域控制器,正如其名,它具有对整个Windows域以及域中的所有计算机的管理权限。因此你必须花费更多的精力来确保域控制器的安全,并保持其安全性。本文将带您了解一些在域控制器上应该部署的安全措施。
域控制器的物理安全
第一步(也是常常被忽视的一步)就是要保障你的域控制器的物理安全。也就是说,你应该将服务器放在一间带锁的房间,并且严格的审核和记录该房间的访问情况。不要有“隐蔽起来就具有很好的安全性”这样的观点,错误地认为将这样一台关键的服务器放在一个偏僻的地方而不加以任何保护,就可以抵御那些顽固的数据间谍和破坏分子的攻击。
因为专门从事犯罪预防研究的警察告诉我们,我们是没有办法使自己的家,公司,汽车,当然也包括我们的服务器具有百分之百的安全性。安全措施并不能保证您的贵重物品不被那些“坏人”拿到,它只能增加他们获取贵重物品的难度和困难度。如果您能让他们的攻击过程持续更长的时间,那么他们放弃攻击或停止尝试,甚至将他们当场抓住的可能性都会大大增加。
物理安全之后,就应该部署多层防御计划。带锁的服务器间只是第一层。这只能被认为是周边安全,就像您院子周边的篱笆或者您家房门的锁。万一周边安全被突破,就应该为保护目标(此时即DC)进一步设置一些安全措施以保护它们。您可能会安装安全警报系统,以便当您的篱笆或者门锁遭到破坏的时候,通知您或者警察。同样,您应该考虑在服务器间部署警报系统,当未授权用户(他不知道解除警报系统的密码)进入服务器间的时候,它就发出声音警报。另外还可以考虑在门上安装探测器,以及红外探测器以防止通过门、窗及其他孔洞(我们强烈建议,尽可能得减少门、窗及孔洞的数量)的非法进入。
当您从里至外的部署你的多层安全计划时,您应该反复问自己一个问题“如果这个安全措施失效了怎么办?我们可以在入侵者的攻击线路上部署哪些新的障碍?”就像您将自己的金钱和珠宝放在一个有篱笆的,带锁的,有警报系统保护的房间中,您也应该考虑服务器自身的安全。下面有一些准则:
移除所有的可移动存储设备驱动器,如软驱、光驱、外置硬盘、Zip驱动器、闪存驱动器等。这将增加入侵者向服务器上传程序(如病毒)或下载数据的难度。如果您不使用这些设备,您也可以移除这些外部设备需要使用的端口(从BIOS中关闭或物理移除)。这些端口包括USB/IEEE 1394、串口、并口、SCSI接口等。
将机箱锁好,以防止未授权用户盗窃硬盘,或损坏机器组件。
将服务器放在密闭带锁的服务器机架中(确保提供良好的通风设备),电源设备最好也能设置在服务器机架中。以避免入侵者能够方便的切断电源或UPS从而干扰系统的电力供应。
防止域控制器的远程入侵
如果您认为您的物理安全计划已经足够完美,那么您就要将您的注意力转移到防止黑客、骇客和攻击者通过网络访问您的域控制器。当然,“最好的”方法是将域控制器从网络中断开,但是这样,域控制器也就毫无用处了。因此,您要通过一些步骤,加固它们,以抵御一般的攻击方法。
保障域账号的安全
最简单的(对于黑客来说),最让人意想不到的,也是最常用的方法就是通过一个合法的账号密码,登陆系统,以获得网络和域控制器的访问权限。
在一个典型的安装中,黑客如想登陆系统,只需要两个东西:一个合法账号,以及它对应的密码。如果您仍使用的是默认的管理员账号——Administrator,这将使黑客的入侵容易很多。他需要做的只是收集一些信息。与其他账号不同,这个默认的管理员账号,不会因为多次失败登陆而被锁定。这也就意味着,黑客只要不停的猜测密码(通过“暴力破解”的方法破解密码),直到他拿到管理员权限。
这就是为什么您应该做的第一件事就是把系统内置账号改名。当然,如果您只是改名而忘记修改默认的描述(“计算机/域的内置管理账号”)也没有什么意义。所以您要避免入侵者快速的找出拥有管理员权限的账号。当然,请记住,您所做的措施都只能减慢入侵者。一个坚定的、有能力的黑客还是能够绕过您的安全措施的(例如,管理员账号的SID是不能更改的,它通常是以500结尾的。有一些黑客可以利用工具SID号来辨别出管理员的账号)。
在Windows Server 2003中,完全的禁用内置管理员账号成为可能。当然如果您想那样做,必须要先创建另外的一个账号,并赋予它管理员的权限。否则,您将发现您自己也无法执行某些特权任务了。当然内置的来宾账号是应该被禁止的(默认就是如此)。如果一些用户需要具有来宾的权限,为他创建一个名字没那么显眼的新账号,并限制它的访问。
所有的账号,特别是管理账号都应该有一个强壮的密码。一个强壮的密码应该包含8位以上的字符,数字和符号,应该大小写混排,而且不应该是字典中的单词。用户必须要注意,不要将他们的密码用笔写下来或者告诉其他人(社交工程术也是未授权取得访问权限的常用方法)。还可以通过组策略来强制要求密码在一定的基础上进行变化。