Active Directory 信任关系：安全注意事项和风险缓解

Active Directory信任关系是指两个域之间形成的连接，其中一个域被视为信任域，另一个域被视为受信任域。通过这种安排，信任域尊重信任域的登录认证。

通常，受信任的域容纳用户帐户，而信任的域托管资源。这意味着属于受信任域的个人由于其受信任状态而被授权访问信任域中的资源。

建立 Active Directory 信任的先决条件

要在两个 Active Directory 域之间建立 AD 信任，必须满足特定条件。这些包括：

网络连接：每个域的域控制器之间必须有适当的通信才能建立 AD 信任。此外，资源域中的资源应该能够与帐户域中的域控制器进行通信。

DNS 名称解析：每个域的域控制器必须能够解析其他域的 AD 环境的 DNS 记录。

帐户域服务帐户：帐户域中的 AD 用户帐户对于读取域中的用户和组对象至关重要。这一要求适用于单向信托。在双向信任中，默认授予隐式只读访问权限，并且不需要服务帐户。服务帐户不需要任何特殊权限，它只需是帐户域中域用户组的成员即可。

Active Directory 信任是如何建立的？

信任可以通过自动或手动方式建立，并且可以分为传递性或非传递性。

传递信任：传递信任的特征是，如果域 A 信任域 B 并且域 B 信任域 C，则域 A 信任域 C。

非传递信任：在非传递信任的情况下，当域 A 信任域 B 并且域 B 信任域 C 时，域 A 不会将信任扩展到域 C。信任可以是以下之一：双向或双向，下面阐述的各种类型的信托本质上都是单向或双向的。

要创建 AD 信任，请确保满足先决条件并提前做出重要的安全决策。这种信任是在资源域和帐户域之间创建的，并且可以配置为单向非传递或双向。

要从资源域启动信任创建，请访问 Active Directory 域和信任实用程序，右键单击代表域的对象，导航到“信任”选项卡，然后继续执行“新建信任向导”

然后您将需要...

提供信任名称、信任类型、信任方向和信任方。输入帐户域中具有域管理员成员身份的帐户的用户名和密码，并配置传出信任身份验证级别。

最后…

确认传出和传入信任并检查信任创建的状态，然后单击完成。

AD 信托有哪些不同类型？

树根信任

当新的树根域添加到林中时，无需显式授权即可在其树根之间建立信任。这种信任仅涉及位于每棵树顶部的域。这些双向传递信任是自动创建的。

亲子信任

通过在树中创建新的子域，无需显式操作即可建立父子信任关系。作为此过程的一部分，DCPromo 在新域和 DNS 层次结构中直接位于其上方的域之间生成双向传递信任关系。

捷径信任

为了缩短访问林中另一个域中的计算机的用户登录时间，系统管理员需要在同一林中的两个域之间手动创建快捷方式信任。这在大型森林中通常是必需的，并且信任是可传递的并且可以设置为单向或双向配置。

外部信任

系统管理员需要在位于不同林中的域之间或在 Active Directory 林中的域与 Windows NT 4.0 或更早版本的域之间创建外部信任。将资源从 Windows NT 4.0 域传输到 Active Directory 域时，外部信任非常有用。它是非传递性的，可以单向或双向建立。

森林信托

要在两个林根域（Windows 2003 及更高版本）之间建立林信任，系统管理员必须特意创建它。这种信任使一个林中的所有域能够传递信任另一林中的所有域。尽管如此，这种信任不会将传递性传播到三个或更多森林。林信任可以是单向的，也可以是双向的，并且只有当林功能级别配置为 Windows Server 2003 或更高版本时才可以访问。

领域信任

要将非 Windows Kerberos 领域与 Windows 2003 或更高版本的域连接，系统管理员需要建立领域信任。它可以是传递性的，也可以是非传递性的，并且可以在一个或两个方向上操作。

Active Directory 信任的安全注意事项

Windows Server 2003 林间信任容易受到两种类型的攻击，这些攻击可能会损害信任及其资源。第一个攻击涉及在受信任林中具有管理凭据的恶意用户监视身份验证请求，以获取信任林中用户的安全 ID 信息。第二次攻击涉及另一个组织林中的恶意用户通过利用外部或林信任创建的路径来访问信任林中的共享资源。为了防止这些攻击，可以在林间信任上设置 SID 过滤和选择性身份验证。

林间信任的安全设置

Windows Server 2003 有两个用于林间信任的安全选项：SID 过滤和选择性身份验证。 SID 过滤通过防止滥用 SID 历史属性来阻止恶意用户获得信任林的控制权。该属性用于将用户和组帐户迁移到新域，攻击者也可以利用该属性来提升其权限。选择性身份验证限制可以通过林间信任的身份验证请求的数量，从而减少攻击面。虽然 Windows 包含用于促进帐户迁移的 API，但它们需要两个域的管理凭据，并且不太可能被滥用。

保护 Active Directory 中信任的提示

保护 Active Directory 中的信任对于维护网络和数据的安全至关重要。以下是需要遵循的一些关键步骤：

1. 对所有信任关系使用强密码。
2. 定期更新和修补您的 Active Directory。
3. 启用审核和监控以检测任何未经授权的访问尝试。
4. 为所有信任关系实施双因素身份验证。
5. 将信任关系的数量限制在必要的最低限度。
6. 配置信任身份验证以使用选择性身份验证而不是域范围的身份验证。
7. 实施网络分段以隔离敏感数据和关键资源。
8. 使用加密来保护域之间传输的数据。
9. 定期审查和审计所有信任关系，以检测任何未经授权或不必要的信任。
10. 对您的用户进行培训和教育，让他们了解保护信任关系的重要性以及与允许未经授权的访问相关的风险。