Проблемы безопасности при миграции и обновлении до Windows Active Directory

Опубликовано: 13 Апреля, 2023


Введение


Давление и работа, связанные с переходом с одной сетевой операционной системы на другую, могут быть интенсивными. Если вы рассматриваете возможность перехода из домена Windows NT в домен Windows Active Directory, ваша ситуация ничем не отличается.


Во время путешествия вам придется принимать множество решений. Некоторые из этих решений включают:



  • Будут ли у вас контроллеры домена Windows 2000 или Windows Server 2003?
  • Будете ли вы запускать некоторые контроллеры домена каждого типа?
  • Какую клиентскую операционную систему вы будете использовать для ИТ-персонала, руководителей и других сотрудников?
  • Сколько доменов Active Directory вы получите?
  • Сколько лесов Active Directory вы получите?
  • Как вы перейдете со своих доменов Windows NT на домены Windows Active Directory?
  • Какие инструменты вы будете использовать для доступа к своим доменам Windows Active Directory?
  • Есть ли какие-либо проблемы безопасности, которые необходимо учитывать при переходе на Windows Active Directory?

Именно на этом последнем вопросе мы собираемся сосредоточиться в этой статье. Мы обсудим основные варианты перехода от доменов Windows NT к доменам Windows Active Directory. Затем мы поговорим о каждом из вариантов, сосредоточив внимание на различных соображениях безопасности, которые вам необходимо учитывать. Когда вы закончите читать эту статью, вы сможете точно определить ключевые аспекты безопасности, с которыми вы столкнетесь на своем пути.


Ваши варианты: миграция или обновление


У вас есть два основных варианта перехода с доменов Windows NT на домены Windows 2000 или Server 2003 Active Directory. Первый — это апгрейд. Во-вторых, выполнить миграцию.


Миграция более сложна, чем обновление. При миграции вам потребуется создать домен(ы) Active Directory вместе с доменом(ами) Windows NT. Для этого потребуется приобрести дополнительное оборудование и серверные лицензии. Общая концепция миграции заключается в постепенном перемещении объектов (пользователей, групп и учетных записей компьютеров) из Windows NT в Windows Active Directory. Этот процесс дублирует эти объекты в целевом домене (доменах) Windows Active Directory.


Обновление намного проще во всех аспектах. При обновлении вы работаете с существующим доменом Windows NT и контроллерами домена. Вы возьмете установочный компакт-диск Windows 2000 Server или Windows Server 2003 и поместите его в первичный контроллер домена Windows NT. Это запустит мастер обновления. Вы следуете инструкциям мастера, и когда компьютер перезагружается, у вас есть домен Windows Active Directory. Все объекты, которые когда-то находились в домене Windows NT, полностью сохранены и сразу же доступны в домене Windows Active Directory.


Проблемы безопасности при миграции


Если вы решите выполнить миграцию, вы, скорее всего, объедините несколько доменов Windows NT в несколько (желательно один) доменов Windows Active Directory. Это метод, который доступен для перемещения учетных записей из нескольких доменов всего в несколько доменов. Однако при выполнении миграции у вас возникнут уникальные проблемы безопасности, которые необходимо учитывать в процессе. Вот некоторые из наиболее известных проблем безопасности, с которыми вы столкнетесь.


Двойные учетные записи пользователей


При переносе учетных записей пользователей из NT в Active Directory вы получите дублирующиеся учетные записи пользователей, по одной в каждом домене. Большинство инструментов позволят вам контролировать состояние обеих учетных записей после миграции. Могут быть случаи, когда вы хотите, чтобы исходная учетная запись пользователя была активной, а в других случаях должна быть активна целевая учетная запись пользователя. Независимо от вашего решения, вы должны знать, что в двух доменах есть две учетные записи пользователей. Вам нужно будет отслеживать их и следить за тем, чтобы пользователи использовали правильный и оба были должным образом защищены.


SIDИстория


При переносе учетной записи пользователя из NT в Active Directory необходимо учитывать, как новая учетная запись пользователя будет по-прежнему получать доступ к ресурсам, существующим в домене Windows NT. Это проблема, поскольку ресурсы и серверы ресурсов в домене NT ссылаются на учетные записи пользователей и групп из домена NT, а не из домена Active Directory.


Чтобы сделать еще один шаг вперед, когда учетная запись пользователя переносится, она не только копируется (не перемещается), но и новой учетной записи присваивается новый идентификатор безопасности (SID). Этот новый SID не известен в старом домене NT, поэтому, когда пользователь входит в новый домен Active Directory с тем же именем пользователя и паролем, что и раньше, ему будет отказано в доступе ко всем знакомым ресурсам NT.


Для борьбы с этим миграция может включать SID старой учетной записи пользователя NT в качестве свойства новой учетной записи пользователя Active Directory. Это новое свойство называется SIDHistory. У одной учетной записи пользователя может быть несколько записей SIDHistory, в зависимости от того, сколько доменов NT содержало это имя пользователя до миграции и консолидации.


