本文介绍如何确保Windows Server 2003环境下的活动目录更加安全。
如果我告诉你, Windows NT Server 4.0的安全性要高于Windows 2000 Server,你也许会认为我在说胡话。但是有时候,事实比胡话更加令人不可思议。在某些情况下,Windows NT Server确实要比Windows 2000 Server具有更好的安全性。不过Microsoft已经发现了这个问题,并在Windows Server 2003的活动目录中重新采用了类似于Windows NT4.0的安全架构。下面我们就来研究一下这个安全问题,然后我会提供几个小技巧,帮助你更好的确保AD环境的安全。
物理安全是首位
当我们试图保证AD环境的安全时,首先要考虑的就是它的物理环境是否安全。如果任何你不信任的人可以随意接触到你的域控制器或DNS服务器,那么你的AD环境肯定不会安全。很多管理工具以及灾难恢复工具的存在也可以为黑客提供相当大的便利。
假如可以从物理上接触到服务器,那么就算是电脑水平一般的人也可以在较短时间内进入你的系统。因此,在你没有确保服务器位于一个安全环境时,也不用考虑如何加强AD的安全性了。
Windows NT 对阵 Windows 2000 不要误解我在文章开始时所说的话。在很多情况下,Windows 2000所提供的安全性确实要强于Windows NT。但是不能忘记计算机领域的一个基本规则:越是复杂的程序越容易出现可被利用的安全漏洞。毫无疑问,Windows 2000要比Windows NT复杂的多。
这方面最好的例子就是在不同操作系统中,域模式的实现方式不同。在Windows NT中,域是唯一的组织结构。一个域可以包含整个公司内的全部用户、组、以及计算机。如果这个公司非常大,那么可以设立多个域,并在域之间建立信任关系,但是每个域都是独立的结构。
在开发Windows 2000时,微软意识到Windows NT中的域模式并不能很好的用于更大型的企业,因此微软在一个被称为森林(forest)的结构上采用了活动目录(AD)模式。在一个森林中,你可以创建多个不同的域,甚至可以使用父域以及子域等树木结构。和在Windows NT环境中一样,每一个域仍然有自己的管理员,不过相似性也就只有这些了。
在Windows 2000中,微软认为应该让域变得更加易于管理,因此它为域的管理创建了不同的等级。比如,一个Domain Admins组的成员可以管理当前域以及当前域的子域。而Enterprise Admins组的成员则可以管理整个森林中的任何一个域。由此也产生了一些问题。
在Windows 2000 的AD模式中,最大的问题是森林中所有的域都是相互信任的,这将引发一系列问题。首先,当安全规则没有设立好时,域管理员可以通过把自己添加到Enterprise Admins组的方式提高自己的管理权限,这样他们就具有了管理整个森林中任何一个域的权限。如果该域具有一定的安全规则,那么恶意的管理员也可以通过篡改SID纪录以及运行提升权限操作等对整个森林进行攻击。通过操作SID纪录,管理员可以赋予自己Enterprise Admin的权限。
另外,Windows 2000 的AD安全模式中还存在一些固有的薄弱环节。也许你知道,每一个域都至少需要一个域控制器,而每一个域控制器都包含了该域以及整个森林的信息。这些信息包括AD结构以及一些基本的配置。
现在设想一下,假如公司里的一个管理员一时疏忽,安装了一个恶意程序,或者对AD做了一些不正确的配置。如果这个配置的改动是针对森林级的AD组件进行的,那么最终这个改变将传递到整个森林里的每个域控制器上,这将破坏每个域控制器上的AD配置副本并有可能造成整个公司的网络瘫痪。
让我们再来对比一下Windows NT中的情况。就算一个域信任另一个域,每个域中都会包含和各自域有关的安全帐户管理副本。因此,怀有恶意的管理员无法通过修改本地域的SAM文件来间接破坏对方域的SAM文件。同样,在Windows NT中没有一个足够大的管理员权限可以让某个域的管理员将权限提升到可以控制公司网络内其它域的地步。
另一个有关Windows NT的信任关系的优势在于, 这种信任关系既可以是单向的,也可以是双向的,并且这种信任关系本质上是不可以传递的。这种单向性意味着,假如你有两个域,Users 域和Admin域, 你可以让他们之间相互信任,也可以仅让Users 域信任Admin域,而Admin域不信任Users 域。而信任关系的不可传递性意味着,假如域A信任域B,而域B又信任域C,那么域A 依然不会信任域C,除非管理员亲自指定这种信任关系。
