active-directory-security 的安装和配置教程

项目基础介绍

active-directory-security 是一个基于 Microsoft Enterprise Access Model 开发的开源项目，由 Monash University 的 Enterprise Engineering 团队开发。该项目旨在通过内置功能为 Active Directory (AD) 提供微分段安全模型，即 Monash Enterprise Access Model (MEAM)。MEAM 通过对 AD 进行分层，创建管理层次结构，限制横向移动，从而增强企业的安全性。

该项目主要使用 PowerShell 编程语言，同时也涉及到一些 Active Directory 的内置功能和第三方安全控制工具。

项目使用的关键技术和框架

• PowerShell：用于自动化 AD 配置和管理任务。
• Active Directory：项目核心，用于实现分层模型。
• Kerberos 认证：用于实现认证策略和认证隔离。
• gMSA（Group Managed Service Account）：用于自动管理服务账户密码。
• 第三方工具：如 Lithnet AD Password Protection 和 Lithnet Access Manager，用于增强 AD 安全性。

安装和配置准备工作

在开始安装和配置之前，请确保以下准备工作已完成：

1. 确保你有一个有效的 Active Directory 环境。
2. 安装 PowerShell Core 或 Windows PowerShell。
3. 确保你有足够的权限来修改 AD 配置。
4. 确保所有的服务器和客户端都运行了兼容的操作系统版本。

安装步骤

步骤 1：克隆或下载项目

首先，需要从 GitHub 上克隆或下载 active-directory-security 项目：

git clone https://github.com/mon-csirt/active-directory-security.git

或者，如果你不想使用 Git，可以手动下载 ZIP 文件，然后解压到本地文件夹。

步骤 2：安装必要的 PowerShell 模块

根据项目需求，可能需要安装一些 PowerShell 模块。可以使用以下命令来安装：

Install-Module -Name SomeModule

将 SomeModule 替换为项目文档中提到的具体模块名称。

步骤 3：配置 Active Directory

根据 MEAM 模型，需要配置 AD 的分层结构。以下是一个简化的步骤：

1. 创建管理层次结构中的各个级别（如行政层级、区域和服务）。
2. 配置受保护的账户（如 Protected Users 安全组）。
3. 设置 Kerberos 认证策略和认证隔离。

具体步骤需要根据项目的文档和你的 AD 环境来执行。

步骤 4：应用安全控制

根据项目的建议，你可以启用和配置以下安全控制：

• 启用智能卡认证。
• 配置认证隔离和认证策略。
• 创建和使用 gMSA 账户。
• 使用第三方工具，如 Lithnet AD Password Protection 和 Lithnet Access Manager。

确保遵循项目文档中的详细指导，逐步配置这些控制。

步骤 5：测试配置

完成所有配置后，你应该测试新的安全设置以确保它们正常工作。这包括：

• 测试受保护用户组的成员是否无法使用旧协议进行认证。
• 验证智能卡认证是否正常工作。
• 检查认证隔离是否按预期限制账户的使用。

确保所有测试都在非生产环境中进行，以避免对现有系统造成意外影响。

通过遵循上述步骤，你应该能够成功安装和配置 active-directory-security 项目，从而增强你的 Active Directory 环境的安全性。