5个步骤增强活动目录的安全

Active Directory (AD)持有可以访问AD的重要密钥。如果AD的安全性不能得到适当的增强，就很容易被攻击。坦白说，增强AD的安全性并不简单，但是你确实可以通过一些基本的步骤来提高它的安全性。请注意，我这里说的是“基本”步骤。安全性是没有止境的，你总是可以找到提高安全性的方法，但是这些方法往往要付出相应的代价。这些成本可以表示为实际成本或灵活性或功能的损失。让我向你展示五个步骤。实施这些步骤的成本并不高，但它们可以帮助您增强AD基础架构的安全性。

第一步。遵循管理员的做法。可以通过自动化手动操作(比如安装域控制器)来增强AD的安全性，但是目前还没有可以自动化人类行为的编程语言。因此，这就是为什么您需要为管理员建立一个关于如何管理AD的指南。您需要确保您的管理员遵循了以下做法:区分管理帐户的使用。使用地区管理帐户已成为许多组织的标准做法，但仍值得一提。如果管理员的机器不小心感染了病毒，那么潜在的威胁会非常大，因为病毒在获得管理权限后就可以运行程序或脚本。因此，对于日常操作，管理员应该使用非特权帐户(例如，用户帐户)；对于与AD相关的操作，管理员应该使用独立的管理帐户。当您通过非管理帐户登录时，您可以使用Runas命令等工具以管理员身份打开该程序。有关如何使用Runas命令的信息，请参考Windows的帮助文件。

确保管理员机器的安全。虽然要求您的管理员以非管理帐户登录并使用Runas命令打开AD管理程序可以带来许多好处，但如果运行这些工具的硬件系统不安全，您仍然会有危险。如果不能保证管理员机器的安全，那么就需要设置一台独立安全的管理员机器，让管理员使用终端服务来访问。为了确保该机器的安全性，您可以将它放在特定的组织单位中，并在该组织单位上使用严格的组策略设置。你还需要注意机器的物理安全。如果管理员的机器被盗，机器上的一切都会受到威胁。

定期检查行政组成员。攻击者获取更高权限的手段之一就是将自己的账号加入AD的管理组，比如域管理员、管理员或者企业管理员。因此，你需要密切关注广告管理组的成员。遗憾的是，AD并没有内置在某个组成员发生变化时发送提示信息的机制，但编写一个遍历组成员的脚本，并使脚本每天至少运行一次，并不复杂。对这些组启用审计也是一个好主意，因为每个更改都会在事件日志中有相应的记录。

限制谁可以访问管理员帐户的密码。如果攻击者获得了管理员帐户的密码，他将在林中获得很大的特权，并且很难跟踪他的操作。因此，通常不应该使用管理员帐户来执行管理AD的任务。相反，您应该创建备用管理帐户，将它们添加到域管理员或企业管理员组，然后使用它们分别执行每个管理功能。管理员帐户只能作为最后的手段使用。因为它的使用要严格限制，知道管理员密码的用户数量也要限制。此外，由于任何管理员都可以更改管理员帐户的密码，您可能还需要监控该帐户的所有登录请求。

准备一个快速更改管理员帐户密码的方法。也就是说，当您限制可以访问管理员帐户的人数时，您仍然需要准备一种快速更改帐户密码的方法。每月更改一次密码是一个好方法，但如果知道密码(或有权限更改密码)的管理员离开了组织，您需要快速更改密码。本指南也适用于升级域控制器和任何具有管理权限的服务帐户时设置的目录服务恢复模式(DSRM)密码。DSRM密码是在恢复模式下启动时用于登录的密码。您可以使用Windows Server 2003中的Ntdsutil命令行工具来修改此密码。

修改密码时，应使用尽可能长的随机密码(超过20个字符)。管理员很难记住这种密码。设置密码后，您可以将其交给管理员，管理员将决定谁可以使用该密码。

准备一个快速禁用管理员帐户的方法。对于大多数使用AD的组织来说，安全威胁来自于管理员，尤其是那些对雇主怀恨在心的前管理员。即使你和那些自愿或非自愿离职的管理员是好朋友，你还是需要快速禁用你账号上的管理权限。

第二步。遵循域控制器的惯例。在确信我们已经遵循了与管理员相关的实践之后，我们将注意力转向域控制器(以下简称DC)，因为它们是许多AD实现中最易受攻击的目标。如果攻击者成功进入DC，整个森林都将受到威胁。因此，你需要遵循以下做法:确保DC的人身安全。DC的物理安全是部署AD时要考虑的最重要的问题之一。如果攻击者实际进入DC，他可能会破坏几乎所有其他的安全措施。当你把DC放在数据中心，DC的安全性没有问题；当DC部署在分支机构时，DC的物理安全可能会出现问题。在分支机构中，DC通常存储在上锁的房间中，非IT人员可以进入这些房间。在某些情况下，这种方法是不可避免的，但无论什么情况，只有完全信任的人员才能进入DC。

自动化安装过程。通常，自动化任务比手动任务更安全。安装或升级DC时尤其如此。安装和配置操作系统的过程越自动化，DC的不确定性就越小。手动安装服务器时，每台服务器的操作都有细微的差别。即使所有的过程都被完整的记录下来，每台服务器的配置还是会有所不同。通过自动化安装和配置过程，您有理由确保所有的DC都以相同的方式进行配置和保护。对于已安装的DC，您可以使用组策略等工具来确保其配置的一致性。

快速安装重要更新。在Windows NT时代，除非绝对必要，大多数管理员不会安装热补丁或安全更新。更新通常是有缺陷的，并可能导致进一步的问题。今天，我们没有那么奢侈。幸运的是，微软提供的更新质量已经大大提高。因为DC是一个非常显眼的目标，所以您需要密切关注出现的每个安全更新。您可以通过自动更新快速安装安全更新，或者通过微软的软件更新服务(SUS)测试后有选择地安装。

创建一个保留文件。在Windows Server 2003之前的操作系统中，如果用户拥有在容器中创建对象的权限，则用户创建的对象数量是无法限制的。缺乏限制会导致攻击者不断创建对象，甚至耗尽DC硬盘空。你可以在每个DC的硬盘上创建一个10M-20M的预留文件，在一定程度上降低这种风险。如果DC的空房间用光了，可以删除上面提到的保留文件，留一些空房间解决问题再想办法。

运行病毒扫描软件。在DC上运行病毒扫描软件比在大多数服务器上更为迫切，因为不仅目录信息而且文件内容都要通过文件复制服务(FRS)在DC之间进行复制。不幸的是，FRS为病毒在一组服务器之间传播提供了一个简单的途径。此外，FRS通常会复制登录脚本，因此也会潜在地威胁客户端的安全。运行病毒扫描软件可以大大降低病毒复制对服务器和客户端的威胁。