Защита на домейн контролери от атаки
Трето действие: При лош човек има неограничен физически достъп до компютъра си, че вече не е на вашия компютър. - Десет неизменни закони на сигурност (версия 2.0)
Домейн контролерите осигуряват физическа съхранение на база данни AD DS, в допълнение към услугите и данните, които дават възможност на компаниите да управляват ефективно своите сървъри, работни станции, потребители и приложения. Ако нападателят печели привилегирован достъп до домейн контролера, промяната на потребителя, повреждане или унищожаване на AD DS базата данни и модул, всички потребителски акаунти, които се управляват с помощта на Active Directory и системи.
В зависимост от подготовката на нападателя, ресурси и умения, промяна или дори до трайно увреждане на АД база данни DS може да бъде направено в рамките на няколко минути до часове, а не дни или седмици. Няма значение как нападателя с привилегирован достъп до Active Directory, но нападателят, както е планирано в момента, когато е получен привилегированият достъп. Нарушенията на сървъра могат да отдават предпочитание на кратките пътища за разпространение на мащабна достъп до или най-прекият път към унищожаването на редови сървъри, работни станции и Active Directory. В резултат на това за домейн контролерите трябва да бъдат защитени от отделен и по-строги, отколкото Windows обща инфраструктура.
Този раздел съдържа информация за физическата сигурност на домейн контролери, контролери на домейни, дали физически или виртуални машини в центъра за данни, офиси и дори от разстояние с помощта само на базисната инфраструктура за управление.
Редица свободно достъпни инструменти, някои от които са инсталирани по подразбиране в Windows, можете да използвате за създаване на базова конфигурация на първоначалната сигурност за домейн контролера, който след това може да се използва от GPOs. Следното описва тези агенти.
Всички домейн контролери, трябва да се нулират след първоначалното събрание. Това може да стане с помощта на съветника за сигурност на конфигурацията, която първоначално ще бъде включен в Windows Server, за да изберете услугата, на системния регистър, както и настройките на системата в Advanced Security "да се изгради база" домейн контролер. Настройките могат да се запаметят и изнасят за GPO свързано с контролери ОУ във всяка област в гората, за да се гарантира последователното конфигуриране на домейн контролери. Ако домейнът съдържа няколко версии на операционни системи Windows, можете да зададете филтри Windows Management Instrumentation (WMI) да прилага GPOs само домейн контролери, работещи с подходяща версията на операционната система.
Microsoft Security Спазването на мениджъра параметри домейн контролер могат да се комбинират с параметрите на съветника за конфигуриране за сигурност, за да създадете основни настройки пълни домейн контролерите, които са внедрени и налагат обекти на груповите правила в областта Контрольори ОУ в Active Directory.
приложения AppLocker или трета страна инструменти, одобрени списък трябва да се използват, за да изберете услуги и приложения, които могат да се движат по домейн контролерите и упълномощените приложения и услуги, трябва да се състои само от изискванията за домакин АД DS компютър и възможно най-DNS, както и всяка сигурност софтуерна система, като антивирусни програми. Според одобрения списък с разрешени приложения на домейн контролери, дори и ако неоторизирана приложението е инсталирано на домейн контролер, не може да започне прилагането добавя допълнително ниво на сигурност.
Макар да изглежда контра-интуитивен, помислете за обновяване на домейн контролери и други ключови инфраструктурни компоненти, отделно от общата инфраструктура на Windows. При използване на предприятието програма за управление на конфигурацията за всички компютри във вашата инфраструктура за управление на системи е нарушена може да прекъсне или да унищожите всички инфраструктурни компоненти под контрол софтуер. Споделянето на системи за управление на кръпките и контролери на домейни от населението като цяло, е възможно да се намали количеството на софтуер, инсталиран на домейн контролер, в допълнение да се контролира внимателно тяхното управление.
Стартиране на уеб браузъра на един домейн контролерите трябва да бъде забранена не само от политиците, но технически контрол и домейн контролери, не трябва да се допуска достъп до интернет. Ако са необходими за домейн контролерите за репликация между сайтове, трябва да приложат сигурни комуникации между сайтове. Въпреки факта, че подробните указания конфигурация са извън обхвата на този документ, че е възможно да се приложат редица контроли, за да се ограничи възможността на домейн контролери правилно или неправилно конфигуриран и впоследствие компрометирана.
Както е описано по-рано, трябва да използвате съветника за конфигуриране на сигурността, за да запишете настройките за конфигурация на защитната стена на Windows с разширена защита на домейн контролери. Разгледайте продукцията на съветника за конфигуриране на сигурността, за да се уверите, че параметрите на изисквания за конфигуриране на защитната стена на вашата организация и след това използвайте на Group Policy Objects за да приложите настройките за конфигурация.
Комбинацията от AppLocker конфигурация, прокси сървър "черни дупки" WFAS конфигурация и конфигурация може да се използва за предотвратяване на достъпа до администраторите на интернет домейни и да се предотврати използването на уеб браузъри на домейн контролерите.