AD安全优化解决方案
AD安全优化解决方
案
AD安全优化解决方案
设计一个稳定、可靠和扩展性良好的活动目录架构对一个企业网络的管理及安全具有重大意义,并对部署微软的相关产品如Exchange 等具有举足轻重和决定性的重要意义。
1.1. 活动目录介绍
活动目录是Windows 网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构能够有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统能够轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。
总的来说,活动目录的这些功能使组织机构能够将标准化的商业规则贯彻于分布式应用和网络资源当中,同时,无需管理员来维护各种不同的专用目录。
活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时,它也帮助组织机构经过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也能够使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。
活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。
1.2. 应用Windows Server AD的好处
Windows Server是微软最新推出的网络操作系统服务器,它沿用了 Windows Server 的先进技术而且使之更易于部署、管理和使用。其结果是:其高效结构有助于使您的网络成为单位的战略性资产。
Windows Server的核心是一组基于Active Directory(目录服务,简称“AD”)的基础结构服务。Windows AD简化了管理,加强了安全性,扩展了互操作性。它为用户、组、安全服务及网络资源的管理提供了一
种集中化的方法。
应用Windows AD之后,企业信息化建设者和网络管理员能够从中获得如下好处:
系统平台基础架构。基于Windows AD规划网络基础架构,使企业获得一个稳定、可扩充的网络基础平台。不单单是满足当前的网络需要,更关键的是预计了今后3-5年内可能的发展需要,使得将来的网络规划建设无需再次重复投资。
单一登录。能够统一用户帐户设置和用户身份验证,实现用户单一登录,用户访问网络中的资源不再需要重复输入用户名称和口令。同时,它还是企业应用集成的基础。基于AD的单一登录功能,便于实现在不同程序之间的协作和集成应用。
网络安全。能够基于AD,集中设置和统一管理用户、组、资源的操作权限,方便维护管理。
集中管理和委派授权。基于Windows 活动目录OU实施委派授权管理,未来向下属企业推广时,分级维护,集团各部门、下属公司能够对所辖范围内的部分参数进行维护,如增加用户、设置权限、增加栏目、自定义流程等。
用户桌面管理。经过规划部署Windows OU和组策略,能够统一规划用户桌面和用户操作环境,实现对客户计算机的集中控制管理,加强信息管理的安全可靠性。
软件自动分发。经过规划部署Windows OU和组策略,还能够实现应用程序的自动分发、升级和删除,不但能够实现客户机软件的统一安装管理,而且大大减轻了软件安装配置的工作量。
1.3. 明确系统规划目标
企业的Windows AD系统规划构建是为企业信息化建设服务的,需要达到以下战略目标:
围绕企业的战略发展需要,进行企业信息化建设系统规划,满足企业3-5年的业务发展对IT建设的要
求;
以业务为驱动,经过有效的信息系统,加强信息共享和协同办公,提高工作效率,降低成本;
整合企业现有信息资产,加强企业管理与监控;从信息中挖掘知识,提高经营决策与驾驭风险的能力;
推进知识管理理念,建立知识型企业,增强企业的核心竞争力。
Windows AD系统规划实施的具体目标如下:
规划和部署基于Windows AD的企业目录服务,首先实现用户的单一登录,保障网络系统安全;
经过AD实现用户桌面的集中和自动管理,分发软件补丁;
进一步部署微软的相关应用平台软件,如实现基于Exchange 的企业内部邮件和协作服务,
1.4. 活动目录设计方案
我们为企业设计一个域,用户的所有计算机(服务器和客户机)全部加入到域,用户实现单一登录和管理员经过域组策略实现安全及桌面管理。
用户关心问题解答
2.1. 活动目录优势
1.计算机工作组管理和AD管理比较
对于基于Microsoft Windows操作系统的计算机运行和管理在两种模式下:工作组(workgroup)和域(domain)。
在工作组模式下,计算机处于一个孤立状态,使用计算机的用户登录帐号和计算机的管理均须在每台计算机上创立或进行。
当计算机超过20台以上时,计算机的管理变得越来越困难,而且要为用户创立越来越多的访问网络资源的帐号,用户要记住多个访问不同资源的帐号。
而在域的模式下,用户只需记住一个域帐号,即可登录访问域中的资源。而且管理员经过组策略,能够轻松配置用户的桌面工作环境和加强计算机安全设置。域模式下所有的域帐号保存在域控制器的活动目录数据库中。见下图。
2.为什么要提供目录服务?
