【文章內(nèi)容簡(jiǎn)介】 問(wèn)不同，用來(lái)控制審核目錄服務(wù)事件是被啟用或者禁用的單一審核策略在 Windows Server 2020 中被劃分成四個(gè)子類別，它們分別是： 目錄服務(wù)訪問(wèn)（ Directory Service Access） 目錄服務(wù)更改（ Directory Service Changes） 目錄服務(wù)復(fù)制（ Directory Service Replication） 詳細(xì)的目錄服務(wù)復(fù)制（ Detailed Directory Service Replication） 在圖 3 中的位置啟用活動(dòng)目錄審核后，就會(huì)同時(shí)打開以上的全部四個(gè)子類別。 圖 3 打開活動(dòng)目錄訪問(wèn)審核策略 正因?yàn)樾碌膶徍俗宇?—— 目錄服務(wù)更改的出現(xiàn)， AD DS 對(duì)象屬性的更改才能被審核。我們能夠?qū)徍说母念愋捅患?xì)化到創(chuàng)建，修改，移動(dòng)以及反刪除。這些事件都將被記錄在安全日志中。 在 AD DS 中新的目錄服務(wù)更改審核策略子類增加了以下的功能： 當(dāng)對(duì)對(duì)像的屬性修改成功時(shí)， AD DS 會(huì)紀(jì)錄先前的屬性值以及現(xiàn)在的屬性值。如果屬性含有一個(gè)以上的值時(shí)，只有作為修改操作結(jié)果變化的值才會(huì)被記錄。 如果新的對(duì)像被創(chuàng)建，屬性被賦予的時(shí)間將會(huì)被記錄，屬性值也會(huì)被記錄，在多數(shù)情景中， AD DS 分配缺省屬 性給諸如 SAMAccountName 等系統(tǒng)屬性，這些系統(tǒng)屬性值將不被記錄。 如果一個(gè)對(duì)像被移動(dòng)到同一個(gè)域中，那么先前的以及新的位置（以 distinguished name 形式）將被記錄。當(dāng)對(duì)象被移動(dòng)到不同域時(shí)，一個(gè)創(chuàng)建事件將會(huì)在目標(biāo)域的域控制器上生成。 遼寧建筑職業(yè)學(xué)院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設(shè)計(jì)） 7 如果一個(gè)對(duì)象被反刪除，那么這個(gè)對(duì)象被移動(dòng)到的位置將會(huì)被記錄。另外如果在反刪除操作中屬性被增加，修改或者刪除，那么這些屬性的值也會(huì)被記錄。 利用活動(dòng)目錄審核的目錄服務(wù)復(fù)制子策略，我們還可以監(jiān)視活動(dòng)目錄的復(fù)制工作，哪些發(fā)生了，哪些未發(fā)生，以及復(fù)制了什么等，對(duì)于 操作主控的管理、復(fù)制鏈接的效率調(diào)優(yōu)，這些審核記錄無(wú)疑都具有相當(dāng)?shù)膮⒖純r(jià)值。 只讀域控制器（ RODC） 2020 年起源于美國(guó)的金融危機(jī)之所以能如此大規(guī)模如此迅速的擴(kuò)散至全球，跨 國(guó) /跨地區(qū)的貿(mào)易集團(tuán)功不可沒(méi)。因?yàn)闃I(yè)務(wù)需要，企業(yè)對(duì)遍布各地的分支機(jī)構(gòu)早已習(xí)以為常，而隨著地區(qū)業(yè)務(wù)的深入開展，分支機(jī)構(gòu)承擔(dān)的工作也在不斷調(diào)整深化，越來(lái)越多的應(yīng)用需要在分支機(jī)構(gòu)部署。然而，這些地方也許沒(méi)有域控制器，或者他們有域控制器但是沒(méi)有足夠的物理安全保障、網(wǎng)絡(luò)帶寬以及專門的技術(shù)人員來(lái)提供支持。這就使得分支機(jī)構(gòu)很可能成為黑客的突破點(diǎn) ，進(jìn)而攻擊整個(gè)企業(yè)網(wǎng)絡(luò)。 只讀域控制器（ RODC）就是針對(duì)上述的隱患而設(shè)計(jì)的。 