Windows 2003安全性指南之强化域控制器二

核心提示： 您可以提高日志文件大小的上限，以便在遭受电脑黑客攻击时，Windows 2003安全性指南之强化域控制器二(5)，为管理员提供充足的必要信息来完成审核，因此，或者插入软盘以便让其他用户能够访问系统，这显然很费事，本指南建议：在本指南定义的三种环境下，将域控制器上目录服务（Directory

您可以提高日志文件大小的上限，以便在遭受电脑黑客攻击时，为管理员提供充足的必要信息来完成审核。

因此，本指南建议：在本指南定义的三种环境下，将域控制器上目录服务（Directory Service）和文件复制服务（File Replication Service）的日志文件大小的最大值从缺省的512KB增加到16MB。

使用Syskey

在域控制器上，密码信息被存储在目录服务中，他人可以针对安全账户管理（SAM）数据库或目录服务使用密码破解软件以获取用户账户的密码，这种情况经常出现。

Syskey的使用为抵御离线密码破解软件提供了一道附加防线。Syskey使用了高级加密技术来保护存储在目录服务中的密码信息的安全。

表4.19: Syskey模式

在模式1（模糊密钥）中的所有Windows Server 2003服务器上，Syskey被启用。对于暴露于物理安全威胁之下的任何域控制器，我们有充分的理由推荐您使用模式2（控制台密码）或模式3（软盘存储Syskey密码）中的Syskey。

从安全的角度而言，首先这样似乎更明智，因为如果攻击者能够以物理方式访问到计算机，那么域控制器很容易被重新启动。模式1的Syskey使得攻击者能够读取和改变目录的内容。

然而，Syskey的模式 2 和模式 3 难以支持通过重新启动让域控制器恢复正常运行的操作要求。为了利用这些Syskey 模式提供的额外保护，必须在您的环境中执行适当的操作过程，以满足域控制器的特定可用性需求。

Syskey密码或软盘管理的后勤工作可能会十分复杂，尤其是在分支办公室。例如，要求一位部门经理或本地管理职员凌晨三点来到办公室输入密码，或者插入软盘以便让其他用户能够访问系统，这显然很费事，而且使得旨在实现高可用性的服务水平协议（SLA）的实施变得十分困难。