢复计划重点介绍从区域灾难的影响或导致丢失的计算服务的故障中恢复。 但是,当与被破坏客户一起合作,我们经常会发现从故意泄露中恢复不存在于其灾难恢复计划。 危害而不是物理边界 (如数据中心的析构) 导致盗窃知识产权信息或利用 (如析构的所有 Active Directory 域或所有服务器) 的逻辑边界的有意析构时更是如此。 尽管组织可能制定了定义初始发现一定的妥协时要执行的活动的事件响应计划,这些计划通常省略步骤来恢复不会影响整个计算基础结构会遭破坏。

由于 Active Directory 用户、 服务器、 工作站和应用程序提供丰富的标识和访问管理功能,它总是攻击者的目标。 如果攻击者获得对 Active Directory 域或域控制器的特权级别高访问,则可以利用该访问权限以访问、 控制或甚至会破坏整个 Active Directory 林。

本文档讨论了一些针对 Windows 和 Active Directory 最常见的攻击而可以实现以减少攻击面,但仅确保办法恢复在发生时的 Active Directory 完全破坏的对策是发生之前对其危害为做好准备。 本部分重点介绍减少对技术实现比本文档中,以及其他更多信息可用来创建一种全方位、 全面的方法进行保护和管理您的组织的重要业务数据和 IT 资产的高层次的建议的前面几节的详细信息。

是否永远不会受到攻击您的基础结构,具有 resisted 尝试破坏、 或具有 succumbed 受到攻击,已完全泄露,您应该规划不可避免的现实反复您受到攻击。 不能以防止攻击,但实际上是可以防止重大破坏或批发泄露。 每个组织应仔细评估其现有的风险管理程序,并进行必要的调整以帮助减少安全漏洞的其整体等级预防、 检测、 包容和恢复中进行均衡的投资。

若要同时仍然向用户和取决于您的基础结构和应用程序的企业提供服务创建有效的防御措施,您可能需要考虑新颖的方式来防止,检测和包含破坏您的环境中,然后恢复不会遭破坏。 这些方法和本文档中的建议可能没有帮助修复被破坏的 Active Directory 安装,但可以帮助您保护您的下一个。

建议用于恢复 Active Directory 林均以Windows Server 2012:规划 Active Directory 林恢复 您可能能够防止您的新环境免遭完全破坏,但即使您不能,您将有工具来恢复并重新获得您的环境的控制。

法律编号八个:防御网络的难点在于是其复杂性成正比。管理安全性的十个永恒定律

它是通常广泛接受如果攻击者获得了系统、 管理员、 根或等效计算机访问权,无论使用什么操作系统,该计算机可以不再被视为可信任,无论多少工作进行"干净"的系统。 Active Directory 是没有什么不同。 如果攻击者已获得对域控制器或 Active Directory 中的高特权的帐户的特权的访问除非您有的攻击者使每个修改或已知良好的备份的记录,可以永远不会将该目录还原到完全可信的状态。

成员服务器或工作站泄露和更改由攻击者,计算机不再值得信任的但相邻原封不动地将服务器和工作站 — 一台计算机的侵害并不意味着所有计算机受到都危害。

但是,在 Active Directory 域中,所有的域控制器托管同一 AD DS 数据库的副本。 如果攻击者修改 AD DS 数据库的单一域控制器出现安全问题,这些修改将复制到每个其他域控制器的域中,具体取决于在其中进行了修改,林中的分区。 即使您重新安装每个林中的域控制器,您只需重新安装 AD DS 数据库所驻留的主机。 到 Active Directory 的恶意修改将它们复制到已运行多年的域控制器一样轻松复制到刚安装的域控制器。

在评估受到威胁的环境,通常发现什么被认为是第一个违反"事件"已实际触发的周后,数月甚至几年或攻击者有最初破坏环境后。 攻击者之前检测到一种破坏行为,并且它们利用来威胁目录、 域控制器、 成员服务器、 工作站,这些帐户通常获取长的高特权帐户的凭据,并甚至连接的非 Windows 系统。

这些结果是与多个发现 Verizon 的 2012年数据违反调查报告,该报告指出一致:

  • 从外部代理词干分析的数据泄露的 98%

  • 85%的数据泄露所花费数周或更多发现

  • 92%的事件已发现的第三方和

  • 97%的漏洞也是如此简单一些可以避免或者中间控件。

进行有效地不能修复前面所述程度妥协和标准的建议以"展平并重建"每个安全问题的系统如果,则只是不可行或者甚至可能泄露 Active Directory 或将其销毁。 即使将还原到已知的良好状态并不能排除允许在第一时间受到破坏的环境的缺陷。

