一个域描述了一组用户、系统、应用程序、网络、数据库服务器和其他任何资源,这些资源都受到一组共同的管理规则的控制。通常,一个域还包括一个物理空间,比如一个办公室或多个办公室。如果你在域内,你就处于一个理论上安全和可信的空间。如果在外面,你就是不可信的,所以域实际上就像是你的城堡,周围有护城河。
域控制器(Domain Controller,DC)是一台服务器,管理网络和身份安全,有效地充当用户验证和授权进入域内 IT 资源的门卫。域控制器在微软目录服务术语中尤其重要,作为验证 Windows 用户身份的主要方式,以便让他们访问 Windows 系统、应用程序、文件服务器和网络。它们还托管 Active Directory 服务。
Windows 系统在企业解决方案中的流行,使域控制器成为网络架构中的常见术语。然而,最近的趋势已经使它们的使用过时了,特别是对于非 Windows 系统。如今的域控制器不符合中小型企业(SME)的要求。这导致许多企业寻求替代的云身份和访问管理(IAM)解决方案以及适用于 Windows 之外系统的设备管理。无域企业通过基于云的基础设施实现了域控制器为 Windows 网络所做的事情。它将身份视为边界,将设备视为资源的网关。
然而,域控制器仍然是中小型企业的基础技术,并且可以通过云目录进行扩展和改进,包括 NingDS 的开放式目录平台。本文深入介绍了域控制器的工作原理以及如何使用它们。
01 域控制器简介域控制器的概念最初是由微软引入的,用于管理基于 Windows NT 的网络。它为 IT 管理员提供了一种控制域内资源访问的方式,也就是企业的用户和 IT 资源。在这种环境下,所有用户请求都被发送到域控制器进行身份验证和授权。然后,域控制器通过验证用户名和密码来验证用户身份,并相应地授权访问请求。Windows Server 多年来已经发展了许多新功能,以支持现代托管范例和部署选项。随后的发布版本添加了额外的服务器角色,并可以跟上更新的硬件、身份验证协议、报告、管理和安全要求。
02 域控制器的作用是什么?域控制器继续执行网络资源的权限和安全策略,同时确保网络的总体安全性和可靠性。随后,微软的Active Directory(AD)的加入使网络管理员能够从一个集中的位置管理基于 Windows 的网络的用户帐户和权限。AD 设置诸如密码复杂性要求或帐户锁定等策略,也可以将数据和用户信息复制到网络上的其他域,无论是在本地还是在其他位置。
在过去的二十多年里,AD 一直在许多企业中发挥着至关重要的作用。域控制器对于现代企业仍然是相关的,但是如果没有包含云服务来联合身份和管理所有设备平台,就会将用户锁定在 Windows 网络中。
03 如何在域控制器上设置活动目录?首先,我们来探讨一下 AD 的组成部分。活动目录由四个基本服务组成,这些服务在域控制器上运行,使其能够提供身份和访问管理:
● 活动目录域服务(AD DS)。这是活动目录协议中的主要服务。除了存储目录信息外,它还控制哪些用户可以访问每个企业资源和组策略。AD DS 使用分层结构,包括域、树和森林,以协调网络资源。
● 活动目录轻量级目录服务(AD LDS)。它与 AD DS 共享相同的代码库和功能。但是,与 AD DS 不同,AD LDS 使用轻量级目录访问协议(LDAP),允许在同一服务器上运行多个实例。
● 活动目录联合服务(AD FS)。如其名称所示,AD FS 是一种联合身份服务,提供单点登录(SSO)功能。它使用许多流行的协议,如 OAuth、OpenID 和安全断言标记语言(SAML),在不同的身份提供者之间传递凭据。
● 活动目录证书服务(AD CS)。这是一个创建本地公钥基础设施(PKI)的服务,使企业能够创建、验证和撤销内部使用的证书。
