對于運行Microsoft Active Directory?目錄服務的Microsoft? Windows Server? 2003計算機，域控制器服務器是在任何環境下都應當確保其安全性的重要角色。對于依賴域控制器完成身份驗證、組策略、以及一個中央LDAP（輕量級目錄訪問協議）目錄的客戶機、服務器以及應用軟件而言，IT環境中域控制器的任何損失或信息泄密都可能是災難性的。

　　由于其重要性，域控制器應當總是被安置在物理上安全的地點，僅允許有資格的管理人員訪問。當域控制器必須安置在不太安全的地方時，例如分支辦公室，應當調整相關的安全性設置以限制來自物理訪問威脅的潛在損害。

　　域控制器基線策略

　　與本指南后面將要介紹的其他服務器角色策略不同，域控制器服務器的組策略是一種基線策略，與第三章“創建成員服務器基線”所定義的成員服務器基線策略（MSBP）屬于同一類。域控制器基線策略（DCBP）與域控制器組織單位（OU）密切相連，并且優先于缺省的域控制器策略。包括在DCBP中的設置將增強任何環境下域控制器的總體安全性。

　　大多數DCBP是MSBP的直接拷貝。由于DCBP建立在MSBP基礎之上，讀者應當仔細復習第三章“創建成員服務器基線”，以便充分理解同樣包括在DCBP中的許多設置。本章僅僅討論那些沒有包括在MSBP中的DCBP設置。

　　域控制器模板專門設計用來滿足本指南所定義三種環境的安全需要。下表顯示了包括在本指南中的域控制器.inf 文件以及這些環境相互之間的關系。例如，文件Enterprise Client – Domain Controller.inf是企業客戶機環境下的安全性模板。

　　表 4.1: 域控制器基線安全性模板

 

　　注意：將一個配置不正確的組策略對象鏈接到Domain Controllers OU（域控制器組織單位）可能會嚴重阻礙域的正常操作。在導入這些安全性模板時應當十分小心，在將GPO到鏈接到Domain Controllers OU之前，應該確認導入的所有設置都是正確的。

　　審核策略設置

　　域控制器的審核策略設置與在MSBP中所指定的一樣。要了解更多信息，請參看第3章“創建成員服務器基線”。DCBP中的基線策略確保了所有相關的安全性審核信息都記錄在域控制器中。

　　用戶權限分配

　　DCBP為域控制器指定了許多用戶權限的分配方法。除了缺省設置之外，在本指南定義的三種環境下，您可以修改其它 7 種用戶權限以強化域控制器的安全性。

　　該部分詳細介紹了DCBP 規定的用戶權限設置，這些設置不同于MSBP中的相應設置。關于該部分規定設置的總結信息，請參看包括在本指南中的“Windows Server 2003安全指南設置” Excel 工作簿。

　　從網絡訪問您的計算機

　　表4.2: 設置

 

　　“從網絡訪問該計算機”用戶權限確定哪些用戶和組能夠通過網絡連接到該計算機。許多網絡協議都要求該用戶權限，包括基于服務器信息塊（SMB）的協議、網絡基本輸入/輸出系統（NetBIOS）、通用互聯網文件系統（CIFS）、超級文本傳輸協議（HTTP）以及COM+等。

　　在Windows Server 2003中，盡管您可以為“Everyone”（所有人）安全組授予權限，并不再接受匿名用戶的訪問，但是“Guest”組和賬戶仍然可以通過“Everyone”安全組訪問。因此，本指南推薦在高安全性環境下，從“從網絡訪問該計算機”中刪除“Everyone”安全組，以便進一步防范利用Guest 帳戶對域發起的攻擊。

　　向域中添加工作站

　　表4.3: 設置

 

　　“向域中添加工作站”權限允許用戶向指定的域中添加一臺計算機。如果希望該權限生效，它必須作為域的缺省域控制器策略的一部分分配給用戶。被授予了該權限的用戶可以向域中添加10個工作站。被授予了為OU或 Active Directory 的計算機容器“創建計算機對象”權限的用戶，也可以向域中加入計算機。被授予了該權限的用戶可以無限制地向域中添加計算機，無論他們是否被分配了“向域中添加工作站”用戶權限。

　　缺省情況下，“Authenticated Users”（經過身份驗證的用戶）用戶組具有向 Active Directory 域中添加10個計算機賬戶的能力。這些新計算機賬戶在計算機容器中創建。

　　在一個 Active Directory 域中，每個計算機賬戶都是一個完整的安全性主體，擁有認證和訪問域資源的能力。有些組織希望限制一個 Active Directory 環境中的計算機數量，以便可以持續地跟蹤、構建和管理它們。

　　允許用戶向域中添加工作站則會妨礙這項工作。而且，這樣做還會為用戶執行更加難以跟蹤的行為提供了方便，因為他們可能創建了其他未經授權的域計算機。

　　因此，在本指南定義的三種環境下，“向域中添加工作站”用戶權限僅僅授予Administrators 組。

　　允許從本地登錄

　　表4.4: 設置

 

