Windows Server 2008 Active Directory域服务的新增功能

那时，实际的 DC 安全需求没有被很好地理解。 我看到过控制器堆放在桌子下面，路过的人可以轻易接触到它们。直到几年后，Active Directory 架构 师才完全领会到不安全的 DC 所带来的安全风险，IT 组织开始将 DC 重新放回到中央数据中心。这以使 分支用户必须经由 WAN 进行验证，但由于提高了安全性，这也是值得的。

Windows Server 2008 中的 Active Directory 通过引进只读域控制器或 RODC 改变了分支部署的规则。它们是 Windows Server 2008 域服务中最大的变化。

Active Directory 团队在设计 RODC 时重点考虑了分支机构 的需求，他们的目标是“在分支机构就地解决问题”。这其中的要点是如果您在实际条件不安 全的分支部署了 DC，基本上您是无法防止 DC（和信任它的机器）受到攻击的，但是您可防止攻击向其他 域扩散。

注意，即使这需要对 ADDS 基础结构做很大的更改，但 RODC 的实现并不复杂。您的域 必须处于 Windows Server 2003 的林功能级，并且域中必须至少有一个 Windows Server 2008 DC。除了 是分支解决方案，在面对互联网的环境中和 DC 处于网络外围的情况下，RODC 同样发挥着重要的作用。

DC 离职

在分支机构中，需要考虑几类威胁。第一类是“DC 失窃”，即有人带 着 DC 或 DC 的磁盘溜之大吉。这不但会使本地的服务崩溃，攻击者最终还有可能得到域中所有的用户名 和密码，并由得以访问保密资源或造成拒绝服务。为防范这种威胁，默认情况下，RODC 不将密码哈希存 储在其目录信息树 (DIT) 中。因此，用户首次向特定的 RODC 进行身份验证时，RODC 会将该请求发送给 域中的完全域控制器 (FDC)。FDC 处理该请求，如果验证成功，RODC 会签发密码哈希复制请求。

受到攻击的 RODC 有可能请求敏感帐户的密码哈希。为防止这种情况发生，域管理员可为每个 RODC 配置 密码复制策略。该策略由 RODC 计算机对象的两个属性组成。msDS-RevealOnDemandGroup 属性包含密码 缓存于 RODC 上的组、用户或计算机帐户的独有名称（它们通常是与 RODC 位于同一站点的用户和计算机 ）。msDS-NeverRevealGroup 包含密码未缓存于 RODC 上的组、用户或计算机帐户的独有名称（例如，域 管理员帐户绝不应将其密码哈希缓存于 RODC 上）。如 RODC 请求特殊帐户的密码哈希，FDC 会根据密码 复制策略评估请求，以确定是否应将密码哈希复制给 RODC。如 DC 失窃，则受攻击的对象仅限于在从网 络转移时在失窃 RODC 上缓存的密码，重要的密码不会受到攻击。

RODC 计算机对象包含的其他两个属性可以帮您精准确定应缓存其密码的帐户。msDS- AuthenticatedAtDC 属性列出 RODC 已验证了密码的帐户，msDS-RevealedList 属性命名其密码当前由 RODC 存储的帐户。

用户和计算机密码哈希并不是 DC 存储的唯一秘密信息。KrbTGT 帐户包含在 每个域控制器上运行的 Kerberos 密钥分发中心 (KDC) 服务的密钥。在通常情况下，域中的每个 KDC 共 享相同的 KrbTGT 帐户，所以有可能攻击者从窃得的 DC 上获取这些密钥，然后使用它们攻击域的其余部 分。但是，如果每个 RODC 均有其自己的 KrbTGT 帐户和密钥，就可防止这种攻击。

应用程序还 经常在 DIT 中存储密码或其他机密信息。如果攻击者窃得了 DC，可能会得到这些应用程序密码，进而用 其访问应用程序。为防范这类攻击，Windows Server 2008 域服务允许管理员定义只读过滤属性集 (RO- FAS)。RO-FAS 中的属性绝不会复制到 RODC，因此不能从失窃的 DC 中获取这些属性。通过设置构架中相 应 attributeSchema 对象的 searchFlags 属性的第 9 位 (0×0200)，您可以将属性指定给 RO- FAS。

（编辑：济南站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!