• Versuche, den Zugang zu den Sicherheits-Datenbank der Domain-Controller.
• Versuche, um die Sicherheits-Datenbank, so dass die Datenbank kann geprüft und zu einem späteren Zeitpunkt.
• Versuche, den Zugriff auf Domain-Controller mit dem Ziel der Anzeige und Beschlagnahme Sicherheit Konfigurations-Informationen.
• Versuche, den Zugang zu der Datenbank über die Sicherheit der Domänencontroller, um die bestehenden Rechte, die mit der Absicht der Konfiguration von einem nicht autorisierten Benutzer mit Administratorrechten Zugriff auf Ihre Domain.
• Versuche, den Zugriff auf die Domänencontroller auf einen anderen Computer aus der Domäne, so dass Rogue-Computer zugreifen können die Domain.

Die Bedeutung von Domain-Controller im Grunde zwingt Sie zur Umsetzung von Sicherheitsmaßnahmen und Maßnahmen, die Minimierung der Gefahren für die Domain-Controller.
Eine der Strategien, die offensichtlich der Sicherheit umgesetzt werden sollte ist die Umsetzung der physischen Sicherheit für Ihre Domain-Controller. Ihre Domain-Controller sollte immer physisch gesichert an einem sicheren Ort wie einem Data Center. Physischen Zugriff auf die Domain controllersâ € ™ Lage sollte sich auf ein paar nur autorisierte Personen.
Sie sollten auch den Zugriff von Netzwerk-Verbindungen zu Domänencontrollern. Sie sollten nur Dienste und Anwendungen konfigurieren, die nötig sind, von der Domain-Controller-Funktion. Alle Dienste und Anwendungen, die unnötig sollte deaktiviert oder gelöscht werden.

Basic Security Maßnahmen zur Domain-Controller

Die empfohlene Maßnahmen zur Gefahrenabwehr, die Sie umsetzen können, um Domänencontrollern finden Sie hier:

• Physisch sicheren Domänencontrollern. Dies sollte auch für den Zugang, um den Ort, an dem Domain-Controller sind.
• Die NTFS-Dateisystem genutzt werden, um Daten über das System Volume.
• Limit-Mitgliedschaft für die folgenden Gruppen:
• Domain-Administratoren-Gruppe
• Enterprise-Administratoren-Gruppe
• Starke Passwörter sollten auf Domänencontrollern zu sichern Domänencontrollern vor unbefugtem Zugriff zu schützen versucht.
• Alle unnötigen Dienste und Anwendungen, sollte gestrichen werden.
• Die SYSKEY Programm kann verwendet werden, um weiteren Schutz der Sicherheit Datenbank.
• Sie können auch sichere Domänencontroller durch, die Smart-Card-Zugang für den Zugang zu den Domänencontrollern.
• Seien Sie vorsichtig, wenn Sie delegieren die administrative Kontrolle über die Konfiguration eines Domänencontrollers.

So erstellen Sie eine System-Taste

1. Klicken Sie auf Start, Ausführen, und geben Sie SYSKEY. Klicken Sie auf OK.
2. Wählen Sie die Verschlüsselung aktiviert.
3. Klicken Sie auf Aktualisieren.
4. Wählen Sie die entsprechende Option.
5. Klicken Sie auf OK.

Absichern von Domänencontrollern mit Firewalls

Sie können Firewalls zum Schutz von Domänencontrollern. Packet-Filtering-Funktionen können verwendet werden, um Block-Verkehr bestimmt sind und von einem Domänen-Controller. Sie können auch die Anzahl der Ports, die geöffnet sind, zwischen einem Domänen-Controller und einem Computer. Nur die Häfen, die erforderlich sind, für die Kommunikation zu eröffnen zwischen einem Domänen-Controller und Computer.

Die Ports, die von Active Directory für bestimmte Active Directory-Kommunikation finden Sie hier:

