摘 要：文章分析了校園網(wǎng)的主要安全威脅，介紹了Windows Server 2003的活動目錄安全管理框架。針對校園網(wǎng)的特點，設計了基于活動目錄的校園網(wǎng)安全管理體系框架。

關鍵詞：Windows Server；活動目錄；校園網(wǎng)；安全管理

DOI：10.16640/j.cnki.37-1222/t.2017.07.126

早期校園網(wǎng)建設更注重硬件的投資，隨著信息化的不斷發(fā)展，當今校園網(wǎng)建設的發(fā)展過渡到了以綜合指標評定校園網(wǎng)優(yōu)劣的階段。校園網(wǎng)構建和發(fā)展要綜合考慮安全性、成本、資源利用率、校園網(wǎng)優(yōu)勢發(fā)揮度等因素。Windows Server 2003活動目錄具有兩大特點：單點登錄；集中管理。在這種結構中，計算機僅僅充當終端機的角色，用戶可以沒有屬于自己的實體計算機，只要擁有域成員賬號就可以在域中的任意一臺計算機上登錄到域，從而使用用戶賬號權限范圍之內的資源。域管理員通過活動目錄的組策略功能集中管理用戶，限制用戶越權操作，統(tǒng)一部署操作系統(tǒng)和應用系統(tǒng)，對數(shù)據(jù)進行實時備份，提升系統(tǒng)的可靠性和安全性。

1 校園網(wǎng)的安全威脅分析

校園網(wǎng)的安全威脅主要來自于實體威脅和邏輯威脅。前者指的是網(wǎng)路中的計算機及其各種連接設備、傳輸介質等等可能會被人為破壞、丟失，或者受到自然災害的影響而遭受到損失；邏輯威脅指的是信息的可用性、保密性和完整性會受到人為和非人為的破壞。下面兩種威脅是校園網(wǎng)面臨的最主要的威脅。

（1）計算機病毒威脅。網(wǎng)絡管理員的工作職責是監(jiān)控各部門網(wǎng)絡數(shù)據(jù)和流量，保證網(wǎng)絡設備正常工作和運行，工作重心在服務器和路由器的管理與維護上。網(wǎng)絡管理員沒有精力管理每一臺客戶端機器，客戶端機器都是由客戶端管理員自己管理和維護。這樣的工作模式會給計算機病毒有機可乘的機會。客戶機管理員通常來說僅僅具備機器的操作技能，不具備機器的管理和維護技能。他們不懂得如何配置防病毒軟件，不會進行漏洞掃描，不會下載安裝系統(tǒng)補丁，而這些客戶機又直接暴露在網(wǎng)絡中，很容易感染病毒。當客戶機出現(xiàn)中毒現(xiàn)象時，網(wǎng)絡管理員人手少，往往很長時間才能進行維護，這期間病毒也可能大肆傳染，安全風險急劇提升。

（2）非授權訪問。非授權訪問又稱為越權訪問，指的是用戶沒有經(jīng)過計算機的授權而直接訪問計算機資源數(shù)據(jù)的現(xiàn)象。網(wǎng)絡中間人經(jīng)常利用木馬盜取登錄密碼，利用漏洞繞過登錄模塊，利用假冒避開系統(tǒng)訪問控制機制，利用社會工程學騙取提權賬戶信息等。

對等網(wǎng)工作模式中終端機器的身份認證使用的是本地目錄數(shù)據(jù)庫，這種驗證方式屬于分散管理范疇，每個終端機器身份認證的方式方法可能都不一樣，沒有統(tǒng)一集中的密碼策略來約束密碼創(chuàng)建，這會導致整個校園網(wǎng)認證系統(tǒng)的混亂。例如有些人將自己計算機的登錄密碼設置成弱密碼，甚至管理員賬號密碼直接置空，這些做法都會給網(wǎng)絡中間人很多機會進行非授權訪問。

