Hướng dẫn này trình bày các phương pháp hay nhất để chạy Active Directory trên Trusted Cloud by S3NS. Hướng dẫn này tập trung vào các phương pháp dành riêng cho Trusted Cloud hoặc đặc biệt quan trọng khi triển khai Active Directory trên Trusted Cloud. Hãy xem hướng dẫn này là bổ sung cho các phương pháp hay nhất chung để bảo mật Active Directory do Microsoft phát hành.
Kiến trúc
Các phần sau đây trình bày chi tiết các phương pháp hay nhất liên quan đến cấu trúc.
Sử dụng mẫu cấu trúc phù hợp nhất với yêu cầu của bạn
Để triển khai Active Directory trên Trusted Cloud, trước tiên, bạn phải quyết định sử dụng miền và cấu trúc rừng nào. Nếu đã sử dụng Active Directory, bạn cũng phải quyết định xem có nên tích hợp hai môi trường này hay không và cách tích hợp.
Thiết kế nào phù hợp nhất với trường hợp của bạn phụ thuộc vào một số yếu tố, bao gồm cả thiết kế của mạng nội bộ, cách tài nguyên nội bộ vàTrusted Cloud tương tác, cũng như yêu cầu của bạn về khả năng sử dụng và quyền tự quản lý. Hãy tham khảo các mẫu sử dụng Active Directory trong môi trường kết hợp để xem những yếu tố này phải xác định thiết kế của bạn như thế nào.
Nếu bạn muốn duy trì ranh giới tin cậy giữaTrusted Cloud và môi trường cục bộ, hãy cân nhắc triển khai mẫu rừng tài nguyên. Trong mẫu này, bạn triển khai một rừng riêng trên Trusted Cloud và sử dụng mối tin cậy rừng một chiều để tích hợp rừng Trusted Cloud với rừng Active Directory tại chỗ hiện có.
Tách biệt môi trường thử nghiệm và môi trường phát hành công khai
Tuỳ thuộc vào cách bạn sử dụng Active Directory, bạn có thể cần thực hiện các thay đổi thường xuyên trong Active Directory trong quá trình phát triển và kiểm thử ứng dụng. Nhà phát triển có thể cần có quyền tạo và sửa đổi tài khoản Active Directory, thay đổi tư cách thành viên nhóm nếu ứng dụng sử dụng nhóm để xử lý việc uỷ quyền hoặc tham gia và xoá máy tính.
Để ngăn chặn việc phát triển và kiểm thử ảnh hưởng đến khối lượng công việc sản xuất hoặc cản trở tính bảo mật của quá trình triển khai, hãy cân nhắc triển khai một miền hoặc rừng Active Directory riêng biệt để phát triển và kiểm thử.
Việc có một miền hoặc rừng phát triển và thử nghiệm riêng biệt cũng cho phép bạn xác minh các thay đổi về mặt quản trị trước khi áp dụng các thay đổi đó cho môi trường phát hành chính thức. Ví dụ về các thay đổi như vậy bao gồm thử nghiệm các chính sách nhóm, kiểm thử tập lệnh tự động hoá hoặc các hành động có thể gây rủi ro như tăng cấp chức năng của rừng.
Thiết lập liên kết Cloud Identity ngoài việc triển khai Active Directory trên Trusted Cloud by S3NS
Việc triển khai Active Directory trên Trusted Cloud cho phép bạn quản lý các máy ảo Windows trên Trusted Cloud, có thể cho phép người dùng đăng nhập vào các máy ảo Windows bằng tài khoản người dùng hiện có và hỗ trợ các ứng dụng dựa trên Kerberos, NTLM hoặc LDAP để xác thực.
Tuy nhiên, để sử dụng bảng điều khiểnTrusted Cloud , công cụ dòng lệnh gcloud
hoặc các công cụ khác của Google và Trusted Cloud , bạn phải xác thực bằng danh tính Google. Do đó, việc triển khai Active Directory trên Trusted Cloud
không thay thế cho việc liên kết Active Directory hiện có của bạn với
Trusted Cloud nếu bạn dự định sử dụng Active Directory
làm hệ thống chính để quản lý người dùng.
Ví dụ: nếu triển khai một rừng riêng trên Trusted Cloud, thì bạn có thể thiết lập liên minh với Active Directory tại chỗ như minh hoạ trong sơ đồ sau. Sau đó, người dùng có tài khoản trong Active Directory tại chỗ có thể sử dụng các công cụ yêu cầu danh tính Google cũng như các ứng dụng dựa vào Active Directory để xác thực.
Nếu quyết định mở rộng rừng hiện có hoặc miền sang Trusted Cloud, thì bạn cũng có thể sử dụng trình điều khiển miền và máy chủ AD FS được triển khai trên Trusted Cloud để thiết lập liên minh.
Tính năng liên kết cũng cho phép bạn thực thi vòng đời chung cho tài khoản Google và tài khoản Active Directory, nhờ đó, khi bạn tắt một tài khoản người dùng trong Active Directory tại chỗ, người dùng Google tương ứng cũng bị tạm ngưng.
Nối mạng
Phần sau đây trình bày chi tiết các phương pháp hay nhất liên quan đến việc kết nối mạng.
Triển khai Active Directory vào mạng VPC dùng chung
Để cho phép sử dụng Active Directory trên nhiều dự án, hãy triển khai trình điều khiển miền vào mạng VPC dùng chung. Việc sử dụng mạng VPC dùng chung có nhiều ưu điểm:
Mỗi ứng dụng có thể yêu cầu quyền truy cập vào Active Directory có thể được triển khai vào một dự án riêng biệt. Việc sử dụng các dự án riêng biệt giúp tách biệt tài nguyên và cho phép bạn quản lý quyền truy cập riêng lẻ.
Bạn có thể sử dụng một dự án chuyên dụng cho các trình điều khiển miền Active Directory. Dự án này cho phép bạn kiểm soát chi tiết những người dùng có thể truy cập vào các tài nguyên Trusted Cloud có liên quan.
Mạng VPC dùng chung cho phép bạn tập trung quản lý địa chỉ IP và cấu hình tường lửa, giúp đảm bảo tính nhất quán trên nhiều dự án.
