熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows服務器 >> 正文

DNS專題(7)---動態DNS和活動目錄④

2013-11-11 22:56:20  來源: Windows服務器 

  訪問控制層安全設置
  對於DNS管理來說使用windows DNS進行安全更新的真正的問題在於LDAP協議對於DNS記錄更新的成敗必須理解windows 安全許可和所有權函數是如何規范的因為正是它們掌握著更新的成敗如果理解了對於域區和域區數據的缺省設置是什麼以及缺省是如何調節的就可能在缺省配置之外管理動態更新了這一節試圖讓這個問題變得盡量簡單並且假設對前述內容有了一定的背景知識對windows 安全概念有大體的理解包括對訪問控制列表和所有權的大致了解
  缺省的Outofthebox配置使得授權用戶組的任何成員在任何域區裡創建記錄如A記錄或PTR記錄當一個記錄存在後它能被Everyone組裡的任何一個成員訪問但也許只能被最初創建者或者被不同類型的管理員或者被系統本身所修改在很多情況下這種改變和刪除已存在目錄的創建後限制提供了一個可取的行為但有些時候它又會帶來問題和產生舊記錄顯示了一個集成域區的缺省安全設置注意圖給出了一個域區而不是一個資源記錄
  Everyone組是高亮度的表明了這個組被授予了特殊的配置允許位於它正上方的AuthenticatedUsers組表明了它被允許創建所有的子目標(這種情況下為資源記錄)授予Everyone組的特權賦予域區本身的讀取訪問權包括列表權顯示了同一個域區使用DNS服務器管理控制器而不是圖中的活動目錄用戶和計算機控制器中編輯器打開指定給Everyone組的安全設置顯示了細節通過任何一種管理器接口都能提供這種細節
  在更深入地鑽研這些之前注意一下圖中命名為DNSAdmins的組這是一個在活動目錄中預配置的組通過使一個一般用戶成為這個組的一員一個管理員可以授予這個用戶一個DNS管理員的許可如你猜想的一樣一個DNSAdmins成員有足夠的能力配置和運行在域控制器上永久駐留的所有DNS服務器上的DNS但是沒有對其他特征的管理權除非這些特征通過其他組獨立地被授予特權
  因此上一段說的是任何能和DNS協商一個安全對話作為認可陳述(授權用戶成員)的客戶機都可以創建資源記錄當一個非安全的更新被協商DNS服務器提供了一個更新的上下文顯示了對A記錄缺省創建的安全保障表明了Everyone組被授權Read(讀取)許可如果想再深入一點兒看的話如圖所示可以找到相同的被授權的Read許可但這種情況下是對一個資源記錄而言的
  如以上所見應該指出的一點是授權用戶可以在域區內創建對象盡管這樣創建對象的類型會受到限制但如何進行創建卻不受限制如果用戶作為一個授權用戶使用直接的LDAP方法仿佛就根本不用涉及到DNS服務器換句話說域中任何合法用戶都能創建記錄甚至可以直接創建
   
   
  為了改變創建記錄時對其授權的許可對活動目錄容器和域區的可繼承許可可以改變一般來說實際的需求非常復雜對原型或者說對被創建對象類型的對象類也有許可當在其中創建新的記錄時這些許可也會被應用不論是對域區還是資源記錄outofthebox設置中模式類dnsZone和dnsNode對新創建的域區或資源記錄都會提供授權許可給出了用於資源記錄的dnsNode類的缺省安全描述符dnsZone類是相似的此外它也對授權用戶賦予許可去創建子對象
  如果我們再深入地研究下去在圖中(對一個資源記錄)我們會發現Everyone的讀取許可和圖一模一樣這是顯然的因為圖中的內容正是從圖得來的此許可不是從域區ACL繼承的並且對域區的ACL的大多數改變都不會影響Everyone組對域區裡新的資記錄的讀取權利
   