顧名思義， RODC 本身是一臺(tái)域控制器，但是存儲(chǔ)于這臺(tái)域控制器里的數(shù)據(jù)庫(kù)是被寫保護(hù)的，無(wú)法對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)做任何更改操作，所有對(duì) AD 數(shù)據(jù)庫(kù)的修改操作，只能在可寫的域控上進(jìn)行，然后這些修改再通過(guò)復(fù)制拓?fù)鋸?fù)制到 RODC 上。而且，在默認(rèn)情況下， RODC 不保存任何賬戶信息和密碼。這樣的話，即使 RODC 受到安全攻擊，管理員們也無(wú)需擔(dān)心入侵者更改安全配置或利用服務(wù)器上保存的信息訪問(wèn)整個(gè)網(wǎng)絡(luò)。 遼寧建筑職業(yè)學(xué)院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設(shè)計(jì)） 8 圖 4 指定安裝成 RODC RODC 使用的復(fù)制拓?fù)涫菃蜗虻?，即只能從可寫域控制器?fù)制到 RODC，沒(méi)有任何屬性的更改會(huì)被直接寫入 RODC，所以，任何更改都不會(huì)從 RODC 發(fā)起，作 為復(fù)制伙伴的可寫域控制器也就不會(huì)產(chǎn)生從 RODC“拉”數(shù)據(jù)的操作。這不僅意味著上述的惡意用戶通過(guò)攻擊在分支結(jié)構(gòu)的 RODC，在其上進(jìn)行的操作的結(jié)果不會(huì)被復(fù)制到森林的其余部分，而且這一體制也減少了樞紐站點(diǎn)里的橋頭服務(wù)器的 工作 量，以及為了監(jiān)視復(fù)制所產(chǎn)生的數(shù)據(jù)量。 RODC 的單向復(fù)制同時(shí)應(yīng)用于 AD DS 及分布式文件系統(tǒng)（ DFS）的復(fù)制。 前面提到， RODC 上不會(huì)保存賬戶信息和密碼，實(shí)際上，在默認(rèn)情況下， RODC 上還是會(huì)存放少量的賬戶信息，不過(guò) RODC 只存儲(chǔ)它自己的計(jì)算機(jī)賬戶和一個(gè)用于這臺(tái) RODC的特殊的 Kerberos 票據(jù)授權(quán)（ KRBTGT）賬戶，此賬戶是被可寫域控制器用來(lái)驗(yàn)證 RODC身份的。如果需要在 RODC 上存儲(chǔ)用戶憑據(jù)或者計(jì)算機(jī)憑據(jù)的話，你需要在 RODC 上允許這些憑據(jù)被緩存。因?yàn)?RODC 一般是總是放置在比較小的分支機(jī)構(gòu)，所以被允許憑據(jù)緩存的計(jì)算機(jī)賬戶和用戶賬戶應(yīng)該都不多。這樣即使 RODC 被偷了，我們只會(huì)丟失那些緩存在 RODC 上的憑據(jù)。如果你連這些賬戶信息也非常在乎，在發(fā)現(xiàn) RODC 被偷走之后，你可以立即在可寫域控上將 RODC 的計(jì)算機(jī)賬戶刪除，在刪除時(shí)還可以對(duì)緩存在該 RODC 上的憑據(jù)進(jìn)行密碼重設(shè)，這樣丟失掉的這些憑據(jù) 就沒(méi)有任何作用了。 RODC 還支持一種稱為“管理員角色分離”的功能，我們可以使用該功能來(lái)指派一個(gè)普通的域用戶成為 RODC 的本地管理員。這樣這個(gè)特定的域用戶就擁有了對(duì)分支機(jī)構(gòu)的遼寧建筑職業(yè)學(xué)院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設(shè)計(jì)） 9 RODC 服務(wù)器進(jìn)行一些系統(tǒng)維護(hù)或管理操作的權(quán)限，例如安裝安全更新或者驅(qū)動(dòng)程序。這個(gè)功能的好處在于：此用戶在域中其他機(jī)器或者任何可讀寫的域控制器上并沒(méi)有用戶權(quán)利。