域控制器僅僅是一個控制器。它們控制身份驗證、可能還有授權(quán)和一些會計工作，同時且通常且還為你公司中用作Windows部件的所有事件掌控安全身份的生命周期。

就其本身而論，域控制器存在一些特別安全考慮。那么你如何為這方面評分呢？為了強化域控制器周圍的整個環(huán)境，請注意以下五個要點。

1. 限制物理訪問。

這是你可以為你的總體域控制器安全包提供的唯一最大緩解因素。這里的首要問題是，你的域控制器高于你的網(wǎng)絡上一切的中央安全機構(gòu)，并且正如你所知，如果你具備對機器進行本地物理訪問的權(quán)利，那么就存在許多通過關閉硬盤來獲得信息權(quán)利的瑣碎方法。哈希算法自身提供了一個黑客所需的一切，以使其成為一個真實的、合法的可以通過驗證的用戶，且如果你控制了域控制器的磁盤，那么這些很容易做到。更不用說通過這些哈希算法來實現(xiàn)實際登錄以及修改登錄腳本的可能性，以及安裝復制到其它域控制器的惡意程序等。

如果你擁有物理的（非虛擬化的）域控制器，那么在你做任何事情之前，請買一個籠子和一個安全鎖并把它們置于其后。不要讓域控制器運行在管理服務臺之下，也不要讓你的數(shù)據(jù)中心成為一個沒有鎖的小盒子。它擁有公司的安全財富這個領域的鑰匙，所以要像你保護支票一樣保護它：置于鎖和鑰匙的保護下。

2. 從一開始就合理設計。

一個適當設計的活動目錄拓撲結(jié)構(gòu)將會包含威脅，以至于即使是域控制器也會受到危害，但是你的整個森林網(wǎng)絡不必被摧毀和重建。請確保你的森林和域反映了你在不同的城市、區(qū)縣以及國家擁有的真實的、物理的位置；讓你的組織單元和你的公司里擁有的機器類型和人員相匹配；并且讓安全組代表你的組織結(jié)構(gòu)圖的層次結(jié)構(gòu)。那么，如果在一個森林中用于歐洲的域控制器受到了損害，你就不必重建用于亞洲的域控制器。

3. 虛擬化你的域控制器。

通過使用虛擬機作為你的域控制器，你就可以使用BitLocker或者其它的全驅(qū)動器加密產(chǎn)品對你的虛擬硬盤所在的磁盤進行加密。然后，請確保運行這些虛擬機的主機沒有加入這個域。如果由于某種原因有人偷走了你的主機和域控制器，那么對于一個在你的目錄中植入惡意文件的攻擊者來講，解密硬盤來獲得對虛擬硬盤的訪問的可能性會是另一個障礙。

4. 遵從安全信托的最佳做法。

正如安全專家所說的，了解你的范圍。這里存在一個很好的指南，用來理解信托以及其中關于TechNet的各種考慮。請仔細注意有選擇性的身份認證章節(jié)，它包含一個很好的防止隨機訪問攻擊的方法。

5. 保證目錄服務還原模式的密碼比其它任何密碼更安全。

目錄服務還原模式是一個特別的模式，當出現(xiàn)某些錯誤時，利用它來離線修復活動目錄。目錄服務還原模式密碼是一個特別的后門，它提供了對目錄的管理訪問。你是在一個離線的文本模式狀態(tài)下使用它。把它個密碼當作一個可以進入林的東西來保護它，因為它就是這樣。你也可以為Windows Server 2008下載一個hotfix，它將會使目錄服務還原密碼與域管理員賬號同步?；蛘?，如果你已經(jīng)安裝了Service Pack 2版本，那么你已經(jīng)擁有了這個功能，僅僅使用如下命令即可：

ntdsutil "set dsrm password" "sync from domain account
<DomainAdminAccount>" q q

總之，如果一個域控制器被竊取或者以其它方式讓你的公司財產(chǎn)處于一個未認證的狀態(tài)，那么你可以不再信任那個機器。但不幸的是，因為那個域控制器包含了關于你IT身份的所有有價值的東西以及密碼，所以最好的（也是最容易后悔和痛苦的）建議只能是毀滅該林并重建它。這就是最規(guī)范和積極主動的最佳做法，它構(gòu)成了本文的第一點。

【編輯推薦】

1. 所有域用戶不能登錄域控制器故障解決
2. 如何在windows系統(tǒng)的域控制器中打開和使用組策略 ？
3. 活動目錄的域控制器中如何創(chuàng)建漫游用戶？
4. 使域控制器們負載均衡問題解析
5. 提升域控制器過程中更改兼容權(quán)限問題解析