• Попытки получить доступ к базе данных безопасности на контроллере домена.
• Попытки скопировать безопасности данных тем, что база данных может быть просмотрен и рассмотрен на более позднем этапе.
• Попытки получить доступ к контроллерам домена с целью просмотра и захвата безопасности информацию о конфигурации.
• Попытки получить доступ к базе данных безопасности на контроллере домена, чтобы изменить существующие права пользователей, с целью настроить несанкционированного пользователя с административными доступ к вашему домену.
• Попытки получить доступ к контроллеру домена менять компьютеры, принадлежащие к домену, чтобы изгоев компьютеры могут получить доступ к домену.

Важность контроллеров домена в основном силами Вас осуществить меры по обеспечению безопасности и политики, чтобы свести к минимуму угрозы для контроллеров домена.
Одна из очевидных стратегий безопасности, которые должны быть осуществлены является осуществление физической безопасности для контроллеров домена. Ваш домен контроллеров всегда должен быть физически обеспеченных в безопасное место, например, центров обработки данных. Физический доступ к домену controllersâ € ™ расположение должно быть ограничено лишь несколькими уполномоченным лицам только.
Следует также ограничить доступ к сети связи с контроллерами домена. Вам необходимо лишь настроить услуги и приложения, которые необходимы на контроллере домена, сервер роли. Все услуги и приложения, которые не являются необходимыми должен быть отключен или удален.

Основные меры по обеспечению безопасности Обеспечение безопасности контроллеров домена

Рекомендуется основные меры безопасности, которые можно выполнить для обеспечения контроллеров домена, перечислены здесь:

• Физически обеспечения контроллеров домена. Это должно включать в себя контроль доступа к месту, где контроллеры домена находятся.
• В файловой системе NTFS, должны использоваться для защиты данных на системном томе.
• Ограничение членства в следующие группы:
• Администраторы домена группы
• Предприятия группы "Администраторы"
• Надежные пароли должны быть использованы на контроллерах домена для обеспечения контроллеров домена от попыток несанкционированного доступа.
• Все ненужные службы и приложения должны быть исключены.
• В SYSKEY Утилита может быть использована для дальнейшего обеспечения безопасности данных.
• Можно также обеспечить контроллеры домена, требуя доступа к смарт-карт для доступа к контроллерам домена.
• Будьте осторожны, если вы делегирования административного контроля над конфигурации контроллера домена.

Как создать систему ключевых

1. Нажмите кнопку Пуск, выберите Выполнить и введите SYSKEY. Нажмите кнопку ОК.
2. Выберите Кодировка Включено.
3. Нажмите кнопку "Обновить".
4. Выберите соответствующий вариант.
5. Нажмите кнопку ОК.

Обеспечение безопасности контроллеров домена с Брандмауэры

Вы можете использовать брандмауэр для защиты контроллеров домена. Пакетная фильтрация особенности могут быть использованы для блокирования движения суждено и от контроллера домена. Можно также ограничить число портов, которые открыли между контроллером домена и компьютера. Только те порты, которые необходимы для общения должны быть открыты между контроллером домена и компьютера.

Порты, используемые Active Directory для конкретных Active Directory сообщении приведены здесь:

• Для входа в сеть пользователей за брандмауэром:
• MS трафика; TCP порт 445 и UDP порт 445
• DNS; TCP порт 53 и UDP порт 53.
• Протокол аутентификации Kerberos; TCP порт 88 и UDP порт 88.
• Lightweight Directory Access Protocol (LDAP) пинг; UDP порт 389.
• Для входа в компьютер с контроллером домена:
• MS трафика; TCP порт 445 и UDP порт 445
• DNS; TCP порт 53 и UDP порт 53.
• Протокол аутентификации Kerberos; TCP порт 88 и UDP порт 88.
• Lightweight Directory Access Protocol (LDAP) пинг; UDP порт 389.
• Для проверки доверительных отношений между контроллерами домена:
• MS трафика; TCP порт 445 и UDP порт 445
• DNS; TCP порт 53 и UDP порт 53.
• Протокол аутентификации Kerberos; TCP порт 88 и UDP порт 88.
• Lightweight Directory Access Protocol (LDAP); TCP-порт 389 для SSL TCP порт 686.
• Lightweight Directory Access Protocol (LDAP) пинг; UDP порт 389.
• Netlogon.
• Для создания доверительных отношений между контроллером домена, расположенных в различных областях:
• MS трафика; TCP порт 445 и UDP порт 445
• DNS; TCP порт 53 и UDP порт 53.
• Протокол аутентификации Kerberos; TCP порт 88 и UDP порт 88.
• Lightweight Directory Access Protocol (LDAP); TCP-порт 389 для SSL TCP порт 686.
• Lightweight Directory Access Protocol (LDAP) пинг; UDP порт 389.

