A pochi pericoli per i controller di dominio sono elencati qui:

• I tentativi di accedere al database di protezione sul controller di dominio.
• I tentativi di copiare il database di protezione in modo che il database può essere visualizzato ed esaminato in una fase successiva.
• I tentativi di accedere ai controller di dominio, con l'obiettivo di cogliere la sicurezza e la visualizzazione di informazioni di configurazione.
• I tentativi di accedere al database di protezione sul controller di dominio per cambiare l'attuale dei diritti degli utenti, con l'intento di configurazione di un utente non autorizzato con accesso amministrativo al tuo dominio.
• I tentativi di accedere al controller di dominio per cambiare computer appartenenti al dominio in modo che canaglia computer può accedere al dominio.

L'importanza del controller di dominio fondamentalmente forze di implementare le misure di sicurezza e le politiche che minimizzano i rischi per i controller di dominio.
Una delle strategie di sicurezza ovvio che dovrebbe essere attuato è quello di attuare per la sicurezza fisica dei controller di dominio. Il tuo controller di dominio deve essere sempre fisicamente depositati in un luogo sicuro, ad esempio un centro dati. L'accesso fisico al dominio controllersâ € ™ ubicazione dovrebbe essere limitata a poche persone autorizzate solo.
Si dovrebbe anche limitare l'accesso da connessioni di rete per i controller di dominio. Si consiglia di configurare solo i servizi e le applicazioni che sono necessarie per il ruolo di controller di dominio del server. Tutti i servizi e le applicazioni che non sono necessari dovrebbero essere disabilitati o cancellati.

Misure di sicurezza di base per garantire Domain Controller

Le misure di sicurezza di base raccomandata, che si possono attuare per garantire i controller di dominio sono elencati qui:

• Fisicamente sicuro controller di dominio. Ciò dovrebbe includere il controllo di accesso al luogo in cui sono conservati i controller di dominio.
• Il file system NTFS dovrebbe essere utilizzato per proteggere i dati sul volume di sistema.
• Limite di adesione ai seguenti gruppi:
• Gruppo Domain Administrators
• Impresa gruppo Administrators
• Password deve essere utilizzato il controller di dominio per ottenere i controller di dominio da tentativi di accesso non autorizzato.
• Tutti i servizi non necessari e le applicazioni devono essere soppresse.
• Il syskey utilità può essere utilizzata per proteggere ulteriormente la sicurezza del database.
• Puoi anche sicuro dal controller di dominio richiedono l'accesso smart card per l'accesso al controller di dominio.
• Usare cautela se si delega il controllo amministrativo sulla configurazione di un controller di dominio.

Come creare un sistema di chiavi

1. Fare clic sul pulsante Start, Esegui e digitare syskey. Fare clic su OK.
2. Selezionare Attivato crittografia.
3. Fare clic su Aggiorna.
4. Selezionare l'opzione appropriata.
5. Fare clic su OK.

Garantire controller di dominio con firewall

È possibile utilizzare un firewall per proteggere i controller di dominio. Packet filtering caratteristiche può essere utilizzato per bloccare il traffico da e destinati a un controller di dominio. È inoltre possibile limitare il numero di porte che si aprono tra un controller di dominio e un computer. Solo i porti che sono necessari per la comunicazione dovrebbe essere aperto tra un controller di dominio e il computer.

Le porte utilizzate da Active Directory Active Directory specifici per la comunicazione sono elencati qui:

