活動目錄即AD的管理與安全對于企業(yè)組織來說至關重要，下面是一份調(diào)查結(jié)果的演示、分析以及討論。

本文展示了NetIQ主辦的活動目錄管理與安全的調(diào)查結(jié)果。活動目錄（以下簡稱AD）管理與安全的調(diào)查，于2009年7月執(zhí)行。這份研究提供了AD的管理與實施所面臨的安全挑戰(zhàn)方面的見解，檢查企業(yè)IT組織中的AD的權屬部門，表明企業(yè)安全組織對AD日益增長的影響。

調(diào)查概覽

2009 NetIQ AD管理與安全調(diào)查由一個總的統(tǒng)計學問題和九個多項選擇題目組成：六個問題允許單項答案，三個問題允許多項答案。這些問題是由NetIQ在微軟AD方面的領先專家的幫助和監(jiān)督下選定的。 調(diào)查的受訪者包括277位唯一參與者，代表不同行業(yè)，包括但不限于教育、健康、金融和銀行、政府以及制造業(yè)。

主要內(nèi)容

本文分為兩個主要部分：一份關于調(diào)研結(jié)果的演示和分析；一份關于為何企業(yè)必須有能力成功并安全地管理、實施AD環(huán)境的討論。

這一調(diào)查結(jié)果和報告，分節(jié)闡明了對這些調(diào)研問題的應答。結(jié)果分為如下幾個部分：

管理與實施AD： 檢查分配給AD管理者的資源；這些團隊達到業(yè)務需求的能力；用于實施、管理和保證AD安全的工具。

AD的挑戰(zhàn)：企業(yè)深刻地體驗到AD的實施、管理和安全方面的困擾與痛處，對此十分關注。

AD中的權限及影響： 判定并檢查組織中在AD管理、實施和安全職責方面的委派。

文章的末尾對組織如何更有效地管理AD環(huán)境的實施和安全性提出了建議。此外，這個部分闡述了NetIQ怎樣幫助企業(yè)的IT組織更好地交付符合業(yè)務目標的安全的AD服務。

調(diào)查參與者人員組成情況

AD已日益成為各種規(guī)模的組織中事實上的標準目錄服務。為了保證我們的調(diào)查的答案與企業(yè)相關，因此只篩選出企業(yè)組織中的答題者。這樣，調(diào)查結(jié)果有277份有效的答卷 - 圖1顯示出答題者所處的組織的規(guī)模構成情況。

調(diào)查結(jié)果和報告：

AD的管理與實施

AD從IT組織中的一種支持技術已經(jīng)發(fā)展成為一種核心服務，它驅(qū)動著一個實體中的人和他們的設備的關鍵的信息。此章關注于企業(yè)如何分配資源幫助保證AD的成功管理、實施和安全。

為了確定組織中管理AD可用資源的基線，調(diào)查參與者被問到他們的組織中被分配的AD實施、管理和安全方面的人員數(shù)量。如圖2所示，70%的受訪者回答他們有10人或者更少的人員專門負責AD系統(tǒng)的維護和實施的安全。這與行業(yè)的總體的標準是一致的；而且，由于當前多數(shù)企業(yè)面臨的經(jīng)濟壓力，想要在近期改變這樣的現(xiàn)狀似乎不大可能：縮減的開支不可避免地會導致IT組織中更少的可用資源。AD看來也不例外。

當被問及用什么工具來利用這些有限的資源來保證AD生產(chǎn)環(huán)境的實施、管理和安全時（見圖3），幾乎所有的受訪者（96%）說他們信賴微軟自身的工具。已有很好的證明，用自身工具管理AD是比較困難的，特別是擴展全面的域管理員特權的需求，不出意料的，幾乎半數(shù)以上的受訪者也相信第三方商業(yè)工具可以提升AD的管理和安全。接近四分之一的受訪者同樣相信自己開發(fā)的或開源的/免費的工具軟件。

在此次調(diào)查中，稍后將能夠看到，AD團隊變更的壓力，特別是AD成為大的身份與訪問管理（IAM）程序的一部分時，將會要求更為嚴格的安全控制和更好的性能以降低內(nèi)部攻擊的風險。這將因此不可避免地意味著對第三方商業(yè)工具的依賴日益增長，因為較之微軟自身的及自己開發(fā)的解決方案，這些第三方的商業(yè)工具能夠提供更為全面的安全和管理功能。