尽管必须保护您的基础结构的每个方面,攻击者只需在您的防御措施以获得其所需的目标中找到足够的缺陷。 如果您的环境是相对简单和全新的、 历史管理更完善,然后实施本文档前面部分中提供的建议可能是一种简单的做法。

但是,我们发现,较早、 更大,和更复杂环境、 更有可能是不可行或甚至不可能实现将本文档中的建议。 它是很难确保基础结构安全事实后不重新开始并来构造是抵御攻击并破坏的环境。 但如上文所述,它是不小的进行重新生成整个 Active Directory 林。 出于这些原因,我们建议更有针对性的、 针对性的方法来保护您的 Active Directory 林。

而不是将重点放在并尝试修复所有的事情"断开"的应用程序,请考虑在其中您排定优先级的方法根据什么是与您的业务和基础结构中最重要。 而不是尝试修正填入过时了,配置不正确的系统和应用程序的环境,请考虑创建新的小型、 安全环境,将在其中您可以安全地移植用户、 系统和是对您的业务最关键的信息。

在本部分中,我们将介绍通过它您可以创建全新的 AD DS 林,它是"生活过程不需要船只"或"安全单元"核心业务基础结构的方法。 原始的林是只是一个新安装 Active Directory 林,通常受限制的大小和作用域,并且旨在通过使用当前的操作系统、 应用程序,以及通过中所述的原则减小的 Active Directory 攻击面

通过在新生成的林中实现建议的配置设置,您可以创建 AD DS 安装构建从头使用安全设置和实践,并可以减少附带支持旧式系统和应用程序的挑战。 虽然超出了本文档范围的详细的说明的设计和实现全新的 AD DS 安装,应遵循一些一般原则和准则来创建"安全单元"可以在其中存放最关键的资产。 这些准则如下所示:

  1. 标识用于分离和保护关键资产的原则。

  2. 定义一个有限的、 基于风险的迁移计划。

  3. 在必要时利用"nonmigratory"迁移。

  4. 实现"创造性析构。"

  5. 旧式系统和应用程序隔离。

  6. 简化为最终用户的安全。

您创建到房子关键资产的原始环境的特征可能差别很大。 例如,您可以选择创建全新的林只有 VIP 的用户和只有这些用户才能访问的敏感数据在其中将迁移。 您可以创建在其中未迁移的原始林仅 VIP 用户,但这要为管理的林实现,实现原则中所述减小的 Active Directory 攻击面若要创建安全的管理帐户和可以用于从原始林管理您的旧目录林的主机。 您可以实现的"专用"的林之间容纳 VIP 帐户、 特权的帐户和唯一的目标是将它们隔开从安全性较低的林需要额外的安全 (如运行 Active Directory 证书服务 (AD CS) 的服务器系统。 最后,您可以实现将变成系统、 应用程序和数据的所有新用户的现行实际位置的原始林中允许您最终停止使用旧林中通过流失。

无论是否系统或其窗体更主动的迁移的基础和全新的林包含少量的用户,您应该在规划过程中遵循这些原则:

  1. 假定已泄露将旧的林。

  2. 不要配置的原始环境,若要信任的旧的林中,尽管您可以配置为信任原始林旧环境。

  3. 不会迁移用户帐户或组从旧的林到的原始环境,如果没有该帐户的组成员身份、 SID 历史记录或其他属性可能已被恶意修改的可能性。 请改用"nonmigratory"方法来填充原始的林。 (Nonmigratory 介绍了方法更高版本在本部分中。)

  4. 不会迁移计算机从旧的林到原始的林。 在原始林中实现刚安装的服务器、 在新安装的服务器上安装应用程序和将应用程序数据迁移到新安装的系统。 对于文件服务器,将数据复制到刚安装的服务器、 使用中新建林,而用户和组设置 Acl,然后创建以类似的方式的打印服务器。

  5. 根本不允许遗留操作系统或林中的全新的应用程序的安装。 如果不能更新并且刚安装应用程序,将其保留在旧版的林并考虑创造性的破坏来替换应用程序的功能。

创建有限,基于风险的迁移计划只是意味着,当决定哪些用户、 应用程序和数据要将迁移到全新的林中,您应该确定基于之一的用户或系统受到攻击时向其公开您的组织的风险程度的迁移目标。 其帐户是最有可能攻击者所针对的 VIP 用户应当放在原始的林。 提供了重要的业务函数应在林中的原始的全新生成服务器上安装和高度敏感的数据应移动到的应用程序保护原始林中的服务器。