Vì VPC là một tài nguyên toàn cầu, nên bạn có thể sử dụng cùng một mạng VPC dùng chung trên nhiều khu vực.
Không hiển thị trình điều khiển miền ra bên ngoài
Để giảm bề mặt tấn công của Active Directory, hãy tránh gán địa chỉ IP bên ngoài cho bộ điều khiển miền.
Theo mặc định, các phiên bản máy ảo không có địa chỉ IP bên ngoài sẽ không có quyền truy cập Internet. Vì vậy, bạn cần thực hiện thêm các bước để đảm bảo rằng quá trình kích hoạt Windows và cập nhật Windows không bị ảnh hưởng trên các bộ điều khiển miền.
Để hỗ trợ việc kích hoạt Windows, hãy bật tính năng Quyền truy cập riêng vào Google trên mạng con mà bạn dự định triển khai trình điều khiển miền và đảm bảo rằng các phiên bản máy ảo có thể truy cập vào kms.windows.googlecloud.com. Điều này cho phép quá trình kích hoạt diễn ra mà không cần truy cập trực tiếp vào Internet.
Có nhiều cách để hỗ trợ bản cập nhật Windows:
Nếu có máy chủ WSUS tại chỗ, bạn có thể định cấu hình kết nối kết hợp và định cấu hình trình điều khiển miền để sử dụng máy chủ WSUS làm nguồn cập nhật.
Bạn có thể bật quyền truy cập Internet qua cổng NAT bằng cách triển khai NAT trên đám mây.
Nếu đã thiết lập kết nối kết hợp, bạn cũng có thể định tuyến lưu lượng truy cập đi qua một cổng NAT hoặc máy chủ proxy tại chỗ.
Đặt trước địa chỉ IP tĩnh cho bộ điều khiển miền
Vì các bộ điều khiển miền đóng vai trò là máy chủ DNS, nên bạn cần chỉ định cho chúng một địa chỉ IP không thay đổi. Để đạt được điều đó, hãy định cấu hình địa chỉ IP nội bộ tĩnh cho các máy ảo của bộ điều khiển miền.
Khi bạn đặt trước địa chỉ IP, hành vi mặc định là hệ thống sẽ tự động chọn một địa chỉ không sử dụng. Để đảm bảo rằng địa chỉ IP của bộ điều khiển miền dễ ghi nhớ, hãy đặt trước địa chỉ IP tĩnh nội bộ.
Trên các bộ điều khiển miền, hãy đặt địa chỉ IP của bộ chuyển đổi mạng thành cùng một địa chỉ. Mặc dù không bắt buộc, nhưng bước này sẽ ngăn Active Directory phát đi thông báo cảnh báo cho biết địa chỉ IP của máy vẫn có thể được gán động.
Triển khai trình điều khiển miền trên nhiều vùng
Để tăng khả năng hoạt động, hãy triển khai ít nhất hai bộ điều khiển miền và phân phối các bộ điều khiển miền đó trên nhiều vùng. Vì mạng con và địa chỉ IP không liên kết với một vùng, nên bạn có thể triển khai tất cả trình điều khiển miền vào một mạng con.
Nếu bạn có kế hoạch triển khai khối lượng công việc trên nhiều khu vực, hãy cân nhắc triển khai trình điều khiển miền ở mỗi khu vực có liên quan. Vì mạng con là tài nguyên theo khu vực, nên việc triển khai vào một khu vực khác sẽ yêu cầu thêm một mạng con.
Tạo một trang web cho mỗi khu vực
Khi ứng dụng khách tìm cách xác định vị trí của một bộ điều khiển miền, trước tiên, ứng dụng khách sẽ tìm một bộ điều khiển miền trong trang web Active Directory tương ứng với địa chỉ IP của ứng dụng khách. Nếu không có trình điều khiển miền nào trong trang web này, ứng dụng sẽ tiếp tục và cố gắng định vị trình điều khiển miền trong một trang web khác.
Bạn có thể tận dụng hành vi này bằng cách tạo một trang web riêng cho từng khu vực mà bạn triển khai trình điều khiển miền hoặc ứng dụng miền. Sau đó, ứng dụng sẽ tự động ưu tiên sử dụng trình điều khiển miền nằm trong cùng một khu vực. Điều này có thể giúp giảm độ trễ và chi phí chuyển dữ liệu đi giữa các khu vực.
Nếu có khách hàng ở những khu vực không có trình điều khiển miền, bạn có thể ảnh hưởng đến việc khách hàng chọn trình điều khiển miền nào bằng cách điều chỉnh chi phí liên kết trang web để phản ánh mức độ gần gũi về mặt địa lý của các khu vực và bật chế độ cài đặt Thử trang web gần nhất tiếp theo.
Việc sử dụng nhiều trang web sẽ ảnh hưởng đến hành vi sao chép giữa các bộ điều khiển miền. Một nhược điểm của việc sử dụng nhiều trang web có thể là việc sao chép giữa các trang web xảy ra ít thường xuyên hơn so với việc sao chép trong trang web.
Tuy nhiên, bạn không thể tạo trang web Active Directory trong Managed Microsoft AD vì Managed Microsoft AD không hỗ trợ tính năng Trang web và dịch vụ Active Directory.
Sử dụng các vùng chuyển tiếp riêng của Cloud DNS
Khi bạn tạo một phiên bản máy ảo mới trong Compute Engine, hệ điều hành sẽ được định cấu hình trước để sử dụng một máy chủ DNS mặc định cung cấp quyền truy cập vào DNS nội bộ và DNS công khai.
Trước khi có thể kết nối một máy với miền Active Directory, bạn phải đảm bảo rằng máy đó có thể phân giải các bản ghi DNS do Active Directory quản lý. Máy chủ DNS mặc định mà Compute Engine định cấu hình cho một phiên bản máy ảo cung cấp quyền truy cập vào DNS nội bộ và DNS công khai, nhưng sẽ không thể phân giải tên DNS do Active Directory quản lý.
