• Tentativas de obter acesso ao banco de dados de segurança no controlador de domínio.
• Tentativas de cópia de segurança de dados para que o banco de dados podem ser visualizados e analisados numa fase posterior.
• As tentativas de acesso controladores de domínio com o objetivo de visualização e apreensão da configuração de segurança informação.
• Tentativas de obter acesso ao banco de dados de segurança sobre o controlador de domínio para alterar os actuais direitos dos utilizadores, com a intenção de configurar um usuário com acesso administrativo não autorizado ao seu domínio.
• As tentativas de acesso ao controlador de domínio para mudar computadores pertencentes ao domínio de forma que desonestos computadores pode acessar o domínio.

A importância dos controladores de domínio que você basicamente forças para implementar as medidas de segurança e de políticas que minimizem os riscos para a controladores de domínio.
Uma das estratégias óbvias de segurança que devem ser implementadas está a implementar a segurança física de seus controladores de domínio. Seu domínio controladores devem ser sempre fisicamente seguro em um local seguro, como um centro de dados. O acesso físico ao domínio controllersâ € ™ localização deve ser limitado a poucas pessoas autorizadas apenas.
Você também deve limitar o acesso a partir de conexões de rede para controladores de domínio. Você só deve configurar serviços e aplicações que são necessários pelo controlador de domínio servidor papel. Todos os serviços e aplicações que são desnecessários devem ser desativados ou apagados.

Medidas de segurança básicas para Securizando Domain Controllers

As medidas básicas de segurança recomendado que você pode aplicar para obter controladores de domínio estão listados aqui:

• Fisicamente segura os controladores de domínio. Isto deve incluir controle de acesso ao local em que controladores de domínio são mantidos.
• O sistema de arquivos NTFS devem ser utilizados para proteger os dados sobre o volume do sistema.
• Limite adesão para os seguintes grupos:
• Domínio grupo Administradores
• Empresa grupo Administradores
• Senhas fortes deve ser utilizado em controladores de domínio para garantir o acesso não autorizado a partir de controladores de domínio tentativas.
• Todos os serviços desnecessários e aplicações deve ser suprimida.
• Syskey O utilitário pode ser usado para continuar a proteger a segurança de dados.
• Você também pode obter controladores de domínio através da exigência de cartão inteligente de acesso para o acesso aos controladores de domínio.
• Tome cuidado se você está delegando controle administrativo sobre a configuração de um controlador de domínio.

Como criar um sistema de chave

1. Clique em Iniciar, Executar e digite syskey. Clique em OK.
2. Escolha Encriptação Ativado.
3. Clique em Update.
4. Selecione a opção adequada.
5. Clique em OK.

Securing Domain Controllers com Firewalls

Você pode usar firewalls para proteger os controladores de domínio. Funcionalidades de filtragem de pacotes podem ser usados para bloquear o tráfego de e para um destino controlador de domínio. Você também pode limitar o número de portas que estão abertas entre um controlador de domínio e um computador. Apenas as portas que são necessários para a comunicação deve ser aberta entre um controlador de domínio e do computador.

As portas utilizadas pelo Active Directory para específico do Active Directory comunicação são listadas aqui:

• Para um usuário de rede logon durante um firewall:
• MS tráfego; a porta TCP 445 e UDP 445
• DNS; porta TCP 53 e UDP 53.
• Autenticação Kerberos protocolo; porta TCP 88 e UDP 88.
• Lightweight Directory Access Protocol (LDAP) ping; porta UDP 389.
• Para um computador logon a um controlador de domínio:
• MS tráfego; a porta TCP 445 e UDP 445
• DNS; porta TCP 53 e UDP 53.
• Autenticação Kerberos protocolo; porta TCP 88 e UDP 88.
• Lightweight Directory Access Protocol (LDAP) ping; porta UDP 389.
• Para verificar as relações de confiança entre controladores de domínio:
• MS tráfego; a porta TCP 445 e UDP 445
• DNS; porta TCP 53 e UDP 53.
• Autenticação Kerberos protocolo; porta TCP 88 e UDP 88.
• Lightweight Directory Access Protocol (LDAP), a porta TCP 389, SSL para a porta TCP 686.
• Lightweight Directory Access Protocol (LDAP) ping; porta UDP 389.
• Netlogon.
• Para a criação de uma relação de confiança entre controlador de domínio localizados em diferentes domínios:
• MS tráfego; a porta TCP 445 e UDP 445
• DNS; porta TCP 53 e UDP 53.
• Autenticação Kerberos protocolo; porta TCP 88 e UDP 88.
• Lightweight Directory Access Protocol (LDAP), a porta TCP 389, SSL para a porta TCP 686.
• Lightweight Directory Access Protocol (LDAP) ping; porta UDP 389.

