AD安全优化解决方案.docx
《AD安全优化解决方案.docx》由会员分享,可在线阅读,更多相关《AD安全优化解决方案.docx(17页珍藏版)》请在冰点文库上搜索。
AD安全优化解决方案
AD安全优化解决方案
AD安全优化解决方案
设计一个稳定、可靠和扩展性良好的活动目录架构对一个企业网络的管理及安全具有重大意义,并对部署微软的相关产品如Exchange等具有举足轻重和决定性的重要意义。
1.1.活动目录介绍
活动目录是Windows2012网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。
活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。
另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。
同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。
总的来说,活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中,同时,无需管理员来维护各种不同的专用目录。
活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。
同时,它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。
公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。
活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。
活动目录是微软各种应用软件运行的必要和基础的条件。
下图表示出活动目录成为各种应用软件的中心。
1.2.应用Windows2012ServerAD的好处
Windows2012Server是微软最新推出的网络操作系统服务器,它沿用了Windows2000Server的先进技术并且使之更易于部署、管理和使用。
其结果是:
其高效结构有助于使您的网络成为单位的战略性资产。
应用Windows2012Server的好处如下表所示:
优势
描述
可靠性
WindowsServer2012是迄今为止最快、最可靠和最安全的Windows服务器操作系统。
提供集成结构,用于帮助您确保商业信息的安全性。
提供可靠性、实用性和可伸缩性,使您可以提供用户需要的网络结构。
高效
WindowsServer2012提供各种工具,允许您部署、管理和使用网络结构以获得最大效率。
提供灵活易用的工具,有助于使您的设计和部署与组织及网络的要求相匹配。
通过加强策略、使任务自动化以及简化升级来帮助您主动管理网络。
通过让用户自行处理更多的任务来降低支持开销。
连接性
连接WindowsServer2012可以帮助您创建业务解决方案结构,以便与雇员、合作伙伴、系统和客户更好地连接。
提供集成的Web服务器和流媒体服务器,帮助您快速、轻松和安全地创建动态Intranet和InternetWeb站点。
提供集成的应用程序服务器,帮助您轻松地开发、部署和管理XMLWeb服务。
提供多种工具,使您得以将XMLWeb服务与内部应用程序、供应商和合作伙伴连接起来。
最经济
与来自Microsoft的许多硬件、软件和渠道合作伙伴的产品和服务相结合,WindowsServer2012提供了有助于使您的基础架构投资获得最大回报的选择。
为使您得以快速将技术投入使用的完整解决方案提供简单易用的说明性指南。
通过利用最新的硬件、软件和方法来优化服务器部署,从而帮助您合并各个服务器。
降低用户的所属权总成本(TCO),使投资很快就能获得回报。
Windows2012Server的核心是一组基于ActiveDirectory(目录服务,简称“AD”)的基础结构服务。
Windows2012AD简化了管理,加强了安全性,扩展了互操作性。
它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。
应用Windows2012AD之后,企业信息化建设者和网络管理员可以从中获得如下好处:
系统平台基础架构。
基于Windows2012AD规划网络基础架构,使企业获得一个稳定、可扩充的网络基础平台。
不单单是满足当前的网络需要,更关键的是预计了今后3-5年内可能的发展需要,使得将来的网络规划建设无需再次重复投资。
单一登录。
