5个步骤!让AD更安全!是
每个管理员都希望如此但是要尽可能高地实现这个目标您还是需要花上
点力气本文通过5个步骤帮您理解如何来切实增强AD基础设施安全
活动目录(AD)中保存着能够对AD进行访问重要密钥如果不能恰当地增强AD安全性那么它很容易受到攻击坦率地讲增强AD安全性并不简单但是通过些基本步骤您确实可以提高它安全性请注意我这里所说是“基本”步骤安全无止境您总是可以找到提高安全性思路方法但是这些思路方法往往需要付出相应代价这些代价可表现为实际花费或者灵活性或功能性方面损失让我在这里向您展示5个步骤实施这些步骤代价并不算高但它们却可以帮助您切实增强AD基础设施安全性如何增强活动目录安全性
5个步骤:遵循管理员方面最佳做法您可以通过将手工操作(例如
安装域控制器)自动化思路方法来增强AD安全性但是目前还没有出现能够将人类行为自动化
设计语言因此这就是您需要为管理员如何管理AD建立指南原因您需要确信您管理员遵循了如下最佳做法:区分管理账号(administrative accounts)使用区分管理账号使用已经成为许多组织个标准做法但它仍然值得提如果管理员机器不小心感染了病毒那么潜在威胁将会非常大
获得管理权限(right)后病毒可运行或脚本因此对于日常操作管理员应使用非特权账号(例如用户账号);对于和AD有关操作管理员应使用个独立管理账号当您通过个非管理账号登录后您可以使用Runas命令这类工具以管理员身份打开如需了解有关如何使用Runas命令信息请参阅Windows帮助文件确保管理员机器安全性虽然要求您管理员以非管理账号登录和使用Runas命令打开AD管理能够带来很多益处但是如果运行这些工具硬件系统不安全话您仍然处于危险的中如果您不能确保管理员机器安全性那么您需要建立个独立并且安全管理员机器并让管理员使用终端服务来访问它为了确保该机器安全您可以将它放在个特定组织单元中并在组织单元上使用严格组策略设置您还需要注意机器物理安全性如果管理员机器被盗那么机器上所有东西都将受到威胁定期检查管理组(administrative group)成员攻击者获得更高特权(privilege)手段的就是将它们账号添加到AD管理组当中例如Do
Admins、Administrators或Enterprise Admins因此您需要密切关注AD管理组中成员遗憾是AD不具备当某个组成员发生改变时发送提示信息内建机制但是编写个遍历组成员脚本并使脚本每天至少运行次并不复杂在这些组上面启用审核(Enabling Auditing)也是个很好主意每次改变都会在事件日志中有条对应记录限制可以访问管理员账号(Administrator account)密码人员如果某个攻击者获得了管理员账号密码他将获得森林中巨大特权并且很难对他操作进行跟踪因此您通常不应使用管理员账号来执行管理AD任务相反您应该创建可替代管理账号(alternative administrative accounts)将这些账号添加到Do Admins或Enterprise Admins组中然后再使用这些账号来分别执行每个管理功能管理员账号仅应作为最后个可选择手段它使用应该受到严格限制同时知道管理员密码用户数量也应受到限制另外由于任何管理员均可修改管理员账号密码您或许还需要对该账号所有登录请求进行监视准备个快速修改管理员账号密码思路方法即使当您限制了可以访问管理员账号人数您仍然需要准备个快速修改该账号密码思路方法每月对密码进行次修改是个很好思路方法但是如果某个知道密码(或具有修改密码权限)管理员离开了组织您需要迅速对密码进行修改该指南同样适用于当您在升级域控制器时设置目录服务恢复模式(Directory Service Restore Mode以下简称DSRM)密码和任何具有管理权力服务账号DSRM密码是以恢复模式启动时用来进行登录密码您可以使用Windows Server 2003中Ntdsutil命令行工具来修改这个密码当修改密码时您应该使用尽量长(超过20个
)随机密码对于管理员而言这种密码很难记忆设置完密码后您可将它交给某个管理人员并由他来决定谁可以使用该密码准备个快速禁用管理员账号思路方法对于绝大多数使用AD组织最大安全威胁来自于管理员尤其是那些对雇主怀恨在心前管理员即使您和那些自愿或不自愿离开公司管理员是好朋友您仍然需要迅速禁用账号上管理访问权限如何增强活动目录安全性
5个步骤:遵循域控制器方面最佳做法在确信遵循了
最新评论