• Per un utente di rete di accesso più di un firewall:
• SM del traffico; la porta TCP 445 e la porta UDP 445
• DNS, la porta TCP 53 e porta UDP 53.
• Protocollo di autenticazione Kerberos, la porta TCP 88 e porta UDP 88.
• Lightweight Directory Access Protocol (LDAP) ping; porta UDP 389.
• Per un computer l'accesso a un controller di dominio:
• SM del traffico; la porta TCP 445 e la porta UDP 445
• DNS, la porta TCP 53 e porta UDP 53.
• Protocollo di autenticazione Kerberos, la porta TCP 88 e porta UDP 88.
• Lightweight Directory Access Protocol (LDAP) ping; porta UDP 389.
• Per la verifica dei rapporti di fiducia tra i controller di dominio:
• SM del traffico; la porta TCP 445 e la porta UDP 445
• DNS, la porta TCP 53 e porta UDP 53.
• Protocollo di autenticazione Kerberos, la porta TCP 88 e porta UDP 88.
• Lightweight Directory Access Protocol (LDAP), la porta TCP 389, per SSL la porta TCP 686.
• Lightweight Directory Access Protocol (LDAP) ping; porta UDP 389.
• Netlogon.
• Per la creazione di un rapporto fiduciario tra il controller di dominio, sito in vari settori:
• SM del traffico; la porta TCP 445 e la porta UDP 445
• DNS, la porta TCP 53 e porta UDP 53.
• Protocollo di autenticazione Kerberos, la porta TCP 88 e porta UDP 88.
• Lightweight Directory Access Protocol (LDAP), la porta TCP 389, per SSL la porta TCP 686.
• Lightweight Directory Access Protocol (LDAP) ping; porta UDP 389.

Controller di dominio specifici modelli di protezione predefiniti

Quando un server viene promosso al primo controller di dominio di ruolo, un modello di protezione chiamato DC security.inf modello viene applicato al controller di dominio. Un modello di protezione può essere definita come una raccolta di impostazioni di configurazione di sicurezza o di parametri che possono essere applicati a un controller di dominio, server membro o una workstation. Le impostazioni di sicurezza all'interno di un modello sono usati per controllare la configurazione di protezione di un computer attraverso le politiche locali e politiche di gruppo.

Il modello di protezione DC security.inf definisce i servizi di sistema le impostazioni di default, per default le impostazioni di sicurezza, e il file del Registro di sistema e le impostazioni per un controller di dominio. Il modello di protezione DC viene creato quando un server viene promosso al primo controller di dominio di ruolo, e fondamentalmente di sicurezza costituisce la base per il controller di dominio.

Gli altri modelli di protezione predefiniti che è possibile specificare un controller di dominio sono:

• securedc.inf modello: Questo modello di protezione predefinito contiene le impostazioni di sicurezza per i controller di dominio che migliorare la sicurezza su un controller di dominio, mentre allo stesso tempo mantenendo la compatibilità con la maggior parte delle funzioni e applicazioni. Il modello include securedc miglioramento della sicurezza e le opzioni politiche di controllo. Esso comprende anche le restrizioni per gli utenti anonimi. L'impatto sulle applicazioni è ridotta al minimo, e computer sono configurati per le risposte di LAN Manager.
• hisecdc.inf modello: Questo modello altamente sicuro contiene le impostazioni di sicurezza per i controller di dominio. Il hisecdc modello è considerato un più forte, più sicuro rispetto al securedc modello. Il modello prevede hisecdc maggiore sicurezza per l'autenticazione NTLM (NTLM versione 2), e si applica sia file di registro e di sicurezza. Il modello hisecdc anche disabilita tutti i servizi aggiuntivi e rimuove tutti i membri del gruppo Power Users. Si consiglia di utilizzare il modello hisecdc.inf sul controller di dominio (se possibile).

Backup e ripristino di controller di dominio

Un controller di dominio contiene i dati dello stato del sistema che include Active Directory e SYSVOL directory. Stato del sistema è costituito dai dati del registro, file di avvio del sistema, classe COM + Registrazione database, Servizi certificati database e file in Windows File Protection. Backup dei dati dello stato del sistema di eseguire il backup dello stato del sistema tutti i dati associati con il computer locale. Un controller di dominio può contenere anche le applicazioni oi file che sono specifici per quel particolare controller di dominio. Tutte queste componenti devono essere inclusi quando si esegue il backup dei controller di dominio.

