第 5 章：域控制器基准策略

关键字： Windows Server 2003 安全指南

概述

在任何包含运行 Microsoft® Windows Server™ 2003 SP1 和 Active Directory® 目录服务的计算机的环境中，解决域控制器服务器角色的安全问题是最重要的方面之一。如果此类环境中的域控制器丢失或遭到破坏，就会严重影响依赖域控制器进行身份验证的客户端计算机、服务器和应用程序，组策略以及中央轻型目录访问协议 (LDAP) 目录。

由于其重要性，应始终将它们放在只有合格的管理员工才能访问的物理安全位置。当域控制器必须存储在不安全的位置（如分支办公室）时，可调整一些安全设置以限制潜在的物理破坏。

域控制器基准策略

与本指南后续详细介绍的其他服务器角色策略不同，域控制器服务器角色的组策略是一种类似于第 4 章“成员服务器基准策略”中定义的成员服务器基准策略 (MSBP) 的基准策略。域控制器基准策略 (DCBP) 链接到域控制器组织单位 (OU) 并优先于默认的域控制器策略。DCBP 包括的策略设置将加强任何环境中所有域控制器的整体安全性。

DCBP 的大部分内容是从 MSBP 复制的。因此，您应当仔细阅读第 4 章“成员服务器基准策略”以充分了解 DCBP 附带的许多其他策略设置。本章仅说明与 MSBP 中的那些设置不同的 DCBP 设置。

域控制器模板经过独特设计，解决了本指南中定义的三种环境的安全需要。下表显示了本指南附带的适用于旧客户端 (LC)、企业客户端 (EC) 以及专用安全 – 限制功能 (SSLF) 环境的域控制器 .inf 文件。例如，EC-Domain Controller.inf 文件是适用于企业客户端环境的安全模板。

表 5.1 域控制器基准安全模板

注意：如果将错误配置的组策略对象 (GPO) 链接到域控制器 OU，域操作就可能会严重受损。导入这些安全模板时应格外小心，并在将 GPO 链接到域控制器 OU 之前验证所有导入的策略设置是否都正确。

审核策略设置

域控制器的审核策略设置与 MSBP 中指定的那些设置几乎相同。有关详细信息，请参阅第 4 章“成员服务器基准策略”。DCBP 中的策略设置确保将所有相关的安全审核信息都记录在域控制器上。

表 5.2 推荐的审核策略设置

审核目录服务访问

此策略设置确定在用户访问一个具有其自身的指定系统访问控制列表 (SACL) 的 Active Directory 对象时，是否对该用户进行审核。如果定义了“审核目录服务访问”设置，则可以指定是否审核成功、失败或根本不审核事件类型。当用户成功访问具有指定 SACL 的 Active Directory 对象时，成功审核将生成一个审核项。当用户尝试访问具有指定 SACL 的 Active Directory 对象失败时，失败审核将生成一个审核项。

如果您在 DCBP 中启用“审核目录服务访问”设置，然后在目录对象上配置 SACL，则域控制器上的安全日志中会生成大量条目。只有当确实要使用所创建的信息时，才应启用此设置。

在 LC 和 EC 环境中，“审核目录服务访问”设置被配置为“无审核”。在 SSLF 环境中，它被配置为记录“失败”事件。

下表包括“审核目录服务访问”设置记录在安全日志中的重要安全事件。

表 5.3 目录服务访问事件

用户权限分配设置

DCBP 为域控制器指定许多用户权限分配。除了默认配置之外，还修改了几种用户权限设置以加强本指南定义的三种环境中域控制器的安全性。

本部分提供了有关 DCBP 的规定用户权限设置的详细信息，这些设置不同于 MSBP 中的那些设置。有关本节中规定设置的摘要，请参阅本指南的可下载版本附带的 Microsoft Excel® 工作簿“Windows Server 2003 安全指南设置”。

下表汇总了推荐的 DCBP 用户权限分配设置。表后的小节提供了有关每个设置的附加信息。

表 5.4 推荐的用户权限分配设置

从网络访问此计算机

此策略设置确定允许哪些用户和组通过网络连接到域控制器。许多网络操作需要此设置，包括在域控制器之间进行 Active Directory 复制、从用户和计算机向域控制器发出身份验证请求以及请求访问共享文件夹和打印机。

