活動(dòng)目錄即AD的管理與安全對(duì)于企業(yè)組織來說至關(guān)重要，下面是一份調(diào)查結(jié)果的演示、分析以及討論。

本文展示了NetIQ主辦的活動(dòng)目錄管理與安全的調(diào)查結(jié)果?；顒?dòng)目錄（以下簡(jiǎn)稱AD）管理與安全的調(diào)查，于2009年7月執(zhí)行。這份研究提供了AD的管理與實(shí)施所面臨的安全挑戰(zhàn)方面的見解，檢查企業(yè)IT組織中的AD的權(quán)屬部門，表明企業(yè)安全組織對(duì)AD日益增長(zhǎng)的影響。

調(diào)查概覽

2009 NetIQ AD管理與安全調(diào)查由一個(gè)總的統(tǒng)計(jì)學(xué)問題和九個(gè)多項(xiàng)選擇題目組成：六個(gè)問題允許單項(xiàng)答案，三個(gè)問題允許多項(xiàng)答案。這些問題是由NetIQ在微軟AD方面的領(lǐng)先專家的幫助和監(jiān)督下選定的。 調(diào)查的受訪者包括277位唯一參與者，代表不同行業(yè)，包括但不限于教育、健康、金融和銀行、政府以及制造業(yè)。

主要內(nèi)容

本文分為兩個(gè)主要部分：一份關(guān)于調(diào)研結(jié)果的演示和分析；一份關(guān)于為何企業(yè)必須有能力成功并安全地管理、實(shí)施AD環(huán)境的討論。

這一調(diào)查結(jié)果和報(bào)告，分節(jié)闡明了對(duì)這些調(diào)研問題的應(yīng)答。結(jié)果分為如下幾個(gè)部分：

管理與實(shí)施AD： 檢查分配給AD管理者的資源；這些團(tuán)隊(duì)達(dá)到業(yè)務(wù)需求的能力；用于實(shí)施、管理和保證AD安全的工具。

AD的挑戰(zhàn)：企業(yè)深刻地體驗(yàn)到AD的實(shí)施、管理和安全方面的困擾與痛處，對(duì)此十分關(guān)注。

AD中的權(quán)限及影響： 判定并檢查組織中在AD管理、實(shí)施和安全職責(zé)方面的委派。

文章的末尾對(duì)組織如何更有效地管理AD環(huán)境的實(shí)施和安全性提出了建議。此外，這個(gè)部分闡述了NetIQ怎樣幫助企業(yè)的IT組織更好地交付符合業(yè)務(wù)目標(biāo)的安全的AD服務(wù)。

調(diào)查參與者人員組成情況

AD已日益成為各種規(guī)模的組織中事實(shí)上的標(biāo)準(zhǔn)目錄服務(wù)。為了保證我們的調(diào)查的答案與企業(yè)相關(guān)，因此只篩選出企業(yè)組織中的答題者。這樣，調(diào)查結(jié)果有277份有效的答卷 - 圖1顯示出答題者所處的組織的規(guī)模構(gòu)成情況。

調(diào)查結(jié)果和報(bào)告：

AD的管理與實(shí)施

AD從IT組織中的一種支持技術(shù)已經(jīng)發(fā)展成為一種核心服務(wù)，它驅(qū)動(dòng)著一個(gè)實(shí)體中的人和他們的設(shè)備的關(guān)鍵的信息。此章關(guān)注于企業(yè)如何分配資源幫助保證AD的成功管理、實(shí)施和安全。

為了確定組織中管理AD可用資源的基線，調(diào)查參與者被問到他們的組織中被分配的AD實(shí)施、管理和安全方面的人員數(shù)量。如圖2所示，70%的受訪者回答他們有10人或者更少的人員專門負(fù)責(zé)AD系統(tǒng)的維護(hù)和實(shí)施的安全。這與行業(yè)的總體的標(biāo)準(zhǔn)是一致的；而且，由于當(dāng)前多數(shù)企業(yè)面臨的經(jīng)濟(jì)壓力，想要在近期改變這樣的現(xiàn)狀似乎不大可能：縮減的開支不可避免地會(huì)導(dǎo)致IT組織中更少的可用資源。AD看來也不例外。