Quando si esegue il ripristino dello stato del sistema e dei dati di Active Directory a un controller di dominio, si deve decidere il metodo di ripristino da eseguire. Dati dello stato del sistema può essere ripristinato sul controller di dominio attraverso uno dei seguenti metodi:

• Nonauthoritative ripristino: Quando un nonauthoritative ripristino viene eseguito, di Active Directory viene ripristinato dal backup sul controller di dominio. Tali informazioni vengono quindi aggiornate durante la replica da altri controller di dominio. Il metodo è nonauthoritative ripristinare il metodo di default per ripristinare i dati dello stato del sistema a un controller di dominio.
• Ripristino autorevole: In un ripristino autorevole, di Active Directory è installato al punto di l'ultimo backup. Questo metodo viene utilizzato in genere per recuperare oggetti di Active Directory che sono stati eliminati per errore. Un ripristino autorevole è effettuata dal primo nonauthoritative l'esecuzione di un ripristino, e poi eseguire lo strumento Ntdsutil prima di riavviare il server. È possibile utilizzare lo strumento Ntdsutil per indicare gli elementi che sono autorevoli. Oggetti che sono contrassegnati come autorevoli non vengono aggiornati quando gli altri controller di dominio di replica al particolare controller di dominio.

Come eseguire il backup di un controller di dominio

1. Accedere al dominio.
2. Fare clic sul pulsante Start, Tutti i programmi, Accessori, Utilità di sistema, quindi fare clic su Backup.
3. Quando il benvenuto al Backup o Ripristino guidato apre la pagina, fare clic su Avanti.
4. Nella pagina di backup o di ripristino, scegliere il file di backup e le impostazioni di opzione. Fare clic su Avanti.
5. Quando il Che Backup apre la pagina, scegliere il Let Me scegliere cosa Backup opzione. Fare clic su Avanti.
6. Nel oggetti Backup pagina, selezionare Sistema Stato. Fare clic su Avanti.
7. Quando il tipo di backup, la destinazione e Nome apre la pagina, selezionare l'opzione appropriata nella Selezionare Backup casella Tipo.
8. Scegliere la posizione per il backup in Scegliere un posto per salvare la casella di backup.
9. Immettere un nome per il processo di backup nel digitare un nome per questa casella di backup. Fare clic su Avanti.
10. Fare clic sul pulsante Avanzate su Completamento Backup o Ripristino guidato pagina.
11. Quando il tipo di backup apre la pagina, scegliere l'opzione Normale per il tipo di backup, quindi fare clic su Avanti.
12. Nella Come Back Up pagina, si consiglia di selezionare la verifica dei dati dopo il backup opzione.
13. Se la compressione hardware è supportato, e si utilizza un meccanismo di nastro, fare clic su Utilizza la compressione hardware, se disponibile opzione. Fare clic su Avanti.
14. Quando la apre la pagina di opzioni di backup, scegliere Sostituisci i backup esistenti, e scegliere Consenti solo il proprietario e l'amministratore di accesso al backup dei dati e ad ogni backup allegato alla presente Medio. Fare clic su Avanti.
15. Selezionare l'opzione nella Quando Backup pagina. Fare clic su Avanti.
16. Fare clic su Fine.
17. Fare clic sul pulsante Relazione sulla Backup progressi pagina per visualizzare un rapporto sul processo di backup appena completato.

Come ripristinare i dati dello stato del sistema su un controller di dominio (nonauthoritative ripristinare)