Это свойство SIDHistory необходимо защитить во время миграции, а затем очистить после миграции, чтобы запретить размещение неуместных записей в свойстве SIDHistory, разрешая привилегированный доступ к ресурсам.


Аутентификация домена для пользователей


После переноса учетных записей пользователей из NT в Active Directory необходимо провести обучение пользователей. Это обучение требует, чтобы все пользователи были проинформированы и обучены тому, как войти в новый домен Active Directory. Большинство пользователей застряли в режиме простого ввода имени пользователя и пароля для входа в систему, поэтому они не обращают внимания на доменное имя.


Поскольку для миграции требуется два домена (NT и Active Directory), эти домены не могут иметь одинаковые имена. Таким образом, при входе в систему пользователям потребуется пройти аутентификацию в новом домене. Им нужно будет выбрать этот домен, чтобы убедиться, что они аутентифицированы. Если вы оставите старую учетную запись пользователя NT активной, пользователь сможет аутентифицироваться в любом домене, что может привести к проблемам с безопасностью или доступом.


Re-acl


Мы уже обсуждали вопрос о возможности доступа учетных записей пользователей к ресурсам, находящимся в домене NT. После того, как все учетные записи пользователей, групп и компьютеров будут перенесены в домен Active Directory, вам нужно будет рассмотреть списки контроля доступа (ACL) на серверах, которые пришли из домена NT.


Поскольку эти компьютеры были перемещены из старого домена NT в новый домен Active Directory, ACL не изменили ссылку на учетные записи пользователей и групп NT. Для этого требуется, чтобы старый домен NT работал до тех пор, пока эти ACL не укажут на новые учетные записи пользователей и групп, которые существуют в домене Active Directory. Этот процесс называется реаклингом. Требуется, чтобы каждая запись в каждом файле, папке, разделе реестра и принтере была исправлена. Существуют инструменты для выполнения этой задачи, но вам, безусловно, следует подумать об этом задолго до того, как придет время вывести домен NT из эксплуатации.


Политика учетной записи должна быть настроена


Во время миграции основные объекты, которые вы переносите, включают учетные записи пользователей, групп и компьютеров, а также доверительные отношения. Однако другие конфигурации, которые когда-то были в Windows NT, не переносятся в домен Active Directory. Это означает, что вам нужно будет настроить эти параметры в домене Active Directory. Сюда входят параметры политики учетной записи, в том числе минимальный срок действия пароля, максимальный срок действия, минимальная длина и сложность пароля.


Вопросы безопасности обновлений


Если вы решите выполнить обновление, скорее всего, у вас есть только несколько доменов Windows NT или вы просто пытаетесь переместить главные домены в домены Active Directory. Обновления просты и почти безболезненны, но есть некоторые проблемы безопасности, которые необходимо учитывать. Вот некоторые из наиболее известных проблем безопасности, с которыми вы столкнетесь.


Обновленные контроллеры домена не защищены должным образом


Когда контроллер домена Windows NT модернизируется, чтобы стать контроллером домена Windows 2000 или Server 2003, безопасность полученного контроллера домена слабее, чем если бы контроллер домена Windows 2000 или Server 2003 был установлен заново. Это делается для того, чтобы приложения и службы, запущенные на контроллере домена Windows NT, продолжали функционировать после обновления.


Во время обновления Windows NT PDC к контроллеру домена применяется файл DCUP.INF вместо файла DCFIRST.INF. Именно этот файл обеспечивает более низкую безопасность, чем если бы компьютер был установлен заново.


Решение этой проблемы состоит в том, чтобы немедленно установить новый контроллер домена Active Directory (2000 или 2003) и настроить его как контроллер домена реплики. После перемещения базы данных Active Directory и других важных служб Active Directory на новый контроллер домена первоначальный контроллер домена следует перевести в автономный режим и переустановить заново в качестве контроллера домена-реплики. Это синхронизирует этот контроллер домена с другим, убедившись, что у вас есть первые два контроллера домена, недавно установленные в вашем новом домене Active Directory.


Делегирование и объекты групповой политики


Обновление — это простой способ сохранить все учетные записи пользователей, групп и компьютеров, но вам необходимо переместить эти учетные записи в соответствующие подразделения после завершения обновления. Для этого вам потребуется создать структуру подразделений, переместить учетные записи в соответствующие подразделения, а затем настроить безопасность в подразделениях. Безопасность, которую необходимо настроить на уровне OU, включает в себя делегирование администрирования и развертывание GPO.


Сложность пароля может отсутствовать


Даже если для домена Windows Server 2003 Active Directory сложность пароля настроена по умолчанию, это не означает, что в той же версии Active Directory будет настроена сложность пароля после обновления. Необходимо убедиться, что все параметры политики учетных записей настроены сразу после обновления первого контроллера домена. Это будет включать все политики паролей и политики блокировки учетных записей.


Резюме


Существует множество соображений безопасности, которые необходимо учитывать при выполнении миграции или обновления. Когда дело доходит до безопасности, оба варианта имеют свои ограничения и проблемы. Если вы полностью осведомлены о проблемах, вы можете принять все меры предосторожности, чтобы обеспечить решение всех проблем безопасности.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023