Windows2003安全之强化域控制器(12)

　　限制到授权系统的区域传送

　　由于区域（zone）在DNS中的重要角色，应当可以从网络中多台DNS服务器中访问它们，以便在解析名称查询时能够提供足够的可用性和容错能力。否则，如果名称查询被发送给区域中仅有的一台服务器并且该服务器没有响应，解析过程将失败。如果希望使用更多的服务器来托管一个区域，需要使用区域传输对配置为该区域宿主的每一台服务器上的区域副本进行复制和同步。

　　而且，如果没有在DNS服务器上对谁可以请求区域传输进行配置，则很容易将整个DNS区域传输给任何请求者。这一目的可以很容易地通过使用诸如nslookup.exe这样的工具来实现。这些工具可以暴露整个域的DNS数据集，其中包括以下信息：哪些主机被用作域控制器、目录集成的Web服务器、或者Microsoft SQL Server? 2000数据库。

　　因此，本指南推荐，在其定义的三种环境下，将集成DNS服务器的 Active Directory 配置为允许区域传输，但是将其限制在可以发出传输请求的系统中。

　　改变事件日志和DNS服务日志的大小

　　您应该确保环境中有足够的域控制器信息被记录和维护，这对于有效监视DNS服务至关重要。

　　您可以增大DNS服务日志文件大小的最大值，以便在遭受攻击时，为管理员提供充足的必要信息来完成审核。

　　因此，本指南推荐在其定义的三种环境下，将域控制器中DNS服务日志文件的最大值至少配置为16MB，并且确保DNS服务中“必要时覆盖事件”（Overwrite events as needed）选项被选中，以便尽可能多地保存日志信息。

　　保护众所周知账户的安全

　　Windows Server 2003拥有许多内置的用户账户，这些账户不能被删除，但可以重命名。Windows Server 2003中两个最常见的内置账户是 Guest 和 Administrator。

　　缺省情况下，在成员服务器和域控制器上的 Guest 账户被禁用。请不要改变该设置。内置的 Administrator 账户应当被重命名，而且改变描述以帮助防止攻击者使用该账户破坏远程服务器。

　　许多恶意代码的变种企图使用内置的管理员账户来破坏一台服务器。在近几年来，进行上述重命名配置的意义已经大大降低了，因为出现了很多新的攻击工具，这些工具企图通过指定内置 Administrator 账户的安全标识（SID）来确定该帐户的真实姓名，从而侵占服务器。SID是唯一能确定网络中每个用户、组、计算机账户以及登录会话的值。改变内置账户的SID是不可能的。您可以将本地管理员账户改变为唯一的名称，以方便您的操作人员监视对该账户的攻击企图。

　　完成以下步骤以保护域和服务器中众所周知账户的安全：

　　1. 重命名Administrator和Guest账户，并且将每个域和服务器上的密码更改为长而复杂的值。

　　2. 在每个服务器上使用不同的名称和密码。如果在所有的域和服务器上使用相同的账户名和密码，攻击者只须获得对一台成员服务器的访问，就能够访问所有其他具有相同账户名和密码的服务器。

　　3. 改变缺省的账户描述，以帮助防止账户被轻易识别。

　　4. 将这些变化记录一个安全的位置。

　　注意：内置的管理员账户可以通过组策略重命名。该设置没有在DCBP中配置，因为您必须为您的环境选择一个唯一的名字。在本指南定义的三种环境下，“账户：重命名管理员账户”可以被配置为重命名管理员账户。该设置是GPO安全选项设置的一部分。