5個步驟增強活動目錄的安全

活動目錄（AD）中保存著能夠?qū)D進行訪問的重要密鑰，如果不能恰當?shù)卦鰪夾D的安全性，那么它很容易受到攻擊。坦率地講，增強AD的安全性并不簡單，但是通過一些基本的步驟，您確實可以提高它的安全性。請注意我這里所說的是"基本"步驟。安全無止境，您總是可以找到提高安全性的方法，但是這些方法往往需要付出相應(yīng)的代價。這些代價可表現(xiàn)為實際的花費，或者靈活性或功能性方面的損失。讓我在這里向您展示5個步驟，實施這些步驟的代價并不算高，但它們卻可以幫助您切實增強AD基礎(chǔ)設(shè)施的安全性。
    步驟1. 遵循管理員方面的做法您可以通過將手工操作（例如，安裝域控制器）自動化的方法來增強AD的安全性，但是目前還沒有出現(xiàn)能夠?qū)⑷祟愋袨樽詣踊某绦蛟O(shè)計語言。因此，這就是您需要為管理員如何管理AD建立指南的原因。您需要確信您的管理員遵循了如下的做法：區(qū)分管理賬號（administrative accounts）的使用。區(qū) 分管理賬號的使用已經(jīng)成為許多組織的一個標準做法，但它仍然值得一提。如果管理員的機器不小心感染了病毒，那么潛在的威脅將會非常大，因為獲得管理權(quán)限 （right）后，病毒可運行程序或腳本。因此，對于日常操作，管理員應(yīng)使用非特權(quán)賬號（例如，用戶賬號）；對于和AD有關(guān)的操作，管理員應(yīng)使用一個獨立 的管理賬號。當您通過一個非管理賬號登錄后，您可以使用Runas命令這類工具以管理員的身份打開程序。如需了解有關(guān)如何使用Runas命令的信息，請參 閱Windows的幫助文件。
    確保管理員機器的安全性。雖然要求您的管理 員以非管理賬號登錄和使用Runas命令打開AD管理程序能夠帶來很多益處，但是如果運行這些工具的硬件系統(tǒng)不安全的話，您仍然處于危險之中。如果您不能 確保管理員機器的安全性，那么您需要建立一個獨立并且安全的管理員機器，并讓管理員使用終端服務(wù)來訪問它。為了確保該機器的安全，您可以將它放在一個特定 的組織單元中，并在組織單元上使用嚴格的組策略設(shè)置。您還需要注意機器的物理安全性。如果管理員的機器被盜，那么機器上的所有東西都將受到威脅。
    定期檢查管理組（administrative group）的成員。攻 擊者獲得更高特權(quán)（privilege）的手段之一就是將它們的賬號添加到AD的管理組當中，例如Domain Admins、Administrators或Enterprise Admins。因此，您需要密切關(guān)注AD管理組中的成員。遺憾的是AD不具備當某個組的成員發(fā)生改變時發(fā)送提示信息的內(nèi)建機制，但是編寫一個遍歷組成員的 腳本并使腳本每天至少運行一次并不復雜。在這些組上面啟用審核（Enabling Auditing）也是一個很好的主意，因為每次改變都會在事件日志中有一條對應(yīng)的記錄。
    限制可以訪問管理員賬號（Administrator account）密碼的人員。如 果某個攻擊者獲得了管理員賬號的密碼，他將獲得森林中的巨大特權(quán)，并且很難對他的操作進行跟蹤。因此，您通常不應(yīng)使用管理員賬號來執(zhí)行管理AD的任務(wù)。相 反，您應(yīng)該創(chuàng)建可替代的管理賬號（alternative administrative accounts），將這些賬號添加到Domain Admins或Enterprise Admins組中，然后再使用這些賬號來分別執(zhí)行每個管理功能。管理員賬號僅應(yīng)作為最后一個可選擇的手段。因為它的使用應(yīng)該受到嚴格的限制，同時知道管理 員密碼的用戶數(shù)量也應(yīng)受到限制。另外，由于任何管理員均可修改管理員賬號的密碼，您或許還需要對該賬號的所有登錄請求進行監(jiān)視。
