5步增强活动目录的安全性.docx

《5步增强活动目录的安全性.docx》由会员分享，可在线阅读，更多相关《5步增强活动目录的安全性.docx（12页珍藏版）》请在优知文库上搜索。

1、5步增加活动书目的平安性5步增加活动书目的平安性让活动书目(AD)更平安!是的，每个管理员都希望如此，但是要尽可能高地实现这个目标，您还是须要花上一点力气的。如何来切实增加AD基础设施的平安?欢迎大家阅读！更多相关信息请关注相关栏目！活动书目(AD)中保存着能够对AD进行访问的重要密钥，假如不能恰当地增加AD的平安性，那么它很简洁受到攻击。坦率地讲，增加AD的平安性并不简洁，但是通过一些基本的步骤，您的确可以提高它的平安性。请留意我这里所说的是基本步骤。平安无止境，您总是可以找到提高平安性的方法，但是这些方法往往须要付出相应的代价。这些代价可表现为实际的花费，或者敏捷性或功能性方面的损失。让我

2、在这里向您展示5个步骤，实施这些步骤的代价并不算高，但它们却可以帮助您切实增加AD基础设施的平安性。步骤1.遵循管理员方面的最佳做法您可以通过将手工操作(例如，安装域限制器)自动化的方法来增加AD的平安性，但是目前还没有出现能够将人类行为自动化的程序设计语言。因此，这就是您须要为管理员如何管理AD建立指南的缘由。您须要确信您的管理员遵循了如下的最佳做法：区分管理账号(administrativeaccounts)的运用。区分管理账号的运用已经成为很多组织的一个标准做法，但它仍旧值得一提。假如管理员的机器不当心感染了病毒，那么潜在的威逼将会特别大，因为获得管理权限(right)后，病毒可运行程序

3、或脚本。因此，对于日常操作，管理员应运用非特权账号(例如，用户账号)；对于和AD有关的操作，管理员应运用一个独立的管理账号。当您通过一个非管理账号登录后，您可以运用RUnaS吩咐这类工具以管理员的身份打开程序。如需了解有关如何运用RUnaS吩咐的信息，请参阅Windows的帮助文件。确保管理员机器的平安性。虽然要求您的管理员以非管理账号登录和运用Runas吩咐打开AD管理程序能够带来很多好处，但是假如运行这些工具的硬件系统担心全的话，您仍旧处于危急之中。假如您不能确保管理员机器的平安性，那么您须要建立一个独立并且平安的管理员机器，并让管理员运用终端服务来访问它。为了确保该机器的平安，您可以将它

4、放在一个特定的组织单元中，并在组织单元上运用严格的组策略设置。您还须要留意机器的物理平安性。假如管理员的机器被盗，那么机器上的全部东西都将受到威逼。定期检查管理组(administrativegroup)的成员。攻击者获得更高特权(PriViIege)的手段之一就是将它们的账号添加到AD的管理组当中,例如DomainAdmins、AdminiStratOrS或EmerPriSeAdmins。因此，您须要亲密关注AD管理组中的成员。缺憾的是AD不具备当某个组的成员发生变更时发送提示信息的内建机制，但是编写一个遍历组成员的脚本并使脚本每天至少运行一次并不困难。在这些组上面启用审核(Enabling

5、AUditing)也是一个很好的办法，因为每次变更都会在事务日志中有一条对应的记录。限制可以访问管理员账号(AdminiStratOraccount)密码的人员。假如某个攻击者获得了管理员账号的密码，他将获得森林中的巨大特权，并且很难对他的操作进行跟踪。因此，您通常不应运用管理员账号来执行管理AD的任务。相反，您应当创建可替代的管理账号(alternativeadministrativeaccounts)将这些账号添力到DomainAdmins或EnterpriseAdmins组中，然后再运用这些账号来分别执行每个管理功能。管理员账号仅应作为最终一个可选择的手段。因为它的.运用应当受到严格的限