Tạo vùng chuyển tiếp DNS riêng tư trong Cloud DNS để cho phép các ứng dụng phân giải các bản ghi DNS do Active Directory quản lý. Định cấu hình vùng để chuyển tiếp các truy vấn khớp với miền Active Directory của bạn đến trình điều khiển miền.
Việc sử dụng vùng chuyển tiếp DNS riêng có nhiều ưu điểm so với việc định cấu hình ứng dụng để trực tiếp sử dụng các trình điều khiển miền Active Directory làm máy chủ DNS:
Bạn không cần điều chỉnh cấu hình mạng của các phiên bản máy ảo. Điều này giúp đơn giản hoá quy trình tạo máy ảo mới.
Khi thăng cấp hoặc hạ cấp một trình điều khiển miền, bạn chỉ cần cập nhật cấu hình của vùng chuyển tiếp DNS riêng và không cần sửa đổi bất kỳ chế độ cài đặt ứng dụng nào.
Các phiên bản máy ảo vẫn có quyền truy cập vào DNS nội bộ.
Mọi bản ghi DNS không khớp với miền Active Directory của bạn sẽ được Cloud DNS xử lý, giúp giảm tải cho các bộ điều khiển miền.
Nếu bạn sử dụng nhiều miền, hãy tạo một vùng chuyển tiếp DNS riêng cho từng miền Active Directory.
Các vùng chuyển tiếp riêng tư của Cloud DNS được giới hạn trong một VPC. Nếu sử dụng nhiều VPC được kết nối bằng tính năng ghép nối, thì bạn có thể hiển thị các vùng chuyển tiếp riêng tư cho các VPC khác bằng cách định cấu hình tính năng ghép nối DNS.
Bạn vẫn phải định cấu hình chế độ cài đặt DNS trên trình điều khiển miền theo cách thủ công. Sử dụng 127.0.0.1
làm máy chủ DNS chính và tuỳ ý sử dụng địa chỉ IP của một trình kiểm soát miền khác làm máy chủ DNS phụ. Để biết thêm thông tin, hãy xem phần Chế độ cài đặt DNS được đề xuất và các lựa chọn thay thế.
Hybrid Connectivity
Phần sau đây trình bày chi tiết các phương pháp hay nhất liên quan đến khả năng kết nối kết hợp.
Sử dụng tính năng chuyển tiếp DNS đến để phân giải Trusted Cloud tên DNS từ máy chủ cục bộ
Các ứng dụng trong mạng cục bộ của bạn có thể cần phân giải được tên DNS của các tài nguyên được triển khai trên Trusted Cloud. Nếu bạn mở rộng rừng hoặc triển khai một rừng tài nguyên trên Trusted Cloud, hãy sử dụng tính năng chuyển tiếp DNS đến để cho phép các ứng dụng cục bộ tìm nạp bản ghi DNS cho các tài nguyên được triển khai trên Trusted Cloud. Để sử dụng tính năng chuyển tiếp đến, hãy tạo một chính sách máy chủ DNS để phân bổ địa chỉ IP của trình chuyển tiếp đến và cho phép mạng cục bộ truy cập vào địa chỉ này.
Nếu miền DNS được sử dụng trên Trusted Cloud (ví dụ: cloud.example.com
) là một miền con
của miền DNS được sử dụng tại chỗ (ví dụ: example.com
), hãy thiết lập tính năng uỷ quyền
DNS. Tạo bản ghi NS
trong miền cục bộ trỏ đến địa chỉ IP của trình chuyển tiếp nội bộ. Bản ghi NS
khiến các ứng dụng cố gắng truy vấn tên DNS trong miền do Trusted Cloudlưu trữ được chuyển hướng đến địa chỉ IP của trình chuyển tiếp đến.
Nếu các miền DNS được sử dụng trên Trusted Cloud và Active Directory cục bộ của bạn khác nhau (ví dụ: cloud.example.com
và
corp.example.com
), hãy định cấu hình tính năng chuyển tiếp DNS có điều kiện trong
các miền cục bộ và sử dụng địa chỉ IP của trình chuyển tiếp đến làm đích. Khi được yêu cầu phân giải tên DNS trong miền do Trusted Cloudlưu trữ, trình điều khiển miền cục bộ sẽ chuyển tiếp yêu cầu đến địa chỉ IP của trình chuyển tiếp đến.
Khi sử dụng tính năng chuyển tiếp DNS đến, hãy đảm bảo rằng tường lửa của bạn được định cấu hình phù hợp.
Bạn không bắt buộc phải chuyển tiếp DNS đến nếu mở rộng miền hiện có sang Active Directory. Trong trường hợp này, tất cả bản ghi DNS của miền sẽ tự động được sao chép trên Trusted Cloud và môi trường cục bộ của bạn, đồng thời được cung cấp để tra cứu trong cả hai môi trường.
Sử dụng tính năng chuyển tiếp DNS đi để phân giải tên DNS cục bộ từ Trusted Cloud
Các ứng dụng chạy trên Trusted Cloud có thể cần phải phân giải tên của các tài nguyên được triển khai tại chỗ. Nếu bạn mở rộng rừng hoặc triển khai rừng tài nguyên trên Trusted Cloud, hãy tạo vùng chuyển tiếp riêng trong Cloud DNS để chuyển tiếp các truy vấn DNS cho miền cục bộ đến máy chủ DNS cục bộ.
Khi sử dụng tính năng chuyển tiếp DNS đi, hãy đảm bảo rằng tường lửa của bạn được định cấu hình phù hợp.
Bạn không cần chuyển tiếp DNS đi nếu mở rộng miền hiện có sang Active Directory. Trong trường hợp này, tất cả bản ghi DNS của miền sẽ tự động được sao chép trên Trusted Cloud và môi trường cục bộ của bạn, đồng thời được cung cấp để tra cứu trong cả hai môi trường.
Sử dụng đường hầm VPN để bảo mật lưu lượng truy cập LDAP
Active Directory sử dụng rộng rãi giao thức LDAP. Không giống như hầu hết các giao thức khác mà Active Directory sử dụng, LDAP không được mã hoá theo mặc định.