由于組織分配給AD實施、管理和安全方面的有限的資源，用自帶的管理工具與生俱來的諸多問題，因此有40%的受訪者指出他們非常努力地試圖追趕業(yè)務需求的腳步（圖4）。

AD 的權屬及影響

下面這套問題檢查過去三年內(nèi)AD的歸屬部門、影響和責任方面的發(fā)展。

日常AD管理的歸屬歷史性地落到了信息技術部門；受訪者證實了這一點（見圖8）。但是過去的3年已經(jīng)發(fā)生了一些變化，因為企業(yè)的IT組織已經(jīng)非常成熟，規(guī)則已經(jīng)從數(shù)量和范圍上都有了增長。

接近一半的IT組織越來越受到信息安全組織的影響。難怪他們最關心的基本上是基礎的安全問題---推行策略、通過盡可能減少特權用戶及訪問來減少風險。由于更多的企業(yè)組織發(fā)現(xiàn)他們自己由于安全缺陷而被作為新聞報導，傳統(tǒng)的AD管理者正被賦予任務，通過安全團隊和他們開發(fā)的安全策略，同時改進關鍵業(yè)務數(shù)據(jù)在AD中的存儲。

倘若有預算緊縮和增加業(yè)務的要求，企業(yè)的IT組織便會有興趣最大化他們現(xiàn)有投資的功能。擴展AD的能力、實現(xiàn)AD標準化、以AD為中心是所有企業(yè)組織可以實現(xiàn)讓AD成為關鍵業(yè)務信息的首要存儲褲。難怪76%的訪者表明，AD通過信息安全組織的日益提高的影響的引導，在他們的組織中成為信息與逐步形成的IAM策略中起著重要乃至關鍵的作用（參閱圖10）。

安全對AD有著關鍵的影響

當活躍的目錄仍然被主要由IT 組織承認時，安全對活躍的目錄的管理和行政的影響已經(jīng)猛烈改變。 這變化影響s IAM 策略的積極的人名錄在任何安全策略和企業(yè)的最關鍵的元素之一方面上演'的作用。

當AD仍然主要由IT組織掌管時，安全對AD實行和管理的影響發(fā)生著劇烈的改變。這一變化影響著AD在企業(yè)的安全策略和IAM策略中成為最關鍵要素之一。

由于被委以保護最有價值的業(yè)務資源的任務，安全組織認識到AD的強大能力。他們也看到了AD中如果缺少控制而與生俱來的風險。由于多數(shù)企業(yè)組織運用AD作為他們的IAM策略的關鍵組件之一，指導AD實施的策略將繼續(xù)進一步確定并受到安全組織的影響。

行業(yè)最佳實踐要求AD成為更廣泛的安全策略中的中心要素，特別是它適合管理特權用戶以降低防范內(nèi)部攻擊和數(shù)據(jù)破壞的風險。安全組織應該，也因此持續(xù)地努力著，去縮小（如果無法去除）AD作為一個脆弱的單點應用與其作為更強大的保證業(yè)務安全的方案：IAM中一個安全的核心組件這兩者之間的距離。

有效的AD管理與安全的需求

對任何企業(yè)的IT組織來說，由于肩負著支持業(yè)務不斷發(fā)展的要求的任務，安全、有效、高效的AD實施都是非常重要的。它一直是企業(yè)IT架構中最關鍵的要素之一---由于有限的自帶的控制given the limited nature of native controls ---它也是最為脆弱的環(huán)節(jié)之一。當業(yè)務運營成本降低、效率要求急迫，他們不再是對日常AD管理負責的企業(yè)IT組織唯一的驅(qū)動力。

這個調(diào)查結(jié)果清晰地展示了當AD團隊仍然堅定地作為大的IT運營團隊中的一部分運營時，他們現(xiàn)在已漸漸被視為推行安全與法規(guī)遵從的一線部門。

