专家答疑:如何进行活动目录安全审计?

如果问安全专家要获得对基础架构服务和应用的访问权限,通常用什么目录数据库。他们最有可能给出的答案是:LDAP或者活动目录(Active Directory)。

尽管LDAP作为一个国际标准的数据库获得了市场上几乎所有目录服务提供商的支持,但活动目录几乎也已经获得了所有LDAP提供商的支持,并且部署足迹遍布大部分企业(尽管活动目录是由单一厂商——微软——提供的)。从最早作为为少数联网的PC机提供认证的工具开始,活动目录已经成为了企业首选的目录数据库。由于当前企业目录数据库部署复杂性越来越高,IT管理员要花费大量的时间用于设计和支持等工作,以确保活动目录的功能特性满足组织的需要。但是,一些IT管理员常常忽略了一项最重要的工作:确保他们的活动目录自身的安全。

活动目录包含了组和用户账户信息,这些信息就像是进入王国的钥匙。在大多数情况下,如果一个组织的活动目录部署遇到了灾难性事件,那么组织中将没有人能够获得所需的服务去履行他们的职责。

那么,判断一个活动目录基础设施是否安全的最好方法是什么呢?进行周期性的活动目录审计是必要的,这样可以确保活动目录被有效地管理和保护起来了。同时,审计人员必须理解对于活动目录部署而言哪些方面是最重要的,以及要审计什么内容。以下列出的内容可以帮助大家理解如何确保活动目录的安全:

策略和架构——活动目录与所有企业服务一样,必须有一个长期的管理计划。审计员应该维护一个较好文档化了的策略和架构,描述活动目录包含的信息,以及谁可以访问这些信息,活动目录在组织内部的角色是什么?架构的变更应该如何进行并记录?

物理布局—— 最起码,要确保活动目录服务器以及它们的域控制器是安全的,也就是说要确保他们被安放在安全的物理位置。不论是在专业的数据中心,还是在上锁的机柜中,活动目录服务器必须被保护好,防止物理失窃。如果发现活动目录服务器放在桌子下,或者位于开放的、不安全的地方,这就意味着组织的活动目录部署缺乏安全保护。

分布式部署——由于活动目录扮演了对系统和服务的访问进行控制的重要角色,活动目录数据库应该在组织中进行分布式部署。在考虑应该如何对活动目录数据库进行分布式部署时,需要有一个架构项目,一些比较好的部署地点是具有低速广域网链接的地理位置、具有大量用户的物理区域,以及靠近使用活动目录进行身份认证/授权服务的位置。此外,必须在分布式服务器之间启用复制服务,以确保拒绝服务(DoS)攻击造成的影响最小。将活动目录服务放在尽量靠近使用他们进行访问的用户端,以确保网络和电力中断造成的宕机时间最小。

管理权限——组织要利用活动目录中多层管理权限服务,裁剪出与管理职能相匹配的管理权限。审计员应该确保完全管理权限仅仅局限在极少数管理员手里。这些超级管理员负责服务器到服务器的互操作、配置和模式管理。对于负责部分管理职能的管理员(例如可以重置密码的帮助台管理员),只能获得用于行使他们职能范围之内的权限,而不能有其他任何管理权限。同时,当涉及到创建、删除和更新账户的时候,应该使用诸如预配置系统那样的自动化工具,以尽可能地减少人为错误,并保证敏感账户信息的安全。

活动目录组——活动目录组用于在宏观层面上管理服务的权限。通过将一个用户加入某个组,用户自动地继承了这个组的访问权限。活动目录组管理开始都是无组织性的——组的创建是即时的,缺少文档化和控制——导致后来的管理员对这些组当时建立的目的缺乏理解。这会导致活动目录的组数量快速增长,进而难以对它们进行管理。这也是审计员要去审查的一个关键点。在审计活动目录组的时候,审计员应该有一个清晰明确地管理这些组的流程。同时,必须完成相应的文档化工作,清晰地描述出组的所有者是谁,创建这些组的所有项目 (project),组的合法生存期多长,组权限有哪些,以及其它任何与活动目录组有关的可能涉及访问控制的问题。

模式配置——活动目录以生成树目录的模式存储信息。用户和组获得的权限基于他们在树结构中的层次和各种容器的访问控制列表(ACL),以及访问权限对象(读、写、执行、删除)。审计员应该审查活动目录模式的结构及其相关ACL,以确保那些用户和组的权限信息与存储在活动目录的其他用户/组被有效地隔离并保护起来。

加强自动账户管理——如上所述,大部分组织已经使用自动化的预配置工具来管理活动目录账户。但是,这些工具是自动化的,并不代表它们就能自动地执行好。审计员应该有一个明确的账户检查流程,以及一套经过深思熟虑的预配置工具审查规则,确保权限正确。同时,当需要用户的管理员或者资源的所有者同意进行授权的时候,必须遵循正确的工作流程。此外,审计员必须确保所有最近没有访问的账户或者不再需要账户被禁用或者及时删除。最后,为了确保正确的访问权限依然有效,组织必须有一个“再认证”的流程。其中,管理员必须定期地证明他们在职责范围之内为其他人赋予的权限与那些人的职责和行使的职能是相匹配的。

活动目录集成——尽管上面列出了几条与活动目录数据库安全相关的具体要求,但实际上很多遗留的应用和服务器依然无法直接访问活动目录,而必须通过同步来实现。这当中包括从活动目录中提取信息,并通过电子数据交换转发到其他应用和服务器上,然后将信息存储在本地接收系统中。审计员要询问是否有让这些应用和服务器直接连接到活动目录、而无需拷贝那些信息的新方法,以判断是否依然有必要从活动目录中进行数据传输。审计员还要确保在本地应用和服务器中的活动目录信息具有与远程活动目录相同的访问控制级别。最后,审计员要确认信息都能够被追踪并定位到所有使用那些信息的应用和服务器上,以确保活动目录信息不会被转发到其他(非法的)应用和服务器上。

活动目录已经从部门级的PC控制目录发展为全功能的企业目录。尽管最早的活动目录部署位于大部分审计员的视线之外,但是由于访问控制作用的不断演进,活动目录现在毫无疑问要纳入组织安全的范畴以及审计团队的视线。因此,活动目录安全审计的强度增强了数倍是完全有道理的。由于活动目录所提供的访问服务的重要性,组织不会希望这个王国的钥匙得不到保护。