文章分类 | 推荐文章 | 最新文章 | 热点文章 | 最新软件 | 精品软件 | 下载排行 | 推荐下载 | 免费看大片 | WPS | 杀毒软件
清风网络
首 页 软件下载 网络学院 数码学院
QQ 电脑入门 游戏 操作系统 图形处理 办公软件 媒体动画 精文荟萃 工具软件 网络编程 程序开发 网络技术 认证考试 网站建设 文章专栏
当前位置:清风网络学院网络技术网络安全Windows 2003安全性指南之强化域控制器(1)
精品推荐
特别推荐
·无线入侵的技术细节
·SQL注入和CSS攻击的检测
·详解:五种Windows常用密码设置
·浅析黑客攻击时的常用方法和攻击步骤
·不怕攻击 家庭上网必学八招安全绝招
·入门者如何获取肉鸡
·Linux安全配置步骤简述
·Wi-Fi网络安全探讨及组网策略
·网页病毒的概念
·保障您网站安全的十点技巧
·技巧:网上交易密码保护的几种窍门
·六个简单方法防止上网被钓鱼
·PING命令的小秘密
·安全第一 网络端口扫描技术介绍
·十大网络工具帮你审核网络安全
·信息安全问题需解决方案
·多角度详细解释网站安全保护方法
·端口截听实现端口隐藏,嗅叹与攻击
·用Win NT/2K 建WEB站点安全指南
·实现 Web 应用程序安全的捷径
热点TOP10
·不怕攻击 家庭上网必学八招安全绝招
·开3389最简单得方法
·使用Windows的安全802.11网络企业部署一
·详解:五种Windows常用密码设置
·恢复本来面目 消除JPEG图片马赛克
·黑客攻击步骤-如何获得IP
·使用 OpenSSL API 进行安全编程
·最强安全基础 从0到33600端口详解
·软件漏洞及缓冲区溢出
·浅析黑客攻击时的常用方法和攻击步骤
·使用Windows的安全802.11网络企业部署二
·无线入侵的技术细节
·无进程DLL木马开发思路与实现
·黑客必备的基本技能
·入门者如何获取肉鸡
·nc.exe高级技巧应用汇总
·CISCO路由器配置小结
·SQL注入和CSS攻击的检测
·组策略安全选项对应注册表项汇总
·邪恶八进制内部隐藏工具NOFILE

Windows 2003安全性指南之强化域控制器(1)
日期:2007年10月19日 作者: 查看:[大字体 中字体 小字体]

概述 对于运行Microsoft Active Directory?目录服务的Microsoft? Windows Server? 2003计算机,域控制器服务器是在任何环境下都应当确保其安全性的重要角色。对于依赖域控制器完成身份验证、组策略、以及一个中央LDAP(轻量级目录访问协议)目录的客户机、服务器以及应用软件而言,IT环境中域控制器的任何损失或信息泄密都可能是灾难性的。

由于其重要性,域控制器应当总是被安置在物理上安全的地点,仅允许有资格的管理人员访问。当域控制器必须安置在不太安全的地方时,例如分支办公室,应当调整相关的安全性设置以限制来自物理访问威胁的潜在损害。

域控制器基线策略

与本指南后面将要介绍的其他服务器角色策略不同,域控制器服务器的组策略是一种基线策略,与第三章“创建成员服务器基线”所定义的成员服务器基线策略(MSBP)属于同一类。域控制器基线策略(DCBP)与域控制器组织单位(OU)密切相连,并且优先于缺省的域控制器策略。包括在DCBP中的设置将增强任何环境下域控制器的总体安全性。

大多数DCBP是MSBP的直接拷贝。由于DCBP建立在MSBP基础之上,读者应当仔细复习第三章“创建成员服务器基线”,以便充分理解同样包括在DCBP中的许多设置。本章仅仅讨论那些没有包括在MSBP中的DCBP设置。

域控制器模板专门设计用来满足本指南所定义三种环境的安全需要。下表显示了包括在本指南中的域控制器.inf 文件以及这些环境相互之间的关系。例如,文件Enterprise Client – Domain Controller.inf是企业客户机环境下的安全性模板。

表 4.1: 域控制器基线安全性模板

 Windows 2003安全性指南之强化域控制器(1)(图一)


