提高活動(dòng)目錄安全三種方法

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

活動(dòng)目錄（AD）結(jié)構(gòu)和結(jié)構(gòu)中的數(shù)據(jù)是Windows域中最為關(guān)鍵的部分，執(zhí)行恰當(dāng)?shù)陌踩褪跈?quán)措施是非常必要的。Mike Mullins介紹了三個(gè)可以增進(jìn)AD安全的簡(jiǎn)單步驟。

活動(dòng)目錄的結(jié)構(gòu)以及結(jié)構(gòu)中的數(shù)據(jù)是Windows域中最為關(guān)鍵的部分。如果不在活動(dòng)目錄中采取一些適當(dāng)?shù)谋Ｗo(hù)和授權(quán)措施，你可能會(huì)錯(cuò)誤地授權(quán)給其它用戶，授予的權(quán)限可能會(huì)超過他們實(shí)際需要的權(quán)限。

AD結(jié)構(gòu)是不能容忍這類錯(cuò)誤的，一次不小心的錯(cuò)誤授權(quán)可能會(huì)導(dǎo)致整個(gè)域的全部重建。這就是為什么需要采取三個(gè)簡(jiǎn)單的步驟（即設(shè)計(jì)，授權(quán)和審核）以更好地保護(hù)AD程序是如此的重要。

設(shè)計(jì)
首先，設(shè)計(jì)公司部門結(jié)構(gòu)。其次，用圖表創(chuàng)建自己的組織單元（Organizational Units，OUs），并建立一個(gè)代表公司實(shí)際情況的名字。

這樣做可謂為一箭雙雕。首先：設(shè)計(jì)并命名你自己的OUs，你可以給所有的用戶、用戶群和所有的硬件創(chuàng)建一個(gè)合理的空間。通過組策略編輯器(Group Policy Editor)，可以簡(jiǎn)化這些項(xiàng)目的管理，使系統(tǒng)管理變得相當(dāng)容易。

此外，創(chuàng)建自己的OUs。你可以根據(jù)不同類型的OU制定你自己的安全規(guī)則。這是非常重要的，因?yàn)槭褂闷髽I(yè)單元中默認(rèn)許可建成的AD不能像默認(rèn)許可規(guī)定一樣進(jìn)行嚴(yán)格執(zhí)行。

授權(quán)
管理AD域是一項(xiàng)艱巨的任務(wù)，不應(yīng)該讓同一個(gè)人或者同一個(gè)帳戶負(fù)責(zé)所有的事情。授予一個(gè)帳戶太多權(quán)限將引起災(zāi)難后果。如果黑客得到一個(gè)帳戶，或者負(fù)責(zé)人辭職（或者是產(chǎn)生不滿情緒的時(shí)候），那么整個(gè)域?qū)?huì)處于危險(xiǎn)之中。

因此，你的AD程序應(yīng)該包括兩種類型的管理員：數(shù)據(jù)管理員(Data Administrator)和服務(wù)管理員(Service Administrator)。這有助于權(quán)限分擔(dān)，以提高程序的安全性。

數(shù)據(jù)管理員
數(shù)據(jù)管理員負(fù)責(zé)保護(hù)存儲(chǔ)在活動(dòng)目錄中的信息，而不負(fù)責(zé)文件和文件夾的管理。數(shù)據(jù)管理員負(fù)責(zé)用戶帳號(hào)、計(jì)算機(jī)帳戶、用戶群帳戶等。這類數(shù)據(jù)管理員類似于NT域中的Account Operators群。

由于活動(dòng)結(jié)構(gòu)需要控制所有的計(jì)算機(jī)，實(shí)質(zhì)上，與內(nèi)部網(wǎng)絡(luò)相連的每臺(tái)計(jì)算機(jī)都是域的一個(gè)部分。而且，在安全域內(nèi)的計(jì)算機(jī)不能控制所有其它的設(shè)備。

為數(shù)據(jù)管理員創(chuàng)建一個(gè)帳戶和群組時(shí)，僅僅給他們分配內(nèi)管理OUs控制范圍所必需的權(quán)限。此外，必須確保不給這些帳戶授予瀏覽網(wǎng)絡(luò)或閱讀電子郵件的權(quán)限。

另外，不要允許數(shù)據(jù)管理員為其他的數(shù)據(jù)管理員創(chuàng)建賬號(hào)。這件事應(yīng)當(dāng)由服務(wù)管理原來負(fù)責(zé)。以上這些步驟填補(bǔ)了一些巨大的安全隱患，使帳戶擁有者們?cè)谑褂脦魰r(shí)僅僅能夠執(zhí)行所允許的操作。

服務(wù)管理員
服務(wù)管理員則負(fù)責(zé)每日的幕后管理和維護(hù)。他們還需要管理域所提供給用戶的不同類型的服務(wù)。這些服務(wù)包括域名稱系統(tǒng)（DNS）、全局目錄（GC）服務(wù)器、通過分布式文件系統(tǒng)（DFS）復(fù)制數(shù)據(jù)、企業(yè)網(wǎng)絡(luò)森林中的域控制器（DC）和各種站點(diǎn)，以及同其他域的信任關(guān)系。當(dāng)然，最重要的還是活動(dòng)目錄計(jì)劃（AD schema）。

服務(wù)管理員的角色擁有強(qiáng)大的權(quán)力，因此你應(yīng)當(dāng)為部門中最富經(jīng)驗(yàn)和知識(shí)的技術(shù)人員保留這一職位。需要記住，盡管這些管理員擁有者比數(shù)據(jù)管理員更多的權(quán)限，他們執(zhí)行的操作還是需要進(jìn)行詳細(xì)的審查。

審計(jì)
沒有哪個(gè)活動(dòng)目錄的部署是完全拋開審計(jì)對(duì)象或事件來實(shí)施的。審計(jì)是管理過程中的重要部分，而并不僅僅用來判斷域安全策略是否實(shí)施成功的手段。

此外，審計(jì)還是檢查和平衡兩類管理員權(quán)限的主要手段。在需要確定應(yīng)當(dāng)進(jìn)行什么樣的安全策略改變以及由誰來實(shí)施的時(shí)候，審計(jì)是你的首選方法。

總結(jié)
在加強(qiáng)活動(dòng)目錄安全性方面，微軟已經(jīng)進(jìn)行了大量的研究。但問題是絕大部分的用戶在安裝域的時(shí)候就缺乏正確的安全規(guī)劃，使得他們最后不得不花上大量時(shí)間來修補(bǔ)出現(xiàn)的問題。

請(qǐng)記?。阂?guī)劃，授權(quán)，還有審計(jì)。

來源：ZDNET