防御现代网络攻击的核心策略与实战指南
目录导读
- 域控制器安全的重要性与风险现状
- 基础加固:操作系统与补丁管理
- 身份验证策略:Kerberos与NTLM安全强化
- 权限控制:最小化特权与SID筛选
- 日志审计与威胁检测
- 高可用与备份策略
- 常见问题解答(FAQ)
域控制器安全的重要性与风险现状
域控制器(DC)是企业Windows网络的核心,负责身份验证、策略分发与资源访问控制,一旦DC被攻破,攻击者可直接获取域管理员权限,操纵整个网络,近年来的典型案例包括:
- Golden Ticket攻击:利用KRBTGT账户哈希伪造Kerberos票据。
- DCSync攻击:通过复制域数据库窃取用户凭据。
- NTLM Relay:利用中继攻击绕过身份验证。
问题:为什么域控制器是最危险的攻击目标?
答:因为DC存储了所有用户的密码哈希(NTDS.dit文件)、Kerberos密钥以及域策略,是“一把钥匙开整栋楼”的权限枢纽。
基础加固:操作系统与补丁管理
1 操作系统最小化安装
- 仅安装必要的角色(Active Directory域服务、DNS),禁用不需要的服务(如IIS、Print Spooler)。
- 使用Windows Server Core版本减少攻击面。
2 补丁与更新策略
- 启用WSUS或Windows Update for Business,确保每月更新。
- 关键补丁:CVE-2020-1472(Netlogon特权提升漏洞)等需优先修复。
3 网络隔离与防火墙
- 将DC置于独立管理子网,限制入站流量。
- 配置Windows Defender防火墙,仅开放必要端口:
- TCP 389(LDAP)
- TCP 636(LDAPS)
- TCP 3268/3269(全局编录)
- UDP 88(Kerberos)等。
问题:是否可以完全禁用NTLM?
答:不能完全禁用(部分旧设备依赖NTLM),但应通过组策略限制NTLM使用范围,
网络访问:限制NTLM:审核传入NTLM流量→ 启用审核并逐步阻止。
身份验证策略:Kerberos与NTLM安全强化
1 Kerberos安全优化
- 设置KRBTGT密码轮换:每180天重置KRBTGT账户密码(两次,间隔满足传播时延),避免Golden Ticket长期有效。
- 启用Kerberos票据生命期限限制:
- 用户票据:最长10小时
- 服务票据:最长24小时(通过组策略
Kerberos策略设置)。
2 禁止NTLM中继
- 启用LDAP签名与信道绑定:
- 在DC上设置
域控制器:LDAP服务器签名要求= “需要签名” - 在组策略中启用
域成员:对安全通道数据进行数字加密或签名。
- 在DC上设置
- 部署“Windows Defender Firewall with Advanced Security”阻止445端口对外的出站连接(除非业务需要)。
问题:如何检测KRBTGT哈希泄露?
答:使用SIEM工具监控事件ID 4769(Kerberos服务票据请求),若出现异常的TGT(来自非DC的请求)或票据有效期异常,立即调查。
权限控制:最小化特权与SID筛选
1 管理员账户保护
- 特权账户分离:域管理员账户不得用于日常登录(使用普通用户登录工作站,仅用域管理员账户执行特定管理任务)。
- 启用LAPS(本地管理员密码解决方案):随机化域中计算机本地管理员密码,防御Pass-the-Hash攻击。
2 SID筛选与森林信任强化
- 在跨域信任中启用SID筛选:
- 验证来自其他域的SID是否携带额外特权(如Enterprise Admins)。
- 使用
netdom query trust检查信任类型并实施SIDHistory限制。
问题:是否可以删除默认的Domain Admins组?
答:不可以,但可将该组清空,仅保留一个备用账户并锁定,通过组策略限制其成员登录到DC之外的系统。
日志审计与威胁检测
1 关键日志事件
启用以下审计策略(事件ID):
| 事件类别 | 事件ID | 用途 |
|---------|--------|-----|
| 登录/注销 | 4624, 4625, 4634 | 异常登录(如非工作时间、来源IP异常) |
| 账户管理 | 4720-4738 | 新用户/组创建、特权账户更改 |
| Kerberos服务 | 4768, 4769 | TGT/TGS请求异常 |
| 目录服务复制 | 5136, 5140 | 可疑的NTDS.dit访问尝试 |
2 威胁检测策略
- 部署EDR(如Microsoft Defender for Identity):监控攻击主体如DCSync、Kerberoasting、Pass-the-Hash。
- 设置告警规则(例):
- 同一源IP在1分钟内发起超过10次DC同步请求 → 可能为DCSync。
- 域管理员账户从未知地理位置登录 → 立即隔离。
问题:如何处理大量误报日志?
答:配置“高级审计策略”并关联微软基线规则(如Microsoft 365 Defender基线),对正常操作(如日程任务)添加白名单。
高可用与备份策略
1 冗余部署
- 至少部署2台域控制器,且物理/网络分离(如:主DC位于数据中心,额外DC位于分支机构)。
- 使用FSMO角色分担(如RID主控、PDC仿真器)避免单点故障。
2 备份与恢复
- 定期备份系统状态(包括AD数据库):
wbadmin start systemstatebackup -backupTarget:e:
- 测试“非授权还原”流程:在隔离环境中验证备份有效性。
问题:备份文件被勒索软件加密怎么办?
答:采用3-2-1备份策略(3份备份、2种介质、1份异地),将备份存储到Azure或冷存储,并禁用备份服务器的网络驱动器映射。
常见问题解答(FAQ)
Q1: 域控制器是否需要安装防病毒软件?
A: 是,但需排除AD相关文件夹(NTDS.dit、SYSVOL)以免影响性能,推荐使用基于行为的EDR而非传统AV。
Q2: 如何加固域控制器的物理安全?
A: 将DC放入专门机架,限制物理访问,启用TPM加密驱动器(BitLocker)。
Q3: 混合云环境(Azure AD与本地AD)如何加固?
A: 使用Azure AD Connect同步时启用密码哈希同步(PHS)筛选,避免凭据泄露;本地DC仍按上述策略加固。
Q4: 域控制器可以运行在虚拟机中吗?
A: 可以,但需注意:
- 使用静态IP和MAC地址(避免DHCP变更导致复制问题)。
- 禁用虚拟机快照中的“禁用时间同步”选项(防止时间偏移影响Kerberos)。
域控制器的安全性是组织网络防御的“最后一道防线”,通过补丁管理、身份验证优化、权限最小化、日志监控及冗余备份的组合策略,可有效降低攻击者横向移动与提权风险,定期进行渗透测试(如对DC执行Pass-the-Hash、Golden Ticket模拟)是验证加固成效的关键。域控制器没有“绝对安全”,只有持续防御。
