保護網域控制站免受攻擊

法則 #3：如果不良行為者可以不受限制地存取您的計算機，那麼它就不再是您的電腦了。 - 安全性 10 大定律 (2.0 版)。

網域控制站除了為 Active Directory Domain Services (AD DS) 資料庫提供實體儲存體，也提供服務與資料，協助企業更有效管理伺服器、工作站、使用者和應用程式。 如果惡意使用者取得網域控制站的特殊權限存取權，則可以修改、損毀或破壞 AD DS 資料庫，進而修改、損毀和破壞 Active Directory 所管理的所有系統和帳戶。

由於網域控制站可以讀取和寫入 AD DS 資料庫中的任何專案，因此當網域控制站遭到入侵時，您的 Active Directory 樹系再也無法被視為值得信任，除非您可以使用已知良好的備份來復原它，並堵上允許入侵的漏洞。

根據攻擊者的準備、工具和技能，無法彌補的損害可以在幾分鐘或幾小時內完成，而不是幾天或幾週。 重要的不是攻擊者對 Active Directory 具有特殊許可權存取權的時間長度，而是攻擊者在特殊許可權存取時的準備程度。 入侵網域控制站是破壞成員伺服器、工作站和 Active Directory 最直接的途徑。 為因應這類威脅，應以較一般基礎結構更嚴格的標準分開保護網域控制站。

網域控制站的實體安全性

本章節說明實體保護網域控制站的相關資訊。 網域控制站可能是位於資料中心、分公司或遠端位置的實體或虛擬機器。

資料中心網域控制站

實體網域控制站

在資料中心，實體網域控制站應該安裝在專用安全機架或與一般伺服器母體分開的機箱中。 可能的話，網域控制站應該使用信賴平台模組 (TPM) 晶片進行設定，而且網域控制器伺服器中的所有磁碟區都應該透過 BitLocker 磁碟機加密來加以保護。 BitLocker 會增加少量效能額外負荷，但即使從伺服器移除磁碟，也會保護目錄免於遭到入侵。 BitLocker 也可協助保護系統免於 rootkit 等攻擊，因為開機檔案的修改會導致伺服器開機進入復原模式，以便載入原始二進位檔。 如果網域控制站設定為使用軟體 RAID、序列連結 SCSI、SAN/NAS 儲存體或動態磁碟區，則無法執行 BitLocker，因此須盡可能在網域控制站中使用本機連結儲存體 (無論有無硬體 RAID)。

虛擬網域控制站

如果您實作虛擬網域控制站，您應該確保網域控制站也在與環境中其他虛擬機器分開的實體主機上執行。 即使您使用非 Microsoft 虛擬化平臺，也請考慮在 Windows Server 的 Hyper-V 上部署虛擬網域控制站。 此設定可將攻擊面縮減至最小，且可透過其託管的網域控制站管理，不須與其他虛擬化主機共同管理。 如果您實作 System Center Virtual Machine Manager （SCVMM） 來管理虛擬化基礎結構，您可以將網域控制站虛擬機器所在實體主機的管理，以及網域控制站本身委派給授權的系統管理員。 同時應考慮分隔虛擬網域控制站的儲存體，防止儲存體管理員存取虛擬機器檔案。

分行地點

分支中的實體網域控制站

在具有多部伺服器，但實體安全等級未達資料中心伺服器安全等級的地點，實體網域控制站應搭載 TPM 晶片，並進行 BitLocker 磁碟機加密。 如果網域控制器無法儲存在分支辦公室上鎖的房間中，您應該考慮在這些地點部署唯讀網域控制器 (RODC)。

分支中的虛擬網域控制站

為了達成最佳效能，您應在分支辦事處中，將虛擬網域控制器運行在與該位置其他虛擬機器分開的實體主機上。 在虛擬網域控制站無法在與其餘虛擬伺服器母體分開的實體主機上執行的分公司中，您應該在執行虛擬網域控制站的主機上實作 TPM 晶片和 BitLocker 磁碟驅動器加密，至少在所有主機上，如果可能的話。 應根據分公司的大小和實體主機的安全性，考慮在分支位置部署 RODC。

空間和安全性有限的偏遠地區

如果您的基礎結構包含只能安裝單一實體伺服器的位置，則應該安裝能夠執行虛擬化工作負載的伺服器，而且應該設定 BitLocker 磁碟驅動器加密來保護伺服器上的所有磁碟區。 伺服器上的一個虛擬機器應該以 RODC 的形式執行，而其他伺服器應該在主機上以個別的虛擬機器身分執行。 如需 RODC 規劃和部署的詳細資訊，請參閱唯讀網域控制站規劃和部署指南。 如需虛擬化網域控制站部署與安全的詳細資訊，請參閱在 Hyper-V 中執行網域控制站。 如需強化 Hyper-V 安全性、委派虛擬機器管理及保護虛擬機器的詳細指引，請參閱 Hyper-V 安全性指南。