Trusted Cloud đảm bảo rằng lưu lượng truy cập giữa các máy ảo được mã hoá, vì vậy, bạn có thể sử dụng LDAP chưa mã hoá trong VPC của mình. Nếu bạn kết nối VPC với một mạng cục bộ, hãy đảm bảo rằng lưu lượng truy cập LDAP chỉ được trao đổi qua các kênh đáng tin cậy.
Nếu bạn sử dụng Cloud VPN để kết nối Trusted Cloud và mạng cục bộ, thì lưu lượng truy cập sẽ tự động được mã hoá bằng IPSec giữa Trusted Cloud và điểm cuối VPN cục bộ.
Cloud Interconnect và Partner Interconnect không cung cấp tính năng mã hoá. Để đảm bảo giao tiếp an toàn, hãy thiết lập đường hầm VPN qua kết nối Interconnect bằng cách sử dụng thiết bị VPN trên Google Cloud Marketplace.
Sử dụng phương thức xác thực có chọn lọc và AES cho các mối tin cậy rừng
Khi tạo mối quan hệ tin cậy giữa các rừng Active Directory, hãy ưu tiên các mối quan hệ tin cậy rừng hơn các mối quan hệ tin cậy bên ngoài và tận dụng các tính năng sau để cải thiện tính bảo mật:
Bật tính năng xác thực có chọn lọc trên các mối tin cậy đi ra trong rừng tài nguyên. Phương thức xác thực có chọn lọc đảm bảo rằng người dùng từ rừng tổ chức không thể truy cập vào tài nguyên trong rừng tài nguyên trừ khi được cấp quyền một cách rõ ràng.
Bật tính năng thực thi ranh giới rừng cho tính năng uỷ quyền đầy đủ của Kerberos trên các mối tin cậy đến trong rừng của tổ chức. Tính năng này giúp ngăn chặn các cuộc tấn công nâng cao đặc quyền bằng cách không cho phép các tài nguyên trong rừng tài nguyên yêu cầu Giấy phép cấp vé (TGT) từ người dùng trong rừng tổ chức.
Bật tuỳ chọn Miền khác hỗ trợ mã hoá Kerberos AES khi tạo mối tin cậy. Tuỳ chọn này đảm bảo rằng các vé dùng để xác thực giữa các rừng được mã hoá bằng AES thay vì thuật toán RC4 kém an toàn.
Bảo mật
Phần sau đây trình bày chi tiết các phương pháp hay nhất liên quan đến bảo mật.
Tránh việc Trusted Cloud bảo mật can thiệp vào bảo mật Active Directory
Active Directory cho phép bạn kiểm soát chi tiết những người dùng được phép truy cập vào tài nguyên nào. Khi máy được triển khai dưới dạng phiên bản máy ảo trong Compute Engine và người dùng có quyền truy cập vào dự án Trusted Cloudcơ bản, bạn phải xem xét các đường dẫn bổ sung có thể cho phép người dùng truy cập vào máy:
Thành viên dự án được chỉ định vai trò Quản trị viên thực thể điện toán trong dự án Trusted Cloud có thể sử dụng chức năng đặt lại mật khẩu để tạo tài khoản quản trị viên cục bộ. Tài khoản quản trị viên cục bộ gây ra mối đe doạ đối với tính bảo mật của miền Active Directory vì các tài khoản này có thể được dùng để làm suy yếu chính sách nhóm hoặc cài đặt phần mềm độc hại có thể thu thập thông tin xác thực miền của những người dùng khác đã đăng nhập.
Bằng cách thêm một tập lệnh khởi động, một thành viên dự án đặc quyền có thể chèn mã độc vào một máy ảo được thực thi dưới dạng
nt authority\system
vào lần tiếp theo máy khởi động lại.Bằng cách sử dụng bảng điều khiển nối tiếp, một thành viên dự án đặc quyền cũng có thể truy cập vào Bảng điều khiển quản trị đặc biệt (SAC) của Windows. Windows coi các lần đăng nhập thông qua SAC là các lần đăng nhập cục bộ. Do đó, SAC có thể bị sử dụng sai mục đích để tránh các chính sách từ chối đăng nhập qua RDP, nhưng lại bỏ qua việc từ chối đăng nhập cục bộ.
Một thành viên dự án đặc quyền có thể sử dụng SAC để đưa ra lệnh
crashdump
, lệnh này có thể khiến tệp kết xuất bộ nhớ được ghi vào ổ đĩa. Tệp báo lỗi bộ nhớ đó có thể chứa thông tin nhạy cảm và thông tin xác thực.Bằng cách gắn ổ đĩa cố định vào một máy ảo khác hoặc sử dụng ảnh chụp nhanh, một thành viên dự án đặc quyền có thể truy cập vào nội dung ổ đĩa, có thể bao gồm cả tệp báo lỗi bộ nhớ, từ các máy mà người dùng không có quyền đăng nhập.
Theo mặc định, khi sử dụng Managed Microsoft AD, bạn sẽ được bảo vệ tốt hơn khỏi các đường dẫn truy cập bổ sung này. Dịch vụ này không cho phép người dùng đặc quyền trong dự án của bạn đặt lại mật khẩu Quản trị viên miền, chạy tập lệnh khởi động hoặc truy cập vào bảng điều khiển nối tiếp trên máy ảo của trình điều khiển miền AD.
Để giảm thiểu thêm các rủi ro này, hãy đảm bảo rằng các quyền IAM của các dự án chứa các thực thể máy ảo đã tham gia miền được quản lý dựa trên cơ sở ít đặc quyền nhất. Bạn có thể giảm thiểu rủi ro hơn nữa bằng cách người dùng sử dụng chính sách tổ chức, chính sách nhóm và máy ảo được bảo vệ:
Sử dụng chính sách của tổ chức để tắt quyền truy cập vào cổng nối tiếp.
