如何构建超安全Active Directory基础设施*

CJ Cox //

** advisory: ** 本博文中引用的技术和工具可能已过时，不适用于当前情况。然而，这篇博文仍可作为学习机会，并可能更新或集成到现代工具和技术中。

我们经常收到客户的咨询请求，询问我们是否提供系统防御方面的咨询服务。前几天，一位客户问我是否可以提供一些咨询时间来加固他们的Active Directory基础设施。

请BHIS帮助保护您的基础设施就像请海豹突击队守卫您的基地。我们当然可以做到，但对于这项任务来说，我们可能不是最高效的资源利用方式。在BHIS，我们是进攻专家，而不是防御专家。我们认为，让我们做我们最擅长的事情——“攻击”，您会获得更多价值。

进攻可以指导防御（反之亦然）。因此，当您想知道您应用的原则和实践有多好时，我们可以来进行压力测试。我们会发现您基础设施中的漏洞，并告诉您需要加强防御的地方。我们可以培训您如何防御，您会变得更好、更快、更强。这比等待真实事件来显示您的失败要便宜得多。让您的防御经受有能力对手的测试是我们所知改善防御的最佳方式之一。

良好的系统管理是了解自己的技术和业务，并不断应用更好的安全原则和实践。很少有顾问能比您自己的团队更了解和理解您的环境。您将花费大量时间和资源让外部顾问熟悉内部基础设施。

那么，除了顾问之外，您还能向哪里寻求帮助？我总是转向有史以来最有效的安全工具之一——搜索引擎。当我收到关于保护Active Directory的咨询时，我很快找到了以下两篇文章：《保护Active Directory的最佳实践》和一篇老但好的《保护Active Directory的19个智能技巧》（我知道是2006年的，但扎实的基本建议仍然有效）。当然，还有Microsoft自己的指南：保护Active Directory的最佳实践。不要忽视CIS指南、SANS白皮书和课程，以及触手可及的一百万条其他建议。指南只是想法的起点。在加固解决方案和基础设施时，您必须平衡功能性和业务风险。太安全了，工具在考虑实际业务使用时可能变得无法使用。顾问很难为您做出这类决策。在理解和权衡取舍的过程中，您会使您的业务和技能更强大。然后，进行测试，聘请BHIS。这一切都很困难，正如John经常说的（意译）：

良好的安全没有灵丹妙药。没有一款软件可以打开就忘记。像生活中的大多数事情一样，这需要大量艰苦的工作才能做好——而且工作永远不会完成。

祝您在这条路上好运！

更新于2017年8月24日_

只是几点澄清：

首先，BHIS在渗透测试或我们网站上所做的一切都围绕改善防御。我们教授和执行进攻以指导防御。我们的渗透测试报告充满了基于指标或实际漏洞的改善防御建议。一个渗透测试员如何在不理解防御和像Active Directory这样的东西如何工作的情况下拥有良好的进攻技能？您无法黑掉您不理解的东西。

这并不使测试员成为您Active Directory实施的专家。我们有一个视角，但AD有许多方面。如果有人试图告诉您他们是Active Directory的全面专家，而他们的名字不是Fossen或Russinovich，那么是时候停下来思考了。我们迫切希望行业开始从“黑客无所不知”的神话转向更协作的东西。

BHIS很乐意在测试之前、期间和之后讨论防御措施。随时给我们打电话。请求关于某个主题的博文或网络广播。我保证您会学到东西，您的防御会得到改善。

附言：这篇博文不是关于Active Directory的“如何做”。我们可能应该将其重命名为“渗透测试员在改善防御中的正确位置”。我的意图不是告诉客户“去谷歌搜索”。那里有大量好的资源、顾问、产品、测试员和想法。在仔细评估它们的成本、效益和最有效用途后，您应该使用它们全部。

*抱歉，这实际上不是一篇“如何做”文章，更像是“去哪里找建议”。您被Buzzfeed式标题骗了。