2 Windows Server 2003活動目錄優(yōu)點

（1）集中安全管理。信息系統(tǒng)的安全性由活動目錄集中管理，例如用戶登錄認證模塊和用戶授權管理模塊都集成在活動目錄中。另外，活動目錄還提供了靈活多樣的安全策略，這些安全策略能夠保證信息存儲的完整性、保密性和可用性，同時還能夠調整應用程序的安全級別，滿足不同應用程序的安全需求。（2）基于策略的管理。組策略是域管理員利用活動目錄管理網(wǎng)絡最主要的工具之一。組策略針對的對象包括用戶賬戶、計算機賬戶、各種組織單元等等。這些組策略對象（GPOs）的配置能夠決定什么樣的對象能夠訪問什么樣的資源，以及什么樣的資源可以被什么樣的對象所訪問。（3）互操性和靈活的查詢。標準的目錄訪問協(xié)議是活動目錄遵循的基本協(xié)議，大多數(shù)應用程序開發(fā)軟件也都遵循這一協(xié)議，使得開發(fā)者在開發(fā)軟件時能夠享有統(tǒng)一友好的開發(fā)界面。這些協(xié)議包括名稱服務提供程序接口、輕型目錄訪問協(xié)議和活動目錄服務界面。

3 活動目錄在校園網(wǎng)安全管理中的應用

（1）遠程安裝服務、智能鏡像、分布式文件系統(tǒng)。域管理員可以利用活動目錄的遠程安裝服務對物理上分散的遠程主機進行操作系統(tǒng)的安裝，并且這種形式的安裝模式不需要人為手動控制安裝過程，極大地簡化了管理員的工作。另外遠程安裝服務不僅僅對操作系統(tǒng)有效，對安裝應用軟件以及各種軟件和服務器的升級操作依然有效。為了增強系統(tǒng)靈活性，活動目錄設計初期就考慮到添加智能鏡像的功能。該功能類似于基于NT內核的微軟視窗操作系統(tǒng)的漫游用戶配置文件模塊。用戶使用智能鏡像功能在域中任意一臺實體主機上登陸以后，機器呈獻給用戶的桌面、數(shù)據(jù)及其應用軟件都和用戶在本地登錄一樣，這樣就拋開了物理機的概念，使得用戶只要在域中就可以個性化的利用網(wǎng)絡資源進行工作。使用活動目錄管理網(wǎng)絡資源最重要的特點之一就是集中化管理，活動目錄中的分布式文件系統(tǒng)既可以對共享資源進行整合，將分布在不同終端的共享資源以虛擬的形式放置到一個邏輯文件夾，提高用戶在進行資源訪問時的工作效率。

（2）系統(tǒng)安全防護以及用戶環(huán)境配置都可以由組策略輕松實現(xiàn)，組策略是活動目錄管理網(wǎng)絡最有效的工具之一。其實歸根到底，組策略就是更改系統(tǒng)的注冊表配置信息，以往用戶都使用手動的方式進行注冊表各鍵值的設置，這種方式效率低，而組策略能夠通過批量的手段對對象進行配置管理，方便靈活，功能也更加強大。

（3）其他網(wǎng)絡服務整合。目錄服務可將目錄、數(shù)據(jù)庫、人力資源應用軟件、電子郵件、網(wǎng)絡操作系統(tǒng)等等眾多不同系統(tǒng)的用戶信息整合，幫助企業(yè)提供產品及更廣泛的安全身份管理方案。這些方案解決了目前信息總監(jiān)所面對的主要商業(yè)問題；既能將實時、以角色為基礎的資源傳送給分散的員工、合作伙伴及客戶，同時又能保持系統(tǒng)及數(shù)據(jù)的安全。此外使用ISA server 2004和活動目錄結合，可以完全實現(xiàn)校園網(wǎng)信息監(jiān)控和管理。

4 總結

Windows Server 2003活動目錄是分布式網(wǎng)絡體系結構的基礎。應用活動目錄技術來規(guī)劃管理校園網(wǎng)，能夠實現(xiàn)資源和用戶的集中管理，方便用戶查詢使用網(wǎng)絡資源，增加校園網(wǎng)的安全性，實現(xiàn)校園網(wǎng)內多種網(wǎng)絡操作系統(tǒng)的互聯(lián)。

參考文獻：

[1]陳功.校園網(wǎng)絡安全分析[J].達縣師范高等?？茖W校學報（自然科學版），2006（03）.

[2]李志民.基于活動目錄的訪問控制系統(tǒng)設計[J].中原工學院學報，2004（04）.

作者簡介：沈虹（1982-），女，本科，講師，研究方向：計算機網(wǎng)絡。