Active Directory 安全项目最佳实践

1. 项目介绍

Active Directory 安全项目（Active Directory Security Guide）是一个开源项目，旨在提供一种基于Microsoft Enterprise Access Model的Active Directory分层模型，称为“Monash Enterprise Access Model”（MEAM）。MEAM是由澳大利亚莫纳什大学的Enterprise Engineering团队开发的，它通过内置功能实现了Active Directory的微分段，以提高组织内部网络的安全性。

2. 项目快速启动

以下是快速启动Active Directory Security Guide项目的步骤：

首先，你需要克隆项目到本地环境：

git clone https://github.com/mon-csirt/active-directory-security.git

然后，你可以按照以下步骤进行配置：

1. 安装所需的依赖项（如果有的话）。
2. 根据项目文档，配置Active Directory环境，包括创建必要的用户、组和策略。
3. 部署内置安全控制，如“Protected Users”安全组、智能卡认证、认证隔离和gMSA。
4. 对于第三方工具，如Lithnet AD Password Protection和Lithnet Access Manager，按照官方文档进行安装和配置。

3. 应用案例和最佳实践

以下是一些应用案例和最佳实践：

保护用户安全组

• 将需要额外保护的账户添加到“Protected Users”安全组中，这可以防止凭据盗取攻击。
• 注意，加入此组会导致一些功能受限，如NTLM和Kerberos委派。

智能卡认证

• 通过智能卡认证代替密码认证，增强安全性。
• 使用ADCS和Yubikey PIV进行设置，确保管理员和敏感账户采用无密码登录。

认证隔离

• 利用认证隔离和认证策略，限制特定账户只能从特定机器登录，防止横向移动。

gMSA

• 对于服务账户，使用gMSA自动管理密码，减少凭据泄露风险。

LAPS

• 使用LAPS（Local Administrator Password Solution）自动管理和备份本地管理员账户密码。

Lithnet AD Password Protection

• 强制用户选择强密码，防止使用已知弱密码列表。

Lithnet Access Manager

• 提供Web界面，安全地委派管理权限，支持MFA和JIT访问。

4. 典型生态项目

Active Directory Security Guide项目是Active Directory安全生态中的一部分，以下是一些与之相关的典型生态项目：

• Microsoft Advanced Threat Analytics (ATA)：帮助检测针对Active Directory的攻击。
• BloodHound：用于分析Active Directory权限结构，发现潜在的攻击路径。
• ADExplorer：一个强大的Active Directory浏览器，用于查看和分析AD结构。

通过结合这些工具和最佳实践，可以大大增强Active Directory的安全性和可靠性。