角色定义了一个权限的集合,它向用户和组授予执行特定操作的权限。利用角色来进行权限的控制优势是非常明显的,可以简化权限分配的操作。从本质上来 说,角色是通过使用Windows随机访问控制列表来实现的。同Windows操作系统上的角色有着异曲同工之妙。为合适的用户分配适当的角色,能够提高 Forefront系统的安全。不过要做到这一点,也并不是很容易。在这里笔者就跟大家分享一下,角色分配相关的经验。笔者总结了以下几个建议,供大家参 考。
建议一:最小权限原则
对于Forefront服务器来说,应该给用户配置的权限要遵循最小权限原则。最小权限原则指的是用户依据这个原则享有的执行特定任务所需的最 低权限。这有助于确保在用户帐户与密码泄露的情况下,其他人利用这个账户对系统进行恶意操作,其不利影响控制到最低。而且在有多个管理员同时分工合作维护 管理Forefront服务器时,也能够减少彼此工作的干扰,提高彼此之间的独立性。
另外这个最小权限原则对于Administrators这个角色也提出了要求。众所周知,默认情况下这个角色或者组具有最高的管理权限。当将某 个用户加入到这个组之后,就具有了Forefront安全网关阵列管理员的权限。这是非常危险的一个行为。为此在实际工作中,可能需要对这个角色的权限进 行调整,甚至更改这个角色的名字。因为这个名字太显眼,容易遭到黑客的攻击。
建议二:禁用Guset帐户
当用户登录到Forefront安全网关服务器,操作系统会检查用户的身份,即账户与密码是否正确。如果不正确的话,操作系统会怎么处理呢?注 意,这里与普通的桌面系统有所不同。对于桌面系统来说,没有正确的用户名与密码的话,系统会拒绝用户登录。但是在Forefront安全网关服务器上则不 同。当用户提供的凭据与已知用户不匹配时,则用户将使用Guset身份登录。会将Guest账户所具有的权限赋予给这个用户。也就是 说,Forefront安全网关中,会讲Guest账户识别为所有未通过身份验证用户的默认用户集。
此时如果管理员比较偷懒。本来需要建议一个用户为一个新的管理员。结果没这么做。而是调整了Guest用户的权限,并将这个用户给新来的管理员 使用。也就是说,此时Guest账户已经有了一定的管理员权限。在这种情况下,最后的结果是否很糟呢?一个不知道账户与密码的用户,在不经意之间获得了一 定的管理权限。
可见在Forefront中Guest账户非常危险。在实际工作中,这个账户的权限必须最小。最好就是将这个账户禁用掉。如此的话,没有合法身 份凭据的人,就无法登陆到Forefront安全网关服务器上去。笔者再次强调一下,这个服务器上的Guest账户与操作系统上的Guest账户有一定的 差异。
建议三:了解监视审核员、审核员、管理员之间的差异
默认情况下,Forefront服务器中有三个很好玩的角色,分别为审核员、监视审核员和管理员。这三个角色之间的权限有很大的差异。好好的研究这三个角色的权限分配,对于我们管理服务器的权限具有很大的帮助。特别是需要关注如下几个操作的权限分配。
如停止和启动会话与服务,系统的默认设置是监视审核员不允许这么操作,而审核员和管理员可以操作。再如创建警报定义,监视审核员、审核员都不可 以,而只有管理员可以创建。如更改本地配置,只有管理员有这个权限。监视审核员与审核员只能够查看本地配置,而不能够更改本地配置。这主要是根据他们的不 同分工所决定的。通常情况下,监视审核员主要的任务是监视整个网络与阵列的基本运行状况与网络活动。为此根据最小权限原则,对其权限要进行严格的限制,如 不能够查看本地配置文件等等,更加不能够更改。而阵列监视员其主要用来执行整个阵列的监视任务,包括大部分的日志配置和警报定义配置。不过其毕竟不是管理 员,对其权限也需要进行一定的限制。如只能够查看本地配置,而不能够进行更改;不能够自定义报告的内容等等。简单的说,对于监视审核员,其查询权限要限 制;审核员的更改权限要限制。
Forefront系统管理员仔细琢磨这些配置的思路,对于我们后续的权限管理与角色分配会有很大的帮助。笔者认为,了解这些配置,可以帮助管理员少走这方面的弯路。
建议四:随即访问控制列表的管理
在文章一开头,笔者就强调了,角色的权限其实主要是通过访问控制列表来管理的。访问控制列表既然是操作系统上的一个文件,那么管理这个文件的方 式就有很多种。如可以通过恢复功能来改变访问控制列表中的内容等等。采取不同的方式来更改这个访问控制列表中的内容时,需要注意其兼容性,即要防止产生不 必要的冲突。具体的来说,需要注意如下内容。
一是需要注意访问控制列表的重置。通常情况下,通过全新安装,系统将会重新配置随即访问控制列表。这是毋庸置疑的。这主要是提醒管理员,需要及 时对随即访问控制列表这个文件进行备份。以便在重新部署之后,迅速恢复相关的权限设置。另外,当修改管理员角色或者重新启动安全网关控制服务 时,Forefront安全网关也将重新配置随即访问控制列表。这是很多管理员不希望看到的。但是在实际工作中确实会发生。笔者这里特别提醒,安全网关的 控制服务Isactrl,要谨慎启动。否则的话,会出大问题的。
二是需要注意,在部署有Forefront安全网关的服务器时,不能够使用安全和配置分析工具为安全网关对象配置每个文件的随机访问控制列表。 这主要是因为Forefront系统会定期的重新配置随机访问控制列表。如果使用这些工具来配置随机访问控制列表的话,就比较容易造成组策略配置的随机访 问控制列表与Forefront尝试配置的随机访问控制列表之间的冲突。最要命的是,有时候这个冲突很难查找并定位。
三是对于一些特殊的对象,要做好权限的配置,即要为其定义正确的随机访问控制列表。例如在部署安全网关服务器时,需要创建开放式数据库连接。在 这个过程中,需要合理设置随机访问控制列表,以确保数据源的的准确与安全。类似的,还需要为文件系统和ADAM中关联的数据配置严格的随机访问控制列表。
最后需要提醒各位读者的是,随机访问控制列表对文件系统比较敏感。如传统的FAT32等文件系统无法使用这个随机访问控制列表。而NTFS文件 系统则适用。这也就是说,我们如果将上面提到的这些关键文件与数据,存放在FAT32 文件系统下的话,将无法使用随机访问控制列表来保护它。故尽量将关键数据保存在NTFS文件系统之上。如将配置文件、可执行文件、日志文件等等保存在 NTFS文件系统中,并根据工作的需要,为其设置严格的随机访问控制列表。
总之,角色的分配与管理是Forefront安全网关安全的第一步,也是最容易忽视的一步。各位读者需要切实做好这项工作。不要因为我们的疏忽而给非法用户有机可乘。如果Forefront安全网关本身都不安全了,那么怎么来保障企业网络的安全呢?