如何进行活动目录安全审计?

on 2010-7-16 in 安全 | 0 Comment
    如果问安全专家要获得对基础架构服务和应用访问权限通常用什么目录数据库他们最有可能给出答案是:LDAP或者活动目录(Active Directory)

    尽管LDAP作为个国际标准数据库获得了市场上几乎所有目录服务提供商支持但活动目录几乎也已经获得了所有LDAP提供商支持并且部署足迹遍布大部分企业(尽管活动目录是由单厂商——微软——提供)从最早作为为少数联网PC机提供认证工具开始活动目录已经成为了企业首选目录数据库由于当前企业目录数据库部署复杂性越来越高IT管理员要花费大量时间用于设计和支持等工作以确保活动目录功能特性满足组织需要但是些IT管理员常常忽略了项最重要工作:确保他们活动目录自身安全

    活动目录包含了组和用户账户信息这些信息就像是进入王国钥匙在大多数情况下如果个组织活动目录部署遇到了灾难性事件那么组织中将没有人能够获得所需服务去履行他们职责

    那么判断个活动目录基础设施是否安全最好思路方法是什么呢?进行周期性活动目录审计是必要这样可以确保活动目录被有效地管理和保护起来了同时审计人员必须理解对于活动目录部署而言哪些方面是最重要以及要审计什么内容以下列出内容可以帮助大家理解如何确保活动目录安全:

    策略和架构——活动目录和所有企业服务必须有个长期管理计划审计员应该维护个较好文档化了策略和架构描述活动目录包含信息以及谁可以访问这些信息活动目录在组织内部角色是什么?架构变更应该如何进行并记录

    物理布局——最起码要确保活动目录服务器以及它们域控制器是安全也就是说要确保他们被安放在安全物理位置不论是在专业数据中心还是在上锁机柜中活动目录服务器必须被保护好防止物理失窃如果发现活动目录服务器放在桌子下或者位于开放、不安全地方这就意味着组织活动目录部署缺乏安全保护

    分布式部署——由于活动目录扮演了对系统和服务访问进行控制重要角色活动目录数据库应该在组织中进行分布式部署在考虑应该如何对活动目录数据库进行分布式部署时需要有个架构项目些比较好部署地点是具有低速广域网链接地理位置、具有大量用户物理区域以及靠近使用活动目录进行身份认证/授权服务位置此外必须在分布式服务器的间启用复制服务以确保拒绝服务(DoS)攻击造成影响最小将活动目录服务放在尽量靠近使用他们进行访问用户端以确保网络和电力中断造成宕机时间最小

    管理权限——组织要利用活动目录中多层管理权限服务裁剪出和管理职能相匹配管理权限审计员应该确保完全管理权限仅仅局限在极少数管理员手里这些超级管理员负责服务器到服务器互操作、配置和模式管理对于负责部分管理职能管理员(例如可以重置密码帮助台管理员)只能获得用于行使他们职能范围的内权限而不能有其他任何管理权限同时当涉及到创建、删除和更新账户时候应该使用诸如预配置系统那样自动化工具以尽可能地减少人为并保证敏感账户信息安全

    活动目录组——活动目录组用于在宏观层面上管理服务权限通过将个用户加入某个组用户自动地继承了这个组访问权限活动目录组管理开始都是无组织性——组创建是即时缺少文档化和控制——导致后来管理员对这些组当时建立缺乏理解这会导致活动目录组数量快速增长进而难以对它们进行管理这也是审计员要去审查个关键点在审计活动目录组时候审计员应该有个清晰明确地管理这些组流程同时必须完成相应文档化工作清晰地描述出组所有者是谁创建这些组所有项目(project)合法生存期多长组权限有哪些以及其它任何和活动目录组有关可能涉及访问控制问题

    模式配置——活动目录以生成树目录模式存储信息用户和组获得权限基于他们在树结构中层次和各种容器访问控制列表(ACL)以及访问权限对象(读、写、执行、删除)审计员应该审查活动目录模式结构及其相关ACL以确保那些用户和组权限信息和存储在活动目录其他用户/组被有效地隔离并保护起来

    加强自动账户管理——如上所述大部分组织已经使用自动化预配置工具来管理活动目录账户但是这些工具是自动化并不代表它们就能自动地执行好审计员应该有个明确账户检查流程以及套经过深思熟虑预配置工具审查规则确保权限正确同时当需要用户管理员或者资源所有者同意进行授权时候必须遵循正确工作流程此外审计员必须确保所有最近没有访问账户或者不再需要账户被禁用或者及时删除最后为了确保正确访问权限依然有效组织必须有个“再认证”流程其中管理员必须定期地证明他们在职责范围的内为其他人赋予权限和那些人职责和行使职能是相匹配

    活动目录集成——尽管上面列出了几条和活动目录数据库安全相关具体要求但实际上很多遗留应用和服务器依然无法直接访问活动目录而必须通过同步来实现这当中包括从活动目录中提取信息并通过电子数据交换转发到其他应用和服务器上然后将信息存储在本地接收系统中审计员要询问是否有让这些应用和服务器直接连接到活动目录、而无需拷贝那些信息新思路方法以判断是否依然有必要从活动目录中进行数据传输审计员还要确保在本地应用和服务器中活动目录信息具有和远程活动目录相同访问控制级别最后审计员要确认信息都能够被追踪并定位到所有使用那些信息应用和服务器上以确保活动目录信息不会被转发到其他(非法)应用和服务器上

    活动目录已经从部门级PC控制目录发展为全功能企业目录尽管最早活动目录部署位于大部分审计员视线的外但是由于访问控制作用不断演进活动目录现在毫无疑问要纳入组织安全范畴以及审计团队(Team)视线因此活动目录安全审计强度增强了数倍是完全有道理由于活动目录所提供访问服务重要性组织不会希望这个王国钥匙得不到保护

Tags: 

延伸阅读

最新评论

发表评论