現(xiàn)在域控制器的使用較為普遍,通過(guò)域控制器來(lái)管理局域網(wǎng)用戶(hù),可以極大地增強(qiáng)局域網(wǎng)網(wǎng)絡(luò)安全。而對(duì)于企業(yè)局域網(wǎng)的文件服務(wù)器而言,通過(guò)域控制器來(lái)控制用戶(hù)對(duì)共享文件的訪問(wèn),可以極大地增強(qiáng)文件服務(wù)器的安全,防止未經(jīng)授權(quán)的訪問(wèn),同時(shí)還可以通過(guò)域控制器設(shè)置共享文件訪問(wèn)權(quán)限,從而在Windows共享文件訪問(wèn)權(quán)限之外提供了另外的安全防護(hù)舉措。接下來(lái)我們以windows 2003 服務(wù)器為例,來(lái)說(shuō)明如何通過(guò)域控制器來(lái)搭建文件服務(wù)器,保護(hù)服務(wù)器共享文件的安全。
本公司使用的是域環(huán)境,利用Windows Server 2003 R2搭建文件服務(wù)器,其它信息如下所示:
SVR1主DC1/DNS: IP地址192.168.1.22/24(NIC 1網(wǎng)卡)
IP地址192.168.0.44/24(NIC 2網(wǎng)卡)
SVR4成員服務(wù)器:IP地址192.168.1.44/24 DNS:192.168.0.22 /23(主/輔)備注:為DFS分布式文件服務(wù)器作準(zhǔn)備
SVR5成員服務(wù)器:IP地址192.168.1.55/24 DNS:192.168.0.22 /23(主/輔)備注:為DFS分布式文件服務(wù)器作準(zhǔn)備
文件夾的結(jié)構(gòu)層次簡(jiǎn)單拓?fù)鋱D如下所示:
一、在SVR1(R2)上操作,創(chuàng)建OU以部門(mén)命名:
(1)創(chuàng)建OU以部門(mén)命名:
Win + R → dsa.msc 回車(chē),打開(kāi)“Active Directory 用戶(hù)和計(jì)算機(jī)”,如下圖:
彈出,如下圖:
同理,創(chuàng)建質(zhì)檢部、財(cái)務(wù)部等OU
(2)創(chuàng)建用戶(hù)賬號(hào),在OU中,如下圖:
下一步 → 完成
同理,在各部門(mén)OU中創(chuàng)建用戶(hù)賬號(hào),完成后如下圖:
(3)創(chuàng)建組以部門(mén)命名,如下圖:
彈出,如下圖所示:
同理,質(zhì)檢組、財(cái)務(wù)組等,如下圖:
(4)將各部門(mén)的用戶(hù)賬號(hào)加入到本部門(mén)的組中,以采購(gòu)部為例,如下圖:
彈出,如下圖:
然后,點(diǎn)擊 確定 → 確定,彈出如下圖:
同理,將小黃、小鄭加入到質(zhì)檢組;小劉、小葉加入到財(cái)務(wù)組!
二、在SVR4成員服務(wù)器上操作,據(jù)上面的拓?fù)鋱D創(chuàng)建文件夾,如下圖:
下面詳細(xì)配置操作:
① 文件服務(wù)器 文件夾的具體配置:
一路 確定 共享權(quán)限設(shè)置如下圖所示:
剛才設(shè)的是 共享權(quán)限,下面再來(lái)設(shè)置 NTFS權(quán)限(安全選項(xiàng)卡):
思考:如何設(shè)置質(zhì)檢組、財(cái)務(wù)組對(duì) 文件服務(wù)器 文件夾的共享權(quán)限與NTFS權(quán)限?
② 打開(kāi) 文件服務(wù)器 文件夾,我們來(lái)配置 采購(gòu)部 的文件夾:
③我們切換到 安全 選項(xiàng)卡,來(lái)配置NTFS權(quán)限:
思考:如何配置質(zhì)檢部、財(cái)務(wù)部 文件夾的共享權(quán)限和NTFS權(quán)限?(參考采購(gòu)部的配置)
* 公司共享 文件夾的配置有點(diǎn)特殊:
思考:如何配置財(cái)務(wù)組、質(zhì)檢組的 共享權(quán)限和NTFS權(quán)限?(參考采購(gòu)組的設(shè)置)
④ 采購(gòu)部的小孫的文件夾的 安全 選項(xiàng)卡的配置有點(diǎn)特殊:(參考公司共享 文件夾的設(shè)置)
三、檢驗(yàn)上面權(quán)限的配置是否正確:
將客戶(hù)機(jī)PC(XP)加入到域后且用小孫的用戶(hù)賬號(hào)登錄,然后,
Win + R → \svr4文件服務(wù)器 回車(chē),試著創(chuàng)建文件夾:
思考:試著刪除 財(cái)務(wù)部、采購(gòu)部、公司共享、質(zhì)檢部 的文件夾,能刪除嗎?(都不能!)然后逐一將這4個(gè)文件夾打開(kāi),都能打開(kāi)嗎?(只能打開(kāi)本部門(mén)和公司共享這2個(gè)文件夾)再在里面創(chuàng)建、刪除和修改,能嗎?(當(dāng)然能!)