　　“允許本地登錄”用戶權限允許用戶在計算機上開啟一個交互式的會話。如果用戶不具備該權限，但擁有“允許通過終端服務登錄”權限，他仍然能夠在計算機上開啟一個遠程的交互式會話。

　　通過對可以登錄到域控制器控制臺的賬戶加以限制，有助于防止對域控制器文件系統和系統服務進行未授權的訪問。能夠登錄到域控制器控制臺的用戶可能惡意地利用該系統，并且可能破壞整個域和森林的安全性。

　　缺省情況下， Account Operators、Backup Operators、Print Operators和Server Operators 組被授予了從本地登錄域控制器的權限。但是這些組中的用戶不必登錄到一臺域控制器上完成其管理任務。這些組中的用戶通常可以從其它工作站完成其職責。只有“Administrators”組中的用戶才必須在域控制器上登錄以完成其維護任務。

　　將該權限僅授予給“Administrators”組，可以將對域控制器的物理和交互式訪問限制在受高度信任的用戶，從而增強了安全性。因此，在本指南定義的三種環境下，將“允許從本地登錄”用戶權限僅授予給“Administrators”組。

　　允許通過終端服務登錄

　　表4.5: 設置

 

“通過終端服務登錄”權限允許用戶使用遠程桌面連接登錄到計算機上。

　　對通過終端服務登錄到域控制器控制臺的賬戶加以限制，有助于防止對域控制器文件系統和系統服務的未經授權訪問。能夠通過終端服務登錄到域控制器控制臺的用戶可以對該系統進行利用，并且可能破壞整個域或森林的安全性。

　　通過將該權限僅授予給 Administrators 組，可以將對域控制器的交互訪問權限制在高度信任的用戶中，從而增強了系統的安全性。因此，在本指南所定義的三種環境下，“允許通過終端服務訪問”僅授予給 Administrators 組。盡管在缺省情況下，通過終端服務登錄到一臺域控制器要求用戶具有管理員訪問權限，但配置該用戶權限有助于防止那些可能破壞該限制的無意或有意行為。

　　作為一種高級的安全性措施，DCBP 禁止使用缺省的 Administrator 賬戶通過終端服務登錄到域控制器。該設置還可阻止惡意用戶企圖使用缺省的 Administrator 賬戶遠程強行登錄到一臺域控制器。要了解該設置的詳細信息，請參看第3章“創建成員服務器基線”。

　　改變系統時間

　　表 4.6: 設置

 

　　“改變系統時間”權限允許用戶調整計算機內部時鐘的時間。該權限對于改變時區或系統時間的其他顯示特征不是必需的。

　　系統時間保持同步對于 Active Directory 的運行至關重要。正確的 Active Directory 復制和KerberosV5身份驗證協議使用的身份驗證票據生成過程要依賴于整個環境中的時間同步。

　　如果在環境中，一臺域控制器配置的系統時間與另一臺域控制器配置的系統時間不同步，則可能妨礙域服務的操作。僅允許管理員改變系統時間可以將域控制器被配置為錯誤系統時間的可能性降至最小。

　　缺省情況下， Server Operators　組被授予了改變域控制器系統時間的權限。由于這個組的成員可能會不正確地更改域控制器系統時間，該用戶權限在DCBP中進行了配置，以便在本指南定義的三種環境下，只有 Administrators 組有權改變系統時間。

　　要了解關于Microsoft Windows? 時間服務（Microsoft Windows? Time Service）的更多信息，請參考知識庫文章Q224799，“Windows Time Service 的基本操作”：http://support.microsoft.com/default.aspx?scid=224799，以及Q216734，“如何在Windows 2000中配置一臺權威的時間服務器”：http://support.microsoft.com/default.aspx?scid=216734.

　　為委派啟用受信任的計算機和用戶帳戶

　　表 4.7：設置

 

　　“為委派啟用受信任的計算機和用戶賬戶”權限允許用戶在 Active Directory 中的一個用戶和計算機對象上改變 “允許委派”（Trusted for Delegation）設置。身份驗證委派是由多層客戶/服務器應用程序所使用的一種功能。它允許前端服務在驗證一項后端服務時使用客戶機的信任憑據。要使這項操作成立，客戶機和服務器都必須運行在允許接收委派的賬戶下。

　　對該權限的誤用可能會導致未經授權的用戶假裝網絡中的其他用戶。攻擊者可以利用該權限假扮其他用戶訪問網絡資源，這使得在安全事件出現之后，確定事件原因的工作變得更加困難。

　　本指南推薦將“為委派啟用受信任的計算機和用戶賬戶”權限分配給域控制器中的Administrators 組。

　　注意：盡管缺省的域控制器策略將該權限分配給管理員組，但DCBP之所以在高安全性環境下加強了該項權限設置是因為它最初是建立在MSBP基礎上的，而MSBP給該權限分配了一個NULL值。

　　安裝和卸載設備驅動程序

　　表4.8: 設置

 