當(dāng)被問及用什么工具來利用這些有限的資源來保證AD生產(chǎn)環(huán)境的實(shí)施、管理和安全時(shí)（見圖3），幾乎所有的受訪者（96%）說他們信賴微軟自身的工具。已有很好的證明，用自身工具管理AD是比較困難的，特別是擴(kuò)展全面的域管理員特權(quán)的需求，不出意料的，幾乎半數(shù)以上的受訪者也相信第三方商業(yè)工具可以提升AD的管理和安全。接近四分之一的受訪者同樣相信自己開發(fā)的或開源的/免費(fèi)的工具軟件。

在此次調(diào)查中，稍后將能夠看到，AD團(tuán)隊(duì)變更的壓力，特別是AD成為大的身份與訪問管理（IAM）程序的一部分時(shí)，將會(huì)要求更為嚴(yán)格的安全控制和更好的性能以降低內(nèi)部攻擊的風(fēng)險(xiǎn)。這將因此不可避免地意味著對(duì)第三方商業(yè)工具的依賴日益增長(zhǎng)，因?yàn)檩^之微軟自身的及自己開發(fā)的解決方案，這些第三方的商業(yè)工具能夠提供更為全面的安全和管理功能。

由于組織分配給AD實(shí)施、管理和安全方面的有限的資源，用自帶的管理工具與生俱來的諸多問題，因此有40%的受訪者指出他們非常努力地試圖追趕業(yè)務(wù)需求的腳步（圖4）。

AD 的權(quán)屬及影響

下面這套問題檢查過去三年內(nèi)AD的歸屬部門、影響和責(zé)任方面的發(fā)展。

日常AD管理的歸屬歷史性地落到了信息技術(shù)部門；受訪者證實(shí)了這一點(diǎn)（見圖8）。但是過去的3年已經(jīng)發(fā)生了一些變化，因?yàn)槠髽I(yè)的IT組織已經(jīng)非常成熟，規(guī)則已經(jīng)從數(shù)量和范圍上都有了增長(zhǎng)。

接近一半的IT組織越來越受到信息安全組織的影響。難怪他們最關(guān)心的基本上是基礎(chǔ)的安全問題---推行策略、通過盡可能減少特權(quán)用戶及訪問來減少風(fēng)險(xiǎn)。由于更多的企業(yè)組織發(fā)現(xiàn)他們自己由于安全缺陷而被作為新聞報(bào)導(dǎo)，傳統(tǒng)的AD管理者正被賦予任務(wù)，通過安全團(tuán)隊(duì)和他們開發(fā)的安全策略，同時(shí)改進(jìn)關(guān)鍵業(yè)務(wù)數(shù)據(jù)在AD中的存儲(chǔ)。

倘若有預(yù)算緊縮和增加業(yè)務(wù)的要求，企業(yè)的IT組織便會(huì)有興趣最大化他們現(xiàn)有投資的功能。擴(kuò)展AD的能力、實(shí)現(xiàn)AD標(biāo)準(zhǔn)化、以AD為中心是所有企業(yè)組織可以實(shí)現(xiàn)讓AD成為關(guān)鍵業(yè)務(wù)信息的首要存儲(chǔ)褲。難怪76%的訪者表明，AD通過信息安全組織的日益提高的影響的引導(dǎo)，在他們的組織中成為信息與逐步形成的IAM策略中起著重要乃至關(guān)鍵的作用（參閱圖10）。

安全對(duì)AD有著關(guān)鍵的影響

當(dāng)活躍的目錄仍然被主要由IT 組織承認(rèn)時(shí)，安全對(duì)活躍的目錄的管理和行政的影響已經(jīng)猛烈改變。 這變化影響s IAM 策略的積極的人名錄在任何安全策略和企業(yè)的最關(guān)鍵的元素之一方面上演'的作用。

當(dāng)AD仍然主要由IT組織掌管時(shí)，安全對(duì)AD實(shí)行和管理的影響發(fā)生著劇烈的改變。這一變化影響著AD在企業(yè)的安全策略和IAM策略中成為最關(guān)鍵要素之一。

由于被委以保護(hù)最有價(jià)值的業(yè)務(wù)資源的任務(wù)，安全組織認(rèn)識(shí)到AD的強(qiáng)大能力。他們也看到了AD中如果缺少控制而與生俱來的風(fēng)險(xiǎn)。由于多數(shù)企業(yè)組織運(yùn)用AD作為他們的IAM策略的關(guān)鍵組件之一，指導(dǎo)AD實(shí)施的策略將繼續(xù)進(jìn)一步確定并受到安全組織的影響。

