域控制器,正如其名,它具有對整個windows域以及域中的所有計算機的管理許可權。因此你必須花費更多的精力來確保域控制器的安全,並保持其安全性。本文將帶您了解一些在域控制器上應該部署的安全措施。
域控制器的物理安全
第一步(也是常常被忽視的一步)就是要保障你的域控制器的物理安全。也就是說,你應該將伺服器放在一間帶鎖的房間,並且嚴格的審核和記錄該房間的訪問情況。不要有「隱蔽起來就具有很好的安全性」這樣的觀點,錯誤地認為將這樣一台關鍵的伺服器放在乙個偏僻的地方而不加以任何保護,就可以抵禦那些頑固的資料間諜和破壞分子的攻擊。
因為專門從事犯罪預防研究的警察告訴我們,我們是沒有辦法使自己的家,公司,汽車,當然也包括我們的伺服器具有百分之百的安全性。安全措施並不能保證您的貴重物品不被那些「壞人」拿到,它只能增加他們獲取貴重物品的難度和困難度。如果您能讓他們的攻擊過程持續更長的時間,那麼他們放棄攻擊或停止嘗試,甚至將他們當場抓住的可能性都會大大增加。
物理安全之後,就應該部署多層防禦計畫。帶鎖的伺服器間只是第一層。這只能被認為是周邊安全,就像您院子周邊的籬笆或者您家房門的鎖。萬一周邊安全被突破,就應該為保護目標(此時即dc)進一步設定一些安全措施以保護它們。您可能會安裝安全警報系統,以便當您的籬笆或者門鎖遭到破壞的時候,通知您或者警察。同樣,您應該考慮在伺服器間部署警報系統,當未授權使用者(他不知道解除警報系統的密碼)進入伺服器間的時候,它就發出聲音警報。另外還可以考慮在門上安裝探測器,以及紅外探測器以防止通過門、窗及其他孔洞(我們強烈建議,盡可能得減少門、窗及孔洞的數量)的非法進入。
當您從裡至外的部署你的多層安全計畫時,您應該反覆問自己乙個問題「如果這個安全措施失效了怎麼辦?我們可以在入侵者的攻擊線路上部署哪些新的障礙?」就像您將自己的金錢和珠寶放在乙個有籬笆的,帶鎖的,有警報系統保護的房間中,您也應該考慮伺服器自身的安全。下面有一些準則:
移除所有的可移動儲存裝置驅動器,如軟碟機、光碟機、外接硬碟、zip驅動器、快閃儲存器驅動器等。這將增加入侵者向伺服器上傳程式(如病毒)或**資料的難度。如果您不使用這些裝置,您也可以移除這些外部裝置需要使用的埠(從bios中關閉或物理移除)。這些埠包括usb/ieee 1394、串列埠、並口、scsi介面等。
將機箱鎖好,以防止未授權使用者盜竊硬碟,或損壞機器元件。
將伺服器放在密閉帶鎖的伺服器機架中(確保提供良好的通風裝置),電源裝置最好也能設定在伺服器機架中。以避免入侵者能夠方便的切斷電源或ups從而干擾系統的電力**。
防止域控制器的遠端入侵
如果您認為您的物理安全計畫已經足夠完美,那麼您就要將您的注意力轉移到防止黑客、駭客和攻擊者通過網路訪問您的域控制器。當然,「最好的」方法是將域控制器從網路中斷開,但是這樣,域控制器也就毫無用處了。因此,您要通過一些步驟,加固它們,以抵禦一般的攻擊方法。
保障域賬號的安全
最簡單的(對於黑客來說),最讓人意想不到的,也是最常用的方法就是通過乙個合法的賬號密碼,登陸系統,以獲得網路和域控制器的訪問許可權。
在乙個典型的安裝中,黑客如想登陸系統,只需要兩個東西:乙個合法賬號,以及它對應的密碼。如果您仍使用的是預設的管理員賬號——administrator,這將使黑客的入侵容易很多。他需要做的只是收集一些資訊。與其他賬號不同,這個預設的管理員賬號,不會因為多次失敗登陸而被鎖定。這也就意味著,黑客只要不停的猜測密碼(通過「暴力破解」的方法破解密碼),直到他拿到管理員許可權。
這就是為什麼您應該做的第一件事就是把系統內建賬號改名。當然,如果您只是改名而忘記修改預設的描述(「計算機/域的內建管理賬號」)也沒有什麼意義。所以您要避免入侵者快速的找出擁有管理員許可權的賬號。當然,請記住,您所做的措施都只能減慢入侵者。乙個堅定的、有能力的黑客還是能夠繞過您的安全措施的(例如,管理員賬號的sid是不能更改的,它通常是以500結尾的。有一些黑客可以利用工具sid號來辨別出管理員的賬號)。
在windows server 2003中,完全的禁用內建管理員賬號成為可能。當然如果您想那樣做,必須要先建立另外的乙個賬號,並賦予它管理員的許可權。否則,您將發現您自己也無法執行某些特權任務了。當然內建的來賓賬號是應該被禁止的(預設就是如此)。如果一些使用者需要具有來賓的許可權,為他建立乙個名字沒那麼顯眼的新賬號,並限制它的訪問。
所有的賬號,特別是管理賬號都應該有乙個強壯的密碼。乙個強壯的密碼應該包含8位以上的字元,數字和符號,應該大小寫混排,而且不應該是字典中的單詞。使用者必須要注意,不要將他們的密碼用筆寫下來或者告訴其他人(社交工程術也是未授權取得訪問許可權的常用方法)。還可以通過組策略來強制要求密碼在一定的基礎上進行變化。
重定向活動目錄資料庫