Áp dụng chính sách nhóm để ngăn việc tạo tài khoản quản trị viên cục bộ bằng cách tắt trình quản lý tài khoản. Xác định tuỳ chọn Tệp INI trong chính sách nhóm (Cấu hình máy tính > Tuỳ chọn > Cài đặt Windows > Tệp INI) để áp dụng chế độ cài đặt sau:
- Thao tác: Cập nhật
- Đường dẫn tệp:
C:\Program Files\Google\Compute Engine\instance_configs.cfg
- Tên mục:
accountManager
- Tên thuộc tính:
disable
- Giá trị thuộc tính:
true
Áp dụng chính sách nhóm xoá mọi tài khoản quản trị viên cục bộ khỏi các phiên bản máy ảo. Sử dụng chức năng Local Users and Groups (Người dùng và nhóm cục bộ) (Computer Configuration > Preferences > Control Panel Settings > Local Users and Groups) để xoá tư cách thành viên nhóm khỏi nhóm Quản trị viên và các nhóm nhạy cảm khác.
Cân nhắc sử dụng máy ảo được bảo vệ kết hợp với tính năng mã hoá ổ đĩa BitLocker để người dùng trái phép không thể đọc được ổ đĩa cố định hoặc ảnh chụp nhanh.
Tránh việc bảo mật Active Directory can thiệp vào bảo mật Trusted Cloud
Trong một miền Active Directory, các máy tin tưởng bộ điều khiển miền sẽ thay mặt chúng xử lý việc xác thực và uỷ quyền. Trừ khi bị hạn chế theo chính sách nhóm, chính sách bảo mật cục bộ của máy hoặc quy trình xác thực có chọn lọc, người dùng đã chứng minh thành công danh tính của họ với một trong các trình điều khiển miền sẽ được phép đăng nhập vào bất kỳ máy nào trong miền.
Khả năng người dùng Active Directory đăng nhập vào bất kỳ máy nào có thể cho phép kẻ tấn công di chuyển ngang trong một miền. Các hoạt động di chuyển ngang như vậy có thể dẫn đến việc tăng đặc quyền nếu một số phiên bản máy ảo được miễn các quy định hạn chế của tường lửa hoặc sử dụng Trusted Cloud tài khoản dịch vụ: Tất cả các quy trình và người dùng trên một phiên bản máy ảo đều có thể truy cập vào thông tin xác thực của tài khoản dịch vụ. Do đó, mọi người dùng có thể sử dụng Active Directory để đăng nhập vào một máy đều có thể truy cập vào thông tin xác thực tài khoản dịch vụ này để có quyền truy cập vào mọi tài nguyên Trusted Cloudmà tài khoản dịch vụ được cấp quyền truy cập.
Khi thiết lập Managed Microsoft AD, dịch vụ này sẽ tạo một nhóm để dễ dàng cho phép một số người dùng cụ thể có thể RDP vào các máy ảo đã tham gia miền.
Để giảm nguy cơ di chuyển ngang, hãy sắp xếp người dùng theo cấp quản trị và sử dụng các chính sách nhóm Từ chối quyền truy cập vào máy tính này từ mạng và Từ chối đăng nhập thông qua Dịch vụ máy tính từ xa để hạn chế quyền truy cập vào máy ảo dựa trên cấp.
Trong cấu trúc liên kết rừng tài nguyên, hãy tận dụng thêm tính năng xác thực có chọn lọc để hạn chế thêm nhóm người dùng từ các rừng khác được phép đăng nhập vào máy ảo của bạn. Bạn có thể đơn giản hoá việc quản lý quyền xác thực có chọn lọc bằng cách điều chỉnh Trusted Cloud và cấu trúc tài nguyên Active Directory: Nếu các đơn vị tổ chức Active Directory liên kết với các dự án Trusted Cloud , bạn có thể cấp cho người dùng quyền xác thực ở cấp độ khớp với dự ánTrusted Cloud .
Trong trường hợp không áp dụng được chính sách xác thực có chọn lọc hoặc chính sách nhóm, hãy tạo một tài khoản dịch vụ riêng, xuất các khoá tài khoản dịch vụ, lưu các khoá đó vào ổ cục bộ của phiên bản máy ảo hoặc một ổ chia sẻ tệp và bảo vệ các khoá đó bằng ACL NTFS để chỉ những người dùng Active Directory được uỷ quyền mới có thể đọc và sử dụng các khoá đó.
Sử dụng các dự án chuyên dụng cho bộ điều khiển miền
Trình điều khiển miền đóng vai trò quan trọng trong việc bảo mật miền Active Directory và việc xâm phạm một trình điều khiển miền có thể dẫn đến việc xâm phạm toàn bộ rừng Active Directory.
Để hạn chế nguy cơ truy cập trái phép, hãy sử dụng một dự án Trusted Cloud riêng để triển khai trình điều khiển miền và cấp quyền truy cập vào dự án này dựa trên cơ sở đặc quyền tối thiểu. Khi tạo dự án, hãy lưu ý rằng một số quyền có thể được kế thừa từ thư mục mẹ. Để tránh vô tình cấp quyền truy cập thông qua tính năng kế thừa, hãy cân nhắc tạo dự án bên ngoài hệ phân cấp thư mục thông thường.
Khi định cấu hình chính sách IAM cho dự án, hãy đặc biệt chú ý đến việc hạn chế quyền truy cập vào các phiên bản máy ảo, các ổ đĩa cố định chứa cơ sở dữ liệu ntds.dit, cũng như mọi vị trí lưu trữ có thể chứa bản sao lưu.
Ngoài việc sử dụng chính sách IAM để hạn chế quyền truy cập vào dự án, hãy bảo vệ dự án khỏi việc vô tình bị xoá.
Sử dụng các máy ảo và dự án riêng biệt để quản lý Active Directory
Để quản lý Active Directory, bạn cần có thể sử dụng các công cụ như Người dùng và máy tính Active Directory hoặc Trung tâm quản trị Active Directory. Các công cụ này yêu cầu bạn đăng nhập bằng một tài khoản miền đặc quyền, khiến máy bạn chạy các công cụ này trở thành mục tiêu hấp dẫn để đánh cắp thông tin xác thực hoặc ghi lại thao tác nhấn phím.
