試析活動(dòng)目錄被“特訪(fǎng)”隱患

盡管活動(dòng)目錄 AD（Active Directory）本 身具備彈性授權(quán)模式，但若設(shè)置不當(dāng)，會(huì)在無(wú)意間為AD帶來(lái)隱患。

不難發(fā)現(xiàn)，域控制器DCs（Domain Controllers）中看不到有本地管理員賬戶(hù)，當(dāng)我們將一臺(tái)Server推至DC，本地管理員賬戶(hù)就會(huì)被取消，對(duì)該服務(wù)器的特權(quán)訪(fǎng)問(wèn)只能是來(lái)自特權(quán) 組（如 Domain Admins、BUILT-INAdministrators、Enterprise Admins）賬戶(hù)，只有這些特權(quán)組才可以授權(quán)用戶(hù)訪(fǎng)問(wèn)AD。而這些用戶(hù)往往來(lái)自并不能直接訪(fǎng)問(wèn)DC的Backup Operators或Server Operators組。仔細(xì)思考這種體制，筆者認(rèn)為與Windows Server 2016以及Windows 10中提供的特權(quán)管理員的分層制度有關(guān)。

管理員的三級(jí)分層模式

毋庸諱言，只有有效地控制對(duì)系統(tǒng)的訪(fǎng)問(wèn)行為，才能為系統(tǒng)的重要信息提供防御機(jī)制。而在現(xiàn)實(shí)中大家習(xí)以為常的是，域管理賬戶(hù)往往隨意登錄一臺(tái)普通PC，管理員的賬戶(hù)和密碼在多臺(tái)設(shè)備間共用。

針對(duì)這類(lèi)亂象，Windows 10中的Credential Guard顯然是為保護(hù)域內(nèi)的審計(jì)機(jī)制，之后出臺(tái)的Azure Confidential Computing也試圖通過(guò)可靠性環(huán)境檢測(cè)TEEs(Trusted Execution Environments)保護(hù)數(shù)據(jù)資源。

盡 管 如 此，Windows Server 2016還是提供了針對(duì)AD特訪(fǎng)行為的管理員3級(jí)分層機(jī)制，即Tier 0-3，這種3層機(jī)制可以將來(lái)自PC的高風(fēng)險(xiǎn)管理與DC的高價(jià)值資源進(jìn)行隔離。具體而言，Tier 0是最高級(jí)別，包括管理員賬號(hào)組，域控制器DC以及域，它們都可以直接或間接地訪(fǎng)問(wèn) AD叢；Tier 0管理員可以管理控制所有Tier層級(jí)的資產(chǎn)，但只能以交互方式登錄到Tier 0資產(chǎn)，而域管理員原則上不能以交互方式登錄到Tier 2資產(chǎn)。

Tier 1指域成員服務(wù)器及其應(yīng)用，對(duì)其資產(chǎn)有控制權(quán)的賬戶(hù)可以訪(fǎng)問(wèn)保密性數(shù)據(jù)。Tier 1管理員可以訪(fǎng)問(wèn)Tier 1資產(chǎn)，如果要訪(fǎng)問(wèn)Tier 0資產(chǎn)需要進(jìn)行網(wǎng)絡(luò)登錄，但僅能管理Tier 1或Tier 2資產(chǎn)，僅能以交互方式登錄到Tier 1資產(chǎn)。Tier 2指終端用戶(hù)設(shè)備，比如幫助桌面。Tier 2管理員在必要時(shí)可以通過(guò)網(wǎng)絡(luò)登錄方式訪(fǎng)問(wèn)所有Tier層的設(shè)備，Tier 2管理者可以交互登錄到Tier 2資產(chǎn)。這種三層管理模式顯然增加了系統(tǒng)的防御能力，層層設(shè)卡，當(dāng)然也不能說(shuō)滴水不漏。

通過(guò)設(shè)置管理員三層模式，對(duì)于管理組如Administrators、Domain Admins以 及Enterprise Admins就能進(jìn)行有效隔離，當(dāng)添加用戶(hù)賬號(hào)時(shí)就可以加以限制，以防低級(jí)別賬戶(hù)登錄系統(tǒng)。對(duì)于域服務(wù)器和工作站內(nèi)的BUILT-INAdministrators 組，就可以利用組策略進(jìn)行設(shè)置，設(shè)置內(nèi)容包括：禁止通過(guò)網(wǎng)絡(luò)訪(fǎng)問(wèn)本機(jī)，禁止通過(guò)批處理作業(yè)方式登錄以及禁止利用服務(wù)權(quán)限登錄；對(duì)于Domain Admins組 和Enterprise Admins組，除了進(jìn)行上述三種設(shè)置外，還應(yīng)當(dāng)再加上禁止本地登錄和禁止通過(guò)遠(yuǎn)程桌面服務(wù)登錄。

在三層管理模式下的授權(quán)行為

假如管理員準(zhǔn)備為DC中的某位用戶(hù)授予類(lèi)似管理員的 特 權(quán)（如Create Global Objects）時(shí)，管理員應(yīng)當(dāng)密切注意該用戶(hù)授權(quán)后的行為，而且更為穩(wěn)妥的方式是授予的權(quán)限是臨時(shí)性而非永久性特權(quán)，通過(guò) PowerShell命令即可辦到。

出于安全，管理員應(yīng)讓具有高級(jí)特權(quán)的AD組在平時(shí)保持空白，為此需要有一套加入該組的用戶(hù)準(zhǔn)入機(jī)制，例如要求準(zhǔn)入的用戶(hù)賬戶(hù)應(yīng)當(dāng)具有標(biāo)準(zhǔn)的域用戶(hù)賬戶(hù)，有密碼要求，而且在每次使用完后密碼就會(huì)重新設(shè)置。

更具體而言即為：

1.生成一種OU結(jié)構(gòu)，將特權(quán)賬戶(hù)和系統(tǒng)從普通用戶(hù)系統(tǒng)中區(qū)分出來(lái)。

2.生成一種AD組，該組內(nèi)的用戶(hù)可以被準(zhǔn)予和取消管理賬戶(hù)，并對(duì)賬戶(hù)有嚴(yán)格的約束要求。

3.對(duì)AdminSDHolder類(lèi)對(duì)象設(shè)置權(quán)限，允許管理型賬戶(hù)能夠管理特權(quán)型組。

值得指出的是，在Windows Server 2016中有一項(xiàng)新功能，允許管理員進(jìn)一步控制較為混亂的AD叢，采取特權(quán)訪(fǎng)問(wèn)管理PAM (Privileged Access Management)，包括動(dòng)用即時(shí)管理員JIT (Just-In-Time)Administrator。