試析活動目錄被“特訪”隱患

盡管活動目錄 AD（Active Directory）本 身具備彈性授權模式，但若設置不當，會在無意間為AD帶來隱患。

不難發(fā)現(xiàn)，域控制器DCs（Domain Controllers）中看不到有本地管理員賬戶，當我們將一臺Server推至DC，本地管理員賬戶就會被取消，對該服務器的特權訪問只能是來自特權 組（如 Domain Admins、BUILT-INAdministrators、Enterprise Admins）賬戶，只有這些特權組才可以授權用戶訪問AD。而這些用戶往往來自并不能直接訪問DC的Backup Operators或Server Operators組。仔細思考這種體制，筆者認為與Windows Server 2016以及Windows 10中提供的特權管理員的分層制度有關。

管理員的三級分層模式

毋庸諱言，只有有效地控制對系統(tǒng)的訪問行為，才能為系統(tǒng)的重要信息提供防御機制。而在現(xiàn)實中大家習以為常的是，域管理賬戶往往隨意登錄一臺普通PC，管理員的賬戶和密碼在多臺設備間共用。

針對這類亂象，Windows 10中的Credential Guard顯然是為保護域內(nèi)的審計機制，之后出臺的Azure Confidential Computing也試圖通過可靠性環(huán)境檢測TEEs(Trusted Execution Environments)保護數(shù)據(jù)資源。

盡 管 如 此，Windows Server 2016還是提供了針對AD特訪行為的管理員3級分層機制，即Tier 0-3，這種3層機制可以將來自PC的高風險管理與DC的高價值資源進行隔離。具體而言，Tier 0是最高級別，包括管理員賬號組，域控制器DC以及域，它們都可以直接或間接地訪問 AD叢；Tier 0管理員可以管理控制所有Tier層級的資產(chǎn)，但只能以交互方式登錄到Tier 0資產(chǎn)，而域管理員原則上不能以交互方式登錄到Tier 2資產(chǎn)。

Tier 1指域成員服務器及其應用，對其資產(chǎn)有控制權的賬戶可以訪問保密性數(shù)據(jù)。Tier 1管理員可以訪問Tier 1資產(chǎn)，如果要訪問Tier 0資產(chǎn)需要進行網(wǎng)絡登錄，但僅能管理Tier 1或Tier 2資產(chǎn)，僅能以交互方式登錄到Tier 1資產(chǎn)。Tier 2指終端用戶設備，比如幫助桌面。Tier 2管理員在必要時可以通過網(wǎng)絡登錄方式訪問所有Tier層的設備，Tier 2管理者可以交互登錄到Tier 2資產(chǎn)。這種三層管理模式顯然增加了系統(tǒng)的防御能力，層層設卡，當然也不能說滴水不漏。

通過設置管理員三層模式，對于管理組如Administrators、Domain Admins以 及Enterprise Admins就能進行有效隔離，當添加用戶賬號時就可以加以限制，以防低級別賬戶登錄系統(tǒng)。對于域服務器和工作站內(nèi)的BUILT-INAdministrators 組，就可以利用組策略進行設置，設置內(nèi)容包括：禁止通過網(wǎng)絡訪問本機，禁止通過批處理作業(yè)方式登錄以及禁止利用服務權限登錄；對于Domain Admins組 和Enterprise Admins組，除了進行上述三種設置外，還應當再加上禁止本地登錄和禁止通過遠程桌面服務登錄。

在三層管理模式下的授權行為

假如管理員準備為DC中的某位用戶授予類似管理員的 特 權（如Create Global Objects）時，管理員應當密切注意該用戶授權后的行為，而且更為穩(wěn)妥的方式是授予的權限是臨時性而非永久性特權，通過 PowerShell命令即可辦到。

出于安全，管理員應讓具有高級特權的AD組在平時保持空白，為此需要有一套加入該組的用戶準入機制，例如要求準入的用戶賬戶應當具有標準的域用戶賬戶，有密碼要求，而且在每次使用完后密碼就會重新設置。

更具體而言即為：

1.生成一種OU結構，將特權賬戶和系統(tǒng)從普通用戶系統(tǒng)中區(qū)分出來。

2.生成一種AD組，該組內(nèi)的用戶可以被準予和取消管理賬戶，并對賬戶有嚴格的約束要求。

3.對AdminSDHolder類對象設置權限，允許管理型賬戶能夠管理特權型組。

值得指出的是，在Windows Server 2016中有一項新功能，允許管理員進一步控制較為混亂的AD叢，采取特權訪問管理PAM (Privileged Access Management)，包括動用即時管理員JIT (Just-In-Time)Administrator。