对更加强大、透明且高度集成的目录服务的不断需求是由爆炸性增长的网络计算所导致的。随着局域网(LAN)、广域网(WAN)规模与复杂性的不断提高和这些网络不断被连入Internet,以及应用程序对网络的依赖程度不断增强并不断被链接到协作企业网中的其它系统上,对目录服务的需求也日渐增多。基于下列原因,目录服务成为扩展的计算机系统中最重要的部件之一:
简化管理提供对用户、应用程序和设备的单一、一致性的管理点。
加强安全性向用户提供单一的网络资源登录,为管理员提供强大、一致性的工具以使她们能够管理为内部台式机用户、远程拨号用户以及外部电子商务客户提供的安全服务。
扩展的互操作性向所有活动目录特性提供基于标准的存取方式以及对通用目录的同步支持。
目录服务兼任管理工具和用户工具。随着网络中对象数量的增加,目录服务变得必不可少。目录服务在一个庞大的分布式系统中发挥着网络集线器的作用。致力于这些需求,Windows 服务器版引入了活动目录--即一套用于改进Windows网络操作系统管理、安全性和互操作性的完整的目录服务集。
下图描述了活动目录带来的计算机安全和管理上的一些最重要的好处。
3.AD简化了计算机系统管理
分布式系统常常导致时间的消耗和管理的冗余。当公司在她们的基础结构上添加应用程序并雇用新的职员时,她们需要适当地向各桌面系统分发软件并管理多个应用程序目录。经过在单一的位置管理用户、组和网络资源以及分发软件和管理桌面系统配置,活动目录能够显著降低公司的管理费用。例如,活动目录在同一个位置管理Windows用户和Microsoft Exchange邮箱信息。基于下列原因,活动目录能够从以下方面帮助公司简化管理:
消除冗余管理任务提供对Windows用户账号、客户、服务器和应用程序以及现存目录同步能力进行单一点管理。
降低桌面系统的行程针对用户在公司中所担当的角色自动向其分发软件,以减少或消除系统管理员为软件安装和配置而安排的多次行程。
更好的实现IT资源的最大化安全地将管理功能分派到组织机构的所有层次上。
降低总体拥有成本(TCO)经过使网络资源容易被定位、配置和使用来简化对文件和打印服务的管理和使用。
4. 加强安全性
强大且一致的安全服务对企业网络而言是必不可少的。管理用户验证和访问控制的工作往往单调乏味且容易出错。活动目录集中进行管理并加强了与组织机构的商业过程一致、且基于角色的安全性。例如,对多
身份验证协议(如Kerberos,X.509认证以及由灵活的访问控制模型组成的智能卡)的支持实现了对于内部桌面系统用户、远程拨号用户和外部电子商务客户强大且一致的安全服务。活动目录使用以下方法增强安全性:
改进了密码的安全性和管理经过向网络资源提供单一的集成、高性能且对终端用户透明的安全服务。
保证桌面系统的功能性经过根据终端用户角色锁定桌面系统配置来防止对特定客户主机操作进行访问,例如软件安装或注册项编辑。
加速电子商务的部署经过提供对安全的Internet标准协议和身份验证机制的内建支持,如Kerberos, 公开密钥基础设施(PKI)和安全套接字协议层(SSL)之上的轻便目录访问协议(LDAP)。
紧密的控制安全性经过对目录对象和构成她们的单独数据元素设置访问控制特权。
2.2. 重要组策略介绍
1.软件分发策略
经过组策略能够为域中的计算机或用户自动分发带有msi包的软件。见下图。
2.将用户的个人数据从pc机上重定向到服务器上
重定向有利于数据的安全以及集中备份。见下图。
3.安全类组策略
密码策略
2“强制密码历史”设置确定在重用旧密码之前必须与用户帐户相关的唯一新密码的数量。
2配置“密码最长使用期限”设置,以便密码在环境需要时过期。
2“密码最短使用期限”设置确定了用户更改密码之前必须使用密码的天数。
