0
点赞
收藏
分享

微信扫一扫

Active Directory 强化清单和(可操作的)最佳实践

caoxingyu 03-18 22:15 阅读 2

1. 帐户锁定策略 

实施帐户锁定策略,以在一定次数的登录尝试失败后锁定帐户,从而减慢或停止枚举尝试。

2. 限制 LDAP 访问 

通过实施网络分段和访问控制来限制对轻量级目录访问协议 (LDAP) 的访问,以减少暴露。

3. 强密码策略 

强制实施复杂的密码策略,包括最小长度、字符多样性和密码期限。使用密码管理解决方案是个好主意,因为用户可以保存他们的复杂密码,而不会有丢失或忘记它们的风险。

4. 多因素身份验证 (MFA) 

实施 MFA 以提供额外的安全层,使attack者获得未经授权的访问更具挑战性。

5. 定期用户培训 

教育用户了解强密码的重要性,并识别可疑活动,例如网络钓鱼尝试。您还可以定期审核密码策略和设置,以确保遵守规则。

6. 启用 LDAP 签名和 LDAP 通道绑定 

这些过程有助于防止中间人attack,这些attack可能导致未经授权访问服务帐户。

7. 使用组托管服务帐户 (gMSA) 

这些帐户提供自动密码管理,并有助于降低密码哈希泄露的风险。您还应该定期审核服务帐户权限,以确保它们适合每个帐户的角色。

8. 实施特权访问管理 (PAM) 

这有助于限制特权凭据的暴露,并减少 Kerberoasting 的gongji面。它还使你能够监视对安全组权限的所有更改。

9. 保护 AD CS 配置 

确保 AD 证书服务 (CS) 设置遵循最佳做法,例如将证书模板限制为必要的权限,以及限制用户可以请求的证书类型。

10. 实施最小特权原则 

如果你有许多特权过高的帐户,gongji者可以使用这些帐户在你的环境中获得更大的立足点。

仅授予用户、计算机和服务执行其任务所需的最低权限,从而降低未经授权的证书请求的风险。这也降低了gongji者利用特权过高的帐户执行 DCSync 或 Golden Ticket attack的风险。

11. 定期审核 AD CS 

定期查看 AD CS 设置,检查是否存在可能被gongji者利用的错误配置或潜在漏洞。

12. 监视颁发的证书 

跟踪颁发的证书及其关联的权限。吊销任何可疑或不必要的证书,以限制gongji者利用它们的能力。

13. 限制敏感权限 

限制有权执行复制活动的帐户数。理想情况下,只有域控制器和必要的管理帐户才应具有这些权限。

此外,还必须限制具有高权限的帐户(例如域管理员)的数量,以最大程度地降低gongji者通过 Golden Tickets 获得未经授权的访问的风险。

14. 定期审核 AD 权限 

定期查看 AD 环境中的权限,以识别和修正可能被gongji者利用的任何不必要或过多的权限。

15. 实施安全监控和警报 

为可疑活动设置警报,例如:

  • 未经授权的复制请求。
  • 使用已知的 DCSync 相关工具。
  • 异常的 Kerberos 票证请求。
  • 使用已知的 Golden Ticket 相关工具,如 Mimikatz。

16. 保护 krbtgt 帐户 

定期更改 krbtgt 帐户的密码,以限制gongji者创建有效 Golden Tickets 的能力。确保帐户的密码很复杂,并且不会在其他帐户中重复使用。

原文:https://www.hackthebox.com/blog/active-directory-hardening-checklist-and-best-practices#4______mfa_

举报

相关推荐

0 条评论