Windows 2003安全性指南之强化域控制器.doc

Windows 2003安全性指南之强化域控制器一 　　概述　　　　对于运行Microsoft Active Directory?目录服务的Microsoft? Windows Server? 2003计算机，域控制器服务器是在任何环境下都应当确保其安全性的重要角色。对于依赖域控制器完成身份验证、组策略、以及一个中央LDAP（轻量级目录访问协议）目录的客户机、服务器以及应用软件而言，IT环境中域控制器的任何损失或信息泄密都可能是灾难性的。　　　　由于其重要性，域控制器应当总是被安置在物理上安全的地点，仅允许有资格的管理人员访问。当域控制器必须安置在不太安全的地方时，例如分支办公室，应当调整相关的安全性设置以限制来自物理访问威胁的潜在损害。　　　　域控制器基线策略　　　　与本指南后面将要介绍的其他服务器角色策略不同，域控制器服务器的组策略是一种基线策略，与第三章“创建成员服务器基线”所定义的成员服务器基线策略（MSBP）属于同一类。域控制器基线策略（DCBP）与域控制器组织单位（OU）密切相连，并且优先于缺省的域控制器策略。包括在DCBP中的设置将增强任何环境下域控制器的总体安全性。　　　　大多数DCBP是MSBP的直接拷贝。由于DCBP建立在MSBP基础之上，读者应当仔细复习第三章“创建成员服务器基线”，以便充分理解同样包括在DCBP中的许多设置。本章仅仅讨论那些没有包括在MSBP中的DCBP设置。　　　　域控制器模板专门设计用来满足本指南所定义三种环境的安全需要。下表显示了包括在本指南中的域控制器.inf 文件以及这些环境相互之间的关系。例如，文件Enterprise Client – Domain Controller.inf是企业客户机环境下的安全性模板。　　　　 表 4.1: 域控制器基线安全性模板　　　 　　　　注意：将一个配置不正确的组策略对象链接到Domain Controllers OU（域控制器组织单位）可能会严重阻碍域的正常操作。在导入这些安全性模板时应当十分小心，在将GPO到链接到Domain Controllers OU之前，应该确认导入的所有设置都是正确的。　　　　审核策略设置　　　　域控制器的审核策略设置与在MSBP中所指定的一样。要了解更多信息，请参看第3章“创建成员服务器基线”。DCBP中的基线策略确保了所有相关的安全性审核信息都记录在域控制器中。　　　　用户权限分配　　　　DCBP为域控制器指定了许多用户权限的分配方法。除了缺省设置之外，在本指南定义的三种环境下，您可以修改其它 7 种用户权限以强化域控制器的安全性。　　　　该部分详细介绍了DCBP 规定的用户权限设置，这些设置不同于MSBP中的相应设置。关于该部分规定设置的总结信息，请参看包括在本指南中的“Windows Server 2003安全指南设置” Excel 工作簿。　　　　从网络访问您的计算机　　　　 表4.2: 设置　　　 　　　　“从网络访问该计算机”用户权限确定哪些用户和组能够通过网络连接到该计算机。许多网络协议都要求该用户权限，包括基于服务器信息块（SMB）的协议、网络基本输入/输出系统（NetBIOS）、通用互联网文件系统（CIFS）、超级文本传输协议（HTTP）以及COM+等。　　　　在Windows Server 2003中，尽管您可以为“Everyone”（所有人）安全组授予权限，并不再接受匿名用户的访问，但是“Guest”组和账户仍然可以通过“Everyone”安全组访问。因此，本指南推荐在高安全性环境下，从“从网络访问该计算机”中删除“Everyone”安全组，以便进一步防范利用Guest 帐户对域发起的攻击。　　　　向域中添加工作站　　　　 表4.3: 设置　　　 　　　　“向域中添加工作站”权限允许用户向指定的域中添加一台计算机。如果希望该权限生效，它必须作为域的缺省域控制器策略的一部分分配给用户。被授予了该权限的用户可以向域中添加10个工作站。被授予了为OU或 Active Directory 的计算机容器“创建计算机对象”权限的用户，也可以向域中加入计算机。被授予了该权限的用户可以无限制地向域中添加计算机，无论他们是否被分配了“向域中添加工作站”用户权限。　　　　缺省情况下，“Authenticated Users”（经过身份验证的用户）用户组具有向 Active Directory 域中添加10个计算机账户的能力。这些新计算机账户在计算机容器中创建。　　　　在一个 Active Directory 域中，每个计算机账户都是一个完整的安全性主体，拥有认证和访问域资源的能力。有些组织希望限制一个 Act