科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Windows2003安全之强化域控制器(10)

Windows2003安全之强化域控制器(10)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

对于依赖域控制器完成身份验证、组策略、以及一个中央LDAP(轻量级目录访问协议)目录的客户机、服务器以及应用软件而言,IT环境中域控制器的任何损失或信息泄密都可能是灾难性的。

作者:51CTO.COM 2007年10月30日

关键字: 组策略 域控制器 身份验证

  • 评论
  • 分享微博
  • 分享邮件

  使用Syskey

  在域控制器上,密码信息被存储在目录服务中,他人可以针对安全账户管理(SAM)数据库或目录服务使用密码破解软件以获取用户账户的密码,这种情况经常出现。

  Syskey的使用为抵御离线密码破解软件提供了一道附加防线。Syskey使用了高级加密技术来保护存储在目录服务中的密码信息的安全。

  表4.19: Syskey模式

  

  

  

  在模式1(模糊密钥)中的所有Windows Server 2003服务器上,Syskey被启用。对于暴露于物理安全威胁之下的任何域控制器,我们有充分的理由推荐您使用模式2(控制台密码)或模式3(软盘存储Syskey密码)中的Syskey。

  从安全的角度而言,首先这样似乎更明智,因为如果攻击者能够以物理方式访问到计算机,那么域控制器很容易被重新启动。模式1的Syskey使得攻击者能够读取和改变目录的内容。

  然而,Syskey的模式 2 和模式 3 难以支持通过重新启动让域控制器恢复正常运行的操作要求。为了利用这些Syskey 模式提供的额外保护,必须在您的环境中执行适当的操作过程,以满足域控制器的特定可用性需求。

  Syskey密码或软盘管理的后勤工作可能会十分复杂,尤其是在分支办公室。例如,要求一位部门经理或本地管理职员凌晨三点来到办公室输入密码,或者插入软盘以便让其他用户能够访问系统,这显然很费事,而且使得旨在实现高可用性的服务水平协议(SLA)的实施变得十分困难。

  作为可选方案,要让您处于中央位置的IT操作人员远程提供Syskey 密码则需要附加的硬件 设备—— 有些硬件厂商可以为远程访问服务器控制台提供加载项解决方案。

  最后,Syskey 密码或软盘的丢失将使得您的域控制器无法重新启动。如果Syskey 密码或软盘丢失,将没有任何能够恢复域控制器的方法。如果出现这种情况,您必须重新安装域控制器。

  但是,通过使用适当的操作步骤,Syskey可提供一种高级的安全性,以便保护在域控制器中发现的敏感目录信息。

  因此,如果域控制器所处的位置在物理访问方面没有安全性问题,我们建议您使用Syskey的模式 2 或模式 3。对于本指南所定义的任何三种环境下的域控制器,该建议同样适用。

 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章