活動目錄的資料庫包含了大量的核心資訊,是應該妥善保護的部分。方法之一就是將這些檔案從被攻擊者熟知的預設位置(在系統卷中)轉移到其他位置。如果想進行更深入的保護,考慮把ad資料庫檔案移動到乙個有冗餘或者映象的卷,以便磁碟發生錯誤的時候您還能恢復它。
活動目錄的資料庫檔案包括:ntds.dit;edb.log;temp.edb
附註:將活動目錄的資料庫檔案移動到與系統卷不同的物理硬碟,也可以提高dc的系統效能。
您可以按照以下步驟,通過ntdsutil.exe這個工具來轉移活動目錄的資料庫和日誌檔案:
1.重新啟動域控制器。
2.在啟動的時候按下f8鍵,以訪問高階選項選單。
3.在選單中選擇 目錄服務恢復模式。
4.如果您裝有乙個以上的windows server 2003,選擇正確的那個,按回車鍵繼續。
5.在登陸提示的時候,使用當時您提公升伺服器時指定的活動目錄恢復賬號的使用者密碼登陸。
6.點選 開始 執行,輸入cmd,執行命令提示行。
7.在命令提示行中,輸入ntdsutil.exe,並執行。
8.在ntdsutil的提示行中,輸入files。
9.選擇你想要移動的資料庫或者日誌檔案,輸入move db to或者move logs to。
10.輸入兩次quit,退出ntdsutil,返回到命令提示行,並關閉命令提示行視窗。
11.再次重新啟動域控制器,以正常模式進入windows server 2003。
使用syskey保障密碼資訊的安全
儲存在活動目錄中的域賬號密碼資訊是最為敏感的安全資訊。系統金鑰(system key - syskey)就是用來加密儲存在域控制器的目錄服務資料庫中的賬號密碼資訊的。
syskey一共有三種工作模式。模式一,就是所有windows server 2003中預設採用的,計算機隨機產生乙個系統金鑰(system key),並將金鑰加密後儲存在本地。在這種模式中,你可以像平時一樣的登入本地計算機。
在模式二中,系統金鑰使用和模式一中同樣的生成方式和儲存方式,但是它使用乙個由管理員指定的附加密碼以提供更進一步的安全性。當你重起電腦的時候,你必須在啟動的時候輸入管理員指定的附加密碼,這個密碼不儲存在本地。
模式三是安全性最高的操作方法。計算機隨機產生的系統金鑰將被儲存在一張軟盤上,而不是電腦本地。如果您沒有軟盤的物理訪問許可權,並在系統提示時插入該軟盤,您就無法引導系統。
附註:在使用模式二和模式三之前,請先考慮他們相關的特性。例如,可能會需要管理員在本地插入含有syskey密碼的軟盤,這就意味著,您將無法不在伺服器端插入軟盤就實現伺服器遠端重啟。
您可以通過以下方法建立system key:
1.點選 開始 執行,輸入cmd,執行命令提示行。
2.在命令提示行中,輸入syskey,並執行。
3.點選 update。選中encryption enabled。
4.如果需要乙個syskey的開始密碼,點選password startup。
5.輸入乙個強健的密碼(密碼可以含有12到128個字元)。
6.如果您不需要開始密碼,點選 system generated password。
7.預設的選項是store startup key locally。如果您想要將密碼儲存在軟盤中,選中store startup key on floopy disk。
如果您使用模式三,將密碼儲存在軟盤中,請確保該軟盤有備份。
請注意,如果您遺失了金鑰軟盤,或者它受到了損害,亦或您遺忘了管理員指定的密碼,那麼您都無法恢復,只能重新安裝域控制器。
總結 保護您的域控制器是您網路安全策略中的重要一步。在本文中,我們討論了如何保障域控制器的物理安全,如何保障域賬號的安全性,重定位活動目錄的資料庫檔案,以及如何使用syskey工具來保護儲存在域控制器中的賬號密碼資訊。
Win2003下提高FSO的安全性
asp提供了強大的檔案系統訪問能力,可以對伺服器硬碟上的任何檔案進行讀 寫 複製 刪除 改名等操作,這給學校 的安全帶來巨大的威脅。現在很多校園主機都遭受過fso木馬的侵擾。但是禁用fso元件後,引起的後果就是所有利用這個元件的asp程式將無法執行,無法滿足客戶的需求。如何既允許filesystem...
在包含單個域控制器的域中重新命名域控制器
1.在域中安裝 windows server 2003 成員伺服器。2.在新伺服器上,通過安裝 active directory 建立另外乙個域控制器。3.安裝 active directory 之後,在新的域控制器上啟用全域性編錄。4.將操作主機角色從您要重新命名的域控制器轉移到新的域控制器。注意...
win2003伺服器安全設定教程
伺服器安全設定 1 系統盤和站點放置盤必須設定為ntfs格式,方便設定許可權。2 系統盤和站點放置盤除administrators 和system的使用者許可權全部去除。3 啟用windows自帶防火牆,只保留有用的埠,比如遠端和web ftp 3389 80 21 等等,有郵件伺服器的還要開啟25...