Защита контроллеров домена от атак Securing Domain Controllers Against Attack

Область применения: Windows Server 2022 Preview, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Applies To: Windows Server 2022 Preview, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Номер закона 3. Если у злоумышленника есть неограниченный физический доступ к вашему компьютеру, он больше не находится на вашем компьютере. Law Number Three: If a bad guy has unrestricted physical access to your computer, it’s not your computer anymore. — Десять неизменяемых законов безопасности (версия 2,0) — Ten Immutable Laws of Security (Version 2.0)

Контроллеры домена предоставляют физическое хранилище для AD DS базы данных, помимо предоставления служб и данных, позволяющих предприятиям эффективно управлять своими серверами, рабочими станциями, пользователями и приложениями. Domain controllers provide the physical storage for the AD DS database, in addition to providing the services and data that allow enterprises to effectively manage their servers, workstations, users, and applications. Если привилегированный доступ к контроллеру домена получает злоумышленник, этот пользователь может изменить, повредить или уничтожить базу данных AD DS и, по своему расширению, все системы и учетные записи, управляемые Active Directory. If privileged access to a domain controller is obtained by a malicious user, that user can modify, corrupt, or destroy the AD DS database and, by extension, all of the systems and accounts that are managed by Active Directory.

Так как контроллеры домена могут считывать данные из базы данных AD DS и записывать их в любые данные, компрометация контроллера домена означает, что лес Active Directory не может считаться доверенным повторно, если вы не сможете восстановиться с помощью известной хорошей резервной копии и закрыть пропуски, которые позволили бы снизить безопасность процесса. Because domain controllers can read from and write to anything in the AD DS database, compromise of a domain controller means that your Active Directory forest can never be considered trustworthy again unless you are able to recover using a known good backup and to close the gaps that allowed the compromise in the process.

В зависимости от подготовки злоумышленника, инструментария и навыка, изменение или даже неустранимогоные AD DS повреждения базы данных могут быть выполнены за несколько минут, а не дней или недель. Depending on an attacker’s preparation, tooling, and skill, modification or even irreparable damage to the AD DS database can be completed in minutes to hours, not days or weeks. Важно то, что у злоумышленника есть привилегированный доступ к Active Directory, но сколько у злоумышленника запланирована на момент получения привилегированного доступа. What matters isn’t how long an attacker has privileged access to Active Directory, but how much the attacker has planned for the moment when privileged access is obtained. Поставная безопасность контроллера домена может обеспечить наибольший укороченного путь к распространению уровня доступа или самый прямой путь к уничтожению рядовых серверов, рабочих станций и Active Directory. Compromising a domain controller can provide the most expedient path to wide scale propagation of access, or the most direct path to destruction of member servers, workstations, and Active Directory. По этой причине контроллеры домена должны быть защищены по отдельности и более жестко, чем общая инфраструктура Windows. Because of this, domain controllers should be secured separately and more stringently than the general Windows infrastructure.

Физическая безопасность для контроллеров домена Physical Security for Domain Controllers

В этом разделе содержатся сведения о физической защите контроллеров домена, будь то контроллеры домена: физические или виртуальные машины, расположения центров обработки данных, офисы филиалов и даже удаленные расположения только с базовыми элементами управления инфраструктурой. This section provides information about physically securing domain controllers, whether the domain controllers are physical or virtual machines, in datacenter locations, branch offices, and even remote locations with only basic infrastructure controls.

