Windows Server 2016中的ESAE技術(shù)

近年來有個問題一直困擾著很多管理員，就是如何對活動目錄 AD（Active Directory）的生成叢（Forests）進(jìn)行有效的安全監(jiān)控。其原因主要有兩個：一是在現(xiàn)實系統(tǒng)中，這些叢多屬歷史積累所成，如果出于安全考慮徹底取消，重新構(gòu)建，往往成本巨大而不現(xiàn)實；其二，那么，在這樣的叢基礎(chǔ)上構(gòu)建的更高級別的域賬號安全就難以保障。

為此，在Windows Server 2016中所出現(xiàn)的Shadow Principals和短期活動目錄AD組，目的便是有效地控制AD叢的安全性，由此便形成了ESAE（Enhanced Security Administrative Environment）解 決 方 案。ESAE不僅對于管理權(quán)限賬戶提供了較好的安全性，它同樣適用于那些具有即時管理權(quán)限JIT (Just-in-Time)的普通賬戶。

按照ESAE的要求，既然管理叢（Admin Forest）控制著對于叢的訪問，因而首先需要保證其本身是安全的。為此，Admin Forest不應(yīng)當(dāng)保留那些與本叢無關(guān)的應(yīng)用或服務(wù)，將Admin Forest的范圍限制在具有管理權(quán)限的特殊賬戶，以避免附加叢之后所造成的復(fù)雜性。對于 Admin Forest，生 成 的Forest應(yīng)當(dāng)配置為具有叢或域之間的PIM信任機(jī)制，而叢內(nèi)的某些應(yīng)用應(yīng)當(dāng)采用雙重信任機(jī)制。

盡管Admin Forest內(nèi)的Users具有訪問其生成叢的權(quán)利，但他們在Admin Forest內(nèi)并非屬于特權(quán)型賬戶，也就是說對于Admin Forest的訪問必須嚴(yán)格控制為采用manual方式，以此來確保Admin Forest具有嚴(yán)格的安全性。不僅如此，對 于Admin Forest還可以采用其他的安保手段，包括BitLocker全盤加密、網(wǎng)絡(luò)隔離、封閉USB端口、多重認(rèn)證、物理加密、防蠕蟲等。

采用Shadow Principals，要求Admin Forest用戶對生成叢的訪問必須采用BUILT-INAdministrators或Domain Admins訪問方式，甚至要求這些用戶不能像外部叢的用戶那樣可以修改組策略Group Policy。而作為Global Group的Domain Admins,并不允許外部叢的用戶加入，此即意味著盡管我們可以將一個Admin Forest用戶加入到具有Domain Admin組的 Shadow Principal當(dāng)中，但是只有當(dāng)Admin Forest用戶登錄到生成的域內(nèi)時，才會授予其BUILT-IN Administ rators權(quán)限。當(dāng)然，只要通過ADSI編輯器修改每個GPO（Group P o l i c y Objects）所在的AD容器的安全許可，Admin Forest用戶也可以修改當(dāng)前的GPO。

為了控制對生成叢的特權(quán)式訪問，微軟提供了所謂MIM(Microsoft Identity Manager)的工作流方式。MIM允許執(zhí)行部門生成一種具有預(yù)期成員關(guān)系的組，當(dāng)有用戶需要權(quán)限訪問生成叢時，可以通過MIM為其提供一段限制期限的訪問，當(dāng)然MIM屬于Windows Server 2016的一種副產(chǎn)品，在Windows Server 2016中并不提供。

從安全角度而言，活動目錄以及服務(wù)器的安全應(yīng)當(dāng)是系統(tǒng)最重要的內(nèi)容，但實際對很多企業(yè)而言，復(fù)雜系統(tǒng)的構(gòu)成并不是將安全放在首位。Windows Server 2016的ESAE試圖在二者之間起到一種平衡。毋庸諱言，ESAE為系統(tǒng)帶來了復(fù)雜度的同時，也為叢提供了一種有利于安全的“勒馬繩”。所以，ESAE不一定適用于任何公司的系統(tǒng)，比如有些應(yīng)用并非是由叢外的用戶負(fù)責(zé)運(yùn)維，此時系統(tǒng)只能部分采用ESAE，而無法推而廣之。