上一节我们学习了系统服务与启动项优化,筑牢了单台主机的防御;而在企业环境中,Windows 域(AD 域)是绝大多数企业的统一身份、权限与配置管理平台,组策略(GPO) 则是批量管理域内主机、统一安全基线的核心工具。组策略与域环境安全,是企业内网防御的关键环节 —— 一旦域环境被攻陷,攻击者就能通过域权限横向移动,控制所有加入域的主机,造成毁灭性损失。本节我们将拆解组策略的安全配置、域环境的核心风险与防护方法,帮你构建企业域环境的安全防线。
一、先搞懂:什么是组策略与域环境?
1. 组策略(GPO):企业批量安全配置的 “中枢工具”
组策略(Group Policy)是 Windows 域环境中,用于批量配置域内主机安全设置的工具。管理员可以通过组策略,给所有域内主机统一配置账户策略、密码策略、防火墙规则、服务配置、软件限制等,避免单台主机配置参差不齐,实现企业级的统一安全基线。
2. 域(AD 域):企业身份与权限的 “统一管理平台”
Active Directory(AD 域)是企业级的身份与权限管理系统,它将企业内的所有主机、用户、资源统一管理。用户只需一个域账户,就能登录所有加入域的主机;管理员则可以通过组策略,批量管理所有域内资源。
3. 为什么域环境是攻击者的 “终极目标”?
- 域控服务器(DC)存储了企业所有域账户的密码哈希,一旦被攻陷,攻击者就能获得所有域账户的权限。
- 域管理员账户拥有域内所有主机的最高权限,泄露后可被攻击者用于横向移动,控制整个企业内网。
- 域内主机默认信任域控,攻击者可通过伪造域控响应、Kerberos 票据攻击,直接获得主机权限。
二、组策略安全配置核心模块(企业通用落地版)
组策略是域环境安全的 “第一道防线”,通过组策略批量配置,可实现所有域内主机的统一安全加固,以下是核心配置模块:
1. 账户与密码安全策略(强制所有域主机统一配置)
通过组策略的 “账户策略”,给所有域内主机强制统一的账户安全规则,避免单台主机出现弱口令、账户配置不当问题:
表格
| 配置项 | 配置方法 | 核心作用 |
|---|---|---|
| 密码复杂度 | 启用 “密码必须符合复杂性要求”,设置密码长度≥12 位,包含大小写字母、数字、特殊符号 | 强制所有域账户使用强密码,阻断暴力破解攻击 |
| 账户锁定策略 | 设置连续 5 次登录失败后锁定账户 15 分钟 | 防止字典暴力破解攻击 |
| 密码有效期 | 设置密码最长使用期限为 90 天,强制用户定期更换密码 | 减少密码泄露带来的长期风险 |
| 禁用 Guest 账户 | 组策略中禁用所有域主机的 Guest 账户 | 消除匿名登录的可能性 |
2. 审计与日志策略(让所有操作有迹可循)
通过组策略的 “本地策略→审核策略”,给所有域内主机统一启用审计,记录关键操作:
- 启用登录事件审计(同时记录成功与失败登录)
- 启用账户管理审计(账户创建、修改、删除)
- 启用策略更改审计(组策略修改、权限变更)
- 启用对象访问审计(文件、注册表修改)
- 配置日志留存时间≥6 个月,日志文件大小上限≥100MB
3. 防火墙与服务策略(批量缩小攻击暴露面)
通过组策略批量配置所有域内主机的防火墙规则和服务配置:
- 启用 Windows 防火墙,设置默认入站规则为 “阻止所有连接,除允许的程序”
- 批量禁用高危服务:Telnet、FTP、Remote Registry 等明文 / 高风险服务
- 限制高危端口访问:3389、445、139 端口仅允许域控 / 指定 IP 段访问
- 配置 IPsec 策略,限制域内主机仅能与授权 IP 通信
4. 软件限制与安全策略(防止恶意软件运行)
- 通过 AppLocker / 软件限制策略,禁止域内主机运行未授权的可执行文件、脚本
- 禁用 Office 宏,防止宏病毒在企业内部传播
- 配置 UAC(用户账户控制)为 “始终通知”,防止恶意程序以管理员权限运行
5. 组策略权限管控(防止攻击者篡改策略)
- 限制普通用户修改组策略,仅允许域管理员账户编辑 GPO
- 定期备份组策略配置,防止策略被篡改或删除
- 监控组策略修改日志,发现异常修改及时告警
三、域环境核心安全风险与防护方法