1. Riavviare il computer locale.
2. Durante l'avvio, premere F8 per accedere alle opzioni avanzate di Windows.
3. Procedere per selezionare Modalità di ripristino servizi directory. Premere Invio
4. Scegliere il sistema operativo che dovrebbe essere iniziato alla Selezionare il sistema operativo da avviare prompt. Premere Invio.
5. Accedere al dominio utilizzando un account con privilegi di amministratore.
6. Fare clic su OK quando viene visualizzato un messaggio indicante che Windows è in esecuzione in modalità provvisoria.
7. Fare clic sul pulsante Start, Tutti i programmi, Accessori, Utilità di sistema, quindi fare clic su Backup.
8. Quando il benvenuto al Backup o Ripristino guidato apre la pagina, fare clic su Avanti.
9. Nella pagina di backup o di ripristino, scegliere il ripristino di file e impostazioni di opzione. Fare clic su Avanti.
10. Sulla Cosa Ripristina pagina, scegliere i dati che devono essere ripristinati. Fare clic su Avanti.
11. Verificare che il supporto che contiene il file di backup è a posto.
12. Fare clic su Fine per avviare il ripristino nonauthoritative.
13. Fare clic su OK quando viene visualizzato un messaggio indicante che il ripristino sovrascrive i dati dello stato del sistema esistente.
14. Quando si completa il processo di ripristino, riavviare il computer.

A causa del tipo di informazioni memorizzate nei controller di dominio, si dovrebbe controllare il backup e il ripristino di tutte le manifestazioni che vengono eseguite sul tuo controller di dominio. Si consiglia di consentire l'Criteri locali | Opzioni di protezione | Audit: Audit l'uso di backup e ripristino privilegio opzione in modo che sia possibile rilevare quando i backup vengono eseguiti disonesto.

Crittografia e firma digitale di autenticazione del traffico

Account computer vengono utilizzati per gestire e autenticare i computer all'interno di un dominio. Account computer vengono memorizzati in Active Directory, e può essere gestito mediante Active Directory Utenti e computer di strumento di gestione. Un computer deve appartenere a un dominio per poter accedere al dominio utilizzando un account utente. Account computer vengono create automaticamente per i computer che eseguono Windows NT, Windows 2000, Windows XP Professional o Windows Server 2003, quando raggiunge un dominio. Computer conti contengono un nome, una password e identificatore di protezione (SID). Computer proprietà sono inclusi nel computer in Active Directory. Active Directory crea automaticamente un oggetto computer in Computer OU quando il computer entra a far parte di un dominio, e non esiste l'account computer per il computer.

Per un computer di accesso e di comunicare con un controller di dominio all'interno del dominio, il computer deve essere autenticato.

Ci sono tre impostazioni di Criteri di gruppo che permettono di determinare se il traffico di autenticazione è firmato e codificato:

• Membro di dominio aggiunta crittografia o firma digitale ai dati del canale protetto (sempre): Qui, il computer solo uso sicuro ai dati del canale per comunicare con il controller di dominio. Prima di poter utilizzare questa opzione, i controller di dominio devono minimamente essere aggiornati a Windows NT 4.0 SP6a. Attivazione di aggiunta crittografia o firma digitale ai dati del canale protetto (sempre) l'opzione aiutare a prevenire le seguenti attacchi quando i controller di dominio e computer di comunicare:
• Replay attacchi
• Man-in-mezzo attacchi
• Membro di dominio digitale cifrare dati del canale protetto (quando possibile): Questa opzione dovrebbe essere attivato e utilizzato se il basso livello di controller di dominio o clienti ti impedisce di utilizzare la prima opzione. Quando questa opzione e l'opzione di seguito sono attivati, la migliore sicurezza possibile, che può essere usato, è usato.
• Membro di dominio aggiungi firma digitale ai dati del canale protetto (quando possibile): questa opzione deve essere attivata e utilizzata se il basso livello di controller di dominio o clienti ti impedisce di utilizzare la crittografia o firma digitale ai dati del canale protetto (sempre) l'opzione.

Configurazione di criteri di controllo e del registro eventi Politiche per controller di dominio

Quando Active Directory è installato su un computer e un nuovo dominio Active Directory è stato creato, l'oggetto computer del controller di dominio viene memorizzato nel controller di dominio unità organizzativa (OU). Un oggetto Criteri di gruppo (GPO) che è collegato al controller di dominio è anche OU creato.

Il controller di dominio contiene i seguenti UO di revisione delle politiche che è possibile personalizzare:

• Eventi account di accesso di controllo, di verifica del conto di gestione, l'audit Directory Service Access, accesso Eventi audit, l'audit cambiamento di politica, e sistema di controllo Eventi

Potrebbe essere inoltre necessario modificare le impostazioni dei criteri del Registro eventi per soddisfare la vostra strategia di audit.

Limitare i diritti degli utenti

L'oggetto Criteri di gruppo Controller di dominio di default OU concede l'utente Consenti accesso locale diritto di questi gruppi:

• Account Operators
• Amministratori
• Backup Operators
• Stampa Operatori
• Server Operators

Per la Stampa Operatori e Account Operators built-in gruppi, si consiglia di rimuovere l'utente Consenti accesso locale diritti.

Si raccomanda anche che si limiti che gli individui sono autorizzati a chiudere i controller di dominio. L'oggetto Criteri di gruppo Controller di dominio di default OU concede il diritto di arrestare i controller di dominio a questi built-in gruppi:

• Amministratori
• Backup Operators
• Stampa Operatori
• Server Operators

Per la Stampa Operatori e Backup Operators built-in gruppi, si consiglia di eliminare il diritto di arrestare i controller di dominio.

Limitare l'accesso anonimo

Anonimo autenticazione è un metodo di autenticazione che di fatto consente a un utente client di rete e di essere autenticato con l'utente / cliente non arredamento credenziali utente. Tuttavia, se si esegue Windows Server 2003, l'utente non sarà autorizzato ad accedere alle risorse di rete. Con il precedente sistema operativo Windows, questo non era il caso. L'autenticazione anonima è tipicamente utilizzato per fornire la compatibilità con i sistemi precedenti a Windows 2000, per i seguenti scenari.

• Windows NT 4.0 potrebbero utilizzare l'accesso anonimo per ottenere informazioni dal controller di dominio.
• Remote Access Server (RAS) su server Windows NT 4.0 utilizza l'accesso anonimo per l'accertamento di dial-in permessi
• I vecchi sistemi operativi potrebbe anche usare l'accesso anonimo per cambiare le password (Pre "Windows 2000" compatibile con l'accesso di gruppo) in Active Directory.

Per attivare l'autenticazione anonima, attivare una delle seguenti impostazioni di politica di sicurezza:

• Accesso alla rete: quota che può essere consultato Anonimamente: la politica di sicurezza Utilizzare questa impostazione per definire specifiche parti che può essere letta.
• Accesso alla rete: Let Tutti Applica Autorizzazioni Per gli utenti anonimi: Quando abilitata, gli utenti anonimi sono aggiunti al gruppo Everyone.

Un metodo migliore di consentire l'accesso anonimo è quello di includere la sicurezza Accesso anonimo principale nello specifico elenco di controllo di accesso (ACL) che ha bisogno di accedere.

Con Windows Server 2003, il conto Anonimo è limitato per impostazione predefinita. Se hai bisogno di consentire per i sistemi che richiedono l'accesso anonimo, utilizzare queste raccomandazioni per consentire l'Anonimo conto in modo da non ridurre la sicurezza inutili:

• Per evitare che gli intrusi di utilizzare l'accesso utilizzando Anonimo conti per il calcolo su un computer, è necessario utilizzare l'opzione Non consentire l'enumerazione anonima di account e condivisioni SAM politica di oggetti Criteri di gruppo. Questa opzione può essere utilizzata se si esegue Windows 2000 o versioni successive versioni del sistema operativo Windows.
• Uno dei metodi più sicuri di consentire l'accesso o l'accesso Anonimo è di modificare la ACL di risorse che devono consentire l'accesso Anonimo. Questo è se un intenso processo manualmente.
• Per i clienti che eseguono pre-sistema operativo Windows 2000, è possibile aggiungere tutti e Anonimo di pre-accesso di Windows 2000 compatibile gruppo se gli utenti devono essere in grado di cambiare la propria password.
• Anche se non è fortemente raccomandato, è possibile utilizzare il Let Tutti i permessi per gli utenti anonimi applica Criteri di gruppo per modificare la configurazione di protezione al modello di Windows NT.