Controlador de Domínio Específico modelos de segurança predefinidos

Quando um servidor é promovido a primeiro controlador de domínio no papel, um modelo de segurança denominado DC security.inf modelo é aplicado para o controlador de domínio. Um modelo de segurança pode ser definida como uma coleção de configurações de segurança ou parâmetros que podem ser aplicados a um controlador de domínio, servidor membro ou estação de trabalho. As configurações dentro de um modelo de segurança são usados para controlar a configuração de segurança de um computador através de ambas as políticas locais e de grupo políticas.

O DC security.inf segurança modelo define as configurações padrão serviços do sistema, configurações de segurança padrão, eo sistema de arquivos e configurações do Registro para um controlador de domínio. O DC modelo de segurança é criado quando um servidor é promovido a primeiro controlador de domínio no papel, e, basicamente, faz a linha de base de segurança para o controlador de domínio.

Os outros modelos de segurança predefinidos que você pode precisar de um controlador de domínio são:

• securedc.inf modelo: Este modelo de segurança predefinidos contém as configurações de segurança para controladores de domínio que reforcem a segurança em um controlador de domínio e, ao mesmo tempo mantendo a compatibilidade com mais funções e aplicações. O modelo inclui securedc reforçada opções de segurança e políticas de auditoria. Também inclui restrições para usuários anônimos. O impacto sobre os pedidos são minimizados, e os computadores estão configurados para LAN Manager respostas.
• hisecdc.inf modelo: Este modelo altamente segura contém as configurações de segurança para controladores de domínio. O hisecdc modelo é considerado uma mais forte e mais segura do que a definição securedc modelo. O hisecdc modelo proporciona melhor segurança para NTLM (NTLM versão 2), e aplica-se tanto registo e arquivo de segurança. O modelo hisecdc também desativa todos os serviços adicionais e remove todos os membros do grupo Usuários avançados. É recomendado que você use o modelo hisecdc.inf nos controladores de domínio (se possível).

Fazer backup e restaurar Domain Controllers

Um controlador de domínio do estado do sistema contém os dados que inclui o Active Directory eo diretório SYSVOL. Estado do sistema consiste de dados do Registro, arquivos de inicialização de sistema, COM + Class Registration banco de dados, Certificate Services banco de dados e arquivos do Windows File Protection. Fazer o backup de estado do sistema de dados do estado do sistema faz o backup de todos os dados associados com o computador local. Um controlador de domínio também podem conter aplicativos ou arquivos que são específicos para esse controlador de domínio. Todos estes componentes têm de ser incluídos quando você backup do controlador de domínio.

Quando você restaurar dados do estado do sistema e do Active Directory para um controlador de domínio, você tem que decidir sobre o método de restaurar a desempenhar. Sistema estadual de dados podem ser restaurados no controlador de domínio através de um dos seguintes métodos:

• Nonauthoritative restaurar: Quando um nonauthoritative restaurar é realizada, o Active Directory é restaurado a partir do backup media sobre o controlador de domínio. Esta informação é então actualizado durante a replicação a partir de outros controladores de domínio. O nonauthoritative restaurar método é o método padrão para restaurar dados do estado do sistema a um controlador de domínio.
• Authoritative restore: Em um restauro autoritário, o Active Directory está instalado, a ponto de o último backup trabalho. Este método é normalmente utilizado para recuperação do Active Directory objetos que foram suprimidas em erro. Um restauro autoritário é realizado pela primeira realizar um nonauthoritative restaurar e, em seguida, executar o utilitário Ntdsutil antes de reiniciar o servidor. Você usa o utilitário Ntdsutil para indicar os itens que têm autoridade. Itens que estão marcados como autoritativo não são atualizados quando os outros controladores de domínio replicar para o controlador de domínio particular.

