域控制器僅僅是一個(gè)控制器。它們控制身份驗(yàn)證、可能還有授權(quán)和一些會(huì)計(jì)工作，同時(shí)且通常且還為你公司中用作Windows部件的所有事件掌控安全身份的生命周期。

　　就其本身而論，域控制器存在一些特別安全考慮。那么你如何為這方面評(píng)分呢?為了強(qiáng)化域控制器周圍的整個(gè)環(huán)境，請(qǐng)注意以下五個(gè)要點(diǎn)。

　　1. 限制物理訪問(wèn)。這是你可以為你的總體域控制器安全包提供的唯一最大緩解因素。這里的首要問(wèn)題是，你的域控制器高于你的網(wǎng)絡(luò)上一切的中央安全機(jī)構(gòu)，并且正如你所知，如果你具備對(duì)機(jī)器進(jìn)行本地物理訪問(wèn)的權(quán)利，那么就存在許多通過(guò)關(guān)閉硬盤來(lái)獲得信息權(quán)利的瑣碎方法。哈希算法自身提供了一個(gè)黑客所需的一切，以使其成為一個(gè)真實(shí)的、合法的可以通過(guò)驗(yàn)證的用戶，且如果你控制了域控制器的磁盤，那么這些很容易做到。更不用說(shuō)通過(guò)這些哈希算法來(lái)實(shí)現(xiàn)實(shí)際登錄以及修改登錄腳本的可能性，以及安裝復(fù)制到其它域控制器的惡意程序等。

　　如果你擁有物理的(非虛擬化的)域控制器，那么在你做任何事情之前，請(qǐng)買一個(gè)籠子和一個(gè)安全鎖并把它們置于其后。不要讓域控制器運(yùn)行在管理服務(wù)臺(tái)之下，也不要讓你的數(shù)據(jù)中心成為一個(gè)沒(méi)有鎖的小盒子。它擁有公司的安全財(cái)富這個(gè)領(lǐng)域的鑰匙，所以要像你保護(hù)支票一樣保護(hù)它：置于鎖和鑰匙的保護(hù)下。

　　2. 從一開始就合理設(shè)計(jì)。一個(gè)適當(dāng)設(shè)計(jì)的活動(dòng)目錄拓?fù)浣Y(jié)構(gòu)將會(huì)包含威脅，以至于即使是域控制器也會(huì)受到危害，但是你的整個(gè)森林網(wǎng)絡(luò)不必被摧毀和重建。請(qǐng)確保你的森林和域反映了你在不同的城市、區(qū)縣以及國(guó)家擁有的真實(shí)的、物理的位置;讓你的組織單元和你的公司里擁有的機(jī)器類型和人員相匹配;并且讓安全組代表你的組織結(jié)構(gòu)圖的層次結(jié)構(gòu)。那么，如果在一個(gè)森林中用于歐洲的域控制器受到了損害，你就不必重建用于亞洲的域控制器。

　　3. 虛擬化你的域控制器。通過(guò)使用虛擬機(jī)作為你的域控制器，你就可以使用BitLocker或者其它的全驅(qū)動(dòng)器加密產(chǎn)品對(duì)你的虛擬硬盤所在的磁盤進(jìn)行加密。然后，請(qǐng)確保運(yùn)行這些虛擬機(jī)的主機(jī)沒(méi)有加入這個(gè)域。如果由于某種原因有人偷走了你的主機(jī)和域控制器，那么對(duì)于一個(gè)在你的目錄中植入惡意文件的攻擊者來(lái)講，解密硬盤來(lái)獲得對(duì)虛擬硬盤的訪問(wèn)的可能性會(huì)是另一個(gè)障礙。

　　4. 遵從安全信托的最佳做法。正如安全專家所說(shuō)的，了解你的范圍。這里存在一個(gè)很好的指南，用來(lái)理解信托以及其中關(guān)于TechNet的各種考慮。請(qǐng)仔細(xì)注意有選擇性的身份認(rèn)證章節(jié)，它包含一個(gè)很好的防止隨機(jī)訪問(wèn)攻擊的方法。

　　5. 保證目錄服務(wù)還原模式的密碼比其它任何密碼更安全。目錄服務(wù)還原模式是一個(gè)特別的模式，當(dāng)出現(xiàn)某些錯(cuò)誤時(shí)，利用它來(lái)離線修復(fù)活動(dòng)目錄。目錄服務(wù)還原模式密碼是一個(gè)特別的后門，它提供了對(duì)目錄的管理訪問(wèn)。你是在一個(gè)離線的文本模式狀態(tài)下使用它。把它個(gè)密碼當(dāng)作一個(gè)可以進(jìn)入林的東西來(lái)保護(hù)它，因?yàn)樗褪沁@樣。你也可以為Windows Server 2008下載一個(gè)hotfix，它將會(huì)使目錄服務(wù)還原密碼與域管理員賬號(hào)同步。或者，如果你已經(jīng)安裝了Service Pack 2版本，那么你已經(jīng)擁有了這個(gè)功能，僅僅使用如下命令即可：

　　ntdsutil "set dsrm password" "sync from domain account

　　<DomainAdminAccount>"q q

　　總之，如果一個(gè)域控制器被竊取或者以其它方式讓你的公司財(cái)產(chǎn)處于一個(gè)未認(rèn)證的狀態(tài)，那么你可以不再信任那個(gè)機(jī)器。但不幸的是，因?yàn)槟莻€(gè)域控制器包含了關(guān)于你IT身份的所有有價(jià)值的東西以及密碼，所以最好的(也是最容易后悔和痛苦的)建議只能是毀滅該林并重建它。這就是最規(guī)范和積極主動(dòng)的最佳做法，它構(gòu)成了本文的第一點(diǎn)。

　　TechTarget中國(guó)原創(chuàng)內(nèi)容，原文鏈接：http://www.searchsv.com.cn/showcontent_51995.htm?lg=t