如果没有在 Active Directory 环境中清楚地了解最关键业务用户、 系统、 应用程序和数据,工作与业务部门进行标识。 应确定所需的业务操作的任何应用程序,应该在其运行的关键应用程序或关键数据存储的任何服务器。 通过标识的用户和资源所需为您的组织可以继续工作,您可以创建自然会按优先级排列的关注您的工作所依据的资产集合。

您是否知道您的环境已遭到破坏,它已受到威胁,或只是不愿意将旧数据和对象从旧的 Active Directory 安装迁移到一个新的可疑考虑不从技术上讲"迁移"对象的迁移方法。

在传统 Active Directory 迁移中从一个目录林到另一个,SIDHistory (SID 历史记录) 属性在用户对象上的用于存储用户的 SID,并且用户已在旧的林中的成员的组的 Sid。 如果用户帐户迁移到新的林,并且它们访问旧林中的资源,用于创建允许用户访问到它们之前具有访问权的帐户已迁移的资源的访问令牌中的 SID 历史记录的 Sid。

维护 SID 历史记录,然而,已被证明在某些环境中有问题因为填充当前和历史 sid 的用户的访问令牌可能会导致令牌膨胀。 令牌膨胀是必须存储在用户的访问令牌的 Sid 数使用在其中一个问题或超出在令牌中的可用空间量。

尽管令牌大小可以增加到一定范围内,令牌膨胀的最终解决方案是减少由合理化消除 SID 历史记录或这两者的组合的组成员身份的与用户帐户相关联的 Sid。 有关令牌膨胀的详细信息,请参阅MaxTokenSize 和 Kerberos 令牌臃肿

而不是从传统环境迁移用户 (特别是在哪个组成员身份和 SID 历史记录可能会危及一个) 通过使用 SID 历史记录,请考虑综合利用元目录的应用程序以"迁移"的用户,而不到新目录林中执行 SID 历史记录。 当用户帐户在新林中创建的时您可以使用元目录的应用程序映射到其相应帐户在旧的林中的帐户。

若要提供对旧林中的资源的新用户帐户访问,可以使用元目录导出工具来识别资源组到用户的旧帐户已授予访问权限,并将用户的新帐户添加到这些组。 具体取决于您的组策略在旧的林中,您可能需要创建域本地组访问资源或将现有组转换为域本地组,以允许新的帐户添加到资源组。 通过将重点放在最关键应用程序和数据的第一次,并将其迁移到新的环境 (具有或没有 SID 历史记录),可以限制在原来的环境中的工作量。

System_CAPS_note注意

某些应用程序中列出附录 j:第三方 RBAC 供应商附录 k:第三方 PIM 供应商Microsoft Forefront Identity Manager 一样提供机制来执行"nonmigratory"迁移。

在从一个 Active Directory 的传统迁移到另一个迁移的计算机的林中通常是相对简单相比迁移用户、 组和应用程序。 具体取决于计算机角色中,迁移到新的林可以作为脱离旧域的计算机和加入一个新一样简单。 但是,将迁移计算机帐户保持不变到原始林失败创建全新的环境的目的。 而不是 (迁移可能会被破坏、 配置不正确,或已过时) 的计算机帐户添加到新的林,您应刚安装的服务器和工作站在新环境中。 可以从旧版林到林中的全新的系统中的系统,但不是系统屋子里数据迁移数据。

应用程序可以提供最大的难题中从一个林中任何迁移到另一个,但在"nonmigratory"迁移的情况下应该应用的最基本原则之一是全新的林中的应用程序应当是当前版本、 受支持,以及新安装。 数据可以迁移从旧的林中的应用程序实例在可能的情况。 在其中应用程序无法"重新创建"在原始的林中的情况下,应考虑下一节中所述的方法 (例如创造性销毁或旧的应用程序的隔离。

创造性析构是顺序的经济术语,用于描述创建的以前销毁经济的开发。 近年来,术语已应用于信息技术。 它通常是指机制通过消除哪些旧的基础结构,不通过升级,但通过将替换完全新事物。 2011Gartner 的研讨会 ITXPO为首席信息官和高级 IT 主管人员都按创造性析构作为降低成本和提高其关键主题之一显示效率。 作为过程的自然而然可能会出现安全性方面的改进。