6、制，同时知道管理员密码的用户数量也应受到限制。另外，由于任何管理员均可修改管理员账号的密码，您或许还须要对该账号的全部登录恳求进行监视。准备一个快速修改管理员账号密码的方法。即使当您限制了可以访问管理员账号的人数，您仍旧须要准备一个快速修改该账号密码的方法。每月对密码进行一次修改是一个很好的方法，但是假如某个知道密码（或具有修改密码权限）的管理员离开了组织，您须要快速对密码进行修改。该指南同样适用于当您在升级域限制器时设置的书目服务复原模式（DireCtoryServiceRestoreMode,以下简称DSRM）密码和任何具有管理权力的服务账号。DSRM密码是以复原模式启动时用来进行登录的密

7、码。您可以运用WindoWSServer20xx中的NtdSUtil吩咐行工具来修改这个密码。当修改密码时，您应当运用完量长的（超过20个字符）随机密码。对于管理员而言这种密码很难记忆。设置完密码后，您可将它交给某个管理人员，并由他来确定谁可以运用该密码。准备一个快速禁用管理员账号的方法。对于绝大多数运用AD的组织,最大的平安威逼来自于管理员，尤其是那些对雇主怀恨在心的前管理员。即使您和那些自愿或不自愿离开公司的管理员是好挚友，您仍旧须要快速禁用账号上的管理访问权限。步骤2.遵循域限制器方面的最佳做法在确信遵循了与管理员有关的最佳做法后，我们将留意力转移到域限制器（DOmainControll

8、er,以下简称DC）上面来,因为它们是很多AD实现中最简洁受到攻击的目标。假如某个攻击者胜利进入DC,那么整个森林将受到威逼。因此，您须要遵循如下最佳做法:确保DC的物理平安性。DC的物理平安性是部署AD时须要考虑的最重要问题之一。假如某个攻击者获得了DC的物理访问权，他将有可能对几乎全部其它的平安措施进行破坏。当您将DC放置在数据中心时，DC的平安性并不存在问题;当在分支机构部署DC时,DC的物理平安性很可能存在问题。在分支机构中，DC经常存放在可以被非IT人员访问的带锁房间内。在一些状况下，这种方式不行避开，但是不管状况如何，只有被充分信任的人员才能够对DC进行访问。自动化安装的过程。通常

9、自动化任务的执行要比手工执行的平安性高。当安装或升级DC时尤其如此。安装和配置操作系统过程的自动化程度越高，DC的不确定因素就越少。当手工安装服务器时，对每台服务器人们的操作均存在微小的差别。即使完整地记录下全部过程，每台服务器的配置仍旧会有所区分。通过安装和配置过程的自动化，您有理由确信全部DC均以同样的方式被配置并设置平安性。对于已经安装好的DC,您可以运用组策略这类工具来确保它们之间配置的全都性。快速安装重要的更新。在WindOWSNT时代，除非肯定须要，绝大多数管理员不会安装热修复程序(hotfix)或平安更新。更新经常存在缺陷并会导致进一步的问题。今日，我们就没有那么奢侈了。幸运的是

10、微软供应的更新程序质量有了很大提高。因为DC是特别惹眼的目标，所以您须要亲密关注出现的每一个平安更新。来订阅并收到有关最新平安更新的Email通知。您可以通过自动更新(AUtOmatiCUPdateS)快速地对平安更新进行安装，或者通过微软的SoftwareUpdateSerViCeS(SUS)在测试后有选择地对其进行安装。创建一个保留文件。在WindowsServer20xx以前的操作系统中，假如用户具备在某个容器中创建对象的权限，那么将无法限制用户创建对象的数量。缺乏限制可以导致攻击者不断地创建对象以至耗尽DC硬盘空间。您可以通过在每个DC的硬盘上创建一个IoM至20M的保留文件，以便在某

11、种程度上降低这类风险的发生。假如DC的空间用完了，您可以删除上述保留文件，并在找到解决方案前留下一些解决问题的空间。运行病毒扫描软件。在DC上运行病毒扫描软件比在大多数服务器上运行该软件更为迫切，因为DC间不仅要复制书目信息，还要通过文件复制服务(FiIeReplicationService*以下简称FRS)复制文件内容。不幸的是FRS为病毒供应了在一组服务器之间进行传播的简洁途径。并且FRS通常还会对登录脚本进行复制，因此还会潜在地威逼到客户端的平安。运行病毒扫描软件可以大幅降低病毒复制到服务器和客户端的威逼。步骤3.遵循委派方面的最佳做法错误地对爱护AD内容的访问限制列表(AC1.)进行配