網域控制站作業系統

您應該在組織支援的最新版本的 Windows Server 上執行所有網域控制站。 組織應優先淘汰網域控制器群體中的舊版作業系統。 優先考慮使網域控制站保持最新狀態並消除舊版網域控制站可以讓您利用新功能和安全性。 此功能可能無法在具有執行舊版作業系統的網域控制站的網域或樹系中使用。

網域控制站的安全設定

您可以使用工具來建立要使用 GPO 強制執行的網域控制站的初始安全性組態基準。 這些工具在 管理安全原則設定 和 所需狀態組態概觀中說明。

RDP 限制

連結至樹系中所有網域控制站 OU 的群組原則物件應該設定為只允許來自授權使用者和系統 （例如跳躍伺服器） 的 RDP 連線。 控制可以透過使用者權限設定和具有進階安全性設定的 Windows 防火牆的組合來實現。 這些控制可以使用 GPO 實作，以便一致地套用原則。 如果略過原則，下一次群組原則重新整理時便會將系統恢復為適當設定。

網域控制站的程式更新和組態管理

雖然似乎違反直覺，但您應該考慮將網域控制站和其他重要基礎結構元件與一般 Windows 基礎結構分開修補。 如果您針對基礎結構中的所有電腦使用企業組態管理軟體，對這些系統管理軟體的危害可能用來危害或摧毀該軟體管理的所有基礎結構元件。 藉由將網域控制站的修補程式和系統管理與一般母體分開，除了嚴格控制其管理之外，您還可以減少網域控制站上安裝的軟體數量。

封鎖網域控制站的網際網路存取

在 Active Directory 安全性評定中執行的其中一項檢查是在網域控制站上使用和設定網頁瀏覽器。 在網域控制站上，不得使用網頁瀏覽器。 對數千個域控制器的分析揭示了特權用戶使用 Internet Explorer 瀏覽組織內部網或互聯網的許多案例。

從 Windows 基礎結構中的其中一個最強大電腦，瀏覽網際網路或受感染的內部網路，將對組織的安全性造成極大風險。 無論是透過隨駕下載（drive-by download）還是透過下載受惡意軟體感染的「工具程式」，攻擊者都可以存取完全損害或摧毀 Active Directory 環境所需的一切。

您應該使用原則和技術控制來限制在網域控制站上啟動網頁瀏覽器。 也應嚴格控制進出網域控制站的一般網際網路存取。

我們鼓勵所有組織移至雲端式身分識別和存取管理方法，並從 Active Directory 移轉至 Microsoft Entra ID。 Microsoft Entra ID 是一個完整的雲端身分和存取管理解決方案，用於管理目錄、支援對內部部署和雲端應用程式的存取，以及保護身分識别免受安全威脅。 Microsoft Entra ID 提供一組健全且細微的安全性控制，以協助保護身分識別，例如多重要素驗證、條件式存取原則、識別碼保護、身分識別控管和 Privileged Identity Management。

大部分的組織都會在轉換至雲端期間以混合式身分識別模型運作，其中內部部署 Active Directory 的某些元素會透過 Microsoft Entra Connect 同步處理。 雖然這種混合模型存在於任何組織中，我們建議您透過 Microsoft Defender for Identity，以雲端驅動的方式來保護這些內部部署的身分識別。 網域控制站和 AD FS 伺服器上適用於身分識別的 Defender 感應器的設定，可透過 Proxy 和特定端點與雲端進行安全的單向連線。 如需如何設定此 Proxy 連線的完整說明，請參閱適用於身分識別的 Defender 的技術檔。 透過這類嚴格控制的設定，可確實降低伺服器連線到雲端服務的風險，適用於身分識別的 Defender 也能進一步強化組織保護功能。 我們也建議您使用雲端支援的端點偵測來保護這些伺服器，例如適用於伺服器的 Microsoft Defender。

對於具有法規或其他政策驅動的需求，以維持僅內部部署 Active Directory 實施的組織，我們建議您完全限制網域控制器網際網路的進出存取。

周邊防火牆限制

周邊防火牆應該設定為封鎖從網域控制站到因特網的輸出連線。 雖然網域控制站可能需要跨月臺界限進行通訊，但您可以遵循 如何設定 Active Directory 網域和信任防火牆中提供的指導方針，將周邊防火牆設定為允許月臺間通訊。

防止網域控制器的網路瀏覽

您可以使用 AppLocker 設定、「黑洞」 Proxy 設定和具有進階安全性設定的 Windows 防火牆的組合，以防止網域控制站存取因特網，並防止在網域控制站上使用 Web 瀏覽器。