例如,组织可能由使用不同的应用程序执行相似的功能,与不同程度的时尚和供应商支持的多个业务单元组成。 从历史上看,IT 可能负责分别维护每个业务部门应用程序和整合工作将包含尝试找出哪些应用程序提供的最佳功能,然后将数据迁移到其他应用程序。

在创造性销毁,而不是维护已过时或多余的应用程序,您可以实现全新的应用程序来替换旧,将数据迁移到新的应用程序并停止使用旧的应用程序和运行它们的系统。 在某些情况下,您可以通过部署新的应用程序在您自己的基础结构中实现的旧版应用程序的创意析构但如有可能,应考虑改为将迁移到基于云的解决方案的应用程序。

通过部署基于云的应用程序来替换旧的内部应用程序,您不仅能减少维护工作量和成本,但会消除旧式系统和应用程序提供给攻击者利用的漏洞,从而减少您的组织的受攻击面。 此方法提供了更快的方式组织若要同时同时消除基础结构中的旧目标获取所需的功能。 尽管有创意析构的原则不适用于所有 IT 资产,它提供了与在同时部署强大的、 安全的、 基于云的应用程序的过程中清除旧的系统和应用程序通常可行选项。

自然而然的将您的关键业务用户和系统迁移到一个全新的、 安全的环境是不太有价值的信息和系统将包含旧的林。 尽管的旧式系统和应用程序保持在较不安全的环境中可能存在提升遭到破坏的风险,但它们也表示降低受到危害的严重级别。 通过将重新定位并建立新式关键业务资产,您可以集中精力部署有效的管理和监视时不需要以适应旧设置和协议。

当已重新连接到原始林重要数据时,您可以评估选项传递到进一步隔离旧系统和应用程序中"main"的 AD DS 林。 尽管您可能会实现创意破坏来替换一个应用程序和它在其中运行的服务器,可以在其他情况下考虑最不安全的系统和应用程序的附加隔离。 例如,一种由少量的用户,但这需要像 LAN Manager 哈希值的旧凭据可以迁移到较小的域应用您创建以支持您拥有任何替换选项的系统。

通过从其中则将其强制旧的设置实现的域中删除这些系统,您随后可以通过将其配置为仅支持当前的操作系统和应用程序增加域的安全。 不过,若要停止使用旧的系统和应用程序只要有可能最好。 如果解除授权只是不是适用于旧的填充的一小部分,将其隔开到单独域 (或林) 允许您在旧的安装的其余部分中执行增量改进。

在大多数组织而言,通常在组织中有权访问他们的角色由于的特性的最敏感信息的用户具有其到复杂的访问限制和控件的学习上花费的时间最少。 尽管您应该为所有用户一个全面的安全教育计划您的组织中,您应该还关注如何使一样方便用于通过实现都是透明的控件和简化的用户所遵从的原则尽可能的安全。

例如,您可以定义在其中管理人员和其他 Vip 所需使用安全的工作站来访问敏感数据和系统,使他们能够使用其他设备访问敏感程度较低的数据的策略。 这是一个简单的原则用户容易记忆,但它可以实现多个后端控件以有助于强制使用此方法。

您可以使用身份验证机制保证可允许用户访问敏感数据仅当它们已登录到他们的安全系统使用他们的智能卡,并可以使用 IPsec 和用户权限来控制从其它们能够连接到敏感数据存储库的系统的限制。 您可以使用Microsoft 数据分类工具包若要构建一个强健的文件分类基础结构,并且您可以实现动态访问控制来限制对根据业务规则将转化为技术控制的访问尝试的特征对数据访问。

从用户的角度来看,访问受保护的系统"正常工作,"中的敏感数据并尝试这样做不安全的系统从"只是没有这样做。" 但是,从监视和管理您的环境的角度来看,您将有助于在用户如何访问敏感数据和系统,使您更轻松地检测异常的访问尝试创建可识别的模式。

在环境中的用户对长而复杂的密码的抵触导致没有足够的密码策略,特别是对于 VIP 用户可考虑的替代方法向身份验证,通过智能卡 (这会在数的外观造型和其他功能来增强身份验证)、 生物识别控件 (如手指轻扫读取器或甚至在用户的计算机芯片中由受信任的平台模块 (TPM) 保护的数据的身份验证。 尽管多因素身份验证不会阻止凭据被盗攻击如果计算机已泄露,通过使用户轻松使用身份验证控件,您可以分配更强大的密码的用户为其传统的用户名称和密码控件都是难以处理的帐户。

显示: