vdionisopoulos/Active-Directory
GitHub: vdionisopoulos/Active-Directory
一份分阶段的本地 Active Directory 安全加固路线图,从零成本速赢方案到完整的管理分层模型,帮助管理员逐步提升域环境安全姿态。
Stars: 0 | Forks: 0
# Active Directory 安全路线图
一份实用的、分阶段的本地 Active Directory 安全加固路线图 —— 从零成本速赢方案到完整的管理分层模型。
大多数 AD 安全指南只告诉你*该配置什么*。本仓库重点关注**为什么**(每项控制措施能阻止哪种攻击)、**怎么做**(精确的 GPO 路径和 PowerShell 命令),以及**如何验证**控制措施是否真正生效 —— 此外还提供在不中断生产环境的前提下完成迁移的路径。
## 适用对象
运行本地或混合 AD 的系统管理员和基础架构工程师,他们需要在有限的停机时间内、在没有专门安全团队的情况下,逐步提升安全姿态。
## 成熟度路线图
| 级别 | 重点 | 工作量 | 阻止的威胁 | 文档 |
|-------|-------|--------|--------|------|
| **0** | [评估](docs/00-assessment/) — 了解现状 | 数小时 | 暂无 —— 但你无法修复看不见的问题 | [→](docs/00-assessment/README.md) |
| **1** | [基础卫生](docs/01-baseline-hygiene/) — 补丁、备份、遗留协议清理 | 数天 | 蠕虫式攻击、轻易的凭据窃取 | [→](docs/01-baseline-hygiene/README.md) |
| **2** | [速赢方案](docs/02-quick-wins/) — LAPS、受保护用户、LDAP/SMB 签名、重置 krbtgt | 数天 | 横向移动、哈希传递、NTLM 中继、黄金票据 | [→](docs/02-quick-wins/README.md) |
| **3** | [凭据加固](docs/03-credential-hardening/) — gMSA、Kerberos 加固、ACL 卫生 | 数周 | Kerberoasting、服务账号滥用、隐藏攻击路径 | [→](docs/03-credential-hardening/README.md) |
| **4** | [检测](docs/04-detection/) — 审计策略、关键 Event ID、蜜罐 | 数周 | 无 —— 但能将无声无息的入侵转化为警报 | [→](docs/04-detection/README.md) |
| **5** | [分层模型](docs/05-tiering-model/) — Tier 0/1/2、PAW、Authentication Silos | 数月 | 从工作站到域控绝对控制的权限提升 | [→](docs/05-tiering-model/README.md) |
**进阶规则:** 不要跳级。在一个充斥着可被 Kerberoasting 的服务账号且未打补丁的 DC 的域上部署分层模型只是走过场。每个级别都假定之前的级别已完成。
## 仓库结构
```
docs/ Staged guides (one directory per maturity level)
scripts/ PowerShell — assessment and remediation helpers
gpo-templates/ Reference GPO settings per level
diagrams/ Tiering architecture and attack-path diagrams
```
## 设计原则
1. **每项控制措施都对应一种攻击。** 如果某项建议无法阻止或检测到真实的技术手法,它就不会出现在这里。
2. **包含验证步骤。** 每份指南都以“验证是否生效”章节结尾。一个从未生效的 GPO 比没有 GPO 更糟 —— 它会带来虚假的安全感。
3. **兼顾迁移过程。** 分层指南(级别 5)是作为从扁平域迁移的路径编写的,涵盖了通常会破坏哪些功能以及移动的顺序。
4. **仅采用最新指南。** 微软已弃用传统的 ESAE /“红森林”架构。本路线图与[企业访问模型](https://learn.microsoft.com/en-us/security/privileged-access-workloads/privileged-access-access-model)保持一致。
## 快速入门
1. 运行评估(级别 0)—— [PingCastle](https://www.pingcastle.com/) 大约需要 15 分钟,即可生成一份评分报告。
2. 修复级别 1 中的所有问题。这很枯燥。但这也是大多数现实世界入侵开始的地方。
3. 逐步向上推进。按级别跟踪你的进度。
## 贡献
欢迎提交 Issues 和 PR —— 尤其是关于分层指南的真实迁移实战经验。
## 许可证
MIT —— 详见 [LICENSE](LICENSE)。
标签:Active Directory, AI合规, IP 地址批量处理, Libemu, Modbus, Plaso, Terraform 安全, 模拟器, 系统加固, 身份与访问管理, 运维