保持AD安全合规的最佳实践如果将IT环境比作一个城堡,那么Active Directory安全通常可视为保管城堡钥匙的方法 — 这种比喻有其道理,但也存在严重的限制。Active Directory确实像门卫一样,用于确定哪些人拥有哪些钥匙来进入您的网络,以及这些钥匙可以用来访问哪些数据和其他资源。但您的IT环境并不是城堡,而是时刻处于变化之中 — 用户不断进进出出,员工角色随时会有变更,新旧应用程序持续更替等等。因此Active Directory安全不是一件一劳永逸的事,就像要经常给城堡换锁一样,是一个持续的过程。
阅读更多有关保护Active Directory安全的提示。
Active Directory安全是一个寻求平衡的过程,需要思虑周全。继续使用城堡的比喻,在一座城堡里,国王或王后可以根据自己的喜好,任意颁布城防指令,但IT专家不行,他们要时刻兼顾业务需求。如果安全措施太过僵硬,则会阻滞关键业务流程的进展,造成人才流失。例如,医院要确保只有特定人员能够访问所有人的医疗数据,还必须确保医疗团队能够及时查看患者的诊断结果和所用处方,以便对症进行护理,二者同样重要,都要得到重视。此外,用户发现安全措施太过复杂,很难实施:他们要创建复杂的密码,还要每隔三十天更新一次 — 这就造成他们在桌面上留下各种便利贴,来记录密码,让您为防止出现未经授权访问而采取的措施功亏一篑。
Active Directory安全与法规合规性密切相关,但二者不能混为一谈,这一点至关重要。许多合规性法规的要求会直接影响到AD安全策略和程序,不仅如此,这些强制要求还会延伸到许多其他领域,如对办公楼的物理访问、员工培训以及高管责任。换句话说,全面的AD安全不仅仅是要符合一条或几条法规。
AD安全是许多合规性法规(GDPR、CCPA、HIPAA、SOX和PCI-DSS)不可或缺的一部分。如果未能实现Active
Directory安全性,则会导致各种糟糕的后果,包括监管机构的巨额罚款、高管锒铛入狱、信用卡交易受限制以及失去客户信任。
Active Directory安全风险主要源于对以下三个关键因素缺乏深刻见解和控制:
某些风险有具体名称,如内部威胁、鱼叉式网络钓鱼、权限提升和横向移动。AD安全风险虽然多种多样,但最佳应对之法并不是逐个击破;漫无目的的方法只会增加成本和IT系统的复杂性,这其实是在将问题复杂化,而非解决问题。
相反,最佳策略是清理Active Directory,并清晰了解IT环境中的活动。Active Directory内置的工具只能满足您的部分需求,而且使用起来耗时费力,因此明智之举是投资全面的解决方案,以自动执行和简化打造强力Active Directory安全性所需的核心流程。
Active Directory已问世一段时间,因此最佳实践是现成可用且经过验证的,可以显著提升AD安全性与合规性。实施以下最佳实践有助于显著降低IT数据和系统面临的风险,帮助贵组织未来取得成功。
AD安全最佳实践中的一项重要做法是定期检查IT环境的状态,主动发现潜在的安全性与合规性问题。
定期将Windows终端、域控制器和其他系统的配置设置与已知良好状态比较,然后立即修复任何无意造成的偏差或恶意更改。
务必定期检查用于将标准设置应用到您的用户和计算机的组策略。组策略可用于控制各种活动;您可以通过命令提示符或安装软件来禁止用户访问控制面板。甚至对组策略对象(GPO)的一项不当更改也会导致重大损害。例如,用户可能突然能够插入USB驱动器,并将勒索软件或其他恶意软件投放到您的系统中。因此,请确保GPO能够正常工作,且可以快速发现和恢复任何不当或未经授权的更改。
此外,请确保您的Windows
Server操作系统和其他软件已安装最新修补程序,且供应商为您使用的版本提供全面支持。
或许,确保IT安全最根本的做法是奉行最低权限原则。为每位用户精准授予其开展工作所需的访问权限。AD支持将角色相似的用户(如所有服务台管理员或所有HR员工)归到同一AD安全组并统一管理。用户可以是多个AD组的成员,如基于项目的组,而且通常也确实如此。
AD安全组不仅为管理员带来便利,还可以通过以下方式提高安全性:减少配置和取消配置时的错误;简化权限结构的复杂性,以便更轻松地确定谁对哪些内容拥有访问权限。
无论您的预防工作如何到位,都难免遇到网络安全事件,因此您需要做好准备,以快速展开调查并做出妥当响应。您需要快速决定攻击源头、攻击展开方式以及具体那些系统和数据受到攻击。这样,您可以做到责任到人并采取措施,以避免未来发生类似事件。
如前所述,最低权限原则是实现IT安全最基础的措施。如果您一定要为每个资源逐个手动分配用户权限并根据用户去留和在组织内角色的变动更新其权限,那么各项工作会使您疲于应对,贵组织也将面临出现数据泄露和合规性违规的高风险。
您可以为相似的用户创建AD安全组并统一管理其权限,这样可以减少工作量。用户可以是多个AD组的成员,如基于项目的组,而且通常也确实如此。例如,只需将新销售经理添加到销售安全组和销售经理安全组,即可为其提供所有合适资源的访问权限。同样地,如果需要为所有销售人员授予对新文件夹或文件共享的访问权限,您只需授予销售人员组访问权限,而无需逐个为用户帐户添加权限。反之,如果用户从销售人员角色移至其他位置,您只需将其从销售人员组中移除,即可撤销其对所有销售人员资源的访问权限,无需费心地了解其有权使用的各个资源,然后再决定该访问权限是否仍合法。
AD安全组不仅为管理员带来便利,还可以通过以下方式提高安全性:减少配置和取消配置时的错误;简化权限结构的复杂性,以便更轻松地确定谁对哪些内容拥有访问权限。
尤其要引起重视的是授予行政级别权限的AD安全组,如权限很高的企业管理员、域管理员和模式管理员组,以及在安装Windows时创建且对本地计算机上的文件、目录、服务和其他资源拥有完全控制权的当地管理员帐户。组织需要严密控制这些特权访问组中的成员并警惕对其成员的任何改动,因为这些改动可能意味着攻击者或恶意内部人员尝试提升其权限,以获取对额外系统或数据的访问权限。
服务帐户是特殊用户帐户,应用程序和服务会利用其登录您的IT环境并执行操作。遗憾的是,服务帐户往往拥有远超其真实需求的权限,这会导致安全风险增加。过度配置的常见原因包括不顾原则地接受应用程序供应商提出的要求,未能合理应对运营挑战,以及简单地克隆现有服务,而非花时间根据适用权限创建新服务。
最佳实践就是确保所有服务帐户都符合最低权限原则。此外,无论服务帐户何时需要管理权限,您都要采取特殊预防措施。您不应将服务帐户列为标准管理组(如本地管理员或域管理员组)中的一员。最好的选择是在本地系统帐户权限下运行服务,针对服务帐户创建自定义组并明确拒绝对该组中其他帐户的访问。无论什么时候,都要谨慎配置服务帐户,使其只能在一天中的指定时间进行登录。