詳細解析關於域控制器的安全保障

不少人不知道域控制器是什麼東西，有什麼做用，其實這個東西的做用是很大的，雖然說如此不過它若是不注意保護安全的話也是會受到病毒侵擾的，如今就給你們介紹介紹這個所謂的域控制器。域控制器，正如其名，它具備對整個Windows域以及域中的全部計算機的管理權限。所以你必須花費更多的精力來確保域控制器的安全，並保持其安全性。本文將帶您瞭解一些在域控制器上應該部署的安全措施。
　　域控制器的物理安全
　　第一步(也是經常被忽視的一步)就是要保障你的域控制器的物理安全。也就是說，你應該將服務器放在一間帶鎖的房間，而且嚴格的審覈和記錄該房間的訪問狀況。不要有「隱蔽起來就具備很好的安全性」這樣的觀點，錯誤地認爲將這樣一臺關鍵的服務器放在一個偏僻的地方而不加以任何保護，就能夠抵禦那些頑固的數據間諜和破壞分子的攻擊。
　　由於專門從事犯罪預防研究的警察告訴咱們，咱們是沒有辦法使本身的家，公司，汽車，固然也包括咱們的服務器具備百分之百的安全性。安全措施並不能保證您的貴重物品不被那些「壞人」拿到，它只能增長他們獲取貴重物品的難度和困難度。若是您能讓他們的攻擊過程持續更長的時間，那麼他們放棄攻擊或中止嘗試，甚至將他們當場抓住的可能性都會大大增長。
　　物理安全以後，就應該部署多層防護計劃。帶鎖的服務器間只是第一層。這隻能被認爲是周邊安全，就像您院子周邊的籬笆或者您家房門的鎖。萬一周邊安全被突破，就應該爲保護目標(此時即DC)進一步設置一些安全措施以保護它們。您可能會安裝安全警報系統，以便當您的籬笆或者門鎖遭到破壞的時候，通知您或者警察。一樣，您應該考慮在服務器間部署警報系統，當未受權用戶(他不知道解除警報系統的密碼)進入服務器間的時候，它就發出聲音警報。另外還能夠考慮在門上安裝探測器，以及紅外探測器以防止經過門、窗及其餘孔洞(咱們強烈建議，儘量得減小門、窗及孔洞的數量)的非法進入。
　　當您從裏至外的部署你的多層安全計劃時，您應該反覆問本身一個問題「若是這個安全措施失效了怎麼辦?咱們能夠在入侵者的攻擊線路上部署哪些新的障礙?」就像您將本身的金錢和珠寶放在一個有籬笆的，帶鎖的，有警報系統保護的房間中，您也應該考慮服務器自身的安全。下面有一些準則：
　　移除全部的可移動存儲設備驅動器，如軟驅、光驅、外置硬盤、Zip驅動器、閃存驅動器等。這將增長入侵者向服務器上傳程序(如病毒)或下載數據的難度。若是您不使用這些設備，您也能夠移除這些外部設備須要使用的端口(從BIOS中關閉或物理移除)。這些端口包括USB/IEEE 139四、串口、並口、SCSI接口等。
　　將機箱鎖好，以防止未受權用戶盜竊硬盤，或損壞機器組件。
　　將服務器放在密閉帶鎖的服務器機架中(確保提供良好的通風設備)，電源設備最好也能設置在服務器機架中。以免入侵者可以方便的切斷電源或UPS從而干擾系統的電力供應。
　　防止域控制器的遠程入侵
　　若是您認爲您的物理安全計劃已經足夠完美，那麼您就要將您的注意力轉移到防止黑客、駭客和攻擊者經過網絡訪問您的域控制器。固然，「最好的」方法是將域控制器從網絡中斷開，可是這樣，域控制器也就毫無用處了。所以，您要經過一些步驟，加固它們，以抵禦通常的攻擊方法。
　　保障域帳號的安全
　　最簡單的(對於黑客來講)，最讓人意想不到的，也是最經常使用的方法就是經過一個合法的帳號密碼，登錄系統，以得到網絡和域控制器的訪問權限。
　　在一個典型的安裝中，黑客如想登錄系統，只須要兩個東西：一個合法帳號，以及它對應的密碼。若是您仍使用的是默認的管理員帳號——Administrator，這將使黑客的入侵容易不少。他須要作的只是收集一些信息。與其餘帳號不一樣，這個默認的管理員帳號，不會由於屢次失敗登錄而被鎖定。這也就意味着，黑客只要不停的猜想密碼(經過「暴力破解」的方法破解密碼)，直到他拿到管理員權限。
　　這就是爲何您應該作的第一件事就是把免費xp系統下載內置帳號更名。固然，若是您只是更名而忘記修改默認的描述(「計算機/域的內置管理帳號」)也沒有什麼意義。因此您要避免入侵者快速的找出擁有管理員權限的帳號。固然，請記住，您所作的措施都只能減慢入侵者。一個堅決的、有能力的黑客仍是可以繞過您的安全措施的(例如，管理員帳號的SID是不能更改的，它一般是以500結尾的。有一些黑客能夠利用工具SID號來辨別出管理員的帳號)。