行業(yè)最佳實(shí)踐要求AD成為更廣泛的安全策略中的中心要素，特別是它適合管理特權(quán)用戶以降低防范內(nèi)部攻擊和數(shù)據(jù)破壞的風(fēng)險(xiǎn)。安全組織應(yīng)該，也因此持續(xù)地努力著，去縮小（如果無法去除）AD作為一個(gè)脆弱的單點(diǎn)應(yīng)用與其作為更強(qiáng)大的保證業(yè)務(wù)安全的方案：IAM中一個(gè)安全的核心組件這兩者之間的距離。

有效的AD管理與安全的需求

對(duì)任何企業(yè)的IT組織來說，由于肩負(fù)著支持業(yè)務(wù)不斷發(fā)展的要求的任務(wù)，安全、有效、高效的AD實(shí)施都是非常重要的。它一直是企業(yè)IT架構(gòu)中最關(guān)鍵的要素之一---由于有限的自帶的控制given the limited nature of native controls ---它也是最為脆弱的環(huán)節(jié)之一。當(dāng)業(yè)務(wù)運(yùn)營成本降低、效率要求急迫，他們不再是對(duì)日常AD管理負(fù)責(zé)的企業(yè)IT組織唯一的驅(qū)動(dòng)力。

這個(gè)調(diào)查結(jié)果清晰地展示了當(dāng)AD團(tuán)隊(duì)仍然堅(jiān)定地作為大的IT運(yùn)營團(tuán)隊(duì)中的一部分運(yùn)營時(shí)，他們現(xiàn)在已漸漸被視為推行安全與法規(guī)遵從的一線部門。

這顯示出一個(gè)危險(xiǎn)的趨勢(shì)。由于團(tuán)隊(duì)在檢測(cè)基礎(chǔ)的安全與合規(guī)要素存在的潛在重要變更方面表現(xiàn)出很少的信心，破壞，特別是由內(nèi)部引起的破壞的風(fēng)險(xiǎn)，將持續(xù)增長(zhǎng)。更糟糕的是，這種基本的安全的缺乏，將在組織基于現(xiàn)在的AD架構(gòu)開始實(shí)施更廣泛的IAM方案時(shí)更為嚴(yán)重。

保護(hù)數(shù)據(jù)、使系統(tǒng)可用性最大化，并且保證和證明合規(guī)是各個(gè)IT組織都很關(guān)鍵的驅(qū)動(dòng)力。保證最有價(jià)值的業(yè)務(wù)資產(chǎn)的安全必須達(dá)到一個(gè)領(lǐng)先的水平，企業(yè)的IT組織現(xiàn)在必須要識(shí)別、最小化、定位出弱點(diǎn)與威脅。

#p#

結(jié)論和建議

擔(dān)負(fù)著安全有效地支持發(fā)展的業(yè)務(wù)要求的任務(wù)，企業(yè)的IT組織應(yīng)該采取前瞻性的方法來應(yīng)用AD。要保持組織級(jí)和行業(yè)級(jí)的合規(guī)，這是唯一的方法，能夠幫助保證關(guān)鍵和敏感的業(yè)務(wù)信息以一種支持業(yè)務(wù)的方式存儲(chǔ)—以便減輕在一個(gè)不確定的商業(yè)環(huán)境中的風(fēng)險(xiǎn)。

要前瞻性地、安全地實(shí)施AD，NetIQ建議：企業(yè)IT組織采用能夠改進(jìn)AD安全的第三方的解決方案。這些管理AD的先進(jìn)的手段幫助企業(yè)IT組織通過推行策略、最小化特權(quán)用戶、控制未經(jīng)許可的變更（無論是蓄意的還是無意的），來滿足增長(zhǎng)的安全及行業(yè)的要求。

為了幫助組織更有效地實(shí)現(xiàn)AD的安全，同時(shí)控制保證合規(guī)的成本并最終達(dá)到更大的業(yè)務(wù)目標(biāo)的要求，NetIQ具有如下的關(guān)鍵功能和好處：