Контроллер домена Конкретные Предопределенные шаблоны безопасности

Если сервер является первым назначен на роль контроллера домена, обеспечительное шаблона под названием DC security.inf шаблон применяется к контроллеру домена. В шаблоне безопасности можно определить как набор настроек безопасности или параметры, которые могут быть применены для контроллера домена, рядового сервера или рабочей станции. Настройки безопасности в шаблоне используются для контроля за безопасностью конфигурации компьютера через локальные политики и групповые политики.

В DC security.inf безопасности шаблон определяет систему по умолчанию настройки услуг, по умолчанию параметры безопасности и файловой системы и реестра для настройки контроллера домена. В DC безопасности создается шаблон, когда сервер находится первый назначен на роль контроллера домена, и в основном формирует базовые безопасности на контроллере домена.

В других предопределенных шаблонов безопасности, которые вы можете указать, для контроллера домена являются:

• securedc.inf шаблон: Это заранее безопасности шаблона содержит настройки безопасности для контроллеров домена, что укрепление безопасности на контроллере домена, но в то же время сохранение совместимости с большинством функций и приложений. В securedc шаблон включает повышенный уровень безопасности и аудита на эту политику. Она также включает в себя ограничения для анонимных пользователей. Воздействие на приложениями к минимуму, и компьютеры настроены на LAN Manager ответов.
• hisecdc.inf шаблон: Это очень безопасный шаблон содержит настройки безопасности для контроллеров домена. В hisecdc шаблон считается более сильной, более безопасные настройки, чем securedc шаблона. В hisecdc шаблона обеспечивает повышенную безопасность для NTLM (NTLM версии 2) и применяется как реестре и файловой безопасности. В hisecdc шаблона также отключить все дополнительные услуги, и удаляет все участники из группы "Опытные пользователи". Мы рекомендуем Вам использовать шаблон hisecdc.inf на контроллерах домена (если это возможно).

Резервное копирование и восстановление Контроллеры домена

Контроллером домена содержит систему государственного данных, которая включает Active Directory и SYSVOL каталог. Система государственной данных состоит из реестра, системные загрузочные файлы, COM + база данных регистрации классов, Certificate Services данных и файлов в Windows Защита файлов. Резервное копирование системы государственного данных резервное копирование всех данных государственной системы, связанные с локального компьютера. Контроллером домена также может содержать приложений или файлов, которые являются специфическими для данного конкретного контроллера домена. Все эти компоненты должны быть включены, когда резервные копии контроллера домена.

При восстановлении системы государственного и данных Active Directory на контроллере домена, вы должны принять решение о методе восстановления выполнять. Система государственного данные могут быть восстановлены на контроллере домена через один из следующих методов:

• Nonauthoritative восстановить: Когда nonauthoritative восстановить выполняется, Active Directory восстанавливается из резервной копии средств массовой информации на контроллер домена. Эта информация будет обновляться в ходе репликации с другими контроллерами домена. В nonauthoritative восстановить метод является методом по умолчанию для восстановления системы государственного данных на контроллере домена.
• Восстановить силы: в авторитетном восстановления Active Directory установлен в точке последней резервной копии задания. Этот метод обычно используется для восстановления Active Directory объектов, которые были удалены по ошибке. Принудительное восстановление осуществляется первый выполнение nonauthoritative восстановить, а затем запуска утилиты Ntdsutil до перезагрузки сервера. Вы используете Ntdsutil утилиты указать те пункты, которые являются авторитетными. Пункты, помеченные как авторитетный не обновляется, когда другие контроллеры домена репликацию с контроллера домена.

