Windows 2003安全性指南之强化域控制器二

　　DNS服务器
　　
　　表 4.13: 设置
　　　
　　
　　“DNS服务器”服务解析用户的DNS（域名系统）查询，并且处理对DNS名称的更新请求。对于在 Active Directory 中用DNS名称和域控制器进行身份识别的设备，“DNS服务器” 是定位这些设备的关键服务。
　　
　　Active Directory 的可靠性和可用性强烈依赖于“DNS服务器”服务的正确操作。没有DNS，域控制器之间将无法互相定位对方以复制目录信息，客户机也无法访问域控制器进行身份验证。
　　
　　使用组策略，将服务的开始模式设置配置为仅仅允许服务器管理员进行访问，，从而防止服务被未经授权或恶意的用户所配置或操作。该组策略还可防止管理员无意禁用该服务。因此，在本指南所定义的三种环境下，该服务在DCBP中配置为自动开始。

中国网管论坛bbs.bitsCN.com

　　
　　文件复制
　　
　　表4.14: 设置
　　　
　　
　　“文件复制”服务允许文件被自动拷贝到多台服务器上，并且同时获得维护。文件复制服务（FRS）是Windows 2000以及 Windows Server?家族中的自动文件服务。该服务将SYSVOL复制到所有的域控制器上，并且可以被配置为在与容错DFS相关联的其他目标上复制文件。SYSVOL复制同样依赖于 “文件复制服务”的正确操作。
　　
　　您可以通过组策略，将服务的开始模式设置配置为仅仅允许服务器管理员进行访问，，从而防止服务被未经授权或恶意的用户所配置或操作。该组策略还可防止管理员无意禁用该服务。因此，在本指南所定义的三种环境下，该服务在DCBP中配置为自动开始。
　　
　　站点间消息
　　
　　表 4.15:设置
　　　
　　
　　“站点间消息”（Intersite Messaging，ISM）使得消息能够在运行Windows Server站点的计算机之间进行交换。站点之间使用该服务进行基于邮件的复制操作。 Active Directory 能够使用简单邮件传输协议（SMTP）在站点之间进行复制。对SMTP的支持由SMTP服务提供，该服务是Microsoft Internet信息服务（IIS）的一个组件。
　　
　　在站点间进行通信的传输集合必须是可扩展的；因此，每个传输在一个单独的附加动态链接库（DLL）中定义。这些附加的DLL被装载到ISM服务中，该服务运行在可能执行站点间通信的所有域控制器上。ISM服务将消息的收发请求定向到一个相应的传输附加DLL，然后将消息发送到目的计算机的ISM服务上。 Active Directory 的复制依赖于正确运行的“站点间消息”服务。
　　
　　您可以通过组策略，将服务的开始模式设置配置为仅仅允许服务器管理员进行访问，，从而防止服务被未经授权或恶意的用户所配置或操作。该组策略还可防止管理员无意禁用该服务。因此，在本指南所定义的三种环境下，该服务在DCBP中配置为自动开始。
　　
　　Kerberos密钥分配中心 中国网管联盟bitsCN.com
　　
　　表 4.16: 设置
　　　
　　
　　“Kerberos密钥分配中心”（Kerberos Key Distribution Center ，KDC）服务让用户可以通过Kerberos v5身份验证协议登录到网络。
　　
　　KDC服务是用户登录到网络所必需的服务。禁用该服务将阻止用户登录到网络。
　　
　　使用组策略，将服务的开始模式设置配置为仅仅允许服务器管理员进行访问，从而防止服务被未经授权或恶意的用户所配置或操作。该组策略还可防止管理员无意禁用该服务。因此，在本指南所定义的三种环境下，该服务在DCBP中配置为自动开始。
　　
　　远程过程调用（RPC）定位器
　　
　　表4.17: 设置
　　　
　　
　　“远程过程调用（RPC）定位器”（Remote Procedure Call Locator）服务使得使用RpcNs* 应用程序编程接口（API）的RPC客户机能够定位RPC服务器，并且对RPC名称服务数据库进行管理。 网管网www.bitscn.com
　　
　　停止和禁用该服务可以防止使用RpcNs* API的RPC客户机定位服务器或无法启动。同样，来自同一计算机、依赖RpcNs* API的RPC客户可能找不到支持相应接口的RPC服务器。如果在您的域控制器上停止或禁用该服务，可能导致在定位客户机时，使用RpcNs* API和域控制器的RPC客户机出现服务中断。
　　
　　您可以使用组策略，将服务的开始模式设置配置为仅仅允许服务器管理员进行访问，，从而防止服务被未经授权或恶意的用户所配置或操作。该组策略还可防止管理员无意禁用该服务。因此，在本指南所定义的三种环境下，该服务在DCBP中配置为自动开始。
　　
　　其他安全性设置
　　
　　该部分描述必须对DCBP进行的手动修改，以及其他不能通过组策略完成的设置和对策。
　　
　　向用户权限分配手动添加唯一的安全组
　　
　　大多数通过DCBP应用的用户权限分配都已经在本指南附带的安全性模板中进行了适当的指定。但是，有些账户和安全组不能被包含在模板中，因为它们的安全标识（SID）对于单个的Windows 2003域是特定的。下面介绍了必须手动配置的用户权限。 网管u家u.bitsCN.com
　　
