如何增強活動目錄安全性的五個步驟
讓AD更安全!是的,每個管理員都希望如此,但是要盡可能高地實現這個目標,您還是需要花上一點力氣的,本文通過五個步驟,幫您理解如何來切實增強AD基礎設施的安全。
活動目錄(AD)中保存著能夠對AD進行訪問的重要密鑰,如果不能恰當地增強AD的安全性,那么它很容易受到攻擊。坦率地講,增強AD的安全性并不簡單,但是通過一些基本的步驟,您確實可以提高它的安全性。請注意我這里所說的是“基本”步驟。安全無止境,您總是可以找到提高安全性的方法,但是這些方法往往需要付出相應的代價。這些代價可表現為實際的花費,或者靈活性或功能性方面的損失。讓我在這里向您展示5個步驟,實施這些步驟的代價并不算高,但它們卻可以幫助您切實增強AD基礎設施的安全性。
步驟1. 遵循管理員方面的最佳做法
您可以通過將手工操作(例如,安裝域控制器)自動化的方法來增強AD的安全性,但是目前還沒有出現能夠將人類行為自動化的程序設計語言。因此,這就是您需要為管理員如何管理AD建立指南的原因。您需要確信您的管理員遵循了如下的最佳做法:
區分管理賬號(administrative accounts)的使用。區分管理賬號的使用已經成為許多組織的一個標準做法,但它仍然值得一提。如果管理員的機器不小心感染了病毒,那么潛在的威脅將會非常大,因為獲得管理權限(right)后,病毒可運行程序或腳本。因此,對于日常操作,管理員應使用非特權賬號(例如,用戶賬號);對于和AD有關的操作,管理員應使用一個獨立的管理賬號。當您通過一個非管理賬號登錄后,您可以使用Runas命令這類工具以管理員的身份打開程序。如需了解有關如何使用Runas命令的信息,請參閱Windows的幫助文件。
確保管理員機器的安全性。雖然要求您的管理員以非管理賬號登錄和使用Runas命令打開AD管理程序能夠帶來很多益處,但是如果運行這些工具的硬件系統不安全的話,您仍然處于危險之中。如果您不能確保管理員機器的安全性,那么您需要建立一個獨立并且安全的管理員機器,并讓管理員使用終端服務來訪問它。為了確保該機器的安全,您可以將它放在一個特定的組織單元中,并在組織單元上使用嚴格的組策略設置。您還需要注意機器的物理安全性。如果管理員的機器被盜,那么機器上的所有東西都將受到威脅。
定期檢查管理組(administrative group)的成員。攻擊者獲得更高特權(privilege)的手段之一就是將它們的賬號添加到AD的管理組當中,例如Domain Admins、Administrators或Enterprise Admins。因此,您需要密切關注AD管理組中的成員。遺憾的是AD不具備當某個組的成員發生改變時發送提示信息的內建機制,但是編寫一個遍歷組成員的腳本并使腳本每天至少運行一次并不復雜。在這些組上面啟用審核(Enabling Auditing)也是一個很好的主意,因為每次改變都會在事件日志中有一條對應的記錄。
限制可以訪問管理員賬號(Administrator account)密碼的人員。如果某個攻擊者獲得了管理員賬號的密碼,他將獲得森林中的巨大特權,并且很難對他的操作進行跟蹤。因此,您通常不應使用管理員賬號來執行管理AD的任務。相反,您應該創建可替代的管理賬號(alternative administrative accounts),將這些賬號添加到Domain Admins或Enterprise Admins組中,然后再使用這些賬號來分別執行每個管理功能。管理員賬號僅應作為最后一個可選擇的手段。因為它的使用應該受到嚴格的限制,同時知道管理員密碼的用戶數量也應受到限制。另外,由于任何管理員均可修改管理員賬號的密碼,您或許還需要對該賬號的所有登錄請求進行監視。
準備一個快速修改管理員賬號密碼的方法。即使當您限制了可以訪問管理員賬號的人數,您仍然需要準備一個快速修改該賬號密碼的方法。每月對密碼進行一次修改是一個很好的方法,但是如果某個知道密碼(或具有修改密碼權限)的管理員離開了組織,您需要迅速對密碼進行修改。該指南同樣適用于當您在升級域控制器時設置的目錄服務恢復模式(Directory Service Restore Mode,以下簡稱DSRM)密碼和任何具有管理權力的服務賬號。DSRM密碼是以恢復模式啟動時用來進行登錄的密碼。您可以使用Windows Server 2003中的Ntdsutil命令行工具來修改這個密碼。
當修改密碼時,您應該使用盡量長的(超過20個字符)隨機密碼。對于管理員而言這種密碼很難記憶。設置完密碼后,您可將它交給某個管理人員,并由他來決定誰可以使用該密碼。