檢測(cè)及審計(jì)AD變更---NetIQ的AD管理解決方案提供對(duì)AD做出的變更的實(shí)時(shí)檢測(cè)和確認(rèn)，允許企業(yè)決定變更是否可以被批準(zhǔn)。通過個(gè)性化的設(shè)置，報(bào)警可以被升級(jí)，操作可以被記錄下來并報(bào)告出來，以前瞻性地定位到無意的變更。

特權(quán)的安全委派--- NetIQ解決方案提供基于規(guī)則的和基于視圖的兩種方式的特權(quán)委派，使得管理員管理訪問權(quán)限非常容易。這幫助用戶實(shí)現(xiàn)一套受限制的任務(wù)，以他們的許可權(quán)限為基礎(chǔ)，實(shí)現(xiàn)用戶自助服務(wù)，這樣減少了幫助臺(tái)和其他人力管理的工作量。

報(bào)告授權(quán)情況及安全配置---利用NetIQ AD管理解決方案，企業(yè)能夠做出詳細(xì)的報(bào)告，說明哪些雇員可以做出影響業(yè)務(wù)的變更，有效地減少不必要的由管理員用超級(jí)用戶特權(quán)做的工作。

自動(dòng)化AD中的IT流程 運(yùn)用NetIQ Aegis中強(qiáng)大的自動(dòng)化能力以及NetIQ DRA軟件，企業(yè)能夠自動(dòng)化執(zhí)行AD中常規(guī)的操作任務(wù)。這幫助組織最小化管理員錯(cuò)誤的機(jī)會(huì)，大大提升了數(shù)據(jù)完整性，并使數(shù)據(jù)污染的可能減至最低。運(yùn)用這一前瞻性方法實(shí)現(xiàn)AD安全實(shí)施的企業(yè)IT組織將有能力持續(xù)地、有效節(jié)省成本地達(dá)到不斷發(fā)展的業(yè)務(wù)的要求。這些特性也將幫助企業(yè)IT組織保證行業(yè)及業(yè)務(wù)合規(guī)所要求的安全的AD環(huán)境。

資源的限制和業(yè)務(wù)需求帶來挑戰(zhàn)

當(dāng)來自經(jīng)濟(jì)方面的挑戰(zhàn)要求技術(shù)能夠支持動(dòng)態(tài)的業(yè)務(wù)環(huán)境時(shí)，最突出的不滿來自于對(duì)業(yè)務(wù)需求的無能為力。當(dāng)組織運(yùn)用微軟自帶的工具來保護(hù)企業(yè)中最具價(jià)值的業(yè)務(wù)信息庫：AD的時(shí)候，他們唯一無法忍受的是依賴微軟自帶工具時(shí)所帶來的額外的風(fēng)險(xiǎn)。

上述反饋很顯然地告訴我們，相較于更廣泛的IT基礎(chǔ)設(shè)施的管理組織的規(guī)模而言，AD團(tuán)隊(duì)還停留在很小的規(guī)模，特別是企業(yè)中的組織。這些小團(tuán)隊(duì)艱苦地努力，以便保持與業(yè)務(wù)的不斷變化相一致的腳步，因此可能被迫陷入日益被動(dòng)的境地。這樣最終將會(huì)投入更多在更具戰(zhàn)略性的程序上，這些程序能保證更好的AD的全面安全性，并會(huì)將這一至關(guān)重要的技術(shù)更好地定位，以達(dá)到業(yè)務(wù)不斷變更的要求-----這我們將在下一章看到。

AD面臨的挑戰(zhàn)

下一組調(diào)查問題試圖解答這樣的疑問，那就是這些與微軟自帶工具相關(guān)的資源的限制和約束在哪里影響著AD的安全管理和實(shí)施。調(diào)查受訪者被問及管理和實(shí)施安全的AD環(huán)境的策略及業(yè)務(wù)上的挑戰(zhàn)。

企業(yè)IT組織及其在AD方面的人員在努力地追趕業(yè)務(wù)需求的腳步，理所當(dāng)然地，IT組織也在為保持一個(gè)安全的包含用戶身份和業(yè)務(wù)資產(chǎn)等企業(yè)關(guān)鍵業(yè)務(wù)信息的存儲(chǔ)環(huán)境而努力。如圖5所示，超過一半的答題者舉例說明他們?cè)诠芾戆踩腁D環(huán)境時(shí)的巨大挑戰(zhàn)，來自于以可控的方法管理組策略以及維護(hù)合適的用戶許可方面。簡(jiǎn)言之，調(diào)查受訪者最擔(dān)憂的是那些本不該有權(quán)訪問關(guān)鍵業(yè)務(wù)和敏感信息的用戶所做出的未經(jīng)許可的變更的威脅。

