实施基于角色的安全系统

你肯定听说过，安全性是微软设计Longhorn Server的首选任务。在Longhorn Server中出现的众多安全技术中，有一种新的安全模式被称作“基于角色的安全（role based security）”。虽然Windows Server 2003中并没有采用这种新的安全模式，但是通过某种手段，我们也可以在Windows Server 2003中建立一个与Longhorn Server类似的基于角色 的安全系统。在本文中，我就将向大家介绍如何实现这一功能。

什么是基于角色的安全?
在开始前，我先要简单介绍一下基于角色的安全。在Longhorn Server中，基于角色的安全技术可以让用户告诉Longhorn，服务器将以什么身份（文件服务器、域控制器、DNS服务 器等）工作，Longhorn进而会根据这种工作身份来设定安全参数和等级。

基于角色的安全在很多方面都具有优势。在Longhorn Server中，这种基于角色的安全配置极大的简化了整个服务器的配置复杂程度。比如，在以往的服务器中，你可能在安装某一 服务器组件时才发现，需要事先安装另一个附属组件。而在Longhorn Server中，服务器被配置为以某一角色运行，就可以自动安装该角色所需的全部组件，包括这些组件的附属组 件。它可以让管理员确定服务器已经安装了全部所需的组件。

这种模式还有另一个优点，即尽管服务器拥有了实现预定角色所需的全部组件，但是并没有拥有那些它不需要的组件。这对于系统安全来说非常重要。在计算机系统上有一个必然 的规律，即系统中执行的代码越多，这些代码中存在安全隐患的可能性就越大。通过基于角色的配置模式，服务器清除了不需要的组件，降低了运行的代码数量，间接提高了系统 整体的安全性。另一方面，通过禁用那些不需要的系统服务，你可以让服务器的性能获得一定程度的提升，因为那些被禁用的服务将不再占用处理器时间以及内存空间了。

按角色为服务器分类
在Longhorn Server中，你可以通过Server Manager来添加和删除服务器角色。通过这种方式，服务器的安全系统会自动调整设置，以支持该角色。不幸的是，在Windows Server 2003中，并没有包含这种机制。虽然你也可以在Windows Server 2003中应用基于角色的安全，但是这需要你手动完成。

在Windows Server 2003中实施基于角色的安全，最简单的方法就是从建立安全策略基准（baseline）开始。这一安全基准策略应该是具有通用性的，可以被应用于你的全部服务器 中，而不论它们承担什么角色。建立好安全策略基准后，你就可以在活动目录中建立容器来对应不同的服务器角色。接着要将安全策略基准应用到全部容器中，再根据每个容器所 对应的服务器角色的不同来分别制定各自的安全策略。

这里需要注意的是，在默认情况下，活动目录会将所有服务器放在两个容器（Domain Controllers和Computers）中的其中一个。将用于域控制器的策略应用在Domain Controllers 容器上，将其它基本的安全策略应用于Computers容器上，这看上去好像是很有逻辑。但是需要注意到，首先，组策略无法应用于Domain Controllers容器或者Computers容器上， 组策略只能被应用在本地计算机、站点、域、或者Organizational Unit上。就算可以将组策略应用在Computers容器中，但是别忘了Computers容器中还包含了工作站。你肯定也不 希望将通用的服务器策略应用在工作站上吧。

如果希望建立特殊的容器包含不同角色的服务器，你可以通过两种途径实现。一种是将服务器组织进资源域。资源域与其它域没有其它区别，只是资源域中不包含用户。这么做的 目的就是让组策略可以应用到域中。比如你可以为你的文件服务器建立一个域，为你的应用服务器再建立一个域。但这么做也有一些问题。首先，和任何域一样，资源域也需要域 控制器，因此为每个域单独配置域控制器会造成成本增加。

其次，这么做对于建立跨域的安全性来说，提高了实施的复杂度。由于资源域中不包含任何用户，因此你必须采用跨域许可的方式来让用户有能力访问到这些资源服务器。

另一种根据角色组织服务器的方法就是为每个角色创建一个独立的组织单元（Organizational Unit），并将服务器移动到相应的组织单元中。在我看来，这种方法是最优的选择， 因为它不会导致成本上升，也不会像建立资源域那样提升整个网络架构的复杂性。

建立安全基准策略
我已经讲过了该如何根据角色组织你的服务器，下面我再介绍一下如何建立基本的安全策略。在介绍前我需要提醒大家，虽然我希望我所介绍的基本安全策略能够具有普遍性，但 是由于每个企业的实际情况不同，因此我的安全基准策略并不能保证适用于所有企业。如果你打算利用我介绍的内容来建立适合你的企业的安全基准策略，一定要在我的策略上进 行仔细调整，满足你的企业的需求。

建立审计策略(audit policy)
在基准安全策略中，我首先建议你设置的就是审计策略。之所以将审计策略放在第一位，有多种原因。首先，由于我们正在创建新的安全策略，我们需要知道这个安全策略是否能 够正常地工作。审计策略为我们提供了这种信息。其次，一旦安全规则被打破，你可以通过审计策略获得相关的证据，并分析问题所在。

在介绍如何创建审计策略前，我还需要说明何时实施审计，以及审计内容的多少。当你建立审计策略时，也许希望对大量的事件进行审计，但是这么做会导致声称大量的日志文件 。在这种情况下，日志文件包含了太多的内容，以至于你基本上无法找到你所需的信息。过度的审计还会消耗大量系统资源和性能。因此，我建议你仅对必要的事件进行审计。

你可以通过Group Policy Object Editor察看审计策略，或者通过Computer Configuration | Windows Settings | Security Settings | Local Policies | Audit Policy 方式 来访问审计策略。Audit Policy容器中包含了九项你可以修改的审计策略。对于每一项策略，你都可以启用成功和/或失败审计。比如，第一项审计策略是审计账户登陆事件。如果 你设定为审计成功的账户登陆事件，那么审计日志中就会在每个用户成功登录系统时创建一个记录项目。而如果你设定为审计失败的登录事件，那么当用户登录失败时，系统日志 会进行记录。

为了保证审计的效率，避免过多的日志文件项目，我倾向于采用保守的审计项目。下面列出的就是我推荐的审计设置。对于你的系统，你也可以根据需要进行适当增减。我的推荐 设置是：