基于Windows活動目錄的校園網安全管理系統框架

摘 要：文章分析了校園網的主要安全威脅，介紹了Windows Server 2003的活動目錄安全管理框架。針對校園網的特點，設計了基于活動目錄的校園網安全管理體系框架。

關鍵詞：Windows Server；活動目錄；校園網；安全管理

DOI：10.16640/j.cnki.37-1222/t.2017.07.126

早期校園網建設更注重硬件的投資，隨著信息化的不斷發展，當今校園網建設的發展過渡到了以綜合指標評定校園網優劣的階段。校園網構建和發展要綜合考慮安全性、成本、資源利用率、校園網優勢發揮度等因素。Windows Server 2003活動目錄具有兩大特點：單點登錄；集中管理。在這種結構中，計算機僅僅充當終端機的角色，用戶可以沒有屬于自己的實體計算機，只要擁有域成員賬號就可以在域中的任意一臺計算機上登錄到域，從而使用用戶賬號權限范圍之內的資源。域管理員通過活動目錄的組策略功能集中管理用戶，限制用戶越權操作，統一部署操作系統和應用系統，對數據進行實時備份，提升系統的可靠性和安全性。

1 校園網的安全威脅分析

校園網的安全威脅主要來自于實體威脅和邏輯威脅。前者指的是網路中的計算機及其各種連接設備、傳輸介質等等可能會被人為破壞、丟失，或者受到自然災害的影響而遭受到損失；邏輯威脅指的是信息的可用性、保密性和完整性會受到人為和非人為的破壞。下面兩種威脅是校園網面臨的最主要的威脅。

（1）計算機病毒威脅。網絡管理員的工作職責是監控各部門網絡數據和流量，保證網絡設備正常工作和運行，工作重心在服務器和路由器的管理與維護上。網絡管理員沒有精力管理每一臺客戶端機器，客戶端機器都是由客戶端管理員自己管理和維護。這樣的工作模式會給計算機病毒有機可乘的機會。客戶機管理員通常來說僅僅具備機器的操作技能，不具備機器的管理和維護技能。他們不懂得如何配置防病毒軟件，不會進行漏洞掃描，不會下載安裝系統補丁，而這些客戶機又直接暴露在網絡中，很容易感染病毒。當客戶機出現中毒現象時，網絡管理員人手少，往往很長時間才能進行維護，這期間病毒也可能大肆傳染，安全風險急劇提升。

（2）非授權訪問。非授權訪問又稱為越權訪問，指的是用戶沒有經過計算機的授權而直接訪問計算機資源數據的現象。網絡中間人經常利用木馬盜取登錄密碼，利用漏洞繞過登錄模塊，利用假冒避開系統訪問控制機制，利用社會工程學騙取提權賬戶信息等。

對等網工作模式中終端機器的身份認證使用的是本地目錄數據庫，這種驗證方式屬于分散管理范疇，每個終端機器身份認證的方式方法可能都不一樣，沒有統一集中的密碼策略來約束密碼創建，這會導致整個校園網認證系統的混亂。例如有些人將自己計算機的登錄密碼設置成弱密碼，甚至管理員賬號密碼直接置空，這些做法都會給網絡中間人很多機會進行非授權訪問。

2 Windows Server 2003活動目錄優點

（1）集中安全管理。信息系統的安全性由活動目錄集中管理，例如用戶登錄認證模塊和用戶授權管理模塊都集成在活動目錄中。另外，活動目錄還提供了靈活多樣的安全策略，這些安全策略能夠保證信息存儲的完整性、保密性和可用性，同時還能夠調整應用程序的安全級別，滿足不同應用程序的安全需求。（2）基于策略的管理。組策略是域管理員利用活動目錄管理網絡最主要的工具之一。組策略針對的對象包括用戶賬戶、計算機賬戶、各種組織單元等等。這些組策略對象（GPOs）的配置能夠決定什么樣的對象能夠訪問什么樣的資源，以及什么樣的資源可以被什么樣的對象所訪問。（3）互操性和靈活的查詢。標準的目錄訪問協議是活動目錄遵循的基本協議，大多數應用程序開發軟件也都遵循這一協議，使得開發者在開發軟件時能夠享有統一友好的開發界面。這些協議包括名稱服務提供程序接口、輕型目錄訪問協議和活動目錄服務界面。

3 活動目錄在校園網安全管理中的應用

（1）遠程安裝服務、智能鏡像、分布式文件系統。域管理員可以利用活動目錄的遠程安裝服務對物理上分散的遠程主機進行操作系統的安裝，并且這種形式的安裝模式不需要人為手動控制安裝過程，極大地簡化了管理員的工作。另外遠程安裝服務不僅僅對操作系統有效，對安裝應用軟件以及各種軟件和服務器的升級操作依然有效。為了增強系統靈活性，活動目錄設計初期就考慮到添加智能鏡像的功能。該功能類似于基于NT內核的微軟視窗操作系統的漫游用戶配置文件模塊。用戶使用智能鏡像功能在域中任意一臺實體主機上登陸以后，機器呈獻給用戶的桌面、數據及其應用軟件都和用戶在本地登錄一樣，這樣就拋開了物理機的概念，使得用戶只要在域中就可以個性化的利用網絡資源進行工作。使用活動目錄管理網絡資源最重要的特點之一就是集中化管理，活動目錄中的分布式文件系統既可以對共享資源進行整合，將分布在不同終端的共享資源以虛擬的形式放置到一個邏輯文件夾，提高用戶在進行資源訪問時的工作效率。

（2）系統安全防護以及用戶環境配置都可以由組策略輕松實現，組策略是活動目錄管理網絡最有效的工具之一。其實歸根到底，組策略就是更改系統的注冊表配置信息，以往用戶都使用手動的方式進行注冊表各鍵值的設置，這種方式效率低，而組策略能夠通過批量的手段對對象進行配置管理，方便靈活，功能也更加強大。

（3）其他網絡服務整合。目錄服務可將目錄、數據庫、人力資源應用軟件、電子郵件、網絡操作系統等等眾多不同系統的用戶信息整合，幫助企業提供產品及更廣泛的安全身份管理方案。這些方案解決了目前信息總監所面對的主要商業問題；既能將實時、以角色為基礎的資源傳送給分散的員工、合作伙伴及客戶，同時又能保持系統及數據的安全。此外使用ISA server 2004和活動目錄結合，可以完全實現校園網信息監控和管理。

4 總結

Windows Server 2003活動目錄是分布式網絡體系結構的基礎。應用活動目錄技術來規劃管理校園網，能夠實現資源和用戶的集中管理，方便用戶查詢使用網絡資源，增加校園網的安全性，實現校園網內多種網絡操作系統的互聯。

參考文獻：

[1]陳功.校園網絡安全分析[J].達縣師范高等專科學校學報（自然科學版），2006（03）.

[2]李志民.基于活動目錄的訪問控制系統設計[J].中原工學院學報，2004（04）.

作者簡介：沈虹（1982-），女，本科，講師，研究方向：計算機網絡。