Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מידע על חיזוק האבטחה

במאמר הזה מוסבר על האמצעים השונים שאנחנו נוקטים כדי לחזק את השירות המנוהל ל-Microsoft Active Directory ולצמצם את נקודות החולשה באבטחה.

אין גישה לאינטרנט לציבור

כדי לשפר את האבטחה, שירות מנוהל ל-Microsoft AD אינו חשוף לאינטרנט הציבורי. ב-Managed Microsoft AD, כל החיבורים מתבצעים דרך כתובת IP פרטית מרשתות מורשות:

אירוח: כל מכונה וירטואלית שמריצה Active Directory מאוחסנת בשירות מנוהל ל-Microsoft AD ב-VPC משלה, כך שהמשתמשים מבודדים זה מזה.
התחברות: אפשר להשתמש ברשתות מאושרות כדי להתחבר לשירות מנוהל ל-Microsoft AD באמצעות כתובת IP פרטית. ‫שירות מנוהל ל-Microsoft AD מטפל בקישור לרשתות שכנות ב-VPC עבור החיבורים האלה.
תיקון: שירות מנוהל ל-Microsoft AD מחיל תיקונים של Windows על מכונות וירטואליות של שירות מנוהל ל-Microsoft AD בלי להשתמש בגישה לאינטרנט ציבורי. מידע נוסף על אופן הטיפול בתיקון באגים בשירות מנוהל ל-Microsoft AD זמין במאמר תיקון באגים.

מכונה וירטואלית מוגנת

מכונות וירטואליות מוגנות הן מכונות וירטואליות שמוקשחות על ידי קבוצה של אמצעי אבטחה שעוזרים להגן מפני ערכות rootkit ו-bootkit. התכונות של מכונות וירטואליות מוגנות מגנות על כל המכונות הווירטואליות של שירות מנוהל ל-Microsoft AD ללא עלות נוספת.

קובץ אימג' של מערכת ההפעלה

מכונות וירטואליות של שירות מנוהל ל-Microsoft AD נזרעות מקובץ האימג' הציבורי של Windows Server 2019 ב-Compute Engine. התכונות של מכונות וירטואליות מוגנות מופעלות בתמונות האלה, והן מותאמות להרצה בתשתית של Compute Engine.

בסיסי אבטחה של מיקרוסופט

בנוסף לאמצעי האבטחה שמסופקים על ידי שירות מנוהל ל-Microsoft AD, אתם יכולים גם להביע הסכמה להחלת תצורות הבסיס של האבטחה של מיקרוסופט על מכונות וירטואליות של שירות מנוהל ל-Microsoft AD. הגדרות הבסיס האלה הן הגדרות אבטחה סטנדרטיות בתעשייה, ששירות מנוהל ל-Microsoft AD יכול להחיל על מופעים של שירות מנוהל ל-Microsoft AD ובקרי דומיין.

מומלץ לבדוק את נתוני הבסיס האלה במקרים מנוהלים של שירות מנוהל ל-Microsoft AD בסביבת הפיתוח או בסביבת הביניים לפני שמחילים אותם על מקרים בסביבת הייצור. כדי לקבל מידע נוסף על תצורות הבסיס האלה או כדי להפעיל את ההגדרות האלה, אפשר לפנות לתמיכה.

ניטור לצורכי אבטחה והגנה

אנחנו משתמשים באנטי-וירוס המובנה במערכת ההפעלה כדי להגן על מופעים מנוהלים של Microsoft AD מפני וירוסים ותוכנות זדוניות. תוכנת האנטי-וירוס סורקת את המכונות הווירטואליות של שירות מנוהל ל-Microsoft AD ומזהה איומי אבטחה, כמו וירוסים, תוכנות זדוניות ורוגלות. לאחר מכן, תוכנת האנטי-וירוס מתעדת את האירועים האלה שמשפיעים על אבטחת החשבון, ואנחנו מנתחים אותם ומתקנים אותם אם צריך.

תיקון

מיקרוסופט מפרסמת באופן קבוע תיקוני באגים, עדכוני אבטחה ושיפורים בתכונות. התיקונים האלה חיוניים כדי לשמור על עדכניות ובטיחות של בקרי הדומיין.

ב-שירות מנוהל ל-Microsoft AD, כל התיקונים האלה נבדקים לפני שהם מוחלים על בקרי הדומיין. במהלך הבדיקות, שירות מנוהל ל-Microsoft AD מאמת את תרחישי השימוש, הזמינות, האבטחה והמהימנות של הלקוח. אחרי שתיקון עובר את הבדיקות האלה, שירות מנוהל ל-Microsoft AD מחיל אותו על בקרי הדומיין.

