AD在許多企業(yè)內(nèi)部承擔著基礎(chǔ)架構(gòu)核心系統(tǒng)的角色，維護這套系統(tǒng)的正常運行是企業(yè)內(nèi)部基礎(chǔ)運維的重要課題，然而，AD建設(shè)、防護在許多企業(yè)中并未得到良好的實踐和足夠的重視，本期我們就來談一談當前環(huán)境下，每個運維人都需要了解的工作——AD防護工作。

01. 我們所面臨的問題

當今社會，疫情此起彼伏，寒冬忽至，更行各業(yè)都受到了不同程度的影響。但是我們深處的互聯(lián)網(wǎng)時代，依然非?；钴S，似乎大家把更多的精力和重心，都逐漸投入其中。或許是一種錯覺，隨著疫情的反反復復，我們面臨的互聯(lián)網(wǎng)攻擊也愈加頻繁，各種勒索病毒和安全漏洞層出不窮，在無數(shù)個日日夜夜，折磨著我們每個IT維護人員。

當今勒索病毒已經(jīng)成為了一條灰色產(chǎn)業(yè)鏈，2022年7月，全球新增的活躍勒索病毒家族有:Stop247、RoBaj、RedAlert、Checkmate、Lilith、Luna、BianLian、0mega等家族，其中RedAlert、Lilith、BianLian、0mega均為雙重勒索家族；Checkmate為針對NAS設(shè)備發(fā)起攻擊的勒索病毒；yanluowang勒索病毒雖不是本月新增，但該勒索病毒家族在近期開始公開發(fā)布受害者數(shù)據(jù)。

現(xiàn)階段微軟產(chǎn)品在身份驗證、終端管理等方面，仍然是行業(yè)主流。面對時時刻刻的病毒威脅，我們在AD防護這一塊，應該都要一些比較全面和通用的措施來進行應對。保障客戶的域環(huán)境安全和快速恢復業(yè)務(wù)。

02. 每個運維都必須了解：AD防護工作

按照目前的情況，我們應該從以下幾個方面進行防護或者加固，阻止AD被入侵或者二次入侵。

1）補丁更新

萬事先補丁，補丁對于大多數(shù)微軟管理員來說，是又愛又恨。愛的是，補丁能夠解決很多漏洞，讓管理員更加的放心工作。恨的是，每個月都會有補丁，補丁推動和補丁安裝，在企業(yè)內(nèi)部往往都存在一定的阻力，耗時耗力，效果還不是特別好。

但是不管怎么樣，補丁正如其名，能夠很好把系統(tǒng)的漏洞堵?。m然往往會產(chǎn)生新的漏洞），給Windows操作系統(tǒng)構(gòu)筑一道堅實的屏障，是我們每個管理員必須要定期做的事情。

對于日常工作來說，必須要有企業(yè)自己的補丁更新管理規(guī)范和制度，并積極進行推動。在保證系統(tǒng)穩(wěn)定的情況下，定期進行補丁更新。

對于應急的場景，比如客戶已經(jīng)中了病毒了。這個時候，我們更加應該懂得事急從權(quán)，立即針對服務(wù)器進行補丁更新，安裝最新的補丁，減少系統(tǒng)層級的攻擊面。

2）密碼重置

現(xiàn)在的攻擊者，往往都是利用漏洞或者弱密碼撞庫，竊取AD域環(huán)境的高權(quán)限賬號密碼，然后進行侵入和破壞。

對于日常工作來說，我們應該積極推行密碼策略，嚴格設(shè)置密碼復雜度，保障賬號的安全。同時，對于管理員賬號密碼，我們應該盡可能的做到改名、禁用、強密碼等措施，進行最全面的防護。

對于應急的場景，理應立即重置所有管理員的賬號密碼，阻斷攻擊者的利用高權(quán)限賬號密碼進一步搞破壞。

3）權(quán)限梳理

在企業(yè)里面，90%以上的系統(tǒng)，對接AD域，都不需要域管理員權(quán)限的賬號，但是90%以上的企業(yè)，都給予了管理員權(quán)限。這就導致了AD域被入侵的風險極大的增加。任何一套對接了AD的應用系統(tǒng)，在出現(xiàn)漏洞后，都有可能導致AD高權(quán)賬號密碼被泄露，進而發(fā)生非常嚴重的安全事件。畢竟，再安全的保險大門，也禁不住黑客拿著大門鑰匙走進來，防不勝防沒法防。

