保障Win 2003域控制器的安全性

核心提示： 这就是为什么您应该做的第一件事就是把系统内置账号改名，当然，保障Win 2003域控制器的安全性(3)，如果您只是改名而忘记修改默认的描述（“计算机/域的内置管理账号”）也没有什么意义，所以您要避免入侵者快速的找出拥有管理员权限的账号，以便磁盘发生错误的时候您还能恢

这就是为什么您应该做的第一件事就是把系统内置账号改名。当然，如果您只是改名而忘记修改默认的描述（“计算机/域的内置管理账号”）也没有什么意义。所以您要避免入侵者快速的找出拥有管理员权限的账号。当然，请记住，您所做的措施都只能减慢入侵者。一个坚定的、有能力的黑客还是能够绕过您的安全措施的（例如，管理员账号的SID是不能更改的，它通常是以500结尾的。有一些黑客可以利用工具SID号来辨别出管理员的账号）。

在Windows Server 2003中，完全的禁用内置管理员账号成为可能。当然如果您想那样做，必须要先创建另外的一个账号，并赋予它管理员的权限。否则，您将发现您自己也无法执行某些特权任务了。当然内置的来宾账号是应该被禁止的（默认就是如此）。如果一些用户需要具有来宾的权限，为他创建一个名字没那么显眼的新账号，并限制它的访问。

所有的账号，特别是管理账号都应该有一个强壮的密码。一个强壮的密码应该包含8位以上的字符，数字和符号，应该大小写混排，而且不应该是字典中的单词。用户必须要注意，不要将他们的密码用笔写下来或者告诉其他人（社交工程术也是未授权取得访问权限的常用方法）。还可以通过组策略来强制要求密码在一定的基础上进行变化。

重定向活动目录数据库

活动目录的数据库包含了大量的核心信息，是应该妥善保护的部分。方法之一就是将这些文件从被攻击者熟知的默认位置（在系统卷中）转移到其他位置。如果想进行更深入的保护，考虑把AD数据库文件移动到一个有冗余或者镜像的卷，以便磁盘发生错误的时候您还能恢复它。

活动目录的数据库文件包括：Ntds.dit；Edb.log；Temp.edb

附注：将活动目录的数据库文件移动到与系统卷不同的物理硬盘，也可以提高DC的系统性能。