限制用戶訪問，控制變更，是來自業(yè)務(wù)需求的重要反響。當(dāng)被問及AD與業(yè)務(wù)相關(guān)的安全問題方面他們最擔(dān)憂的是什么時(shí)，52%的答題者舉出推行時(shí)的策略，42%的答題者舉出不能達(dá)到合規(guī)的要求（圖6）。

企業(yè)的組織現(xiàn)在強(qiáng)烈地意識(shí)到了風(fēng)險(xiǎn)的存在，并且在驅(qū)動(dòng)著IT遵從政策，保證合規(guī)；他們最終將如何保證他們的關(guān)鍵資產(chǎn)在多變的業(yè)務(wù)環(huán)境下的安全。

AD的變更以及管理變更是企業(yè)的組織首要關(guān)注的；然而，相當(dāng)多的受訪者指出他們對(duì)于他們能否快速檢測(cè)到未經(jīng)許可的變更并不是很自信。如圖7所示，少于四分之一的受訪者指出他們能夠快速發(fā)現(xiàn)未經(jīng)許可的特權(quán)升級(jí)、組策略更改，或者組成員變化。未經(jīng)許可的變更---恰恰是讓受訪者擔(dān)憂的---也是他們對(duì)于自己的檢測(cè)能力缺乏自信的原因。如果未經(jīng)許可的變更不能被發(fā)現(xiàn)，那么這些變更---蓄意的或偶然的---將會(huì)有可能導(dǎo)致嚴(yán)重的風(fēng)險(xiǎn)和業(yè)務(wù)信息的暴露，這是企業(yè)絕對(duì)難以承受的。

策略與變更管理是關(guān)鍵

在此文章我們看到，AD管理團(tuán)隊(duì)中最主要關(guān)注點(diǎn)在維護(hù)策略與合規(guī)方面?？刂朴脩粼S可和訪問權(quán)限被特別突出地予以關(guān)注，因?yàn)橐粋€(gè)有很高權(quán)限的用戶可以執(zhí)行那些能導(dǎo)致業(yè)務(wù)暴露于嚴(yán)重風(fēng)險(xiǎn)之下的變更。

由于主要的防范內(nèi)部攻擊的手段是有效的管理部署在組策略中的許可，所以保證這些控制一直都在并與企業(yè)的風(fēng)險(xiǎn)管理和安全策略相一致是最起碼的要求。

然而，說到要能夠迅速地發(fā)現(xiàn)對(duì)這些安全指標(biāo)的任何變更，就不那么有信心了。

如果業(yè)務(wù)不能即時(shí)地檢測(cè)到組策略和用戶許可的變更，那么嚴(yán)重的破壞（特別是蓄意的、有訓(xùn)練并了解內(nèi)情的人發(fā)起的破壞）的風(fēng)險(xiǎn)將會(huì)極端嚴(yán)重。

理想的組策略管理方案既要保證簡(jiǎn)易的、順暢的管理，也要將變更檢測(cè)與其他安全事件管理方案相集成，例如安全信息與事件管理（SIEM）技術(shù)。沒有這樣的能力的話，對(duì)組策略的變更便會(huì)一直處于無法被檢測(cè)到的狀態(tài)，并會(huì)始終在用戶操作和訪問安全方面有關(guān)鍵的潛在危險(xiǎn)。

簡(jiǎn)言之，在AD團(tuán)隊(duì)的安全目標(biāo)與推行這些目標(biāo)的能力之間，是存在著潛在的危險(xiǎn)斷層的。

NetIQ調(diào)查之如何保障微軟AD安全的內(nèi)容的詳述希望能夠?qū)ψx者有所幫助。

【編輯推薦】

1. 兩臺(tái)域控制器如何實(shí)現(xiàn)AD遷移？
2. Active Directory遷移工具ADMT
3. 升級(jí)和卸載域AD：實(shí)現(xiàn)域網(wǎng)絡(luò)管理一
4. 升級(jí)和卸載域AD：實(shí)現(xiàn)域網(wǎng)絡(luò)管理二
5. 用ADSI實(shí)現(xiàn)自動(dòng)化的活動(dòng)目錄操作方法