12、置将会使AD易于受到攻击。此外，假如委派实施得越困难，那么AD的维护和问题解决工作就越难。因此我喜爱应用简洁的设计哲学。委派实施得越简洁,您的麻烦就会越少，在平安方面尤为如此。事实上，上述哲学同样适用于AD的设计，在附文设计确定平安中将进行具体探讨。为了保持委派的简洁，我剧烈建议您阅读BestPracticesforDelegatingActiveDirectoryAdministration一文。不要将权限安排给用户账号。进行委派的基本原则之一就是除非有充分的理由，否则始终将权限安排给组而不是用户。当某个被您安排权限的用户离开公司或工作职能发生变更而再不须要某些访问权限时,您须要执行哪些操作

13、?找到某个账号被赐予的权限,取消这些权限，然后再将它们赐予另外一个用户，要比将旧账号从某个组中删掉，再将一个新账号加入到该组中的工作量大得多。即使您认为赐予特定用户的权限恒久不会被赐予其他用户，我还是建议您创建一个组，将用户加入到这个组中，然后再将权限安排给这个组。不要将权限安排给单独的对象。当您干脆将权限安排给单独的对象时（例如一个用户或一个组对象），事情将会变得困难起来。上述权限须要更多的维护，并且很简洁在随后被忽视。为了避开问题的发生，您应当将权限尽量多地安排给组织单元或容器。记录下运用的模型。在进行权限委派时，您须要完成的重要工作之一就是记录下运用的模型。您是否建立了一个基于角色的模型

14、?恳求访问权限的过程是什么?模型是否具有特例?全部这些重要问题都应当被记录，它不仅会使维护工作变得简洁，而且将确保每个人都清晰权限应当如何被安排，并可以识别出没有依据模型进行安排的权限(它将使AD易于受到攻击)。记录模型的文档格式并不重要，但应能够便利管理员查找。熟识Dsrevoke的运用。您可通过ActiveDirectory用户和计算机程序来运行限制委派向导(DeIegatiOnofControlwizard),它能够很好地完成初始的访问委派工作。但是运用这个向导或其他图形工具来完成委派取消工作(例如从AC1.中删除安排给某个账号的全部权限)却特别麻烦。幸运的是微软发布了DSreVoke工

15、具，它允许您遍历域中的全部AC1.,并能够删除掉您指定账号的全部访问权限。您应当熟识这个工具，因为它能够提高委派的效率。步骤4.监视并审核您的AD因为AD包含很多组件，所以确定何时有人对系统进行破坏比较困难。目前您仅能够遵循上述提到的最佳做法，但是您如何知道有人正在偷偷溜进您的系统呢?答案是监视和审核。您至少须要监视DC的可用性(availability)。您或许已经在进行主机可用性的监视了，并用它来确保AD基础设施的可用性。但是从平安的角度而言，知道DC何时非正常停机更为重要，这样您就可以马上对缘由进行相应的分析。或许远程站点的一台DC被盗或某个黑客取得了物理访问权并且正在关闭机器以便安装一

16、个木马程序！除了监视DC的可用性，您还可以运用性能监视器对很多AD的度量(measure)进行监视，这些度量包括轻量书目访问协议(1.ightWeightDirectoryAccessProtocol,以下简称1.DAP)查询的次数和复制数据的数量等内容。您可以为每个感爱好的计数器设定一个阀值，然后对它们进行监视。假如您留意到，例如每秒钟1.DAP查询恳求次数或身份验证恳求次数在一段时间内明显上升，这或许就是某种攻击的一个提示信息。为了获得更广泛的监视(甚至是警告)信息，您可以运用MicrosoftOperationManager这类工具。Windows操作系统和AD供应的审核功能允许您将某些事务记录到平安事务日志中。您可以记录从操作系统配置更新到AD内部修改等任何事务。但是在启用审核时您须要谨慎考虑。假如审核的对象过多，那么平安日志中将会充斥过多的信息以至于很难找到您所须要的内容。为了获得审核对象方面的指导，请参阅BestPractice