Protecția controlere de domeniu de la atacuri

Actul Trei: Dacă un răufăcător are acces fizic nerestricționat la computer, acesta nu mai este calculatorul. - Zece legi imuabile de securitate (versiunea 2.0)

controlere de domeniu asigură o stocare fizică pentru DS bază de date AD, în plus față de serviciile și datele care permit companiilor să gestioneze în mod eficient serverele lor, stații de lucru, utilizatori și aplicații. În cazul în care un atacator capătă un acces privilegiat la controlerul de domeniu, schimbarea utilizatorului, deteriorarea sau distrugerea bazei de date și modulul AD DS, toate conturile de utilizator care sunt gestionate prin utilizarea Active Directory și sisteme.

În funcție de pregătirea atacatorului, resursele și aptitudinile, schimbarea sau deteriorarea chiar permanentă a bazei de date AD DS se poate face în câteva minute până la ore, mai degrabă decât de zile sau săptămâni. Nu contează modul în care atacatorul cu un acces privilegiat la Active Directory, dar atacatorul cum a fost planificat în momentul în care se obține accesul privilegiat. Încălcări ale controlerului de domeniu poate da preferință moduri scurte pentru a distribui accesul la scară largă sau mai calea directă la distrugerea serverelor de fișiere, rang și stații de lucru și Active Directory. Ca urmare, controlerele de domeniu trebuie să fie protejate printr-o infrastructură separată și mai stricte decât Windows partajate.

Această secțiune conține informații despre securitatea fizică a controlere de domeniu, controlerele de domeniu, indiferent dacă mașinile fizice sau virtuale în centrul de date, birouri și chiar și la distanță, numai prin utilizarea infrastructurii de management de bază.

Un număr de instrumente disponibile în mod liber, dintre care unele sunt instalate implicit în Windows, puteți utiliza pentru a crea o configurație de bază a securității inițiale pentru controlerul de domeniu, care poate fi apoi utilizat de GPO. Următoarele descrie acești agenți.

Toate controlerele de domeniu trebuie să fie resetat după asamblarea inițială. Acest lucru poate fi realizat prin utilizarea Configuration Wizard de securitate, care va fi inclus inițial în Windows Server pentru a configura serviciul, registru, și setările de sistem în securitate avansată pentru a „construi o bază“ controler de domeniu. Setările pot fi salvate și exportate într-un GPO legat de Controlerii de domeniu OU în fiecare domeniu în pădure pentru a asigura configurarea consecventă a controlere de domeniu. Dacă domeniul conține mai multe versiuni ale sistemelor de operare Windows, puteți seta filtre pentru Windows Management Instrumentation (WMI) pentru a aplica numai GPO controlere de domeniu care rulează corespunzător versiunea sistemului de operare.

Microsoft Security Compliance Manager parametrii controler de domeniu poate fi combinat cu parametrii de configurare Expertul de securitate pentru a crea setările de bază controlerele de domeniu complete care sunt implementate și a executa obiecte politică de grup în Controlerii de domeniu OU în Active Directory.

aplicații AppLocker sau terțe părți instrument lista aprobate ar trebui să fie utilizate pentru a configura servicii și aplicații care pot fi rulate pe controlerele de domeniu, precum și aplicațiile și serviciile autorizate ar trebui să fie compus numai din cerințele pentru gazdă AD computerul DS și DNS este posibil, precum și orice securitate sistem software, cum ar fi programe anti-virus. Conform listei aprobate de aplicații permise pe controlerele de domeniu, chiar dacă o aplicație neautorizată este instalat pe un controler de domeniu, nu se poate porni aplicația adaugă un nivel suplimentar de securitate.

Deși poate părea contra-intuitiv, ia în considerare actualizarea de controlere de domeniu și a altor componente cheie de infrastructură separată de infrastructura comună pentru Windows. Atunci când se utilizează programul de management a configurației pentru întreprinderi pentru toate calculatoarele din infrastructura de gestionare a sistemelor este compromisă poate perturba sau distruge toate componentele de infrastructură sub control software. Schimbul de sisteme de management al patch-uri și controlere de domeniu din populația generală, este posibil să se reducă cantitatea de software-ul instalat pe un controler de domeniu, în plus față de a controla indeaproape de gestionare a acestora.

Lansarea de browsere web pe controlerele de domeniu trebuie să fie interzisă nu numai de politicieni, dar controalele tehnice și controlere de domeniu nu ar trebui să li se permită accesul la Internet. În cazul în care sunt necesare controlerele de domeniu pentru replicare intre site-uri, ar trebui să pună în aplicare comunicațiile securizate între site-uri. În ciuda faptului că instrucțiunile detaliate de configurare sunt dincolo de domeniul de aplicare al acestui document, este posibil să se pună în aplicare o serie de controale pentru a limita capacitatea de controlere de domeniu configurat corect sau incorect și, ulterior, compromise.

Așa cum este descris mai devreme, ar trebui să utilizați Expertul de configurare de securitate pentru a înregistra setările de configurare pentru Paravan de protecție Windows cu securitate avansată pe controlerele de domeniu. Examinați ieșirea de configurare Expertul de securitate pentru a vă asigura că parametrii de configurare firewall-cerințe ale organizației dvs. și apoi utilizați obiecte politică de grup pentru a aplica setările de configurare.

Combinația de configurare AppLocker, serverul proxy „gauri negre“, configurația și configurația WFAS pot fi folosite pentru a preveni accesul la controlerele de domeniu de Internet și pentru a preveni utilizarea de browsere Web pe controlere de domeniu.