Để giảm thiểu nguy cơ kẻ tấn công lấy được thông tin xác thực đặc quyền của miền, hãy sử dụng các phiên bản máy ảo chuyên dụng để quản trị miền và xử lý các máy ảo quản lý đó như máy trạm truy cập đặc quyền:
Sử dụng chính sách nhóm để đảm bảo rằng chỉ một số ít người dùng được chọn mới có quyền đăng nhập vào các máy ảo quản lý. Nếu bạn đã triển khai chế độ quản trị theo cấp, thì nhóm người dùng này tương ứng với Cấp 0.
Tương tự như các bộ điều khiển miền, các máy ảo quản trị có thể gặp rủi ro khi các thành viên dự án tạo tài khoản quản trị viên cục bộ, đăng nhập thông qua bảng điều khiển nối tiếp hoặc can thiệp vào ổ đĩa cố định của họ. Để hạn chế rủi ro truy cập trái phép, hãy sử dụng một dự ánTrusted Cloud riêng cho các máy ảo quản trị và cấp quyền truy cập vào dự án này dựa trên đặc quyền tối thiểu.
Nếu bạn dự định truy cập vào các máy ảo quản trị từ mạng cục bộ bằng cách sử dụng kết nối kết hợp, hãy triển khai các máy ảo quản trị vào một mạng con VPC chuyên dụng. Một mạng con dành riêng cho máy ảo quản lý cho phép bạn phân biệt tốt hơn giữa máy ảo quản trị và các máy ảo khác khi định cấu hình tường lửa tại chỗ. Nếu bạn sử dụng VPC dùng chung, hãy sử dụng quyền cấp mạng con để đảm bảo rằng chỉ những quản trị viên đặc quyền mới được phép triển khai các phiên bản máy ảo vào mạng con quản lý. Phương pháp này giúp đảm bảo rằng nếu tường lửa tại chỗ áp dụng các quy tắc khác nhau cho máy ảo quản lý so với các máy ảo khác, thì người dùng không thể tránh các quy tắc tường lửa bằng cách đặt máy ảo không phải máy ảo quản lý vào mạng con quản lý.
Ngoài ra, hãy cân nhắc việc hạn chế chính sách nhóm quản lý các quy định hạn chế đăng nhập cho máy ảo quản lý ở mạng con quản lý. Phương pháp này thực thi việc điều chỉnh giữa các quy định hạn chế đăng nhập (dựa trên chính sách nhóm) và quy tắc tường lửa (dựa trên địa chỉ IP/mạng con).
Ngoài việc sử dụng chính sách IAM để hạn chế quyền truy cập vào dự án, hãy bảo vệ dự án khỏi việc vô tình bị xoá.
Sử dụng quy tắc tường lửa để bảo mật máy chủ và bộ điều khiển miền
Bộ điều khiển miền hiển thị một số dịch vụ, bao gồm LDAP, DNS, Kerberos và RPC. Tuỳ thuộc vào trường hợp sử dụng, các máy ảo được triển khai trên Trusted Cloudcũng như các máy chạy trên máy chủ nội bộ có thể cần quyền truy cập vào các tập hợp con khác nhau của các dịch vụ này để tận dụng Active Directory.
Khi sử dụng AD do Microsoft quản lý, các bộ điều khiển miền AD sẽ được triển khai trong một dự án dành riêng cho người thuê. Mạng lưu trữ các bộ điều khiển miền AD được tự động bảo vệ bằng các quy tắc tường lửa đặc thù và nghiêm ngặt dành riêng cho AD.
Để giảm bề mặt tấn công của trình điều khiển miền và máy ảo, hãy sử dụng tường lửa để không cho phép bất kỳ hoạt động giao tiếp mạng nào không thực sự cần thiết. Hãy tham khảo hướng dẫn của chúng tôi về cách sử dụng Active Directory trên các tường lửa để biết thông tin chi tiết về những cấu hình tường lửa cần thiết để truy cập vào Active Directory từ trong VPC hoặc từ các mạng cục bộ.
Sắp xếp các tài nguyên và người dùng Active Directory thành các cấp quản trị
Một số máy trong rừng Active Directory quan trọng hơn các máy khác đối với tính bảo mật tổng thể của Active Directory. Trình điều khiển miền và máy ảo quản trị là hai ví dụ về những máy đặc biệt quan trọng và do đó đặc biệt nhạy cảm với các cuộc tấn công tiềm ẩn.
Để xác định mức độ quan trọng của từng máy, hãy sử dụng hệ thống phân loại theo cấp. Mặc dù số lượng cấp phù hợp phụ thuộc vào chế độ thiết lập cụ thể của bạn, nhưng bạn có thể bắt đầu bằng cách phân biệt giữa ba cấp:
Cấp 0 (Rất quan trọng): Cấp này bao gồm tất cả các máy quan trọng đối với bảo mật của rừng Active Directory. Khi một máy cấp 0 bị xâm nhập, bạn phải giả định rằng toàn bộ rừng của mình đã bị xâm nhập.
Cấp 1 (Quan trọng): Cấp này bao gồm phần lớn máy chủ trong môi trường của bạn, bao gồm cả máy chủ ứng dụng và máy chủ cơ sở dữ liệu. Một máy chủ cấp 1 bị xâm phạm có thể ảnh hưởng đáng kể đến hoạt động kinh doanh, nhưng không gây ra mối đe doạ tức thì cho toàn bộ rừng.
Cấp 2 (Bình thường): Cấp này bao gồm các máy trạm hoặc máy đa năng khác. Việc máy cấp 2 bị xâm phạm dự kiến sẽ chỉ tác động hạn chế đến hoạt động kinh doanh và tính bảo mật tổng thể.
Mặc dù tác động tức thì của một máy cấp 2 bị xâm nhập có vẻ hạn chế, nhưng vẫn có nguy cơ gây ra hiệu ứng lây lan: Khi một người dùng có quyền quản trị đối với máy cấp 0 hoặc cấp 1 bị lừa đăng nhập vào một máy cấp 2 bị xâm nhập, họ có thể trở thành nạn nhân của trình ghi lại thao tác trên bàn phím hoặc các hình thức đánh cắp thông tin xác thực khác. Sau đó, thông tin xác thực đã thu thập được có thể được dùng để tấn công các máy ở cấp cao hơn, khiến mức độ tác động tổng thể gia tăng.
