Windows 2003安全性指南之强化域控制器二
目录服务 运行Windows Server 2003的域控制器存储目录数据并且管理用户和域之间的交互过程,包括用户登录过程,身份验证以及目录搜索。 重新部署数据 ― Active Directory 数据库和日志文件 保护 Active Directory 数据库和日志文件的安全对于维护目录集成和系统可靠性非常重要。 如果一台域控制器被破坏,将ntds.dit、edb.log和temp.edb等文件从缺省位置移动到其它位置将有助于防止它们遭受攻击。而且,将这些文件从系统卷中转移到一个独立的物理磁盘卷可提高域控制器的性能。 因此,本指南建议:在本指南定义的三种环境下,将域控制器的 Active Directory 和日志文件从系统卷的缺省位置转移到一个非系统卷的条带或条带/镜像磁盘卷。 改变 Active Directory 日志文件大小 您应该确保环境中有足够的域控制器信息被记录和维护,这对于有效监视和维持 Active Directory 的完整性、可靠性和可用性非常重要。 您可以提高日志文件大小的上限,以便在遭受电脑黑客攻击时,为管理员提供充足的必要信息来完成审核。 因此,本指南建议:在本指南定义的三种环境下,将域控制器上目录服务(Directory Service)和文件复制服务(File Replication Service)的日志文件大小的最大值从缺省的512KB增加到16MB。 使用Syskey 在域控制器上,密码信息被存储在目录服务中,他人可以针对安全账户管理(SAM)数据库或目录服务使用密码破解软件以获取用户账户的密码,这种情况经常出现。 Syskey的使用为抵御离线密码破解软件提供了一道附加防线。Syskey使用了高级加密技术来保护存储在目录服务中的密码信息的安全。 表4.19: Syskey模式 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |