AD在許多企業內部承擔著基礎架構核心系統的角色，維護這套系統的正常運行是企業內部基礎運維的重要課題，然而，AD建設、防護在許多企業中并未得到良好的實踐和足夠的重視，本期我們就來談一談當前環境下，每個運維人都需要了解的工作——AD防護工作。

01. 我們所面臨的問題

當今社會，疫情此起彼伏，寒冬忽至，更行各業都受到了不同程度的影響。但是我們深處的互聯網時代，依然非?；钴S，似乎大家把更多的精力和重心，都逐漸投入其中?；蛟S是一種錯覺，隨著疫情的反反復復，我們面臨的互聯網攻擊也愈加頻繁，各種勒索病毒和安全漏洞層出不窮，在無數個日日夜夜，折磨著我們每個IT維護人員。

當今勒索病毒已經成為了一條灰色產業鏈，2022年7月，全球新增的活躍勒索病毒家族有:Stop247、RoBaj、RedAlert、Checkmate、Lilith、Luna、BianLian、0mega等家族，其中RedAlert、Lilith、BianLian、0mega均為雙重勒索家族；Checkmate為針對NAS設備發起攻擊的勒索病毒；yanluowang勒索病毒雖不是本月新增，但該勒索病毒家族在近期開始公開發布受害者數據。

現階段微軟產品在身份驗證、終端管理等方面，仍然是行業主流。面對時時刻刻的病毒威脅，我們在AD防護這一塊，應該都要一些比較全面和通用的措施來進行應對。保障客戶的域環境安全和快速恢復業務。

02. 每個運維都必須了解：AD防護工作

按照目前的情況，我們應該從以下幾個方面進行防護或者加固，阻止AD被入侵或者二次入侵。

1）補丁更新

萬事先補丁，補丁對于大多數微軟管理員來說，是又愛又恨。愛的是，補丁能夠解決很多漏洞，讓管理員更加的放心工作。恨的是，每個月都會有補丁，補丁推動和補丁安裝，在企業內部往往都存在一定的阻力，耗時耗力，效果還不是特別好。

但是不管怎么樣，補丁正如其名，能夠很好把系統的漏洞堵住（雖然往往會產生新的漏洞），給Windows操作系統構筑一道堅實的屏障，是我們每個管理員必須要定期做的事情。

對于日常工作來說，必須要有企業自己的補丁更新管理規范和制度，并積極進行推動。在保證系統穩定的情況下，定期進行補丁更新。

對于應急的場景，比如客戶已經中了病毒了。這個時候，我們更加應該懂得事急從權，立即針對服務器進行補丁更新，安裝最新的補丁，減少系統層級的攻擊面。

2）密碼重置

現在的攻擊者，往往都是利用漏洞或者弱密碼撞庫，竊取AD域環境的高權限賬號密碼，然后進行侵入和破壞。

對于日常工作來說，我們應該積極推行密碼策略，嚴格設置密碼復雜度，保障賬號的安全。同時，對于管理員賬號密碼，我們應該盡可能的做到改名、禁用、強密碼等措施，進行最全面的防護。

對于應急的場景，理應立即重置所有管理員的賬號密碼，阻斷攻擊者的利用高權限賬號密碼進一步搞破壞。

3）權限梳理

在企業里面，90%以上的系統，對接AD域，都不需要域管理員權限的賬號，但是90%以上的企業，都給予了管理員權限。這就導致了AD域被入侵的風險極大的增加。任何一套對接了AD的應用系統，在出現漏洞后，都有可能導致AD高權賬號密碼被泄露，進而發生非常嚴重的安全事件。畢竟，再安全的保險大門，也禁不住黑客拿著大門鑰匙走進來，防不勝防沒法防。

在日常工作中，我們對于AD的管理更應該注重權限的控制。一方面我們要嚴格審核管理員賬號，盡量遵循微軟的JIE原則，只賦予最小化的權限。而不是像馬大哈一樣，給個管理員權限草率了事。在圖省事的同時，也給自己留下了一個巨大的隱患。相當于你把自己的安全，交給了一個陌生人，安全性完全沒有任何保障。

對于應急場景，應該立即梳理出高權賬號，然后進行逐一的清理和回收。規避其它賬號密碼泄露造成二次入侵。同時，把高權賬號掌握在自己手中，能夠更加的安全放心。

4）組策略防護

組策略是一把雙刃劍，一方面方便了我們的統一配置和管理，一方面，也給了黑客利用的空間。黑客往往利用組策略來進行病毒的推送和蔓延，導致域內所有的機器收到感染。因此，我們一定要加強組策略的監控和管理。

在日常工作中，定期對組策略進行優化，梳理不需要組策略。同時，對組策略的更新進行實時的監控，發現組策略被異常篡改，則立即進行響應。

對于應急場景，我們應該首先檢查組策略是否有被篡改（更新時間和更新記錄），檢查異常的腳本或者agent等，立即進行回收和刪除處理。

03. 后續

我們在平時的工作當中，一定要有非常清晰的防護策略和思路，在正確時間點，采取最正確的措施，實現影響的最小化。

當然除此之外，在AD安全加固措施等其他方面，還有更多可探討的內容，限于篇幅，本期不作為重點。我們將在后續更深一步推出關于AD加固防護的專題內容，感興趣的朋友歡迎持續關注嘉為藍鯨！

同時，企業也可以尋求專業服務，以便快速建立和完善企業AD運維能力。

04. 嘉為AD運維服務

針對企業AD運維，嘉為團隊提供全面一站式的技術服務，包括：AD及基礎架構實施、AD域升級與架構優化、AD安全加固、AD HW服務等，助企業打造堅如磐石的IT系統，為企業信息系統保駕護航。

除此之外，嘉為還提供規劃咨詢服務、系統建設服務、二線專家服務、系統優化服務、IT運維整體外包服務、人員派駐等服務，企業可以根據需求自由組合選擇使用的服務內容和范圍。

05. WeOps一體化運維平臺

有關企業AD運維，嘉為藍鯨WeOps平臺產品還可從預防和監控故障處理兩方面為企業保駕護航：

1）預防

WeOps平臺可針對日常排查時發現的一系列隱患做到及時預防。案例中由于企業AD不規范導致系統存在沒有備份、沒有補丁安裝、網絡環境負載等隱患，而WeOPs平臺可通過作業平臺定時自動備份、通過補丁安裝進行定期安裝、通過平臺進行網絡設備的自動發現，生成拓撲完美解決上述問題。

2）監控故障處理

WeOps平臺中的監控告警系統，可做到持續監控，智能告警，提前發現問題，降低業務影響，一旦發生故障，可通過拓撲圖分析關聯影響，同時結合資產管理分析資產影響情況，最后采用自動化工具快速解決故障，持續保障企業業務連續性。

嘉為藍鯨WeOps平臺滿足國產化兼容，支持在國產環境下的一體化運維，自主可控，幫助用戶解決工具功能單一、眾多IT運維對象管理難、自動化程度低、信創生態產品兼容等問題，助力客戶安全落地一體化運維場景。