　　“安裝和卸載設備驅動程序”權限決定了哪些用戶有權安裝和卸載設備驅動程序。該權限對于安裝和卸載即插即用設備是必需的。

　　不恰當地在域控制器上安裝和卸載設備驅動程序可能會對其運行帶來不利影響。將有權安裝和卸載設備驅動程序的帳戶限制在最可信任的用戶中，可以降低因為設備驅動程序被誤用而破壞域控制器的可能性。

　　缺省情況下，“Print Operators”組被授予了該權限。正如早先提到的，我們不推薦在域控制器中創建打印機共享。這樣，打印操作員就無需獲得安裝和卸載設備驅動程序的權限。因此，在本指南定義的三種環境下，該權限僅被授予給“Administrators”組。

　　恢復文件及目錄

　　表4.9: 設置

 

　　“恢復文件和目錄”用戶權限允許用戶在恢復備份的文件或文件夾時，避開文件和目錄的許可權限，并且作為對象的所有者設置任何有效的安全主體。

　　如果允許某個用戶賬戶將文件和目錄恢復到域控制器的文件系統中，賬戶所有者將獲得輕松修改服務可執行程序的能力。利用該權限提供的訪問權限，惡意用戶既可能致使一臺域控制器癱瘓，也可能破壞整個域或整個森林的安全性。

　　缺省情況下，Server Operators 和Backup Operators 組被授予了該權限。將該用戶權限從這些組中清除，并且僅授予給 Administrators 組，可以減少由于不正確地改變文件系統而導致域控制器被破壞的可能性。因此，在本指南所定義的三種環境下，該權限僅授予給 Administrators 組。

　　關閉系統

　　表 4.10: 設置

 

　　“關閉系統”權限允許用戶關閉本地計算機。具有關閉域控制器能力的惡意用戶能夠輕易地發動拒絕服務（DoS）攻擊，這將嚴重地影響整個域或森林的安全性。

　　而且，當域控制器系統賬戶重新啟動服務時，該用戶權限可被利用來發起權限提升攻擊。如果對域控制器的特權提升攻擊成功，那將破壞域或者整個森林的安全性。

　　缺省情況下， Administrators、Server Operators、Print Operators 和 Backup Operators 組被授予了關閉域控制器的權限。為確保環境的安全，除了Administrators組之外，其他組完成管理工作都無需該權限。因此，在本指南定義的三種環境下，只有Administrators 組被授予了本權限。

　　安全選項

　　域控制器的大多數安全選項設置與在MSBP中指定的相同。要了解更多信息，請參看第3章“創建成員服務器基線”。下面的部分介紹MSBP和DCBP之間的不同。

　　網絡安全：在下一次修改密碼時不存儲LAN Manager散列值

　　表4.11: 設置

 

　　“網絡安全：在下一次修改密碼時不存儲LAN Manager 散列值” 安全選項設置決定了當管理員改變密碼時，是否存儲新密碼的LAN Manager （LM））散列值。與更為牢固的Windows NT? 口令散列相比，LM相對較弱而且易受攻擊。因此，在本指南所定義的三種環境下，MSBP啟用了本設置。

　　在企業客戶機和高安全性環境下，DCBP啟用域控制器上的此設置，而在舊有客戶機環境下則禁用此設置。如果在舊有客戶機環境下該設置被啟用，當改變密碼之后，Windows 98客戶機將無法登錄。

　　注意：當該設置被激活時，舊有操作系統以及某些第三方應用軟件將無法使用。而且，啟用此設置將要求所有的賬戶都必須改變其密碼。

　　事件日志設置

　　域控制器的事件日志設置與在MSBP中指定的設置相同。要了解更多信息，請參看第3章，“創建成員服務器基線。”DCBP中的基線組策略設置確保了所有的相關安全審核信息都被記錄在域控制器上，其中包括目錄服務訪問信息。

　　系統服務

　　在所有的Windows Server 2003域控制器上，下面的系統服務必須被啟用。DCBP中的基線策略設置可確保所有的系統服務跨越不同的域控制器實現統一配置。

　　本部分詳細介紹了DCBP規定的系統服務設置，這些設置與MSBP中所規定的不同。關于這部分規定設置的總結信息，請參考包括在本指南中的“Windows Server 2003安全性指南設置”Excel工作簿。

　　注意：如果您從Windows Server 2003 支持工具（Windows Server 2003 Support Tools）中運行DCDiag.exe，它將檢查所有在您所在環境中的域控制器上運行的服務。由于某些服務在域控制器基線策略中被禁用，DCDiag.exe將會報告錯誤——這些服務包括IISADMIN， SMTPSVC，以及 TrkSvr。這些信息并不表明您的配置存在問題。

　　分布式文件系統

　　表 4.12:設置

 

　　“分布式文件系統（DFS）”服務將完全不同的文件共享分配和集成到一個單一的邏輯名字空間。該服務管理跨越局域網或廣域網（LAN）進行分布的邏輯卷，而且是 Active Directory 邏輯卷（SYSVOL）共享所必需的。SYSVOL復制依賴于DFS的正確運行。

