增强ADManager Plus安装保护

此页提供了提高ADManager Plus实例安全性所需的步骤。

问题:

如果用户属于Authenticated Users组，则恶意用户可以篡改ADManager Plus bin文件夹。

描述: 默认情况下，ADManager Plus将安装在C:\ManageEngine文件夹中。这将授予即使是属于Authenticated Users组的非管理员用户对bin目录中文件的完全控制权限。因此，任何域用户都可以访问该文件夹，并启动或停止产品。

从ACL中移除经过Authenticated Users无济于事，因为由于缺乏权限，非管理员用户将无法将ADManager Plus作为服务或应用程序启动。

Solution:

有两种方法可以解决这个问题。您可以手动修改权限设置，也可以使用将自动修改设置的SecureDeployment.exe文件。

1. 使用 SecureDeployment.exe
2. 手动修改权限

1. ADManager Plus安装位置是C:\ManageEngine文件夹
2. ADManager Plus安装位置是C:\Program FIles文件夹

1. 使用SecureDeployment.exe

bin目录中的SecureDeployment.exe文件将自动:

• 阻止Authenticated Users组中的用户访问ADManager Plus安装文件夹。
• 为给定帐户分配完全权限。
• 如果将ADManager Plus作为服务访问，请配置“登录身份”帐户凭据。

SecureDeployment.exe文件将确保部署环境的安全。

2. 手动修改权限

i. 如果ADManager Plus安装于客户端OS

ii. 如果ADManager Plus安装于服务器OS

默认情况下，客户端OS C盘目录已对具有子文件夹修改权限的用户进行了身份验证。但是，服务器操作系统中的C盘目录在ACL中没有经过身份验证的用户。

i) 如果在客户端操作系统中安装了ADManager Plus

要允许具有较少权限的用户在客户端操作系统上启动或停止ADManager Plus，请执行以下步骤:

1. 禁用C:\ManageEngine\ADManager Plus文件夹的继承。
2. 从ACL中移除Authenticated Users。
3. 从产品的安装文件夹中删除这些文件夹的 Authenticated Users权限: bin\licenses、lib\licenses、temp、webapps\adsm\temp。
4. 为负责启动产品的用户分配对 C:\Program Files\ADManager Plus 文件夹的修改权限。如果产品安装为具有“登录身份”帐户的服务，请确保该帐户具有修改权限。

ii) 如果 ADManager Plus 安装在服务器操作系统中

1. 从产品的安装文件夹中删除这些文件夹的Authenticated Users权限: bin\licenses、lib\licenses、temp、webapps\adsm\temp。
2. 为负责启动产品的用户分配对 C:\Program Files\ADManager Plus 文件夹的修改权限。如果产品安装为具有“登录身份”帐户的服务，请确保该帐户具有修改权限。

注意: 上述两种情况中提到的步骤都适用于您选择的任何位置，除了 C:\ManageEngine

b. 如果 ADManager Plus 安装在 C:\Program Files 文件夹中，要执行的步骤

1. 从产品的安装文件夹中删除这些文件夹的Authenticated Users权限: bin\licenses、lib\licenses、temp、webapps\adsm\temp。
2. 为负责启动产品的用户分配对 C:\Program Files\ADManager Plus 文件夹的修改权限。如果产品安装为具有“登录身份”帐户的服务，请确保该帐户具有修改权限。

- Microsoft建议将所有软件安装在Program Files目录中。根据您的特定需求或组织策略，您可以选择不同的位置。

- 本指南中提到的步骤适用于所有默认安装位置为“C:\ManageEngine”的ManageEngine产品。

禁用或限制员工搜索选项。

用户或员工可以使用 ADManager Plus 的员工搜索来查找同事的详细信息及其组织的联系人。

描述: 员工搜索是 ADManager Plus 的热门功能之一，用作公司目录搜索，默认启用。但是，为了满足您组织的特定需求或出于安全原因，您可能只想在搜索结果中显示用户和联系人的特定详细信息，或者甚至可能根本不希望有此选项。

