回归最本质的信息安全

;

保护内网安全之提高Windows AD安全性(三)

2017年3月9日发布

21,435
1
0

导语:在今年夏天的BlackHat USA大会上,我非常专业的提到了AD的安全,并提供了关于如何能够最好程度上保护Active Directory安全的一些提示。

Active Directory的安全始于能确保安全地配置域控制器(DC)。 在今年夏天的BlackHat USA大会上,我非常专业的提到了AD的安全,并提供了关于如何能够最好程度上保护Active Directory安全的一些提示。 这篇文章主要关注域控制器的安全性和一些跨越Active Directory的安全性。毕竟我的博客被称为“ADSecurity” …

本文将会涵盖一些通过保护域控制器(简称“域控”)来保护Active Directory安全性的最佳方法,包括以下几个部分:

默认域和域控制器策略
创建域和域控制器安全基线GPO
修补域控制器
保护域控制器
域控制器推荐的组策略设置
配置域控制器审查模式(事件日志)
需要监控的域控制器事件(事件日志)
关键域控制器安全项

与基础架构的任何重大更改一样,请在部署更改之前进行测试。以免发生意外。

配置域控制器审查模式(事件日志)

保护域控制器只是Active Directory安全性的一部分。 另一个是根据日志记录来检测异常活动。

在Windows Server 2008之前,Windows审查模式仅限于下图中的9个项目。

1488961611627834.png

从Windows Vista和Windows Server 2008开始,Windows审查模式扩展到57个项目。

1488961656658739.png

1488961680260117.png

请注意,在经常需要配置的常规审查设置时,“审查模式:强制审查策略子类别设置”应设置为“已启用”以强制执行这些设置。

使用AuditPol验证审查模式设置:auditpol.exe / get / category:*

Microsoft为审查模式提供了以下指导:

2.png

22.png

222.png

需要监控的域控制器事件(事件日志)

可以在

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=事件码

查询具体的事件说明。

以下是需要监视的域控制器事件的大列表:

