Защита контроллеров домена Server 2003

Опубликовано: 13 Апреля, 2023

Физическая защита контроллеров домена


Первый (но, вероятно, наиболее часто упускаемый из виду) шаг в обеспечении безопасности контроллеров домена вашей сети — убедиться, что они не могут быть физически подделаны. Это означает размещение их в запертой серверной комнате, доступ к которой строго контролируется и документируется. Не полагайтесь на физическую версию «безопасности через неизвестность», полагая, что размещение этих важных компьютеров в отдаленном, но незапертом шкафу помешает решительным похитителям данных или саботажникам.


Как скажут вам полицейские, специализирующиеся на предупреждении преступности, нет способа построить дом, бизнес, машину или сервер! - Стопроцентная безопасность. Меры безопасности разрабатываются не для того, чтобы «плохие парни» не смогли добраться до ваших ценностей (что обязательно не удастся), а для того, чтобы сделать это максимально сложным и неудобным. Каждая минута, на которую вы можете их замедлить, повышает вероятность того, что они сдадутся и перестанут пытаться или, что еще лучше, будут пойманы на месте преступления.


Таким образом, физическую безопасность следует развертывать на нескольких уровнях. Замок на двери серверной — это только первый слой. Это можно рассматривать как защиту периметра, например, забор вокруг вашего двора или замки на дверях вашего дома. В случае, если эта внешняя безопасность нарушена, должны быть приняты дополнительные меры безопасности по мере приближения к «призу» (в данном случае, к контроллерам домена). Чтобы защитить свои личные ценности, вы можете развернуть систему охранной сигнализации, чтобы уведомить вас и/или полицию, если заборы и замки не справляются со своей задачей. Точно так же вы можете рассмотреть систему сигнализации в серверной, которая сработает, если в комнату попадет посторонний человек (который не знает кода для ее снятия с охраны). В дополнение к дверным датчикам, если в комнате есть альтернативные средства входа, такие как окна или большие вентиляционные отверстия (мы рекомендуем их убрать, но это не всегда возможно), рассмотрите возможность использования датчиков движения.


Создавая свой многоуровневый план обеспечения безопасности, продвигайтесь внутрь себя, всегда задавая вопрос: «Что, если эта мера безопасности будет нарушена? Какое новое препятствие мы можем поставить на пути злоумышленника?» Точно так же, как вы можете положить свои деньги и драгоценности в сейф внутри вашего защищенного сигнализацией, запертого и огороженного дома, вы должны позаботиться о безопасности на самом сервере. Некоторые меры включают:



  • Удаление всех внешних или съемных носителей, таких как дисководы гибких дисков, драйверы CD/DVD, внешние жесткие диски, zip-диски, флэш-накопители и т. д. Это затруднит злоумышленнику загрузку программы (например, вируса) на сервер или загрузить данные с него. Если вы их не используете, разумно также отключить (через BIOS или физически удалив) порты, которые можно использовать для подключения внешних устройств, включая USB/IEEE 1394, последовательные порты, параллельные порты, порты SCSI, и т.п.
  • Блокировка корпуса, чтобы посторонние не могли украсть жесткий диск или повредить компоненты машины.
  • Полностью заключить сервер в запертый шкаф или клетку (обязательно обеспечить достаточную вентиляцию), в которую встроены электрические розетки, чтобы злоумышленник не мог легко добраться до шнура питания компьютера или ИБП, чтобы помешать питанию системы.

Защита контроллеров домена от удаленных вторжений


Как только вы освоитесь со своим планом физической безопасности, вы должны обратить внимание на предотвращение доступа хакеров, взломщиков и злоумышленников к контроллерам домена по сети. Конечно, «лучший» способ сделать это — отключить машины от сети, но это сделает их бесполезными. Поэтому вместо этого вам нужно предпринять шаги, чтобы защитить их от распространенных методов атак.


Защита учетных записей домена


Один из самых простых (для хакера) и, что удивительно, один из самых распространенных способов получить доступ к сети и контроллерам домена — войти в систему с действительной учетной записью и паролем.


При типичной настройке хакеру необходимо знать только две вещи, чтобы войти в систему: действительное имя учетной записи и пароль, который идет с учетной записью. Вы облегчите ему работу, если продолжите использовать учетную запись администратора по умолчанию, имя которой («Администратор») знает каждый хакер. Теперь ему нужно найти только одну часть информации. И, в отличие от других учетных записей, учетную запись администратора по умолчанию нельзя заблокировать, если произойдет много неудачных попыток входа в систему. Это означает, что хакер может просто продолжать угадывать (используя метод «грубой силы» для взлома пароля), пока не получит правильный ответ.


Вот почему вы всегда должны в первую очередь переименовывать встроенную учетную запись администратора. Конечно, от переименования толку не будет, если вы забудете удалить дефолтное описание («Встроенная учетная запись для администрирования компьютера/домена»). Вся идея состоит не в том, чтобы помочь злоумышленнику быстро определить для него учетную запись, имеющую административные привилегии. Помните, что все, что вы делаете со всеми этими мерами, — это замедляете злоумышленника. Действительно решительный и знающий хакер может найти способ обойти ваши меры безопасности (например, SID для учетной записи администратора не может быть изменен, и он всегда заканчивается на 500. Хакеры могут использовать программы для обнаружения SID и, следовательно, определить учетную запись администратора).