זמינות במהלך תיקון

במהלך החלת התיקונים והעדכונים, דומיין Active Directory נשאר זמין. עם זאת, אי אפשר לבצע בדומיינים האלה פעולות שינוי, כמו הרחבת הסכימה, עדכון הדומיין וחיבור ל-SQL Server או ל-Cloud SQL. בנוסף, שירות מנוהל ל-Microsoft AD לא מוחל תיקונים על דומיינים שכבר התחלתם בהם פעולות שינוי, עד שהפעולה תושלם.

שירות מנוהל ל-Microsoft AD מבטיח שיש לפחות שני בקרי דומיין שפועלים בכל אזור עבור דומיין באזורי זמינות שונים. שירות מנוהל ל-Microsoft AD מעדכן בקר דומיין אחד בכל פעם. בכל עדכון של בקר הדומיין, שירות מנוהל ל-Microsoft AD מוסיף ומקדם בקר דומיין חדש עם התיקון המאומת העדכני. אחרי שבקר הדומיין החדש מגיע למצב תקין, שירות מנוהל ל-Microsoft AD מוריד את הרמה של בקר הדומיין הקיים. בקר הדומיין החדש מתחיל לפעול כששירות מנוהל ל-Microsoft AD מקדם אותו. בקר הדומיין הישן מפסיק לטפל בבקשות אחרי ששירות מנוהל ל-Microsoft AD מוריד את הרמה שלו. התהליך הזה מבטיח שבכל אזור יפעלו בכל רגע לפחות שני בקרי דומיין.

כדי לוודא שהאפליקציות יכולות להגיע לבקר הדומיין הפעיל, האפליקציות יכולות להשתמש בשירות איתור בקר הדומיין של Windows. הפעולה הזו מאפשרת לאפליקציות להתחבר מחדש לבקרי הדומיין החדשים במהלך תהליך התיקון האוטומטי.

לוח זמנים לתיקון

המטרה שלנו היא לבדוק ולהחיל תיקונים על כל בקרי הדומיין של שירות מנוהל ל-Microsoft AD תוך 21 ימי עסקים ממועד הפרסום של תיקון חודשי ל-Windows Server על ידי מיקרוסופט. עם זאת, אנחנו נותנים עדיפות לתיקונים של פגיעויות אבטחה קריטיות שמיקרוסופט מפרסמת לבקרי דומיין, ומחילים אותם תוך 15 ימי עסקים.

רוטציה של פרטי כניסה והצפנה

שירות מנוהל ל-Microsoft AD משתמש בכמה שיטות כדי להגן על פרטי הכניסה. שירות מנוהל ל-Microsoft AD מבצע רוטציה תכופה של פרטי כניסה ומצפין אותם באמצעות טכניקות מקובלות בתחום. פרטי הכניסה שנוצרו לניהול AD אף פעם לא משותפים בין מופעים. רק צוות תמיכה קטן ומערכות אוטומטיות יכולים לגשת לפרטי הכניסה האלה. ‫שירות מנוהל ל-Microsoft AD משמיד את פרטי הכניסה האלה כשהוא מוחק את המופע.

גישה מוגבלת לסביבת הייצור

ב-Managed Microsoft AD נעשה שימוש בכמה מערכות ותהליכים כדי להבטיח שלמהנדסים תהיה גישה מינימלית לדומיין של Managed Microsoft AD.Google Cloud רק למספר קטן של מהנדסים שזמינים לתמיכה יש גישה לנתוני הייצור. הם ניגשים לסביבת הייצור רק כדי לבצע שחזור בדומיין או לפתור בעיות מתקדמות. כדי להמשיך עם הגישות האלה, צריך לספק צידוק מאומת. לאחר מכן, שירות מנוהל ל-Microsoft AD מתעד אותן ביומנים ומבצע לגביהן ביקורת באופן פנימי. ב-Microsoft AD מנוהל, רוב הגישות אוטומטיות, כך שאין גישה לנתוני AD. בתרחישים נדירים, יכול להיות שמהנדסים בכוננות יצטרכו לגשת מרחוק לבקרי דומיין. במקרים האלה, הגישה מרחוק מתבצעת באמצעות שרת proxy לאימות זהויות (IAP), ולא דרך האינטרנט הציבורי.

מידע על חיזוק האבטחה קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.