提高活動目錄安全三種方法

申請免費(fèi)試用、咨詢電話：400-8352-114

活動目錄（AD）結(jié)構(gòu)和結(jié)構(gòu)中的數(shù)據(jù)是Windows域中最為關(guān)鍵的部分，執(zhí)行恰當(dāng)?shù)陌踩褪跈?quán)措施是非常必要的。Mike Mullins介紹了三個可以增進(jìn)AD安全的簡單步驟。

活動目錄的結(jié)構(gòu)以及結(jié)構(gòu)中的數(shù)據(jù)是Windows域中最為關(guān)鍵的部分。如果不在活動目錄中采取一些適當(dāng)?shù)谋Ｗo(hù)和授權(quán)措施，你可能會錯誤地授權(quán)給其它用戶，授予的權(quán)限可能會超過他們實際需要的權(quán)限。

AD結(jié)構(gòu)是不能容忍這類錯誤的，一次不小心的錯誤授權(quán)可能會導(dǎo)致整個域的全部重建。這就是為什么需要采取三個簡單的步驟（即設(shè)計，授權(quán)和審核）以更好地保護(hù)AD程序是如此的重要。

設(shè)計
首先，設(shè)計公司部門結(jié)構(gòu)。其次，用圖表創(chuàng)建自己的組織單元（Organizational Units，OUs），并建立一個代表公司實際情況的名字。

這樣做可謂為一箭雙雕。首先：設(shè)計并命名你自己的OUs，你可以給所有的用戶、用戶群和所有的硬件創(chuàng)建一個合理的空間。通過組策略編輯器(Group Policy Editor)，可以簡化這些項目的管理，使系統(tǒng)管理變得相當(dāng)容易。

此外，創(chuàng)建自己的OUs。你可以根據(jù)不同類型的OU制定你自己的安全規(guī)則。這是非常重要的，因為使用企業(yè)單元中默認(rèn)許可建成的AD不能像默認(rèn)許可規(guī)定一樣進(jìn)行嚴(yán)格執(zhí)行。

授權(quán)
管理AD域是一項艱巨的任務(wù)，不應(yīng)該讓同一個人或者同一個帳戶負(fù)責(zé)所有的事情。授予一個帳戶太多權(quán)限將引起災(zāi)難后果。如果黑客得到一個帳戶，或者負(fù)責(zé)人辭職（或者是產(chǎn)生不滿情緒的時候），那么整個域?qū)幱谖ｋU之中。

因此，你的AD程序應(yīng)該包括兩種類型的管理員：數(shù)據(jù)管理員(Data Administrator)和服務(wù)管理員(Service Administrator)。這有助于權(quán)限分擔(dān)，以提高程序的安全性。

數(shù)據(jù)管理員
數(shù)據(jù)管理員負(fù)責(zé)保護(hù)存儲在活動目錄中的信息，而不負(fù)責(zé)文件和文件夾的管理。數(shù)據(jù)管理員負(fù)責(zé)用戶帳號、計算機(jī)帳戶、用戶群帳戶等。這類數(shù)據(jù)管理員類似于NT域中的Account Operators群。

由于活動結(jié)構(gòu)需要控制所有的計算機(jī)，實質(zhì)上，與內(nèi)部網(wǎng)絡(luò)相連的每臺計算機(jī)都是域的一個部分。而且，在安全域內(nèi)的計算機(jī)不能控制所有其它的設(shè)備。

為數(shù)據(jù)管理員創(chuàng)建一個帳戶和群組時，僅僅給他們分配內(nèi)管理OUs控制范圍所必需的權(quán)限。此外，必須確保不給這些帳戶授予瀏覽網(wǎng)絡(luò)或閱讀電子郵件的權(quán)限。

另外，不要允許數(shù)據(jù)管理員為其他的數(shù)據(jù)管理員創(chuàng)建賬號。這件事應(yīng)當(dāng)由服務(wù)管理原來負(fù)責(zé)。以上這些步驟填補(bǔ)了一些巨大的安全隱患，使帳戶擁有者們在使用帳戶時僅僅能夠執(zhí)行所允許的操作。

服務(wù)管理員
服務(wù)管理員則負(fù)責(zé)每日的幕后管理和維護(hù)。他們還需要管理域所提供給用戶的不同類型的服務(wù)。這些服務(wù)包括域名稱系統(tǒng)（DNS）、全局目錄（GC）服務(wù)器、通過分布式文件系統(tǒng)（DFS）復(fù)制數(shù)據(jù)、企業(yè)網(wǎng)絡(luò)森林中的域控制器（DC）和各種站點，以及同其他域的信任關(guān)系。當(dāng)然，最重要的還是活動目錄計劃（AD schema）。

服務(wù)管理員的角色擁有強(qiáng)大的權(quán)力，因此你應(yīng)當(dāng)為部門中最富經(jīng)驗和知識的技術(shù)人員保留這一職位。需要記住，盡管這些管理員擁有者比數(shù)據(jù)管理員更多的權(quán)限，他們執(zhí)行的操作還是需要進(jìn)行詳細(xì)的審查。

審計
沒有哪個活動目錄的部署是完全拋開審計對象或事件來實施的。審計是管理過程中的重要部分，而并不僅僅用來判斷域安全策略是否實施成功的手段。

此外，審計還是檢查和平衡兩類管理員權(quán)限的主要手段。在需要確定應(yīng)當(dāng)進(jìn)行什么樣的安全策略改變以及由誰來實施的時候，審計是你的首選方法。

總結(jié)
在加強(qiáng)活動目錄安全性方面，微軟已經(jīng)進(jìn)行了大量的研究。但問題是絕大部分的用戶在安裝域的時候就缺乏正確的安全規(guī)劃，使得他們最后不得不花上大量時間來修補(bǔ)出現(xiàn)的問題。

請記?。阂?guī)劃，授權(quán)，還有審計。

來源：ZDNET