Để tránh những hiệu ứng dây chuyền như vậy, hãy nhớ không chỉ phân loại máy mà còn phân loại tài khoản người dùng và hạn chế những nhóm máy mà những người dùng này có quyền truy cập:
Lớp 0 (Rất quan trọng): Người dùng có quyền truy cập vào máy cấp 0.
Cấp 1 (Quan trọng): Người dùng có quyền truy cập vào máy cấp 1.
Cấp 2 (Bình thường): Người dùng có quyền truy cập vào máy cấp 2.
Hãy sử dụng bảng sau đây làm nguyên tắc về việc người dùng nào nên có quyền truy cập vào tài nguyên nào:
Nhóm | Cấp | Quyền truy cập vào miền | Quyền truy cập vào máy tính cấp 0 | Quyền truy cập cấp 1 vào máy tính | Quyền truy cập vào máy tính cấp 2 |
---|---|---|---|---|---|
Quản trị viên Active Directory | 0 | Quản trị viên | Người dùng bị giới hạn | Bị chặn | Bị chặn |
Quản trị viên máy chủ quản lý | 0 | Người dùng bị giới hạn | Quản trị viên | Bị chặn | Bị chặn |
Quản trị viên máy chủ | 1 | Người dùng bị giới hạn | Bị chặn | Quản trị viên | Bị chặn |
Quản trị viên máy trạm VDI | 2 | Người dùng bị giới hạn | Bị chặn | Bị chặn | Quản trị viên |
Người dùng máy trạm VDI | 2 | Người dùng bị giới hạn | Bị chặn | Bị chặn | Người dùng bị giới hạn |
Hãy tham khảo tài liệu của Microsoft để biết thêm thông tin chi tiết và các phương pháp hay nhất về cách triển khai mô hình cấp quản trị trong Active Directory.
Khi bạn sử dụng mô hình cấp quản trị trong rừng Active Directory, hãy đảm bảo rằng tính toàn vẹn của mô hình đó không bị các mối quan hệ tin cậy trong rừng làm suy yếu. Nếu rừng đáng tin cậy cũng áp dụng mô hình quản trị theo cấp, hãy sử dụng tính năng xác thực chọn lọc để đảm bảo rằng người dùng trong rừng đáng tin cậy chỉ được phép truy cập vào các tài nguyên trong cùng một cấp:
Nếu rừng đáng tin cậy không triển khai chế độ quản trị theo cấp, hãy liên kết rừng đáng tin cậy với một cấp nhất định và sử dụng tính năng xác thực chọn lọc để đảm bảo rằng người dùng trong rừng đáng tin cậy chỉ được phép truy cập vào tài nguyên của cấp đó.
Sử dụng VPC Service Controls và Quyền truy cập riêng của Google cho máy chủ cục bộ
API AD của Microsoft được quản lý cho phép đặt lại mật khẩu quản trị viên và thực hiện các thao tác nhạy cảm khác. Đối với các bản triển khai quan trọng trong môi trường sản xuất, bạn nên bật VPC Service Controls và sử dụng Quyền truy cập riêng vào Google cho máy chủ lưu trữ tại chỗ để tăng cường bảo mật.
Quản lý
Phần sau đây trình bày chi tiết các phương pháp hay nhất liên quan đến việc quản lý Thư mục hoạt động.
Điều chỉnh Trusted Cloud và cấu trúc tài nguyên Active Directory
Khi triển khai một miền hoặc rừng Active Directory mới trênTrusted Cloud, bạn phải xác định cấu trúc đơn vị tổ chức (OU) để sắp xếp tài nguyên của mình với miền Active Directory. Thay vì thiết kế một cấu trúc hoàn toàn mới hoặc áp dụng cấu trúc mà bạn sử dụng trong môi trường cục bộ, hãy tạo một cấu trúc OU phù hợp với hệ phân cấp tài nguyênTrusted Cloud :
Nếu bạn sử dụng mô hình quản trị theo cấp, thì các OU cấp cao nhất phải phản ánh các cấp quản trị của bạn.
Đối với mỗi cấp, hãy tạo OU cho người dùng và nhóm. Nếu bạn dự định quản lý một lượng lớn người dùng và nhóm, hãy tạo các OU con cho phù hợp.
Đối với mỗi cấp, hãy tạo một OU
Projects
và tạo các OU con cho mỗi dự ánTrusted Cloud chứa tài nguyên Active Directory. Sử dụng OU con dành riêng cho dự án để quản lý tài khoản máy tính, tài khoản dịch vụ hoặc các tài nguyên Active Directory khác tương ứng với tài nguyên Trusted Cloudcủa dự án tương ứng. Đảm bảo có mối liên kết 1:1 giữa các OU và dự án.
Sơ đồ sau đây cho thấy một hệ phân cấp mẫu tuân theo các nguyên tắc này:
Nếu số lượng dự án chứa tài nguyên Active Directory ở mức trung bình, thì bạn có thể tạo cấu trúc OU phẳng trong OU Projects
. Nếu bạn dự định quản lý một số lượng lớn dự án và đã thiết kế hệ phân cấp tài nguyênTrusted Cloud để sử dụng nhiều cấp thư mục, hãy cân nhắc phản ánh cấu trúc thư mục này bên dưới OU Projects
.
Việc điều chỉnh cấu trúc OU Active Directory và hệ phân cấp tài nguyên Trusted Cloud có một số ưu điểm:
Khi uỷ quyền các quyền quản trị cho một dự án Trusted Cloud bằng cách sử dụng các chính sách IAM, bạn cũng có thể cần cấp cho người dùng dự án một số đặc quyền nhất định trong Active Directory. Ví dụ: quản trị viên Compute Engine có thể cần phải có quyền kết nối máy với miền trong một OU nhất định. Việc điều chỉnh các OU và dự án Trusted Cloud cho phép bạn cấp các quyền đó ở cùng cấp độ chi tiết trong Active Directory như trong Trusted Cloud.