而在以前的 AD 中，所有 DC 都是可讀寫的， DC 上的本機(jī)管理事實(shí)上是使用域管理員賬戶的。這使得分支機(jī)構(gòu)用戶可以有效的管理 RODC 而不會(huì)影響整個(gè)域的安全性。 為了進(jìn)一步減少對(duì)分支機(jī)構(gòu)和 總部之間網(wǎng)絡(luò)的占用，你還能在 RODC 上安裝 DNS 服務(wù)。安裝在 RODC 上的 DNS 也是只讀的，它能夠復(fù)制其他 DNS 使用的所有程序目錄分區(qū)，包括 ForestDNSZones 以及 DomainDNSZones。這樣，就使得用戶能夠像查詢其它 DNS 服務(wù)器一樣進(jìn)行名稱解析和服務(wù)位置查詢。 總之， RODC 的實(shí)現(xiàn)，為需要在分支機(jī)構(gòu)部署域服務(wù)的管理員們，提供了即完整又安全 的解決方案。 網(wǎng)絡(luò)訪問(wèn)保護(hù)（ NAP） 要問(wèn)到 Windows Server 2020 最吸引眼球的功能，網(wǎng)絡(luò)訪問(wèn)保護(hù)（ NAP）絕對(duì)當(dāng)之無(wú)愧！ 現(xiàn)如今，令管理 員非常頭痛的事是：如何在一個(gè)充斥著家庭計(jì)算機(jī)、出差用戶、來(lái)訪客戶等不在他們控制范圍的各種移動(dòng)客戶端的網(wǎng)絡(luò)中確保安全性？這些計(jì)算機(jī)很可能存在沒(méi)有及時(shí)安裝關(guān)鍵補(bǔ)丁、沒(méi)有啟用防火墻、沒(méi)有及時(shí)升級(jí)病毒庫(kù)等非常嚴(yán)重的安全隱患，當(dāng)他們接入公司內(nèi)網(wǎng)的時(shí)候，勢(shì)必給企業(yè)內(nèi)網(wǎng)的安全帶來(lái)非常大的考驗(yàn)。好在NAP 及時(shí)出現(xiàn)在我們的視線中。 要想描述清楚 NAP 系統(tǒng)是不容易的，簡(jiǎn)單來(lái)說(shuō) NAP 是一組服務(wù)器的集合，其核心服務(wù)器稱為網(wǎng)絡(luò)策略服務(wù)器（ NPS），配合 NPS 工作的有健康注冊(cè)管理機(jī)構(gòu)（ HRA）、安全修正服務(wù)器以及運(yùn)行在客戶端的安全狀況 收集程序 —— 系統(tǒng)健康代理（ SHA）。 NAP 客戶端 若 要訪問(wèn)網(wǎng)絡(luò)，首先由 NAP 代理從運(yùn)行在 NAP 客戶端計(jì)算機(jī)本地的系統(tǒng)健康代理（ SHA）收集有關(guān)該客戶端健康狀況的信息。 NAP 代理是一種在本地計(jì)算機(jī)上運(yùn)行的服務(wù)，能夠收集來(lái)自 SHA 的信息。安裝在客戶端計(jì)算機(jī)上的每 SHA 都提供當(dāng)前設(shè)置或設(shè)計(jì)用于監(jiān)視的活動(dòng)的相關(guān)信息。 NAP 代理服務(wù)將匯總該計(jì)算機(jī)的健康狀態(tài)信息并將此信息傳遞給一個(gè)或多個(gè) NAP 強(qiáng)制客戶端。強(qiáng)制客戶端是與 NAP 強(qiáng)制點(diǎn)交互以便在網(wǎng)絡(luò)上進(jìn)行訪問(wèn)或通信的軟件。 強(qiáng)制技術(shù) 可用于 作為判斷依據(jù)決定如何匹配 NAP 策略的五種網(wǎng)絡(luò)訪問(wèn)技術(shù)。這五種網(wǎng)絡(luò)訪問(wèn)技術(shù)是： 遼寧建筑職業(yè)學(xué)院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設(shè)計(jì)） 10 Inter 協(xié)議安全性（ IPSec） VPN DHCP 遠(yuǎn)程桌面網(wǎng)關(guān)（ RD 網(wǎng)關(guān)） 每個(gè) NAP 策略都可以指定到某一種網(wǎng)絡(luò)訪問(wèn)技術(shù)，當(dāng)客戶端接入網(wǎng)絡(luò)后，就會(huì)被判斷出其使用了那種網(wǎng)絡(luò)訪問(wèn)技術(shù)，從而對(duì)應(yīng)到相應(yīng)的 NAP 策略。 