| 史上最快攻击微软漏洞的病毒Worm_ZOBOT ,以4天的速度,刷新2004年5月 Sasser 的纪录。著名市调机构Gartner早在2004年即预测至2005 年, 将有 90% 的网络攻击事件来自事前公布的安全漏洞。虽然美国有 95% 的企业安装防毒软件,但是终端用户仍然常受攻击。原因是,他们没有充分的资源安装修正程序、也不太理会安全厂商发出的病毒警告信息。一直到病毒骇客入侵了,才像无头苍蝇般乱窜。而今漏洞攻击速度已快到企业来不及反应,Worm_ZOBOT有着傀儡程序惯有的特性,将漏洞计算机组合成殭尸网络,成为病毒攻击发射中枢。 漏洞计算机成为病毒发射中枢 短短几天内使用同个漏洞的病毒纷纷现身,截至截稿为止已经出现6个使用相同漏洞的病毒。但趋势科技预测将会有更多病毒前仆后继,尤其是善于利用漏洞攻击的 bot 傀儡程序。自 2001年Nimda将电子邮件、IIS 服务器、网络芳邻纳入多管齐下、大举侵入的路径以来,蠕虫纷纷仿效漏洞攻击与混合式攻击,如下表所示,根据趋势科技统计跟着历年头号病毒采用相同漏洞攻击的病毒数目,分别是2001年 Nimda 的 160个、2003年SQLSLAMMER的 500个和WORM_MSBLAST的 500个、2004年SASSER的499个。有趣的是WORM_RBOT这只与史上最快攻击微软漏洞病毒WORM_ZOTOB于16号连袂出击CNN、ABC、纽约时报等知名媒体的病毒,自2003年开始就不断跟着全球头号病毒一起采用相同漏洞发动攻击。趋势科技表示,不只如此,难缠的bot 傀儡程序还喜欢同时用多个漏洞攻击。这样看来,从这波专攻击 Windows 2000企业的WORM_ZOTOB 来看,企业的漏洞管理已经刻不容缓。 夸张一点的说法,不补漏洞,就算将计算机戴手镣脚铐,重要资料还是有可能经由漏洞,被骇客流传出去。那么若是将未修补重大漏洞视为违纪行为,是否也能改善病毒采取同一个漏洞一再攻击的行为呢。趋势科技提供了一个可行却又不必让网管员扳起脸孔当纠察队的方法,趋势科技的 Control Manager 中央控管平台整合,能够集中管理防毒装置、强迫用户安装防毒软件以贯彻企业安全政策、自动更新扫瞄引擎所需的病毒码、结合趋势科技TMVA、NVW与 TrendLabs的实时服务等等。 防御网络病毒,需要随时自动更新的安全产品 未免病毒扫描网络上具有漏洞的系统,利用远程攻击者控制受感染系统,造成企业内部计算机交互感、相互攻击,甚至跟 Sasser 和 Blast 一样导致Windows连续地重新开机,趋势科技建议以下作法: 步骤一:高危险漏洞,抢先安装:趋势科技 TrendLabs 漏洞稽核(Vulnerability Assessment)小组,将此漏洞评断为高度危险,列为强烈建议安装高危险漏洞。
步骤二:监督未安装MS05-039修正程序的机器:趋势科技 TMVA 用户,可使用网络病毒特征码VA pattern侦测没有安装修正程序的机器。任何未安装MS05-039修补程序的计算机,都会被 NetWork VirusWall 隔离。 步骤三:使用 MailTrap隔离 Intranet 流窜病毒:趋势科技的ScanMail邮件服务器软件和IMSS for SMTP 内建的 mailtrap 会隔离 Gateway 的可疑档案。另外客户端的 OfficeScan 也可避免透过 FTP 自动下载病毒程序进入 Client 端。 趋势科技提供免费病毒清除程序
-若不慎中毒,请使用趋势科技所提供的病毒清除程序(免费的喔!),网址如下:http://www.trendmicro.com/download/zh-tw/tsc.asp
-为预防计算机遭受不法人士的操控利用,请立即上网安装最新修正程序及定期更新防毒软件,以避免骇客的入侵。 趋势科技:www.trendmicro.com 本周用户报告感染数量较多的病毒列表 本周用户报告感染数量较多的病毒列表如下: * WORM_RBOT家族
* WORM_SDBOT家族
* TROJ_ROOTKIT家族
* TSPY_LINEAGE家族
* TSPY_LEMIR家族