在日常工作中，我們對于AD的管理更應該注重權(quán)限的控制。一方面我們要嚴格審核管理員賬號，盡量遵循微軟的JIE原則，只賦予最小化的權(quán)限。而不是像馬大哈一樣，給個管理員權(quán)限草率了事。在圖省事的同時，也給自己留下了一個巨大的隱患。相當于你把自己的安全，交給了一個陌生人，安全性完全沒有任何保障。

對于應急場景，應該立即梳理出高權(quán)賬號，然后進行逐一的清理和回收。規(guī)避其它賬號密碼泄露造成二次入侵。同時，把高權(quán)賬號掌握在自己手中，能夠更加的安全放心。

4）組策略防護

組策略是一把雙刃劍，一方面方便了我們的統(tǒng)一配置和管理，一方面，也給了黑客利用的空間。黑客往往利用組策略來進行病毒的推送和蔓延，導致域內(nèi)所有的機器收到感染。因此，我們一定要加強組策略的監(jiān)控和管理。

在日常工作中，定期對組策略進行優(yōu)化，梳理不需要組策略。同時，對組策略的更新進行實時的監(jiān)控，發(fā)現(xiàn)組策略被異常篡改，則立即進行響應。

對于應急場景，我們應該首先檢查組策略是否有被篡改（更新時間和更新記錄），檢查異常的腳本或者agent等，立即進行回收和刪除處理。

03. 后續(xù)

我們在平時的工作當中，一定要有非常清晰的防護策略和思路，在正確時間點，采取最正確的措施，實現(xiàn)影響的最小化。

當然除此之外，在AD安全加固措施等其他方面，還有更多可探討的內(nèi)容，限于篇幅，本期不作為重點。我們將在后續(xù)更深一步推出關(guān)于AD加固防護的專題內(nèi)容，感興趣的朋友歡迎持續(xù)關(guān)注嘉為藍鯨！

同時，企業(yè)也可以尋求專業(yè)服務(wù)，以便快速建立和完善企業(yè)AD運維能力。

04. 嘉為AD運維服務(wù)

針對企業(yè)AD運維，嘉為團隊提供全面一站式的技術(shù)服務(wù)，包括：AD及基礎(chǔ)架構(gòu)實施、AD域升級與架構(gòu)優(yōu)化、AD安全加固、AD HW服務(wù)等，助企業(yè)打造堅如磐石的IT系統(tǒng)，為企業(yè)信息系統(tǒng)保駕護航。

除此之外，嘉為還提供規(guī)劃咨詢服務(wù)、系統(tǒng)建設(shè)服務(wù)、二線專家服務(wù)、系統(tǒng)優(yōu)化服務(wù)、IT運維整體外包服務(wù)、人員派駐等服務(wù)，企業(yè)可以根據(jù)需求自由組合選擇使用的服務(wù)內(nèi)容和范圍。

05. WeOps一體化運維平臺

有關(guān)企業(yè)AD運維，嘉為藍鯨WeOps平臺產(chǎn)品還可從預防和監(jiān)控故障處理兩方面為企業(yè)保駕護航：

1）預防

WeOps平臺可針對日常排查時發(fā)現(xiàn)的一系列隱患做到及時預防。案例中由于企業(yè)AD不規(guī)范導致系統(tǒng)存在沒有備份、沒有補丁安裝、網(wǎng)絡(luò)環(huán)境負載等隱患，而WeOPs平臺可通過作業(yè)平臺定時自動備份、通過補丁安裝進行定期安裝、通過平臺進行網(wǎng)絡(luò)設(shè)備的自動發(fā)現(xiàn)，生成拓撲完美解決上述問題。

2）監(jiān)控故障處理

WeOps平臺中的監(jiān)控告警系統(tǒng)，可做到持續(xù)監(jiān)控，智能告警，提前發(fā)現(xiàn)問題，降低業(yè)務(wù)影響，一旦發(fā)生故障，可通過拓撲圖分析關(guān)聯(lián)影響，同時結(jié)合資產(chǎn)管理分析資產(chǎn)影響情況，最后采用自動化工具快速解決故障，持續(xù)保障企業(yè)業(yè)務(wù)連續(xù)性。

嘉為藍鯨WeOps平臺滿足國產(chǎn)化兼容，支持在國產(chǎn)環(huán)境下的一體化運維，自主可控，幫助用戶解決工具功能單一、眾多IT運維對象管理難、自動化程度低、信創(chuàng)生態(tài)產(chǎn)品兼容等問題，助力客戶安全落地一體化運維場景。