Erste Schritte mit bedarfsgesteuerten Bewertungen bei Active Directory–Sicherheit
Die Active Directory Security-Bewertung wurde entwickelt, um Ihnen konkrete Handlungsanweisungen zu geben, um Sicherheitsrisiken für Ihr Active Directory und Ihr Unternehmen zu minimieren. Diese Lösung gibt Ihnen auch einen Überblick über Ihren Fortschritt in Bezug auf die von Microsoft empfohlene Roadmap zur Sicherung des Zugriffs auf Berechtigungen (SPA), von der Active Directory eine wichtige Komponente ist.
Die Active Directory-Bewertung konzentriert sich unter anderem auf die folgenden wichtigen Aspekte:
- Überprüfung der betrieblichen Abläufe
- Überprüfung der privilegierten Konten/Gruppenmitgliedschaft sowie der regelmäßigen Kontohygiene
- Überprüfung der Wald- und Domain-Trusts
- Überprüfung der Konfiguration des Betriebssystems, des Sicherheitspatches und der Update-Level
- Überprüfung der Domänen- und Domänencontroller-Konfiguration im Vergleich zu den von Microsoft empfohlenen Richtlinien
- Überprüfung des Schlüssels Active Directory-Objektberechtigung-Delegation
Ausführen der Active Directory Security-Bewertung
Voraussetzungen
Um den vollen Leistungsumfang der im Diensthub verfügbaren On-Demand-Bewertungen nutzen zu können, ist Folgendes erforderlich:
- Ein aktives Azure-Abonnement, das mit dem Diensthub verknüpft ist, sowie eine hinzugefügte AD-Bewertung haben. Weitere Informationen finden Sie unter Erste Schritte mit On-Demand-Bewertungen oder im Anleitungsvideo.
- Ein Domänenkonto (Benutzerkonto oder verwaltetes Dienstkonto) mit den folgenden Rechten:
- Enterprise Administrator-Gruppenzugehörigkeit OR>
- Eingebaute Administratorgruppenzugehörigkeit zu jeder Domain im Wald.
- Mitgliedschaft in der Gruppe der lokalen Administratoren auf dem Datenerfassungsgerät.
- Administratorzugriff auf alle Microsoft Domain Name System-Server (DNS), mit denen die Domänencontroller zusammenarbeiten.
- Lesen Sie die Beschreibung der Voraussetzungen für die AD-Sicherheitsbewertung. Dieses Dokument enthält eine ausführliche technische Dokumentation der AD Security-Bewertung und der zum Ausführen der Bewertung erforderlichen Vorbereitungen auf dem Server. Außerdem werden die Datentypen beschrieben, die bei der Bewertung erfasst werden.
Hinweis: Die Erstkonfiguration Ihrer Umgebung für die Durchführung einer On-Demand-Bewertung dauert im Durchschnitt zwei Stunden. Im Anschluss an die Bewertung können Sie die Daten in Azure Log Analytics überprüfen. Dort erhalten Sie eine priorisierte Liste von Empfehlungen, kategorisiert in sechs Kernbereiche. Mit diesen Empfehlungen können Sie und Ihr Team sich schnell über Risiken informieren, die Integrität der Umgebungen einschätzen, Risiken senken und die IT-Gesamtintegrität verbessern.
Einrichten der AD-Sicherheitsbewertung
Hinweis: Sie können die Bewertung erst dann erfolgreich einrichten, wenn Sie Ihr Azure-Abonnement mit dem Services Hub verknüpft und die AD-Sicherheitsbewertung unter IT-Integrität –> On-Demand-Bewertungen im Services Hub hinzugefügt haben.
Erstellen Sie auf der Datensammelmaschine den folgenden Ordner:
C:\OMS\ADS
(oder einen anderen Ordner außerC:\ODA
, der bereits vom System reserviert ist).Öffnen Sie eine normale PowerShell-Instanz (nicht ISE) im Administratormodus, und führen Sie das folgende Cmdlet aus:
Add-ADSecurityAssessmentTask -WorkingDirectory <workingdirectorypath> command,
WorkingDirectory
ist der Pfad zu einem vorhandenen Verzeichnis, in dem die Dateien gespeichert werden, die beim Sammeln und Analysieren der Daten aus der Umgebung erstellt wurden.Workspace Id
– Geben Sie die ID für den Log Analytics-Arbeitsbereich an, in dem die hochgeladenen Daten gespeichert werden sollen.Geben Sie die Anmeldeinformationen eines Benutzerkontos ein, das die weiter oben genannten Anforderungen erfüllt.
Die Datensammlung wird durch die geplante Aufgabe mit dem Namen „ADSecurityAssessment“ innerhalb von einer Stunde nach Ausführung des obigen Skripts und danach alle sieben Tage gestartet. Sie können die Aufgabe bearbeiten, um sie zu einem anderen Zeitpunkt oder auch sofort auszuführen. Dazu gehen Sie zu Aufgabenplanungsbibliothek -> Microsoft -> Operations Management Suite > AOI*** > Bewertungen > ADSecurityAssessment.
Während der Sammlung und Analyse werden Daten temporär in dem bei der Einrichtung festgelegten Arbeitsverzeichnis gespeichert.
Nach einigen Stunden sind Ihre Bewertungsergebnisse in Log Analytics und in Ihrem Diensthub-Dashboard verfügbar. Um die Ergebnisse zu sehen, gehen Sie zu „Services Hub > Integrität > Bewertungen“ und klicken Sie auf „Alle Empfehlungen gegenüber der aktiven Bewertung anzeigen“.
Wenn Sie die Probleme Ihrer AD-Umgebung mit einem autorisierten Microsoft-Experten durchgehen möchten, können Sie sich an Ihren Microsoft-Vertreter wenden und sich nach der remote oder vor Ort durchgeführten Bereitstellung durch einen CE erkundigen.
Verträge | Remote-Experte | Vor-Ort-Experte |
---|---|---|
Premier | ADS-Remote-Datenblatt | ADS-Onsite-Datenblatt |
Unified | ADS-Remote-Datenblatt | ADS-Onsite-Datenblatt |