Como fazer backup de um controlador de domínio

1. Faça logon no domínio.
2. Clique em Iniciar, Todos os Programas, Acessórios, Ferramentas do Sistema e, em seguida, clique em Backup.
3. Quando o Welcome To The Backup ou Restore Wizard página abrir, clique em Avançar.
4. Na página Backup ou restaurar, escolha o backup de arquivos e configurações opção. Clique em Avançar.
5. Quando o Que fazer backup página abre, selecione a escolher o que Let Me Back Up opção. Clique em Avançar.
6. Na página Itens para backup, selecione System State. Clique em Avançar.
7. Quando o tipo de backup, o destino eo nome página abre, selecione a opção apropriada na caixa Escolha o tipo de backup.
8. Escolha o local para a cópia de segurança no Escolha um local para salvar o seu backup caixa.
9. Digite um nome para a cópia de segurança no trabalho digite um nome para esse backup caixa. Clique em Avançar.
10. Clique no botão Avançado sobre Concluindo o Assistente para backup ou restaurar página.
11. Quando o tipo de backup página abre, selecione a opção Normal para o tipo de backup e, em seguida, clique em Avançar.
12. Na página Como fazer o backup, é recomendado para seleccionar a opção Verificar dados após o backup.
13. Se compressão de hardware é suportado, e você estiver usando um mecanismo de fita, clique em Utilizar a compressão de Hardware, se disponível opção. Clique em Avançar.
14. Quando a página Opções Backup abre, escolher substituir o actual Backups e escolher permitir apenas do proprietário e do acesso de administrador para a cópia de dados e para qualquer Backups anexado à presente Médio. Clique em Avançar.
15. Selecione a opção agora na página Quando fazer backup. Clique em Avançar.
16. Clique em Concluir.
17. Clique no botão Relatório sobre o Progresso Backup página para ler um relatório sobre o emprego apenas backup concluído.

Como restaurar dados de estado do sistema em um controlador de domínio (nonauthoritative restaurar)

1. Reinicie o computador local.
2. Durante o arranque, prima F8 para acessar opções avançadas do Windows.
3. Continue para seleccionar Directory Services Restore Mode. Pressione a tecla Enter
4. Escolha o sistema operacional que deve ser iniciada no Selecione o Sistema Operacional para iniciar. Pressione a tecla Enter.
5. Faça logon no domínio usando uma conta com privilégios de administrador.
6. Clique em OK quando aparecer uma mensagem afirmando que o Windows está sendo executado em modo de segurança.
7. Clique em Iniciar, Todos os Programas, Acessórios, Ferramentas do Sistema e, em seguida, clique em Backup.
8. Quando o Welcome To The Backup ou Restore Wizard página abrir, clique em Avançar.
9. Na página Backup ou restaurar, escolha a opção Restaurar arquivos e configurações. Clique em Avançar.
10. Pelo Que Para Restaurar página, selecione os dados que devem ser restaurados. Clique em Avançar.
11. Verifique se a mídia que contém o arquivo de backup está em vigor.
12. Clique em Concluir para iniciar a nonauthoritative restaurar.
13. Clique em OK quando aparecer uma mensagem indicando que o restabelecimento do estado do sistema irá sobrescrever dados existentes.
14. Quando o processo de restauração completa, reinicie o computador.

Devido ao tipo de informações armazenadas nos controladores de domínio, você deve auditoria backup e restaurar todos os eventos que são realizados em seus controladores de domínio. É recomendado que você ative o Local Policies | Security Options | Auditoria: Auditoria à utilização de Backup e Restauração privilégio opção para que você possa detectar quando backups estão sendo realizados desonestamente.

Digitalmente criptografia e autenticação de Tráfego Assinatura

Computador contas são utilizadas para gerenciar e autenticar computadores dentro de um domínio. Computador contas são armazenadas no Active Directory, e pode ser gerido usando o Active Directory usuários e computadores como instrumento de gestão. Um computador tem de pertencer a um domínio para que você possa efetuar logon no-lo usando uma conta de usuário do domínio. Computador contas são criadas automaticamente para computadores executando o Windows NT, Windows 2000, Windows XP Professional ou Windows Server 2003, quando se reúne a um domínio. Computador contas conter o nome, senha e identificador de segurança (SID). Computador propriedades estão incluídas no objeto de computador no Active Directory. Active Directory cria automaticamente um objecto computador no Computadores UO quando junta um computador a um domínio e não existe conta computador para o computador.

Para um computador para acessar e se comunicar com um controlador de domínio dentro do domínio, o computador tem de ser autenticado.

Existem três definições GPO autenticação que determinar se o tráfego é criptografado e assinado:

• Domínio membro criptografar ou assinar digitalmente os dados de canal seguro (sempre): Aqui, o computador vai usar apenas os dados de canal seguro para se comunicar com o controlador de domínio. Antes que você pode usar esta opção, os controladores de domínio têm de ser minimamente actualizado para o Windows NT 4.0 SP6a. Ativando o criptografar ou assinar digitalmente os dados de canal seguro (sempre) opção ajudar na prevenção das seguintes ataques quando computadores e controladores de domínio comunicar:
• Replay ataques
• Man-in-the middle
• Domínio membro Encriptar digitalmente os dados de canal seguro (quando possível): Esta opção deve ser ativado e usado se qualquer baixo nível controladores de domínio ou impedi-lo de clientes utilizando a primeira opção. Quando esta opção, ea opção abaixo são ativados, a melhor segurança possível que possa ser utilizado, é usado.
• Domínio membro assinar digitalmente os dados de canal seguro (quando possível): Esta opção deve ser ativado e usado se baixo nível controladores de domínio ou impedi-lo de clientes utilizando a criptografar ou assinar digitalmente os dados de canal seguro (sempre) opção.