NAP 強(qiáng)制點(diǎn) NAP 強(qiáng)制點(diǎn)是一個(gè)服務(wù)器或硬件設(shè)備，它向 NAP 客戶端計(jì)算機(jī)提供某個(gè)級(jí)別的網(wǎng)絡(luò)訪問(wèn)權(quán)限。每個(gè) NAP 強(qiáng)制技術(shù)的執(zhí)行都對(duì)應(yīng)使用不同類型的 NAP 強(qiáng)制點(diǎn)。在使用 強(qiáng) 制的 NAP 中， NAP 強(qiáng)制點(diǎn)是兼容 IEEE 的交換機(jī)或無(wú)線訪問(wèn)點(diǎn)。 IPSec、 DHCP 和 RD 網(wǎng)關(guān)強(qiáng)制方法的 NAP 強(qiáng)制服務(wù)器也必須運(yùn)行配置為 RADIUS 代理或 NAP 健康策略服務(wù)器的 NPS。使用 VPN 強(qiáng)制的 NAP 不要求在 VPN 服務(wù)器上安裝 NPS?？梢栽谀硞€(gè)網(wǎng)絡(luò)上使用一種、幾種或者所有執(zhí)行方法。 NAP 健康策略服務(wù)器 NAP 健康策略服務(wù)器是一臺(tái)運(yùn)行 Windows Server 2020 或 Windows Server 2020 R2 的計(jì)算機(jī) ，并且已安裝和配置了 NPS 角色服務(wù)，用于評(píng)估 NAP 客戶端計(jì)算機(jī)的健康狀況。所有的 NAP 強(qiáng)制技術(shù)至少需要一個(gè)健康策略服務(wù)器。 NAP 健康策略服務(wù)器使用策略和設(shè)置對(duì) NAP 客戶端計(jì)算機(jī)提交的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求進(jìn)行評(píng)估。 NAP 修正服務(wù)器 NAP 修正服務(wù)器能夠向被判斷為不安全的客戶端計(jì)算機(jī)提供安全更新服務(wù)。當(dāng)然，標(biāo)識(shí)為安全的的客戶端計(jì)算機(jī)也可以訪問(wèn)修正服務(wù)器。 NAP 修正服務(wù)器的示例包括： 防病毒簽名服務(wù)器。如果健康策略要求計(jì)算機(jī)必須有最新的防病毒簽名，則標(biāo)識(shí)為不安全的計(jì)算機(jī)必須具有對(duì)提供這些更新的服務(wù)器的訪 問(wèn)權(quán)限。 Windows Server Update Services。如果健康策略要求計(jì)算機(jī)必須有最新的安全更新或其他軟件更新，可以通過(guò)將 WSUS 放置在更新網(wǎng)絡(luò)上來(lái)提供這些更新。 System Center 組件服務(wù)器。 System Center Configuration Manager 管理點(diǎn)、軟件更新點(diǎn)和分發(fā)點(diǎn)用于承載使計(jì)算機(jī)兼容所需的軟件更新。使用配置管理器部署 NAP 時(shí)，支持 NAP 的計(jì)算機(jī)要求訪問(wèn)運(yùn)行這些站點(diǎn)系統(tǒng)角色的計(jì)算機(jī)才能下載其客戶端策略、掃描軟件更新安全性以及下載所需的軟件更新 。 域控制器。不安全的計(jì)算機(jī)可能會(huì)要求訪問(wèn)位于不安全網(wǎng)絡(luò)上的域服務(wù)以進(jìn)行身份遼寧建筑職業(yè)學(xué)院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設(shè)計(jì)） 11 驗(yàn)證，以便從組策略下載策略或維護(hù)域配置文件設(shè)置。 DNS 服務(wù)器。不安全的計(jì)算機(jī)必須具有對(duì) DNS 的訪問(wèn)權(quán)限才能解析主機(jī)名。 