域环境的核心风险,大多集中在域控、域管理员账户和 Kerberos/NTLM 协议上,以下是高频风险点与防护方法:
1. 域控服务器安全加固(重中之重)
域控(DC)是整个域环境的核心,一旦被攻陷,所有域内主机都会沦陷,必须重点防护:
- 限制域控的物理与网络访问,仅允许指定 IP 段登录域控服务器
- 禁用域控服务器的不必要服务,关闭公网暴露的非必需端口
- 域控服务器不安装第三方软件,仅保留核心 AD 服务,减少漏洞点
- 定期备份域控数据,确保域环境被攻陷后可快速恢复
2. 域管理员账户安全防护
域管理员账户拥有域内所有主机的最高权限,是攻击者的首要目标:
- 遵循 “最小权限” 原则,不使用域管理员账户登录普通办公电脑
- 为域管理员账户启用多因素认证(MFA),即使密码泄露,攻击者也无法登录
- 限制域管理员账户仅能从指定 IP / 指定主机登录,禁止公网直接登录
- 定期审计域管理员账户的登录日志,发现异地 / 非工作时间登录及时告警
3. 高频域攻击防护(Kerberos/NTLM 攻击)
攻击者常利用 Kerberos 和 NTLM 协议的漏洞,获取域权限,需针对性防护:
表格
| 攻击类型 | 攻击原理 | 防护方法 |
|---|---|---|
| Kerberoasting | 利用 SPN 服务账户的弱口令,请求服务票据并离线破解 | 为 SPN 服务账户设置强密码,定期更换服务账户密码 |
| 黄金票据 / 白银票据 | 伪造 Kerberos 票据,绕过身份验证获得域权限 | 限制域管理员账户权限,启用 LDAP 签名,定期重启域控服务 |
| NTLM Relay 攻击 | 利用 NTLM 认证漏洞,中继认证请求获取权限 | 禁用 NTLM v1,启用 LDAP 签名和通道绑定,限制 NTLM 认证 |
| Pass-the-Hash | 利用账户密码哈希登录,无需明文密码 | 启用 LSA 保护,限制本地管理员权限,定期更新域账户密码 |
4. 域内权限与信任关系管控
- 限制域内主机的本地管理员权限,避免攻击者通过本地管理员账户横向移动
- 定期清理不必要的域信任关系,减少攻击面
- 启用域内对象的权限审计,发现异常权限变更及时告警
四、企业域环境安全落地完整流程
- 评估阶段:摸清现状
- 梳理企业域环境架构,标记域控服务器、关键业务主机、域管理员账户
- 扫描域内风险:弱口令账户、SPN 服务账户、不必要的信任关系、开放的高危端口
- 配置阶段:组策略批量加固
- 通过组策略批量配置账户、密码、审计、防火墙策略,统一域内主机安全基线
- 加固域控服务器,限制访问权限,备份域控数据
- 防护阶段:针对性防御高频攻击
- 为域管理员账户启用 MFA,禁用 NTLM v1,启用 LDAP 签名,配置 SPN 服务账户强密码
- 监控域控日志、Kerberos 认证日志,发现异常认证及时告警
- 持续监控与优化
- 定期审计域账户权限、组策略配置、域控日志
- 随着业务变化,更新域信任关系、组策略规则,修复新出现的漏洞
五、企业落地常见误区(避坑指南)
- 误区 1:只加固单台主机,不加固域控域控是整个域环境的核心,单台主机加固再好,域控被攻陷后,所有主机都会被控制。
- 误区 2:滥用域管理员账户很多管理员习惯用域管理员账户登录所有主机,一旦账户泄露,攻击者就能控制整个域。
- 误区 3:组策略配置冲突,导致业务故障组策略配置前不测试,直接推送到生产环境,导致防火墙规则、服务配置影响业务运行。
- 误区 4:不监控域控日志,攻击发生后无法溯源域控日志是域攻击溯源的核心依据,不备份、不监控日志,被攻陷后无法追踪攻击路径。
- 误区 5:忽略 NTLM 和 Kerberos 攻击防护很多企业只关注弱口令防护,却忽略了 NTLM Relay、Kerberoasting 等协议攻击,攻击者依然能绕过弱口令直接获取域权限。
📝 本节小结
组策略与域环境安全,是企业内网防御的 “中枢防线”。组策略实现了所有域内主机的统一安全基线,而域环境的防护,核心是保护域控和域管理员账户,阻断攻击者横向移动的路径。只有把组策略配置到位,域控防护做扎实,才能筑牢企业内网的安全防线。
No responses yet