域控制器需要重視的五個安全建議
域控制器僅僅是一個控制器。它們控制身份驗證、可能還有授權和一些會計工作,同時且通常且還為你公司中用作Windows部件的所有事件掌控安全身份的生命周期。
就其本身而論,域控制器存在一些特別安全考慮。那么你如何為這方面評分呢?為了強化域控制器周圍的整個環境,請注意以下五個要點。
1. 限制物理訪問。
這是你可以為你的總體域控制器安全包提供的唯一最大緩解因素。這里的首要問題是,你的域控制器高于你的網絡上一切的中央安全機構,并且正如你所知,如果你具備對機器進行本地物理訪問的權利,那么就存在許多通過關閉硬盤來獲得信息權利的瑣碎方法。哈希算法自身提供了一個黑客所需的一切,以使其成為一個真實的、合法的可以通過驗證的用戶,且如果你控制了域控制器的磁盤,那么這些很容易做到。更不用說通過這些哈希算法來實現實際登錄以及修改登錄腳本的可能性,以及安裝復制到其它域控制器的惡意程序等。
如果你擁有物理的(非虛擬化的)域控制器,那么在你做任何事情之前,請買一個籠子和一個安全鎖并把它們置于其后。不要讓域控制器運行在管理服務臺之下,也不要讓你的數據中心成為一個沒有鎖的小盒子。它擁有公司的安全財富這個領域的鑰匙,所以要像你保護支票一樣保護它:置于鎖和鑰匙的保護下。
2. 從一開始就合理設計。
一個適當設計的活動目錄拓撲結構將會包含威脅,以至于即使是域控制器也會受到危害,但是你的整個森林網絡不必被摧毀和重建。請確保你的森林和域反映了你在不同的城市、區縣以及國家擁有的真實的、物理的位置;讓你的組織單元和你的公司里擁有的機器類型和人員相匹配;并且讓安全組代表你的組織結構圖的層次結構。那么,如果在一個森林中用于歐洲的域控制器受到了損害,你就不必重建用于亞洲的域控制器。
3. 虛擬化你的域控制器。
通過使用虛擬機作為你的域控制器,你就可以使用BitLocker或者其它的全驅動器加密產品對你的虛擬硬盤所在的磁盤進行加密。然后,請確保運行這些虛擬機的主機沒有加入這個域。如果由于某種原因有人偷走了你的主機和域控制器,那么對于一個在你的目錄中植入惡意文件的攻擊者來講,解密硬盤來獲得對虛擬硬盤的訪問的可能性會是另一個障礙。
4. 遵從安全信托的最佳做法。
正如安全專家所說的,了解你的范圍。這里存在一個很好的指南,用來理解信托以及其中關于TechNet的各種考慮。請仔細注意有選擇性的身份認證章節,它包含一個很好的防止隨機訪問攻擊的方法。
5. 保證目錄服務還原模式的密碼比其它任何密碼更安全。
目錄服務還原模式是一個特別的模式,當出現某些錯誤時,利用它來離線修復活動目錄。目錄服務還原模式密碼是一個特別的后門,它提供了對目錄的管理訪問。你是在一個離線的文本模式狀態下使用它。把它個密碼當作一個可以進入林的東西來保護它,因為它就是這樣。你也可以為Windows Server 2008下載一個hotfix,它將會使目錄服務還原密碼與域管理員賬號同步。或者,如果你已經安裝了Service Pack 2版本,那么你已經擁有了這個功能,僅僅使用如下命令即可:
ntdsutil "set dsrm password" "sync from domain account <DomainAdminAccount>" q q
總之,如果一個域控制器被竊取或者以其它方式讓你的公司財產處于一個未認證的狀態,那么你可以不再信任那個機器。但不幸的是,因為那個域控制器包含了關于你IT身份的所有有價值的東西以及密碼,所以最好的(也是最容易后悔和痛苦的)建議只能是毀滅該林并重建它。這就是最規范和積極主動的最佳做法,它構成了本文的第一點。
【編輯推薦】
