电脑技术学习

活动目录的基本安全问题

dn001


介绍
旧的说法"网络就是系统"在Windows 2000分布式服务下变成一种现实。一个单个的登陆提供了到整个Windows 2000网络的应用及资源的访问。
最初,这可能是一种安全管理恶梦,但是如果Windows 2000正确应用的话,它能提供一个集中化的安全平台,带有许多加强的安全特性。Kerberos和PKI(公钥基础结构)提供了网络安全机会,MMC(微软管理控制台)和加强的组策略简单化了管理,提供了灵活的系统控制和应用访问。
如果你目前有一个NT4.0环境,有大量的服务器和域,升级到Windows 2000平台需要仔细地规划和实施。
树林和域
活动目录是定位在Windows 2000安全子系统核心的目录服务,提供了管理网络资源的结构和功能。活动目录数据库包含了关于网络对象的信息,对象包括网络站点、域、服务器、工作站、打印机、组和用户。这些对象放置在有相关选定用户组的域中,这些域变成对象的管理和安全边界。管理的特权并不延伸到其它域,每一个域有它自己对象的安全策略。每一个域也有对相邻域的安全策略。
树林由一个分级结构的域组成,这个结构开始的那个域叫作树林的根域,域在格式上与家族树相同,如子域、父域、祖父域等等。一个树林包含了一个或多个的树。
默认情况下,任何子域与父域都有一个双向信任的关系,它扩展到树林中的所有其它的域,称为可传递信任。当一个域的验证授权验证一个用户或应用时,所有其它的域接受这个验证,因为它是一个双向信任的关系。在一个信任域里对资源的访问受到每一个域的访问控制的限制,一个域基本上是一个安全边界。
信任关系可以存在于一个Windows 2000域和一个基于Unix MIT的领域,对域中的资源提供网络访问。一个Windows 2000域控制器可以验证一个基本UNIX MIT领域的客户去提供网络访问。
信任关系可以在使用高级服务器的康柏 VMS系统的域间建立,使用高级服务器的康柏 VMS系统也可以成为本地活动目录的一个成员服务器。
当活动目录被安装的时候,第一个创建的域将成为树林的根域,在为树林域选择一个命名时应该仔细考虑,因为一旦命名它就不能改变。另外,在一个树林根域中所有域控制器的灾难损失事件中,你仅能从备份中恢复树林的根域。通过重新安装去恢复树林根域是不可能的。重新安装它意味着所有的树林将被清空重建。
企业管理组和规划管理组仅存在于树林的根域中,它们是对树林的核心的管理和安全组,具有无限制的权力。一旦树林被建立,访问将被限制。
备份活动目录也包括备份系统状态数据文件。
系统状态数据文件包括:
·活动目录
·验证服务数据库(如果有验证服务器)
·分级注册(关于组件服务的数据库信息)
·群集服务(如果安装)
·性能计数器配置
·注册表
·Sysvol目录(包含组策略模板和登陆脚本的共享文件夹)
·系统开始文件
系统状态数据备份可以执行常规备份,注意的是活动目录目前并不支持增量备份,仅可能从全备份中恢复。你不能从超过60天以上的备份中恢复,因为这是一个墓碑生命时间,60天是域控制器保持跟踪删除对象的时间长度。

有两种类型的恢复,非授权和授权。非授权是活动目录恢复到备份时的状态,在恢复后,目录执行连续的检查和维护,然后从其它域控制器上更新活动目录和文件复制服务(FRS)。

在一个非授权恢复发生后,一个授权恢复可能执行。在一个域中多个域控制器允许对数据库中标记为更新的特定信息进行授权恢复,在数据库中每一个对象用版本号来标记,有最高版本号的域控制器将更新数据库。这样允许活动恢复到一个已知的状态。

域控制器包含用于域验证的用户私钥的拷贝,在域控制器的恢复后Syskey能用来重新创建私钥,Syskey是一种微软加密工具,它使用128位随意Key,对所有私钥提供加密。这个Key可以保存在域控制器的注册表里或是软盘中,微软推荐为保证最大的安全性将它存在软盘中。

本机模式

当你安装活动目录创建第一个域时,活动目录运行在默认的混合模式,这允许对运行NT4.0或Windows 2000域控制器的支持,当你规划许可的时候,允许你升级域控制器到Windows 2000。

当运行在混合模式时,活动目录是限制了对NT4.0安全帐号管理(SAM)的限制,当运行在本机模式时,数百万的对象是可用的。

当树林中所有的域控制器运行Windows 2000时,你可以转换到本机模式,成员服务器可以在NT4.0上,工作站可以在98、ME、NT4.0。本机模式允许组嵌套和全局安全组。然而,一旦你转换到了本机模式,将不能再转换回混合模式。

架构
所有对象和它们属性的活动目录数据库,叫做架构,如果架构的默认特性不能满足你的组织的要求,你可以创建对象来满足要求。活动目录架构设计也定义了哪个对象和属性将被索引,什么将在活动目录全局编目下发布。

对象被组织成组称为容器,一个容器可以嵌套其它的容器。

架构在树林中所有域控制器间是分布式的,这允许在架构中关于对象和属性的信息对用户应用是动态可用的,当改变可新的对象发生时它也是动态更新的。一个域控制器,叫作架构主机,将被指派在树林中控制所有的更新,在树林中只能有一个域控制器充当架构主机。

组织单元 (OU)

为管理的目的,对象可能放置在逻辑组中,一个组织单元(OU)是一个容器对象,它将如组、用户帐号、计算机、打印机和其它OU这样的对象组织起来。

Objects can be placed into logical groupings for administrative purposes. An Organizational Unit (OU) is a container object  which organizes objects, such as groups, user accounts, computers, printers, and other OUs.

