快速业务通道

优秀的接班人——Windows Server 2008

作者 佚名技术 来源 操作系统 浏览 发布时间 2012-06-26
且被集成到系统各个安全部分,诸如刚刚提到的高级安全Windows防火墙、NAP甚至群集服务中。更难得的是,IPSec的配置界面相比之前有了很大的简化,降低了部署的难度,更利于企业部署IPSec,降低了企业的成本,微软还为IPSec扩展了事件和性能监视器的计数器,管理员可以能够通过性能监视器对IPSec进行相应的监控,有效的提高维护效率。

活动目录审核

在安全性要求较高的场合,我们可以使用组策略中的审核策略,来记录用户的各种可能会影响安全性的行为。通过审核策略,我们就可以识别恶意猜解密码或者攻击某个服务的尝试。先前的审核策略包含了对于文件资源、用户账户和目录访问的审核记录(图2),但这些记录只能告诉我们什么时候谁来过,却不知道到访者究竟做了什么。相对于文件夹和文件对象,用户在活动目录对象上能做的事情更多,而且影响也更大,我们需要记录他们的具体行为。以便在排除故障时,清楚地回溯历史操作。

Windows Server 2008中实现的活动目录审核能够通过对系统访问控制列表(SACL)的修改。查看用户对于活动目录对象的访问和修改,在Windows Server 2008中是默认就启用的,审核功能既能够审核成功的操作,也能够审核失败的操作,这样就能够最大限度的保障活动目录的安全性。与在Windows 2000 Server和Windows Server 2003中只有一种审核策略来审核目录服务访问不同,用来控制审核目录服务事件是被启用或者禁用的单一审核策略在Windows Server 2008中被划分成四个子类别,它们分别是:

目录服务访问(Directory Service Access)

目录服务更改(Directory Service Changes)

目录服务复制(Directory Service Replication)

详细的目录服务复制(Detailed Directory Service Replication)

正因为新的审核子类——目录服务更改的出现,AD DS对象属性的更改才能被审核。我们能够审核的更改类型被细化到创建,修改,移动以及反删除。这些事件都将被记录在安全日志中。

在AD DS中新的目录服务更改审核策略子类增加了以下的功能:

当对对像的属性修改成功时,AD DS会纪录先前的属性值以及现在的属性值。如果属性含有一个以上的值时,只有作为修改操作结果变化的值才会被记录。

如果新的对像被创建,属性被赋予的时间将会被记录,属性值也会被记录,在多数情景中,AD DS分配缺省属性给诸如SAMAccountName等系统属性,这些系统属性值将不被记录。

如果一个对像被移动到同一个域中,那么先前的以及新的位置(以distinguished name 形式)将被记录。当对象被移动到不同域时,一个创建事件将会在目标域的域控制器上生成。

如果一个对象被反删除,那么这个对象被移动到的位置将会被记录。另外如果在反删除操作中属性被增加,修改或者删除,那么这些属性的值也会被记录。

利用活动目录审核的目录服务复制子策略,我们还可以监视活动目录的复制工作,哪些发生了,哪些未发生,以及复制了什么等,对于操作主控的管理、复制链接的效率调优,这些审核记录无疑都具有相当的参考价值。

只读域控制器(RODC)

2008年起源于美国的金融危机之所以能如此大规模如此迅速的扩散至全球,跨国/跨地区的贸易集团功不可没。因为业务需要,企业对遍布各地的分支机构早已习以为常,而随着地区业务的深入开展,分支机构承担的工作也在不断调整深化,越来越多的应用需要在分支机构部署。然而,这些地方也许没有域控制器,或者他们有域控制器但是没有足够的物理安全保障、网络带宽以及专门的技术人员来提供支持。这就使得分支机构很可能成为黑客的突破点,进而攻击整个企业网络。

只读域控制器(RODC)就是针对上述的隐患而设计的。

顾名思义,RODC本身是一台域控制器,但是存储于这台域控制器里的数据库是被写保护的,无法对数据库中的数据做任

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号