当前,大多数IT专业人士处理的工作通常包括以下:
·物理访问
·通过防火墙的网络访问
·访问服务器上的服务
·对应用程序的访问
IT人员的主要工作就是对上述领域进行保护,但是对于存储在Active Directory上的信息呢?当使用Windows Server 2008域控制器的时候,大多数人对于该技术内置的安全功能感到很放心。然而,你必须知道,普通用户也可能通过使用简单的工具来获取敏感信息。除此之外,你还需要检查一下,用户是否可以利用Active Directory内置的兼容性“功能”( Windows Server 2000以后的版本都有的功能)查看更多的敏感信息。
在本文中,我们将讨论普通域用户可以看到Active Directory中的哪些信息以及为什么用户可以看到这些信息等问题。
安全问题
在Active Directory中通常存储着很多信息,包括域配置、各种帐户类型、打印机和共享文件等。当然,我们还可以使用软件来存储更多信息,并使用Active Directory来存储配置数据。这种软件可能是业务会计应用程序或者使用directory作为配置应用程序和域用户的安全装置。因此,必须检查域控制器和全局编录服务器上的哪些信息是可以被域用户(甚至匿名用户)查看的,这是非常重要的。
企业的网络基础设施建设应该尽可能的安全,通常我们会让安全人员安装防火墙和加密技术来限制所有对网络、服务器和应用程序的访问,主要是通过用户的登录验证或者其他类型的身份验证(如智能卡和生物识别技术)来进行访问控制。
只有通过身份验证的用户才能够访问他们工作需要的网络资源,IT人员必须确保用户访问的正确的共享文件、打印机、邮箱和应用程序。那么某些“间谍”企业用户是否能够使用其他方式获取存储在AD上的信息呢?你是否作为标准域用户帐户检查过自己的AD呢?如果你是负责网域安全,就必须弄清楚在默认情况下哪些信息是暴露给用户的。 检查Directory
如果想要检查哪些信息暴露给用户,可以在测试环境中作为普通用户身份登录(默认域设置),首先访问微软的TechNet SysInternals网站,从该网站 下载 并运行AD 浏览器 ,在图1中可以看到笔者的域和证书:
图1:Active Directory浏览器的登录框
在图2中,可以看到更多属性设置以及很多限制信息(如密码和审计政策等),如果企业有好的密码政策(也包括锁定政策),那么就不会有大的安全问题。
图2:普通域用户可以看到的域属性
在图3中将可以看到更多关于该帐户的细节信息,包括登录时间、组成员身份和密码更改的时间等。
图3:普通域用户可以看到的管理员帐户信息
我们可以使用前后对照查询来找出拥有“永不过期密码”属性设置的域管理员(userAccountControl属性的一部分),AD报告和管理软件(Javelina Software公司的ADToolkit)可以为管理员提供数据报表,并且非常容易使用。
目录信息不仅包括用户和组对象有效,而且还包括完整的域基础设施(如“Active Directory Sites and Services”中所见)。
多个安全组实际上可以读取访问某些或者全部的属性:
·验证用户
·Windows 2000以前版本的兼容访问
Windows 2000以前版本的安全组还包括稍后将讨论的其他组,这些更改和写入权限都在AD中进行处理。
查看更多关于解析暴露给用户的Active Directory信息 - Windows操作系的详细内容...