5步增強活動目錄的安全性

5步增強活動目錄的平安性5步增強活動目錄的平安性活動目錄(AD)中保存著可以對AD進展訪問的重要密鑰，假設(shè)不能恰當?shù)卦鰪夾D的平安性，那么它很容易受到攻擊。坦率地講，增強AD的平安性并不簡單，但是通過一些根本的步驟，您確實可以進步它的平安性。請注意我這里所說的是“根本”步驟。平安無止境，您總是可以找到進步平安性的方法，但是這些方法往往需要付出相應(yīng)的代價。這些代價可表現(xiàn)為實際的花費，或者靈敏性或功能性方面的損失。讓我在這里向您展示5個步驟，施行這些步驟的代價并不算高，但它們卻可以幫助您實在增強AD根底設(shè)施的平安性。您可以通過將手工操作(例如，安裝域控制器)自動化的方法來增強AD的平安性，但是目前還沒有出現(xiàn)可以將人類行為自動化的程序設(shè)計語言。因此，這就是您需要為管理員如何管理AD建立指南的原因。您需要確信您的管理員遵循了如下的最正確做法：區(qū)分管理賬號(administrativeaounts)的使用。區(qū)分管理賬號的使用已經(jīng)成為許多組織的一個標準做法，但它仍然值得一提。假設(shè)管理員的機器不小心感染了病毒，那么潛在的威脅將會非常大，因為獲得管理權(quán)限(right)后，病毒可運行程序或腳本。因此，對于日常操作，管理員應(yīng)使用非特權(quán)賬號(例如，用戶賬號);對于和AD有關(guān)的操作，管理員應(yīng)使用一個獨立的管理賬號。當您通過一個非管理賬號后，您可以使用Runas命令這類工具以管理員的身份翻開程序。如需理解有關(guān)如何使用Runas命令的信息，請參閱Windows的幫助文件。確保管理員機器的平安性。雖然要求您的管理員以非管理賬號和使用Runas命令翻開AD管理程序可以帶來很多好處，但是假設(shè)運行這些工具的硬件系統(tǒng)不平安的話，您仍然處于危險之中。假設(shè)您不能確保管理員機器的平安性，那么您需要建立一個獨立并且平安的管理員機器，并讓管理員使用終端效勞來訪問它。為了確保該機器的平安，您可以將它放在一個特定的組織單元中，并在組織單元上使用嚴格的組策略設(shè)置。您還需要注意機器的物理平安性。假設(shè)管理員的機器被盜，那么機器上的所有東西都將受到威脅。定期檢查管理組(administrativegroup)的成員。攻擊者獲得更高特權(quán)(privilege)的手段之一就是將它們的賬號添加到AD的管理組當中，例如DomainAdmins、Administrators或EnterpriseAdmins。因此，您需要親密關(guān)注AD管理組中的成員。遺憾的是AD不具備當某個組的成員發(fā)生改變時發(fā)送提示信息的內(nèi)建機制，但是編寫一個遍歷組成員的腳本并使腳本每天至少運行一次并不復雜。在這些組上面啟用審核(EnablingAuditing)也是一個很好的主意，因為每次改變都會在事件日志中有一條對應(yīng)的記錄。限制可以訪問管理員賬號(Administratoraount)密碼的人員。假設(shè)某個攻擊者獲得了管理員賬號的密碼，他將獲得森林中的宏大特權(quán)，并且很難對他的操作進展跟蹤。因此，您通常不應(yīng)使用管理員賬號來執(zhí)行管理AD的任務(wù)。相反，您應(yīng)該創(chuàng)立可替代的管理賬號(alternativeadministrativeaounts)，將這些賬號添加到DomainAdmins或EnterpriseAdmins組中，然后再使用這些賬號來分別執(zhí)行每個管理功能。管理員賬號僅應(yīng)作為最后一個可選擇的手段。