DHCP 服務(wù)器。當(dāng)不安全網(wǎng)絡(luò)上的客戶端 IP 配置文件更改或 DHCP 租用過(guò)期時(shí)，不安全的計(jì)算機(jī)必須具有訪問(wèn) DHCP 服務(wù)器的權(quán)限。 服務(wù)器問(wèn)題疑難解答。配置更新服務(wù)器組時(shí)，可以選擇提供包含有關(guān)如何使計(jì)算機(jī)符合健康策略的說(shuō)明的疑難解答 URL?？梢詾槊總€(gè)網(wǎng)絡(luò)策略提供不同的 URL。這些 URL 必須能夠在 更新網(wǎng)絡(luò)上訪問(wèn)。 其他服務(wù)?？梢栽诟戮W(wǎng)絡(luò)上提供對(duì) Inter 的訪問(wèn)權(quán)限，使不安全的計(jì)算機(jī)能夠訪問(wèn)更新服務(wù)，如 Inter 上的 Windows Update 和其他 Inter 資源。 系統(tǒng)健康驗(yàn)證程序（ SHV） 系統(tǒng)健康驗(yàn)證程序（ SHV）用于在 NPS 服務(wù)器上定義健康要求，并和收到的客戶端系統(tǒng)健康代理（ SHA）做對(duì)比，以檢測(cè)客戶端是否滿足健康要求。在 NAP 上有很多種 SHV和 SHA 類型。 Windows Server 2020 自帶的 SHV（ WSHV）可以進(jìn)行以下方面的健康要求篩選： 防火墻 ：如果啟用此要求，客戶端計(jì)算機(jī)必須有已向 Windows 安全中心注冊(cè)并為所有網(wǎng)絡(luò)連接啟用的防火墻。 病毒防護(hù)：如果啟用此要求，客戶端計(jì)算機(jī)必須滿足下列要求：已安裝防病毒應(yīng)用程序，已向 Windows 安全中心注冊(cè)并已啟用。還必須對(duì)客戶端計(jì)算機(jī)進(jìn)行檢查，以確保防病毒簽名文件隨時(shí)更新。 間諜軟件防護(hù)：如果啟用此要求，客戶端計(jì)算機(jī)必須滿足下列要求：已安裝反間諜軟件應(yīng)用程序，已向 Windows 安全中心注冊(cè)并已啟用。還必須對(duì)客戶端計(jì)算機(jī)進(jìn)行檢查，以確保反間諜軟件簽名文件隨時(shí)更新。間諜軟件防護(hù)僅適用于運(yùn)行 Windows Vista 或 Windows 7 NAP 的客戶端。 自動(dòng)更新：如果啟用此要求，必須配置客戶端計(jì)算機(jī)才能檢查來(lái)自 Windows Update 的更新?？梢赃x擇是否下載并安裝這些更新。 安全更新保護(hù)：如果啟用此要求，客戶端計(jì)算機(jī)必須基于與 Microsoft 安全響應(yīng)中心（ MSRC）中的安全嚴(yán)重性分級(jí)匹配的四個(gè)可能的值中的一個(gè)值來(lái)安裝安全更新。客戶端還必須按指定的時(shí)間間隔檢查這些更新。可以使用 Windows Server Update Services（ WSUS)、 Windows Update 或同時(shí)使用兩者來(lái)獲取安全更新。 NAP 健康要求服務(wù)器 健康要求服務(wù)器是能夠向一個(gè)或多個(gè)系統(tǒng)健康驗(yàn)證程序（ SHV）提供健康策略要求和健康評(píng)估信息的計(jì)算機(jī)。如果 NAP 客戶端計(jì)算機(jī)報(bào)告的健康狀態(tài)能夠在不咨詢其他設(shè)備的情況下通過(guò) NPS 的驗(yàn)證，則不需要健康要求服務(wù)器。例如， WSUS 在用于 Windows 遼寧建筑職業(yè)學(xué)院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設(shè)計(jì)） 12 安全健康驗(yàn)證程序（ WSHV）時(shí)被認(rèn)為不是健康要求服務(wù)器。即使管理員能夠使用 WSUS 指定客戶端計(jì)算機(jī)必須有哪些更新，該客戶端計(jì)算機(jī)仍會(huì)報(bào)告自己是否已安