Windows 2003安全性指南之强化域控制器二

上表表明了服务器要完成特定角色的功能所应打开的基本端口。如果服务器拥有一个静态IP地址，这些端口已经足够。如果要提供附加功能，则可能需要打开附加端口。打开附加端口将使您的环境下的域控制器更容易管理，但是这也可能大大降低服务器的安全性。

您应当在域控制器上使用编号为Q224196的知识库文章“将Active Directory复制流量限制在特定端口上”（http://support.microsoft.com/default.aspx?scid=224196）所建议的数值。这确保了在特定端口上进行域的复制。这里再次需要从超过50 000个端口中任意选择一个用于该目的。在上例中，端口57952被选中。您可以根据需要使用一个不同的端口，但是应当在所有将执行本指南的域控制器上均进行本修改。在知识库文章所介绍的步骤被执行之后，服务器必须重新启动以便让其生效。

正如上表所示，如果环境中运行了Microsoft Operations Manager (MOM)，那么在执行了IPSec过滤器的服务器和MOM服务器之间，您应该允许传输所有的网络通信。这是必需的，因为在MOM服务器和OnePoint 客户端——向MOM控制台提供报告的客户应用程序——之间存在大量的交互过程。其他管理软件也可能具有类似的需求。如果希望获得更高级别的安全性，可将OnePoint 客户的过滤动作配置就IPSec与MOM服务器进行协商。

该IPSec策略将有效地阻止通过任意高端口的通信，因此不允许远程过程调用（RPC）进行通信。这可能使得服务器的管理变得很困难。由于许多端口已经被有效关闭，您可以启用终端服务。以便管理员可以实现远程管理。

上面的网络流量图假设环境中包含启用了Active Directory 的DNS服务器。如果使用了独立的DNS服务器，您可能需要使用附加规则。

IPSec策略的执行将不会对服务器的性能带来明显影响。但是，您应该在执行这些过滤器之前进行测试，以核实服务器保持了必要的功能和性能。您可能还需要添加一些附加规则以支持其他应用程序。

注意：域控制器是一个极端动态的环境，在其上执行IPSec过滤器时应仔细评估，并且应在一个实验室环境下进行彻底测试。由于在域控制器之间存在大量的交互过程，您需要添加IPSec过滤器以允许相互复制信息的域控制器之间的所有通信。在存在许多域控制器的复杂环境下，这要求创建数十个附加的过滤器。这样，过滤器才能有效地保护域控制器。但这将使得执行和管理IPSeC策略十分困难。但是，只拥有很少域控制器的环境可以有效利用IPSec过滤器并从中获益。

本指南包括一个.cmd 文件，它简化了依照指南要求为域控制器创建IPSec过滤器的过程。PacketFilters-DC.cmd 文件使用NETSH命令来创建相应过滤器。您应当修改该.cmd 文件，让其中包含您所在环境中的域控制器的IP地址。脚本中包含两个占位符，这是为将被增加的两个域控制器IP地址所预留的。如果需要，您可以添加其它域控制器。这些域控制器的IP地址列表应当是最新的。

如果环境中有MOM，应当在脚本中指定相应 MOM 服务器的IP地址。该脚本不会创建永久性的过滤器。因此，直到IPSec Policy Agent（IPSec策略代理）被启动时，服务器才会获得保护。要了解关于建立永久过滤器或创建更高级IPSec过滤器脚本的信息，请参看本指南的姐妹篇“威胁与对策：Windows Server 2003和Windows XP中的安全性设置”中的第11章“其它成员服务器的强化程序”。最后，该脚本被配置为不分配其创建的IPSec策略。IP安全性策略管理单元可用来检查所创建的IPSec过滤器，并且分配IPSec策略以便让其生效。

总结

本章解释了在本指南定义的三种环境下保护域控制器安全所必需的服务器强化设置。这里讨论的大多数设置通过组策略加以配置和应用。您可以将对缺省域控制器策略（Default Domain Controller Policy）起到补充作用的组策略对象（Group Policy object ，GPO）链接到Domain Controllers OU（域控制器组织单元）。包括在域控制器基线策略（DCBP）中的设置可强化任何环境下的所有域控制器的总体安全性。通过使用两个GPO来确保域控制器的安全性，您可以保护缺省环境并且简化故障排除工作。

有些服务器强化设置不能通过组策略来应用。对于这种情形，本章提供了关于手动配置这些设置的详细方法。在介绍了如何保护域控制器的安全性后，本指南下面的章节将关注其它几种专用服务器角色的安全性强化措施。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!