В Server 2003 можно полностью отключить встроенную учетную запись администратора. В этом случае необходимо сначала создать другую учетную запись и предоставить ей административные привилегии. В противном случае вы обнаружите, что не можете выполнять некоторые важные задачи. Встроенная гостевая учетная запись всегда должна быть отключена (по умолчанию). Если вы хотите предоставить гостевые права некоторым пользователям, создайте новую учетную запись с более непонятным именем и ограничьте ее доступ.


Все учетные записи, особенно учетные записи администраторов, должны иметь надежные пароли, состоящие из 8 или более символов, буквенных, цифровых и символьных символов, строчных и прописных букв, которые не являются словарными словами. Пользователей следует предупредить о том, что они не должны записывать свои пароли или делиться ими с кем-либо (социальная инженерия является одним из наиболее распространенных средств, с помощью которых неавторизованные лица получают доступ), и должны действовать политики, предусматривающие принудительную смену пароля на регулярной основе.


Перемещение базы данных AD


База данных Active Directory полна важной информации и должна быть защищена от атак. Один из способов сделать это — переместить эти файлы из расположения по умолчанию, где злоумышленник ожидает их размещения (на системном томе). Для дополнительной защиты рассмотрите возможность их перемещения на чередующийся или зеркальный том, чтобы их можно было восстановить в случае сбоя диска.


Рассматриваемые файлы включают:



  • Ntds.dit
  • Журнал компьютера
  • Температура компьютера

ПРИМЕЧАНИЕ




Вы можете использовать инструмент NTDSUTIL.EXE для перемещения базы данных и файлов журнала. Вот как:



  1. Перезапустите контроллер домена.
  2. Нажмите F8 при запуске, чтобы получить доступ к меню дополнительных параметров.
  3. В меню выберите «Режим восстановления служб каталогов».
  4. Если у вас более одной установки Windows Server 2003, выберите нужную и нажмите клавишу ВВОД.
  5. При появлении приглашения войдите в систему с учетной записью администратора, которая была выбрана во время процесса DCPROMO для использования для восстановления Active Directory.
  6. Щелкните Пуск | Запустите и введите cmd, чтобы открыть командное окно.
  7. В командной строке введите NTDSUTIL.EXE.
  8. В командной строке NTDSUTIL введите ФАЙЛЫ
  9. Выберите базу данных или файл журнала, который вы хотите переместить. Введите ПЕРЕМЕСТИТЬ БД В или ПЕРЕМЕСТИТЕ ЖУРНАЛЫ в
  10. Дважды введите QUIT, чтобы вернуться в командную строку и закрыть командное окно.
  11. Перезапустите снова, чтобы нормально загрузиться в Server 2003.

Защита информации о пароле с помощью Syskey


Некоторые из данных, наиболее важных для безопасности, которые хранятся в Active Directory, — это информация о паролях для учетных записей домена. Системный ключ (Syskey) используется для шифрования информации о пароле учетной записи, хранящейся в базе данных службы каталогов на контроллере домена.


Существует три режима работы Syskey. В первом режиме, включенном на всех компьютерах с Server 2003 по умолчанию, системный ключ генерируется компьютером случайным образом, а зашифрованная версия ключа хранится локально. В этом режиме вы все еще можете перезагрузить компьютер в обычном режиме.


В режиме 2 системный ключ генерируется и сохраняется так же, как и в режиме 1, но дополнительный пароль, выбранный администратором, обеспечивает дополнительную защиту. Когда вы перезагружаете компьютер, вы должны ввести этот пароль системного ключа во время запуска. Этот дополнительный пароль не хранится локально.


Режим 3 является наиболее безопасным методом работы. Сгенерированный компьютером ключ хранится на дискете, а не локально. Вы не можете запустить компьютер, если у вас нет физического владения гибким диском, так как он должен быть вставлен в дисковод при появлении соответствующего запроса во время запуска.


Примечание



Вот как создать системный ключ:



  1. Щелкните Пуск | Запустите и введите CMD.
  2. В командной строке введите SYSKEY.
  3. Нажмите ОБНОВИТЬ. Должен быть выбран параметр ШИФРОВАНИЕ ВКЛЮЧЕНО.
  4. Чтобы запросить пароль запуска системного ключа, щелкните ПАРОЛЬ ЗАПУСКА.
  5. Введите надежный пароль (длина пароля может быть от 12 до 128 символов).
  6. Если вы не хотите запрашивать пароль для запуска, нажмите СОЗДАННЫЙ СИСТЕМОЙ ПАРОЛЬ.
  7. Параметр по умолчанию — ХРАНИТЬ КЛЮЧ ЗАПУСКА ЛОКАЛЬНО. Если вы хотите сохранить ключ на гибком диске, выберите СОХРАНИТЬ КЛЮЧ ЗАПУСКА НА ДИСКЕ.

Если вы используете вариант режима 3, сохраняя пароль на дискете, обязательно создайте резервную копию дискеты.


Важно понимать, что если вы потеряете дискету, или она будет повреждена, или если вы забудете пароль системного ключа, выбранный администратором, нет другого способа восстановления, кроме переустановки контроллера домена.


Резюме


Защита ваших контроллеров домена является жизненно важной частью вашей стратегии сетевой безопасности. В этой статье мы обсудили, как физически защитить контроллеры домена, как защитить учетные записи домена, переместить файлы базы данных Active Directory и как утилита Syskey используется для защиты информации пароля учетной записи, хранящейся на контроллере домена.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023