4610 - 本地安全机构加载了身份验证包。
4611 - 已向本地安全机构注册了受信任的登录进程。
4616 - 系统时间已更改。
4624 - 帐户已成功登录。
4625 - 帐户无法登录。
4634 - 帐户已注销。
4648 - 尝试使用显式凭据进行登录
4649 - 检测到重放攻击。
4672 - 分配给新登录的特殊权限。
4673 - 调用了特权服务。
4674 - 尝试对特权对象执行操作。
4688 - 创建了一个新进程。
4689 - 进程已退出。
4692 - 尝试备份数据保护主密钥。
4693 - 尝试恢复数据保护主密钥。
4695 - 尝试取消保护可审查的受保护数据。
4697 - 服务已安装在系统中。
4698 - 创建了计划任务。
4699 - 已调度的任务已删除。
4702 - 已更新计划任务。
4706 - 为域创建了一个新的信任。
4707 - 已删除对域的信任。
4713 - Kerberos策略已更改。
4716 - 已修改受信任的域信息。
4717 - 系统安全访问已授予帐户。
4718 - 系统安全访问已从帐户中删除。
4719 - 系统审查策略已更改。
4720 - 创建了用户帐户。
4722 - 启用了用户帐户。
4723 - 尝试更改帐户的密码。
4724 - 尝试重置帐户的密码。
4725 - 用户帐户已禁用。
4726 - 用户帐户已删除。
4727 - 创建了启用安全功能的全局组。
4728 - 已将一个成员添加到启用了安全功能的全局组。
4729 - 已从启用安全性的全局组中删除了成员。
4730 - 已启用安全性的全局组已删除。
4731 - 已创建启用安全功能的本地组。
4732 - 已将一个成员添加到启用了安全功能的本地组。
4733 - 已从启用安全功能的本地组中删除了成员。
4734 - 已启用安全性的本地组已删除。
4735 - 启用了安全功能的本地组已更改。
4737 - 已启用安全性的全局组已更改。
4738 - 用户帐户已更改。
4739 - 域策略已更改。
4740 - 用户帐户被锁定。
4741 - 创建了计算机帐户。
4742 - 计算机帐户已更改。
4743 - 计算机帐户已删除。
4754 - 创建了启用安全功能的通用组。
4755 - 启用了安全功能的通用组已更改。
4756 - 已将成员添加到启用了安全功能的通用组。
4757 - 已从启用安全功能的通用组中删除了成员。
4758 - 已启用安全性的通用组已删除。
4759 - 创建了一个安全禁用的通用组。
4760 - 一个安全禁用的通用组已更改。
4764 - 组的类型已更改。
4765 - SID历史记录已添加到帐户。
4766 - 尝试向帐户添加SID历史失败。
4767 - 用户帐户已解锁。
4768 - 请求了Kerberos身份验证票证(TGT)
4769 - 请求了Kerberos服务票证
4770 - 更新Kerberos服务票证
4771 - Kerberos预身份验证失败
4772 - Kerberos身份验证票证请求失败
4774 - 映射了用于登录的帐户。
4775 - 无法映射帐户以进行登录。
4776 - 域控制器尝试验证帐户的凭据
4777 - 域控制器无法验证帐户的凭据
4780 - 在作为管理员组成员的帐户上设置ACL。
4782 - 访问了帐户的密码哈希。
4793 - 调用了密码策略检查API。
4794 - 尝试设置目录服务还原模式。
4800 - 工作站被锁定。
4801 - 工作站已解锁。
4816 - RPC在解密传入邮件时检测到完整性冲突。
4817 - 对象的审查设置已更改。
4865 - 添加了受信任的林信息条目。
4866 - 已删除受信任的林信息条目。
4867 - 已修改受信任的林信息条目。
4904 - 尝试注册安全事件源。
4905 - 尝试取消注册安全事件源。
4907 - 对象的审查设置已更改。
4908 - 特殊组登录表修改。
4944 - 以下策略在Windows防火墙启动时处于活动状态。
4964 - 已将特殊组分配给新登录。
5024 - Windows防火墙服务已成功启动。
5025 - Windows防火墙服务已停止。
5030 - Windows防火墙服务无法启动。
5031 - Windows防火墙服务阻止应用程序接受网络上的传入连接。
5033 - Windows防火墙驱动程序已成功启动。
5034 - Windows防火墙驱动程序已停止。
5035 - Windows防火墙驱动程序无法启动。
5038 - 代码完整性确定文件的图像散列无效。该文件可能会由于未经授权的修改而损坏,或者无效的哈希值可能指示潜在的磁盘设备错误。
5148 - Windows筛选平台检测到DoS攻击并进入防御模式;与此攻击相关的数据包将被丢弃。
5149 - DoS攻击已经消退,正在恢复正常处理。
5150 - Windows筛选平台阻止了数据包。
5151 - 更严格的Windows筛选平台筛选器已阻止数据包。
5152 - Windows筛选平台阻止数据包。
5153 - 更严格的Windows筛选平台筛选器已阻止数据包。
5154 - Windows筛选平台已允许应用程序或服务在端口上侦听传入连接。
5155 - Windows筛选平台已阻止应用程序或服务侦听端口上的传入连接。
5168 - SMB / SMB2的SPN检查失败。
5378 - 请求的凭据委派已被策略禁止。
6144 - 已成功应用组策略对象中的安全策略。

有关这些事件的扩展信息可从这里下载(DC-Events.xlsxDC-Events.csv)。

csv / xlsx文件中的信息包括:

事件ID
已记录的活动
审查类别
审查子类别
操作系统支持
事件卷

注意,其中许多都是高容量,因此在集成到你所选择的SIEM之前最好先进行一次评估。

关键的域控制器安全项配置

1. 成员服务器应该在升级为DC之前完全修补(像MS14-068这样的问题就非常关键)。

2. 你可能会希望将域控制器导出默认的域控制器OU,但最好不要这样做。其他OU中的域控制器可以接收不同的自定义委派和GPO设置。

3. 为域控制器安全性创建新的GPO(并链接到域控制器OU)。

4. 最好每年运行一次Active Directory最佳实践分析器,以确保Doamin和域控制器配置一致。在运行时执行的许多最佳实践检查可以识别出潜在的问题。

5. DC的所有修补和更新应该与工作站和服务器分开进行 – 这意味着要有不同的更新架构。许多组织使用WSUS来对DC和SCCM打补丁并对所有的设置进行补丁。

6. 确保定期并安全地更改相关的管理密码(DSRM密码)。

7. 配置子类别审查并设置为通过GPO强制执行(“审查:强制审查策略子类别设置(Windows Vista或更高版本)以覆盖审查策略类别设置”)。这样做,你就可以拥有跟踪更改和AD活动所需的安全事件。在服务器上运行“auditpol.exe / get / category:*”,确认启用了正确的审查模式。