    準備一個快速修改管理員賬號密碼的方法。即 使當您限制了可以訪問管理員賬號的人數(shù)，您仍然需要準備一個快速修改該賬號密碼的方法。每月對密碼進行一次修改是一個很好的方法，但是如果某個知道密碼 （或具有修改密碼權(quán)限）的管理員離開了組織，您需要迅速對密碼進行修改。該指南同樣適用于當您在升級域控制器時設(shè)置的目錄服務(wù)恢復模式 （Directory Service Restore Mode，以下簡稱DSRM）密碼和任何具有管理權(quán)力的服務(wù)賬號。DSRM密碼是以恢復模式啟動時用來進行登錄的密碼。您可以使用Windows Server 2003中的Ntdsutil命令行工具來修改這個密碼。
    當修改密碼時，您應(yīng)該使用盡量長的（超過20個字符）隨機密碼。對于管理員而言這種密碼很難記憶。設(shè)置完密碼后，您可將它交給某個管理人員，并由他來決定誰可以使用該密碼。
    準備一個快速禁用管理員賬號的方法。對于絕大多數(shù)使用AD的組織，的安全威脅來自于管理員，尤其是那些對雇主懷恨在心的前管理員。即使您和那些自愿或不自愿離開公司的管理員是好朋友，您仍然需要迅速禁用賬號上的管理訪問權(quán)限。
    步驟2. 遵循域控制器方面的做法在確信遵循了與管理員有關(guān)的做法后，我們將注意力轉(zhuǎn)移到域控制器（Domain Controller，以下簡稱DC）上面來，因為它們是許多AD實現(xiàn)中最容易受到攻擊的目標。如果某個攻擊者成功進入DC，那么整個森林將受到威脅。因 此，您需要遵循如下做法：確保DC的物理安全性。DC的物理安全性是 部署AD時需要考慮的最重要問題之一。如果某個攻擊者獲得了DC的物理訪問權(quán)，他將有可能對幾乎所有其它的安全措施進行破壞。當您將DC放置在數(shù)據(jù)中心 時，DC的安全性并不存在問題；當在分支機構(gòu)部署DC時，DC的物理安全性很可能存在問題。在分支機構(gòu)中，DC經(jīng)常存放在可以被非IT人員訪問的帶鎖房間 內(nèi)。在一些情況下，這種方式不可避免，但是不管情況如何，只有被充分信任的人員才能夠?qū)C進行訪問。
    自動化安裝的過程。通常自動化任務(wù)的執(zhí)行要 比手工執(zhí)行的安全性高。當安裝或升級DC時尤其如此。安裝和配置操作系統(tǒng)過程的自動化程度越高，DC的不確定因素就越少。當手工安裝服務(wù)器時，對每臺服務(wù) 器人們的操作均存在細微的差別。即使完整地記錄下所有過程，每臺服務(wù)器的配置仍然會有所區(qū)別。通過安裝和配置過程的自動化，您有理由確信所有DC均以同樣 的方式被配置并設(shè)置安全性。對于已經(jīng)安裝好的DC，您可以使用組策略這類工具來確保它們之間配置的一致性。
    迅速安裝重要的更新。在Windows NT時代，除非絕對需要，絕大多數(shù)管理員不會安裝熱修復程序（hotfix）或安全更新。更新經(jīng)常存在缺陷并會導致進一步的問題。今天，我們就沒有那么奢 侈了。幸運的是微軟提供的更新程序質(zhì)量有了很大提高。因為DC是非常顯眼的目標，所以您需要密切關(guān)注出現(xiàn)的每一個安全更新。您可以通過自動更新（Automatic Updates）迅速地對安全更新進行安裝，或者通過微軟的Software Update Services（SUS）在測試后有選擇地對其進行安裝。
    創(chuàng)建一個保留文件。在Windows Server 2003以前的操作系統(tǒng)中，如果用戶具備在某個容器中創(chuàng)建對象的權(quán)限，那么將無法限制用戶創(chuàng)建對象的數(shù)量。缺乏限制可以導致攻擊者不斷地創(chuàng)建對象以至耗盡 DC硬盤空間。您可以通過在每個DC的硬盤上創(chuàng)建一個10M至20M的保留文件，以便在某種程度上降低這類風險的發(fā)生。如果DC的空間用完了，您可以刪除 上述保留文件，并在找到解決方案前留下一些解決問題的空間。
    運行病毒掃描軟件。在DC上運行病毒掃描軟 件比在大多數(shù)服務(wù)器上運行該軟件更為迫切，因為DC間不僅要復制目錄信息，還要通過文件復制服務(wù)（File Replication Service，以下簡稱FRS）復制文件內(nèi)容。不幸的是FRS為病毒提供了在一組服務(wù)器之間進行傳播的簡單途徑。并且FRS通常還會對登錄腳本進行復 制，因此還會潛在地威脅到客戶端的安全。運行病毒掃描軟件可以大幅降低病毒復制到服務(wù)器和客戶端的威脅。