虽然在 Windows Server 2003 SP1 中分配给 Everyone 安全组的权限不再向匿名用户提供访问权限，但仍可以通过 Everyone 安全组向来宾组和帐户提供访问权限。

因此，在 SSLF 环境的 DCBP 中，将从“从网络访问此计算机”用户权限中删除 Everyone 安全组。删除此组可提供额外的保护，防止针对域来宾访问权限进行的攻击。对于 LC 和 EC 环境，此策略设置被配置为“没有定义”。

域中添加工作站

此策略设置指定哪些用户可以将计算机工作站添加到特定域中。要使此策略设置生效，必须将它作为域的默认域控制器策略的一部分分配给该用户。被授予此权限的用户可以将多达 10 个工作站添加到域中。那些被分配了“创建计算机对象”权限（适用于 OU 或 Active Directory 中的计算机容器）的用户可以将无限数量的计算机添加到域中，而不管他们是否被授予“域中添加工作站”用户权限。

默认情况下，Authenticated Users 组中的所有用户能够向 Active Directory 域中最多添加 10 个计算机帐户。这些新计算机帐户是在计算机容器中创建的。

在基于 Windows 的网络中，术语安全主体定义为用户、组或被自动分配了安全标识符以控制资源的访问权限的计算机。在 Active Directory 域中，每个计算机帐户是一个完整的安全主体，它能够对域资源进行身份验证和访问。不过，某些组织可能想要限制 Active Directory 环境中计算机的数量，以便他们可以持续跟踪、构建和管理计算机。如果允许用户将计算机添加到域中，则跟踪和管理工作将受到阻碍。此外，用户还可以执行更难跟踪的活动，因为他们能够创建其他未经授权的域计算机。

因此，在 SSLF 环境的 DCBP 中，“域中添加工作站”用户权限仅分配给 Administrators 组。对于 LC 和 EC 环境，此策略设置被配置为“没有定义”。

允许在本地登录

此策略设置指定哪些用户可以在域控制器上启动交互式会话。如果用户被分配了“通过终端服务允许登录”用户权限，则即使没有上述权限，他们仍能在域控制器上启动远程交互式会话。

您应该限制可以登录到域控制器控制台的帐户数量，以帮助防止对域控制器文件系统和系统服务进行未经授权的访问。能够登录到域控制器控制台的用户可以恶意利用计算机，并可能破坏整个域或林的安全性。

默认情况下，Account Operators、Backup Operators、Print Operators 和 Server Operators 组被分配了域控制器上的“允许在本地登录”用户权限。这些组中的用户不必登录到域控制器来完成其管理任务，他们应可以从其他工作站来执行其任务。只有 Administrators 组中的用户应该对域控制器执行维护任务。

如果只将“允许在本地登录”用户权限分配给 Administrators 组，则物理和交互式域控制器访问权限将仅限于高度信任的用户，从而增强了安全性。因此，在 SSLF 环境的 DCBP 中，“允许在本地登录”用户权限仅分配给 Administrators 组。对于 LC 和 EC 环境，此策略设置被配置为包括 Server Operators 和 Backup Operators 组。

通过终端服务允许登录

此策略设置指定哪些用户可以通过“远程桌面连接”登录到域控制器。

您应该限制可以通过终端服务登录到域控制器控制台的帐户数量，以帮助防止对域控制器文件系统和系统服务进行未经授权的访问。能够通过终端服务登录到域控制器控制台的用户可以该计算机，并且可能破坏整个域或林的安全性。

如果只将“通过终端服务允许登录”用户权限分配给 Administrators 组，则物理和交互式域控制器访问权限将仅限于高度信任的用户，从而增强了安全性。因此，在本指南定义的所有三种环境的 DCBP 中，仅将“通过终端服务允许登录”用户权限分配给 Administrators 组。默认情况下，通过终端服务登录域控制器要求管理访问权限，但是配置此策略设置有助于防止可能破坏网络的无意或恶意操作。

作为附加的安全措施，DCBP 拒绝向默认管理员帐户授予“通过终端服务允许登录”用户权限。此配置可防止恶意用户尝试使用默认管理员帐户远程侵入域控制器。有关此策略设置的详细信息，请参阅第 4 章“成员服务器基准策略”。

更改系统时间

此策略设置指定哪些用户可以调整计算机的内部时钟的时间。但是，不需要更改系统时间的时区或其他显示特性。

同步的系统时间对于 Active Directory 的操作至关重要。Kerberos v5 身份验证协议所使用的正确的 Active Directory 复制和身份验证票证生成过程均依赖于在任何环境中同步的时间。

如果域控制器时钟与环境中的其他域控制器上的系统时间不同步，则可能妨碍域服务操作。如果只允许管理员修改系统时间，就可以最小化域控制器上系统时间错误的可能性。

默认情况下，Server Operators 组能够修改域控制器上的系统时间。此组成员错误地修改域控制器的时钟会导致问题，因此在本指南定义的所有三种环境的 DCBP 中，仅将“更改系统时间用户权限”分配给 Administrators 组。

有关 Microsoft Windows® 时间服务的详细信息，请参阅 Windows Time Service Technical Reference，网址为 www.microsoft.com/technet/prodtechnol/windowsserver2003/
library/TechRef/a0fcd250-e5f7-41b3-b0e8-240f8236e210.mspx。

允许计算机和用户帐户被信任以便用于委任

此策略设置指定哪些用户可以更改 Active Directory 中用户或计算机对象上的“已为委派信任”设置。身份验证委派是多层客户端/服务器应用程序所使用的功能。它允许前端服务（如应用程序）使用客户端凭据对后端服务（如数据库）进行身份验证。要使这种身份验证成为可能，客户端和服务器都必须在受信任进行委派的帐户下运行。

滥用此用户权限可能允许未经授权的用户模拟网络上的其他用户。攻击者可以利用此用户权限来获取网络资源的访问权限，如同他们是另一用户，这使得在发生安全事件后很难确定发生的情况。

对于 SSLF 环境，“允许计算机和用户帐户被信任以便用于委任”用户权限仅被分配给域控制器上的 Administrators 组。对于 LC 和 EC 环境，此策略设置被配置为“没有定义”。

注意：尽管默认域控制器策略向 Administrators 组分配此权限，但是由于 DCBP 最初基于 MSBP，因此 DCBP 仅强制在 SSLF 环境中使用此权限。MSBP 向此权限分配一个空值。

装载和卸载设备驱动程序

此策略设置指定哪些用户可以加载和卸载设备驱动程序，且需要加载和卸载即插即用型设备。

域控制器上粗心的设备驱动程序管理会为错误或恶意代码提供对域控制器的操作造成负面影响的机会。如果在 DCBP 中，将可加载和卸载设备驱动程序的帐户限制于最受信任的用户，则您可以将使用设备驱动程序来破坏域控制器的可能性降到最低。

默认情况下，“装载和卸载设备驱动程序”用户权限被分配给 Print Operators 组。如前所述，建议不要在域控制器上创建打印机共享，这样 Print Operators 不必加载和卸载设备驱动程序。因此，在本指南定义的所有三种环境的 DCBP 中，仅将“装载和卸载设备驱动程序”用户权限分配给 Administrators 组。

还原文件和目录

此策略设置指定哪些用户可以在还原过程中绕过文件和目录权限。任何有效的安全主体均可被设置为对象的所有者。

能够将文件和目录还原到域控制器的文件系统的帐户都可以轻松修改可执行文件。恶意用户不仅可以利用此功能致使域控制器无效，还可以破坏域或整个林的安全性。

默认情况下，“还原文件和目录”用户权限被分配给 Server Operators 和 Backup Operators 组。如果从这些组中删除此用户权限，并仅将其分配给 Administrators 组，则可以降低由于对文件系统的错误修改而导致域控制器遭到破坏的可能性。因此，在本指南定义的所有三种环境的 DCBP 中，仅将“还原文件和目录”用户权限分配给 Administrators 组。

关闭系统

该策略设置指定哪些用户可关闭本地计算机。

具有关闭域控制器能力的恶意用户可轻松地启动一个可能严重影响整个域或林的拒绝服务 (DoS) 攻击。当域控制器的帐户重新启动服务时，攻击者可以利用此用户权限对它启动特权提升攻击。对域控制器的一次成功的特权提升攻击将威胁域或整个林的安全性。

默认情况下，“关闭系统”用户权限被分配给 Administrators、Server Operators、Print Operators 和 Backup Operators 组。在安全环境中，除 Administrators 之外，其他组均不需要此权限来执行管理任务。因此，在本指南定义的所有三种环境的 DCBP 中，仅将“关闭系统”用户权限分配给 Administrators 组。

安全选项

域控制器的大多数安全选项设置与 MSBP 中指定的设置相同。有关详细信息，请参阅第 4 章“成员服务器基准策略”。以下各节描述了 MSBP 与 DCBP 策略设置之间的差异。

域控制器设置

表 5.5 安全选项：域控制器设置建议

域控制器：允许服务器操作员计划任务

此策略设置确定是否允许 Server Operators 组的成员通过 AT 计划工具提交作业。

在本指南定义的所有三种环境的 DCBP 中，“域控制器：允许服务器操作员计划任务”设置被配置为“已禁用”。此策略设置配置对于大多数组织的影响应很小。用户（包括 Server Operators 组的用户）仍然可以通过任务计划程序向导创建作业，但这些作业运行的上下文将是用户设置作业时进行身份验证所用帐户的上下文。

注意：要选择 LOCAL SYSTEM 帐户以外的其他帐户，可以修改 AT 服务帐户。要更改帐户，请打开“系统工具”，单击“任务计划”，然后单击“附件”文件夹。然后在“高级”菜单上单击“AT 服务帐户”。

域控制器：LDAP 服务器签名要求

此策略设置确定 LDAP 服务器在与 LDAP 客户端协商之前是否需要签名。既未签名也未加密的网络传输易受到中间人攻击，在这种攻击中，入侵者捕获服务器和客户端之间的数据包、修改它们然后将它们转发到客户端。对于 LDAP 服务器，攻击者可能会导致客户端基于来自 LDAP 目录的错误记录作出决定。

如果所有域控制器运行 Windows 2000 或 Windows Server 2003，请将“域控制器：LDAP 服务器签名要求”设置配置为“要求签名”。否则，请保留此策略设置配置为“没有定义”，这是 LC 和 EC 环境的 DCBP 配置。在 SSLF 环境的 DCBP 中，此策略设置被配置为“要求签名”，因为此环境中的所有计算机均运行 Windows 2000 或 Windows Server 2003。

域控制器：拒绝更改机器帐户密码

此策略设置确定域控制器是否将拒绝成员计算机更改计算机帐户密码的请求。如果在域中的所有域控制器上启用此策略设置，则域成员上的计算机帐户密码将不能被更改，它们将更容易受到攻击。

因此，在本指南定义的所有三种环境的 DCBP 中，“域控制器：拒绝更改机器帐户密码”设置被配置为“已禁用”。

网络安全设置

表 5.6 安全选项：网络安全设置建议

网络安全：不要在下次更改密码时存储 LAN Manager 的哈希值

此策略设置确定密码更改时是否存储了新密码的 LAN Manager (LM) 哈希值。与加密性更强的 Windows NT® 哈希相比，LM 哈希相对较弱，更易于遭受攻击。

因此，在本指南定义的所有三种环境中，DCBP 启用“网络安全：不要在下次更改密码时存储 LAN Manager 的哈希值”设置。

注意：如果启用此策略设置，旧操作系统和某些第三方应用程序可能失败。例如，如果 Windows 95 和 Windows 98 未安装 Active Directory 客户端扩展，则会失败。另外，如果启用此策略设置，将要求所有帐户更改其密码。

事件日志设置

域控制器的事件日志设置与 MSBP 中指定的设置相同。有关详细信息，请参阅第 4 章“成员服务器基准策略”。DCBP 中的基准设置确保域控制器上记录了所有相关安全审核信息，包括目录服务访问。

受限制的组

如前一章所述，“受限制的组”设置使您可以通过 Active Directory 组策略管理 Windows Server 2003 SP1 中的组成员身份。首先，检查组织需要，确定要限制的组。对于域控制器，在本指南定义的所有三种环境中，Server Operators 和 Backup Operators 组受到限制。虽然 Server Operators 和 Backup Operators 组的成员的访问权限比 Administrators 组的成员少，他们仍有强大能力。

注意：如果您的组织使用了这些组，则应仔细地控制该组的成员，并且不要实施用于“受限制的组”设置的指导。如果您的组织将用户添加到 Server Users 组，则可能需要实施前一章“确保文件系统的安全”部分所述的可选文件系统权限。

表 5.7 受限制的组建议

“受限制的组”设置可在 Windows Server 2003 SP1 中组策略对象编辑器的以下位置进行配置：

计算机配置\Windows 设置\安全设置\受限制的组

要为 GPO 配置受限制的组，管理员可将所需的组直接添加到 GPO 名称空间的“受限制的组”节点。

当某个组受到限制时，您可以定义其成员以及其所属的任何其他组。如果不指定这些组成员，组将保持完全受限。只能通过安全模板限制组。

查看或修改“受限制的组”设置

在本指南中，在两种环境中删除了 Server Operators 和 Backup Operators 组的所有成员（用户和组）以便完全限制它们。另外，对于 SSLF 环境，Remote Desktop Users 组的所有成员将被删除。对于组织中不准备使用的任何内置组，Microsoft 建议您对它加以限制。

注意：本节所述的“受限制的组”配置非常简单。Windows XP 的 SP1 和 SP2 版本以及 Windows Server 2003 支持更复杂的设计。有关详细信息，请参阅 Microsoft 知识库文章“Updates to Restricted Groups ("Member of") Behavior of User-Defined Local Groups”，网址为 http://support.microsoft.com/default.aspx?kbid=810076。

其他安全设置

本节介绍了必须对 DCBP 进行的手动修改，以及无法通过组策略实施的其他设置和对策。

在用户权限分配中手动添加唯一的安全组

本指南附带的安全模板中正确指定了通过 DCBP 应用的大多数用户权限分配。但是，有几个帐户和安全组不能包含于模板中，因为它们的安全标识符 (SID) 特定于各个 Windows Server 2003 域。下表中指定了必须手动配置的用户权限分配。

警告：下表包含内置 Administrator 帐户的值。不要将此帐户与内置 Administrators 安全组相混淆。如果您将 Administrators 安全组添加到以下任一拒绝访问用户权限中，则将需要在本地登录以修正错误。

另外，如果根据第 4 章“成员服务器基准策略”重命名了内置的 Administrator 帐户，请确保在将帐户添加到任何拒绝访问用户权限时选择了重命名后的管理员帐户。

表 5.8 手动添加的用户权限分配

重要：“所有非操作系统服务帐户”包括用于企业中特定应用程序的服务帐户，但不包括 LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE 帐户（操作系统使用的内置帐户）。

目录服务

运行 Windows Server 2003 SP1 的域控制器存储目录数据并管理用户与域的交互操作，包括用户登录进程、身份验证和目录搜索。

重定位“数据 – Active Directory”数据库和日志文件

要维护目录完整性和可靠性，保护 Active Directory 数据库及其日志文件非常重要。

您可以转移 Ntds.dit、Edb.log 和 Temp.edb 文件，这样做可在域控制器受到破坏时帮助防范恶意攻击。如果将这些文件从系统卷移到单独的物理磁盘，则将获得域控制器性能提高的附加优点。

因此，本指南建议将 Active Directory 数据库和日志文件从域控制器移到不包含操作系统的带区或带区/镜像磁盘卷。对于本指南定义的所有三种环境应移动这些文件。

调整 Active Directory 日志文件的大小

必须记录足够的信息量，才能有效监视和维护 Active Directory 的完整性、可靠性和可用性。需要环境中所有域控制器的信息。

您可以增加日志文件的最大大小来支持此工作。如果发生黑客攻击，大多数日志信息将使管理员可以执行有意义的审核。

在本指南定义的所有三种环境中，本指南建议您将域控制器上的目录服务和文件复制服务日志文件的最大大小从 512 KB 默认值增加到 16 MB。

使用 Syskey

在域控制器上，密码信息保存在 Active Directory 中。密码破解软件经常将安全帐户管理器 (SAM) 数据库或目录服务作为攻击目标，以获取用户帐户的密码。

针对离线密码破解软件，系统密钥工具 (Syskey) 为用户密码构筑了又一道防线。Syskey 使用强加密技术来保护域控制器上的 SAM 中存储的帐户密码信息。

表 5.9 Syskey 模式

在所有 Windows Server 2003 SP1 服务器的模式 1（模糊密钥）下启用了 Syskey。从安全角度看，这种配置起初似乎比较合理。然而，模式 1 下的 Syskey 允许攻击者读取和改变目录的内容，这使域控制器容易受到可以物理访问的攻击者的破坏。