8. 限制DC代理的使用,最好是没有,因为添加到DC的每个代理都为AD提供了入侵AD的另一个途径。如果代理是必要的,管理该产品的任何人都应被视为域管理员。

9. 如果你部署了虚拟DC,将虚拟管理员视为域管理员。

10. 配置PDC通过GPO自动同步时间

(https://blogs.technet.microsoft.com/nepapfe/2013/03/01/its-simple-time-configuration-in-active-directory/)。

11. 具有DC管理员/登录权限的最小组(&用户)。

12. 将默认域管理员帐户更改为至少1x /年,最好是2x。

13. 更改KRBTGT帐户密码至少1x /年,最好是2x。每次,密码都应该更改一次,等待复制(或第二天)完毕,然后再次更改

(https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-password-reset -scripts-now-available-for-customers /)。

14. 在DC上配置AppLocker仅允许授权的应用程序运行。不应该在DC上运行太多的程序,所以这应该相对容易一些。

15. 将所有管理员帐户设置为“敏感且无法委派”。

16. 使用DC管理员/登录权限最小化组(和用户)。

17. 减少/删除域管理员中的帐户和组,特别是服务帐户。

18. 利用管理工作站和管理员层级保护管理员帐户

(https://technet.microsoft.com/en-us/windows-server-docs/security/securing-privileged-access/securing-privileged-access-reference-material)

19. 只运行软件和服务以支持AD。

20. 验证计划任务和脚本。

21. 将管理员帐户添加到“受保护的用户”组(需要Windows Server 2012 R2域控制器,2012R2 DFL用于域保护)。

22. 默认域管理员和KRBTGT密码应该在每年以及有AD管理员辞职离开时更改一次。

23. 删除不再需要信任的SID并根据需要启用SID筛选。

24. 所有域认证应该设置(如果可能)为:“仅发送NTLMv2响应拒绝LM和NTLM。

25. 阻止DC,服务器和所有管理系统的互联网访问。

26. 监视敏感系统(DC等)上的计划任务。

参考文献:

1. Microsoft安全文档:

https://technet.microsoft.com/en-us/security/dn785092

2. 保护Active Directory的最佳做法:

https://technet.microsoft.com/en-us/windows-server-docs/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory

3. 保护Active Directory:最佳实践概述(Word文档下载)

https://www.microsoft.com/en-us/download/details.aspx?id=38815

4. 从“保护Active Directory的最佳实践”文档,保护域控制器:

https://technet.microsoft.com/en-us/windows-server-docs/identity/ad-ds/plan/security-best-practices/securing-domain-controllers-against-attack

5. Microsoft虚拟学院:防御Active Directory免受网络攻击

https://mva.microsoft.com/en-US/training-courses/defending-active-directory-against-cyberattacks-16327?l=Gj8k5XsSC_2004300474

6. 推荐审查策略:

https://technet.microsoft.com/en-us/windows-server-docs/identity/ad-ds/plan/security-best-practices/audit-policy-recommendations

7. 美国政府花费大量时间为不同的操作系统建立安全基线。我把他们推荐的安全设置作为起点,但他们推荐的有些设置会降低安全性(取决于客户的要求)

https://www.stigviewer.com/stig/windows_server_2012_2012_r2_domain_controller/

8. 还有一个用于Active Directory的STIG(2008只适用于StigViewer.com):

https://www.stigviewer.com/stig/active_directory_domain/

本文参考来源于adsecurity,如若转载,请注明来源于嘶吼: http://www.4hou.com/technology/3456.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

丝绸之路

嘶吼认证-特约作者/译者

发私信

发表评论

    lapua 2017-03-10 11:45

    结合前几篇文章就能看懂好多了…
    第一篇传送门:http://www.4hou.com/technology/3280.html
    第二篇传送门:http://www.4hou.com/technology/3455.html