2“最短密码长度”设置确保密码至少包含指定数量的字符。
2“密码必须符合复杂性要求策略”选项检查所有新密码以确保它们符合强密码的基本要求。
l 账号锁定策略
帐户锁定策略是一项 Windows Server 安全功能,它在指定时间段内多次登录尝试失败后锁定用户帐户。允许的尝试次数和时间段是由为安全策略锁定设置配置的值决定的。用户不能登录到锁定的帐户。
2“帐户锁定时间”设置确定在未锁定帐户且用户能够尝试再次登录之前所必须经历的时间长度
2“帐户锁定阈值”设置确定用户在帐户锁定之前能够尝试登录帐户的次数。
2“复位帐户锁定计数器”设置决定了“帐户锁定阈值”复位为 0 以及帐户被解锁之前所必须经过的时间长度。l 禁用本地管理员帐号
默认情况下,每台加入到域中的计算机都有Administrator和Guest两个帐号,Administrator帐号在安装时口令为空。用户使用这个帐号权限过大,因此一般不会给用户使用这个管理员帐号,最好的做法就是经过组策略禁用这个帐号,用户使用域的帐号。
l 将域帐号加入到每台PC机的本地Power Users组中
创立域帐号时,默认情况下这个帐号只属于Domain Users组中,该组属于每台PC机的本地Users组。本地Users组中的成员权限受到严格限制,比如共享文件夹,安装打印机驱动程序等工作的权限都没有。而经常有用户需要这些权限,能够经过组策略来实现。
l 禁用系统服务
我们为优化系统和安全性考虑,经常要禁用计算机的一些无需运行的服务。我们能够经过组策略把这些服务禁用掉。
l 软件限制策略
对一些规定不得使用的软件能够经过组策略来禁用:
2路径规则:特殊文件路径下的软件不得使用:如program files下的某些软件
2证书规则:只有系统管理员颁发过证书的软件能够使用,其它软件禁止使用
2哈希规则:对禁止使用的软件经过哈希运算得到这个软件的身份指纹,在组策略里设置只要是符合身份指纹鉴定的软件就进行限制
l 网络连接控制策略
用户经常会经过改变“网络连接”中的设置,绕过企业防火墙,建立自己的上网链路,比如电话拨号上网。这样会带来很大的安全隐患。能够经过组策略限制用户不得改变网络连接中的配置,不允许用户经过其它方式连接互联网。
2.3. 计算机从工作组加入到域可能存在的问题和解决方法
把计算机从工作组模式加入到域模式可能会出现以下二个问题
问题:
1. 一些软件不能使用。有一些软件以登录者的管理员权限帐号运行,当计算机加入到域并对登录帐号做了权限设置,或禁用了本地管理员帐号,这些需要管理员权限运行的软件就有可能不能正常运行。
2. 用户桌面环境发生改变。由于加入域前后用户是用不同的帐号登录的,因此用户以前的桌面环境无法使用。具体有
2桌面上放置的资料
2“我的文档”等放置的资料
2配置好的“网络打印机”
2IE里设置好的“网站收藏夹”等。
解决方法:
1.对问题1我们能够按以下两个方法来解决:
(1)把域帐号加入到本地管理员组
(2)卸载软件,用域帐号登录并安装
2.对问题2针对不同的问题分别解决如下:
(1)把本地老帐号下的桌面内容全部备份下来,复制到新域帐号的桌面
(2)把本地老帐号下的“我的文档”内容全部备份下来,复制到新域帐号的“我的文档”
(3)重新连接和创立“网络打印机”
(4)用特殊软件把老帐号IE里的“网站收藏夹”备份下来,然后恢复到新域帐号中
3.活动目录方案实施
3.1. AD域命名和DNS的规划
Windows AD域命名和DNS的规划之因此放在首要地位,是因为AD作为整个IT架构的基础,不应该轻易被调整。尽管安装后,Windows AD依然能够重组和改名,这一点比Windows AD有了很大的进步,可是我们依然建议做一个长远规划,使得域命名和DNS服务能够满足企业3-5年的需求,尽量避免配置好后改作调整地巨大人力物力浪费。
