WEB开发网
开发学院操作系统windows 2008 保障Win 2003域控制器的安全性 阅读

保障Win 2003域控制器的安全性

 2006-03-29 11:56:52 来源:WEB开发网   
核心提示: 这就是为什么您应该做的第一件事就是把系统内置账号改名,当然,保障Win 2003域控制器的安全性(3),如果您只是改名而忘记修改默认的描述(“计算机/域的内置管理账号”)也没有什么意义,所以您要避免入侵者快速的找出拥有管理员权限的账号,以便磁盘发生错误的时候您还能恢

这就是为什么您应该做的第一件事就是把系统内置账号改名。当然,如果您只是改名而忘记修改默认的描述(“计算机/域的内置管理账号”)也没有什么意义。所以您要避免入侵者快速的找出拥有管理员权限的账号。当然,请记住,您所做的措施都只能减慢入侵者。一个坚定的、有能力的黑客还是能够绕过您的安全措施的(例如,管理员账号的SID是不能更改的,它通常是以500结尾的。有一些黑客可以利用工具SID号来辨别出管理员的账号)。

在Windows Server 2003中,完全的禁用内置管理员账号成为可能。当然如果您想那样做,必须要先创建另外的一个账号,并赋予它管理员的权限。否则,您将发现您自己也无法执行某些特权任务了。当然内置的来宾账号是应该被禁止的(默认就是如此)。如果一些用户需要具有来宾的权限,为他创建一个名字没那么显眼的新账号,并限制它的访问。

所有的账号,特别是管理账号都应该有一个强壮的密码。一个强壮的密码应该包含8位以上的字符,数字和符号,应该大小写混排,而且不应该是字典中的单词。用户必须要注意,不要将他们的密码用笔写下来或者告诉其他人(社交工程术也是未授权取得访问权限的常用方法)。还可以通过组策略来强制要求密码在一定的基础上进行变化。

重定向活动目录数据库

活动目录的数据库包含了大量的核心信息,是应该妥善保护的部分。方法之一就是将这些文件从被攻击者熟知的默认位置(在系统卷中)转移到其他位置。如果想进行更深入的保护,考虑把AD数据库文件移动到一个有冗余或者镜像的卷,以便磁盘发生错误的时候您还能恢复它。

活动目录的数据库文件包括:Ntds.dit;Edb.log;Temp.edb

附注:将活动目录的数据库文件移动到与系统卷不同的物理硬盘,也可以提高DC的系统性能。

上一页  1 2 3 4  下一页

Tags:保障 Win 控制器

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接