如果公司老總要能查看所有部門(mén)的文件等,又如何操作呢?這就需要將分配給公司老總的服務(wù)器登錄賬戶(hù)賦予所有文件的訪問(wèn)權(quán)限。
但是,通過(guò)Windows控制器,我們還始終無(wú)法解決一個(gè)問(wèn)題,就是共享文件的泄露問(wèn)題。比如,我們?cè)O(shè)置了共享文件只讀,但是,用戶(hù)可能在讀取共享文件的時(shí)候,直接拷貝共享文件,然后粘貼到本地;或者打開(kāi)共享文件的時(shí)候,另存為本地磁盤(pán),從而可以輕松將共享文件從服務(wù)器存儲(chǔ)到個(gè)人的磁盤(pán);此外,如果賦予員工修改權(quán)限,則用戶(hù)就可以不小心或惡意刪除共享文件,從而對(duì)共享文件的安全造成了重大隱患。而這都是通過(guò)windows操作系統(tǒng)的文件訪問(wèn)權(quán)限和Windows域控制器所無(wú)法解決的。那么,這種情況下,就需要借助于專(zhuān)門(mén)的共享文件訪問(wèn)權(quán)限設(shè)置軟件來(lái)實(shí)現(xiàn)。
大勢(shì)至局域網(wǎng)共享文件管理系統(tǒng)(下載地址:http://www.grabsun.com/gongxiangwenjianshenji.html),就是一款專(zhuān)門(mén)設(shè)置服務(wù)器共享文件訪問(wèn)權(quán)限的軟件,通過(guò)在服務(wù)器上安裝大勢(shì)至共享文件管理系統(tǒng),就可以自動(dòng)掃描到當(dāng)前所有的共享文件,并可以設(shè)置共享文件訪問(wèn)權(quán)限,可以實(shí)現(xiàn)只讓讀取共享文件而阻止復(fù)制共享文件、只讓打開(kāi)共享文件而阻止另存為本地磁盤(pán),可以只讓修改共享文件而禁止刪除共享文件,從而極大地保護(hù)共享文件的安全。如下圖所示:
此外,通過(guò)大勢(shì)至共享文件管理系統(tǒng),還可以詳細(xì)記錄局域網(wǎng)用戶(hù)訪問(wèn)共享文件的日志,詳細(xì)記錄局域網(wǎng)用戶(hù)的IP地址、MAC地址和主機(jī)名等信息,從而便于管理員事后備查和審計(jì)。
總之,有效保護(hù)服務(wù)器共享文件的安全,一方面需要充分里發(fā)揮操作系統(tǒng)文件訪問(wèn)權(quán)限和用戶(hù)權(quán)限方面的功能,另一方面也可以借助于域控制器等方面的功能,以及通過(guò)第三方服務(wù)器共享管理工具軟件來(lái)進(jìn)一步保護(hù)共享文件的安全,防止各種泄露共享文件的行為,真正保護(hù)單位的無(wú)形資產(chǎn)和商業(yè)機(jī)密。
在本月補(bǔ)丁星期二活動(dòng)日放出的累積更新中,微軟修復(fù)了追蹤號(hào)為 CVE-2022-26925 的 Windows Local Security Authority (LSA) 欺騙漏洞。這個(gè)嚴(yán)重性很高的漏洞使未經(jīng)認(rèn)證的攻擊者能夠匿名調(diào)用一個(gè)方法,并迫使域控制器(DC)通過(guò) NTLM 對(duì)他們進(jìn)行認(rèn)證。在最壞的情況下,這可能導(dǎo)致權(quán)限提升,攻擊者控制整個(gè)域。
這個(gè)漏洞是很重要的,因?yàn)槊绹?guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)曾規(guī)定,聯(lián)邦民用行政部門(mén)機(jī)構(gòu)(FCEB)應(yīng)在三周內(nèi)安裝這些更新,以保護(hù)自己免受這個(gè)攻擊面和其他攻擊。然而,它現(xiàn)在已經(jīng)取消了這一要求,因?yàn)樽钚碌?補(bǔ)丁星期二"更新在安裝到 DC 上時(shí)也會(huì)引起認(rèn)證問(wèn)題。
公告上的說(shuō)明是這樣的:
在客戶(hù)端 Windows設(shè)備和非域控制器 Windows 服務(wù)器上安裝 2022 年5月10日發(fā)布的更新,不會(huì)導(dǎo)致這個(gè)問(wèn)題,仍然強(qiáng)烈鼓勵(lì)。這個(gè)問(wèn)題只影響到安裝在作為域控制器的服務(wù)器上的2022年5月10日的更新。組織應(yīng)該繼續(xù)對(duì)客戶(hù)端Windows設(shè)備和非域控制器Windows服務(wù)器應(yīng)用更新。
在關(guān)于這個(gè)問(wèn)題的咨詢(xún)中,微軟說(shuō):“在你的域控制器上安裝 2022 年 5 月 10 日發(fā)布的更新后,你可能會(huì)在服務(wù)器或客戶(hù)端看到網(wǎng)絡(luò)策略服務(wù)器(NPS)、路由和遠(yuǎn)程訪問(wèn)服務(wù)(RRAS)、Radius、可擴(kuò)展認(rèn)證協(xié)議(EAP)和受保護(hù)可擴(kuò)展認(rèn)證協(xié)議(PEAP)等服務(wù)的認(rèn)證失敗。已發(fā)現(xiàn)一個(gè)與域控制器如何處理證書(shū)與機(jī)器賬戶(hù)的映射有關(guān)的問(wèn)題”。
微軟分享了受影響平臺(tái)列表
客戶(hù)端:
● Windows 11 Version 21H2
● Windows 10 Version 21H2
● Windows 10 Version 21H1
● Windows 10 Version 20H2
● Windows 10 Version 1909
● Windows 10 Version 1809
● Windows 10 Enterprise LTSC 2019
● Windows 10 Enterprise LTSC 2016
● Windows 10 Version 1607
● Windows 10 Enterprise 2015 LTSB
● Windows 8.1
● Windows 7 SP1
服務(wù)器:
● Windows Server 2022
● Windows Server Version 20H2
● Windows Server Version 1909
● Windows Server Version 1809
● Windows Server 2019
● Windows Server 2016
● Windows Server 2012 R2
● Windows Server 2012
● Windows Server 2008 R2 SP1
● Windows Server 2008 SP2
這些問(wèn)題主要是由 Windows Kerberos 和活動(dòng)目錄域服務(wù)的兩個(gè)補(bǔ)丁引起的,分別被追蹤為 CVE-2022-26931 和 CVE-2022-26923。而由于不可能在你想安裝的補(bǔ)丁中進(jìn)行挑選,CISA 不再鼓勵(lì) IT 管理員不在 DC 上安裝5月的補(bǔ)丁星期二。
目前,微軟已經(jīng)提供了一個(gè)解決方法,包括手動(dòng)映射證書(shū)。
同時(shí),微軟還提供了一個(gè)臨時(shí)解決方案:
這個(gè)問(wèn)題的首選緩解措施是手動(dòng)將證書(shū)映射到活動(dòng)目錄中的機(jī)器賬戶(hù)。有關(guān)說(shuō)明,請(qǐng)見(jiàn)證書(shū)映射。注意:對(duì)于將證書(shū)映射到活動(dòng)目錄中的用戶(hù)或機(jī)器賬戶(hù),其說(shuō)明是相同的。
如果首選的緩解措施在你的環(huán)境中不起作用,請(qǐng)參見(jiàn) KB5014754-Windows 域控制器上基于證書(shū)的認(rèn)證變化,了解 Schannel 注冊(cè)表密鑰部分的其他可能緩解措施。注意:除了首選的緩解措施,任何其他緩解措施都可能降低或禁用安全加固。
它還強(qiáng)烈強(qiáng)調(diào),應(yīng)用任何其他緩解措施都可能對(duì)你的組織的安全態(tài)勢(shì)產(chǎn)生負(fù)面影響。鑒于CISA不鼓勵(lì)FCEB完全在Windows服務(wù)器DC上安裝5月補(bǔ)丁星期二的更新,微軟可能希望盡快推出一個(gè)更永久的修復(fù)方案。