事关紧急！每个运维人员都应该了解的工作！

之前我们分享过一个案例：嘉为蓝鲸助力某科技公司AD域故障恢复。AD在许多企业内部承担着基础架构核心系统的角色，维护这套系统的正常运行是企业内部基础运维的重要课题，然而，AD建设、防护在许多企业中并未得到良好的实践和足够的重视，本期我们就来谈一谈当前环境下，每个运维人都需要了解的工作——AD防护工作。

01. 我们所面临的问题

当今社会，疫情此起彼伏，寒冬忽至，更行各业都受到了不同程度的影响。但是我们深处的互联网时代，依然非常活跃，似乎大家把更多的精力和重心，都逐渐投入其中。或许是一种错觉，随着疫情的反反复复，我们面临的互联网攻击也愈加频繁，各种勒索病毒和安全漏洞层出不穷，在无数个日日夜夜，折磨着我们每个IT维护人员。

当今勒索病毒已经成为了一条灰色产业链，2022年7月，全球新增的活跃勒索病毒家族有:Stop247、RoBaj、RedAlert、Checkmate、Lilith、Luna、BianLian、0mega等家族，其中RedAlert、Lilith、BianLian、0mega均为双重勒索家族；Checkmate为针对NAS设备发起攻击的勒索病毒；yanluowang勒索病毒虽不是本月新增，但该勒索病毒家族在近期开始公开发布受害者数据。

现阶段微软产品在身份验证、终端管理等方面，仍然是行业主流。面对时时刻刻的病毒威胁，我们在AD防护这一块，应该都要一些比较全面和通用的措施来进行应对。保障客户的域环境安全和快速恢复业务。

02. 每个运维都必须了解：AD防护工作

按照目前的情况，我们应该从以下几个方面进行防护或者加固，阻止AD被入侵或者二次入侵。

1）补丁更新

万事先补丁，补丁对于大多数微软管理员来说，是又爱又恨。爱的是，补丁能够解决很多漏洞，让管理员更加的放心工作。恨的是，每个月都会有补丁，补丁推动和补丁安装，在企业内部往往都存在一定的阻力，耗时耗力，效果还不是特别好。

但是不管怎么样，补丁正如其名，能够很好把系统的漏洞堵住（虽然往往会产生新的漏洞），给Windows操作系统构筑一道坚实的屏障，是我们每个管理员必须要定期做的事情。

对于日常工作来说，必须要有企业自己的补丁更新管理规范和制度，并积极进行推动。在保证系统稳定的情况下，定期进行补丁更新。

对于应急的场景，比如客户已经中了病毒了。这个时候，我们更加应该懂得事急从权，立即针对服务器进行补丁更新，安装最新的补丁，减少系统层级的攻击面。

2）密码重置

现在的攻击者，往往都是利用漏洞或者弱密码撞库，窃取AD域环境的高权限账号密码，然后进行侵入和破坏。

对于日常工作来说，我们应该积极推行密码策略，严格设置密码复杂度，保障账号的安全。同时，对于管理员账号密码，我们应该尽可能的做到改名、禁用、强密码等措施，进行最全面的防护。

对于应急的场景，理应立即重置所有管理员的账号密码，阻断攻击者的利用高权限账号密码进一步搞破坏。

3）权限梳理

在企业里面，90%以上的系统，对接AD域，都不需要域管理员权限的账号，但是90%以上的企业，都给予了管理员权限。这就导致了AD域被入侵的风险极大的增加。任何一套对接了AD的应用系统，在出现漏洞后，都有可能导致AD高权账号密码被泄露，进而发生非常严重的安全事件。毕竟，再安全的保险大门，也禁不住黑客拿着大门钥匙走进来，防不胜防没法防。

在日常工作中，我们对于AD的管理更应该注重权限的控制。一方面我们要严格审核管理员账号，尽量遵循微软的JIE原则，只赋予最小化的权限。而不是像马大哈一样，给个管理员权限草率了事。在图省事的同时，也给自己留下了一个巨大的隐患。相当于你把自己的安全，交给了一个陌生人，安全性完全没有任何保障。

对于应急场景，应该立即梳理出高权账号，然后进行逐一的清理和回收。规避其它账号密码泄露造成二次入侵。同时，把高权账号掌握在自己手中，能够更加的安全放心。

4）组策略防护

组策略是一把双刃剑，一方面方便了我们的统一配置和管理，一方面，也给了黑客利用的空间。黑客往往利用组策略来进行病毒的推送和蔓延，导致域内所有的机器收到感染。因此，我们一定要加强组策略的监控和管理。

在日常工作中，定期对组策略进行优化，梳理不需要组策略。同时，对组策略的更新进行实时的监控，发现组策略被异常篡改，则立即进行响应。

对于应急场景，我们应该首先检查组策略是否有被篡改（更新时间和更新记录），检查异常的脚本或者agent等，立即进行回收和删除处理。

03. 后续

我们在平时的工作当中，一定要有非常清晰的防护策略和思路，在正确时间点，采取最正确的措施，实现影响的最小化。

当然除此之外，在AD安全加固措施等其他方面，还有更多可探讨的内容，限于篇幅，本期不作为重点。我们将在后续更深一步推出关于AD加固防护的专题内容，感兴趣的朋友欢迎持续关注嘉为蓝鲸！

同时，企业也可以寻求专业服务，以便快速建立和完善企业AD运维能力。

04. 嘉为AD运维服务

针对企业AD运维，嘉为团队提供全面一站式的技术服务，包括：AD及基础架构实施、AD域升级与架构优化、AD安全加固、AD HW服务等，助企业打造坚如磐石的IT系统，为企业信息系统保驾护航。

除此之外，嘉为还提供规划咨询服务、系统建设服务、二线专家服务、系统优化服务、IT运维整体外包服务、人员派驻等服务，企业可以根据需求自由组合选择使用的服务内容和范围。

05. WeOps一体化运维平台

有关企业AD运维，嘉为蓝鲸WeOps平台产品还可从预防和监控故障处理两方面为企业保驾护航：

1）预防

WeOps平台可针对日常排查时发现的一系列隐患做到及时预防。案例中由于企业AD不规范导致系统存在没有备份、没有补丁安装、网络环境负载等隐患，而WeOPs平台可通过作业平台定时自动备份、通过补丁安装进行定期安装、通过平台进行网络设备的自动发现，生成拓扑完美解决上述问题。

2）监控故障处理

WeOps平台中的监控告警系统，可做到持续监控，智能告警，提前发现问题，降低业务影响，一旦发生故障，可通过拓扑图分析关联影响，同时结合资产管理分析资产影响情况，最后采用自动化工具快速解决故障，持续保障企业业务连续性。

嘉为蓝鲸WeOps平台满足国产化兼容，支持在国产环境下的一体化运维，自主可控，帮助用户解决工具功能单一、众多IT运维对象管理难、自动化程度低、信创生态产品兼容等问题，助力客户安全落地一体化运维场景。