网站地图    收藏   

主页 > 后端 > 网站安全 >

解析暴露给用户的Active Directory信息 - Windows操作系

来源:自学PHP网    时间:2015-04-17 18:33 作者: 阅读:

[导读] 当前,大多数IT专业人士处理的工作通常包括以下: ·物理访问 ·通过防火墙的网络访问 ·访问服务器上的服务 ·对应用程序的访问 IT人员的主要工作就是对上述领域进行保护,但是对于...

当前,大多数IT专业人士处理的工作通常包括以下:

  ·物理访问

  ·通过防火墙的网络访问

  ·访问服务器上的服务

  ·对应用程序的访问

  IT人员的主要工作就是对上述领域进行保护,但是对于存储在Active Directory上的信息呢?当使用Windows Server 2008域控制器的时候,大多数人对于该技术内置的安全功能感到很放心。然而,你必须知道,普通用户也可能通过使用简单的工具来获取敏感信息。除此之外,你还需要检查一下,用户是否可以利用Active Directory内置的兼容性“功能”( Windows Server 2000以后的版本都有的功能)查看更多的敏感信息。

  在本文中,我们将讨论普通域用户可以看到Active Directory中的哪些信息以及为什么用户可以看到这些信息等问题。

  安全问题

  在Active Directory中通常存储着很多信息,包括域配置、各种帐户类型、打印机和共享文件等。当然,我们还可以使用软件来存储更多信息,并使用Active Directory来存储配置数据。这种软件可能是业务会计应用程序或者使用directory作为配置应用程序和域用户的安全装置。因此,必须检查域控制器和全局编录服务器上的哪些信息是可以被域用户(甚至匿名用户)查看的,这是非常重要的。

  企业的网络基础设施建设应该尽可能的安全,通常我们会让安全人员安装防火墙和加密技术来限制所有对网络、服务器和应用程序的访问,主要是通过用户的登录验证或者其他类型的身份验证(如智能卡和生物识别技术)来进行访问控制。

  只有通过身份验证的用户才能够访问他们工作需要的网络资源,IT人员必须确保用户访问的正确的共享文件、打印机、邮箱和应用程序。那么某些“间谍”企业用户是否能够使用其他方式获取存储在AD上的信息呢?你是否作为标准域用户帐户检查过自己的AD呢?如果你是负责网域安全,就必须弄清楚在默认情况下哪些信息是暴露给用户的。
检查Directory

  如果想要检查哪些信息暴露给用户,可以在测试环境中作为普通用户身份登录(默认域设置),首先访问微软的TechNet SysInternals网站,从该网站下载并运行AD浏览器,在图1中可以看到笔者的域和证书:

Active Directory浏览器的登录框

图1:Active Directory浏览器的登录框

  在图2中,可以看到更多属性设置以及很多限制信息(如密码和审计政策等),如果企业有好的密码政策(也包括锁定政策),那么就不会有大的安全问题。

普通域用户可以看到的域属性

 图2:普通域用户可以看到的域属性

  在图3中将可以看到更多关于该帐户的细节信息,包括登录时间、组成员身份和密码更改的时间等。

普通域用户可以看到的管理员帐户信息

图3:普通域用户可以看到的管理员帐户信息

  我们可以使用前后对照查询来找出拥有“永不过期密码”属性设置的域管理员(userAccountControl属性的一部分),AD报告和管理软件(Javelina Software公司的ADToolkit)可以为管理员提供数据报表,并且非常容易使用。

  目录信息不仅包括用户和组对象有效,而且还包括完整的域基础设施(如“Active Directory Sites and Services”中所见)。

  多个安全组实际上可以读取访问某些或者全部的属性:

  ·验证用户

  ·Windows 2000以前版本的兼容访问

  Windows 2000以前版本的安全组还包括稍后将讨论的其他组,这些更改和写入权限都在AD中进行处理。

 

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论