域控制器,正如其名,它具有對整個Windows域以及域中的所有計算機的管理權限。因此你必須花費更多的精力來確保域控制器的安全,並保持其安全性。本文將帶您了解一些在域控制器上應該部署的安全措施。
域控制器的物理安全
第一步(也是常常被忽視的一步)就是要保障你的域控制器的物理安全。也就是說,你應該將服務器放在一間帶鎖的房間,並且嚴格的審核和記錄該房間的訪問情況。不要有“隱蔽起來就具有很好的安全性”這樣的觀點,錯誤地認為將這樣一台關鍵的服務器放在一個偏僻的地方而不加以任何保護,就可以抵御那些頑固的數據間諜和破壞分子的攻擊。
因為專門從事犯罪預防研究的警察告訴我們,我們是沒有辦法使自己的家,公司,汽車,當然也包括我們的服務器具有百分之百的安全性。安全措施並不能保證您的貴重物品不被那些“壞人”拿到,它只能增加他們獲取貴重物品的難度和困難度。如果您能讓他們的攻擊過程持續更長的時間,那麼他們放棄攻擊或停止嘗試,甚至將他們當場抓住的可能性都會大大增加。
物理安全之後,就應該部署多層防御計劃。帶鎖的服務器間只是第一層。這只能被認為是周邊安全,就像您院子周邊的籬笆或者您家房門的鎖。萬一周邊安全被突破,就應該為保護目標(此時即DC)進一步設置一些安全措施以保護它們。您可能會安裝安全警報系統,以便當您的籬笆或者門鎖遭到破壞的時候,通知您或者警察。同樣,您應該考慮在服務器間部署警報系統,當未授權用戶(他不知道解除警報系統的密碼)進入服務器間的時候,它就發出聲音警報。另外還可以考慮在門上安裝探測器,以及紅外探測器以防止通過門、窗及其他孔洞(我們強烈建議,盡可能得減少門、窗及孔洞的數量)的非法進入。
當您從裡至外的部署你的多層安全計劃時,您應該反復問自己一個問題“如果這個安全措施失效了怎麼辦?我們可以在入侵者的攻擊線路上部署哪些新的障礙?”就像您將自己的金錢和珠寶放在一個有籬笆的,帶鎖的,有警報系統保護的房間中,您也應該考慮服務器自身的安全。下面有一些准則:
移除所有的可移動存儲設備驅動器,如軟驅、光驅、外置硬盤、Zip驅動器、閃存驅動器等。這將增加入侵者向服務器上傳程序(如病毒)或下載數據的難度。如果您不使用這些設備,您也可以移除這些外部設備需要使用的端口(從BIOS中關閉或物理移除)。這些端口包括USB/IEEE 1394、串口、並口、SCSI接口等。
將機箱鎖好,以防止未授權用戶盜竊硬盤,或損壞機器組件。
將服務器放在密閉帶鎖的服務器機架中(確保提供良好的通風設備),電源設備最好也能設置在服務器機架中。以避免入侵者能夠方便的切斷電源或UPS從而干擾系統的電力供應。
防止域控制器的遠程入侵
如果您認為您的物理安全計劃已經足夠完美,那麼您就要將您的注意力轉移到防止黑客、駭客和攻擊者通過網絡訪問您的域控制器。當然,“最好的”方法是將域控制器從網絡中斷開,但是這樣,域控制器也就毫無用處了。因此,您要通過一些步驟,加固它們,以抵御一般的攻擊方法。
保障域賬號的安全
最簡單的(對於黑客來說),最讓人意想不到的,也是最常用的方法就是通過一個合法的賬號密碼,登陸系統,以獲得網絡和域控制器的訪問權限。
在一個典型的安裝中,黑客如想登陸系統,只需要兩個東西:一個合法賬號,以及它對應的密碼。如果您仍使用的是默認的管理員賬號——Administrator,這將使黑客的入侵容易很多。他需要做的只是收集一些信息。與其他賬號不同,這個默認的管理員賬號,不會因為多次失敗登陸而被鎖定。這也就意味著,黑客只要不停的猜測密碼(通過“暴力破解”的方法破解密碼),直到他拿到管理員權限。
這就是為什麼您應該做的第一件事就是把系統內置賬號改名。當然,如果您只是改名而忘記修改默認的描述(“計算機/域的內置管理賬號”)也沒有什麼意義。所以您要避免入侵者快速的找出擁有管理員權限的賬號。當然,請記住,您所做的措施都只能減慢入侵者。一個堅定的、有能力的黑客還是能夠繞過您的安全措施的(例如,管理員賬號的SID是不能更改的,它通常是以500結尾的。有一些黑客可以利用工具SID號來辨別出管理員的賬號)。
在Windows Server 2003中,完全的禁用內置管理員賬號成為可能。當然如果您想那樣做,必須要先創建另外的一個賬號,並賦予它管理員的權限。否則,您將發現您自己也無法執行某些特權任務了。當然內置的來賓賬號是應該被禁止的(默認就是如此)。如果一些用戶需要具有來賓的權限,為他創建一個名字沒那麼顯眼的新賬號,並限制它的訪問。
