盡管活動目錄 AD（Active Directory）本 身具備彈性授權(quán)模式，但若設(shè)置不當(dāng)，會在無意間為AD帶來隱患。

不難發(fā)現(xiàn)，域控制器DCs（Domain Controllers）中看不到有本地管理員賬戶，當(dāng)我們將一臺Server推至DC，本地管理員賬戶就會被取消，對該服務(wù)器的特權(quán)訪問只能是來自特權(quán) 組（如 Domain Admins、BUILT-INAdministrators、Enterprise Admins）賬戶，只有這些特權(quán)組才可以授權(quán)用戶訪問AD。而這些用戶往往來自并不能直接訪問DC的Backup Operators或Server Operators組。仔細(xì)思考這種體制，筆者認(rèn)為與Windows Server 2016以及Windows 10中提供的特權(quán)管理員的分層制度有關(guān)。

管理員的三級分層模式

毋庸諱言，只有有效地控制對系統(tǒng)的訪問行為，才能為系統(tǒng)的重要信息提供防御機(jī)制。而在現(xiàn)實(shí)中大家習(xí)以為常的是，域管理賬戶往往隨意登錄一臺普通PC，管理員的賬戶和密碼在多臺設(shè)備間共用。

針對這類亂象，Windows 10中的Credential Guard顯然是為保護(hù)域內(nèi)的審計(jì)機(jī)制，之后出臺的Azure Confidential Computing也試圖通過可靠性環(huán)境檢測TEEs(Trusted Execution Environments)保護(hù)數(shù)據(jù)資源。

盡 管 如 此，Windows Server 2016還是提供了針對AD特訪行為的管理員3級分層機(jī)制，即Tier 0-3，這種3層機(jī)制可以將來自PC的高風(fēng)險(xiǎn)管理與DC的高價(jià)值資源進(jìn)行隔離。具體而言，Tier 0是最高級別，包括管理員賬號組，域控制器DC以及域，它們都可以直接或間接地訪問 AD叢；Tier 0管理員可以管理控制所有Tier層級的資產(chǎn)，但只能以交互方式登錄到Tier 0資產(chǎn)，而域管理員原則上不能以交互方式登錄到Tier 2資產(chǎn)。

Tier 1指域成員服務(wù)器及其應(yīng)用，對其資產(chǎn)有控制權(quán)的賬戶可以訪問保密性數(shù)據(jù)。Tier 1管理員可以訪問Tier 1資產(chǎn)，如果要訪問Tier 0資產(chǎn)需要進(jìn)行網(wǎng)絡(luò)登錄，但僅能管理Tier 1或Tier 2資產(chǎn)，僅能以交互方式登錄到Tier 1資產(chǎn)。Tier 2指終端用戶設(shè)備，比如幫助桌面。Tier 2管理員在必要時(shí)可以通過網(wǎng)絡(luò)登錄方式訪問所有Tier層的設(shè)備，Tier 2管理者可以交互登錄到Tier 2資產(chǎn)。這種三層管理模式顯然增加了系統(tǒng)的防御能力，層層設(shè)卡，當(dāng)然也不能說滴水不漏。

通過設(shè)置管理員三層模式，對于管理組如Administrators、Domain Admins以 及Enterprise Admins就能進(jìn)行有效隔離，當(dāng)添加用戶賬號時(shí)就可以加以限制，以防低級別賬戶登錄系統(tǒng)。對于域服務(wù)器和工作站內(nèi)的BUILT-INAdministrators 組，就可以利用組策略進(jìn)行設(shè)置，設(shè)置內(nèi)容包括：禁止通過網(wǎng)絡(luò)訪問本機(jī)，禁止通過批處理作業(yè)方式登錄以及禁止利用服務(wù)權(quán)限登錄；對于Domain Admins組 和Enterprise Admins組，除了進(jìn)行上述三種設(shè)置外，還應(yīng)當(dāng)再加上禁止本地登錄和禁止通過遠(yuǎn)程桌面服務(wù)登錄。

在三層管理模式下的授權(quán)行為

假如管理員準(zhǔn)備為DC中的某位用戶授予類似管理員的 特 權(quán)（如Create Global Objects）時(shí)，管理員應(yīng)當(dāng)密切注意該用戶授權(quán)后的行為，而且更為穩(wěn)妥的方式是授予的權(quán)限是臨時(shí)性而非永久性特權(quán)，通過 PowerShell命令即可辦到。

出于安全，管理員應(yīng)讓具有高級特權(quán)的AD組在平時(shí)保持空白，為此需要有一套加入該組的用戶準(zhǔn)入機(jī)制，例如要求準(zhǔn)入的用戶賬戶應(yīng)當(dāng)具有標(biāo)準(zhǔn)的域用戶賬戶，有密碼要求，而且在每次使用完后密碼就會重新設(shè)置。

更具體而言即為：

1.生成一種OU結(jié)構(gòu)，將特權(quán)賬戶和系統(tǒng)從普通用戶系統(tǒng)中區(qū)分出來。

2.生成一種AD組，該組內(nèi)的用戶可以被準(zhǔn)予和取消管理賬戶，并對賬戶有嚴(yán)格的約束要求。

3.對AdminSDHolder類對象設(shè)置權(quán)限，允許管理型賬戶能夠管理特權(quán)型組。

值得指出的是，在Windows Server 2016中有一項(xiàng)新功能，允許管理員進(jìn)一步控制較為混亂的AD叢，采取特權(quán)訪問管理PAM (Privileged Access Management)，包括動用即時(shí)管理員JIT (Just-In-Time)Administrator。