Как резервного копирования контроллера домена

1. Войдите в домен.
2. Нажмите кнопку Пуск, выберите Все программы, Стандартные, Служебные программы, а затем нажмите кнопку Backup.
3. Когда Welcome To архивации и восстановления Мастер открывает страницу, нажмите кнопку "Далее".
4. В Backup или восстановить страницу, выбрать архивации файлов и параметров вариант. Нажмите кнопку "Далее".
5. Когда Что Вернуться вверх открывает страницу, выбрать Позвольте мне выбрать, что для создания резервных копий вариант. Нажмите кнопку "Далее".
6. В Элементы для создания резервных копий страниц, выберите система государства. Нажмите кнопку "Далее".
7. При архивации типа, назначения, а название страницы открывает, выберите соответствующую опцию в архивации выберите тип окна.
8. Выбор места для резервного копирования на выбор места для сохранения резервной поле.
9. Введите имя для резервного копирования работу в Тип название для этого окна Backup. Нажмите кнопку "Далее".
10. Нажмите кнопку Дополнительно на завершение резервного копирования или восстановления мастер-страницы.
11. Если тип резервного копирования открывает страницу, выбрать Нормальный вариант для резервного копирования типа, а затем нажмите кнопку Далее.
12. В Как Назад Вверх страницы, рекомендуется выбрать Проверка данных после архивации вариант.
13. Если аппаратное сжатие поддерживается, и вы используете ленту механизма, щелкните Использовать аппаратное сжатие, если таковые имеются опции. Нажмите кнопку "Далее".
14. При архивации Функции открывает страницу, выбрать заменят существующие резервные копии, и выберите Разрешить только владелец и администратор Доступ к архивации данных и любых архивов, прилагаемой к настоящему среднего. Нажмите кнопку "Далее".
15. Выберите опцию Теперь в когда Перейти вверх страницы. Нажмите кнопку "Далее".
16. Нажмите кнопку "Готово".
17. Нажмите на кнопку Сообщить о Backup Прогресс страницу, чтобы просмотреть отчет о резервной работы только что завершил.

Как восстановить данные состояния системы на контроллере домена (nonauthoritative восстановить)

1. Перезагрузить локальный компьютер.
2. Во время загрузки нажмите клавишу F8 для доступа к Windows Дополнительные параметры.
3. Приступить к выберите Режим восстановления служб каталогов. Нажмите клавишу Enter
4. Выбрать операционную систему, которая должна быть запущена на Выберите операционную систему для запуска строки. Нажмите клавишу Enter.
5. Войдите в домен с помощью учетной записи с правами администратора.
6. Нажмите OK, когда появится сообщение о том, что Windows работает в безопасном режиме.
7. Нажмите кнопку Пуск, выберите Все программы, Стандартные, Служебные программы, а затем нажмите кнопку Backup.
8. Когда Welcome To архивации и восстановления Мастер открывает страницу, нажмите кнопку "Далее".
9. В Backup или восстановить страницу, выбрать "Восстановление файлов и параметров вариант. Нажмите кнопку "Далее".
10. Что касается Чтобы восстановить страницу, выбрать те данные, которые должны быть восстановлены. Нажмите кнопку "Далее".
11. Убедитесь, что средства массовой информации, содержащей резервную копию файла на месте.
12. Нажмите кнопку "Готово", чтобы начать nonauthoritative восстановить.
13. Нажмите OK, когда появится сообщение о том, что восстановление будет перезаписывать существующие системы государственного данных.
14. Когда процесс восстановления завершается, перезагрузите компьютер.

Из-за типа информации, хранящейся на контроллерах домена, вы должны ревизию всех резервного копирования и восстановления событий, которые выполняются на контроллерах домена. Мы рекомендуем вам включить в "Локальные политики | Параметры безопасности | Аудит: аудит использования резервного копирования и восстановления привилегии тем вариантом, который можно обнаружить, если резервные копии в настоящее время осуществляется нечестно.

Шифрование и цифровой подписи подлинности движении

Учетные записи компьютеров используются для аутентификации и управления компьютерами в домене. Компьютерные счетах хранятся в Active Directory, а также могут управляться с помощью Active Directory пользователи и компьютеры из инструментов управления. А компьютер принадлежит домен для того, чтобы Вам войти в его использовании домена учетной записи пользователя. Компьютерные счета автоматически создаются для компьютеров под управлением Windows NT, Windows 2000, Windows XP Professional или Windows Server 2003 при вступлении в домене. Компьютерные счетов содержать имя, пароль и идентификатор безопасности (SID). Компьютерные свойств, включенных в объект компьютера в Active Directory. Active Directory автоматически создает объект компьютера в компьютеры OU когда компьютер присоединяется к домену, и ни одна учетная запись компьютера существует на компьютере.

Для доступа к компьютеру и общаться с контроллером домена в домене, на компьютере должна быть аутентифицирован.

Существуют три БПГ параметров, которые определяют ли аутентификация трафика подписаны и зашифрованы:

• Член домена цифровая подпись или шифрование потока данных безопасного канала (всегда): Здесь, компьютер будет использовать только данные безопасный канал для связи с контроллером домена. Прежде чем вы можете использовать эту опцию, контроллеры домена должны быть минимально обновлен до Windows NT 4.0 SP6a. Включение цифровая подпись или шифрование потока данных безопасного канала (всегда) вариант оказания помощи в предотвращении следующих атак, когда компьютеры и контроллеры домена сообщить:
• Replay атак
• Человек-в-середине атаки
• Член домена цифровое шифрование данных безопасного канала (если возможно): Эта опция должна быть включена и используется в случае каких-либо нижнего уровня контроллеров домена или клиентов вы использовали первый вариант. Когда эта опция, и опция включена, то максимально безопасности, которые можно использовать, не используется.
• Член домена цифровую подпись данных безопасного канала (если возможно): Эта опция должна быть включена и используется, если вниз уровня контроллеров домена или клиентов помешает вам использовать цифровую подпись или шифрование потока данных безопасного канала (всегда) вариант.

