摘 要：文章分析了校園網(wǎng)的主要安全威脅，介紹了Windows Server 2003的活動目錄安全管理框架。針對校園網(wǎng)的特點，設(shè)計了基于活動目錄的校園網(wǎng)安全管理體系框架。

關(guān)鍵詞：Windows Server；活動目錄；校園網(wǎng)；安全管理

DOI：10.16640/j.cnki.37-1222/t.2017.07.126

早期校園網(wǎng)建設(shè)更注重硬件的投資，隨著信息化的不斷發(fā)展，當(dāng)今校園網(wǎng)建設(shè)的發(fā)展過渡到了以綜合指標(biāo)評定校園網(wǎng)優(yōu)劣的階段。校園網(wǎng)構(gòu)建和發(fā)展要綜合考慮安全性、成本、資源利用率、校園網(wǎng)優(yōu)勢發(fā)揮度等因素。Windows Server 2003活動目錄具有兩大特點：單點登錄；集中管理。在這種結(jié)構(gòu)中，計算機(jī)僅僅充當(dāng)終端機(jī)的角色，用戶可以沒有屬于自己的實體計算機(jī)，只要擁有域成員賬號就可以在域中的任意一臺計算機(jī)上登錄到域，從而使用用戶賬號權(quán)限范圍之內(nèi)的資源。域管理員通過活動目錄的組策略功能集中管理用戶，限制用戶越權(quán)操作，統(tǒng)一部署操作系統(tǒng)和應(yīng)用系統(tǒng)，對數(shù)據(jù)進(jìn)行實時備份，提升系統(tǒng)的可靠性和安全性。

1 校園網(wǎng)的安全威脅分析

校園網(wǎng)的安全威脅主要來自于實體威脅和邏輯威脅。前者指的是網(wǎng)路中的計算機(jī)及其各種連接設(shè)備、傳輸介質(zhì)等等可能會被人為破壞、丟失，或者受到自然災(zāi)害的影響而遭受到損失；邏輯威脅指的是信息的可用性、保密性和完整性會受到人為和非人為的破壞。下面兩種威脅是校園網(wǎng)面臨的最主要的威脅。

（1）計算機(jī)病毒威脅。網(wǎng)絡(luò)管理員的工作職責(zé)是監(jiān)控各部門網(wǎng)絡(luò)數(shù)據(jù)和流量，保證網(wǎng)絡(luò)設(shè)備正常工作和運(yùn)行，工作重心在服務(wù)器和路由器的管理與維護(hù)上。網(wǎng)絡(luò)管理員沒有精力管理每一臺客戶端機(jī)器，客戶端機(jī)器都是由客戶端管理員自己管理和維護(hù)。這樣的工作模式會給計算機(jī)病毒有機(jī)可乘的機(jī)會。客戶機(jī)管理員通常來說僅僅具備機(jī)器的操作技能，不具備機(jī)器的管理和維護(hù)技能。他們不懂得如何配置防病毒軟件，不會進(jìn)行漏洞掃描，不會下載安裝系統(tǒng)補(bǔ)丁，而這些客戶機(jī)又直接暴露在網(wǎng)絡(luò)中，很容易感染病毒。當(dāng)客戶機(jī)出現(xiàn)中毒現(xiàn)象時，網(wǎng)絡(luò)管理員人手少，往往很長時間才能進(jìn)行維護(hù)，這期間病毒也可能大肆傳染，安全風(fēng)險急劇提升。

（2）非授權(quán)訪問。非授權(quán)訪問又稱為越權(quán)訪問，指的是用戶沒有經(jīng)過計算機(jī)的授權(quán)而直接訪問計算機(jī)資源數(shù)據(jù)的現(xiàn)象。網(wǎng)絡(luò)中間人經(jīng)常利用木馬盜取登錄密碼，利用漏洞繞過登錄模塊，利用假冒避開系統(tǒng)訪問控制機(jī)制，利用社會工程學(xué)騙取提權(quán)賬戶信息等。

對等網(wǎng)工作模式中終端機(jī)器的身份認(rèn)證使用的是本地目錄數(shù)據(jù)庫，這種驗證方式屬于分散管理范疇，每個終端機(jī)器身份認(rèn)證的方式方法可能都不一樣，沒有統(tǒng)一集中的密碼策略來約束密碼創(chuàng)建，這會導(dǎo)致整個校園網(wǎng)認(rèn)證系統(tǒng)的混亂。例如有些人將自己計算機(jī)的登錄密碼設(shè)置成弱密碼，甚至管理員賬號密碼直接置空，這些做法都會給網(wǎng)絡(luò)中間人很多機(jī)會進(jìn)行非授權(quán)訪問。

