域安全优化与加固白皮书

全国首份系统的、全面的、公开的《域安全优化与加固白皮书v2023》发布了！

在勒索病毒常态化的形势下，域环境如不加固，域控被拿下导致病毒在全网快速传播已是非常可能的事件。为共同提高域环境安全意识，保护大家的域环境，泰勋科技基于核心团队10多年的技术积累，并结合微软官方最佳实践，在照顾用户体验的情况下又不牺牲关键安全，形成了一份接中国地气，可行性高的通用指南，希望为域环境的安全出一份自己的力。

另外本白皮书也同样适用于红蓝对抗场景下，域控作为高价值目标的安全加固。

查看与获取白皮书，请加公众H“域技术研究”。

本文档主要内容由微软MVP编写。

---

 

下面是文章目录

第1章 概述

第2章 管理层面完善与优化

2.1 制定与完善域总体管理规范

2.1.1 去掉随意性，完善并遵守审批流

2.1.2 完整准确的信息填写，对象各就各位

2.1.3 要做好定期巡检，在巡检中纠偏与清理

2.2 构建系统分级分类模型

2.3 构建账户分级分类模型

2.4 构建运维管理模型

第3章 技术-战略层面优化纲要

3.1 优化域架构

3.2 尽量减少站点数量

3.3 不要部署过多的域控制器

3.4 分支尽量都部署只读域控制器

3.5 读写域控制器尽量使用物理机

3.6 域控制器应尽量使用最新操作系统

3.7 合理的组织单元规划与授权

3.8 组策略仅能Domain Admins组增删改

3.9 用户账户自动同步

3.10 实施合适的密码、锁定策略

3.11 优化补丁更新体系

3.11.1 WSUS补丁服务器总体架构

3.11.2 WSUS补丁服务器本身加固

3.11.3 补丁更新的域组策略

3.11.4 补丁管理其他注意说明

3.12 使用第三方备份软件备份AD

3.13 域内老旧系统的处理

3.14 构建服务器标准化模板

3.15 建立客户端标准化系统

3.16 加强AD集成安全管理

3.17 建设预警体系

第4章 技术-战术层面优化与加固措施

4.1 域控加固

4.1.1 检查清理工作

4.1.2 特权检查与加固

4.1.3 优化网络位置

4.1.4 加密到域控的网络通信

4.1.5 域控补丁

4.1.6 其他加固

4.2 服务器通用加固

4.3 客户端通用加固