Windows2008域环境计划中四大典型误区[Windows安全]

　　在Windows网络环境中,域是核心.其实域的概念,从NT时代就开始提出,并不断得到完善.在2008的服务器环境中,可以说已经相当的完善.惋惜的是,不少系统管理员在计划域构造时,由于各种缘由存在一些对比典型的误区.笔者在这里做一些总结,但愿各位读者有者改之、无则加勉.

　　误区一:为差别的办事处设置差别的域.

　　如目前有一家企业,其在上海、广州各有一个办事处,其本部在北京.在这种情形下,需求为上海和广州各设一个域吗?从前有不少系统计划师是这么做的.其实没有这个必要.分外是微软在2008中提出了只读域掌握器之后,没有必要为一些办事处设置单独的域.不然的话,只会额外的增添系统管理人员的工作量.

　　其实域是微软网络环境的一个初始的逻辑边界大概说最小的逻辑边界.系统工程师均从域的边界内管理和存储用户和计算机.包含打印机、用户的帐号信息、权限等内容.从安全的角度讲,域同时还充当对象的管理安全性边界,并会包含它们自己的安全战略.简单的说,就是指域是对象的逻辑构造,并且可以便利的超越多个物理位置.这就阐明在计划域构造不时,物理位置并非主要因素(当然有时刻也需求考虑),其主要还是要看企业利用环境的逻辑构造.

　　所以在实际工作中,并不需求为差别地理位置的办事处设置多个单独的域.这种老命伤财的行为我们要尽大概的避免.在2008利用环境中,系统管理员尽可以操纵只读域掌握器来办理办事处大概分支机构的安全问题.

　　笔者认为,假如企业的分支机构大概办事处规模不大,如只有几十人,那么没有必要为其单独的设置一个域.相反假如企业的分支机构是一个单独的法人,大概其规模有上百人,此时企业常常需求在这个分支机构配有专业的系统管理人员.此时出于管理机动性的考虑,可认为这个分支机构设置单独的域.总之,不管三七二十一,由于地理位置的缘由,为办事处设置单独的域,这种做法是不公道的.

　　误区二:将信任传送与拜候权限混为一谈.

　　多个域构成一颗域树.大概说域树是由多个通过双向可传送的信任衔接的域构成的.在这个定义中,有一个核心的关键字叫做信任的双向可传送.如目前有一颗域数,A.com是信任根域,B.A.COM和C.A.COM是其两个平行的子域.目前按照双向可传送的信任法则,A域假如信任B,那么B域也相信 A域.C域假如相信A域,那么A域也信任B域.而按照传送法则,B信任A,而A信任C,则B域也信任C域.

　　目前笔者要问的问题时,假如目前A域的管理员可以管理B域与C域,那么能否阐明B域的管理员也可以管理C域呢?因为B相信A,而A相信C,为此 B可以管理C?其实这里就犯了一个概念性的错误.将信任与拜候的权限混为一谈.这就仿佛你有一个朋友,非常的信任他.但是不等于他可以来管理你的家事.

　　为此系统管理员需求紧记,固然在域树环境中,信任是双向的,并且是可以传送的.但是这并不意味着全部用户都可以完好的得到拜候权.即就是域之间的管理员,信任仅仅供应从一个域到别的一个于的一条途径.大概说,信任是可以管理的一个前提条件.只有在信任的底子之上,才可以对其举行受权管理.而在默许情形下,系统并不答应拜候权限从一个域传送到别的一个域.域的管理员必须为另一个域的用户大概管理员下发权限后才可以拜候其域中的资源.

　　不过需求注意的是,域树中的每一个域都同享一个大众的情势和全局目录.一颗树内的全部域同享相同的名称空间.按照默许的安全机制,某个子域的管理员在其整个域上有相对的掌握权.别的一个子域乃至根域假如没有经过受权,是无法拜候其域中的资源.从这里也可以看出,不信任与拜候权根本是两回事.当然在有信任的底子之上,系统管理员可以按照需求,授与其他域大概根域用户一定的权限,让其可以有这个权利拜候自己域的特定资源.

　　总之,系统管理员需求分清楚信任与拜候权之间的接洽与辨别,不可以将二者混为一谈.然后在这底子之上,考虑能否需求为其他域的用户设置符合的拜候权限.

　　误区三:采取默许的域认证情势.

　　在2008网络环境中,其支持两种默许的域认证情势,辨别为NTLM和Kerberos认证方法.NTLM是NT局域网管理器的简称.从这个名字便可以看出,其相沿的是微软早期NT网络环境的认证系统.这种认证方是采取散列的情势跨网络哦传送加密的口令.固然对网络中传输的号令采纳了加密的办法,但是仍旧存在一定的安全隐患.如任何人都可以监督网络中传送的散列信息、并汇集这些信息然后再利用第三方的解密工具举行破解.其破解的难度就要看加密的复杂程度.通产情形下,攻击者可以操纵字典大概蛮力攻击技术在破译口令,其破解只是一个时间问题.

　　而Kerberos认证办法例差别.简单的说,这种认证办法并不会在网络上发送口令信息,并且其本身采取的加密办法要比NT局域网络认证系统要安全.不过惋惜的是,出于向前兼容的考虑,即便到了2008环境中,微软还是默许采取了相对不安全的NTLM认证方法.有些系统管理员在这方面大概并非很熟习,在一些对利用安全要求对比高的场所之下,采取了这个默许的安全机制,引发了不少的安全事件.

　　笔者倡议,系统管理员需求理解这两种认证情势的差别.然后按照企业的实际情形,假如关于安全级别要求对比高,那么就需求对所采纳的认证情势举行切换,挑选越发安全的Kerberos认证方法.

　　误区四:混合功效级别无法施展最大的效能.

　　在Windows2008服务器环境中,与2003一样,也采纳了功效级别的计划.采纳功效级别,主如果为了确保与传统域版本向后的兼容性.在新的网络环境中,2008也有它自己的功效级别以用来保护兼容性.

　　目前2008支持以下几种功效级别.2000本地功效级别(答应掌握器采取2008、2003和2000SP3的版本,注意假如是2000的域掌握器,要打上SP3的补钉)、2003功效级别(答应2003和2008的域掌握器共存,并将额外的功效增添到丛林中包含可传送信任本领)、2008功效级别(全部的域掌握器所采取的服务器版本必须为2008).可见这个功效级别,主如果针对域掌握器而言,而跟其他的服务器大概客户端的版本无关.在默许情形下,服务器采取的是一种降级情势的兼容性来履行操作的.

　　假如采取对比低的功效级别,将无法利用2008所带来的全新功效.如采取的是2003的功效级别,将无法采取精密粒度的口令战略,而无法完好实现域DS的本领.可见,差别的功效级别其实限制了系统管理员可以采取哪些功效.为此在域计划时,系统解析师需求先确认2008的新功效,并确认这些新功效至少需求在那个级别上运行.然后按照企业的实际情形,判断自己能否需求利用这些功效.终究肯定所需求采取的功效级别.而不是先介绍利用某个功效级别,再来考虑不可以利用哪些功效.如此的话,就本末倒置了.