所有的賬號,特別是管理賬號都應該有一個強壯的密碼。一個強壯的密碼應該包含8位以上的字符,數字和符號,應該大小寫混排,而且不應該是字典中的單詞。用戶必須要注意,不要將他們的密碼用筆寫下來或者告訴其他人(社交工程術也是未授權取得訪問權限的常用方法)。還可以通過組策略來強制要求密碼在一定的基礎上進行變化。
重定向活動目錄數據庫
活動目錄的數據庫包含了大量的核心信息,是應該妥善保護的部分。方法之一就是將這些文件從被攻擊者熟知的默認位置(在系統卷中)轉移到其他位置。如果想進行更深入的保護,考慮把AD數據庫文件移動到一個有冗余或者鏡像的卷,以便磁盤發生錯誤的時候您還能恢復它。
活動目錄的數據庫文件包括:Ntds.dit;Edb.log;Temp.edb
附注:將活動目錄的數據庫文件移動到與系統卷不同的物理硬盤,也可以提高DC的系統性能。
您可以按照以下步驟,通過NTDSUTIL.EXE這個工具來轉移活動目錄的數據庫和日志文件:
1.重新啟動域控制器。
2.在啟動的時候按下F8鍵,以訪問高級選項菜單。
3.在菜單中選擇 目錄服務恢復模式。
4.如果您裝有一個以上的Windows Server 2003,選擇正確的那個,按回車鍵繼續。
5.在登陸提示的時候,使用當時您提升服務器時指定的活動目錄恢復賬號的用戶密碼登陸。
6.點擊 開始 | 運行,輸入CMD,運行命令提示行。
7.在命令提示行中,輸入NTDSUTIL.EXE,並執行。
8.在NTDSUTIL的提示行中,輸入FILES。
9.選擇你想要移動的數據庫或者日志文件,輸入MOVE DB TO或者MOVE LOGS TO。
10.輸入兩次QUIT,退出NTDSUTIL,返回到命令提示行,並關閉命令提示行窗口。
11.再次重新啟動域控制器,以正常模式進入Windows Server 2003。
使用Syskey保障密碼信息的安全
保存在活動目錄中的域賬號密碼信息是最為敏感的安全信息。系統密鑰(System Key - Syskey)就是用來加密保存在域控制器的目錄服務數據庫中的賬號密碼信息的。
Syskey一共有三種工作模式。模式一,就是所有Windows Server 2003中默認采用的,計算機隨機產生一個系統密鑰(system key),並將密鑰加密後保存在本地。在這種模式中,你可以像平時一樣的登錄本地計算機。
在模式二中,系統密鑰使用和模式一中同樣的生成方式和存儲方式,但是它使用一個由管理員指定的附加密碼以提供更進一步的安全性。當你重起電腦的時候,你必須在啟動的時候輸入管理員指定的附加密碼,這個密碼不保存在本地。
模式三是安全性最高的操作方法。計算機隨機產生的系統密鑰將被保存在一張軟盤上,而不是電腦本地。如果您沒有軟盤的物理訪問權限,並在系統提示時插入該軟盤,您就無法引導系統。
附注:在使用模式二和模式三之前,請先考慮他們相關的特性。例如,可能會需要管理員在本地插入含有syskey密碼的軟盤,這就意味著,您將無法不在服務器端插入軟盤就實現服務器遠程重啟。
您可以通過以下方法創建system key:
1.點擊 開始 | 運行,輸入CMD,運行命令提示行。
2.在命令提示行中,輸入SYSKEY,並執行。
3.點擊 UPDATE。選中ENCRYPTION ENABLED。
4.如果需要一個syskey的開始密碼,點擊PASSWORD STARTUP。
5.輸入一個強健的密碼(密碼可以含有12到128個字符)。
6.如果您不需要開始密碼,點擊 SYSTEM GENERATED PASSWORD。
7.默認的選項是STORE STARTUP KEY LOCALLY。如果您想要將密碼保存在軟盤中,選中STORE STARTUP KEY ON FLOOPY DISK。
如果您使用模式三,將密碼保存在軟盤中,請確保該軟盤有備份。
請注意,如果您遺失了密鑰軟盤,或者它受到了損害,亦或您遺忘了管理員指定的密碼,那麼您都無法恢復,只能重新安裝域控制器。
總結
保護您的域控制器是您網絡安全策略中的重要一步。在本文中,我們討論了如何保障域控制器的物理安全,如何保障域賬號的安全性,重定位活動目錄的數據庫文件,以及如何使用Syskey工具來保護存儲在域控制器中的賬號密碼信息。