2 Windows Server 2003活動目錄優(yōu)點

（1）集中安全管理。信息系統(tǒng)的安全性由活動目錄集中管理，例如用戶登錄認(rèn)證模塊和用戶授權(quán)管理模塊都集成在活動目錄中。另外，活動目錄還提供了靈活多樣的安全策略，這些安全策略能夠保證信息存儲的完整性、保密性和可用性，同時還能夠調(diào)整應(yīng)用程序的安全級別，滿足不同應(yīng)用程序的安全需求。（2）基于策略的管理。組策略是域管理員利用活動目錄管理網(wǎng)絡(luò)最主要的工具之一。組策略針對的對象包括用戶賬戶、計算機(jī)賬戶、各種組織單元等等。這些組策略對象（GPOs）的配置能夠決定什么樣的對象能夠訪問什么樣的資源，以及什么樣的資源可以被什么樣的對象所訪問。（3）互操性和靈活的查詢。標(biāo)準(zhǔn)的目錄訪問協(xié)議是活動目錄遵循的基本協(xié)議，大多數(shù)應(yīng)用程序開發(fā)軟件也都遵循這一協(xié)議，使得開發(fā)者在開發(fā)軟件時能夠享有統(tǒng)一友好的開發(fā)界面。這些協(xié)議包括名稱服務(wù)提供程序接口、輕型目錄訪問協(xié)議和活動目錄服務(wù)界面。

3 活動目錄在校園網(wǎng)安全管理中的應(yīng)用

（1）遠(yuǎn)程安裝服務(wù)、智能鏡像、分布式文件系統(tǒng)。域管理員可以利用活動目錄的遠(yuǎn)程安裝服務(wù)對物理上分散的遠(yuǎn)程主機(jī)進(jìn)行操作系統(tǒng)的安裝，并且這種形式的安裝模式不需要人為手動控制安裝過程，極大地簡化了管理員的工作。另外遠(yuǎn)程安裝服務(wù)不僅僅對操作系統(tǒng)有效，對安裝應(yīng)用軟件以及各種軟件和服務(wù)器的升級操作依然有效。為了增強(qiáng)系統(tǒng)靈活性，活動目錄設(shè)計初期就考慮到添加智能鏡像的功能。該功能類似于基于NT內(nèi)核的微軟視窗操作系統(tǒng)的漫游用戶配置文件模塊。用戶使用智能鏡像功能在域中任意一臺實體主機(jī)上登陸以后，機(jī)器呈獻(xiàn)給用戶的桌面、數(shù)據(jù)及其應(yīng)用軟件都和用戶在本地登錄一樣，這樣就拋開了物理機(jī)的概念，使得用戶只要在域中就可以個性化的利用網(wǎng)絡(luò)資源進(jìn)行工作。使用活動目錄管理網(wǎng)絡(luò)資源最重要的特點之一就是集中化管理，活動目錄中的分布式文件系統(tǒng)既可以對共享資源進(jìn)行整合，將分布在不同終端的共享資源以虛擬的形式放置到一個邏輯文件夾，提高用戶在進(jìn)行資源訪問時的工作效率。

（2）系統(tǒng)安全防護(hù)以及用戶環(huán)境配置都可以由組策略輕松實現(xiàn)，組策略是活動目錄管理網(wǎng)絡(luò)最有效的工具之一。其實歸根到底，組策略就是更改系統(tǒng)的注冊表配置信息，以往用戶都使用手動的方式進(jìn)行注冊表各鍵值的設(shè)置，這種方式效率低，而組策略能夠通過批量的手段對對象進(jìn)行配置管理，方便靈活，功能也更加強(qiáng)大。

（3）其他網(wǎng)絡(luò)服務(wù)整合。目錄服務(wù)可將目錄、數(shù)據(jù)庫、人力資源應(yīng)用軟件、電子郵件、網(wǎng)絡(luò)操作系統(tǒng)等等眾多不同系統(tǒng)的用戶信息整合，幫助企業(yè)提供產(chǎn)品及更廣泛的安全身份管理方案。這些方案解決了目前信息總監(jiān)所面對的主要商業(yè)問題；既能將實時、以角色為基礎(chǔ)的資源傳送給分散的員工、合作伙伴及客戶，同時又能保持系統(tǒng)及數(shù)據(jù)的安全。此外使用ISA server 2004和活動目錄結(jié)合，可以完全實現(xiàn)校園網(wǎng)信息監(jiān)控和管理。

4 總結(jié)

Windows Server 2003活動目錄是分布式網(wǎng)絡(luò)體系結(jié)構(gòu)的基礎(chǔ)。應(yīng)用活動目錄技術(shù)來規(guī)劃管理校園網(wǎng)，能夠?qū)崿F(xiàn)資源和用戶的集中管理，方便用戶查詢使用網(wǎng)絡(luò)資源，增加校園網(wǎng)的安全性，實現(xiàn)校園網(wǎng)內(nèi)多種網(wǎng)絡(luò)操作系統(tǒng)的互聯(lián)。

參考文獻(xiàn)：

[1]陳功.校園網(wǎng)絡(luò)安全分析[J].達(dá)縣師范高等?？茖W(xué)校學(xué)報（自然科學(xué)版），2006（03）.

[2]李志民.基于活動目錄的訪問控制系統(tǒng)設(shè)計[J].中原工學(xué)院學(xué)報，2004（04）.

作者簡介：沈虹（1982-），女，本科，講師，研究方向：計算機(jī)網(wǎng)絡(luò)。