  那麼迄今為止我們知道了些什麼?一個協議定義了進行動態DNS更新時DNS服務器使用的安全上下文任何授權用戶都能創建新記錄Everyone組的每個成員都能讀取一個記錄也能列出一個域區在記錄被創建以後它只能被管理員或系統或創建此記錄的帳戶來改變在包含的域區或dnsNode圖表對象中對許可的操作可能改變新創建的資源記錄的缺省許可最後詳述一下如何預先確定由動態DNS產生新記錄的安全ACL
  任何沒有明確提供ACL的新的活動目錄對象被創建後它就得到一個ACL這個ACL包含著從它們的容器或從對象原型缺省的安全描述符繼承的安全許可除非對它的容器至少有一項特別指定的許可當有指定的許可出現在容器中時原型的許可不被使用因此當創建新記錄時不禁止從原型得到許可將得到dnsNode的許可加上記錄被創建的域區的任何可用的繼承許可下面看一下禁止使用原型許可的指定許可如果容器有任何指定給被創建對象類型的繼承許可此類的原型的缺省安全描述符就不會被新對象接受新對象只接受從容器得到的繼承許可所以如果域區有可繼承的許可並且已經應用於資資源記錄(dnsNode類的對象)域區裡新的資源記錄就只會接受域區裡可繼承的許可
  由微軟提供的目前的MSDN中的活動目錄程序員指南以文檔的方式指出了覆蓋一個活動目錄對象接受的它的類的缺省安全措施的方法但是因為在windows 的最初版本中管理員接口中不提供關鍵性的先決條件所以目前還不能禁止來自dnsNode和dnsZone的缺省安全措施不向域區或資源記錄對象提供任何指定的許可如果禁止原型安全措施成為可能那麼不論你是在想使用許可還是在不想使用時避免使用許可你都得清楚這一點這裡有一個預防措施在一個域區被創建之後改變它的許可可以防止缺省的安全描述符(在dnsNode原型上的)被加到新的資源記錄上去這也許被期望也許不被期望如果沒有應用原型缺省的安全措施就必須保證包含域區中有可繼承的許可以提供原型中缺省安全措施中被期望的部分(被禁止的)的
  可以看到包含域區中的許可可控制新的被包含對象(資源記錄)的安全措施這個控制必須很小心地完成並且有兩個方面要考慮包含域區的可繼承的許可和來自原型(dnsNode)的缺省許可沒有提到的是改變對dnsNode原型的安全措施是一個影響活動目錄中每個域的行為(例如假如Everyone的讀取權太過頭了)不僅僅是這樣做還必須理解Everyone為什麼賦予這個許可以及為什麼在某種程度上它還很難被覆蓋如果訪問能被破壞的事實能被接受的話改變dnsNode的許可是完成像這樣的改變的最簡單的方法但是任何架構層的改變都不能輕易地被改變
   
  在一個域區被創建以後加入能被創建任何子對象繼承的許可會改變域區裡將來會被創建的資源記錄的許可因為dnsZone和dnsNode類規定Everyone組和授權用戶組分別有讀取域區數據和創建的許可正如前所示關於許可方面實在是沒什麼添加的了所以對原型安全措施的改變暗示著outofthebox設置不適合你的環境這又意味著對架構類改變的許可以及由原型或域區許可提供的期望部分的許可的完全理解
  一些實驗能使這變得容易理解如果微軟或者是通過擴展的第三方使得一個合格的資源記錄的指定權限ACE能被應用於域區那就什麼事也沒有了
  從windows 的測試版到最終版一直采用用禁止應用架構類的缺省安全描述的方法然而有了黃金代碼似乎有些東西已經改變了但還沒有被規范成文檔先前可選的一些對象類的例子現在已經不適用了因為安全是一個大問題而復雜性也不小很有可能提供修訂信息和期望的方法就像實施windows 的網絡環境一樣需要從微軟得到如何改變域區數據安全性的改進信息現在在這些被印刷前的最後時刻原型的缺省值需要被整理改變原型的缺省值到最不公用的權限集和當需要多於最不公用的權限集時對域區添加可繼承的權限是一個可利用的手段對架構類的改變能夠通過活動目錄架構管理控制器(SCHMMGMTMSC)來完成的對域區的改變能夠通過活動目錄用戶和計算機控制管理(DSAMSC)來實現或者通過DNS服務器管理控制台(DNSMGTMSC)來實現
  現在再看一下DNS數據安全的另一方面審計給出了設置一個域區創建的記錄的缺省值以使它們是有審計功能
  
  圖中的復選框指出了什麼行動會引發審計它們顯示為灰色是因為這些設置是從更高層繼承的當審計開始後這些設置會引起除了對記錄的讀取外所有的訪問都會被寫入一個審計記錄
  如果再回到圖可以注意到對Everyone的讀取權限用白色框來顯示這是因為源於dnsZone類的權限直接應用於資源記錄這表明如果想要改變以這種方式賦予的權限即沒有使用繼承那最好是在所有對象被創建之前就改變控制設置在對象存在以後改變並且是只改變這些權限就需要單獨地訪問每一個資源記錄對象
  (未完待續)
From:http://tw.wingwit.com/Article/os/fwq/201311/10291.html
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.