对于任何面临物理安全威胁的域控制器，强烈推荐使用模式 2（控制台密码）或模式 3（软盘存储 Syskey 密码）的 Syskey。然而，需要重新启动域控制器的操作往往难以支持 Syskey 模式 2 或模式 3。要充分利用这些 Syskey 模式提供的附加保护，必须在目前环境中实施正确的操作规程以符合域控制器指定的可用性要求。

Syskey 密码或软盘管理逻辑学相当复杂，尤其在分支办公室中更是如此。例如，为使用户能够访问而要求一个部门经理或本地管理人员在凌晨 3 点输入密码或插入软盘过于苛刻。如此苛刻的要求可能使实现高可用性服务级别协议 (SLA) 成为一个大难题。

或者，如果决定允许您的中央 IT 操作人员远程提供 Syskey 密码，则需要附加的硬件。某些硬件供应商具有附加解决方案，允许您远程访问服务器控制台。

最后，丢失 Syskey 密码或软盘将使域控制器处于无法重新启动的状态。如果丢失 Syskey 密码或软盘，则无法恢复域控制器。如果发生这种情况，必须重建域控制器。

使用正确的操作过程，Syskey 可提供更高级别的安全性来保护域控制器上的敏感目录信息。因此，对于位于弱物理安全性位置的域控制器，推荐使用 Syskey 模式 2 或模式 3。此配置适用于本指南描述的所有三种环境中的域控制器。

创建或更新系统密钥

与 Active Directory 集成的 DNS

Microsoft 建议在本指南定义的三种环境中使用与 Active Directory 集成的 DNS。此建议的部分原因是 Active Directory 区域集成使得在使用与 Active Directory 集成的 DNS 的环境中保护 DNS 基础结构比在不使用与 Active Directory 集成的 DNS 的环境中更简单。

保护 DNS 服务器

在任何 Active Directory 环境中保护 DNS 服务器非常重要。下面各节提供了有关如何保护 DNS 服务器的一些建议和解释。

当 DNS 服务器被攻击时，攻击者的一个可能目标是控制响应 DNS 客户端查询返回的 DNS 信息。如果攻击者控制此信息，则客户端可能在不知情的情况下被重定向到未经授权的计算机。IP 欺骗和缓存中毒均属于此类攻击。

在 IP 欺骗中，授权用户的 IP 地址被添加到传输数据中，以骗取访问计算机或网络的权限。在缓存中毒攻击中，未经授权的主机将有关其他主机的错误信息传输到 DNS 服务器缓存中。攻击导致客户端被重定向到未经授权的计算机。

如果允许客户端计算机与未经授权的计算机通信，则未经授权的计算机可能试图获取访问客户端计算机上的信息的权限。

并非所有攻击均集中于欺骗 DNS 服务器。一些 DoS 攻击可能会更改合法 DNS 服务器中的 DNS 记录。这样，客户端在发出查询请求后，将收到无效的地址。如果 DNS 服务器返回无效的地址，则客户端和服务器无法找到正常运行所需的资源，例如域控制器、Web 服务器或文件共享。

因此，请配置在本指南定义的三种环境中使用的路由器以丢弃哄骗的 IP 数据包，从而帮助确保 DNS 服务器的 IP 地址不被其他计算机欺骗。

配置安全的动态更新

Windows Server 2003 SP1 中的 DNS 客户端服务支持动态的 DNS 更新，这允许客户端计算机将 DNS 记录直接添加到数据库中。如果动态 DNS 服务器被配置为接受不安全更新，则攻击者可能从支持 DNS 动态更新协议的客户端计算机传输恶意或未经授权的更新。

攻击者至少可以将错误项目添加到 DNS 数据库中。在最坏情况下，攻击者可覆盖或删除 DNS 数据库中的合法项目。这样攻击者可以完成下列任何操作：

如果是由 Active Directory 林中的有效客户端发送注册请求，则使用安全的动态 DNS 更新将保证只对注册请求进行处理。此方法大大限制了攻击者破坏 DNS 服务器完整性的能力。

因此，在本指南定义的三种环境中的 Active Directory DNS 服务器被配置为仅接受安全动态更新。

将区域传输限制在已授权系统

由于 DNS 中的区域非常重要，应可从网络上多个 DNS 服务器中获得它们，以便为名称解析查询提供足够的可用性和容错。当其他服务器宿主某个区域时，需要区域传输来为配置为宿主该区域的每台服务器复制和同步该区域的所有副本。

另外，不限制可以请求区域传输的用户的 DNS 服务器易将整个 DNS 区域传输到请求它的任何用户。使用 Nslookup.exe 之类的工具可以轻松地完成此传输。这些工具会暴露整个域的 DNS 数据集，包括哪些主机充当域控制器、与目录集成的 Web 服务器或 Microsoft SQL Server™ 数据库。

因此，请配置本指南定义的三种环境中的 Active Directory 集成 DNS 服务器以允许区域传输，但是限制可以请求传输的计算机。

调整事件日志和 DNS 服务日志的大小

必须记录足够的信息量，才能有效监视和维护 DNS 服务。需要环境中所有域控制器的信息。

可以增加 DNS 服务日志文件的最大大小，这使管理员可以在发生攻击时执行有意义的审核。

在本指南定义的所有三种环境中，本指南建议您将域控制器上的 DNS 服务日志文件的最大大小至少增加到 16 MB。另外，确保选择了 DNS 服务中的“按需要覆盖事件”选项以便使保留的日志项目数量最大化。

保护众所周知的帐户

Windows Server 2003 SP1 具有大量不能删除但可重命名的内置用户帐户。Windows Server 2003 中的两个最为人熟知的内置帐户为 Guest 和 Administrator。

默认情况下，Guest 帐户在成员服务器和域控制器上被禁用。此配置不可更改。许多恶意代码的变种在初次尝试破坏服务器时使用内置 Administrator 帐户。因此，应重命名内置 Administrator 帐户和更改其描述，以帮助防止尝试使用此知名帐户的攻击者对远程服务器进行破坏。

近几年来，进行上述重命名配置的意义已经大大降低了，因为出现了很多新的攻击工具，这些工具通过指定内置 Administrator 帐户的安全标识符 (SID) 来确定该帐户的真实姓名，从而侵入服务器。SID 是用来唯一标识网络上的每个用户、用户组、计算机帐户和登录会话的值。此内置帐户的 SID 是不可能更改的。不过，如果您使用独特的名称来重命名 Administrator 帐户，您的操作组就可以轻松监视针对该 Administrator 帐户所进行的攻击尝试。

完成下列步骤可保护域和服务器上众所周知的帐户：

保护服务帐户

除非不可避免，否则不要将服务配置为在域帐户的安全上下文下运行。如果服务器受到物理破坏，可以通过转储 LSA 机密轻松获取域帐户密码。有关如何保护服务帐户的详细信息，请参阅服务和服务帐户安全规划指南，网址为 www.microsoft.com/technet/security/topics/serversecurity/serviceaccount/default.mspx。

终端服务设置

表 5.10 推荐的终端服务设置

“设置客户端连接加密级别”设置确定环境中终端服务客户端连接的加密级别。使用 128 位加密的“高级别”选项可防止攻击者使用数据包分析程序对终端服务进行窃听。某些旧版终端服务客户端不支持此高级加密。如果网络包含此类客户端，请设置连接加密级别以使用该客户端支持的最高加密级别发送和接收数据。

在本指南定义的三种安全环境中的 DCBP 中，“设置客户端连接加密级别”设置被配置为“已启用”且选择了“高级别”加密。

您可以使用组策略对象编辑器在 Windows Server 2003 的以下位置配置此策略设置：

计算机配置\管理模板\Windows 组件\
终端服务\加密与安全性

下表介绍了三种可用的加密级别：

表 5.11 终端服务加密级别

错误报告

表 5.12 推荐的错误报告设置

此服务帮助 Microsoft 跟踪和解决错误。您可以将此服务配置为给操作系统错误、Windows 组件错误或程序错误生成报告。仅 Windows XP Professional 和 Windows Server 2003 提供此功能。

Error Reporting 服务可通过 Internet 将此类错误报告给 Microsoft 或内部文件共享。虽然错误报告可能包含敏感或者甚至机密的数据，但是关于错误报告的 Microsoft 隐私策略将确保 Microsoft 不会滥用此类数据。但是，如果以明文 HTTP 传输数据，第三方就可以在 Internet 上截取并查看该数据。

“关闭 Windows 错误报告”设置控制错误报告服务是否传输任何数据。

您可以使用组策略对象编辑器在 Windows Server 2003 的以下位置配置此策略设置：

计算机配置\管理模板\系统\Internet 通信管理\Internet 通信设置

在本指南定义的所有三种环境的 DCBP 中，请将“关闭 Windows 错误报告”设置配置为“已启用”。

使用 SCW 创建策略

要部署必要的安全设置，您必须使用安全配置向导 (SCW) 和本指南的可下载版本附带的安全模板创建域控制器基准策略。

创建您自己的策略时，确保跳过“注册表设置”和“审核策略”部分。这些策略设置是安全模板针对所选环境提供的。此方法是确保模板提供的策略元素优先于 SCW 配置的元素所必需的。

您应该使用新的操作系统安装开始您的配置工作，这将有助于确保没有来自以前配置的旧设置或软件。如有可能，您应在类似于部署中所使用的硬件上安装操作系统，以帮助确保尽可能高的兼容性。新安装称为引用计算机。

创建域控制器基准策略

您必须使用配置为域控制器的计算机来创建域控制器基准策略。您可以使用现有域控制器或创建引用计算机并使用 Dcpromo 工具将计算机设为域控制器。但是，大多数机构都不希望将域控制器添加到他们的生产环境中，因为它可能会违反其安全策略。如果使用现有域控制器，请确保不要使用 SCW 将任何设置应用到该域控制器或修改其配置。

使用 SCW 测试策略

在您创建和保存策略后，Microsoft 强烈建议您将其部署到测试环境中。理想情况下，测试服务器和生产服务器应具有相同的硬件和软件配置。此方法将允许您找到和修复潜在的问题，例如特定硬件设备需要意料之外的服务。

两个选项都可用于测试该策略。您可以使用本机 SCW 部署工具，或通过 GPO 来部署策略。

开始创作您的策略时，您应当考虑使用本机 SCW 部署工具。使用 SCW 可一次将策略强制到一个服务器，也可以使用 Scwcmd 将策略强制到一组服务器。本机部署方法提供的一种优势是能够在 SCW 中轻松回滚部署的策略。在进行测试的过程中对策略做出多次更改时，此功能就非常有用。

测试该策略的目的是确保在将此策略应用到目标服务器时不会对其重要的功能造成负面影响。应用配置更改之后，应开始验证计算机的核心功能。例如，如果将服务器配置为证书颁发机构 (CA)，请确保客户端可以请求和获取证书、下载证书吊销列表等。

如果对您的策略配置非常有信心，就可以使用以下过程中显示的 Scwcmd 将策略转换为 GPO。

有关如何测试 SCW 策略的详细信息，请参阅 Deployment Guide for the Security Configuration Wizard（网址为 www.microsoft.com/technet/prodtechnol/windowsserver2003/
library/SCWDeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx ）和 Security Configuration Wizard Documentation（网址为 http://go.microsoft.com/fwlink/?linkid=43450）。

转换和部署策略

在彻底测试策略之后，请完成以下步骤以便将策略转换为 GPO 并进行部署：

scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>

scwcmd transform 
/p:"C:\Windows\Security\msscw\Policies\Domain Controller.xml" 
/g:"Domain Controller Policy"

注意，如果 SCW 安全策略文件包含 Windows 防火墙设置，那么为使该过程成功完成，就必须在本地计算机上激活 Windows 防火墙。要验证 Windows 防火墙是否已激活，请打开“控制面板”，然后双击“Windows 防火墙”。

记住，新建的 GPO 可能需要一些时间来复制到所有域控制器，特别是在域控制器位于多个站点的环境中。验证 GPO 已复制成功之后，应该执行最终测试以确保 GPO 应用了期望的策略设置。要完成此过程，请确认是否进行了适当的设置，而且功能未受影响。

总结

本章解释了如何在本指南定义的三种环境中强化运行 Windows Server 2003 SP1 的域控制器。论述的大部分策略设置是通过组策略配置和应用的。补充默认域控制器策略的域控制器基准策略 (DCBP) 被链接到域控制器 OU。

对于任何环境中的域控制器，DCBP 设置会提高总体安全。使用两个 GPO 保护域控制器可保留默认环境并简化故障排除过程。

论述的许多策略设置无法通过组策略应用。对于这些设置，提供了手动配置详细信息。

在为安全配置域控制器之后，可以使其他服务器角色变得更安全。本指南的以下各章重点介绍如何保护其他几种特定服务器角色。

更多信息

下列链接提供了与强化运行 Windows Server 2003 SP1 的域控制器相关的主题的附加信息。