Контроллеры домена центра обработки данных Datacenter Domain Controllers

Физические контроллеры домена Physical Domain Controllers

В центрах обработки данных физические контроллеры домена должны быть установлены в выделенные защищенные стойки или отсеки, которые отделены от общего заполнения сервера. In datacenters, physical domain controllers should be installed in dedicated secure racks or cages that are separate from the general server population. По возможности контроллеры домена должны быть настроены с использованием микропроцессоров доверенный платформенный модуль (TPM) (TPM), а все тома на серверах контроллеров домена должны быть защищены с помощью шифрование диска BitLocker. When possible, domain controllers should be configured with Trusted Platform Module (TPM) chips and all volumes in the domain controller servers should be protected via BitLocker Drive Encryption. BitLocker обычно увеличивает затраты на производительность в процентах, состоящих из одной цифры, но защищает каталог от компрометации, даже если диски удаляются с сервера. BitLocker generally adds performance overhead in single-digit percentages, but protects the directory against compromise even if disks are removed from the server. BitLocker также помогает защитить системы от атак, таких как rootkit-программы, поскольку изменение загрузочных файлов приведет к загрузке сервера в режиме восстановления, чтобы можно было загрузить исходные двоичные файлы. BitLocker can also help protect systems against attacks such as rootkits because the modification of boot files will cause the server to boot into recovery mode so that the original binaries can be loaded. Если контроллер домена настроен для использования программного RAID-массива, подключенного через последовательный порт SCSI, хранилища SAN/NAS или динамических томов, BitLocker не может быть реализован, поэтому в контроллерах домена по возможности следует использовать локально подключенное хранилище (с аппаратным RAID-массивом или без него). If a domain controller is configured to use software RAID, serial-attached SCSI, SAN/NAS storage, or dynamic volumes, BitLocker cannot be implemented, so locally attached storage (with or without hardware RAID) should be used in domain controllers whenever possible.

Виртуальные контроллеры домена Virtual Domain Controllers

При реализации виртуальных контроллеров домена следует убедиться, что контроллеры домена работают на разных физических узлах, а не на других виртуальных машинах в среде. If you implement virtual domain controllers, you should ensure that domain controllers run on separate physical hosts than other virtual machines in the environment. Даже если вы используете платформу виртуализации стороннего производителя, рассмотрите возможность развертывания виртуальных контроллеров домена на сервере Hyper-V в Windows Server 2012 или Windows Server 2008 R2, который обеспечивает минимальную поверхность атак и может управляться с помощью контроллеров домена, на котором он размещен, а не управлять с помощью остальных узлов виртуализации. Even if you use a third-party virtualization platform, consider deploying virtual domain controllers on Hyper-V Server in Windows Server 2012 or Windows Server 2008 R2, which provides a minimal attack surface and can be managed with the domain controllers it hosts rather than being managed with the rest of the virtualization hosts. При реализации System Center Virtual Machine Manager (SCVMM) для управления инфраструктурой виртуализации можно делегировать администрирование физическим узлам, на которых находятся виртуальные машины контроллера домена, и контроллерами домена для полномочных администраторов. If you implement System Center Virtual Machine Manager (SCVMM) for management of your virtualization infrastructure, you can delegate administration for the physical hosts on which domain controller virtual machines reside and the domain controllers themselves to authorized administrators. Также следует рассмотреть возможность разделения хранилища виртуальных контроллеров домена, чтобы предотвратить доступ администраторов хранилища к файлам виртуальных машин. You should also consider separating the storage of virtual domain controllers to prevent storage administrators from accessing the virtual machine files.

Если вы планируете совместное размещение виртуализированных контроллеров домена с другими, менее конфиденциальными виртуальными машинами на тех же физических серверах виртуализации (узлами), рассмотрите возможность реализации решения, которое обеспечивает разделение обязанностей на основе ролей, например экранированные виртуальные машины в Hyper-V. If you intend to co-locate virtualized domain controllers with other, less sensitive virtual machines on the same physical virtualization servers (hosts), consider implementing a solution which enforces role-based separation of duties, such as Shielded VMs in Hyper-V. Эта технология обеспечивает комплексную защиту от вредоносных или ненужных администраторов структуры (включая администраторов виртуализации, сети, хранилища и резервного копирования). Он использует физический корень доверия с удаленной аттестацией и безопасной подготовкой виртуальной машины, а также обеспечивает высокий уровень безопасности с выделенным физическим сервером. This technology provides comprehensive protection against malicious or clueless fabric administrators (including virtualization, network, storage and backup administrators.) It leverages physical root of trust with remote attestation and secure VM provisioning, and effectively ensures level of security which is on par with a dedicated physical server.