這顯示出一個危險的趨勢。由于團隊在檢測基礎的安全與合規(guī)要素存在的潛在重要變更方面表現(xiàn)出很少的信心，破壞，特別是由內(nèi)部引起的破壞的風險，將持續(xù)增長。更糟糕的是，這種基本的安全的缺乏，將在組織基于現(xiàn)在的AD架構開始實施更廣泛的IAM方案時更為嚴重。

保護數(shù)據(jù)、使系統(tǒng)可用性最大化，并且保證和證明合規(guī)是各個IT組織都很關鍵的驅(qū)動力。保證最有價值的業(yè)務資產(chǎn)的安全必須達到一個領先的水平，企業(yè)的IT組織現(xiàn)在必須要識別、最小化、定位出弱點與威脅。

#p#

結(jié)論和建議

擔負著安全有效地支持發(fā)展的業(yè)務要求的任務，企業(yè)的IT組織應該采取前瞻性的方法來應用AD。要保持組織級和行業(yè)級的合規(guī)，這是唯一的方法，能夠幫助保證關鍵和敏感的業(yè)務信息以一種支持業(yè)務的方式存儲—以便減輕在一個不確定的商業(yè)環(huán)境中的風險。

要前瞻性地、安全地實施AD，NetIQ建議：企業(yè)IT組織采用能夠改進AD安全的第三方的解決方案。這些管理AD的先進的手段幫助企業(yè)IT組織通過推行策略、最小化特權用戶、控制未經(jīng)許可的變更（無論是蓄意的還是無意的），來滿足增長的安全及行業(yè)的要求。

為了幫助組織更有效地實現(xiàn)AD的安全，同時控制保證合規(guī)的成本并最終達到更大的業(yè)務目標的要求，NetIQ具有如下的關鍵功能和好處：

檢測及審計AD變更---NetIQ的AD管理解決方案提供對AD做出的變更的實時檢測和確認，允許企業(yè)決定變更是否可以被批準。通過個性化的設置，報警可以被升級，操作可以被記錄下來并報告出來，以前瞻性地定位到無意的變更。

特權的安全委派--- NetIQ解決方案提供基于規(guī)則的和基于視圖的兩種方式的特權委派，使得管理員管理訪問權限非常容易。這幫助用戶實現(xiàn)一套受限制的任務，以他們的許可權限為基礎，實現(xiàn)用戶自助服務，這樣減少了幫助臺和其他人力管理的工作量。

報告授權情況及安全配置---利用NetIQ AD管理解決方案，企業(yè)能夠做出詳細的報告，說明哪些雇員可以做出影響業(yè)務的變更，有效地減少不必要的由管理員用超級用戶特權做的工作。

自動化AD中的IT流程 運用NetIQ Aegis中強大的自動化能力以及NetIQ DRA軟件，企業(yè)能夠自動化執(zhí)行AD中常規(guī)的操作任務。這幫助組織最小化管理員錯誤的機會，大大提升了數(shù)據(jù)完整性，并使數(shù)據(jù)污染的可能減至最低。運用這一前瞻性方法實現(xiàn)AD安全實施的企業(yè)IT組織將有能力持續(xù)地、有效節(jié)省成本地達到不斷發(fā)展的業(yè)務的要求。這些特性也將幫助企業(yè)IT組織保證行業(yè)及業(yè)務合規(guī)所要求的安全的AD環(huán)境。

資源的限制和業(yè)務需求帶來挑戰(zhàn)

當來自經(jīng)濟方面的挑戰(zhàn)要求技術能夠支持動態(tài)的業(yè)務環(huán)境時，最突出的不滿來自于對業(yè)務需求的無能為力。當組織運用微軟自帶的工具來保護企業(yè)中最具價值的業(yè)務信息庫：AD的時候，他們唯一無法忍受的是依賴微軟自帶工具時所帶來的額外的風險。

上述反饋很顯然地告訴我們，相較于更廣泛的IT基礎設施的管理組織的規(guī)模而言，AD團隊還停留在很小的規(guī)模，特別是企業(yè)中的組織。這些小團隊艱苦地努力，以便保持與業(yè)務的不斷變化相一致的腳步，因此可能被迫陷入日益被動的境地。這樣最終將會投入更多在更具戰(zhàn)略性的程序上，這些程序能保證更好的AD的全面安全性，并會將這一至關重要的技術更好地定位，以達到業(yè)務不斷變更的要求-----這我們將在下一章看到。

