Windows Server: Akaun Keistimewaan Dilindungi

Di dalam ini Tanya Pentadbir, Saya akan menggariskan beberapa ciri keselamatan dalam Windows Server yang boleh digunakan untuk membantu memastikan akaun sensitif selamat.

Server Windows mengandungi beberapa teknologi untuk membantu mengekalkan akaun istimewa, termasuk kumpulan Pengguna yang Dilindungi dan Silos Pengesahan. Sebelum anda melihat pelaksanaan mana-mana penyelesaian di bawah, pastikan anda menyemak Kenapa Anda Harus Menggunakan Model Pentadbiran Tahap Aktif Microsoft Active, Menguruskan Akses Keistimewaan ke Direktori Aktif, dan Windows Server 2016: Memahami Persekitaran Pentadbiran Keselamatan Dipertingkatkan Microsoft pada Petri IT Knowledgebase.

Perlu diingat bahawa teknologi yang akan saya jelaskan dalam artikel ini tidak menggantikan amalan terbaik keselamatan. Sebagai contoh, dalam Kenapa Anda Harus Menggunakan Model Pentadbiran Tahap Aktif Microsoft Active, Saya menjelaskan mengapa akaun pentadbir domain tidak boleh digunakan untuk log masuk ke peranti pengguna akhir. Kumpulan Pengguna yang Dilindungi dapat membantu mengurangkan risiko dengan menggunakan akaun AD istimewa pada peranti Tier 2 tetapi tidak menghapus risiko sepenuhnya.

Pengguna Perlindungan Direktori Aktif

Kumpulan Pengguna yang Dilindungi pertama kali muncul di Windows Server 2012 R2 dan boleh digunakan untuk menyekat apa yang boleh dilakukan oleh ahli-ahli kumpulan hak istimewa Direktori Aktif dalam domain. Pengguna yang dilindungi adalah kumpulan keselamatan global dan fungsi utamanya adalah untuk menghalang kelayakan pengguna disalahgunakan pada peranti yang mereka log masuk.

Ciri kumpulan Pengguna yang dilindungi disokong pada peranti yang menjalankan Windows 8.1 dan Windows Server 2012 (atau lebih tinggi). Berikut adalah senarai penuh sekatan:

  • Kelayakan Cached. Pengguna Ie tidak boleh log masuk di luar talian apabila tiada akses kepada pengawal domain.
  • Tiket pemberian tiket Kerberos (TGT) mesti diterima apabila pengguna log masuk dan tidak dapat diterbitkan semula secara automatik, menghalang penggunaan kunci jangka panjang.
  • Delegasi kelayakan lalai (CredSSP), berhenti kelayakan yang dikemudikan dalam plaintext walaupun jika Benarkan kelayakan lalai yang mewakilkan dasar ditetapkan.
  • Pengesahan Windows Digest.
  • NT LanManager (NTLM) NTOWF - fungsi untuk menjana kekunci berdasarkan kata laluan pengguna.

Sekiranya tahap fungsi domain adalah Windows Server 2012 R2 (atau lebih tinggi), Pengguna Dilindungi tidak boleh:

  • Mengubah tiket pemberian tiket Kerberos lebih lama daripada TTL asal 4-jam
  • Log masuk menggunakan NTLM
  • Gunakan DES atau RC4 untuk pra-pengesahan Kerberos
  • Diberikan dengan menggunakan delegasi terkurung atau tidak terkawal

Untuk mendapatkan maklumat lanjut mengenai penggunaan kumpulan Pengguna yang Dilindungi, lihat Melindungi Kredensial Keistimewaan di Windows Server 2012 R2 menggunakan Kumpulan Pengguna Dilindungi on Petri.

Dasar Pengesahan dan Silos

Dasar pengesahan diperkenalkan di Windows Server 2012 R2 dan menambah kepada sekatan yang disediakan oleh keanggotaan kumpulan Pengguna Dilindungi. Jika kumpulan Pengguna yang dilindungi menyediakan satu set sekatan yang tidak dapat diubah, dasar pengesahan membenarkan pentadbir untuk mengkonfigurasi sekatan yang digunakan untuk akaun pengguna, perkhidmatan, dan komputer. Contohnya, anda boleh menyekat akaun perkhidmatan untuk melog masuk ke pelayan tertentu.

Silos dasar pengesahan membolehkan anda menubuhkan hubungan antara pengguna, komputer, dan akaun perkhidmatan terurus. Akaun hanya boleh dimiliki oleh satu silo. Dasar pengesahan boleh digunakan untuk semua ahli dasar pengesahan silo atau dasar individu yang boleh digunakan untuk pelbagai jenis akaun di silo.

Dasar pengesahan dan silo bergantung kepada Kerberos, tuntutan, pengesahan gabungan, dan perisai Kerberos. Log masuk NTLM tidak disokong dan pengguna mesti menjadi ahli kumpulan Pengguna Dilindungi. Untuk mendapatkan maklumat lanjut tentang cara bekerja dengan dasar pengesahan dan silo, lihat Bagaimana Membuat Dasar Pengesahan Windows Server 2012 R2 on Petri.

