这一章摘自这本书
AD DS安全性概述
围绕活动目录构建的安全性旨在保护有价值的网络资产。Windows Server安全性的发展也受到了微软可信计算计划的影响,该计划将微软产品的主要关注点转向了安全性。简而言之,微软将继续提高其产品的安全性,所有新功能在发布之前都必须通过安全测试。这一举措影响了所有Windows Server操作系统的开发,在Windows Server 2016的安全特性中也很明显。
了解Kerberos认证
Kerberos最初是在MIT设计的,它是一种安全的验证用户身份的方法,而无需在网络上发送用户密码(无论是否加密)。能够以这种方式发送密码大大降低了密码被盗的威胁,因为恶意用户再也不能在密码通过网络时获取密码副本,并对信息进行暴力攻击以解密它。
Kerberos的实际功能很复杂,但本质上是计算机向需要身份验证的客户机发送信息包。这个数据包包含各种各样的“谜语”,只有用户的适当凭证才能回答。用户将“答案”应用于谜语并将其发送回服务器。如果答案中应用了正确的密码,则用户身份验证通过。虽然在Windows Server 2016和更早的版本中使用,但这种形式的身份验证不是微软专有的,而是作为互联网标准可用的。要更深入地了解Kerberos安全性,请参见第12章“服务器级安全性”。
采取额外的安全预防措施
从本质上讲,AD DS实现与它们运行的Windows Server 2016环境一样安全。AD DS结构的安全性可以通过使用额外的安全预防措施来提高,例如使用IPsec进行服务器到服务器的安全通信,或者使用智能卡或其他加密技术。此外,可以通过使用组策略来保护用户环境,组策略可以设置参数更改,如用户密码限制、域安全性和登录访问特权。