Windows 2003安全性指南之强化域控制器二

核心提示： 因此，本指南推荐在其定义的三种环境下，Windows 2003安全性指南之强化域控制器二(9)，将域控制器中DNS服务日志文件的最大值至少配置为16MB，并且确保DNS服务中“必要时覆盖事件”（Overwrite events as needed）选项被选中，3.

因此，本指南推荐在其定义的三种环境下，将域控制器中DNS服务日志文件的最大值至少配置为16MB，并且确保DNS服务中“必要时覆盖事件”（Overwrite events as needed）选项被选中，以便尽可能多地保存日志信息。

保护众所周知账户的安全

Windows Server 2003拥有许多内置的用户账户，这些账户不能被删除，但可以重命名。Windows Server 2003中两个最常见的内置账户是 Guest 和 Administrator。

缺省情况下，在成员服务器和域控制器上的 Guest 账户被禁用。请不要改变该设置。内置的 Administrator 账户应当被重命名，而且改变描述以帮助防止攻击者使用该账户破坏远程服务器。

许多恶意代码的变种企图使用内置的管理员账户来破坏一台服务器。在近几年来，进行上述重命名配置的意义已经大大降低了，因为出现了很多新的攻击工具，这些工具企图通过指定内置 Administrator 账户的安全标识（SID）来确定该帐户的真实姓名，从而侵占服务器。SID是唯一能确定网络中每个用户、组、计算机账户以及登录会话的值。改变内置账户的SID是不可能的。您可以将本地管理员账户改变为唯一的名称，以方便您的操作人员监视对该账户的攻击企图。

完成以下步骤以保护域和服务器中众所周知账户的安全：

1. 重命名Administrator和Guest账户，并且将每个域和服务器上的密码更改为长而复杂的值。

2. 在每个服务器上使用不同的名称和密码。如果在所有的域和服务器上使用相同的账户名和密码，攻击者只须获得对一台成员服务器的访问，就能够访问所有其他具有相同账户名和密码的服务器。

3. 改变缺省的账户描述，以帮助防止账户被轻易识别。

4. 将这些变化记录一个安全的位置。