　　使用組策略，將服務的開始模式設置配置為僅僅允許服務器管理員進行訪問，，從而防止服務被未經授權或惡意的用戶所配置或操作。該組策略還可防止管理員無意禁用該服務。因此，在本指南所定義的三種環境下，該服務在DCBP中配置為自動開始。

 

　　“DNS服務器”服務解析用戶的DNS（域名系統）查詢，并且處理對DNS名稱的更新請求。對于在 Active Directory 中用DNS名稱和域控制器進行身份識別的設備，“DNS服務器” 是定位這些設備的關鍵服務。

　　Active Directory 的可靠性和可用性強烈依賴于“DNS服務器”服務的正確操作。沒有DNS，域控制器之間將無法互相定位對方以復制目錄信息，客戶機也無法訪問域控制器進行身份驗證。

　　使用組策略，將服務的開始模式設置配置為僅僅允許服務器管理員進行訪問，，從而防止服務被未經授權或惡意的用戶所配置或操作。該組策略還可防止管理員無意禁用該服務。因此，在本指南所定義的三種環境下，該服務在DCBP中配置為自動開始。

　　文件復制

　　表4.14: 設置

 

　　“文件復制”服務允許文件被自動拷貝到多臺服務器上，并且同時獲得維護。文件復制服務（FRS）是Windows 2000以及 Windows Server?家族中的自動文件服務。該服務將SYSVOL復制到所有的域控制器上，并且可以被配置為在與容錯DFS相關聯的其他目標上復制文件。SYSVOL復制同樣依賴于 “文件復制服務”的正確操作。

　　您可以通過組策略，將服務的開始模式設置配置為僅僅允許服務器管理員進行訪問，，從而防止服務被未經授權或惡意的用戶所配置或操作。該組策略還可防止管理員無意禁用該服務。因此，在本指南所定義的三種環境下，該服務在DCBP中配置為自動開始。

　　站點間消息

　　表 4.15:設置

 

　　“站點間消息”（Intersite Messaging，ISM）使得消息能夠在運行Windows Server站點的計算機之間進行交換。站點之間使用該服務進行基于郵件的復制操作。 Active Directory 能夠使用簡單郵件傳輸協議（SMTP）在站點之間進行復制。對SMTP的支持由SMTP服務提供，該服務是Microsoft Internet信息服務（IIS）的一個組件。

　　在站點間進行通信的傳輸集合必須是可擴展的；因此，每個傳輸在一個單獨的附加動態鏈接庫（DLL）中定義。這些附加的DLL被裝載到ISM服務中，該服務運行在可能執行站點間通信的所有域控制器上。ISM服務將消息的收發請求定向到一個相應的傳輸附加DLL，然后將消息發送到目的計算機的ISM服務上。 Active Directory 的復制依賴于正確運行的“站點間消息”服務。

　　您可以通過組策略，將服務的開始模式設置配置為僅僅允許服務器管理員進行訪問，，從而防止服務被未經授權或惡意的用戶所配置或操作。該組策略還可防止管理員無意禁用該服務。因此，在本指南所定義的三種環境下，該服務在DCBP中配置為自動開始。

　　Kerberos密鑰分配中心

　　表 4.16: 設置

 

　　“Kerberos密鑰分配中心”（Kerberos Key Distribution Center ，KDC）服務讓用戶可以通過Kerberos v5身份驗證協議登錄到網絡。

　　KDC服務是用戶登錄到網絡所必需的服務。禁用該服務將阻止用戶登錄到網絡。

　　使用組策略，將服務的開始模式設置配置為僅僅允許服務器管理員進行訪問，從而防止服務被未經授權或惡意的用戶所配置或操作。該組策略還可防止管理員無意禁用該服務。因此，在本指南所定義的三種環境下，該服務在DCBP中配置為自動開始。

　　遠程過程調用（RPC）定位器

　　表4.17: 設置

 

　　“遠程過程調用（RPC）定位器”（Remote Procedure Call Locator）服務使得使用RpcNs* 應用程序編程接口（API）的RPC客戶機能夠定位RPC服務器，并且對RPC名稱服務數據庫進行管理。

　　停止和禁用該服務可以防止使用RpcNs* API的RPC客戶機定位服務器或無法啟動。同樣，來自同一計算機、依賴RpcNs* API的RPC客戶可能找不到支持相應接口的RPC服務器。如果在您的域控制器上停止或禁用該服務，可能導致在定位客戶機時，使用RpcNs* API和域控制器的RPC客戶機出現服務中斷。

　　您可以使用組策略，將服務的開始模式設置配置為僅僅允許服務器管理員進行訪問，，從而防止服務被未經授權或惡意的用戶所配置或操作。該組策略還可防止管理員無意禁用該服務。因此，在本指南所定義的三種環境下，該服務在DCBP中配置為自動開始。

　　其他安全性設置

　　該部分描述必須對DCBP進行的手動修改，以及其他不能通過組策略完成的設置和對策。

　　向用戶權限分配手動添加唯一的安全組

　　大多數通過DCBP應用的用戶權限分配都已經在本指南附帶的安全性模板中進行了適當的指定。但是，有些賬戶和安全組不能被包含在模板中，因為它們的安全標識（SID）對于單個的Windows 2003域是特定的。下面介紹了必須手動配置的用戶權限。

