Windows Server 2003 安全性指南介绍
如果一台域控制器被破坏,将ntds.dit、edb.log和temp.edb等文件从缺省位置移动到其它位置将有助于防止它们遭受攻击。而且,将这些文件从系统卷中转移到一个独立的物理磁盘卷可提高域控制器的性能。
因此,本指南建议:在本指南定义的三种环境下,将域控制器的 Active Directory 和日志文件从系统卷的缺省位置转移到一个非系统卷的条带或条带/镜像磁盘卷。
改变 Active Directory 日志文件大小
您应该确保环境中有足够的域控制器信息被记录和维护,这对于有效监视和维持 Active Directory 的完整性、可靠性和可用性非常重要。
您可以提高日志文件大小的上限,以便在遭受电脑黑客攻击时,为管理员提供充足的必要信息来完成审核。
因此,本指南建议:在本指南定义的三种环境下,将域控制器上目录服务(Directory Service)和文件复制服务(File Replication Service)的日志文件大小的最大值从缺省的512KB增加到16MB。
使用Syskey
在域控制器上,密码信息被存储在目录服务中,他人可以针对安全账户管理(SAM)数据库或目录服务使用密码破解软件以获取用户账户的密码,这种情况经常出现。
Syskey的使用为抵御离线密码破解软件提供了一道附加防线。Syskey使用了高级加密技术来保护存储在目录服务中的密码信息的安全。
表4.19: Syskey模式
| 系统密钥选项 | 安全等级 | 描述 |
| 模式1:系统生成密码,本地存储启动密钥 | 安全 | 使用计算机生成的随机密钥作为系统密钥,并且将该密钥的加密版本存储到本地计算机中。该选项提供了对注册表中密码信息的强大加密,并且使得用户无须管理员输入密码或者插入软盘就能够重新启动计算机。 |
| 模式2:管理员创建密码。使用密码启动 | 更安全 | 使用计算机生成的随机密钥作为系统密钥并且将该密钥的加密版本存储到本地计算机中。该密钥还受到由管理员所选择的一个密码的保护。当计算机处于最初启动时,会提示用户输入系统密钥。该系统密钥密码不存储在计算机的任何位置。 |
| 模式3:系统生成密码,再软盘上存储启动密码 | 最安全 | 使用计算机生成的一个随机密钥并且存储到软盘中。系统启动时,需要包含该系统键的软盘,并且应当根据启动提示插入到软驱中。该系统密钥不存储到计算机的任何位置。 |
010-89630319
