保障Win 2003域控制器的安全性

核心提示： 当您从里至外的部署你的多层安全计划时，您应该反复问自己一个问题“如果这个安全措施失效了怎么办？我们可以在入侵者的攻击线路上部署哪些新的障碍？”就像您将自己的金钱和珠宝放在一个有篱笆的，保障Win 2003域控制器的安全性(2)，带锁的，有警报系统保护的房间中，这也就

当您从里至外的部署你的多层安全计划时，您应该反复问自己一个问题“如果这个安全措施失效了怎么办？我们可以在入侵者的攻击线路上部署哪些新的障碍？”就像您将自己的金钱和珠宝放在一个有篱笆的，带锁的，有警报系统保护的房间中，您也应该考虑服务器自身的安全。下面有一些准则：

移除所有的可移动存储设备驱动器，如软驱、光驱、外置硬盘、Zip驱动器、闪存驱动器等。这将增加入侵者向服务器上传程序（如病毒）或下载数据的难度。如果您不使用这些设备，您也可以移除这些外部设备需要使用的端口（从BIOS中关闭或物理移除）。这些端口包括USB/IEEE 1394、串口、并口、SCSI接口等。

将机箱锁好，以防止未授权用户盗窃硬盘，或损坏机器组件。

将服务器放在密闭带锁的服务器机架中（确保提供良好的通风设备），电源设备最好也能设置在服务器机架中。以避免入侵者能够方便的切断电源或UPS从而干扰系统的电力供应。

防止域控制器的远程入侵

如果您认为您的物理安全计划已经足够完美，那么您就要将您的注意力转移到防止黑客、骇客和攻击者通过网络访问您的域控制器。当然，“最好的”方法是将域控制器从网络中断开，但是这样，域控制器也就毫无用处了。因此，您要通过一些步骤，加固它们，以抵御一般的攻击方法。

保障域账号的安全

最简单的（对于黑客来说），最让人意想不到的，也是最常用的方法就是通过一个合法的账号密码，登陆系统，以获得网络和域控制器的访问权限。

在一个典型的安装中，黑客如想登陆系统，只需要两个东西：一个合法账号，以及它对应的密码。如果您仍使用的是默认的管理员账号——Administrator，这将使黑客的入侵容易很多。他需要做的只是收集一些信息。与其他账号不同，这个默认的管理员账号，不会因为多次失败登陆而被锁定。这也就意味着，黑客只要不停的猜测密码（通过“暴力破解”的方法破解密码），直到他拿到管理员权限。