現在域控制器的使用較為普遍,通過域控制器來管理局域網用戶,可以極大地增強局域網網絡安全。而對于企業局域網的文件服務器而言,通過域控制器來控制用戶對共享文件的訪問,可以極大地增強文件服務器的安全,防止未經授權的訪問,同時還可以通過域控制器設置共享文件訪問權限,從而在Windows共享文件訪問權限之外提供了另外的安全防護舉措。接下來我們以windows 2003 服務器為例,來說明如何通過域控制器來搭建文件服務器,保護服務器共享文件的安全。
本公司使用的是域環境,利用Windows Server 2003 R2搭建文件服務器,其它信息如下所示:
SVR1主DC1/DNS: IP地址192.168.1.22/24(NIC 1網卡)
IP地址192.168.0.44/24(NIC 2網卡)
SVR4成員服務器:IP地址192.168.1.44/24 DNS:192.168.0.22 /23(主/輔)備注:為DFS分布式文件服務器作準備
SVR5成員服務器:IP地址192.168.1.55/24 DNS:192.168.0.22 /23(主/輔)備注:為DFS分布式文件服務器作準備
文件夾的結構層次簡單拓撲圖如下所示:
一、在SVR1(R2)上操作,創建OU以部門命名:
(1)創建OU以部門命名:
Win + R → dsa.msc 回車,打開“Active Directory 用戶和計算機”,如下圖:
彈出,如下圖:
同理,創建質檢部、財務部等OU
(2)創建用戶賬號,在OU中,如下圖:
下一步 → 完成
同理,在各部門OU中創建用戶賬號,完成后如下圖:
(3)創建組以部門命名,如下圖:
彈出,如下圖所示:
同理,質檢組、財務組等,如下圖:
(4)將各部門的用戶賬號加入到本部門的組中,以采購部為例,如下圖:
彈出,如下圖:
然后,點擊 確定 → 確定,彈出如下圖:
同理,將小黃、小鄭加入到質檢組;小劉、小葉加入到財務組!
二、在SVR4成員服務器上操作,據上面的拓撲圖創建文件夾,如下圖:
下面詳細配置操作:
① 文件服務器 文件夾的具體配置:
一路 確定 共享權限設置如下圖所示:
剛才設的是 共享權限,下面再來設置 NTFS權限(安全選項卡):
思考:如何設置質檢組、財務組對 文件服務器 文件夾的共享權限與NTFS權限?
② 打開 文件服務器 文件夾,我們來配置 采購部 的文件夾:
③我們切換到 安全 選項卡,來配置NTFS權限:
思考:如何配置質檢部、財務部 文件夾的共享權限和NTFS權限?(參考采購部的配置)
* 公司共享 文件夾的配置有點特殊:
思考:如何配置財務組、質檢組的 共享權限和NTFS權限?(參考采購組的設置)
④ 采購部的小孫的文件夾的 安全 選項卡的配置有點特殊:(參考公司共享 文件夾的設置)
三、檢驗上面權限的配置是否正確:
將客戶機PC(XP)加入到域后且用小孫的用戶賬號登錄,然后,
Win + R → \svr4文件服務器 回車,試著創建文件夾:
思考:試著刪除 財務部、采購部、公司共享、質檢部 的文件夾,能刪除嗎?(都不能!)然后逐一將這4個文件夾打開,都能打開嗎?(只能打開本部門和公司共享這2個文件夾)再在里面創建、刪除和修改,能嗎?(當然能!)