Nếu bạn dự định sử dụng đối tượng chính sách nhóm (GPO) để quản lý máy tính, thì cấu trúc OU phản ánh hệ phân cấp tài nguyên Trusted Cloud sẽ giúp bạn đảm bảo rằng GPO được áp dụng nhất quán cho tất cả máy ảo của một dự án hoặc thư mục nhất định.
Nếu sử dụng mối tin cậy liên rừng với tính năng xác thực có điều kiện, thì bạn có thể sử dụng các OU tương ứng với dự án Trusted Cloud để cấp quyền Được phép xác thực trên cơ sở từng dự án.
Khi xoá một dự án trong Trusted Cloud, bạn chỉ cần xoá OU liên kết, giảm nguy cơ để lại tài nguyên cũ trong thư mục.
Nếu bạn cảm thấy cấu trúc OU cần khác với cấu trúc dự án, thì điều này có thể là dấu hiệu cho thấy cấu trúc dự án của bạn quá chi tiết hoặc quá chung chung.
Sử dụng máy chủ thời gian của Google
Quy trình xác thực Kerberos dựa vào dấu thời gian trong giao thức của nó. Để xác thực thành công, đồng hồ của máy khách và máy chủ phải đồng bộ hoá trong một giới hạn nhất định. Theo mặc định, Active Directory không cho phép chênh lệch nhiều hơn 5 phút.
Trong môi trường Active Directory tại chỗ, sau đây là cấu hình mặc định để đồng bộ hoá thời gian:
- Các máy đã tham gia miền sẽ đồng bộ hoá thời gian với một bộ điều khiển miền.
- Bộ điều khiển miền đồng bộ hoá thời gian với trình mô phỏng PDC của miền.
- Trình mô phỏng PDC của tất cả các miền đồng bộ hoá thời gian với trình mô phỏng PDC của miền gốc của rừng.
Trong cấu hình này, trình mô phỏng PDC của miền gốc của rừng là nguồn thời gian cuối cùng cho Active Directory và thông thường, bạn sẽ định cấu hình máy này để sử dụng máy chủ NTP bên ngoài làm nguồn thời gian.
Trên Compute Engine, cấu hình mặc định cho máy ảo Windows là sử dụng máy chủ siêu dữ liệu (metadata.google.internal
) làm máy chủ NTP, từ đó dựa vào máy chủ NTP của Google để lấy thời gian chính xác. Việc kết nối một máy ảo với miền Active Directory sẽ không thay đổi cấu hình mặc định này.
Giữ nguyên cấu hình mặc định của Compute Engine, trừ phi trình mô phỏng PDC của miền gốc của rừng được triển khai bên ngoài Trusted Cloud.
Nếu trình mô phỏng PDC được triển khai bên ngoài Trusted Cloud, hãy định cấu hình trình mô phỏng đó để sử dụng time.google.com
làm nguồn NTP.
Ngoài ra, bạn có thể khôi phục hành vi đồng bộ hoá thời gian mặc định của Active Directory với trình mô phỏng PDC bằng cách định cấu hình lại máy ảo Compute Engine để sử dụng nguồn NTP DOMHIER
và định cấu hình các quy tắc tường lửa để cho phép lưu lượng truy cập NTP đến (UDP/123) đến trình điều khiển miền.
Hợp nhất và giám sát nhật ký kiểm tra
Khi bạn triển khai Active Directory trên Trusted Cloud, tính bảo mật của rừng Active Directory và dự án Trusted Cloud sẽ liên kết với một dự án khác: Hoạt động đáng ngờ trong Active Directory và Windows có thể đe doạ tính bảo mật của một số tài nguyên khác theo cách tương tự như hoạt động đáng ngờ trong Trusted Cloud có thể đặt Active Directory của bạn vào nguy cơ.
Nhật ký kiểm tra nhất quán là một công cụ quan trọng để phát hiện sớm các mối đe doạ hoặc lỗi định cấu hình, đồng thời cho phép bạn tái tạo và kiểm tra hoạt động trước đây. Cloud Audit Logging cho phép bạn ghi lại và phân tích nhật ký hoạt động của quản trị viên và nhật ký truy cập dữ liệu. Tương tự, bạn có thể sử dụng nhật ký quy tắc tường lửa và nhật ký luồng dữ liệu VPC để phân tích lưu lượng truy cập mạng. Tuy nhiên, các dịch vụ nền tảng này không biết bất kỳ sự kiện nào liên quan đến bảo mật đang diễn ra trong Active Directory. Để thiết lập một dấu vết kiểm tra nhất quán bao gồm cả các sự kiện kiểm tra liên quan đến nền tảng và các sự kiện kiểm tra liên quan đến Active Directory, hãy cài đặt trình đại diện Cloud Logging trên các bộ điều khiển miền và máy đã tham gia miền để xuất nhật ký sự kiện bảo mật Windows sang Cloud Logging.
Theo mặc định, nhật ký sự kiện bảo mật của Windows có thể không ghi lại tất cả sự kiện bạn cần cho mục đích kiểm tra. Tham khảo các đề xuất của Microsoft về việc định cấu hình chính sách kiểm tra và giám sát Active Directory để tìm dấu hiệu xâm phạm nhằm đảm bảo bạn ghi lại tất cả các sự kiện kiểm tra có liên quan.
Khi xử lý một lượng lớn sự kiện, bạn có thể dễ dàng bỏ lỡ các sự kiện quan trọng. Để tránh bỏ lỡ các sự kiện quan trọng, hãy tạo chỉ số dựa trên nhật ký cho các sự kiện có thể đặc biệt quan trọng hoặc đáng ngờ và cân nhắc định cấu hình cảnh báo để thông báo cho bạn khi tốc độ sự kiện thay đổi hoặc vượt quá ngưỡng chấp nhận được.
Bước tiếp theo
Tìm hiểu mẫu sử dụng Active Directory trong môi trường kết hợp phù hợp nhất với trường hợp của bạn.
Tìm hiểu cách định cấu hình Active Directory cho máy ảo để tự động tham gia một miền.
Hãy tự mình dùng thử các tính năng Trusted Cloud khác. Xem hướng dẫn của chúng tôi.