利用空根域来提高安全性
这个主控域控制器,其虽然不负责具体的工作,但是其就好像是域环境中的大脑。若其被感染了,那么会迅速的波及到其下面的任何一个域控制器。所以必须对于主控域控制器要采取严格的保护措施。
一、 利用Windows Server 2008空根域来提高安全性。
在现实工作中,笔者比较喜欢采用隔离的方式来提高主控域控制器的安全。这就好像在网络设计的时候,采用虚拟局域网技术将一些关键的设备隔离开来一样。在2008域环境中,就是通过空根域技术来实现隔离的。
什么叫做空根域技术呢?原理很简单,就是在原有域环境的设计中,再多增加一个域。这个域就是企业整个域环境的根域。不过在这个根域中,只有一台域控制器。而没有其他任何的设备。也就是说,这个根域或者主控域控制器对于用户来说是透明的。除了域管理员,其他用户都不能够访问这个根域,也不知道这个根域的存在。从而将这个根域与企业的网络隔离开来。及时企业下面的域受到了攻击、导致了瘫痪,也不会波及到这个根域中的主控域控制器。而只要这个主控域控制器是安全的,那么就可以及时的利用主控域控制器中的资料对网络进行恢复。
在Windows2008的官方资料中,将这个模型称之为同位体根域模型,即利用一个单独存在的为填充的森林根域将模式主控器与企业网络的其他部门相隔离。也许是直接翻译的缘故,这个“同位体根域模型”听起来有点高深莫测。其实很简单,就是在根域中除了放置主控域控制器外,不放置任何的域对象,从而实现隔离,来提高域环境的安全性与可用性。笔者更喜欢将这个模型称之为空根域模型。这个名字更加的直观,更加容易理解。
二、 什么时候采用空根域模型?
虽然说空根域模型可以提高域环境的安全性,但是并不是在任何环境下都适合采用这个模型。这主要是因为空根域模性会增加网络的复杂性。如对于域安全或者网络可用性没有很高要求的企业,其可能只需要采用一个单域模型就能够满足需要。而此时如果采用空根域模性的话,在必须要采用两个以上的域,组成一个森林。可见,此时由于追求不必要的安全,却反而增加了网络的复杂性,这显然有点得不偿失。为此笔者并不建议在任何情况下都采用空根域模性。而是要根据企业的实际需要,特别是在安全性与网络可用性方面的要求,来考虑是否采用空根域模型。
不同企业的安全性与网络可用性上的要求是不同的。如对于金融企业来说,他们对于网络的安全性与可用性是比较苛刻的。他们甚至要求百分之百的安全与可用。但是有些企业则不同。如一般的制造企业,他们可能只要求白天8个小时的时间网络是正常的即可。这就留给了网络管理员足够多的时间来解决问题。所以一般情况下,如果企业对于网络的安全与可用性有比较高的要求,那么就可以考虑采用空根域模型来实现。由于空根域可以将主控域控制器隔离开来,从而可以免受病毒或者黑客的攻击。而在主控域控制器中保存在整个域环境的配置参数,为此即是域受到攻击而瘫痪,也可以凭借这份资料迅速的恢复。缩短网络故障的时间,提高可用性。
另外,空根域模型除了提高网络安全性之外,还有一个额外的好处,就是方便对域进行改名。虽然在2008服务器系统中已经提供了重命名域的工具,但是使用这个工具的时候仍然受到很多的限制。而如果采用空根域模型的话,可以让管理员可以灵活、方便的对域进行更名。为此对于一些正在扩张的企业,即使对于安全没有特殊的要求,但是采用空根域模型仍然能够享受到不少的益处。特别是当企业在不断的吞并其他公司的时候,可以通过空根域模型来提高域名更改的灵活性。
空根域模型的缺陷
三、 空根域模型的缺陷。
虽然空根域模型可以提高域环境的安全,也便于管理员更改域名。但是这个模型仍然有一定的缺陷。这个缺陷主要体现在硬件成本的增加与网络复杂性的增加上。
在使用空根域模型中,企业不得不额外的投资一台服务器,用来做主控域控制器。同时为了提高其安全,往往还需要设计冗余。这么一来,企业就需要额外的多增加2到3台的服务器。空根域模型的核心就是要有一个独立的、分离的域。为此在域设计中必须要包含一个额外的域控制器,而且还要提供一个域控制器作为冗余控制器。为此企业如果需要采用空根域模型的话,就需要承担这一笔额外的开销。不过在现实工作中,由于这个主控域控制器往往不负责具体的工作,不会执行过多的任务,而更像是一种“备用域控制器”,所以其配置并不要很高。不过一般来说,冗余配置还是必须的。在实际工作中,为了降低成本,有些网络管理员甚至布使用物理硬件来充当主域控制器。而使用虚拟机等技术来创建一个虚拟的模式主控。这虽然是可行的,但是其安全性方面会打折扣。随着现在硬件成本越来越低,笔者还是建议采用独立的硬件设备用作主控域控制器。只是那个配置上,不用很高。企业甚至可以使用一些即将淘汰的电脑,稍微升一点级,来作为空根域的控制器,以降低空根域模型的部署成本。
另外需要注意的是,采用空根域模型会增加域环境的复杂程度。如某些企业可能只需要使用单域模型就可以满足需求。但是为了提高安全采用空根域模型的话,还必须额外的采用一个根域。从字面上理解只是增加了一个根域,但是在管理上,会成倍的增加工作量。
总之天下没有白吃的午餐。企业在域模型设计的时候,需要在安全性与部署成本上进行均衡。对于一些安全至上的企业来说,这点投资还是值得的。
四、 空根域模型部署的最佳建议。
在部署空根域模型的时候,笔者提供如下几个最佳的建议。
一是空根域与其它域之间的命名。在传统的域环境中,根域与下面的域采用的是DNS的命名结构。如根域命名为dtmfg.cn,则下面的域就命名为zj.dtmfg.cn。这样的命名能够让域的拓扑结构更加的清晰。但是这也有不利的地方,如方便攻击者了解企业的域拓扑结构。在使用空根域模型中,对于根域与其它域的命名笔者不建议采用这个结构。即对空根域进行命名的时候,可以随意命名,如rootad.cn等等。
二是最大程度的限制空根域的用户帐户。一般情况下,最好是在空根域中只有一个帐户,既只有网络管理员帐户。为企业每个部门创建的组织单元、帐户等等都要放置在其他的域中。由于只有管理员有权访问根域,有权访问主控域控制器,就能够创建一个简单的域环境。正由于其简单,为此针对其设置安全策略等等也会方便许多。
三是虽然通过虚拟服务器技术来创建虚拟的主控域控制器是可行的,但是笔者不建议这么做。特别是现在硬件成本越来越低,企业还采用虚拟的主控域控制器,有点得不偿失。另外就是为主控域控制器甚至冗余的控制器也是必须的。如果出于成本的考虑,空根域中的控制器配置可以不用很高,只要满足2008操作系统安装要求即可。
网友评论