Как обеспечить безопасность Active Directory

Использование Windows Server 2003 просто необходимо, поскольку именно эта операционная система поддерживает каталоги «Активной директории». Также безопасны версии Windows 2000 года, но больше усовершенствовать данные операционные системы гораздо труднее. Windows Server 2003 – версия вполне удобная и приемлемая для современных серверов. Более того, система не требует дополнительных настроек безопасности. Обновить 2000 версию возможно, для этого необходимо убедиться, что все версии вида «регистратор» выключены. К примеру, «Разрешения совместимы с версиями, предшествующими Windows 2000 Server».

Права администраторов должны быть ограниченными.

Улучшить безопасность, применяя технологии Active Directory, возможно с помощью разрешений: «Делегирование полномочий административного контроля», «Полномочии Активных директорий», «Встроенные группы». Использование данных функций позволяет правильно распределять полномочия администратора, что достаточно важно для безопасности. Получается, что вместо того, чтобы давать полномочия другим работникам, каждый специалист отдела информационных технологий выполняет и допускается к тем задачам, что доступны для его служебной инструкции. В данном случае также стоит внимательнее относиться к распределению полномочий, когда в компании несколько офисов, производств и тому подобное.

DNS: первостепенная защита

«Активная директория» достаточно сильно зависит от DNS. Например, команды, прописывающие расположения различных служб, необходимы для оповещения машины в тех случаях, когда нужна информация о местонахождении в сети функций контроллера домена. DNS содержит полную информацию о сети «Активная директория», поэтому нуждается в надежной защите. Убедитесь, что Ваши DNS – сервера защищены от взломов как на уровне программирования, так и на уровне машинном. В процессе деятельности желательно разрешать только «Безопасные динамические обновления». Опция включается в настройках системы.

Защита ролей FSMO

Если быть наиболее точным и переводить аббревиатуру FSMO, то можно получить нечто несвязанное, типа «Операции одиночного гибкого хозяина», на самом же деле FSMO играет далеко не маловажную роль, поэтому защите ролей в данном случае необходимо уделить большое внимание. Сами роли имеют важное значение для Active Directory. Например, PDC Emulator выполняет и отвечает за функции синхронизации, обновления, блокировки учетных записей и многие другие. Роль «Мастер схемы» отвечает и регулирует работу для «Схем», поэтому также требует защиты и безопасности. Обратите внимание на использование отказоустойчивых серверов, применяйте надежную схему архивации: данные действия также обеспечивают стабильную работу всей системы, поэтому здесь также стоит обратить внимание на безопасность.

Используйте аудит

С помощью данной функции Вы сможете в любое время проверять работу «Активной директории». Для того, что бы активировать аудит, необходимо включить опцию «Управления учетными записями», «Аудит событий входа в систему», а затем «Аудит использования привилегий», «Аудит изменения политики». В данном случае важно помнить, что сам процесс аудита не нужен без постоянного слежения за системой. Функция должна запускаться с целевыми намерениями.

Избавьтесь от неиспользованных приложений и служб

Идеальное и вполне классическое решение. Дело в том, что контроллеры доменов должны использоваться строго по своему назначению, поэтому не стоит запускать ненужные программы и службы, он только тормозят работу всей системы в целом. Сервер должен работать с минимальным набором необходимых программ и служб. Более того, очень важно, что бы контроллер домена не использовался в качестве хранилища различных установок.

Используйте шаблоны безопасности

Данные шаблоны достаточно эффективны, они последовательно защищают сервер, это эффективная мера по безопасности. Шаблоны всегда используются различными опытными администраторами. Если некоторые шаблоны безопасности не удовлетворяют Ваши потребности, то сегодня вполне возможно создать свой собственный шаблон.

Правило проведения патча

Компания Microsoft опубликовывает, выпускает обновления практически каждый месяц. Главная защита администраторы – обеспечение обновлений с присутствием защитных заплаток котроллеров домена.

Физическая безопасность

Ваши сервера должны находиться в запретном от посторонних людей месте. Как правило, это специальная комната, которая должна охраняться физически. Если взломщик попытается навредить системе, то физически ему это вполне может удаться, можно здорово навредить инфраструктуре Active Directory.

Устойчивость системы к сбоям

Сегодня мы все знаем, что любая атака – это набор определенных действий злоумышленников. Система безопасности основывается на определенных уже известных нам атаках. Необходимо помнить, что всегда есть опасность столкнуться с неизвестной и неопределенной формой атаки, поэтому очень важно быть готовыми к восстановлению системы. Уникальность Active Directory состоит в том, что эта система имеет возможность устанавливать несколько доменов и делить их по различным функциональным возможностям. Необходимо настроить систему «Активной директории» таким образом, то бы весь процесс восстановления информации был доступен. Администратор должен заранее проработать схему восстановления и снизить риски для взломов. В данном случае речь идет не только о взломах, но и о различных аварийных ситуациях. Нужно быть в любое время готовым к непредвиденным ситуациям.