Расположения ветвей Branch Locations

Физические контроллеры домена в ветвях Physical Domain Controllers in branches

В расположениях, в которых несколько серверов находятся, но физически не защищены в степени, когда серверы центра обработки данных защищены, физические контроллеры домена должны быть настроены с использованием микросхемы TPM и шифрование диска BitLocker для всех томов сервера. In locations in which multiple servers reside but are not physically secured to the degree that datacenter servers are secured, physical domain controllers should be configured with TPM chips and BitLocker Drive Encryption for all server volumes. Если контроллер домена не может храниться в заблокированной комнате в расположениях филиалов, следует рассмотреть возможность развертывания RODC в этих расположениях. If a domain controller cannot be stored in a locked room in branch locations, you should consider deploying RODCs in those locations.

Виртуальные контроллеры домена в ветвях Virtual Domain Controllers in branches

По возможности следует запускать виртуальные контроллеры домена в филиалах на разных физических узлах, а не на других виртуальных машинах сайта. Whenever possible, you should run virtual domain controllers in branch offices on separate physical hosts than the other virtual machines in the site. В филиалах, в которых виртуальные контроллеры домена не могут работать на разных физических узлах из оставшейся части заполнения Virtual Server, следует реализовать микросхемы TPM и шифрование диска BitLocker на узлах, где виртуальные контроллеры домена работают как минимум, и все узлы, если это возможно. In branch offices in which virtual domain controllers cannot run on separate physical hosts from the rest of the virtual server population, you should implement TPM chips and BitLocker Drive Encryption on hosts on which virtual domain controllers run at minimum, and all hosts if possible. В зависимости от размера филиала и безопасности физических узлов следует рассмотреть возможность развертывания RODC в расположениях ветвей. Depending on the size of the branch office and the security of the physical hosts, you should consider deploying RODCs in branch locations.

Удаленные расположения с ограниченным пространством и безопасностью Remote Locations with Limited Space and Security

Если в инфраструктуре есть расположения, в которых можно установить только один физический сервер, сервер, на котором выполняются рабочие нагрузки виртуализации, должен быть установлен в удаленном расположении, а шифрование диска BitLocker должны быть настроены для защиты всех томов на сервере. If your infrastructure includes locations in which only a single physical server can be installed, a server capable of running virtualization workloads should be installed in the remote location, and BitLocker Drive Encryption should be configured to protect all volumes in the server. Одна виртуальная машина на сервере должна работать под управлением RODC, а другие серверы, работающие как отдельные виртуальные машины на узле. One virtual machine on the server should run an RODC, with other servers running as separate virtual machines on the host. Сведения о планировании развертывания RODC приведены в руководств по планированию и развертыванию контроллера домена только для чтения. Information about planning for deployment of RODC is provided in the Read-Only Domain Controller Planning and Deployment Guide. Дополнительные сведения о развертывании и защите виртуализованных контроллеров домена см. в статье работа с контроллерами домена в Hyper-V. For more information about deploying and securing virtualized domain controllers, see Running Domain Controllers in Hyper-V. Более подробные инструкции по усилению защиты Hyper-V, делегирования управления виртуальными машинами и защите виртуальных машин см. в статье акселератор решений для руководства по безопасности Hyper-v на веб-сайте Майкрософт. For more detailed guidance for hardening Hyper-V, delegating virtual machine management, and protecting virtual machines, see the Hyper-V Security Guide Solution Accelerator on the Microsoft website.

Операционные системы контроллера домена Domain Controller Operating Systems

Необходимо запустить все контроллеры домена в последней версии Windows Server, поддерживаемой в Организации, и расставить приоритеты в списании устаревших операционных систем в совокупности контроллера домена. You should run all domain controllers on the newest version of Windows Server that is supported within your organization and prioritize decommissioning of legacy operating systems in the domain controller population. Сохраняя контроллеры домена в актуальном виде и исключая устаревшие контроллеры домена, часто можно воспользоваться преимуществами новых функций и безопасности, которые могут быть недоступны в доменах или лесах с контроллерами домена, работающими под управлением устаревшей операционной системы. By keeping your domain controllers current and eliminating legacy domain controllers, you can often take advantage of new functionality and security that may not be available in domains or forests with domain controllers running legacy operating system.