Настройка аудита политики и политики в журнал событий для контроллеров домена

Когда Active Directory устанавливается на компьютер и нового домена Active Directory создается, компьютер объект контроллера домена хранится в контроллерах домена организационная единица (OU). Объект групповой политики (БПГ), что связано с Контроллеры домена также создается.

"Контроллеры домена содержит следующие ревизии политики, который вы можете настроить:

• Аудит событий входа в учетную запись, Аудит управления учетными записями, аудит доступа к службе каталога, Аудит событий входа, Аудит изменения политики и системы аудита событий

Вы, возможно, также потребуется изменить параметры политики в журнал событий в соответствии с вашими аудита стратегии.

Ограничение прав пользователя

"Контроллеры домена групповой политики по умолчанию предоставляет Разрешить вход в систему локального пользователя права на эти группы:

• Счет Операторы
• Администраторы
• Операторы архива
• Печать Операторы
• Операторы сервера

Для печати счета операторов и операторов встроенного в группах, то рекомендуется удалить Разрешить вход в систему локального пользователя прав.

Кроме того, рекомендуется ограничить лицами, которые могут закрыть контроллерах домена. "Контроллеры домена групповой политики по умолчанию, было предоставлено право закрыть контроллеров домена для этих встроенных в группах:

• Администраторы
• Операторы архива
• Печать Операторы
• Операторы сервера

Для печати операторов и операторов Backup встроенный в группах, то рекомендуется удалить право закрыть контроллерах домена.

Ограничение доступа анонимных

Анонимный подлинности является метод аутентификации, который фактически позволяет пользователю и сети, чтобы клиент был аутентифицированы с пользователей / клиентов представление пользователя нет полномочий. Однако, если у вас установлена Windows Server 2003, пользователь не будет иметь право доступа к сетевым ресурсам. С ранних операционных системах Windows, это было не так. Анонимный подлинности, как правило, используется для снабжения обратной совместимости с системами до Windows 2000, для следующих сценариев.

• Windows NT 4.0 могут использовать анонимный доступ для получения информации из контроллеров домена.
• Сервер удаленного доступа (RAS) серверов на Windows NT 4.0 использует анонимный доступ для установления удаленного доступа в
• Пожилые операционной системы могут также использовать анонимный доступ менять пароли (Pre "Windows 2000" совместим доступа группы) в Active Directory.

Чтобы разрешить анонимный аутентификации, активировать один из следующих параметров политики безопасности:

• Сетевой доступ: Открыть, которые могут быть доступны анонимно: Используйте этот параметр политики безопасности, определить конкретные акции, которые могут быть доступны.
• Сетевой доступ: Пусть каждый Разрешения Применить к анонимным пользователям: Когда включен, анонимные пользователи будут добавлены в группу "Все".

А лучше метода позволило анонимного доступа заключается в том, чтобы включить анонимный безопасности главного входа в конкретных Access Control List (ACL), что потребности в доступе.

В Windows Server 2003, Анонимный счету ограничен по умолчанию. Если вы хотите включить его для систем, которые требуют анонимного доступа, использовать эти рекомендации, с тем чтобы Аноним внимание, чтобы не уменьшить ненужные безопасности:

• Для предотвращения вторжений с помощью использования анонимных счетов рассчитывать на компьютере, вы должны использовать не разрешает анонимные перечисления SAM счетах и разделяет политики объектов групповой политики. Эта опция может быть использована, если вы используете Windows 2000 или более поздняя версия операционной системы Windows версии.
• Один из самых надежных методов позволило анонимных или доступ для редактирования списков управления доступом ресурсов, которые необходимо разрешить анонимный вход. Это несмотря на интенсивный процесс вручную.
• Для клиентов, которые работают до Windows 2000 операционные системы, вы можете добавить всех и Анонимный на предварительном Windows 2000 совместима доступа группы, если пользователи должны иметь возможность изменить свои пароли.
• Хотя это не рекомендуется, вы можете использовать Пусть каждый разрешений относится к анонимным пользователям БПГ изменить конфигурацию безопасности, вернуться к Windows NT модель.