準備一個快速禁用管理員賬號的方法。對于絕大多數使用AD的組織,最大的安全威脅來自于管理員,尤其是那些對雇主懷恨在心的前管理員。即使您和那些自愿或不自愿離開公司的管理員是好朋友,您仍然需要迅速禁用賬號上的管理訪問權限。
步驟2. 遵循域控制器方面的最佳做法
在確信遵循了與管理員有關的最佳做法后,我們將注意力轉移到域控制器(Domain Controller,以下簡稱DC)上面來,因為它們是許多AD實現中最容易受到攻擊的目標。如果某個攻擊者成功進入DC,那么整個森林將受到威脅。因此,您需要遵循如下最佳做法:
確保DC的物理安全性。DC的物理安全性是部署AD時需要考慮的最重要問題之一。如果某個攻擊者獲得了DC的物理訪問權,他將有可能對幾乎所有其它的安全措施進行破壞。當您將DC放置在數據中心時,DC的安全性并不存在問題;當在分支機構部署DC時,DC的物理安全性很可能存在問題。在分支機構中,DC經常存放在可以被非IT人員訪問的帶鎖房間內。在一些情況下,這種方式不可避免,但是不管情況如何,只有被充分信任的人員才能夠對DC進行訪問。
自動化安裝的過程。通常自動化任務的執行要比手工執行的安全性高。當安裝或升級DC時尤其如此。安裝和配置操作系統過程的自動化程度越高,DC的不確定因素就越少。當手工安裝服務器時,對每臺服務器人們的操作均存在細微的差別。即使完整地記錄下所有過程,每臺服務器的配置仍然會有所區別。通過安裝和配置過程的自動化,您有理由確信所有DC均以同樣的方式被配置并設置安全性。對于已經安裝好的DC,您可以使用組策略這類工具來確保它們之間配置的一致性。
迅速安裝重要的更新。在Windows NT時代,除非絕對需要,絕大多數管理員不會安裝熱修復程序(hotfix)或安全更新。更新經常存在缺陷并會導致進一步的問題。今天,我們就沒有那么奢侈了。幸運的是微軟提供的更新程序質量有了很大提高。因為DC是非常顯眼的目標,所以您需要密切關注出現的每一個安全更新。您可以通過訪問地址http://www.microsoft.com/security/bulletins/alerts.mspx來訂閱并收到有關最新安全更新的Email通知。您可以通過自動更新(Automatic Updates)迅速地對安全更新進行安裝,或者通過微軟的Software Update Services(SUS)在測試后有選擇地對其進行安裝。
創建一個保留文件。在Windows Server 2003以前的操作系統中,如果用戶具備在某個容器中創建對象的權限,那么將無法限制用戶創建對象的數量。缺乏限制可以導致攻擊者不斷地創建對象以至耗盡DC硬盤空間。您可以通過在每個DC的硬盤上創建一個10M至20M的保留文件,以便在某種程度上降低這類風險的發生。如果DC的空間用完了,您可以刪除上述保留文件,并在找到解決方案前留下一些解決問題的空間。
運行病毒掃描軟件。在DC上運行病毒掃描軟件比在大多數服務器上運行該軟件更為迫切,因為DC間不僅要復制目錄信息,還要通過文件復制服務(File Replication Service,以下簡稱FRS)復制文件內容。不幸的是FRS為病毒提供了在一組服務器之間進行傳播的簡單途徑。并且FRS通常還會對登錄腳本進行復制,因此還會潛在地威脅到客戶端的安全。運行病毒掃描軟件可以大幅降低病毒復制到服務器和客戶端的威脅。#p#
步驟3. 遵循委派方面的最佳做法
錯誤地對保護AD內容的訪問控制列表(ACL)進行配置將會使AD易于受到攻擊。此外,如果委派實施得越復雜,那么AD的維護和問題解決工作就越難。因此我喜歡應用簡潔的設計哲學。委派實施得越簡單,您的麻煩就會越少,在安全方面尤為如此。事實上,上述哲學同樣適用于AD的設計,在附文“設計決定安全”中將進行詳細討論。為了保持委派的簡潔,我強烈建議您閱讀“Best Practices for Delegating Active Directory Administration”一文(http://tinyurl.com/vzlg)。
不要將權限分配給用戶賬號。進行委派的基本原則之一就是除非有充分的理由,否則始終將權限分配給組而不是用戶。當某個被您分配權限的用戶離開公司或工作職能發生改變而再不需要某些訪問權限時,您需要執行哪些操作?找到某個賬號被賦予的權限,取消這些權限,然后再將它們賦予另外一個用戶,要比將舊賬號從某個組中刪掉,再將一個新賬號加入到該組中的工作量大得多。即使您認為賦予特定用戶的權限永遠不會被賦予其他用戶,我還是建議您創建一個組,將用戶加入到這個組中,然后再將權限分配給這個組。