　　警告：下表包含了內置的Administrator賬戶。不要將該賬戶與內置的Administrators安全組混淆。如果Administrators安全組被添加了以下任何一個拒絕訪問用戶權限，為了更正該錯誤，您必須從本地登錄。

　　此外，基于第3章“創建成員服務器基線”中的某些推薦，內置管理員賬戶可能已經被重命名。當添加Administrator賬戶時，請確信添加的是經過了重命名的賬戶。

　　表 4.18: 手動分配用戶權限

 

　　警告：所有非操作系統服務賬戶包括整個企業范圍內用于特定應用程序的服務賬戶。這不包括操作系統使用的內置賬戶：本地系統（LOCAL SYSTEM），本地服務（LOCAL SERVICE）或網絡服務（NETWORK SERVICE）賬戶。

　　目錄服務

　　運行Windows Server 2003的域控制器存儲目錄數據并且管理用戶和域之間的交互過程，包括用戶登錄過程，身份驗證以及目錄搜索。

　　重新部署數據 ― Active Directory 數據庫和日志文件

　　保護 Active Directory 數據庫和日志文件的安全對于維護目錄集成和系統可靠性非常重要。

　　如果一臺域控制器被破壞，將ntds.dit、edb.log和temp.edb等文件從缺省位置移動到其它位置將有助于防止它們遭受攻擊。而且，將這些文件從系統卷中轉移到一個獨立的物理磁盤卷可提高域控制器的性能。

　　因此，本指南建議：在本指南定義的三種環境下，將域控制器的 Active Directory 和日志文件從系統卷的缺省位置轉移到一個非系統卷的條帶或條帶/鏡像磁盤卷。

　　改變 Active Directory 日志文件大小

　　您應該確保環境中有足夠的域控制器信息被記錄和維護，這對于有效監視和維持 Active Directory 的完整性、可靠性和可用性非常重要。

　　您可以提高日志文件大小的上限，以便在遭受電腦黑客攻擊時，為管理員提供充足的必要信息來完成審核。

　　因此，本指南建議：在本指南定義的三種環境下，將域控制器上目錄服務（Directory Service）和文件復制服務（File Replication Service）的日志文件大小的最大值從缺省的512KB增加到16MB。

　　使用Syskey

　　在域控制器上，密碼信息被存儲在目錄服務中，他人可以針對安全賬戶管理（SAM）數據庫或目錄服務使用密碼破解軟件以獲取用戶賬戶的密碼，這種情況經常出現。

　　Syskey的使用為抵御離線密碼破解軟件提供了一道附加防線。Syskey使用了高級加密技術來保護存儲在目錄服務中的密碼信息的安全。

　　表4.19: Syskey模式

 

　　在模式1（模糊密鑰）中的所有Windows Server 2003服務器上，Syskey被啟用。對于暴露于物理安全威脅之下的任何域控制器，我們有充分的理由推薦您使用模式2（控制臺密碼）或模式3（軟盤存儲Syskey密碼）中的Syskey。

　　從安全的角度而言，首先這樣似乎更明智，因為如果攻擊者能夠以物理方式訪問到計算機，那么域控制器很容易被重新啟動。模式1的Syskey使得攻擊者能夠讀取和改變目錄的內容。

　　然而，Syskey的模式 2 和模式 3 難以支持通過重新啟動讓域控制器恢復正常運行的操作要求。為了利用這些Syskey 模式提供的額外保護，必須在您的環境中執行適當的操作過程，以滿足域控制器的特定可用性需求。

　　Syskey密碼或軟盤管理的后勤工作可能會十分復雜，尤其是在分支辦公室。例如，要求一位部門經理或本地管理職員凌晨三點來到辦公室輸入密碼，或者插入軟盤以便讓其他用戶能夠訪問系統，這顯然很費事，而且使得旨在實現高可用性的服務水平協議（SLA）的實施變得十分困難。

　　作為可選方案，要讓您處于中央位置的IT操作人員遠程提供Syskey 密碼則需要附加的硬件 設備—— 有些硬件廠商可以為遠程訪問服務器控制臺提供加載項解決方案。

　　最后，Syskey 密碼或軟盤的丟失將使得您的域控制器無法重新啟動。如果Syskey 密碼或軟盤丟失，將沒有任何能夠恢復域控制器的方法。如果出現這種情況，您必須重新安裝域控制器。

　　但是，通過使用適當的操作步驟，Syskey可提供一種高級的安全性，以便保護在域控制器中發現的敏感目錄信息。

　　因此，如果域控制器所處的位置在物理訪問方面沒有安全性問題，我們建議您使用Syskey的模式 2 或模式 3。對于本指南所定義的任何三種環境下的域控制器，該建議同樣適用。

