单域安全评估以及加固方案

1.前言

在域内任何一台机器上通过powershell脚本对域中对一些基本问题进行检测，检测的目标点如下：

• 用户帐户问题
• 域密码策略
• Tombstone lifetime和AD备份
• 信任问题
• 重复的SPN
• 组策略首选项密码
• 域管或特权用户
• KRBTGT帐户-需要定期重制密码
• Kerberos委派-配置错误可导致windows委派攻击
• 组策略对象所有者-配置错误可导致GPO下发攻击

本文会对不同对检测点给出基本对防护策略，使用的时候建议多跑几遍脚本。

使用的时候可以在域控上直接使用，也可以在域内普通电脑上使用，不过需要下载AD管理模块跟组策略管理模块。

#可通过下述命令在powershell中下载组策略管理模块，通过在github上下载AD管理模块Microsoft.ActiveDirectory.Management.dll，脚本文件Invoke-TrimarcADChecks.ps1跟ad管理模块在同一个链接下载。

---

使用命令：

Set-ExecutionPolicy Bypass -Scope Process
import-module ./Microsoft.ActiveDirectory.Management.dll
Get-WindowsCapability -Name RSAT* -Online | Select-Object -Property Name, State
Add-WindowsCapability -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0 –Online;whoami
.\Invoke-TrimarcADChecks.ps1

2. 评估结果分析与加固方案

1. 用户帐户问题

有可能产生隐患的点：

• 不活跃的帐户-这些帐户很久没更改密码或已过一段时间未登录
• 可逆加密–配置了可逆加密的帐户以可逆格式存储在AD数据库中
• 无密码账户-可直接登录
• 密码永不过期-不安全的配置
• 启用DES Kerberos加密-DES加密可逆
• 存在不需要Kerberos预先认证的账户
• SID历史记录-HistorySID攻击

下图显示在test.com域内，有三个账户被识别为不活跃用户，有六个用户账户有history SID。

加固方案：

1. 删除不活跃的账户或者强制其定期更改密码
2. 取消配置了可逆加密的账户的错误配置，在域控上的用户与计算机功能中直接对账户进行管理。
3. 给空密码用户设置密码
4. 取消密码永不过期选项
5. 不开启DES加密
6. 开启kerberos预认证
7. 检查各个账号的SIDHistory并对未授权的SIDHistory进行删除。

以上大多数设置都能在域控上的用户与计算机功能直接配置，示例图如下：

2. 域密码策略

域密码策略决定了域内的密码规则，例如密码的位数以及多久更改一次密码。

下图显示，锁定持续时间为30分钟，锁定观察窗口为30分钟，不锁定入口，密码最长使用期限42天，最短1天，最短长度为1，密码历史为24个，密码复杂度未开启，可逆加密未开启。

加固方案：
建议设置定期更改密码例如3月一次，然后密码长度大于14且满足复杂度要求。

3. Tombstone lifetime和AD backup

Tombstone lifetime这个值的默认值为180，AD可以备份自己的数据，然后在适当的时候进行恢复，这个功能需要提前添加，默认是没有的。备份的数据有效期就是Tombstone lifetime，单位是天。例如Tombstone lifetime为180，备份的数据在180天后就无法恢复了。

下图显示我的机器的Tombstone lifetime是60，且备份时间为2020年8月21日：

Active Directory的系统状态备份的有用保质期

参考文章

保护Active Directory：执行Active Directory安全检查