Как и для любой конфигурации с учетом параметров безопасности и с одним назначением, рекомендуется развернуть операционную систему в варианте установки Server Core . As for any security-sensitive and single-purpose configuration, we recommend that you deploy the operating system in Server Core installation option. Он предоставляет несколько преимуществ, таких как минимизация уязвимой зоны, повышение производительности и снижение вероятности ошибки человека. It provides multiple benefits, such as minimizing attack surface, improving performance and reducing the likelihood of human error. Рекомендуется, чтобы все операции и управление выполнялись удаленно, от выделенных высокозащищенных конечных точек, таких как рабочие станции привилегированного доступа (привилегированным доступом) или безопасных административных узлов. It is recommended that all operations and management are performed remotely, from dedicated highly secured endpoints such as Privileged access workstations (PAW) or Secure administrative hosts.

Защита конфигурации контроллеров домена Secure Configuration of Domain Controllers

Ряд свободно доступных средств, некоторые из которых устанавливаются по умолчанию в Windows, можно использовать для создания базового шаблона базовой конфигурации безопасности для контроллеров домена, которые впоследствии могут быть принудительно применены с помощью объектов групповой политики. A number of freely available tools, some of which are installed by default in Windows, can be used to create an initial security configuration baseline for domain controllers that can subsequently be enforced by GPOs. Эти средства описаны в разделе Администрирование параметров политики безопасности документации по операционным системам Microsoft. These tools are described in Administer security policy settings section of Microsoft operating systems documentation.

Ограничения RDP RDP Restrictions

Групповая политика объекты, которые связываются со всеми подразделениями контроллеров домена в лесу, должны быть настроены на разрешение подключений по протоколу RDP только от полномочных пользователей и систем (например, серверы переходят). Group Policy Objects that link to all domain controllers OUs in a forest should be configured to allow RDP connections only from authorized users and systems (for example, jump servers). Это можно сделать с помощью сочетания параметров прав пользователей и конфигурации с ПОВЫШЕНной настройкой, которые должны быть реализованы в объектах групповой политики для согласованного применения политики. This can be achieved through a combination of user rights settings and WFAS configuration and should be implemented in GPOs so that the policy is consistently applied. Если это не так, при следующем групповая политика обновления возвращается система к соответствующей конфигурации. If it is bypassed, the next Group Policy refresh returns the system to its proper configuration.

Управление исправлениями и конфигурациями для контроллеров домена Patch and Configuration Management for Domain Controllers

Хотя это может показаться нелогичным, следует рассмотреть возможность исправления контроллеров домена и других критических компонентов инфраструктуры отдельно от общей инфраструктуры Windows. Although it may seem counterintuitive, you should consider patching domain controllers and other critical infrastructure components separately from your general Windows infrastructure. Если вы используете программное обеспечение для управления конфигурацией предприятия для всех компьютеров в вашей инфраструктуре, для компрометации или уничтожения всех компонентов инфраструктуры, управляемых этим программным обеспечением, может быть использована компрометация программного обеспечения управления системами. If you leverage enterprise configuration management software for all computers in your infrastructure, compromise of the systems management software can be used to compromise or destroy all infrastructure components managed by that software. Разделяя управление исправлениями и системами для контроллеров домена из общей совокупности, можно уменьшить объем программного обеспечения, установленного на контроллерах домена, в дополнение к тесному управлению ими. By separating patch and systems management for domain controllers from the general population, you can reduce the amount of software installed on domain controllers, in addition to tightly controlling their management.

Блокировка доступа к Интернету для контроллеров домена Blocking Internet Access for Domain Controllers

Одной из проверок, выполняемых в рамках оценки безопасности Active Directory, является использование и Настройка Internet Explorer на контроллерах домена. One of the checks that is performed as part of an Active Directory Security Assessment is the use and configuration of Internet Explorer on domain controllers. Internet Explorer (или любой другой веб-браузер) не следует использовать на контроллерах домена, но анализ тысяч контроллеров домена обнаружил множество случаев, в которых привилегированные пользователи использовали Internet Explorer для просмотра интрасети организации или Интернета. Internet Explorer (or any other web browser) should not be used on domain controllers, but analysis of thousands of domain controllers has revealed numerous cases in which privileged users used Internet Explorer to browse the organization’s intranet or the Internet.