　　創建或更新系統密鑰：

　　1.點擊“開始”菜單，點擊“運行”，輸入“syskey”，然后點擊“確定”。

　　2.點擊“啟用加密”（Encryption Enabled），然后點擊“更新”（Update）。

　　3.選擇希望的選項，然后點擊“確定”。

　　與DNS集成的 Active Directory

　　Microsoft 建議您在本指南定義的三種環境下，使用與DNS集成的 Active Directory ，部分原因在于：將這些區域集成到 Active Directory中可以簡化保護DNS基礎結構安全的過程。

　　保護 DNS 服務器

　　保護DNS服務器的安全對于包含 Active Directory 的任何環境都很重要。下面提供了一些有關保護DNS安全的建議和解釋。

　　當DNS服務器遭受攻擊時，攻擊者的一個可能的目標就是控制對DNS客戶查詢做出響應的DNS返回信息。這樣，客戶信息便有可能會被誤導到未經授權的計算機。IP欺騙和DNS緩存破壞就是這種攻擊方式的一些例子。

　　對于IP欺騙，它利用一個授權用戶的IP地址以獲得對計算機或網絡的訪問。緩存破壞是指一臺未經授權的主機將有關另一臺主機的錯誤信息發送到DNS服務器的緩存中。攻擊結果將導致客戶機信息被錯誤地發送到未經授權的計算機。

　　一旦客戶機無意中與未經授權的計算機開始通信，這些計算機便可能企圖訪問存儲在客戶計算機上的信息。

　　不是所有的攻擊都集中在對DNS服務器的欺騙上。有些DoS攻擊可能會改變合法DNS服務器上的記錄，使其提供無效地址作為對客戶查詢的回應。由于服務器提供的地址是無效的，客戶機和服務器便不能定位它們需要的資源，例如域控制器、Web服務器或者文件共享。

　　因此，本指南建議您對在這三種環境下使用的路由器進行配置，截取欺騙性質的IP數據包以確保DNS服務器的IP地址不被其他計算機所蒙騙。

　　配置安全的動態更新

　　Windows Server 2003 DNS客戶機服務支持動態的DNS更新，這使得客戶系統能夠直接向數據庫中添加DNS記錄。如果服務器被配置為可接收不安全的更新信息，而攻擊者使用了一臺支持DDNS協議的客戶機，動態DNS服務器便有可能從這臺客戶機接收惡意或未經授權的更新信息。

　　至少，攻擊者可能向DNS數據庫中增加偽造的項目；在最壞的情形下，攻擊者可能覆蓋或刪除DNS服務器的合法項目。這種攻擊可能導致下述情形：

　　將客戶機引向未經授權的域控制器：當一臺客戶機提交一個DNS查詢，請求查找域控制器地址時，一臺被愚騙的DNS服務器可能會返回一臺未經授權服務器的地址。然后，通過使用其它和DNS無關的攻擊手段，客戶機可能被錯誤地向一臺虛假的服務器發送安全信息。

　　以無效地址響應DNS查詢：這使得客戶機和服務器互相不能定位。如果客戶機不能定位服務器，它們將無法訪問目錄。當域控制器無法定位其他域控制器時，目錄復制將終止，從而產生一種能夠通過森林影響用戶的DoS情形。

　　導致一種DoS攻擊，服務器磁盤空間可能被一個填滿虛假記錄的巨大區域文件耗盡，或者由于增加了大量的記錄項目而降低復制速度。

　　使用安全的DDNS更新可以保證：只有當注冊請求來自于 Active Directory 森林中的有效客戶機時，請求才會獲得處理。這大大限制了攻擊者破壞DNS服務器完整性的機會。

　　因此，本指南推薦在其定義的三種環境下，將DNS服務器配置為僅接受安全的動態更新。

　　限制到授權系統的區域傳送

　　由于區域（zone）在DNS中的重要角色，應當可以從網絡中多臺DNS服務器中訪問它們，以便在解析名稱查詢時能夠提供足夠的可用性和容錯能力。否則，如果名稱查詢被發送給區域中僅有的一臺服務器并且該服務器沒有響應，解析過程將失敗。如果希望使用更多的服務器來托管一個區域，需要使用區域傳輸對配置為該區域宿主的每一臺服務器上的區域副本進行復制和同步。

　　而且，如果沒有在DNS服務器上對誰可以請求區域傳輸進行配置，則很容易將整個DNS區域傳輸給任何請求者。這一目的可以很容易地通過使用諸如nslookup.exe這樣的工具來實現。這些工具可以暴露整個域的DNS數據集，其中包括以下信息：哪些主機被用作域控制器、目錄集成的Web服務器、或者Microsoft SQL Server? 2000數據庫。

　　因此，本指南推薦，在其定義的三種環境下，將集成DNS服務器的 Active Directory 配置為允許區域傳輸，但是將其限制在可以發出傳輸請求的系統中。

　　改變事件日志和DNS服務日志的大小

　　您應該確保環境中有足夠的域控制器信息被記錄和維護，這對于有效監視DNS服務至關重要。

　　您可以增大DNS服務日志文件大小的最大值，以便在遭受攻擊時，為管理員提供充足的必要信息來完成審核。

　　因此，本指南推薦在其定義的三種環境下，將域控制器中DNS服務日志文件的最大值至少配置為16MB，并且確保DNS服務中“必要時覆蓋事件”（Overwrite events as needed）選項被選中，以便盡可能多地保存日志信息。

