基于Windows活动目录校园网安全管理系统框架.docVIP

基于Windows活动目录校园网安全管理系统框架 　　摘 要：文章分析了校园网的主要安全威胁，介绍了Windows Server 2003的活动目录安全管理框架。针对校园网的特点，设计了基于活动目录的校园网安全管理体系框架 关键词：Windows Server；活动目录；校园网；安全管理 DOI：10.16640/j.cnki.37-1222/t.2017.07.126 早期校园网建设更注重硬件的投资，随着信息化的不断发展，当今校园网建设的发展过渡到了以综合指标评定校园网优劣的阶段。校园网构建和发展要综合考虑安全性、成本、资源利用率、校园网优势发挥度等因素。Windows Server 2003活动目录具有两大特点：单点登录；集中管理。在这种结构中，计算机仅仅充当终端机的角色，用户可以没有属于自己的实体计算机，只要拥有域成员账号就可以在域中的任意一台计算机上登录到域，从而使用用户账号权限范围之内的资源。域管理员通过活动目录的组策略功能集中管理用户，限制用户越权操作，统一部署操作系统和应用系统，对数据进行实时备份，提升系统的可靠性和安全性 1 校园网的安全威胁分析 校园网的安全威胁主要来自于实体威胁和逻辑威胁。前者指的是网路中的计算机及其各种连接设备、传输介质等等可能会被人为破坏、丢失，或者受到自然灾害的影响而遭受到损失；逻辑威胁指的是信息的可用性、保密性和完整性会受到人为和非人为的破坏。下面两种威胁是校园网面临的最主要的威胁 （1）计算机病毒威胁。网络管理员的工作职责是监控各部门网络数据和流量，保证网络设备正常工作和运行，工作重心在服务器和路由器的管理与维护上。网络管理员没有精力管理每一台客户端机器，客户端机器都是由客户端管理员自己管理和维护。这样的工作模式会给计算机病毒有机可乘的机会。客户机管理员通常来说仅仅具备机器的操作技能，不具备机器的管理和维护技能。他们不懂得如何配置防病毒软件，不会进行漏洞扫描，不会下载安装系统补丁，而这些客户机又直接暴露在网络中，很容易感染病毒。当客户机出现中毒现象时，网络管理员人手少，往往很长时间才能进行维护，这期间病毒也可能大肆传染，安全风险急剧提升 （2）非授权访问。非授权访问又称为越权访问，指的是用户没有经过计算机的授权而直接访问计算机资源数据的现象。网络中间人经常利用木马盗取登录密码，利用漏洞绕过登录模块，利用假冒避开系统访问控制机制，利用社会工程学骗取提权账户信息等 对等网工作模式中终端机器的身份认证使用的是本地目录数据库，这种验证方式属于分散管理范畴，每个终端机器身份认证的方式方法可能都不一样，没有统一集中的密码策略来约束密码创建，这会导致整个校园网认证系统的混乱。例如有些人将自己计算机的登录密码设置成弱密码，甚至管理员账号密码直接置空，这些做法都会给网络中间人很多机会进行非授权访问 2 Windows Server 2003活动目录优点 （1）集中安全管理。信息系统的安全性由活动目录集中管理，例如用户登录认证模块和用户授权管理模块都集成在活动目录中。另外，活动目录还提供了灵活多样的安全策略，这些安全策略能够保证信息存储的完整性、保密性和可用性，同时还能够调整应用程序的安全级别，满足不同应用程序的安全需求。（2）基于策略的管理。组策略是域管理员利用活动目录管理网络最主要的工具之一。组策略针对的对象包括用户账户、计算机账户、各种组织单元等等。这些组策略对象（GPOs）的配置能够决定什么样的对象能够访问什么样的资源，以及什么样的资源可以被什么样的对象所访问。（3）互操性和灵活的查询。标准的目录访问协议是活动目录遵循的基本协议，大多数应用程序开发软件也都遵循这一协议，使得开发者在开发软件时能够享有统一友好的开发界面。这些协议包括名称服务提供程序接口、轻型目录访问协议和活动目录服务界面 3 活动目录在校园网安全管理中的应用 （1）远程安装服务、智能镜像、分布式文件系统。域管理员可以利用活动目录的远程安装服务对物理上分散的远程主机进行操作系统的安装，并且这种形式的安装模式不需要人为手动控制安装过程，极大地简化了管理员的工作。另外远程安装服务不仅仅对操作系统有效，对安装应用软件以及各种软件和服务器的升级操作依然有效。为了增强系统灵活性，活动目录设计初期就考虑到添加智能镜像的功能。该功能类似于基于NT内核的微软视窗操作系统的漫游用户配置文件模块。用户使用智能镜像功能在域中任意一台实体主机上登陆以后，机器呈献给用户的桌面、数据及其应用软件都和用户在本地登录一样，这样就抛开了物理机的概念，使得用户只要在域中就可以个性化的利用网络资源进行工作。使用活动目录管理网络资源最重要的特点之一就是集中化管理，活动目录中的分布式文件系统既可以对共享资源进行整合