解决方案

根据需要，您可以轻松:

1. 将员工搜索的范围限制为仅特定域或 OU。
2. 指定可以在搜索结果中显示的用户或联系人的详细信息。
3. 根据可以定位的用户或联系人指定属性或详细信息。
4. 禁用员工搜索选项。

下面是步骤：:

1. 登录到ADManager Plus。
2. 点击管理标签。
3. 在左侧栏中，点击员工选项，选择配置AD搜索。
   • 禁用员工搜索: 取消选中“在登录页面中显示员工搜索”选项以完全禁用此搜索，并且也不在登录页面上显示此选项。
   • 限制员工搜索范围: 从选择的域字段中显示的域中选择域及其对应的 OU，以将搜索限制为仅该特定域及其 OU。
   • 将此搜索的范围限制为仅用户和/或联系人对象: 点击用户和联系人标签，然后取消选中您不希望使用此选项搜索的对象。此外，在用户和联系人标签下的可用列下，在显示列中，取消选中您不希望在搜索结果中显示的属性或详细信息。
   • 根据可以搜索的用户或联系人指定属性: 在用户和联系人标签下的搜索条件下，在可用列中仅选择所需的属性。
4. 点击保存设置以保存员工搜索的首选设置。

更改ADManager Plus默认管理员密码

为什么要这样做?

如果不更改 ADManager Plus 的默认管理员密码，任何知道默认密码的人都可能使用它登录产品，并在您的 Active Directory (AD) 中执行恶意更改或查看有关 AD 对象的信息。

你能做些什么来解决这种情况?

出于安全原因，我们建议您至少在从评估阶段进入部署阶段之前更改默认管理员密码。您可以在产品网络控制台右上角的“我的帐户”部分更改默认密码。

点击了解更改默认管理员密码的步骤。

ADManger Plus 登录的额外安全性

ADManager Plus 支持智能卡、双因素认证 (TFA)、CAPTCHA 等，还允许您在密码错误的情况下阻止用户，以增强用户登录过程的安全性并防止未经授权的用户登录。点击链接下面是配置各种选项以保护用户登录过程的步骤。

• 启用验证码
• 配置基于智能卡的身份验证
• 实施双重身份验证 (TFA)
• 启用单点登录 (SSO)
• 配置阻止用户设置

安全加固

此选项允许您从一个位置查看和配置增强产品安全性的各种安全相关设置。为帮助您轻松确定 ADManager Plus 实例的安全程度，仪表板右侧显示了根据配置的每个安全设置的影响计算的产品安全强化分数。

以下安全配置可用于强化 ADManager Plus 的安全性:

1. 强制 HTTPS: 在 Web 浏览器和 ADManager Plus Web 服务器之间建立安全连接。
2. 实施双重身份验证: 在登录 ADManager Plus 时添加额外的安全层。有关 ADManager Plus 中可用的 TFA 服务的更多信息，请参阅此帮助文档。
3. 更改管理员帐户的默认密码: 更改默认密码并使用强密码将加强管理员帐户的密码，并确保其不被泄露。
4. 启用验证码: 在特定次数的无效登录尝试后配置验证码设置，以帮助缓解基于机器人的攻击。
5. 阻止无效登录尝试: 一旦进行了特定数量的连续不成功登录尝试，就阻止特定技术员的帐户。
6. 实施 LDAP SSL: 设置 LDAP over SSL (LDAPS) 连接以保护 ADManager Plus 和 LDAP 服务器之间的信息交换。
7. 强制实施安全 TLS: 确保禁用较旧的 TLS 版本。ADManager Plus 支持 TLS 版本 1.0、1.1 和 1.2。

在 ADManager Plus 中配置安全强化设置的步骤:

1. 登录到 ADManager Plus 控制台并进入管理标签。
2. 点击常规设置下的连接。
3. 在安全强化下，您可以使用旁边的可用按钮配置相应的安全设置。