很多人不知道域控制器是什麼東西,有什麼作用,其實這個東西的作用是很大的,雖說如此不過它如果不注意保護安全的話也是會受到病毒侵擾的,現在就給大家介紹介紹這個所謂的域控制器。域控制器,正如其名,它具有對整個Windows域以及域中的所有計算機的管理權限。因此你必須花費更多的精力來確保域控制器的安全,並保持其安全性。本文將帶您了解一些在域控制器上應該部署的安全措施。
域控制器的物理安全
第一步(也是常常被忽視的一步)就是要保障你的域控制器的物理安全。也就是說,你應該將服務器放在一間帶鎖的房間,並且嚴格的審核和記錄該房間的訪問情況。不要有“隱蔽起來就具有很好的安全性”這樣的觀點,錯誤地認為將這樣一台關鍵的服務器放在一個偏僻的地方而不加以任何保護,就可以抵御那些頑固的數據間諜和破壞分子的攻擊。
因為專門從事犯罪預防研究的警察告訴我們,我們是沒有辦法使自己的家,公司,汽車,當然也包括我們的服務器具有百分之百的安全性。安全措施並不能保證您的貴重物品不被那些“壞人”拿到,它只能增加他們獲取貴重物品的難度和困難度。如果您能讓他們的攻擊過程持續更長的時間,那麼他們放棄攻擊或停止嘗試,甚至將他們當場抓住的可能性都會大大增加。
物理安全之後,就應該部署多層防御計劃。帶鎖的服務器間只是第一層。這只能被認為是周邊安全,就像您院子周邊的籬笆或者您家房門的鎖。萬一周邊安全被突破,就應該為保護目標(此時即DC)進一步設置一些安全措施以保護它們。您可能會安裝安全警報系統,以便當您的籬笆或者門鎖遭到破壞的時候,通知您或者警察。同樣,您應該考慮在服務器間部署警報系統,當未授權用戶(他不知道解除警報系統的密碼)進入服務器間的時候,它就發出聲音警報。另外還可以考慮在門上安裝探測器,以及紅外探測器以防止通過門、窗及其他孔洞(我們強烈建議,盡可能得減少門、窗及孔洞的數量)的非法進入。
當您從裡至外的部署你的多層安全計劃時,您應該反復問自己一個問題“如果這個安全措施失效了怎麼辦?我們可以在入侵者的攻擊線路上部署哪些新的障礙?”就像您將自己的金錢和珠寶放在一個有籬笆的,帶鎖的,有警報系統保護的房間中,您也應該考慮服務器自身的安全。下面有一些准則:
移除所有的可移動存儲設備驅動器,如軟驅、光驅、外置硬盤、Zip驅動器、閃存驅動器等。這將增加入侵者向服務器上傳程序(如病毒)或下載數據的難度。如果您不使用這些設備,您也可以移除這些外部設備需要使用的端口(從BIOS中關閉或物理移除)。這些端口包括USB/IEEE 1394、串口、並口、SCSI接口等。
將機箱鎖好,以防止未授權用戶盜竊硬盤,或損壞機器組件。
將服務器放在密閉帶鎖的服務器機架中(確保提供良好的通風設備),電源設備最好也能設置在服務器機架中。以避免入侵者能夠方便的切斷電源或UPS從而干擾系統的電力供應。
防止域控制器的遠程入侵
如果您認為您的物理安全計劃已經足夠完美,那麼您就要將您的注意力轉移到防止黑客、駭客和攻擊者通過網絡訪問您的域控制器。當然,“最好的”方法是將域控制器從網絡中斷開,但是這樣,域控制器也就毫無用處了。因此,您要通過一些步驟,加固它們,以抵御一般的攻擊方法。
保障域賬號的安全
最簡單的(對於黑客來說),最讓人意想不到的,也是最常用的方法就是通過一個合法的賬號密碼,登陸系統,以獲得網絡和域控制器的訪問權限。
在一個典型的安裝中,黑客如想登陸系統,只需要兩個東西:一個合法賬號,以及它對應的密碼。如果您仍使用的是默認的管理員賬號——Administrator,這將使黑客的入侵容易很多。他需要做的只是收集一些信息。與其他賬號不同,這個默認的管理員賬號,不會因為多次失敗登陸而被鎖定。這也就意味著,黑客只要不停的猜測密碼(通過“暴力破解”的方法破解密碼),直到他拿到管理員權限。
這就是為什麼您應該做的第一件事就是把系統內置賬號改名。當然,如果您只是改名而忘記修改默認的描述(“計算機/域的內置管理賬號”)也沒有什麼意義。所以您要避免入侵者快速的找出擁有管理員權限的賬號。當然,請記住,您所做的措施都只能減慢入侵者。一個堅定的、有能力的黑客還是能夠繞過您的安全措施的(例如,管理員賬號的SID是不能更改的,它通常是以500結尾的。有一些黑客可以利用工具SID號來辨別出管理員的賬號)。