AD面臨的挑戰(zhàn)

下一組調(diào)查問題試圖解答這樣的疑問，那就是這些與微軟自帶工具相關的資源的限制和約束在哪里影響著AD的安全管理和實施。調(diào)查受訪者被問及管理和實施安全的AD環(huán)境的策略及業(yè)務上的挑戰(zhàn)。

企業(yè)IT組織及其在AD方面的人員在努力地追趕業(yè)務需求的腳步，理所當然地，IT組織也在為保持一個安全的包含用戶身份和業(yè)務資產(chǎn)等企業(yè)關鍵業(yè)務信息的存儲環(huán)境而努力。如圖5所示，超過一半的答題者舉例說明他們在管理安全的AD環(huán)境時的巨大挑戰(zhàn)，來自于以可控的方法管理組策略以及維護合適的用戶許可方面。簡言之，調(diào)查受訪者最擔憂的是那些本不該有權訪問關鍵業(yè)務和敏感信息的用戶所做出的未經(jīng)許可的變更的威脅。

限制用戶訪問，控制變更，是來自業(yè)務需求的重要反響。當被問及AD與業(yè)務相關的安全問題方面他們最擔憂的是什么時，52%的答題者舉出推行時的策略，42%的答題者舉出不能達到合規(guī)的要求（圖6）。

企業(yè)的組織現(xiàn)在強烈地意識到了風險的存在，并且在驅(qū)動著IT遵從政策，保證合規(guī)；他們最終將如何保證他們的關鍵資產(chǎn)在多變的業(yè)務環(huán)境下的安全。

AD的變更以及管理變更是企業(yè)的組織首要關注的；然而，相當多的受訪者指出他們對于他們能否快速檢測到未經(jīng)許可的變更并不是很自信。如圖7所示，少于四分之一的受訪者指出他們能夠快速發(fā)現(xiàn)未經(jīng)許可的特權升級、組策略更改，或者組成員變化。未經(jīng)許可的變更---恰恰是讓受訪者擔憂的---也是他們對于自己的檢測能力缺乏自信的原因。如果未經(jīng)許可的變更不能被發(fā)現(xiàn)，那么這些變更---蓄意的或偶然的---將會有可能導致嚴重的風險和業(yè)務信息的暴露，這是企業(yè)絕對難以承受的。

策略與變更管理是關鍵

在此文章我們看到，AD管理團隊中最主要關注點在維護策略與合規(guī)方面。控制用戶許可和訪問權限被特別突出地予以關注，因為一個有很高權限的用戶可以執(zhí)行那些能導致業(yè)務暴露于嚴重風險之下的變更。

由于主要的防范內(nèi)部攻擊的手段是有效的管理部署在組策略中的許可，所以保證這些控制一直都在并與企業(yè)的風險管理和安全策略相一致是最起碼的要求。

然而，說到要能夠迅速地發(fā)現(xiàn)對這些安全指標的任何變更，就不那么有信心了。

如果業(yè)務不能即時地檢測到組策略和用戶許可的變更，那么嚴重的破壞（特別是蓄意的、有訓練并了解內(nèi)情的人發(fā)起的破壞）的風險將會極端嚴重。

理想的組策略管理方案既要保證簡易的、順暢的管理，也要將變更檢測與其他安全事件管理方案相集成，例如安全信息與事件管理（SIEM）技術。沒有這樣的能力的話，對組策略的變更便會一直處于無法被檢測到的狀態(tài)，并會始終在用戶操作和訪問安全方面有關鍵的潛在危險。

簡言之，在AD團隊的安全目標與推行這些目標的能力之間，是存在著潛在的危險斷層的。

NetIQ調(diào)查之如何保障微軟AD安全的內(nèi)容的詳述希望能夠?qū)ψx者有所幫助。

【編輯推薦】

1. 兩臺域控制器如何實現(xiàn)AD遷移？
2. Active Directory遷移工具ADMT
3. 升級和卸載域AD：實現(xiàn)域網(wǎng)絡管理一
4. 升級和卸載域AD：實現(xiàn)域網(wǎng)絡管理二
5. 用ADSI實現(xiàn)自動化的活動目錄操作方法