　　警告：下表包含了内置的Administrator账户。不要将该账户与内置的Administrators安全组混淆。如果Administrators安全组被添加了以下任何一个拒绝访问用户权限，为了更正该错误，您必须从本地登录。
　　
　　此外，基于第3章“创建成员服务器基线”中的某些推荐，内置管理员账户可能已经被重命名。当添加Administrator账户时，请确信添加的是经过了重命名的账户。
　　
　　表 4.18: 手动分配用户权限
　　　
　　
　　警告：所有非操作系统服务账户包括整个企业范围内用于特定应用程序的服务账户。这不包括操作系统使用的内置账户：本地系统（LOCAL SYSTEM），本地服务（LOCAL SERVICE）或网络服务（NETWORK SERVICE）账户。
　　
　　目录服务
　　
　　运行Windows Server 2003的域控制器存储目录数据并且管理用户和域之间的交互过程，包括用户登录过程，身份验证以及目录搜索。
　　
　　重新部署数据 ― Active Directory 数据库和日志文件
　　
　　保护 Active Directory 数据库和日志文件的安全对于维护目录集成和系统可靠性非常重要。
　　
　　如果一台域控制器被破坏，将ntds.dit、edb.log和temp.edb等文件从缺省位置移动到其它位置将有助于防止它们遭受攻击。而且，将这些文件从系统卷中转移到一个独立的物理磁盘卷可提高域控制器的性能。
　　
　　因此，本指南建议：在本指南定义的三种环境下，将域控制器的 Active Directory 和日志文件从系统卷的缺省位置转移到一个非系统卷的条带或条带/镜像磁盘卷。
　　
　　改变 Active Directory 日志文件大小
　　
　　您应该确保环境中有足够的域控制器信息被记录和维护，这对于有效监视和维持 Active Directory 的完整性、可靠性和可用性非常重要。
　　
　　您可以提高日志文件大小的上限，以便在遭受电脑黑客攻击时，为管理员提供充足的必要信息来完成审核。
　　
　　因此，本指南建议：在本指南定义的三种环境下，将域控制器上目录服务（Directory Service）和文件复制服务（File Replication Service）的日志文件大小的最大值从缺省的512KB增加到16MB。 网管u家u.bitscn@com
　　
　　使用Syskey
　　
　　在域控制器上，密码信息被存储在目录服务中，他人可以针对安全账户管理（SAM）数据库或目录服务使用密码破解软件以获取用户账户的密码，这种情况经常出现。
　　
　　Syskey的使用为抵御离线密码破解软件提供了一道附加防线。Syskey使用了高级加密技术来保护存储在目录服务中的密码信息的安全。
　　
　　表4.19: Syskey模式
　　　
　　
　　在模式1（模糊密钥）中的所有Windows Server 2003服务器上，Syskey被启用。对于暴露于物理安全威胁之下的任何域控制器，我们有充分的理由推荐您使用模式2（控制台密码）或模式3（软盘存储Syskey密码）中的Syskey。
　　
　　从安全的角度而言，首先这样似乎更明智，因为如果攻击者能够以物理方式访问到计算机，那么域控制器很容易被重新启动。模式1的Syskey使得攻击者能够读取和改变目录的内容。
　　
　　然而，Syskey的模式 2 和模式 3 难以支持通过重新启动让域控制器恢复正常运行的操作要求。为了利用这些Syskey 模式提供的额外保护，必须在您的环境中执行适当的操作过程，以满足域控制器的特定可用性需求。 网管网www_bitscn_com
　　
　　Syskey密码或软盘管理的后勤工作可能会十分复杂，尤其是在分支办公室。例如，要求一位部门经理或本地管理职员凌晨三点来到办公室输入密码，或者插入软盘以便让其他用户能够访问系统，这显然很费事，而且使得旨在实现高可用性的服务水平协议（SLA）的实施变得十分困难。
　　
　　作为可选方案，要让您处于中央位置的IT操作人员远程提供Syskey 密码则需要附加的硬件 设备—— 有些硬件厂商可以为远程访问服务器控制台提供加载项解决方案。
　　
　　最后，Syskey 密码或软盘的丢失将使得您的域控制器无法重新启动。如果Syskey 密码或软盘丢失，将没有任何能够恢复域控制器的方法。如果出现这种情况，您必须重新安装域控制器。
　　
　　但是，通过使用适当的操作步骤，Syskey可提供一种高级的安全性，以便保护在域控制器中发现的敏感目录信息。
　　
　　因此，如果域控制器所处的位置在物理访问方面没有安全性问题，我们建议您使用Syskey的模式 2 或模式 3。对于本指南所定义的任何三种环境下的域控制器，该建议同样适用。
　　
　　创建或更新系统密钥：

网管论坛bbs_bitsCN_com

　　
　　1.点击“开始”菜单，点击“运行”，输入“syskey”，然后点击“确定”。
　　
　　2.点击“启用加密”（Encryption Enabled），然后点击“更新”（Update）。
　　
　　3.选择希望的选项，然后点击“确定”。
　　
　　与DNS集成的 Active Directory
　　
　　Microsoft 建议您在本指南定义的三种环境下，使用与DNS集成的 Active Directory ，部分原因在于：将这些区域集成到 Active Directory中可以简化保护DNS基础结构安全的过程。