監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機APP | 產品資料
X 關閉

提高活動目錄安全三種方法

申請免費試用、咨詢電話:400-8352-114

文章來源:泛普軟件

活動目錄(AD)結構和結構中的數(shù)據(jù)是Windows域中最為關鍵的部分,執(zhí)行恰當?shù)陌踩褪跈啻胧┦欠浅1匾?。Mike Mullins介紹了三個可以增進AD安全的簡單步驟。

活動目錄的結構以及結構中的數(shù)據(jù)是Windows域中最為關鍵的部分。如果不在活動目錄中采取一些適當?shù)谋Wo和授權措施,你可能會錯誤地授權給其它用戶,授予的權限可能會超過他們實際需要的權限。

AD結構是不能容忍這類錯誤的,一次不小心的錯誤授權可能會導致整個域的全部重建。這就是為什么需要采取三個簡單的步驟(即設計,授權和審核)以更好地保護AD程序是如此的重要。

設計
首先,設計公司部門結構。其次,用圖表創(chuàng)建自己的組織單元(Organizational Units,OUs),并建立一個代表公司實際情況的名字。

這樣做可謂為一箭雙雕。首先:設計并命名你自己的OUs,你可以給所有的用戶、用戶群和所有的硬件創(chuàng)建一個合理的空間。通過組策略編輯器(Group Policy Editor),可以簡化這些項目的管理,使系統(tǒng)管理變得相當容易。

此外,創(chuàng)建自己的OUs。你可以根據(jù)不同類型的OU制定你自己的安全規(guī)則。這是非常重要的,因為使用企業(yè)單元中默認許可建成的AD不能像默認許可規(guī)定一樣進行嚴格執(zhí)行。

授權
管理AD域是一項艱巨的任務,不應該讓同一個人或者同一個帳戶負責所有的事情。授予一個帳戶太多權限將引起災難后果。如果黑客得到一個帳戶,或者負責人辭職(或者是產生不滿情緒的時候),那么整個域將會處于危險之中。

因此,你的AD程序應該包括兩種類型的管理員:數(shù)據(jù)管理員(Data Administrator)和服務管理員(Service Administrator)。這有助于權限分擔,以提高程序的安全性。

數(shù)據(jù)管理員
數(shù)據(jù)管理員負責保護存儲在活動目錄中的信息,而不負責文件和文件夾的管理。數(shù)據(jù)管理員負責用戶帳號、計算機帳戶、用戶群帳戶等。這類數(shù)據(jù)管理員類似于NT域中的Account Operators群。

由于活動結構需要控制所有的計算機,實質上,與內部網(wǎng)絡相連的每臺計算機都是域的一個部分。而且,在安全域內的計算機不能控制所有其它的設備。

為數(shù)據(jù)管理員創(chuàng)建一個帳戶和群組時,僅僅給他們分配內管理OUs控制范圍所必需的權限。此外,必須確保不給這些帳戶授予瀏覽網(wǎng)絡或閱讀電子郵件的權限。

另外,不要允許數(shù)據(jù)管理員為其他的數(shù)據(jù)管理員創(chuàng)建賬號。這件事應當由服務管理原來負責。以上這些步驟填補了一些巨大的安全隱患,使帳戶擁有者們在使用帳戶時僅僅能夠執(zhí)行所允許的操作。

服務管理員
服務管理員則負責每日的幕后管理和維護。他們還需要管理域所提供給用戶的不同類型的服務。這些服務包括域名稱系統(tǒng)(DNS)、全局目錄(GC)服務器、通過分布式文件系統(tǒng)(DFS)復制數(shù)據(jù)、企業(yè)網(wǎng)絡森林中的域控制器(DC)和各種站點,以及同其他域的信任關系。當然,最重要的還是活動目錄計劃(AD schema)。

服務管理員的角色擁有強大的權力,因此你應當為部門中最富經(jīng)驗和知識的技術人員保留這一職位。需要記住,盡管這些管理員擁有者比數(shù)據(jù)管理員更多的權限,他們執(zhí)行的操作還是需要進行詳細的審查。

審計
沒有哪個活動目錄的部署是完全拋開審計對象或事件來實施的。審計是管理過程中的重要部分,而并不僅僅用來判斷域安全策略是否實施成功的手段。

此外,審計還是檢查和平衡兩類管理員權限的主要手段。在需要確定應當進行什么樣的安全策略改變以及由誰來實施的時候,審計是你的首選方法。

總結
在加強活動目錄安全性方面,微軟已經(jīng)進行了大量的研究。但問題是絕大部分的用戶在安裝域的時候就缺乏正確的安全規(guī)劃,使得他們最后不得不花上大量時間來修補出現(xiàn)的問題。

請記住:規(guī)劃,授權,還有審計。

來源:ZDNET

發(fā)布:2007-04-22 10:11    編輯:泛普軟件 · xiaona    [打印此頁]    [關閉]
沈陽OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務大廈18樓

咨詢:400-8352-114

加微信,免費獲取試用系統(tǒng)

QQ在線咨詢

泛普沈陽OA快博其他應用

沈陽OA軟件 沈陽OA新聞動態(tài) 沈陽OA信息化 沈陽OA快博 沈陽OA行業(yè)資訊 沈陽軟件開發(fā)公司 沈陽門禁系統(tǒng) 沈陽物業(yè)管理軟件 沈陽倉庫管理軟件 沈陽餐飲管理軟件 沈陽網(wǎng)站建設公司