【安全科普】AD域安全管理(一)

活动目录(AD)凭借其独特管理优势,从众多企业管理服务中脱颖而出,成为内网管理中的佼佼者。采用活动目录来管理的内网,称为AD域。


了解AD域,有助于企业员工更好地与其它部门协作,同时提高安全意识。中安网星由此推出AD域安全科普系列,为大家讲解AD域的安全管理。


AD域将企业内网中的所有资源对象集中到域控上,存储在AD数据库中,采用DNS规则命名,方便管理的同时提高安全性。

这一篇文章中,我们先给大家介绍下AD域服务的应用环境——域,在了解清楚域的形成和结构之后,才能对AD域服务的功能有更深入的理解。

域的形成


在企业办公场景中,经常需要部门间互相共享资源,如果每与其它计算机通信一次,都要经过一次身份验证,会大大影响部门间的协调性,影响办公效率。

如果我们简单地关闭身份验证服务,将会导致计算机面临严重的安全风险,这种方法得不偿失。最好是与企业内部计算机通信时能够免去身份验证,而与外部计算机通信时依然保留身份验证服务。

这就需要在内部员工计算机间构建信任关系,建立了信任关系的计算机连起来就形成域。域外计算机与域内计算机通信需要进行身份验证,不同域的域计算机通信前需建立信任关系。当以域为单位建立信任关系时,可以在两域中的所有计算机间进行免验证通信。

而企业员工只需注册成域用户,在任一台域计算机上登录,就能与其它域用户通信。

这其实与单点登录的功能类似。单点登录中,用户只需进行一次身份验证,就能访问所有服务器。在域中,域用户只需要在登录时进行一次身份验证,就能与其它域用户进行免验证通信。

这个对用户进行身份验证的服务器就是域控制器(DC),简称域控。

域控


域控是集中存储域内所有资源对象及其属性的服务器。如果把域内资源对象看作团队成员,域控就相当于团队的领导者,所有人都要听它安排,所有事情都要给它汇报,包括对象信息变动、权限划分、资源分配等。

比如,企业中有新员工入职时,就要在域控上给他注册一个账号。该账号作为他进行域内活动的唯一凭证,关联他的所有信息,包括工作岗位、电话号码、对域内资源的使用权限等。

也正因此,黑客侵入企业内网后,都会想方设法横向移动到域控主机,夺取其控制权,进而掌握域内所有资源信息。

更为棘手的是,假使黑客攻破了域控主机,删除其上存储的全部信息,并破坏域控主机的正常功能,那么即使企业能够检测查杀入侵活动,也无法恢复正常业务功能。

这种情况下,我们通常会通过部署额外域控的方式来降低风险。顾名思义,额外域控就是在在已经存在一个域控的基础上,又多设置的域控。

我们只要将主域控上的信息备份到额外域控,并同步更新,那么在主域控发生故障时,就能用额外域控暂时代替主域控,保证信息系统的正常运行。

除此之外,额外域控还有一个重要作用,就是提高效率,它可以在有许多域用户要求提供服务时,替主域控分担压力,由它来响应部分用户的请求,从而提高企业整体效率。

除了以上提到的两种类型,还有一种只能读不能写的域控,简称只读域控(RODC)

在只读域控管辖的域范围,用户只能进行登录验证和查找资源,而无法修改资源信息和配置组策略等,一般在企业的分支机构中应用较多。

当分支机构与中心内网间断开联系,用户无法通过中心域控登录,为了不影响他的正常工作,就由中心域控将用户信息拷贝到只读域控上,用户就能通过只读域控验证登录。

这样,就能保证分支机构的权限不必过大,也能正常运行。

域控作为域内资源管理的主导者,拥有极大的权限,也经常成为攻击者侵入企业内网的目标。保护内网安全,我们必须加强对域控的防护。

域树、域林


作为一台集中管理资源的设备,单一域控的承载能力是有限的,当域内用户数量达到它的承载极限时,为了满足需求,需要在其下再划分一个域。

新划分的域从旧域中衍生出来,与旧域建立了双向传递的信任关系,两者共享同一个存储结构和配置。因为他们间存在上下层次的依赖关系,一般我们将旧域称为父域,新域称为子域。

父域和子域形成连续的名字空间,同一名字空间的域连成域树。通常将第一个创建的域作为树根,其它随后创建的域就作为树的枝干延伸。每一个子域都用其上父域的名字作为域名后缀,比如,父域的名称是zawx.com时,子域的名称可能为a.zawx.com。

当内网中形成了多棵域树,会给管理增加困难。实际上,不管划分了多少片域形成了多少棵域树,他们都是属于同一个企业的。我们可以将企业中的所有域树连起来,用统一的活动目录管理,这就形成了域林。

“林”中的所有“树”共享同一个存储结构、配置和全局目录。通常将“林”中第一个创建的域作为根域,根域相当于“林”的主人,能够管理其它域,并在其上存储部分其它域的资源。

“林”中的域用户登录后,不仅可以与本域用户进行免验证通信,还能与林中其它域用户免验证通信。甚至在其它域赋予权限后,能查找及使用它域的资源。

简单来说,域树、域林是多个域的集合,从概念上来看,域树、域林代表了更大范围的信任联系,能协调更多部门间的通信和资源使用关系,更大程度上提高企业整体的协作效率。

# 结语 #


以上篇章中,我们为大家讲解了域、域控和域树、域林。在企业中应用时,通常将每个子公司单独划分成域,由子公司管理,再在各个域间建立双向传递的信任关系形成域树、域林,由企业统一管理。

实际上,域树域林的形成是借助了活动目录强大的拓展性。活动目录(AD)在内网管理中的优势不限于此,还有很多值得探索的地方,下一篇文章中,我们将给大家详细介绍AD域服务的功能。