Pengawal Bertauliah

Ciri-ciri keselamatan berasaskan maya (VBS) dalam Windows 10 dan Windows Server 2016 menyediakan teknologi yang memacu Pengawal Kredensial. Apabila Pengawal Bertauliah diaktifkan, versi terpencil dari Pihak Berkuasa Keselamatan Tempatan (LSA) dipindahkan ke mesin maya. Windows mengakses LSA yang dilindungi menggunakan panggilan prosedur jarak jauh (RPC).

Pengawal Kredensial boleh melindungi akaun domain terhadap serangan pass-the-hash atau token walaupun pengguna log masuk mempunyai hak pentadbiran atau debug. Oleh kerana bukti kelayakan domain berpotensi digunakan untuk log masuk ke lebih daripada satu peranti atau digunakan untuk mendapatkan kelayakan lain, Microsoft mengesyorkan membolehkan Pengawal Kredensial pada peranti yang menyokongnya.

Untuk maklumat lanjut mengenai Pengawal Bertauliah, lihat Windows 10 Ciri-ciri Perusahaan: Pengawal Bertauliah on Petri.

Pengesahan Multifactor

Pengesahan Multifactor (MFA) harus digunakan untuk melindungi akaun AD istimewa. MFA adalah proses pengesahan dua langkah yang boleh menghalang serangan programatik terhadap akaun istimewa. Sebagai tambahan kepada kata laluan yang kuat, Microsoft MFA menyokong faktor-faktor berikut:

  • panggilan telefon
  • mesej teks
  • pemberitahuan aplikasi mudah alih
  • kod pengesahan apl mudah alih
  • token pihak ketiga

MFA secara tradisinya mahal dan sukar untuk ditubuhkan dan diselenggarakan di dalam AD premis. Tetapi salah satu manfaat untuk memperluas AD ke awan adalah cara yang lebih mudah untuk melaksanakan MFA untuk keselamatan yang lebih baik. Untuk maklumat lanjut mengenai Azure MFA, lihat laman web Microsoft di sini.

Read-Only Domain Controllers (RODCs)

Tidak semua pengawal domain (DC) perlu ditulis. Ini benar terutamanya jika mereka berada di lokasi yang tidak dapat dijaga secara fizikal, seperti pejabat cawangan. Pengawal Domain Read-Only mempunyai salinan baca-hanya partisi pangkalan data AD, folder SYSVOL, dan pangkalan data DNS, jadi memberikan had kerusakan jika pelayan dikompromikan. RODC perlu menghubungi DC yang boleh ditulis untuk pengesahan pengguna kerana bukti kelayakan akaun tidak disimpan secara tempatan pada RODC kecuali anda memilih untuk membolehkan ciri untuk log masuk lebih cepat.

Tidak semua aplikasi serasi dengan RODC, jadi periksa bahawa aplikasi anda serasi. Untuk mendapatkan maklumat lanjut mengenai bekerja dengan RODC, lihat Gunakan Pengawal Domain Baca-Sahaja on Petri.

Penyelesaian Kata Laluan Pentadbir Tempatan (LAPS)

Akaun pentadbir setempat sering dikonfigurasi dengan kata laluan yang sama di semua peranti pengguna, yang bermaksud penyerang dapat mengompromikan setiap perangkat dengan hanya satu kata laluan. Untuk membantu Rawak dan kerap semula kata laluan, Microsoft melancarkan alat Solusi Sandi Pentadbir Lokasi (LAPS).

LAPS menggunakan sambungan pihak klien Kumpulan Dasar untuk menetapkan kata laluan pentadbir dan menyimpannya dengan selamat di Direktori Aktif. Alat ini memerlukan kemas kini ke skema AD anda, sambil menambah dua atribut: ms-MCS-AdmPwd dan ms-MCS-AdmPwdExpirationTime. Yang pertama menyimpan kata laluan akaun pentadbir setempat dan yang kedua adalah masa yang sepatutnya ditetapkan semula.

Lihat Akaun Administrator Tempatan Secepat dengan Alat Penyelesaian Kata Laluan Pentadbir Tempatan (LAPS) on Petri untuk maklumat lanjut mengenai cara menggunakan LAPS.

Senarai ciri-ciri untuk melindungi akaun istimewa dalam artikel ini tidak lengkap tetapi alat yang telah saya jelaskan dapat membantu anda menguatkan banyak amalan terbaik yang telah saya bahas dalam artikel sebelumnya. Jika anda tidak pasti di mana untuk bermula, gunakan amalan terbaik sebagai panduan untuk melaksanakan keselamatan dalam organisasi anda.

Jawatan Windows Server: Akaun Keistimewaan Dilindungi muncul pertama pada Petri.

Tinggalkan Komen

Laman web ini menggunakan Akismet untuk mengurangkan spam. Ketahui bagaimana data komen anda diproses.