因為它的使用應(yīng)該受到嚴格的限制，同時知道管理員密碼的用戶數(shù)量也應(yīng)受到限制。另外，由于任何管理員均可修改管理員賬號的密碼，您或許還需要對該賬號的所有懇求進展監(jiān)視。準備一個快速修改管理員賬號密碼的方法。即使當您限制了可以訪問管理員賬號的人數(shù)，您仍然需要準備一個快速修改該賬號密碼的方法。每月對密碼進展一次修改是一個很好的方法，但是假設(shè)某個知道密碼(或具有修改密碼權(quán)限)的管理員分開了組織，您需要迅速對密碼進展修改。該指南同樣適用于當您在晉級域控制器時設(shè)置的目錄效勞恢復形式(DirectoryServiceRestoreMode，以下簡稱DSRM)密碼和任何具有管理權(quán)利的效勞賬號。DSRM密碼是以恢復形式啟動時用來進展的密碼。您可以使用WindowsServerxx中的Ntdsutil命令行工具來修改這個密碼。當修改密碼時，您應(yīng)該使用盡量長的(超過20個字符)隨機密碼。對于管理員而言這種密碼很難記憶。設(shè)置完密碼后，您可將它交給某個管理人員，并由他來決定誰可以使用該密碼。準備一個快速禁用管理員賬號的方法。對于絕大多數(shù)使用AD的組織，最大的平安威脅于管理員，尤其是那些對雇主懷恨在心的前管理員。即使您和那些自愿或不自愿分開公司的管理員是好朋友，您仍然需要迅速禁用賬號上的管理訪問權(quán)限。在確信遵循了與管理員有關(guān)的最正確做法后，我們將注意力轉(zhuǎn)移到域控制器(DomainController，以下簡稱DC)上面來，因為它們是許多AD實現(xiàn)中最容易受到攻擊的目的。假設(shè)某個攻擊者成功進入DC，那么整個森林將受到威脅。因此，您需要遵循如下最正確做法：確保DC的物理平安性。DC的物理平安性是部署AD時需要考慮的最重要問題之一。假設(shè)某個攻擊者獲得了DC的物理訪問權(quán)，他將有可能對幾乎所有其它的平安措施進展破壞。當您將DC放置在數(shù)據(jù)中心時，DC的平安性并不存在問題;當在分支機構(gòu)部署DC時，DC的物理平安性很可能存在問題。在分支機構(gòu)中，DC經(jīng)常存放在可以被非IT人員訪問的帶鎖房間內(nèi)。在一些情況下，這種方式不可防止，但是不管情況如何，只有被充分信任的人員才可以對DC進展訪問。自動化安裝的過程。通常自動化任務(wù)的執(zhí)行要比手工執(zhí)行的平安性高。當安裝或晉級DC時尤其如此。安裝和配置操作系統(tǒng)過程的自動化程度越高，DC的不確定因素就越少。當手工安裝效勞器時，對每臺效勞器人們的操作均存在細微的差異。即使完好地記錄下所有過程，每臺效勞器的配置仍然會有所區(qū)別。通過安裝和配置過程的自動化，您有理由確信所有DC均以同樣的方式被配置并設(shè)置平安性。對于已經(jīng)安裝好的DC，您可以使用組策略這類工具來確保它們之間配置的一致性。迅速安裝重要的更新。在WindowsNT時代，除非絕對需要，絕大多數(shù)管理員不會安裝熱修復程序(hotfix)或平安更新。更新經(jīng)常存在缺陷并會導致進一步的問題。今天，我們就沒有那么奢侈了。幸運的是微軟提供的更新程序質(zhì)量有了很大進步。因為DC是非常顯眼的目的，所以您需要親密關(guān)注出現(xiàn)的每一個平安更新。來訂閱并收到有關(guān)最新平安更新的Email通知。您可以通過自動更新(AutomaticUpdates)迅速地對平安更新進展安裝，或者通過微軟的SoftwareUpdateServices(SUS)在測試后有選擇地對其進展安裝。創(chuàng)立一個保存文件。在WindowsServerxx以前的操作系統(tǒng)中，假設(shè)用戶具備在某個容器中創(chuàng)立對象的權(quán)限，那么將無法限制用戶創(chuàng)立對象的數(shù)量。缺乏限制可以導致攻擊者不斷地創(chuàng)立對象以致耗盡DC硬盤空間。您可以通過在每個DC的硬盤上創(chuàng)立一個10M至20M的保存文件，以便在某種程度上降低這類風險的發(fā)生。假設(shè)DC的空間用完了，您可以刪除上述保存文件，并在找到解決方案前留下一些解決問題的空間。運行病毒掃描軟件。在DC上運行病毒掃描軟件比在大多數(shù)效勞器上運行該軟件更為迫切，因為DC間不僅要復制目錄信息，還要通過文件復制效勞(FileReplicationService，以下簡稱FRS)復制文件內(nèi)容。不幸的是FRS為病毒提供了在一組效勞器之間進展傳播的'簡單途徑。并且FRS通常還會對腳本進展復制，因此還會潛在地威脅到客戶端的平安。運行病毒掃描軟件可以大幅降低病毒復制到效勞器和客戶端的威脅。錯誤地對保護AD內(nèi)容的訪問控制列表(ACL)進展配置將會使AD易于受到攻擊。此外，假設(shè)委派施行得越復雜，那么AD的維護和問題解決工作就越難。因此我喜歡應(yīng)用簡潔的設(shè)計哲學。委派施行得越簡單，您的費事就會越少，在平安方面尤為如此。事實上，上述哲學同樣適用于AD的設(shè)計，在附文“設(shè)計決定平安”中將進展詳細討論。為了保持委派的簡潔，我強烈建議您閱讀“BestPracticesforDelegatingActiveDirectoryAdministration”一文。不要將權(quán)限分配給用戶賬號。進展委派的根本原那么之一就是除非有充分的理由，否那么始終將權(quán)限分配給組而不是用戶。當某個被您分配權(quán)限的用戶分開公司或工作職能發(fā)生改變而再不需要某些訪問權(quán)限時，您需要執(zhí)行哪些操作?找到某個賬號被賦予的權(quán)限，取消這些權(quán)限，然后再將它們賦予另外一個用戶，要比將舊賬號從某個組中刪掉，再將一個新賬號參加到該組中的工作量大得多。即使您認為賦予特定用戶的權(quán)限永遠不會被賦予其他用戶，我還是建議您創(chuàng)立一個組，將用戶參加到這個組中，然后再將權(quán)限分配給這個組。不要將權(quán)限分配給單獨的對象。當您直接將權(quán)限分配給單獨的對象時(例如一個用戶或一個組對象)，事情將會變得復雜起來。上述權(quán)限需要更多的維護，并且很容易在隨后被無視。為了防止問題的發(fā)生，您應(yīng)該將權(quán)限盡量多地分配給組織單元或容器。記錄下使用的模型。在進展權(quán)限委派時，您需要完成的重要工作之一就是記錄下使用的模型。您是否建立了一個基于角色的模型?懇求訪問權(quán)限的過程是什么?模型是否具有特例?所有這些重要問題都應(yīng)該被記錄，它不僅會使維護工作變得簡單，而且將確保每個人都清楚權(quán)限應(yīng)該如何被分配，并可以識別出沒有按照模型進展分配的權(quán)限(它將使AD易于受到攻擊)。記錄模型的文檔格式并不重要，但應(yīng)可以方便管理員查找。熟悉Dsrevoke的使用。您可通過ActiveDirectory用戶和計算機程序來運行控制委派向?qū)?DelegationofControlwizard)，它可以很好地完成初始的訪問委派工作。但是使用這個向?qū)Щ蚱渌麍D形工具來完成委派取消工作(例如從ACL中刪除分配給某個賬號的所有權(quán)限)卻非常費事。幸運的是微軟了Dsrevoke工具，它允許您遍歷域中的所有ACL，并可以刪除掉您指定賬號的所有訪問權(quán)限。您應(yīng)該熟悉這個工具，因為它可以進步委派的效率。