　　保護眾所周知賬戶的安全

　　Windows Server 2003擁有許多內置的用戶賬戶，這些賬戶不能被刪除，但可以重命名。Windows Server 2003中兩個最常見的內置賬戶是 Guest 和 Administrator。

　　缺省情況下，在成員服務器和域控制器上的 Guest 賬戶被禁用。請不要改變該設置。內置的 Administrator 賬戶應當被重命名，而且改變描述以幫助防止攻擊者使用該賬戶破壞遠程服務器。

　　許多惡意代碼的變種企圖使用內置的管理員賬戶來破壞一臺服務器。在近幾年來，進行上述重命名配置的意義已經大大降低了，因為出現了很多新的攻擊工具，這些工具企圖通過指定內置 Administrator 賬戶的安全標識（SID）來確定該帳戶的真實姓名，從而侵占服務器。SID是唯一能確定網絡中每個用戶、組、計算機賬戶以及登錄會話的值。改變內置賬戶的SID是不可能的。您可以將本地管理員賬戶改變為唯一的名稱，以方便您的操作人員監視對該賬戶的攻擊企圖。

　　完成以下步驟以保護域和服務器中眾所周知賬戶的安全：

　　1. 重命名Administrator和Guest賬戶，并且將每個域和服務器上的密碼更改為長而復雜的值。

　　2. 在每個服務器上使用不同的名稱和密碼。如果在所有的域和服務器上使用相同的賬戶名和密碼，攻擊者只須獲得對一臺成員服務器的訪問，就能夠訪問所有其他具有相同賬戶名和密碼的服務器。

　　3. 改變缺省的賬戶描述，以幫助防止賬戶被輕易識別。

　　4. 將這些變化記錄一個安全的位置。

　　注意：內置的管理員賬戶可以通過組策略重命名。該設置沒有在DCBP中配置，因為您必須為您的環境選擇一個唯一的名字。在本指南定義的三種環境下，“賬戶：重命名管理員賬戶”可以被配置為重命名管理員賬戶。該設置是GPO安全選項設置的一部分。

　　保護服務賬戶的安全

　　除非絕對必要，否則不要將一種服務配置為在域賬戶的安全上下文中運行。如果服務器的物理安全受到破壞，域賬戶密碼可以很容易通過轉儲本地安全性授權（LSA）秘文而獲得。

　　終端服務設置

　　表 4.20:設置

 

　　“設置客戶機連接加密等級”用來確定在您的環境中終端服務客戶機連接的加密等級。您可以使用128位加密的“高等級”（High Level）設置防止攻擊者利用數據包分析器竊聽終端服務的會話。有些終端客戶機的舊版本不支持這種高等級加密。如果您的網絡包含這種服務，請將連接的加密等級設置為：使用客戶機所支持的最高加密等級來發送和接收數據。

　　在組策略對象編輯器（Group Policy Object Editor）中配置該設置的路徑為：

　　Computer ConfigurationAdministrative TemplatesWindows ComponentsTerminal ServicesEncryption and Security.

　　我們提供了三種加密等級

　　表4.21: 終端服務加密等級

 

錯誤報告

　　表4.22: 設置

 

　　“錯誤報告”服務可以幫助Microsoft 跟蹤和查找錯誤。您可以將該服務配置為給操作系統錯誤、Windows組件錯誤或程序錯誤生成報告。“錯誤報告”服務將這些錯誤通過Internet報告給Microsoft，或者報告給內部企業文件共享。

　　只有在Microsoft Windows? XP Professional和Windows Server 2003上可獲得該設置。在組策略對象編輯器中配置該設置的路徑為：

　　Computer ConfigurationAdministrative TemplatesSystemError Reporting

　　錯誤報告可能包含敏感的（甚至是保密的）企業數據。Microsoft 關于錯誤報告的隱私政策保證 Microsoft 不會不適當地使用這些數據。但是，由于這些數據使用明文形式的超級文本傳輸協議（HTTP）傳送，它有可能被因特網上的第三方截獲或者查看。因此，本指南建議在指南定義的三種安全環境下，在DCBP中將“ 錯誤報告 ”設置配置為“禁用”。

　　用IPSec過濾器阻斷端口

　　Internet協議安全性（IPSec）過濾器可為增強服務器所需要的安全級別提供有效的方法。本指南推薦在其定義的高安全性環境中使用該選項，以便進一步減少服務器的攻擊表面。

　　要了解關于IPSec過濾器使用的更多信息，請參看“威脅與對策：Windows Server 2003和Windows XP中的安全性設置 ”的第11章 “其它服務器的強化程序”。