• Für einen Netzwerk-Benutzer-Anmeldung über eine Firewall:
• MS-Verkehr; TCP-Port 445 und UDP-Port 445
• DNS-, TCP-Port 53 und UDP-Port 53.
• Kerberos Authentication Protocol, TCP-Port 88 und UDP-Port 88.
• Lightweight Directory Access Protocol (LDAP) ping, UDP-Port 389.
• Anmeldung für einen Computer zu einem Domänencontroller:
• MS-Verkehr; TCP-Port 445 und UDP-Port 445
• DNS-, TCP-Port 53 und UDP-Port 53.
• Kerberos Authentication Protocol, TCP-Port 88 und UDP-Port 88.
• Lightweight Directory Access Protocol (LDAP) ping, UDP-Port 389.
• Für die Prüfung des Vertrauens zwischen Domänencontrollern:
• MS-Verkehr; TCP-Port 445 und UDP-Port 445
• DNS-, TCP-Port 53 und UDP-Port 53.
• Kerberos Authentication Protocol, TCP-Port 88 und UDP-Port 88.
• Lightweight Directory Access Protocol (LDAP), TCP-Port 389 für SSL-TCP-Port 686.
• Lightweight Directory Access Protocol (LDAP) ping, UDP-Port 389.
• Netlogon.
• Für die Schaffung einer Vertrauensstellung zwischen Domänen-Controller in verschiedenen Bereichen:
• MS-Verkehr; TCP-Port 445 und UDP-Port 445
• DNS-, TCP-Port 53 und UDP-Port 53.
• Kerberos Authentication Protocol, TCP-Port 88 und UDP-Port 88.
• Lightweight Directory Access Protocol (LDAP), TCP-Port 389 für SSL-TCP-Port 686.
• Lightweight Directory Access Protocol (LDAP) ping, UDP-Port 389.

Domain-Controller-spezifische Vordefinierte Sicherheitsvorlagen

Wenn ein Server zum ersten Mal zum Domänencontroller die Rolle, die Vorlage einer Sicherheit in DC security.inf Vorlage wird auf die Domain Controller. Ein Sicherheit Vorlage kann definiert werden als eine Sammlung von Sicherheits-Einstellungen oder Parameter, die auf einem Domänencontroller, Mitglied-Server oder einer Workstation. Die Einstellungen innerhalb einer Sicherheitsvorlage verwendet werden, um die Sicherheits-Konfiguration von einem Computer über lokale Politik und Gruppenrichtlinien.

Die DC-security.inf Sicherheit Vorlage definiert Standard-System-Dienste-Einstellungen, Sicherheitseinstellungen Standard-, System-und Datei-und Registry-Einstellungen für eine Domain-Controller. Die DC-Sicherheit Vorlage erstellt wird, wenn ein Server zum ersten Mal zum Domänencontroller Rolle, und im Grunde ist die Ausgangssituation für die Domain Controller.

Die anderen vordefinierten Vorlagen, die Sie können für eine Domain-Controller sind:

• securedc.inf Vorlage: Diese Vorlage enthält vordefinierte Sicherheit Sicherheitseinstellungen für Domänencontroller, die die Sicherheit auf einem Domänencontroller gleichzeitig die Aufrechterhaltung der Kompatibilität mit den meisten Funktionen und Anwendungen. Die securedc Vorlage enthält verbesserte Sicherheit Optionen und Wirtschaftsprüfung Politik. Es beinhaltet auch Einschränkungen für anonyme Benutzer. Die Auswirkungen auf die Anwendungen minimiert ist, und Computer sind so konfiguriert, dass LAN Manager Antworten.
• hisecdc.inf Vorlage: Das hoch sichere Vorlage enthält wichtige Sicherheits-Einstellungen für Domänencontroller. Hisecdc Die Vorlage gilt als stärker, als die sicherste Einstellung securedc Vorlage. Die hisecdc Vorlage bietet verbesserte Sicherheit für NTLM (NTLM-Version 2), und gilt sowohl Registry-und Datei-Sicherheit. Die hisecdc Vorlage auch deaktiviert alle zusätzlichen Dienstleistungen und entfernt alle Mitglieder aus der Power-User-Gruppe. Es wird empfohlen, dass Sie die Vorlage hisecdc.inf auf Domänencontrollern (wenn möglich).

Sichern und Wiederherstellen von Domain-Controller

Ein Domain-Controller enthält Systemstatus Daten, die Active Directory-und SYSVOL-Verzeichnis. System staatlicher Daten aus der Registrierungs-, System-Boot-Dateien, COM +-Klasse Registrierung Datenbank, Certificate Services-Datenbank, und Dateien unter Windows-Dateischutz. Backing up-System staatlicher Daten sichert alle Daten System Staat im Zusammenhang mit dem lokalen Computer. Ein Domain-Controller können auch Anwendungen oder Dateien, die speziell für die betreffende Domain-Controller. Alle diese Komponenten werden müssen, wenn Sie eine Sicherungskopie der Domain-Controller.

Beim Wiederherstellen des Systemstatus und Active Directory auf einem Domänencontroller, müssen Sie sich entscheiden, für das Verfahren zur Wiederherstellung zu erfüllen. System staatlicher Daten wiederhergestellt werden können auf dem Domänencontroller durch eine der folgenden Methoden:

• Nonauthoritative wieder: Wenn eine nicht wiederhergestellt wird, Active Directory ist wieder von Backup-Medien auf dem Domänencontroller. Diese Informationen werden dann aktualisiert, während die Replikation von den anderen Domänencontrollern. Die nonauthoritative wieder Methode ist die Standard-Methode für die Wiederherstellung des Systemstatus Daten auf einem Domänencontroller.
• Autorisierende Wiederherstellung: In einer autorisierenden Wiederherstellung, Active Directory installiert wird, bis zu dem Punkt der letzten Sicherung von Arbeitsplätzen. Diese Methode ist in der Regel verwendet, um Active Directory-Objekte, die gelöscht wurden Fehler. Eine autorisierende Wiederherstellung erfolgt, indem zunächst die Durchführung eine nicht wieder, und dann mit dem Programm "Ntdsutil" vor Neustart des Servers. Sie verwenden die Ntdsutil verwenden, um Elemente, die als solche zu kennzeichnen sind verbindlich. Artikeln, die nicht als maßgebliche sind nicht aktualisiert, wenn die anderen Domänencontroller repliziert auf die besonderen Domänencontroller.

Wie, um einen Domain-Controller

1. Melden Sie sich an der Domäne.
2. Klicken Sie auf Start, Alle Programme, Zubehör, Systemprogramme, und klicken Sie dann auf Sicherung.
3. Wenn das Willkommen in die Sicherungs-oder Wiederherstellungs-Assistent Seite öffnet, klicken Sie auf "Weiter".
4. In der Sicherungs-oder Wiederherstellungs-Seite, wählen Sie das Backup von Dateien und Einstellungen. Klicken Sie auf Weiter.
5. Was, wenn der Back Up-Seite öffnet, wählen Sie das Wählen Sie "Let Me What To Back Up Option. Klicken Sie auf Weiter.
6. In den Punkten, Back Up Seite, wählen Sie System Staat. Klicken Sie auf Weiter.
7. Wenn der Backup-Typ, Zielort und Name Seite geöffnet wird, wählen Sie die entsprechende Option in der Anzeige der Backup-Typ Feld.
8. Wählen Sie den Speicherort für das Backup im Wählen Sie einen Ort, um Ihre Backup-Box.
9. Geben Sie einen Namen für die Sicherung von Arbeitsplätzen in der Geben Sie einen Namen für dieses Backup-Box. Klicken Sie auf Weiter.
10. Klicken Sie auf die Schaltfläche "Erweitert" auf die Vollendung des Sicherungs-oder Wiederherstellungs-Assistent Seite.
11. Wenn Sie die Art der Backup-Seite öffnet, wählen Sie die Option Normal für die Backup-Art, und klicken Sie anschließend auf Weiter.
12. Im How To Back Up Seite, ist es empfehlenswert, um die Überprüfung der Daten Nach Backup Option.
13. Wenn Hardware-Kompression wird unterstützt, und Sie werden mit einem Tape-Mechanismus, klicken Sie auf die Hardware-Kompression verwenden, falls verfügbar Option. Klicken Sie auf Weiter.
14. Wenn die Backup-Options-Seite öffnet, wählen Sie die Stelle der bestehenden Backups, und wählen Sie, dass nur der Besitzer und der Administrator Zugriff auf Backup-Daten und für alle Sicherungen im Anhang zu dieser Mittel. Klicken Sie auf Weiter.
15. Wählen Sie die Option Jetzt in der Wann Back Up Seite. Klicken Sie auf Weiter.
16. Klicken Sie auf "Fertig stellen".
17. Klicken Sie auf die Schaltfläche auf dem Backup-Progress Seite, um einen Bericht über die Sicherung von Arbeitsplätzen gerade.

Wie für die Wiederherstellung des Systemstatus Daten auf einem Domänen-Controller (nonauthoritative restore)

1. Starten Sie den lokalen Computer.
2. Während des Starts, drücken Sie F8, um auf die Erweiterte Windows-Optionen.
3. Gehen Sie, um Directory Services Restore Mode. Drücken Sie die Eingabetaste
4. Wählen Sie das Betriebssystem, das gestartet werden soll auf die Bitte wählen Sie das zu startende Betriebssystem angezeigt wird. Drücken Sie die Eingabetaste.
5. Melden Sie sich bei der Domäne mit einem Konto mit Administratorrechten.
6. Klicken Sie auf OK, wenn eine Meldung angezeigt, dass Windows im abgesicherten Modus.
7. Klicken Sie auf Start, Alle Programme, Zubehör, Systemprogramme, und klicken Sie dann auf Sicherung.
8. Wenn das Willkommen in die Sicherungs-oder Wiederherstellungs-Assistent Seite öffnet, klicken Sie auf "Weiter".
9. In der Sicherungs-oder Wiederherstellungs-Seite, wählen Sie das Wiederherstellen von Dateien und Einstellungen. Klicken Sie auf Weiter.
10. Auf der Seite Was Wiederherstellen, wählen Sie die Daten, die wiederhergestellt werden soll. Klicken Sie auf Weiter.
11. Vergewissern Sie sich, dass die Medien, in dem sich die Backup-Datei ist.
12. Klicken Sie auf Fertig stellen, um die nonauthoritative wieder.
13. Klicken Sie auf OK, wenn eine Meldung angezeigt, dass die Wiederherstellung überschreibt bestehende System staatlicher Daten.
14. Wenn die Wiederherstellung abgeschlossen ist, starten Sie den Computer neu.

Aufgrund der Art der gespeicherten Informationen auf Domänencontrollern, sollten Sie, alle Backup-und Restore-Ereignisse, die auf Ihrem Domänencontroller. Es wird empfohlen, dass Sie die Lokale Richtlinien | Sicherheitsoptionen | Audit: Audit der Einsatz von Backup-und Wiederherstellungs-Privileg Option, so dass Sie erkennen, wenn Backups durchgeführt werden unehrlich.

Digital Verschlüsseln und Signieren Authentifizierung Verkehr

Computer-Konten werden zur Verwaltung und Authentifizierung von Computern in einer Domäne. Computer-Konten werden in Active Directory, und kann mit Hilfe der Active Directory-Benutzer und Computer-Management-Tool. Ein Computer hat, gehören zu einer Domäne, um für Sie, sich auf sie mit einem Domänenbenutzerkonto. Computer-Konten werden automatisch erstellt für Computer mit Windows NT, Windows 2000, Windows XP Professional oder Windows Server 2003, wenn sich eine Domäne. Computer-Konten enthalten einen Namen, das Kennwort und die Sicherheits-ID (SID). Computer-Eigenschaften sind in der Computer-Objekt in Active Directory. Active Directory erstellt automatisch ein Computerobjekt in der OU Computers, wenn ein Computer Mitglied einer Domäne und nicht Computer-Konto gibt es für den Computer.

Für einen Computer für den Zugriff auf und die Kommunikation mit einem Domänencontroller in der Domäne, auf dem Computer zu authentifiziert werden.

Es gibt drei GPO-Einstellungen, die bestimmen, ob die Authentifizierung Verkehr ist signiert und verschlüsselt:

• Domain-Mitglied digital verschlüsseln oder signieren Daten des sicheren Kanals (immer): Hier wird der Computer nur die Daten des sicheren Kanals für die Kommunikation mit dem Domänencontroller. Bevor Sie können diese Option verwenden, Domain-Controller haben die minimal-Upgrade auf Windows NT 4.0 SP6a. Aktivieren der digital verschlüsseln oder signieren Daten des sicheren Kanals (immer)-Option bei der Verhinderung der folgenden Angriffe, wenn Computer und Domänencontroller kommunizieren:
• Replay-Attacken
• Man-in-the middle "-Angriffe
• Domain-Mitglied digital verschlüsseln Daten des sicheren Kanals (wenn möglich): Diese Option sollte aktiviert und genutzt werden, wenn alle nach-Level-Domain-Controller oder Kunden verhindern, dass Sie über die erste Option. Wenn diese Option aktiviert, und die Möglichkeit, unter aktiviert sind, die bestmögliche Sicherheit, die benutzt werden können, verwendet wird.
• Domain-Mitglied digital signieren Daten des sicheren Kanals (wenn möglich): Diese Option sollte aktiviert und genutzt werden, wenn nach-Level-Domain-Controller oder Kunden verhindern, dass Sie mit dem digital verschlüsseln oder signieren Daten des sicheren Kanals (immer) Option.

Konfigurieren Prüfungsstrategien und Event-Log-Policies für die Domain-Controller

Wenn Active Directory auf einem Computer installiert und ein neues Active Directory-Domäne erstellt wird, wird der Computer Gegenstand der Domänencontroller in der Domäne-Controller-Organisationseinheit (OU). A Group Policy Object (GPO), die im Zusammenhang mit dem Domain-Controller OU ist auch erstellt.

Die Domain Controller OU enthält folgende Prüfungsstrategien, die Sie anpassen können:

• Audit Account Logon Events, Audit-Account-Management, Audit Directory Service Access, Audit-Logon-Events, Audit Policy Change, and Audit System Veranstaltungen

Sie können auch eine Änderung der politischen Einstellungen der Event-Log auf Ihre Prüfung Strategie.

Begrenzung User Rechte

Die Domain Controller OU GPO standardmäßig räumt dem Lokal anmelden zulassen Benutzer zu diesen Gruppen:

• Konten-Operatoren
• Administratoren
• Backup Operators
• Druck-Operatoren
• Server-Operatoren

Für die Druck-Operatoren und Konto-Betreiber gebaut in Gruppen, es wird empfohlen, dass Sie das Lokal anmelden zulassen Nutzungsrechte.

Es wird auch empfohlen, dass Sie die Personen beschränken dürfen heruntergefahren Domänencontroller. Die Domain Controller OU GPO standardmäßig gewährt das Recht auf heruntergefahren Domänencontroller zu diesen built-in Gruppen:

• Administratoren
• Backup Operators
• Druck-Operatoren
• Server-Operatoren

Für die Druck-Operatoren und Backup-Betreiber gebaut in Gruppen, es wird empfohlen, dass Sie das Recht auf heruntergefahren Domänencontroller.

Begrenzung Anonym Zugang

Anonym-Authentifizierung ist eine Authentifizierungsmethode, die tatsächlich ermöglicht eine Benutzer-und Netzwerk-Client authentifiziert werden, um mit dem Benutzer / Client-Ausstattung keine Anmeldeinformationen. Allerdings, wenn Sie Windows Server 2003, wird der Benutzer nicht berechtigt, auf Netzwerk-Ressourcen. Mit der älteren Windows-Betriebssysteme, war dies nicht der Fall ist. Anonym-Authentifizierung wird in der Regel verwendet, um die Abwärtskompatibilität mit Systemen vor Windows 2000, für die folgenden Szenarien.

• Windows NT 4.0 verwenden könnte den anonymen Zugriff auf Informationen von Domänencontrollern.
• Remote Access Server (RAS)-Server auf Windows NT 4.0 verwendet den anonymen Zugang, um festzustellen, Dial-In-Berechtigungen
• Ältere Betriebssysteme könnte auch den anonymen Zugriff auf Passwörter ändern (Pre "Windows 2000"-kompatiblen Access Group) in Active Directory.

Um anonyme Authentifizierung, aktivieren Sie eine der folgenden Sicherheits-Einstellungen:

• Network Access: Anteil Das kann anonym: Verwenden Sie diese Einstellung Sicherheitspolitik zu definieren, bestimmte Aktien, die zugegriffen werden kann.
• Network Access: Lassen Sie alle Berechtigungen gelten der anonymen Benutzer: Wenn diese Option aktiviert ist, anonyme Benutzer werden in die Gruppe "Jeder".

Eine bessere Methode erlaubt den anonymen Zugriff ist es, die Anonymous-Anmeldung Sicherheit wichtigsten in den spezifischen Access Control List (ACL), die es den Zugang.

Mit Windows Server 2003, das anonyme Konto ist standardmäßig aktiviert. Wenn Sie brauchen, damit sie für Systeme, die den anonymen Zugriff auf diese Empfehlungen, um die anonyme Konto, so dass Sie nicht unnötig reduzieren Sicherheit:

• Um zu verhindern, dass Eindringlinge aus der Verwendung der mit anonyme Anmeldung zur Berechnung der Konten auf einem Computer verwenden, sollten Sie das nicht, dass anonyme Aufzählung von SAM-Konten und Aktien Policy Group Policy Object. Diese Option kann benutzt werden, wenn Sie mit Windows 2000 oder späteren Windows-Betriebssystem-Versionen.
• Eine der sichersten Methoden der die anonyme Anmeldung oder den Zugang ist die Bearbeitung der ACLs von Ressourcen, die es zu, dass anonyme Anmeldung. Dies ist zwar eine manuell Prozess.
• Für mit Kunden, die Prä-Windows 2000-Betriebssysteme, können Sie Jeder und Anonyme auf die Prä-Windows 2000 kompatibler Zugriff, wenn der Benutzer-Gruppe müssen die Möglichkeit haben ihre Passwörter ändern.
• Es ist zwar nicht dringend empfohlen, können Sie mit dem Sie alle Berechtigungen für anonyme Benutzer GPO zur Änderung der Konfiguration der Sicherheit zurück zu den Windows NT-Modell.