如何保证分支机构活动目录数据安全

要保证分支机构活动目录数据安全,首先就得了解分支机构的特点。所谓分支机构是整体企业的一个组成部分,它在经营业务、经营方针等各方面都要受到公司总部不同程度的控制,与总部在地理位置上通常相隔一定的距离,网络带宽通常很差,用户量少,没有专门的机房,也没有专门的IT人员进行管理维护分支机构办公室的机器。在这种网络环境下,我们假设有一个公司,总部IT 已经组成域管理环境,由于业务需求,业务程序软件必需安装在域控制器上,于是在分支机构设立一台域控制器。仔细考虑,会遇到了几个比较棘手的问题:
1、必需具有域管理员的权限才能够登陆域控制器进行软件更新、系统补丁更新等服务器常规维护工作,分支机构没有人员具备域管理员权限资格,且公司安全策略要求限制域管理员数量;2、确保用户帐号、计算机帐号的安全,即使放置在分支机构的域控制器被盗,也不能影响整个公司信息资源的安全。

在这样一个物理安全没有得到保证,网络质量又不稳定的情况,如何保证分支机构的业务能够正常运转,成为我们IT 管理部门很头疼的一件事情。在windows server 2008 还没有出来之前,我们只能把域控制器部署在公司总部,增加分支机构到总部的网络带宽来保证分支机构的业务正常进行,这样用户不得不跨广域网连接域控制器进行身份验证,这将导致登录时间变长,阻碍网络资源的访问。在许多案例中,这不是有效的解决方法。那么windows server 2008 面世,又能给我们带来什么解决方案呢?Windows Server 2008 改善了活动目录域控制器的安全特性,采用了最激动人心的技术之一只读域控制器(RODC),这一崭新的域控制器技术包含了大量特性,这些特性旨在提高分支机构地区活动目录(AD)环境的整体安全性,为分支机构活动目录数据安全提供有效的解决方案。
Windows Server 2008 活动目录只读域控制器具有只读活动目录数据库、单向复制、凭据缓存、管理员角色分离、支持只读DNS 这些特性,也就是这些特性保证了分支机构活动目录数据安全,我们通过实验的方式来直观明了地解释这些特性。
1、 部署RODC
在域中部署一台RODC 的前提条件需要两个:
a、林功能级别必须是 Windows Server 2003,以便可以使用链接值复制。这提供了更高级别的复制一致性。当然域功能级别也必须是 Windows Server 2003。

b、域中至少运行一个Windows Server 2008 的可写域控制器。这为 RODC 提供了复制伙伴。

若要部署运行Windows Server 2008 的域控制器, 必须将 Windows Server 2008 安装 DVD 上sourcesadprep 文件夹中的内容复制到架构主机, 然后运行 adprep /forestprep 和adprep/domainprep /gpprep。
这里我们简单以windows server 2008 域为例:

实验简单步骤:
Ø 在DC3 上安装活动目录
a、首先TCP/IP 属性设置如下图:
b、利用服务器管理器添加Active Directory 域服务角色
c、角色添加完成后,在命令提示符下输入dcpromo
d、打开活动目录安装向导,输入信息:
e、勾选DNS 服务器选项,接下来几个对话框按默认值即可,最后安装活动目录,完成后重启,
f、打开“Active Directory 用户和计算机”管理工具,新建组织单位TEST,在该组织单位下新建用户test001。

Ø 在DC4 上安装只读域控制器
a、在DC4 上设置TCP/IPS 属性
b、利用服务器管理器添加Active Directory 域服务角色
c、角色添加完成后,在命令提示符下输入dcpromo
d、打开活动目录安装向导,输入信息:
e、勾选DNS 服务器、全局编录、只读域控制器RODC 选项
f、接下来的几个对话框选择默认值即可,然后安装完成后重新启动。

Ø 将客户端PC2-WIN7 加入域
a、首先设置TCP/IP 属性,如下图:
b、打开“系统属性”对话框,选择“计算机”选项卡
c、在“计算机”选项卡上,选择“更改”,然后输入contoso.com,成功加域后重启系统。

Ø 验证只读活动目录数据库

a、在DC3 上打开“Active Directory 用户和计算机”管理工具,展开域控制器组织单位,可以看到DC4 为只读DC
b、在DC4 上打开“Active Directory 用户和计算机”管理工具,右键点击contoso.com 域,可以看到没有可以创建对象的选项,说明无法在只读域控制器上创建或修改对象,其数据库是只读的,这意味着无论是普通用户还是管理员,都没有权限通过只读域控制器对活动目录数据库进行修改。