注意:将一个配置不正确的组策略对象链接到Domain Controllers OU(域控制器组织单位)可能会严重阻碍域的正常操作。在导入这些安全性模板时应当十分小心,在将GPO到链接到Domain Controllers OU之前,应该确认导入的所有设置都是正确的。

审核策略设置

域控制器的审核策略设置与在MSBP中所指定的一样。要了解更多信息,请参看第3章“创建成员服务器基线”。DCBP中的基线策略确保了所有相关的安全性审核信息都记录在域控制器中。

用户权限分配

DCBP为域控制器指定了许多用户权限的分配方法。除了缺省设置之外,在本指南定义的三种环境下,您可以修改其它 7 种用户权限以强化域控制器的安全性。

该部分详细介绍了DCBP 规定的用户权限设置,这些设置不同于MSBP中的相应设置。关于该部分规定设置的总结信息,请参看包括在本指南中的“Windows Server 2003安全指南设置” Excel 工作簿。

从网络访问您的计算机

表4.2: 设置

 Windows 2003安全性指南之强化域控制器(1)(图二)
(点击查看原图)


“从网络访问该计算机”用户权限确定哪些用户和组能够通过网络连接到该计算机。许多网络协议都要求该用户权限,包括基于服务器信息块(SMB)的协议、网络基本输入/输出系统(NetBIOS)、通用互联网文件系统(CIFS)、超级文本传输协议(HTTP)以及COM+等。

在Windows Server 2003中,尽管您可以为“Everyone”(所有人)安全组授予权限,并不再接受匿名用户的访问,但是“Guest”组和账户仍然可以通过“Everyone”安全组访问。因此,本指南推荐在高安全性环境下,从“从网络访问该计算机”中删除“Everyone”安全组,以便进一步防范利用Guest 帐户对域发起的攻击。

向域中添加工作站

表4.3: 设置

 Windows 2003安全性指南之强化域控制器(1)(图三)
(点击查看原图)


“向域中添加工作站”权限允许用户向指定的域中添加一台计算机。如果希望该权限生效,它必须作为域的缺省域控制器策略的一部分分配给用户。被授予了该权限的用户可以向域中添加10个工作站。被授予了为OU或 Active Directory 的计算机容器“创建计算机对象”权限的用户,也可以向域中加入计算机。被授予了该权限的用户可以无限制地向域中添加计算机,无论他们是否被分配了“向域中添加工作站”用户权限。

缺省情况下,“Authenticated Users”(经过身份验证的用户)用户组具有向 Active Directory 域中添加10个计算机账户的能力。这些新计算机账户在计算机容器中创建。

在一个 Active Directory 域中,每个计算机账户都是一个完整的安全性主体,拥有认证和访问域资源的能力。有些组织希望限制一个 Active Directory 环境中的计算机数量,以便可以持续地跟踪、构建和管理它们。

[1] [2] [3] [4] [5] [6] [7] 下一页 




上一篇:服务器安全之IPSEC:易忽视的防火墙

下一篇:Windows Server 2003安全指南之强化堡垒主机(1)

Windows 2003安全性指南之强化域控制器(1) 相关文章:
·Windows Vista震撼1600X1200高清壁纸
·WindowsXP超级技巧
·Windows XP的20个超级实用技巧大全
·最全面的WindowsXP修改大全
·让Windows XP系统快10倍
·MPEG、RM、WMV电影文件格式转换指南
·Windows Vista Ultimate中文旗舰版下载+简单破解(支持迅雷HTTP & BT)
·破解windowsXP,window2000的开机密码
·图文详解 Windows 2003服务器集群安装
·Windows XP鲜为人知的N招实用技巧
Windows 2003安全性指南之强化域控制器(1) 相关软件:
·Windows主题70合一典藏版
·Adobe Photoshop CS 2 简体中文使用指南
·Windows 2003 Server 简体中文企业版(免激活)ISO
·Windows XP Service Pack 2简体中文版
·Windows 98简体中文第二版
·如何加固Windows XP 主机安全
·Windows环境下32位汇编语言程序设计
·Windows XP Home Edition SP2简体中文版
·番茄花园 Windows 2000 3 合 1 最终版
·Windows 97(Windows95第二版)

特别声明:本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源:http://www.vipcn.com
| 帮助(?) | 版权声明 | 友情连接 | 关于我们 | 信息发布
Copyright 2007 www.vipcn.com All Rights Reserved. 鄂ICP备05000083号Powered by:vipcn