可以统一用户帐户设置和用户身份验证,实现用户单一登录,用户访问网络中的资源不再需要反复输入用户名称和口令。
同时,它还是企业应用集成的基础。
基于AD的单一登录功能,便于实现在不同程序之间的协作和集成应用。
网络安全。
可以基于AD,集中设置和统一管理用户、组、资源的操作权限,方便维护管理。
集中管理和委派授权。
基于Windows2012活动目录OU实施委派授权管理,未来向下属企业推广时,分级维护,集团各部门、下属公司可以对所辖范围内的部分参数进行维护,如增加用户、设置权限、增加栏目、自定义流程等。
用户桌面管理。
通过规划部署Windows2012OU和组策略,可以统一规划用户桌面和用户操作环境,实现对客户计算机的集中控制管理,加强信息管理的安全可靠性。
软件自动分发。
通过规划部署Windows2012OU和组策略,还可以实现应用程序的自动分发、升级和删除,不但可以实现客户机软件的统一安装管理,而且大大减轻了软件安装配置的工作量。
1.3.明确系统规划目标
企业的Windows2012AD系统规划构建是为企业信息化建设服务的,需要达到以下战略目标:
围绕企业的战略发展需要,进行企业信息化建设系统规划,满足企业3-5年的业务发展对IT建设的要求;
以业务为驱动,通过有效的信息系统,加强信息共享和协同办公,提高工作效率,降低成本;
整合企业现有信息资产,加强企业管理与监控;从信息中挖掘知识,提高经营决策与驾驭风险的能力;
推进知识管理理念,建立知识型企业,增强企业的核心竞争力。
Windows2012AD系统规划实施的具体目标如下:
规划和部署基于Windows2012AD的企业目录服务,首先实现用户的单一登录,保障网络系统安全;
通过AD实现用户桌面的集中和自动管理,分发软件补丁;
进一步部署微软的相关应用平台软件,如实现基于Exchange2013的企业内部邮件和协作服务,
1.4.活动目录设计方案
我们为企业设计一个域,用户的所有计算机(服务器和客户机)全部加入到域,用户实现单一登录和管理员通过域组策略实现安全及桌面管理。
易出错。
活动目录集中进行管理并加强了与组织机构的商业过程一致、且基于角色的安全性。
例如,对多身份验证协议(如Kerberos,X.509认证以及由灵活的访问控制模型组成的智能卡)的支持实现了对于内部桌面系统用户、远程拨号用户和外部电子商务客户强大且一致的安全服务。
活动目录使用以下方法增强安全性:
改进了密码的安全性和管理通过向网络资源提供单一的集成、高性能且对终端用户透明的安全服务。
保证桌面系统的功能性通过根据终端用户角色锁定桌面系统配置来防止对特定客户主机操作进行访问,例如软件安装或注册项编辑。
加速电子商务的部署通过提供对安全的Internet标准协议和身份验证机制的内建支持,如Kerberos,公开密钥基础设施(PKI)和安全套接字协议层(SSL)之上的轻便目录访问协议(LDAP)。
紧密的控制安全性通过对目录对象和构成他们的单独数据元素设置访问控制特权。
2.2.重要组策略介绍
1.软件分发策略
通过组策略可以为域中的计算机或用户自动分发带有msi包的软件。
见下图。
2.将用户的个人数据从pc机上重定向到服务器上
重定向有利于数据的安全以及集中备份。
见下图。
3.安全类组策略
密码策略
²“强制密码历史”设置确定在重用旧密码之前必须与用户帐户相关的唯一新密码的数量。
²配置“密码最长使用期限”设置,以便密码在环境需要时过期。
²“密码最短使用期限”设置确定了用户更改密码之前必须使用密码的天数。
²“最短密码长度”设置确保密码至少包含指定数量的字符。
²“密码必须符合复杂性要求策略”选项检查所有新密码以确保它们符合强密码的基本要求。
l账号锁定策略
帐户锁定策略是一项WindowsServer2012安全功能,它在指定时间段内多次登录尝试失败后锁定用户帐户。
允许的尝试次数和时间段是由为安全策略锁定设置配置的值决定的。
用户不能登录到锁定的帐户。
²“帐户锁定时间”设置确定在未锁定帐户且用户可以尝试再次登录之前所必须经历的时间长度
²“帐户锁定阈值”设置确定用户在帐户锁定之前可以尝试登录帐户的次数。
²“复位帐户锁定计数器”设置决定了“帐户锁定阈值”复位为0以及帐户被解锁之前所必须经过的时间长度。
l禁用本地管理员帐号
默认情况下,每台加入到域中的计算机都有Administrator和Guest两个帐号,Administrator帐号在安装时口令为空。
用户使用这个帐号权限过大,因此一般不会给用户使用这个管理员帐号,最好的做法就是通过组策略禁用这个帐号,用户使用域的帐号。
l将域帐号加入到每台PC机的本地PowerUsers组中
创建域帐号时,默认情况下这个帐号只属于DomainUsers组中,该组属于每台PC机的本地Users组。
本地Users组中的成员权限受到严格限制,比如共享文件夹,安装打印机驱动程序等工作的权限都没有。
而经常有用户需要这些权限,可以通过组策略来实现。
l禁用系统服务
我们为优化系统和安全性考虑,经常要禁用计算机的一些无需运行的服务。
我们可以通过组策略把这些服务禁用掉。
l软件限制策略
对一些规定不得使用的软件可以通过组策略来禁用:
²路径规则:
特殊文件路径下的软件不得使用:
如programfiles下的某些软件
²证书规则:
只有系统管理员颁发过证书的软件可以使用,其他软件禁止使用
²哈希规则:
对禁止使用的软件通过哈希运算得到这个软件的身份指纹,在组策略里设置只要是符合身份指纹鉴定的软件就进行限制
l网络连接控制策略
用户经常会通过改变“网络连接”中的设置,绕过企业防火墙,建立自己的上网链路,比如电话拨号上网。
这样会带来很大的安全隐患。
可以通过组策略限制用户不得改变网络连接中的配置,不允许用户通过其他方式连接互联网。
2.3.计算机从工作组加入到域可能存在的问题和解决方法
把计算机从工作组模式加入到域模式可能会出现以下二个问题
问题:
1.一些软件不能使用。
有一些软件以登录者的管理员权限帐号运行,当计算机加入到域并对登录帐号做了权限设置,或禁用了本地管理员帐号,这些需要管理员权限运行的软件就有可能不能正常运行。
2.用户桌面环境发生改变。
由于加入域前后用户是用不同的帐号登录的,因此用户以前的桌面环境无法使用。
具体有
²桌面上放置的资料
²“我的文档”等放置的资料
²配置好的“网络打印机”
²IE里设置好的“网站收藏夹”等。
解决方法:
1.对问题1我们可以按以下两个方法来解决:
(1)把域帐号加入到本地管理员组
(2)卸载软件,用域帐号登录并安装
2.对问题2针对不同的问题分别解决如下:
(1)把本地老帐号下的桌面内容全部备份下来,复制到新域帐号的桌面
(2)把本地老帐号下的“我的文档”内容全部备份下来,复制到新域帐号的“我的文档”
(3)重新连接和创建“网络打印机”
(4)用特殊软件把老帐号IE里的“网站收藏夹”备份下来,然后恢复到新域帐号中
3.活动目录方案实施
3.1.AD域命名和DNS的规划
Windows2012AD域命名和DNS的规划之所以放在首要地位,是因为AD作为整个IT架构的基础,不应该轻易被调整。
尽管安装后,Windows2012AD仍然可以重组和改名,这一点比Windows2000AD有了很大的进步,但是我们仍然建议做一个长远规划,使得域命名和DNS服务能够满足企业3-5年的需求,尽量避免配置好后改作调整地巨大人力物力浪费。
此外,部署Windows2012AD,还必须确定DNS服务器,确保它们满足域控制器定位器系统的要求。
一个支持AD的DNS至少需要满足以下要求:
必须支持服务定位资源记录(SRV)
应该支持DNS动态更新协议(RFC2136)
Windows2012Server提供的DNS服务同时满足这些要求,并且还提供下列重要的附加功能和改进:
ActiveDirectory集成:
DNS服务把区域数据存储在目录中,使得DNS复制创建多个主域,也减少了对维护一个单独的DNS区域传送复制拓扑的要求。
安全动态更新:
使得一个管理员可以精确地控制哪些计算机可以更新哪些名称,并防止XX的计算机从DNS获得现有的名称。
条件转发:
根据不同的对外访问的域名后缀,可以将用户的DNS名称解析请求转发到不同的外部DNS服务器。
存根区域:
可以定时地刷新和外部DNS服务器的连接,及时发现那些可能有故障、不再响应用户请求的服务器,提高用户DNS名称解析的效率。
3.2.确定AD逻辑结构
Windows2012活动目录的逻辑结构由三个基本组件组成:
森林、域和OU。
1、确定森林规划
森林是Windows2012AD域的集合。
在很多情况下,单一森林就足够了。
单一森林环境易于建立和维护,森林间的域自动建立双向可传递内部信任关系,不要求手动建立外部信任配置,在安装Exchange2013Server等应用程序时,只需应用一次架构更改即可影响所有域。
如果各个单位有下列管理要求,就必须建立一个以上的森林:
不互相信任管理员。
希望限制信任关系范围。
不同意某种森林架构更改策略。
架构更改、配置更改会影响到森林中所有的域。
如果单位不同意一个公共架构策略,它们就不能共存于同一个森林中。
2、制定域规划
规划域结构时,始终遵循“简单是最好的投资”的设计原则,尽管增加某些复杂结构可以增值,但是简单的结构更易于说明、维护和调试。
一开始时总是仅考虑每个森林中仅有一个域,然后为每一个增加的新域提供详细的理由,确保添加到森林中的域都是有益的,因为它们会带来相应的管理开销而导致一定程度的成本上升。
创建更多的域的三种可能的原因是:
希望实现相对分散式得IT管理模式:
多域结构更容易进行相对独立的管理、委派和权限控制。
另外,不同的用户帐户在一个域内是不能出现重名的,多域之间就没有限制。
对于人士管理相对独立的集团下属公司,多域结构具有更好的灵活性。
希望实现不同管理策略要求:
包括用户口令策略、账户锁定策略和EFS加密策略。
例如,要求某些人必须取8个字符以上的口令,而其它人不做限制。
为此,必须将这些需要不同安全策略的用户放在单独的域中。
希望减小WAN上的复制流量:
域控制器域间复制将产生比域内复制少的多的流量。
如果公司很大,具有跨地区的组织结构,且处于同一个森林内,则在不同地理位置上的机构可能使用慢速的WAN链路连接。
为减少WAN上的DC复制流量,可以在不同的地理位置设置不同的域。
根据以上考虑,我们建议,企业Windows2012AD域逻辑结构可以采用“单森林、单域”的结构设计。
3.3.确定AD物理结构
Windows2012AD物理结构主要是规划站点拓扑,用于帮助您决定在网络的什么地方放置域控制器,以及管理域控制器之间的复制流量和用户登录流量。
考虑到企业的地理分布情况,应该考虑使用多站点拓扑来规划Windows2012AD物理结构。
从绘制基本的网络拓扑布局图着手工作,绘制所有可能的站点(Site)和站点链接(SiteLink)。
速度快(10Mbps以上)、连接可靠的LAN网络总是放置在单站点中。
站点定义为一组通过快速、可靠的线路连接起来的IP子网。
一般而言,具有LAN速度或更快速度的网络被认为是快速网络。
窄带的、或不太可靠的连接可以使用站点链接建立多站点网络。
通常,WAN连接一般被认为是窄带连接。
如果建立站点链接,实现多站点网络模式,则:
客户计算机在登录到域时首先试图与位于同一站点的DC通信;
Windows2012AD复制使用站点拓扑产生复制连接。
3.4.规划OU结构和组策略
组织单元(OU)是一个用来在域中创建分层管理单位的容器。
在域中创建OU结构时,必须注意始终按照“谁管理什么”的原则,从IT管理的需要出发,划分管理模型的结构,而不是简单按照公司业务单位和它的不同分支、部门和项目来创建OU结构。
考虑OU的下列特性是很重要的:
OU可以是嵌套的。
一个OU可以包含子OU,使得可以在域中创建一个分层的目录树结构。
但是嵌套太多将导致管理复杂和低效,所以建议以二级嵌套为最理想,最多不应超过四级嵌套。
OU可以用来委派管理和控制对目录对象的访问。
不能使OU成为安全组的成员,也不能因为用户被委派管理OU或驻留在OU中而自动获得访问资源的权限。
可以在OU上实施组策略。
组策略是基于Windows2012注册表的修改,从而集中控制用户和计算机的工作环境、桌面配置、软件自动安装和删除的管理手段。
一般而言,安全策略必须在域级别实施,其它策略主要在OU级别实施。
不鼓励用户在OU结构中浏览。
没有必要设计一个吸引最终用户的OU结构。
尽管用户有可能浏览一个域的OU结构,但对于用户查找资源来说,这并不是一个最有效的方法。
在目录中查找资源的最有效的方法是查询全局编录。
有两个理由需要在Windows2012域中创建OU结构:
创建OU以管理对象和委派授权。
为组策略创建OU。
一个完全为管理和委派而设计的OU结构与一个完全为组策略而设计的OU结构是不同的。
OU结构将很快变得相当复杂。
每次添加一个OU到规划中时,要记下创建的具体原因。
这有助于确保每个OU有一个目的,并将帮助阅读规划的人理解结构所基于的理由。
3.5.创建OU以管理和委派
在单位中委派管理有一些好处。
以前,在单位中除了IT之外的组可能必须将更改请求提交到高级管理员,高级管理员代表他们进行更改。
委派特定的权限可以将责任分散到单位中的各个组,使您可以将必须有高级访问权限的用户的数量降到最少。
权限受到限制的管理员所发生的事故或错误所产生的影响只限于他们负责的范围。
这一工作包括以下步骤:
确定创建何种OU
创建的OU结构将完全取决于管理是如何在单位中委派的。
委派管理的三种方法是:
按物理位置、按业务单位(公司部门)、按角色或任务。
三种方法经常结合使用。
修改访问控制列表:
修改OU的访问控制列表(ACL)可以授予一个组对OU的特定权限,从而实现对该OU的委派管理。
尽量委派权限给组账户而不是单独的用户,如果可能,委派到本地组而不是全局组或通用组。
委派步骤。
从域中的默认结构开始,按下列主要步骤创建OU结构:
通过委派完全控制创建OU的顶层;
创建OU的下层来委派每个对象类别控制。
3.6.创建OU支持组策略
使用Windows2012,可以使用组策略定义用户和计算机配置,并将这些策略与站点、域或OU关联。
是否要创建附加的OU以支持组策略的应用取决于制定的策略以及所选择的实现方案,包括:
定义客户计算机的管理与桌面配置标准
定义软件的自动分发
特殊组策略应用配置与管理
在Windows2012中,组策略设置是管理员启用集中更改和配置客户计算机管理的主要方法。
可用组策略为某个特定的用户组和计算机组创建指定的安全限制和桌面环境配置。
Windows2012组策略有100多种与安全有关的设置和450多种基于注册表的设置,为您管理用户计算机环境提供了众多选项。
Windows2012组策略:
可根据活动目录定义或在计算机本地进行定义;
可用Microsoft管理控制台(MMC)或*.adm文件保存和管理;
是安全的;
不会在实施的策略改变时把设置留在用户配置文件中;
应用于指定的活动目录容器(站点、域与OU)中的用户或计算机;
可由安全组的用户或计算机成员进一步控制;
可用来配置多种类型的安全设;
可用于实施登录、注销、启动及关闭脚本;
可用于安装和维护软件;
可用于重定向文件夹(如MyDocuments和ApplicationData文件夹);
可用于在MicrosoftInternetExplorer中执行维护。
可以按下列三个步骤配置和管理组策略:
管理站点、域或OU的组策略链接:
默认情况下,只有域管理员组和企业管理员组可以配置站点、域或部门的组策略。
可在站点、域或OU的“属性”页的“组策略”选项卡中指定链接至站点、域或OU的组策略对象。
ActiveDirectory支持以每个属性为基础的安全设置。
创建组策略对象:
默认情况下,只有域管理员组、企业管理员组和组策略创建者(所有者)组的成员可以创建新的组策略对象。
如果域管理员想使一个非管理员用户或组能够创建组策略对象,则可将该用户或组添至组策略创建者(所有者)安全组中。
这样,他们就可以创建、修改自己的组策略对象,并成为该组策略对象的创建者和所有者。
编辑组策略对象:
默认情况下,组策略对象接受域管理员、企业管理员及组策略创建者(所有者)组成员的完全控制,课以便机组策略,但非管理员用户没有设置组策略链接的应用权。
3.7.应用组策略选项
如果能认真应用组策略选项,即使开始用数据极其多的文件夹重定向选项和软件安装选项,也能够改善网络的响应时间。
应恰当地应用组策略选项,尤其在刚开始时,更要仔细测试所有建议的更改,以确保不损坏网络性能。
下面是一些可用的选项:
安全组筛选选项:
可针对某个特定组策略对象实施筛选,使之不能对筛选的计算机和用户组生效。
不许替代(强制继承)和阻止继承选项:
例如,如果在域层次定义了一个指定的组策略对象,并已指定组对象是强制的(不许替代),那么组策略对象所包含的策略设置就会应用于该域中的所有OU;层次较低的容器(OU)将无法替代此域的组策略,一般用于安全设置。
也可阻止从父ActiveDirectory容器继承组策略。
但是,不许替代(强制继承)策略选项始终比阻止继承策略选项优先。
处理“环回”策略设置的策略选项:
默认的设置使计算机策略优先于用户策略起作用,但有时必须要优先实施用户策略,组策略的环回功能使管理员能够实现这一设置。
主要用在软件安装这一类的策略上。
低速链接处理的选项:
许多用户,如使用便携式计算机的用户、远离建筑物或在分部工作的用户,有时会用低速连接至网络。
可对组策略进行配置,使部分策略不能生效,以减少网络开销。
这些组策略设置包括:
²软件安装与维护
²脚本
²磁盘配额
²IP安全
²Dfs故障恢复策略
²InternetExplorer维护
周期刷新选项:
可指定定时地处理组策略。
默认情况下,DC计算机策略每5分钟刷新一次,而成员服务器和客户计算机每90分钟刷新一次,并带有30分钟的随机偏移量。
可根据需要改变此刷新频率。
3.8.硬件设备选型建议
为实现Windows2012AD系统的部署实施,建议至少配置两台服务器:
Windows2012AD主域控制器:
1台,同时兼作DNS、DHCP、WINS服务器;
Windows2012AD备份域控制器:
1台,同时兼作DNS、WINS服务器;
上述服务器硬件配置建议如下:
2颗P43.0GHZ以上CPU。
2GB以上内存。
73GBSCSI硬盘:
建议使用2个硬盘,实施镜像(RAID-1);
或者3个以