域控制器仅仅是一个控制器。它们控制身份验证、可能还有授权和一些会计工作,同时且通常且还为你公司中用作Windows部件的所有事件掌控安全身份的生命周期。
就其本身而论,域控制器存在一些特别安全考虑。那么你如何为这方面评分呢?为了强化域控制器周围的整个环境,请注意以下五个要点。
1. 限制物理访问。这是你可以为你的总体域控制器安全包提供的唯一最大缓解因素。这里的首要问题是,你的域控制器高于你的网络上一切的中央安全机构,并且正如你所知,如果你具备对机器进行本地物理访问的权利,那么就存在许多通过关闭硬盘来获得信息权利的琐碎方法。哈希算法自身提供了一个黑客所需的一切,以使其成为一个真实的、合法的可以通过验证的用户,且如果你控制了域控制器的磁盘,那么这些很容易做到。更不用说通过这些哈希算法来实现实际登录以及修改登录脚本的可能性,以及安装复制到其它域控制器的恶意程序等。
如果你拥有物理的(非虚拟化的)域控制器,那么在你做任何事情之前,请买一个笼子和一个安全锁并把它们置于其后。不要让域控制器运行在管理服务台之下,也不要让你的数据中心成为一个没有锁的小盒子。它拥有公司的安全财富这个领域的钥匙,所以要像你保护支票一样保护它:置于锁和钥匙的保护下。
2. 从一开始就合理设计。一个适当设计的活动目录拓扑结构将会包含威胁,以至于即使是域控制器也会受到危害,但是你的整个森林网络不必被摧毁和重建。请确保你的森林和域反映了你在不同的城市、区县以及国家拥有的真实的、物理的位置;让你的组织单元和你的公司里拥有的机器类型和人员相匹配;并且让安全组代表你的组织结构图的层次结构。那么,如果在一个森林中用于欧洲的域控制器受到了损害,你就不必重建用于亚洲的域控制器。
3. 虚拟化你的域控制器。通过使用虚拟机作为你的域控制器,你就可以使用BitLocker或者其它的全驱动器加密产品对你的虚拟硬盘所在的磁盘进行加密。然后,请确保运行这些虚拟机的主机没有加入这个域。如果由于某种原因有人偷走了你的主机和域控制器,那么对于一个在你的目录中植入恶意文件的攻击者来讲,解密硬盘来获得对虚拟硬盘的访问的可能性会是另一个障碍。
4. 遵从安全信托的最佳做法。正如安全专家所说的,了解你的范围。这里存在一个很好的指南,用来理解信托以及其中关于TechNet的各种考虑。请仔细注意有选择性的身份认证章节,它包含一个很好的防止随机访问攻击的方法。
5. 保证目录服务还原模式的密码比其它任何密码更安全。目录服务还原模式是一个特别的模式,当出现某些错误时,利用它来离线修复活动目录。目录服务还原模式密码是一个特别的后门,它提供了对目录的管理访问。你是在一个离线的文本模式状态下使用它。把它个密码当作一个可以进入林的东西来保护它,因为它就是这样。你也可以为Windows Server 2008下载一个hotfix,它将会使目录服务还原密码与域管理员账号同步。或者,如果你已经安装了Service Pack 2版本,那么你已经拥有了这个功能,仅仅使用如下命令即可:
ntdsutil "set dsrm password" "sync from domain account
" q q
总之,如果一个域控制器被窃取或者以其它方式让你的公司财产处于一个未认证的状态,那么你可以不再信任那个机器。但不幸的是,因为那个域控制器包含了关于你IT身份的所有有价值的东西以及密码,所以最好的(也是最容易后悔和痛苦的)建议只能是毁灭该林并重建它。这就是最规范和积极主动的最佳做法,它构成了本文的第一点。