關於增強活動目錄安全性的五個步驟
讓AD更安全!是的,每個管理員都希望如此,但是要盡可能高地實現這個目標,您還是需要花上一點力氣的,本文通過5個步驟,幫您理解如何來切實增強AD基礎設施的安全。
活動目錄(AD)中儲存著能夠對AD進行訪問的重要密鑰,如果不能恰當地增強AD的安全性,那麼它很容易受到攻擊。坦率地講,增強AD的安全性並不簡單,但是通過一些基本的步驟,您確實可以提高它的安全性。
請注意我這裡所說的是「基本」步驟。
安全無止境,您總是可以找到提高安全性的方法,但是這些方法往往需要付出相應的代價。
這些代價可表現為實際的花費,或者靈活性或功能性方面的損失。
讓我在這裡向您展示5個步驟,實施這些步驟的代價並不算高,但它們卻可以說明 您切實增強AD基礎設施的安全性。
步驟1. 遵循管理員方面的最佳做法
您可以通過將手動式操作(例如,安裝域控制器)自動化的方法來增強AD的安全性,但是目前還沒有出現能夠將人類行為自動化的程序設計語言。
因此,這就是您需要為管理員如何管理AD建立指南的原因。您需要確信您的管理員遵循了如下的最佳做法:
區分管理帳號(administrative accounts)的使用。
區分管理帳號的使用已經成為許多組織的一個標準做法,但它仍然值得一提。如果管理員的機器不小心感染了病毒,那麼潛在的威脅將會非常大,因為獲得管理權限(right)後,病毒可執行程序或指令碼。
因此,對於日常操作,管理員應使用非特權帳號(例如,用戶帳號);對於和AD有關的操作,管理員應使用一個獨立的管理帳號。
當您通過一個非管理帳號登入後,您可以使用Runas指令這類工具以管理員的身份開啟程序。如需瞭解有關如何使用Runas指令的訊息,請參閱Windows的求助文件。
確保管理員機器的安全性。雖然要求您的管理員以非管理帳號登入和使用Runas指令開啟AD管理程序能夠帶來很多益處,但是如果執行這些工具的硬體系統不安全的話,您仍然處於危險之中。
如果您不能確保管理員機器的安全性,那麼您需要建立一個獨立並且安全的管理員機器,並讓管理員使用終端服務來訪問它。為了確保該機器的安全,您可以將它放在一個特定的組織單元中,並在組織單元上使用嚴格的群組原則設定。
您還需要注意機器的物理安全性。如果管理員的機器被盜,那麼電腦上的所有東西都將受到威脅。
定期檢查管理組(administrative group)的成員。攻擊者獲得更高特權(privilege)的手段之一就是將它們的帳號增加到AD的管理組當中,例如Domain Admins、Administrators或Enterprise Admins。
因此,您需要密切關注AD管理組中的成員。遺憾的是AD不具備當某個組的成員發生改變時傳送提示訊息的內建機制,但是編寫一個遍歷組成員的指令碼並使指令碼每天至少執行一次並不複雜。
在這些組上面啟用稽核(Enabling Auditing)也是一個很好的主意,因為每次改變都會在事件日誌中有一條對應的記錄。
限制可以訪問管理員帳號(Administrator account)密碼的人員。如果某個攻擊者獲得了管理員帳號的密碼,他將獲得森林中的巨大特權,並且很難對他的操作進行跟蹤。因此,您通常不應使用管理員帳號來執行管理AD的工作。
相反,您應該新增可替代的管理帳號(alternative administrative accounts),將這些帳號增加到Domain Admins或Enterprise Admins組中,然後再使用這些帳號來分別執行每個管理功能。管理員帳號僅應作為最後一個可選項的手段。
因為它的使用應該受到嚴格的限制,同時知道管理員密碼的用戶數量也應受到限制。
另外,由於任何管理員均可修改管理員帳號的密碼,您或許還需要對該帳號的所有登入請求進行監視。
準備一個快速修改管理員帳號密碼的方法。即使當您限制了可以訪問管理員帳號的人數,您仍然需要準備一個快速修改該帳號密碼的方法。
每月對密碼進行一次修改是一個很好的方法,但是如果某個知道密碼(或具有修改密碼權限)的管理員離開了組織,您需要迅速對密碼進行修改。
該指南同樣適用於當您在昇級域控制器時設定的目錄服務恢復模式(Directory Service Restore Mode,以下簡稱DSRM)密碼和任何具有管理權力的服務帳號。DSRM密碼是以恢復模式啟動時用來進行登入的密碼。您可以使用Windows Server 2003中的Ntdsutil指令行工具來修改這個密碼。
當修改密碼時,您應該使用盡量長的(超過20個字元)隨機密碼。對於管理員而言這種密碼很難記憶。
設定完密碼後,您可將它交給某個管理人員,並由他來決定誰可以使用該密碼。
準備一個快速禁用管理員帳號的方法。
對於絕大多數使用AD的組織,最大的安全威脅來自於管理員,尤其是那些對僱主懷恨在心的前管理員。即使您和那些自願或不自願離開公司的管理員是好朋友,您仍然需要迅速禁用帳號上的管理訪問權限。
步驟2. 遵循域控制器方面的最佳做法
在確信遵循了與管理員有關的最佳做法後,我們將注意力轉移到域控制器(Domain Controller,以下簡稱DC)上面來,因為它們是許多AD實現中最容易受到攻擊的目標。如果某個攻擊者成功進入DC,那麼整個森林將受到威脅。
因此,您需要遵循如下最佳做法:
確保DC的物理安全性。DC的物理安全性是佈署AD時需要考慮的最重要問題之一。如果某個攻擊者獲得了DC的物理訪問權,他將有可能對幾乎所有其它的安全措施進行破壞。
當您將DC放置在資料中心時,DC的安全性並不存在問題;當在分支機構佈署DC時,DC的物理安全性很可能存在問題。在分支機構中,DC經常存放在可以被非IT人員訪問的帶鎖房間內。在一些情況下,這種方式不可避免,但是不管情況如何,只有被充分信任的人員才能夠對DC進行訪問。
自動化安裝的程序。
通常自動化工作的執行要比手動式執行的安全性高。當安裝或昇級DC時尤其如此。
安裝和組態操作系統程序的自動化程度越高,DC的不確定因素就越少。當手動式安裝伺服器時,對每台伺服器人們的操作均存在細微的差別。即使完整地記錄下所有程序,每台伺服器的組態仍然會有所區別。通過安裝和組態程序的自動化,您有理由確信所有DC均以同樣的方式被組態並設定安全性。
對於已經安裝好的DC,您可以使用群組原則這類工具來確保它們之間組態的一致性。
迅速安裝重要的更新。
在Windows NT時代,除非絕對需要,絕大多數管理員不會安裝熱修復程序(hotfix)或安全更新。
更新經常存在缺陷並會導致進一步的問題。
|