不要將權限分配給單獨的對象。當您直接將權限分配給單獨的對象時(例如一個用戶或一個組對象),事情將會變得復雜起來。上述權限需要更多的維護,并且很容易在隨后被忽視。為了避免問題的發生,您應該將權限盡量多地分配給組織單元或容器。
記錄下使用的模型。在進行權限委派時,您需要完成的重要工作之一就是記錄下使用的模型。您是否建立了一個基于角色的模型?請求訪問權限的過程是什么?模型是否具有特例?所有這些重要問題都應該被記錄,它不僅會使維護工作變得簡單,而且將確保每個人都清楚權限應該如何被分配,并可以識別出沒有按照模型進行分配的權限(它將使AD易于受到攻擊)。記錄模型的文檔格式并不重要,但應能夠方便管理員查找。
熟悉Dsrevoke的使用。您可通過Active Directory用戶和計算機程序來運行控制委派向導Delegation
步驟4. 監視并審核您的AD
因為AD包含許多組件,所以確定何時有人對系統進行破壞比較困難。目前您僅能夠遵循上述提到的最佳做法,但是您如何知道有人正在偷偷溜進您的系統呢?答案是監視和審核。
您至少需要監視DC的可用性(availability)。您也許已經在進行主機可用性的監視了,并用它來確保AD基礎設施的可用性。但是從安全的角度而言,知道DC何時非正常停機更為重要,這樣您就可以立即對原因進行相應的分析。也許遠程站點的一臺DC被盜或某個黑客取得了物理訪問權并且正在關閉機器以便安裝一個木馬程序!
除了監視DC的可用性,您還可以使用性能監視器對許多AD的度量(measure)進行監視,這些度量包括輕量目錄訪問協議(Lightweight Directory Access Protocol,以下簡稱LDAP)查詢的次數和復制數據的數量等內容。您可以為每個感興趣的計數器設定一個閥值,然后對它們進行監視。如果您注意到,例如每秒鐘LDAP查詢請求次數或身份驗證請求次數在一段時間內明顯上升,這也許就是某種攻擊的一個提示信息。為了獲取更廣泛的監視(甚至是警告)信息,您可以使用Microsoft Operation Manager這類工具。
Windows操作系統和AD提供的審核功能允許您將某些事件記錄到安全事件日志中。您可以記錄從操作系統配置更新到AD內部修改等任何事件。但是在啟用審核時您需要謹慎考慮。如果審核的對象過多,那么安全日志中將會充斥過多的信息以至于很難找到您所需要的內容。為了獲取審核對象方面的指導,請參閱“Best Practice Guide for Securing Active Directory Installations”一文(http://tinyurl.com/3c928)。
步驟5. 做最壞打算
也許安全規劃最重要的方面就是建立一個如何應對成功攻擊的預案。實施上述最佳做法并不能絕對確保安全。您也許已經建立起一個非常安全的AD基礎設施,但是如果攻擊者進行一次從未見過的AD攻擊,您也許就會束手無策,因為您對它還不了解。這就是為什么做最壞打算顯得如此重要的原因。如果您發現正處在這種情形下,您已經知道該如何應對了。如果您發現整個森林均受到威脅并且需要進行一次徹底的恢復,您將會因為事先考慮過這個過程而節省下寶貴的時間。
在本文中我們討論了提高AD安全性的一些基本步驟,而且實施這些步驟的代價也很低。雖然討論的內容僅僅涉及一些皮毛,但是如果您遵循上述步驟,您的AD將會變得更加安全。
設計決定安全
病毒、蠕蟲、垃圾郵件以及拒絕服務攻擊是互聯網用戶每天都需要面對的安全威脅。互聯網之所以很容易受到攻擊,是因為當初設計它的時候并沒有考慮到安全性。它被設計成了一個開放的系統,并鼓勵用戶自由地交流和交換思想。互聯網的建立者從未想到某一天它會取得商業上的巨大成功。從此互聯網社群一直在設法增強一個不安全設計的安全性。
上述例子說明了某項技術的實現將最終決定如何來增強它的安全性,AD也不例外。如果您設計了一個開放的委派模型并將用戶不需要的訪問權限也分配給他們,或者您將域控制器部署到不安全的位置,那么您將需要花費很多時間用來增強整個實現的安全性。
我喜歡應用簡潔的設計哲學。AD設計得越簡單,您的麻煩就會越少,在安全性方面尤為如此。復雜的設計往往導致更多需要管理的內容,接下來就是對更多的內容進行安全方面的增強。我喜歡應用的一個基本原則就是“越少越好”。域越少,域控制器就越少。域控制器越少,管理員就越少。組織單元越少,需要委派的對象就越少。
【編輯推薦】