Configurando Auditoria e Log de eventos Políticas Políticas para Domain Controllers

Quando o Active Directory está instalado em um computador e um novo domínio do Active Directory é criada, o objeto do computador do controlador de domínio é armazenado na unidade organizacional Controladores de Domínio (UO). Um Group Policy Object (GPO) que está ligado ao Domain Controllers UO também é criada.

O Domain Controllers UO contém as seguintes políticas de auditoria que você pode personalizar:

• Auditoria Account Logon Events, Auditoria Conta Gestão, Auditoria Directory Service Access, Auditoria de eventos de logon, Auditoria de mudança política, Auditoria e Sistema de Eventos

Talvez você também precisará modificar as configurações do Log de eventos para atender a sua estratégia de auditoria.

Limitar User Rights

O Domain Controllers UO GPO por omissão concede ao utilizador Permitir iniciar sessão localmente direito a estes grupos:

• Conta Operadores
• Administradores
• Backup Operators
• Imprimir Operadores
• Operadores de servidor

Para a impressão e Operadores Operadores Conta built-in grupos, é recomendado que você remova o utilizador Permitir iniciar sessão localmente direitos.

Também é recomendável que você limite que os indivíduos estão autorizados a desligar controladores de domínio. O Domain Controllers UO GPO por omissão concede o direito de desligar controladores de domínio para estes built-in grupos:

• Administradores
• Backup Operators
• Imprimir Operadores
• Operadores de servidor

Para a impressão e cópia Operadores Operadores built-in grupos, é recomendável que você remover o direito de desligar os controladores de domínio.

Limitar acesso anônimo

Anónimos autenticação é um método de autenticação que realmente permite que um utilizador e de rede cliente para ser autenticado com o usuário / cliente não forneceu credenciais do usuário. No entanto, se você estiver executando o Windows Server 2003, o usuário não será autorizado a acessar recursos de rede. Com os sistemas operacionais Windows anteriores, este não foi o caso. Anónimos autenticação é normalmente utilizado para fornecer retrocompatibilidade com sistemas anteriores ao Windows 2000, para os seguintes cenários.

• Windows NT 4.0 poderia eventualmente utilizar acesso anônimo para obter informações a partir de controladores de domínio.
• Servidor de Acesso Remoto (RAS) em servidores Windows NT 4.0 utiliza o acesso anónimo para a determinação da conexão dial-nos permissões
• Mais velhos sistemas operacionais também poderia usar o acesso anônimo para alterar senhas (Pré "Windows 2000" compatível acesso grupo) no Active Directory.

Para habilitar autenticação anônima, ativar uma das seguintes definições de política de segurança:

• Acesso à rede: Partilhe que podem ser acessados anónima: Utilize esta definição de política de segurança específica para definir as acções que podem ser acessados.
• Acesso à rede: Deixa Todos permissões aplicadas a utilizadores anónimos: Quando ativado, os usuários anônimos são adicionados ao grupo Todos.

Um melhor método de permitir o acesso anónimo está a incluir o Logon anônimo principal de segurança específicas no controle de acesso lista (ACL), que tem acesso.

Com o Windows Server 2003, a conta anônima é restrito por padrão. Se você precisa habilitá-lo para sistemas que requerem acesso anônimo, a utilização destas recomendações para ativar a conta anônima para que você não reduzir segurança desnecessários:

• Para prevenir intrusos de usar a utilizar para calcular contas Anónimos logon em um computador, você deve usar a não permitir enumeração anônima de contas e partilhas SAM política Group Policy Object. Esta opção pode ser usada se você estiver executando o Windows 2000 ou versões posteriores do sistema operativo Windows.
• Um dos métodos mais seguros de permitir Anónimos logon ou acesso é para editar as ACLs de recursos de que necessitam para permitir Anónimos logon. Este é ainda um processo intensivo manualmente.
• Para clientes que estão executando o Windows 2000 pré-sistemas operacionais, você pode adicionar Todos Anónimos e ao pré-Windows 2000 compatível acesso grupo se os usuários precisam de poder mudar suas senhas.
• Embora não seja recomendado, você pode usar o Deixa Todos permissões aplicadas a utilizadores anónimos GPO para mudar a configuração de segurança de volta para o Windows NT modelo.