Active Directory(AD)域是企业IT基础设施的核心,域账号的安全管理直接决定企业信息安全的基线水平。很多中小企业的AD安全配置停留在"能用就行"的状态,存在大量隐患。本文从实操角度梳理AD账号安全的关键控制点。
一、密码策略的合理配置
默认域密码策略往往过于宽松,建议至少满足以下要求:
- 最短密码长度:12位以上(研究表明8位密码在现有算力下已可在数小时内暴力破解)。
- 复杂性要求:启用(大写+小写+数字+符号)。
- 密码最长使用期限:90天,或配合密码历史记录(记住最近10个)防止循环使用。
- 账户锁定策略:连续5次失败后锁定15分钟,既防暴力破解,又避免因锁定时间过长影响正常工作。
二、特权账号管理
Domain Admin是域中权限最高的账号,被攻陷等于整个域沦陷。管理原则:
- Domain Admin账号数量最小化,只有真正需要的核心IT管理员持有,且与日常办公账号分开(管理员平时用普通账号办公,管理域时才切换到管理员账号)。
- 禁止Domain Admin账号用于登录普通工作站,防止凭证被内存抓取工具(如Mimikatz)窃取。
- 启用Protected Users安全组,将高权限账号加入其中,可防止NTLM认证和凭据缓存,大幅提升抗横向移动能力。
三、账号生命周期管理
离职员工账号未及时禁用是非常普遍的安全漏洞。建议与HR流程挂钩:
- 员工离职当天,IT应立即禁用其AD账号(不是删除,以保留审计数据)并将其移出所有安全组。
- 每季度审查一次"上次登录时间超过90天"的活跃账号:
Search-ADAccount -AccountInactive -TimeSpan 90 -UsersOnly - 对于服务账号(跑应用程序的账号),使用托管服务账号(MSA/gMSA)替代普通账号,密码由系统自动轮换,无需人工管理。
四、审计日志配置
AD的安全审计日志是事后溯源的关键。在组策略中启用以下审计类别:账户登录事件、账户管理、目录服务访问、特权使用。配合Windows事件转发(WEF)将关键日志集中收集到SIEM系统,可实现实时告警(如非工作时间Domain Admin登录、大量账号锁定等异常行为)。