Ø 验证单向复制
a、在DC3 上打开“Active Directory 站点和服务”管理工具,如下图可以看到DC3 复制伙伴为空,DC4 复制伙伴为可写域控制器DC3,说明只读域控制器的数据库必须从可写域控制器上复制数据,可写域控制器无法从只读域控制器上复制数据,验证了复制是单向的。
Ø 缓存分支机构凭据
a、在DC3 上,打开“Active Directory 用户和计算机”管理工具,展开域控制器组织单位,打开DC4 只读域控制器的属性,查看密码复制策略,默认只有一个允许密码复制策略
b、在密码复制策略对话框中,打开“高级”对话框,可以看到,只有默认的只读域控制器计算机账号和Kerberos 身份验证账号密码被缓存到RODC,其他账号密码没有存储在RODC 上,保证了账号的安全。
c、可以通过密码复制策略来决定哪些用户或计算机帐号密码可以复制到RODC 上,这大大降低了远程配置DC 的有关风险,因为它将有可能受到威胁的密码数量缩减到了最少。添加一个允许密码复制策略,允许将客户机PC2-WIN7 计算机帐号及用户帐号test001 密码缓存到RODC上
d、在密码复制策略对话框中,选择“高级”,点击“预设密码”将用户帐号test001 和计算机帐号PC2-WIN7 的密码提前存储到RODC 上
e、禁用DC3 的网卡,模拟网络故障,用户test001 第一次在客户机PC-WIN7 上登录,仍然能够得到身份验证,登录网络。说明只要设置合理,分支机构与总部的网络中断,客户机仍能
够在RODC 得到身份验证;通过在这些办公室中配置RODC,公司不用再在潜在不安全地区配置可写域控制器,这样就避免了公司暴露于固有的安全风险,也能减少远程用户的验证次数。
f、测试完成后,重新启用DC3 网卡。
Ø 管理员角色分离
由于分支机构没有专门IT 部门,默认情况下,域中普通用户无法登录域控制器,如何让域中普通用户能对RODC 进行系统补丁升级、软件更新等维护工作,而不需要赋予域管理员权限呢?其实我们只需要把普通用户加入到RODC 本地管理员组就可以完成对RODC 的维护任务,如下步骤:
a、 以域管理员登录RODC,在命令提示符下输入dsmgmt,然后在dsmgmt 模式下输入localroles 查看服务器上可进行的委派
b、 在local roles 模式下,输入add contoso est001 administrators,可以看到“已成功更新本地角色”回应,说明成功把普通域用户test001 加入到RODC 本地管理员组
c、 为了让域用户test001 能够对该分支机构进行活动目录管理,例如:添加或删除计算机帐号、添加或修改用户帐号等,我们必须在可写域控制器上对分支机构OU 进行委派控制,登录DC3,假设分支机构OU 为TEST,右键点击TEST,选择委派控制,然后根据向导进行设置即可
d、 选择委派控制的用户和组,假设委派给用户test001
e、 委派常见任务,最后完成设置
f、 以域用户test001 登录RODC,即DC4
g、 打开“Active Directory 用户和计算机”管理工具,在TEST 组织单位下,可以新建用户和组,实现对分支机构的活动目录管理

Ø 验证只读DNS
a、 在RODC 上打开“DNS 服务器”管理工具,可以看到所有区域属性都是只读的,无法修改

Ø RODC 被盗如何处理
由于分支机构没有专门IT机房,谁都能接触到,物理安全没有得到保证,万一被盗了该怎么办。应尽快从域中删除此 RODC 帐户并重置其当前密码存储在此 RODC 上的帐户的密码。其实
处理起来也很简单,步骤如下:
a、 在DC3 上,使用“Active Directory 用户和计算机”,用鼠标右键单击Domain ControllerOU 中的RODC 计算机对象,然后选择“删除”
b、 为了安全考虑,应全部勾选复选框,但如果重置计算机帐户密码,则必须将计算机重新加入域。重置用户帐户密码,用户必须联系帐户管理员才能登录域。

c、 之后“删除域控制器”会要求您确认删除请求。确认该请求正确,然后单击“确定”以继续进行删除

总结:在分支机构物理安全没法保证情况下,windows server 2008 的RODC 提供了一个很好的解决方案,通过其独有的特性保证了分支机构活动目录数据安全。