Windows Server 2003 安全性指南介绍
本指南包括一个.cmd 文件,它简化了依照指南要求为域控制器创建IPSec过滤器的过程。PacketFilters-DC.cmd 文件使用NETSH命令来创建相应过滤器。您应当修改该.cmd 文件,让其中包含您所在环境中的域控制器的IP地址。脚本中包含两个占位符,这是为将被增加的两个域控制器IP地址所预留的。如果需要,您可以添加其它域控制器。这些域控制器的IP地址列表应当是最新的。
如果环境中有MOM,应当在脚本中指定相应 MOM 服务器的IP地址。该脚本不会创建永久性的过滤器。因此,直到IPSec Policy Agent(IPSec策略代理)被启动时,服务器才会获得保护。要了解关于建立永久过滤器或创建更高级IPSec过滤器脚本的信息,请参看本指南的姐妹篇“威胁与对策:Windows Server 2003和Windows XP中的安全性设置”中的第11章“其它成员服务器的强化程序”。最后,该脚本被配置为不分配其创建的IPSec策略。IP安全性策略管理单元可用来检查所创建的IPSec过滤器,并且分配IPSec策略以便让其生效。
总结
本章解释了在本指南定义的三种环境下保护域控制器安全所必需的服务器强化设置。这里讨论的大多数设置通过组策略加以配置和应用。您可以将对缺省域控制器策略(Default Domain Controller Policy)起到补充作用的组策略对象(Group Policy object ,GPO)链接到Domain Controllers OU(域控制器组织单元)。包括在域控制器基线策略(DCBP)中的设置可强化任何环境下的所有域控制器的总体安全性。通过使用两个GPO来确保域控制器的安全性,您可以保护缺省环境并且简化故障排除工作。
有些服务器强化设置不能通过组策略来应用。对于这种情形,本章提供了关于手动配置这些设置的详细方法。在介绍了如何保护域控制器的安全性后,本指南下面的章节将关注其它几种专用服务器角色的安全性强化措施。
010-89630319