另外,部署Windows AD,还必须确定DNS服务器,确保它们满足域控制器定位器系统的要求。一个支持AD的DNS至少需要满足以下要求:
必须支持服务定位资源记录(SRV)
应该支持 DNS 动态更新协议(RFC 2136)
Windows Server 提供的 DNS 服务同时满足这些要求,而且还提供下列重要的附加功能和改进:
Active Directory 集成:DNS 服务把区域数据存储在目录中,使得 DNS 复制创立多个主域,也减少了对维护一个单独的 DNS 区域传送复制拓扑的要求。
安全动态更新:使得一个管理员能够精确地控制哪些计算机能够更新哪些名称,并防止未经授权的计算机从 DNS 获得现有的名称。
条件转发:根据不同的对外访问的域名后缀,能够将用户的DNS名称解析请求转发到不同的外部DNS服务器。
存根区域:能够定时地刷新和外部DNS服务器的连接,及时发现那些可能有故障、不再响应用户请求的服务器,提高用户DNS名称解析的效率。
3.2. 确定AD逻辑结构
Windows 活动目录的逻辑结构由三个基本组件组成:森林、域和OU。
1、确定森林规划
森林是Windows AD域的集合。在很多情况下,单一森林就足够了。单一森林环境易于建立和维护,森林间的域自动建立双向可传递内部信任关系,不要求手动建立外部信任配置,在安装Exchange Server等应用程序时,只需应用一次架构更改即可影响所有域。
如果各个单位有下列管理要求,就必须建立一个以上的森林:
不互相信任管理员。
希望限制信任关系范围。
不同意某种森林架构更改策略。架构更改、配置更改会影响到森林中所有的域。如果单位不同意一个公共架构策略,它们就不能共存于同一个森林中。
2、制定域规划
规划域结构时,始终遵循“简单是最好的投资”的设计原则,尽管增加某些复杂结构能够增值,可是简单的结构更易于说明、维护和调试。一开始时总是仅考虑每个森林中仅有一个域,然后为每一个增加的新域提供详细的理由,确保添加到森林中的域都是有益的,因为它们会带来相应的管理开销而导致一定程度的成本上升。
创立更多的域的三种可能的原因是:
希望实现相对分散式得IT管理模式:多域结构更容易进行相对独立的管理、委派和权限控制。另外,不同的用户帐户在一个域内是不能出现重名的,多域之间就没有限制。对于人士管理相对独立的集团下属公司,多域结构具有更好的灵活性。
希望实现不同管理策略要求:包括用户口令策略、账户锁定策略和EFS加密策略。例如,要求某些人必须取8个字符以上的口令,而其它人不做限制。为此,必须将这些需要不同安全策略的用户放在单独的域中。
希望减小WAN上的复制流量:域控制器域间复制将产生比域内复制少的多的流量。如果公司很大,具有跨地区的组织结构,且处于同一个森林内,则在不同地理位置上的机构可能使用慢速的WAN链路连接。为减少WAN上的DC复制流量,能够在不同的地理位置设置不同的域。
根据以上考虑,我们建议,企业Windows AD域逻辑结构能够采用“单森林、单域”的结构设计。
3.3. 确定AD物理结构
Windows AD物理结构主要是规划站点拓扑,用于帮助您决定在网络的什么地方放置域控制器,以及管理域控制器之间的复制流量和用户登录流量。
考虑到企业的地理分布情况,应该考虑使用多站点拓扑来规划Windows AD物理结构。从绘制基本的网络拓扑布局图着手工作,绘制所有可能的站点(Site)和站点链接(Site Link)。
速度快(10Mbps以上)、连接可靠的LAN网络总是放置在单站点中。
站点定义为一组经过快速、可靠的线路连接起来的 IP 子网。一般而言,具有 LAN 速度或更快速度的网络被认为是快速网络。