Windows 2003安全性指南之强化域控制器二

在模式1（模糊密钥）中的所有Windows Server 2003服务器上，Syskey被启用。对于暴露于物理安全威胁之下的任何域控制器，我们有充分的理由推荐您使用模式2（控制台密码）或模式3（软盘存储Syskey密码）中的Syskey。

从安全的角度而言，首先这样似乎更明智，因为如果攻击者能够以物理方式访问到计算机，那么域控制器很容易被重新启动。模式1的Syskey使得攻击者能够读取和改变目录的内容。

然而，Syskey的模式 2 和模式 3 难以支持通过重新启动让域控制器恢复正常运行的操作要求。为了利用这些Syskey 模式提供的额外保护，必须在您的环境中执行适当的操作过程，以满足域控制器的特定可用性需求。

Syskey密码或软盘管理的后勤工作可能会十分复杂，尤其是在分支办公室。例如，要求一位部门经理或本地管理职员凌晨三点来到办公室输入密码，或者插入软盘以便让其他用户能够访问系统，这显然很费事，而且使得旨在实现高可用性的服务水平协议（SLA）的实施变得十分困难。

作为可选方案，要让您处于中央位置的IT操作人员远程提供Syskey 密码则需要附加的硬件 设备—— 有些硬件厂商可以为远程访问服务器控制台提供加载项解决方案。

最后，Syskey 密码或软盘的丢失将使得您的域控制器无法重新启动。如果Syskey 密码或软盘丢失，将没有任何能够恢复域控制器的方法。如果出现这种情况，您必须重新安装域控制器。

但是，通过使用适当的操作步骤，Syskey可提供一种高级的安全性，以便保护在域控制器中发现的敏感目录信息。

因此，如果域控制器所处的位置在物理访问方面没有安全性问题，我们建议您使用Syskey的模式 2 或模式 3。对于本指南所定义的任何三种环境下的域控制器，该建议同样适用。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!