按照以下步骤设置AD:● 安装 Windows Server:指定一个 Windows Server 实例作为您的主域控制器。专用一个满足运行 Windows Server 的最低硬件要求的虚拟化平台或服务器,并留出扩展空间。
如果您正在构建以 DC 为核心的基础架构,则很可能需要额外的服务器实例和角色。微软修改了其许可制度,使其在每个核心的基础上运行(更不用说您需要的每个其他客户端访问许可(CAL)了)。记住这些额外成本,因为服务器核心许可可能比你意识到的要更昂贵。
● 安装活动目录域服务:使用服务器管理器或 PowerShell 安装 AD DS。制定备份的应急计划,并解决如果你的 DC 崩溃会发生什么的问题。
● 将服务器晋升为域控制器:接下来,你需要将服务器晋升为域控制器。活动目录域服务安装向导将协助指定网络的适当设置。
● 配置活动目录:根据你的网络要求配置活动目录。这涉及创建组织单位、用户、组和其他网络组件。满足现代安全标准可能是一个复杂的过程,只有了解其中风险的经验丰富的管理员才能尝试。
● 配置DNS:活动目录在名称解析方面严重依赖 DNS(域名系统)。正确配置 DNS 以确保活动目录正常运行。至少有两个内部 DNS 服务器,并考虑使用活动目录集成区域。这可以提高可靠性、性能,并且 DNS 服务器将拒绝未经授权的主机请求。
● 配置组策略:最后,配置组策略,它允许你跨网络管理和强制执行策略。组策略设置可以应用于域、站点或组织单元级别。默认的 UI 可能会具有挑战性和繁琐性。GPO 模板使 Windows 更容易实现强安全姿态,如 CIS 基准测试。
04 域控制器和DNS服务器是相同的吗?域控制器作为主机访问域资源的门卫,并使用 Kerberos 和(或)NTLM 对进入域的用户/设备进行身份验证。它是执行策略和托管 AD 的地方。域名系统(DNS)协议将 IP 地址转换为 URL,帮助用户浏览网络。DNS 服务器将严格提供 DNS 服务。
05 其他域控制器实现选项以下部署选项可以帮助管理员节省费用并满足其要求。
● 全局目录 (GC):GC 是非官方的灵活的单主操作(FSMO)角色和 AD 特性,可提供跨所有林域的任何对象的信息。选择的属性会被复制到 GC 服务器,这使管理员可以获取必要的信息。
● 只读域控制器(RODC):当IT资源有限时,RODC 是在分支机构托管 Active Directory 只读副本的选项。它是在企业的每个分支机构建立安全数据中心设施的经济替代方案。身份验证请求发送到 RODC,而不是通过 WAN 链路,以提高安全性。RODC 服务器仅保存有关 DC 的有限数据,凭据缓存由策略定义。本地管理员可以进行更改,而不会影响总部的主要 DC。
● 目录服务还原模式(DSRM):DSRM 是一种特殊的启动模式,可帮助管理员恢复AD数据库并还原系统状态。这类似于 Windows 中的“安全模式”概念。黑客有时使用渗透测试工具,如 Mimikatz,激活并捕获本地 DSRM 管理员凭据。他们可以使用本地管理员帐户获得远程访问。
06 域控制器设置和最佳实践攻击者使用多种常见方法来提升特权并创建持久性。以下步骤考虑了这些方法,并有助于防止发生违规行为:
√ 禁用默认管理员用户。这是主要攻击途径之一。
√ 限制域管理员权限的使用。不要以管理员用户身份运行,并考虑基于时间的特权提升。在安装 AD 时,可以通过实施身份验证策略隔离来使管理帐户处于与其他用户不同的单独的林中。此配置可能需要外部专家、培训和附加工具来实现。规划设计和配置,并实施监控和日志记录极其重要。
√ 实施新的 AD 增强功能,例如受保护的组、受限的 RDP、基于时间的组成员身份和测试。考虑使用入侵检测系统,因为 AD 包含了所有“王国的钥匙”。
√ 使用不同的服务器来访问 RDP 和 MMC。作者遇到了一个直接在其上托管 RDP 角色服务的DC,导致不得不重新规划和配置,从而保证 DC 环境的“干净”。
√ 在 DC 上安装第三方应用程序时,请谨慎并信任供应商。
√ 通过网络过滤限制对 DC 的互联网访问,并考虑采用深度防御方法。微软建议使用 Defender for Identity(身份防御器),这需要部署传感器并获取许可。这是一个独立的订阅,也包含在高级 SKU 中,包括 Enterprise Mobility Security 5 suite (EMS E5)。
√ 管理员应建立一个程序来加固 DC,补丁和修复,并维持一个适当的安全基线。例如,防止从 DC 上浏览网页。微软建议采取以上行动来保护 DC 免受攻击。
√ 使用本地管理员密码解决方案(LAPS)来管理加入域的计算机上的本地管理员密码。它可以随机分配本地管理员的密码。
07 为什么域控制器很重要?域控制器可以通过目录服务来确保对本地域身份和资源的管理和授权,并防止对资源未经授权的访问。它们还可以扩展以便支持大型和复杂的网络及定制的目录要求。
08 域控制器的好处是什么?域控制器实现了对本地域用户生命周期集中管理。它们可以帮助将 Windows 应用程序部署到用户组中,同时为文件和程序配置一些安全策略。Windows 域控制器是一种成熟的技术,得到了广泛的支持,它可以通过第三方解决方案进行扩展,并可用于将身份联合到云端。
09 域控制器的局限性是什么?域控制器不提供开箱即用的高可用性或最佳安全实践。企业可能需要在不同的物理位置部署多个域控制器,以确保没有单点故障。域控制器上的负载也会随着环境的增长而增加,这可能会影响依赖于它的应用程序和网络服务的性能。针对这一点可能需要额外的硬件资源或对基础设施进行修改来解决。
这样就增加了数据中心维护超出标准配置和补丁的开销。新的服务器需要扩展基础设施和安全性,并且需要一些专业知识和技能才能正确完成。这就增加了培训和人员配置的成本。域控制器将需要仔细的规划、管理和监控。
您的域控制器将始终处于零日 Windows 漏洞的风险之中。保持警惕和细致的授权管理至关重要。
启用远程工作也可能是一个挑战。以 AD 为中心的 IT 团队必须通过 VPN 或替代方案(包括软件定义的 WAN(SD-WAN)和安全访问服务边缘(SASE))将远程用户连接到他们的局域网中。否则,面向特定目的的云服务可以更轻松地管理远程端点和身份,而不需要更多的基础设施和开销。此外,也不可能将单点登录(SSO)扩展到 Web 应用,没有多因素身份验证(MFA),也没有针对特权用户的条件访问规则,除非使用附加的云或软件解决方案。
10 现代域控制器NingDS 的开放目录平台是一种云目录服务,通过将 IAM 和设备管理转移到云端,消除了对本地域控制器的需求。它能够将用户连接到他们所需的任何 IT 资源,而不考虑平台、协议、提供者和位置。所有安全身份验证仍会进行,但无需管理服务器。您可以保留 AD 并使用除 Azure AD 和 Intune 以外的云服务进行单点登录 (SSO) 和移动设备管理 (MDM) 来管理整个“车队”。
云交付降低了基础设施成本,简化了部署,并最大化您已有的资源。此外,基于属性的访问控制和 HR 系统集成可以实现高级用户生命周期管理场景,以降低总体管理开销。这些都是 NingDS 自带的能力(同步器模块)。
11 开放目录中的域控制器NingDS 是一个开放目录平台,它统一了身份、访问和设备管理功能。它可以扩展 AD 和免费版本的 AAD,以更低的总拥有成本实现更多功能。NingDS 可以通过生物识别、数字证书、密码或 SSH 密钥验证用户身份。NingDS 确保每个资源都有连接到它的“最佳方法”,包括 LDAP、OIDC、RADIUS 和 SAML。采用 NingDS 后,用户可以使用一组凭据访问系统、应用程序、网络、文件服务器和云应用程序,且对企业整个环境都可提供 MFA 多因素认证进行登录保护,并针对特权用户提供可选的条件规则。不论用户从任何设备访问都将获得安全、无摩擦的访问体验。