* TSPY_AGENT家族 趋势科技热门病毒综述-WORM_ZOTOB.D 趋势科技全球服务器中心在2005年8月16日下午5:12(太平洋时间)为控制病毒ZOTOB的变种的传播发布中度病毒风险警报。目前已经收到来自巴西和美国的感染报告。 该病毒利用微软的Windows Plug and Play漏洞通过网络进行传播。有关该漏洞的更多信息,请参考下面的微软网页: Microsoft Security Bulletin MS05-039 病毒产生任意的IP地址作为目标,随后检查目前IP地址机器的445端口是否打开。如果该端口打开,病毒就会对目标机器进行攻击。如果攻击失败或该机器的445端口未打开,病毒就会产生另外一个IP地址作为目标。另外,病毒还会在受感染机器上建立一个FTP服务器,随后该机器在端口7778打开一个远程的shell并通过该远程shell建立一个FTP脚本。 另外,该病毒的传播行为只针对Windows 2000, XP, 和 Server 2003系统,因为微软的Windows Plug and Play漏洞只存在于这些系统上。 该病毒还具有后门功能,它打开一个任意的端口并连接到一个IRC服务器。一旦连接成功,它就会加入到一个IRC频道,使远程恶意用户可以在受感染机器上执行恶意行为,这些行为包括窃取系统信息。通过这种方式可以使远程恶意用户实现对受感染系统的虚拟控制,危害系统的安全。 该病毒的后门功能还包括获取包括CPU速度和内存大小等在内的系统信息。另外,该病毒使用了反debug技术,它还可以从RSS中搜集网站信息,随后通过它建立的IRC频道任意发布这些网站的信息。这样做就可以迷惑IRC频道的监控人员。
对该病毒的防护可以从以下连接下载最新版本的病毒码:
http://www.trendmicro.com/cn/support/updates/pattern/overview.htm
病毒详细信息请查询:
http://www.trendmicro.com/vinfo/zh-cn/virusencyclo/default5.asp?VName=WORM_ZOTOB.D&VSect=T 趋势科技热门病毒综述-WORM_RBOT.CBQ 趋势科技全球服务器中心在2005年8月16日下午5:12(太平洋时间)为控制病毒RBOT的变种的传播发布中度病毒风险警报。目前已经收到来自巴西和美国的感染报告。 这种驻留内存的蠕虫在Windows系统文件夹中产生自身的拷贝文件WINTBP.EXE。 该病毒利用微软的Windows Plug and Play漏洞通过网络进行传播。有关该漏洞的更多信息,请参考下面的微软网页: Microsoft Security Bulletin MS05-039 该病毒连接一个IRC服务器,随后加入到一个频道并发送如下信息: - {Random} :ER DL FH
- {Random} :ER DL IF
对该病毒的防护可以从以下连接下载最新版本的病毒码:
http://www.trendmicro.com/cn/support/updates/pattern/overview.htm 病毒详细信息请查询:
http://www.trendmicro.com/vinfo/zh-cn/virusencyclo/default5.asp?VName=WORM_RBOT.CBQ&VSect=T
趋势科技热门病毒综述-WORM_ZOTOB.A
这种驻留内存的蠕虫病毒在Windows系统文件夹中产生自身的拷贝文件BOTZOR.EXE。 该病毒利用微软的Windows Plug and Play漏洞通过网络进行传播。有关该漏洞的更多信息,请参考下面的微软网页: Microsoft Security Bulletin MS05-039 该病毒扫描存在漏洞系统的IP地址,随后通过端口445连接到该机器。它利用该漏洞产生文件2PAC.TXT,该文件包含批处理的脚本文件,执行该文件后,将从FTP服务器下载蠕虫的拷贝文件HAHA.EXE。 该病毒还会修改系统的HOSTS文件,通过对该文件的修改,阻止用户访问某些防病毒网站。 病毒还会对HOSTS文件添加如下内容: Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3 MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!! 这种蠕虫病毒还具有后门功能,可以连接到一个IRC服务器diabl0.turkcoders.net 。一旦连接成功,它就会加入到一个IRC频道,监听来自远程恶意用户的指令。 对该病毒的防护可以从以下连接下载最新版本的病毒码:
http://www.trendmicro.com/cn/support/updates/pattern/overview.htm 病毒详细信息请查询:
http://www.trendmicro.com/vinfo/zh-cn/virusencyclo/default5.asp?VName=WORM_ZOTOB.A&VSect=T 系统漏洞信息
MS05-039:即插即用中存在远程执行代码漏洞 编号:MS05-039
名称:即插即用中的漏洞可能允许远程执行代码和特权提升
KB编号: 899588
等级:严重
摘要:
此更新可消除一个秘密报告的新发现漏洞。 即插即用 (PnP) 中存在远程执行代码漏洞,成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 本公告的“漏洞详细资料”部分中对此漏洞进行了说明。
我们建议用户立即安装此更新。
受影响的软件: | • | Microsoft Windows 2000 Service Pack 4 – 下载此更新 | | • | Microsoft Windows XP Service Pack 1 和 Microsoft Windows XP Service Pack 2 – 下载此更新 | | • | Microsoft Windows XP Professional x64 Edition – 下载此更新 | | • | Microsoft Windows Server 2003 和 Microsoft Windows Server 2003 Service Pack 1 – 下载此更新 | | • | Microsoft Windows Server 2003(用于基于 Itanium 的系统)和 Microsoft Windows Server 2003 SP1(用于基于 Itanium 的系统) – 下载此更新 | | • | Microsoft Windows Server 2003 x64 Edition – 下载此更新 | 不受影响的软件:
·Microsoft Windows 98、Microsoft Windows 98 Second Edition (SE) 和 Microsoft Windows Millennium Edition (ME)
减轻影响的方式:
即插即用漏洞:
·在 Windows XP Service Pack 2 和 Windows Server 2003 上,攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。 匿名用户或拥有标准用户帐户的用户不能远程利用此漏洞。 但是,具有管理权限的用户可远程使用受影响组件。
·在 Windows XP Service Pack 1 上,攻击者必须拥有有效的登录凭据才能尝试利用此漏洞。 匿名用户无法远程利用此漏洞。 但是,具有标准用户帐户的用户可远程使用受影响组件。
·采用防火墙最佳做法和标准的默认防火墙配置,有助于保护网络免受从企业外部发起的攻击。 按照最佳做法,应使连接到 Internet 的系统所暴露的端口数尽可能少。
趋势科技产品
病毒码和DCT情况 趋势科技在最近一周发布病毒码情况如下:
* 2005年08月12日 发布病毒码773
* 2005年08月12日 发布病毒码775
* 2005年08月13日 针对新病毒WORM_BAGLE.CG发布病毒码777
* 2005年08月15日 发布病毒码779
* 2005年08月15日 针对新病毒WORM_ZOTOB.A和WORM_ZOTOB.B发布病毒码781
* 2005年08月16日 发布病毒码783
* 2005年08月16日 针对新病毒WORM_ZOTOB.C和WORM_RBOT.CBK发布病毒码785
* 2005年08月17日 针对新病毒WORM_ZOTOB.D和WORM_RBOT.CBQ发布病毒码787
趋势科技在最近一周发布DCT情况如下:
* 2005年08月15日 发布DCT636
* 2005年08月17日 发布DCT638
截至目前,病毒码的最高版本为787,发布于2005年08月17日。
病毒码下载地址为:
http://www.trendmicro.com/cn/support/updates/pattern/overview.htm 您也可以从以下链接下载TSUT工具进行趋势科技Windows平台产品的更新:
ftp://ftp.trendmicro.com.cn/Support/Public/Product/Tool/TSUT2/ DCT工具最新版本为638,下载地址为:
http://www.trendmicro.com/download/dcs.asp 系统安全技巧
关于增强活动目录安全性的五个步骤 让AD更安全!是的,每个管理员都希望如此,但是要尽可能高地实现这个目标,您还是需要花上一点力气的,本文通过5个步骤,帮您理解如何来切实增强AD基础设施的安全。
活动目录(AD)中保存着能够对AD进行访问的重要密钥,如果不能恰当地增强AD的安全性,那么它很容易受到攻击。坦率地讲,增强AD的安全性并不简单,但是通过一些基本的步骤,您确实可以提高它的安全性。请注意我这里所说的是“基本”步骤。安全无止境,您总是可以找到提高安全性的方法,但是这些方法往往需要付出相应的代价。这些代价可表现为实际的花费,或者灵活性或功能性方面的损失。让我在这里向您展示5个步骤,实施这些步骤的代价并不算高,但它们却可以帮助您切实增强AD基础设施的安全性。
步骤1. 遵循管理员方面的最佳做法
您可以通过将手工操作(例如,安装域控制器)自动化的方法来增强AD的安全性,但是目前还没有出现能够将人类行为自动化的程序设计语言。因此,这就是您需要为管理员如何管理AD建立指南的原因。您需要确信您的管理员遵循了如下的最佳做法:
区分管理账号(administrative accounts)的使用。区分管理账号的使用已经成为许多组织的一个标准做法,但它仍然值得一提。如果管理员的机器不小心感染了病毒,那么潜在的威胁将会非常大,因为获得管理权限(right)后,病毒可运行程序或脚本。因此,对于日常操作,管理员应使用非特权账号(例如,用户账号);对于和AD有关的操作,管理员应使用一个独立的管理账号。当您通过一个非管理账号登录后,您可以使用Runas命令这类工具以管理员的身份打开程序。如需了解有关如何使用Runas命令的信息,请参阅Windows的帮助文件。
确保管理员机器的安全性。虽然要求您的管理员以非管理账号登录和使用Runas命令打开AD管理程序能够带来很多益处,但是如果运行这些工具的硬件系统不安全的话,您仍然处于危险之中。如果您不能确保管理员机器的安全性,那么您需要建立一个独立并且安全的管理员机器,并让管理员使用终端服务来访问它。为了确保该机器的安全,您可以将它放在一个特定的组织单元中,并在组织单元上使用严格的组策略设置。您还需要注意机器的物理安全性。如果管理员的机器被盗,那么机器上的所有东西都将受到威胁。
定期检查管理组(administrative group)的成员。攻击者获得更高特权(privilege)的手段之一就是将它们的账号添加到AD的管理组当中,例如Domain Admins、Administrators或Enterprise Admins。因此,您需要密切关注AD管理组中的成员。遗憾的是AD不具备当某个组的成员发生改变时发送提示信息的内建机制,但是编写一个遍历组成员的脚本并使脚本每天至少运行一次并不复杂。在这些组上面启用审核(Enabling Auditing)也是一个很好的主意,因为每次改变都会在事件日志中有一条对应的记录。
限制可以访问管理员账号(Administrator account)密码的人员。如果某个攻击者获得了管理员账号的密码,他将获得森林中的巨大特权,并且很难对他的操作进行跟踪。因此,您通常不应使用管理员账号来执行管理AD的任务。相反,您应该创建可替代的管理账号(alternative administrative accounts),将这些账号添加到Domain Admins或Enterprise Admins组中,然后再使用这些账号来分别执行每个管理功能。管理员账号仅应作为最后一个可选择的手段。因为它的使用应该受到严格的限制,同时知道管理员密码的用户数量也应受到限制。另外,由于任何管理员均可修改管理员账号的密码,您或许还需要对该账号的所有登录请求进行监视。
准备一个快速修改管理员账号密码的方法。即使当您限制了可以访问管理员账号的人数,您仍然需要准备一个快速修改该账号密码的方法。每月对密码进行一次修改是一个很好的方法,但是如果某个知道密码(或具有修改密码权限)的管理员离开了组织,您需要迅速对密码进行修改。该指南同样适用于当您在升级域控制器时设置的目录服务恢复模式(Directory Service Restore Mode,以下简称DSRM)密码和任何具有管理权力的服务账号。DSRM密码是以恢复模式启动时用来进行登录的密码。您可以使用Windows Server 2003中的Ntdsutil命令行工具来修改这个密码。
当修改密码时,您应该使用尽量长的(超过20个字符)随机密码。对于管理员而言这种密码很难记忆。设置完密码后,您可将它交给某个管理人员,并由他来决定谁可以使用该密码。
准备一个快速禁用管理员账号的方法。对于绝大多数使用AD的组织,最大的安全威胁来自于管理员,尤其是那些对雇主怀恨在心的前管理员。即使您和那些自愿或不自愿离开公司的管理员是好朋友,您仍然需要迅速禁用账号上的管理访问权限。
步骤2. 遵循域控制器方面的最佳做法
在确信遵循了与管理员有关的最佳做法后,我们将注意力转移到域控制器(Domain Controller,以下简称DC)上面来,因为它们是许多AD实现中最容易受到攻击的目标。如果某个攻击者成功进入DC,那么整个森林将受到威胁。因此,您需要遵循如下最佳做法:
确保DC的物理安全性。DC的物理安全性是部署AD时需要考虑的最重要问题之一。如果某个攻击者获得了DC的物理访问权,他将有可能对几乎所有其它的安全措施进行破坏。当您将DC放置在数据中心时,DC的安全性并不存在问题;当在分支机构部署DC时,DC的物理安全性很可能存在问题。在分支机构中,DC经常存放在可以被非IT人员访问的带锁房间内。在一些情况下,这种方式不可避免,但是不管情况如何,只有被充分信任的人员才能够对DC进行访问。
自动化安装的过程。通常自动化任务的执行要比手工执行的安全性高。当安装或升级DC时尤其如此。安装和配置操作系统过程的自动化程度越高,DC的不确定因素就越少。当手工安装服务器时,对每台服务器人们的操作均存在细微的差别。即使完整地记录下所有过程,每台服务器的配置仍然会有所区别。通过安装和配置过程的自动化,您有理由确信所有DC均以同样的方式被配置并设置安全性。对于已经安装好的DC,您可以使用组策略这类工具来确保它们之间配置的一致性。
迅速安装重要的更新。在Windows NT时代,除非绝对需要,绝大多数管理员不会安装热修复程序(hotfix)或安全更新。更新经常存在缺陷并会导致进一步的问题。今天,我们就没有那么奢侈了。幸运的是微软提供的更新程序质量有了很大提高。因为DC是非常显眼的目标,所以您需要密切关注出现的每一个安全更新。您可以通过访问地址http://www.microsoft.com/security/bulletins/alerts.mspx来订阅并收到有关最新安全更新的Email通知。您可以通过自动更新(Automatic Updates)迅速地对安全更新进行安装,或者通过微软的Software Update Services(SUS)在测试后有选择地对其进行安装。
创建一个保留文件。在Windows Server 2003以前的操作系统中,如果用户具备在某个容器中创建对象的权限,那么将无法限制用户创建对象的数量。缺乏限制可以导致攻击者不断地创建对象以至耗尽DC硬盘空间。您可以通过在每个DC的硬盘上创建一个10M至20M的保留文件,以便在某种程度上降低这类风险的发生。如果DC的空间用完了,您可以删除上述保留文件,并在找到解决方案前留下一些解决问题的空间。
运行扫描软件。在DC上运行病毒扫描软件比在大多数服务器上运行该软件更为迫切,因为DC间不仅要复制目录信息,还要通过文件复制服务(File Replication Service,以下简称FRS)复制文件内容。不幸的是FRS为病毒提供了在一组服务器之间进行传播的简单途径。并且FRS通常还会对登录脚本进行复制,因此还会潜在地威胁到客户端的安全。运行病毒扫描软件可以大幅降低病毒复制到服务器和客户端的威胁。
步骤3. 遵循委派方面的最佳做法
错误地对保护AD内容的访问控制列表(ACL)进行配置将会使AD易于受到攻击。此外,如果委派实施得越复杂,那么AD的维护和问题解决工作就越难。因此我喜欢应用简洁的设计哲学。委派实施得越简单,您的麻烦就会越少,在安全方面尤为如此。事实上,上述哲学同样适用于AD的设计,在附文“设计决定安全”中将进行详细讨论。为了保持委派的简洁,我强烈建议您阅读“Best Practices for Delegating Active Directory Administration”一文(http://tinyurl.com/vzlg)。
不要将权限分配给用户账号。进行委派的基本原则之一就是除非有充分的理由,否则始终将权限分配给组而不是用户。当某个被您分配权限的用户离开公司或工作职能发生改变而再不需要某些访问权限时,您需要执行哪些操作?找到某个账号被赋予的权限,取消这些权限,然后再将它们赋予另外一个用户,要比将旧账号从某个组中删掉,再将一个新账号加入到该组中的工作量大得多。即使您认为赋予特定用户的权限永远不会被赋予其他用户,我还是建议您创建一个组,将用户加入到这个组中,然后再将权限分配给这个组。
不要将权限分配给单独的对象。当您直接将权限分配给单独的对象时(例如一个用户或一个组对象),事情将会变得复杂起来。上述权限需要更多的维护,并且很容易在随后被忽视。为了避免问题的发生,您应该将权限尽量多地分配给组织单元或容器。
记录下使用的模型。在进行权限委派时,您需要完成的重要工作之一就是记录下使用的模型。您是否建立了一个基于角色的模型?请求访问权限的过程是什么?模型是否具有特例?所有这些重要问题都应该被记录,它不仅会使维护工作变得简单,而且将确保每个人都清楚权限应该如何被分配,并可以识别出没有按照模型进行分配的权限(它将使AD易于受到攻击)。记录模型的文档格式并不重要,但应能够方便管理员查找。
熟悉Dsrevoke的使用。您可通过Active Directory用户和计算机程序来运行控制委派向导(Delegation of Control wizard),它能够很好地完成初始的访问委派工作。但是使用这个向导或其他图形工具来完成委派取消工作(例如从ACL中删除分配给某个账号的所有权限)却非常麻烦。幸运的是微软发布了Dsrevoke工具,它允许您遍历域中的所有ACL,并能够删除掉您指定账号的所有访问权限。您应该熟悉这个工具,因为它能够提高委派的效率。您可以通过网址http://www.microsoft.com/downloads/details.aspx?familyid=77744807-c403-4bda-b0e4-c2093b8d6383&displaylang=en免费地下载该工具。
步骤4. 监视并审核您的AD
因为AD包含许多组件,所以确定何时有人对系统进行破坏比较困难。目前您仅能够遵循上述提到的最佳做法,但是您如何知道有人正在偷偷溜进您的系统呢?答案是监视和审核。
您至少需要监视DC的可用性(availability)。您也许已经在进行主机可用性的监视了,并用它来确保AD基础设施的可用性。但是从安全的角度而言,知道DC何时非正常停机更为重要,这样您就可以立即对原因进行相应的分析。也许远程站点的一台DC被盗或某个黑客取得了物理访问权并且正在关闭机器以便安装一个木马程序!
除了监视DC的可用性,您还可以使用性能监视器对许多AD的度量(measure)进行监视,这些度量包括轻量目录访问协议(Lightweight Directory Access Protocol,以下简称LDAP)查询的次数和复制数据的数量等内容。您可以为每个感兴趣的计数器设定一个阀值,然后对它们进行监视。如果您注意到,例如每秒钟LDAP查询请求次数或身份验证请求次数在一段时间内明显上升,这也许就是某种攻击的一个提示信息。为了获取更广泛的监视(甚至是警告)信息,您可以使用Microsoft Operation Manager这类工具。
Windows操作系统和AD提供的审核功能允许您将某些事件记录到安全事件日志中。您可以记录从操作系统配置更新到AD内部修改等任何事件。但是在启用审核时您需要谨慎考虑。如果审核的对象过多,那么安全日志中将会充斥过多的信息以至于很难找到您所需要的内容。为了获取审核对象方面的指导,请参阅“Best Practice Guide for Securing Active Directory Installations”一文(http://tinyurl.com/3c928)。
步骤5. 做最坏打算
也许安全规划最重要的方面就是建立一个如何应对成功攻击的预案。实施上述最佳做法并不能绝对确保安全。您也许已经建立起一个非常安全的AD基础设施,但是如果攻击者进行一次从未见过的AD攻击,您也许就会束手无策,因为您对它还不了解。这就是为什么做最坏打算显得如此重要的原因。如果您发现正处在这种情形下,您已经知道该如何应对了。如果您发现整个森林均受到威胁并且需要进行一次彻底的恢复,您将会因为事先考虑过这个过程而节省下宝贵的时间。
执行最佳做法
在本文中我们讨论了提高AD安全性的一些基本步骤,而且实施这些步骤的代价也很低。虽然讨论的内容仅仅涉及一些皮毛,但是如果您遵循上述步骤,您的AD将会变得更加安全。
设计决定安全
病毒、蠕虫、垃圾邮件以及拒绝服务攻击是互联网用户每天都需要面对的安全威胁。互联网之所以很容易受到攻击,是因为当初设计它的时候并没有考虑到安全性。它被设计成了一个开放的系统,并鼓励用户自由地交流和交换思想。互联网的建立者从未想到某一天它会取得商业上的巨大成功。从此互联网社群一直在设法增强一个不安全设计的安全性。
上述例子说明了某项技术的实现将最终决定如何来增强它的安全性,AD也不例外。如果您设计了一个开放的委派模型并将用户不需要的访问权限也分配给他们,或者您将域控制器部署到不安全的位置,那么您将需要花费很多时间用来增强整个实现的安全性。
我喜欢应用简洁的设计哲学。AD设计得越简单,您的麻烦就会越少,在安全性方面尤为如此。复杂的设计往往导致更多需要管理的内容,接下来就是对更多的内容进行安全方面的增强。我喜欢应用的一个基本原则就是“越少越好”。域越少,域控制器就越少。域控制器越少,管理员就越少。组织单元越少,需要委派的对象就越少。 | 