Как было описано в разделе «недопущенная Настройка», подключаясь к компрометации, просмотрев Интернет (или зараженную интрасеть) от одного из самых мощных компьютеров в инфраструктуре Windows, используя учетную запись с высоким уровнем привилегий (по умолчанию единственными учетными записями, которым разрешено локальное подключение к контроллерам домена), повышается риск обеспечения безопасности Организации. As previously described in the «Misconfiguration» section of Avenues to Compromise, browsing the Internet (or an infected intranet) from one of the most powerful computers in a Windows infrastructure using a highly privileged account (which are the only accounts permitted to log on locally to domain controllers by default) presents an extraordinary risk to an organization’s security. Независимо от того, есть ли у диска Загрузка или загрузка зараженных вредоносными программами программ, злоумышленник может получить доступ ко всем необходимым, чтобы полностью ослабить или уничтожить Active Directoryную среду. Whether via a drive by download or by download of malware-infected «utilities,» attackers can gain access to everything they need to completely compromise or destroy the Active Directory environment.

Хотя Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 и текущие версии Internet Explorer предлагают ряд средств защиты от вредоносных загрузок, в большинстве случаев, когда контроллеры домена и привилегированные учетные записи использовались для просмотра Интернета, контроллеры домена работали под управлением Windows Server 2003, или защита, предлагаемая более новыми операционными системами и браузерами, была намеренно отключена. Although Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, and current versions of Internet Explorer offer a number of protections against malicious downloads, in most cases in which domain controllers and privileged accounts had been used to browse the Internet, the domain controllers were running Windows Server 2003, or protections offered by newer operating systems and browsers had been intentionally disabled.

Запуск веб-браузеров на контроллерах домена должен быть запрещен не только политикой, но и техническими элементами управления, и контроллеры домена не должны иметь разрешения на доступ к Интернету. Launching web browsers on domain controllers should be prohibited not only by policy, but by technical controls, and domain controllers should not be permitted to access the Internet. Если контроллеры домена должны реплицироваться между сайтами, следует реализовать безопасные подключения между сайтами. If your domain controllers need to replicate across sites, you should implement secure connections between the sites. Хотя подробные инструкции по конфигурации выходят за рамки этого документа, можно реализовать ряд элементов управления, чтобы ограничить возможности контроллеров домена неправильно используемыми или ненастроенными и скомпрометированными. Although detailed configuration instructions are outside the scope of this document, you can implement a number of controls to restrict the ability of domain controllers to be misused or misconfigured and subsequently compromised.

Ограничения брандмауэра периметра Perimeter Firewall Restrictions

Брандмауэры периметра должны быть настроены для блокировки исходящих подключений от контроллеров домена к Интернету. Perimeter firewalls should be configured to block outbound connections from domain controllers to the Internet. Несмотря на то, что контроллерам домена может потребоваться взаимодействовать через границы сайта, брандмауэры периметра можно настроить таким способом, чтобы разрешить межсайтовую связь, следуя указаниям в руководстве Настройка брандмауэра для Active Directory доменов и отношений доверия на веб-сайте Служба поддержки Майкрософт. Although domain controllers may need to communicate across site boundaries, perimeter firewalls can be configured to allow intersite communication by following the guidelines provided in How to configure a firewall for Active Directory domains and trusts on the Microsoft Support website.

Конфигурации брандмауэра контроллера домена DC Firewall Configurations

Как было сказано ранее, следует использовать мастер настройки безопасности для записи параметров конфигурации брандмауэра Windows в повышенной безопасности на контроллерах домена. As described earlier, you should use the Security Configuration Wizard to capture configuration settings for the Windows Firewall with Advanced Security on domain controllers. Следует проверить выходные данные мастера настройки безопасности, чтобы убедиться, что параметры конфигурации брандмауэра соответствуют требованиям Организации, а затем использовать объекты групповой политики для применения параметров конфигурации. You should review the output of Security Configuration Wizard to ensure that the firewall configuration settings meet your organization’s requirements, and then use GPOs to enforce configuration settings.

Предотвращение веб-обзора с контроллеров домена Preventing Web Browsing from Domain Controllers

Для предотвращения доступа контроллеров домена к Интернету и предотвращения использования веб-браузеров на контроллерах домена можно использовать сочетание конфигурации AppLocker, конфигурации прокси-сервера «Черная дыра» и конфигурации с WFAS. You can use a combination of AppLocker configuration, «black hole» proxy configuration, and WFAS configuration to prevent domain controllers from accessing the Internet and to prevent the use of web browsers on domain controllers.