当创建一个树林时,已存在的NT4.0的域的管理员仍可以在它们的环境下执行管理任务,当被限制为树林的其它时,通过在一个OU中降低管理控制对象来实现。

一个OU能被指派到一个服务器或一个工作站,这帮助安全一个高危险或暴露的机器。

全局编录

全局编录是一个信息的仓库,它包含了在活动目录中所有对象连续请求信息的子集,例如一个用户登陆ID、姓和名,Exchange 2000在分布式列表,邮件地址等方面将利用全局编录。

编录所在的域服务器称为全局编录服务器,默认情况下在活动目录中创建的第一个域控制器为全局编录服务器,其它的域服务器也可以指派作为全局编录服务器来平衡网络流量。在树林根域控制中一个或更多的域控制器将始终为全局编录服务器。全局编录服务器的可用性对活动目录的作用是至关重要的。

轻量级目录访问协议 (LDAP)

轻量级目录访问协议(LDAP)是目录服务协议,它通常用来查询和更新活动目录。活动目录的每个对象都有一个基于LDAP著名的命名习俗下的名字。LDAP提供对活动目录中的第一个对象的唯一命名路径。

活动目录是一个企业级的目录服务,通常被Windows 2000和Exchange 2000使用,因此,Exchange 2000使用LDAP查询最靠近的全局编录服务器去进行地址查找和信息路由。LDAP不是加密的,能被任何网络sniffing设备所看到,当利用全局编录服务器时,这是一个非常重要的安全考虑。
域控制器和复制

一个Windows 2000网络仅有两种类型的服务器,域控制器和成员服务器,如果一个域控制器坏了,其它的域控制器继续提供网络服务和信息,因为所有的域控制器都包含有一个活动目录的复制,这个通过活动目录中多主线目录复制组件来实现。域控制器之间互相复制,每一个服务器记录从其它服务器上接收到的更新,仅请求需要的更新去最小化网络流量。

成员服务器可以被提升为域控制器,域控制器也可以被降为成员服务器,在NT4.0下是不可能实现的除非重新安装服务器,这个在平衡网络流量或域控制器丢失事件方面是非常有用的。 

在Windows 2000下有一种情形存在,即当几个系统管理员同时在几个不同的域控制器上进行操作时,安全组信息可能丢失或被覆盖。这是由于在域控制器间复制的延迟,特别是在远程域控制器上。

如果集中化管理被利用,如同微软指导手册建议的一样,这就不是一个问题,Windows 2000的下一个版本,即Windows 2002解决了这个情况。

域名称系统(DNS)

DNS和活动目录的结合是Windows 2000非常重要的特性。活动目录使用DNS命名标准为它的域和计算机分级命名。

DNS和活动目录使用相同的分级命名结构对域和计算机进行命名,因此,相同的分级命名结构可以表现DNS结点和活动目录对象。

因此对DNS的两条命名规定,同样适用于活动目录域的建立:
·相同父域的两个子域不能相同
·一个子域仅能有一个父域
如果你的组织有一个在Internet上有出现,那么你的树林根域的名称需要注册,例如SANS机构利用sans.com作为Internet上的DNS命名,同时sans.com也将是他们的活动目录树林根域的名称。

活动目录需要DNS服务器支持SRV(服务资源记录),SRV记录域控制器到网络服务的映射,当一个域服务器引导起来,它注册有关服务的信息到DNS服务器。
Windows 2000使用SRV记录去定位:
·在特定域可树林中的域控制器
·同客户同一站点的域控制器
·全局编录服务器
·LDAP服务提供商
·Kerberos V5服务
·共享打印机或文件夹
客户需要至少一个DNS服务器去定位一个域服务器去日志进程,客户将联系DNS服务器返回的所有域控制器,然后用第一个响应日志请求的域控制器进行登陆。

Windows 2000扩展

活动目录的能力扩展出仅管理一个Windwos2000环境,ADSI(活动目录服务接口),先前已知的OLE目录服务,提供对多平台产品的管理。ADSI2.5提供NDS(Novell NetWare目录服务)、NWCOMPAT(NetWare 3装订)和LDAP的混合。对网络供应商而言,LDAP打开了利用公共管理平台的大门,Compaq's Advanced Server/Pathworks V7.4计划与Windows 2000协作,包括活动目录的集成。

结论

活动目录是一个灵活和规模化的管理平台对分布式网络资源和应用程序,谨慎规划可以给用户提供一个透明的结构化的安全环境,粗略的规划和应用可能导致一场灾难

标签: