保障Win 2003域控制器的安全

域控制器，正如其名，它具有对整个Windows域以及域中的所有计算机的管理权限。因此你必须花费更多的精力来确保域控制器的安全，并保持其安全性。本文将带您了解一些在域控制器上应该部署的安全措施。域控制器的物理安全第一步（也是常常被忽视的一步）就是要保障你的域控制器的物理安全。也就是说，你应该将服务器放在一间带锁的房间，并且严格的审核和记录该房间的访问情况。不要有“隐蔽起来就具有很好的安全性”这样的观点，错误地认为将这样一台关键的服务器放在一个偏僻的地方而不加以任何保护，就可以抵御那些顽固的数据间谍和破坏分子的攻击。因为专门从事犯罪预防研究的警察告诉我们，我们是没有办法使自己的家，公司，汽车，当然也包括我们的服务器具有百分之百的安全性。安全措施并不能保证您的贵重物品不被那些“坏人”拿到，它只能增加他们获取贵重物品的难度和困难度。如果您能让他们的攻击过程持续更长的时间，那么他们放弃攻击或停止尝试，甚至将他们当场抓住的可能性都会大大增加。物理安全之后，就应该部署多层防御计划。带锁的服务器间只是第一层。这只能被认为是周边安全，就像您院子周边的篱笆或者您家房门的锁。万一周边安全被突破，就应该为保护目标（此时即DC）进一步设置一些安全措施以保护它们。您可能会安装安全警报系统，以便当您的篱笆或者门锁遭到破坏的时候，通知您或者警察。同样，您应该考虑在服务器间部署警报系统，当未授权用户（他不知道解除警报系统的密码）进入服务器间的时候，它就发出声音警报。另外还可以考虑在门上安装探测器，以及红外探测器以防止通过门、窗及其他孔洞（我们强烈建议，尽可能得减少门、窗及孔洞的数量）的非法进入。当您从里至外的部署你的多层安全计划时，您应该反复问自己一个问题“如果这个安全措施失效了怎么办？我们可以在入侵者的攻击线路上部署哪些新的障碍？”就像您将自己的金钱和珠宝放在一个有篱笆的，带锁的，有警报系统保护的房间中，您也应该考虑服务器自身的安全。下面有一些准则：移除所有的可移动存储设备驱动器，如软驱、光驱、外置硬盘、Zip驱动器、闪存驱动器等。这将增加入侵者向服务器上传程序（如病毒）或下载数据的难度。如果您不使用这些设备，您也可以移除这些外部设备需要使用的端口（从BIOS中关闭或物理移除）。这些端口包括USB/IEEE 1394、串口、并口、SCSI接口等。将机箱锁好，以防止未授权用户盗窃硬盘，或损坏机器组件。将服务器放在密闭带锁的服务器机架中（确保提供良好的通风设备），电源设备最好也能设置在服务器机架中。以避免入侵者能够方便的切断电源或UPS从而干扰系统的电力供应。

关键词：保障Win 2003域控制器的安全