如果公司老總要能查看所有部門的文件等,又如何操作呢?這就需要將分配給公司老總的服務器登錄賬戶賦予所有文件的訪問權限。
但是,通過Windows控制器,我們還始終無法解決一個問題,就是共享文件的泄露問題。比如,我們設置了共享文件只讀,但是,用戶可能在讀取共享文件的時候,直接拷貝共享文件,然后粘貼到本地;或者打開共享文件的時候,另存為本地磁盤,從而可以輕松將共享文件從服務器存儲到個人的磁盤;此外,如果賦予員工修改權限,則用戶就可以不小心或惡意刪除共享文件,從而對共享文件的安全造成了重大隱患。而這都是通過windows操作系統的文件訪問權限和Windows域控制器所無法解決的。那么,這種情況下,就需要借助于專門的共享文件訪問權限設置軟件來實現。
大勢至局域網共享文件管理系統(下載地址:http://www.grabsun.com/gongxiangwenjianshenji.html),就是一款專門設置服務器共享文件訪問權限的軟件,通過在服務器上安裝大勢至共享文件管理系統,就可以自動掃描到當前所有的共享文件,并可以設置共享文件訪問權限,可以實現只讓讀取共享文件而阻止復制共享文件、只讓打開共享文件而阻止另存為本地磁盤,可以只讓修改共享文件而禁止刪除共享文件,從而極大地保護共享文件的安全。如下圖所示:
此外,通過大勢至共享文件管理系統,還可以詳細記錄局域網用戶訪問共享文件的日志,詳細記錄局域網用戶的IP地址、MAC地址和主機名等信息,從而便于管理員事后備查和審計。
總之,有效保護服務器共享文件的安全,一方面需要充分里發揮操作系統文件訪問權限和用戶權限方面的功能,另一方面也可以借助于域控制器等方面的功能,以及通過第三方服務器共享管理工具軟件來進一步保護共享文件的安全,防止各種泄露共享文件的行為,真正保護單位的無形資產和商業機密。
在本月補丁星期二活動日放出的累積更新中,微軟修復了追蹤號為 CVE-2022-26925 的 Windows Local Security Authority (LSA) 欺騙漏洞。這個嚴重性很高的漏洞使未經認證的攻擊者能夠匿名調用一個方法,并迫使域控制器(DC)通過 NTLM 對他們進行認證。在最壞的情況下,這可能導致權限提升,攻擊者控制整個域。
這個漏洞是很重要的,因為美國網絡安全和基礎設施安全局(CISA)曾規定,聯邦民用行政部門機構(FCEB)應在三周內安裝這些更新,以保護自己免受這個攻擊面和其他攻擊。然而,它現在已經取消了這一要求,因為最新的"補丁星期二"更新在安裝到 DC 上時也會引起認證問題。
公告上的說明是這樣的:
在客戶端 Windows設備和非域控制器 Windows 服務器上安裝 2022 年5月10日發布的更新,不會導致這個問題,仍然強烈鼓勵。這個問題只影響到安裝在作為域控制器的服務器上的2022年5月10日的更新。組織應該繼續對客戶端Windows設備和非域控制器Windows服務器應用更新。
在關于這個問題的咨詢中,微軟說:“在你的域控制器上安裝 2022 年 5 月 10 日發布的更新后,你可能會在服務器或客戶端看到網絡策略服務器(NPS)、路由和遠程訪問服務(RRAS)、Radius、可擴展認證協議(EAP)和受保護可擴展認證協議(PEAP)等服務的認證失敗。已發現一個與域控制器如何處理證書與機器賬戶的映射有關的問題”。
微軟分享了受影響平臺列表
客戶端:
● Windows 11 Version 21H2
● Windows 10 Version 21H2
● Windows 10 Version 21H1
● Windows 10 Version 20H2
● Windows 10 Version 1909
● Windows 10 Version 1809
● Windows 10 Enterprise LTSC 2019
● Windows 10 Enterprise LTSC 2016
● Windows 10 Version 1607
● Windows 10 Enterprise 2015 LTSB
● Windows 8.1
● Windows 7 SP1
服務器:
● Windows Server 2022
● Windows Server Version 20H2
● Windows Server Version 1909
● Windows Server Version 1809
● Windows Server 2019
● Windows Server 2016
● Windows Server 2012 R2
● Windows Server 2012
● Windows Server 2008 R2 SP1
● Windows Server 2008 SP2
這些問題主要是由 Windows Kerberos 和活動目錄域服務的兩個補丁引起的,分別被追蹤為 CVE-2022-26931 和 CVE-2022-26923。而由于不可能在你想安裝的補丁中進行挑選,CISA 不再鼓勵 IT 管理員不在 DC 上安裝5月的補丁星期二。
目前,微軟已經提供了一個解決方法,包括手動映射證書。
同時,微軟還提供了一個臨時解決方案:
這個問題的首選緩解措施是手動將證書映射到活動目錄中的機器賬戶。有關說明,請見證書映射。注意:對于將證書映射到活動目錄中的用戶或機器賬戶,其說明是相同的。
如果首選的緩解措施在你的環境中不起作用,請參見 KB5014754-Windows 域控制器上基于證書的認證變化,了解 Schannel 注冊表密鑰部分的其他可能緩解措施。注意:除了首選的緩解措施,任何其他緩解措施都可能降低或禁用安全加固。
它還強烈強調,應用任何其他緩解措施都可能對你的組織的安全態勢產生負面影響。鑒于CISA不鼓勵FCEB完全在Windows服務器DC上安裝5月補丁星期二的更新,微軟可能希望盡快推出一個更永久的修復方案。