Windows 2003安全性指南之强化域控制器二

核心提示： 作为可选方案，要让您处于中央位置的IT操作人员远程提供Syskey 密码则需要附加的硬件 设备—— 有些硬件厂商可以为远程访问服务器控制台提供加载项解决方案，Windows 2003安全性指南之强化域控制器二(6)，最后，Syskey 密码或软盘的丢失将使得您的域控

作为可选方案，要让您处于中央位置的IT操作人员远程提供Syskey 密码则需要附加的硬件 设备—— 有些硬件厂商可以为远程访问服务器控制台提供加载项解决方案。

最后，Syskey 密码或软盘的丢失将使得您的域控制器无法重新启动。如果Syskey 密码或软盘丢失，将没有任何能够恢复域控制器的方法。如果出现这种情况，您必须重新安装域控制器。

但是，通过使用适当的操作步骤，Syskey可提供一种高级的安全性，以便保护在域控制器中发现的敏感目录信息。

因此，如果域控制器所处的位置在物理访问方面没有安全性问题，我们建议您使用Syskey的模式 2 或模式 3。对于本指南所定义的任何三种环境下的域控制器，该建议同样适用。

创建或更新系统密钥：

1.点击“开始”菜单，点击“运行”，输入“syskey”，然后点击“确定”。

2.点击“启用加密”（Encryption Enabled），然后点击“更新”（Update）。

3.选择希望的选项，然后点击“确定”。

与DNS集成的 Active Directory

Microsoft 建议您在本指南定义的三种环境下，使用与DNS集成的 Active Directory ，部分原因在于：将这些区域集成到 Active Directory中可以简化保护DNS基础结构安全的过程。

保护 DNS 服务器

保护DNS服务器的安全对于包含 Active Directory 的任何环境都很重要。下面提供了一些有关保护DNS安全的建议和解释。

当DNS服务器遭受攻击时，攻击者的一个可能的目标就是控制对DNS客户查询做出响应的DNS返回信息。这样，客户信息便有可能会被误导到未经授权的计算机。IP欺骗和DNS缓存破坏就是这种攻击方式的一些例子。