因為AD包含許多組件，所以確定何時有人對系統(tǒng)進展破壞比擬困難。目前您僅可以遵循上述提到的最正確做法，但是您如何知道有人正在偷偷溜進您的系統(tǒng)呢?答案是監(jiān)視和審核。您至少需要監(jiān)視DC的可用性(availability)。您也許已經(jīng)在進展主機可用性的監(jiān)視了，并用它來確保AD根底設(shè)施的可用性。但是從平安的角度而言，知道DC何時非正常停機更為重要，這樣您就可以立即對原因進展相應(yīng)的分析。也許遠程站點的一臺DC被盜或某個黑客獲得了物理訪問權(quán)并且正在關(guān)閉機器以便安裝一個木馬程序!除了監(jiān)視DC的可用性，您還可以使用性能監(jiān)視器對許多AD的度量(measure)進展監(jiān)視，這些度量包括輕量目錄訪問協(xié)議(LightweightDirectoryAessProtocol，以下簡稱LDAP)查詢的次數(shù)和復制數(shù)據(jù)的數(shù)量等內(nèi)容。您可以為每個感興趣的計數(shù)器設(shè)定一個閥值，然后對它們進展監(jiān)視。假設(shè)您注意到，例如每秒鐘LDAP查詢懇求次數(shù)或身份驗證懇求次數(shù)在一段時間內(nèi)明顯上升，這也許就是某種攻擊的一個提示信息。為了獲取更廣泛的監(jiān)視(甚至是警告)信息，您可以使用MicrosoftOperationManager這類工具。Windows操作系統(tǒng)和AD提供的審核功能允許您將某些事件記錄到平安事件日志中。您可以記錄從操作系統(tǒng)配置更新到AD內(nèi)部修改等任何事件。但是在啟用審核時您需要慎重考慮。假設(shè)審核的對象過多，那么平安日志中將會充滿過多的信息以致于很難找到您所需要的內(nèi)容。為了獲取審核對象方面的指導，請參閱“BestPracticeGuideforSecuringActiveDirectoryInstallations”一文。也許平安規(guī)劃最重要的方面就是建立一個如何應(yīng)對成功攻擊的預(yù)案。施行上述最正確做法并不能絕對確保平安。您也許已經(jīng)建立起一個非常平安的AD根底設(shè)施，但是假設(shè)攻擊者進展一次從未見過的AD攻擊，您也許就會束手無策，因為您對它還不理解。這就是為什么做最壞打算顯得如此重要的原因。假設(shè)您發(fā)現(xiàn)正處在這種情形下，您已經(jīng)知道該如何應(yīng)對了。假設(shè)您發(fā)現(xiàn)整個森林均受到威脅并且需要進展一次徹底的恢復，您將會因為事先考慮過這個過程而節(jié)省下珍貴的時間。在本文中我們討論了進步AD平安性的一些根本步驟，而且施行這些步驟的代價也很低。雖然討論的內(nèi)容僅僅涉及一些皮毛，但是假設(shè)您遵循上述步驟，您的AD將會變得更加平安。工程概覽問題：增強AD的平安性并不容易，但是通過執(zhí)行一些根本的步驟，您確實可以進步它的平安性。您需要：Ntdsutil,Dsrevoke難度系數(shù)：3/5遵循管理員方面的最正確做法遵循域控制器方面的最正確做法遵循委派方面的最正確做法監(jiān)視并審核您的AD做最壞打算病毒、蠕蟲、垃圾郵件以及回絕效勞攻擊是互聯(lián)網(wǎng)用戶每天都需要面對的平安威脅?；ヂ?lián)網(wǎng)之所以很容易受到攻擊，是因為當初設(shè)計它的時候并沒有考慮到平安性。它被設(shè)計成了一個開放的系統(tǒng)，并鼓勵用戶自由地交流和交換思想?；ヂ?lián)網(wǎng)的建立者從未想到某一天它會獲得商業(yè)上的宏大成功。從此互聯(lián)網(wǎng)社