98%企业AD域沦陷真相!Active Directory终极加固指南
核心问题
微软报告显示:98%遭遇攻击的企业,未在AD域中实施特权分层隔离。AD域作为企业身份认证核心,一旦被攻破,全系统权限将沦陷!
⚙️ 一、权限最小化:安全基石
- 清理特权组域管理员组(Domain Admins)仅保留默认管理员账户,日常账户必须移除。定期审计权限,避免跨系统过度授权。
- **角色隔离(RBAC)**按职能创建专属管理组(如HelpDesk组仅开放密码重置权限):
1 | New-ADGroup -Name "HelpDesk-密码重置" -GroupScope DomainLocal Add-ADGroupMember -Identity "HelpDesk-密码重置" -Members "helpdesk1" |
- 双账户分离管理员需分设日常账户(无特权)与特权账户(仅执行管理任务)。
🔐 二、密码策略升级
- 长度 > 复杂度密码长度强制14-128字符,启用SSO+多因素认证(MFA)。
- 自动化管理 部署 LAPS工具,自动轮换本地管理员密码(避免全网通用同一密码):
1 | 启用LAPS策略 Set-GPRegistryValue -Key "HKLM\\...\\AdmPwd" -ValueName "AdmPwdEnabled" -Value 1 |
🛡️ 三、分层管理模型
严格划分权限层级,禁止跨层登录:
- Tier 0(核心层):域控制器、林管理员
- Tier 1(服务层):应用服务器、数据库
- Tier 2(用户层):员工工作站
例:Tier 0管理员禁止登录Tier 2设备,防止凭证泄露。
💻 四、加固域控制器(DC)
- 物理隔离DC需独立部署,禁用非必要服务(如NetBIOS、SMBv1)。
- 访问限制
1 | 禁用RDP访问 Set-ItemProperty -Path "HKLM:\\...\\Terminal Server" -Name "fDenyTSConnections" -Value 1 |
- **只读域控(RODC)**远程分支机构部署RODC,仅同步必要账户密码:
1 | Add-ADDSReadOnlyDomainControllerAccount -Name "RODC-分支01" -SiteName "分支机构" |
🔍 五、审计与监控
- 关键审计项特权账户变更、GPO修改、身份验证事件。
- 实时响应检查SIEM工具(如Microsoft Defender)是否启用,自动触发安全告警。
✅ 总结:安全加固三步走
- 权限收缩清理特权组 + 双账户隔离。
- 分层防御Tier 0-2严格隔离 + RODC部署。
- 持续监控LAPS密码轮换 + 实时审计。
核心原则:AD安全是持续过程,需定期更新策略应对新威胁。