　　下表列舉了在本指南定義的高安全性環境下，可以在域控制器上創建的IPSec過濾器。

　　下表列舉了在本指南定義的高安全性環境下，應該在域控制器上創建的IPSec過濾器。

　　表4.23: 域控制器IPSec過濾器網絡流量圖

 

　　在執行時上表所列舉的規則時，應當對其進行鏡像處理。這樣可以保證任何進入服務器的網絡流量也可以返回到源服務器。

　　上表表明了服務器要完成特定角色的功能所應打開的基本端口。如果服務器擁有一個靜態IP地址，這些端口已經足夠。如果要提供附加功能，則可能需要打開附加端口。打開附加端口將使您的環境下的域控制器更容易管理，但是這也可能大大降低服務器的安全性。

　　您應當在域控制器上使用編號為Q224196的知識庫文章“將Active Directory復制流量限制在特定端口上”（http://support.microsoft.com/default.aspx?scid=224196）所建議的數值。這確保了在特定端口上進行域的復制。這里再次需要從超過50 000個端口中任意選擇一個用于該目的。在上例中，端口57952被選中。您可以根據需要使用一個不同的端口，但是應當在所有將執行本指南的域控制器上均進行本修改。在知識庫文章所介紹的步驟被執行之后，服務器必須重新啟動以便讓其生效。

　　正如上表所示，如果環境中運行了Microsoft Operations Manager (MOM)，那么在執行了IPSec過濾器的服務器和MOM服務器之間，您應該允許傳輸所有的網絡通信。這是必需的，因為在MOM服務器和OnePoint 客戶端——向MOM控制臺提供報告的客戶應用程序——之間存在大量的交互過程。其他管理軟件也可能具有類似的需求。如果希望獲得更高級別的安全性，可將OnePoint 客戶的過濾動作配置就IPSec與MOM服務器進行協商。

　　該IPSec策略將有效地阻止通過任意高端口的通信，因此不允許遠程過程調用（RPC）進行通信。這可能使得服務器的管理變得很困難。由于許多端口已經被有效關閉，您可以啟用終端服務。以便管理員可以實現遠程管理。

　　上面的網絡流量圖假設環境中包含啟用了Active Directory 的DNS服務器。如果使用了獨立的DNS服務器，您可能需要使用附加規則。

　　IPSec策略的執行將不會對服務器的性能帶來明顯影響。但是，您應該在執行這些過濾器之前進行測試，以核實服務器保持了必要的功能和性能。您可能還需要添加一些附加規則以支持其他應用程序。

　　注意：域控制器是一個極端動態的環境，在其上執行IPSec過濾器時應仔細評估，并且應在一個實驗室環境下進行徹底測試。由于在域控制器之間存在大量的交互過程，您需要添加IPSec過濾器以允許相互復制信息的域控制器之間的所有通信。在存在許多域控制器的復雜環境下，這要求創建數十個附加的過濾器。這樣，過濾器才能有效地保護域控制器。但這將使得執行和管理IPSeC策略十分困難。但是，只擁有很少域控制器的環境可以有效利用IPSec過濾器并從中獲益。

　　本指南包括一個.cmd 文件，它簡化了依照指南要求為域控制器創建IPSec過濾器的過程。PacketFilters-DC.cmd 文件使用NETSH命令來創建相應過濾器。您應當修改該.cmd 文件，讓其中包含您所在環境中的域控制器的IP地址。腳本中包含兩個占位符，這是為將被增加的兩個域控制器IP地址所預留的。如果需要，您可以添加其它域控制器。這些域控制器的IP地址列表應當是最新的。

　　如果環境中有MOM，應當在腳本中指定相應 MOM 服務器的IP地址。該腳本不會創建永久性的過濾器。因此，直到IPSec Policy Agent（IPSec策略代理）被啟動時，服務器才會獲得保護。要了解關于建立永久過濾器或創建更高級IPSec過濾器腳本的信息，請參看本指南的姐妹篇“威脅與對策：Windows Server 2003和Windows XP中的安全性設置”中的第11章“其它成員服務器的強化程序”。最后，該腳本被配置為不分配其創建的IPSec策略。IP安全性策略管理單元可用來檢查所創建的IPSec過濾器，并且分配IPSec策略以便讓其生效。

　　總結

　　本章解釋了在本指南定義的三種環境下保護域控制器安全所必需的服務器強化設置。這里討論的大多數設置通過組策略加以配置和應用。您可以將對缺省域控制器策略（Default Domain Controller Policy）起到補充作用的組策略對象（Group Policy object ，GPO）鏈接到Domain Controllers OU（域控制器組織單元）。包括在域控制器基線策略（DCBP）中的設置可強化任何環境下的所有域控制器的總體安全性。通過使用兩個GPO來確保域控制器的安全性，您可以保護缺省環境并且簡化故障排除工作。

　　有些服務器強化設置不能通過組策略來應用。對于這種情形，本章提供了關于手動配置這些設置的詳細方法。在介紹了如何保護域控制器的安全性后，本指南下面的章節將關注其它幾種專用服務器角色的安全性強化措施。

關鍵字：域控制器、服務器、策略

【 頂部 】 【 關閉 】