sh-*_*eta 7 security windows-server-2003 windows-server-2008 active-directory
Active Directory 是 Windows Server 的最佳功能之一,但它也是一个很大的闪亮目标。如果受到攻击,它会为攻击者提供您的 Windows 网络。
在具有面向外部的 Windows 服务器(在我的案例中为 Web 服务器)的环境中,需要采取哪些步骤来保护 Active Directory 免受攻击?如果域成员受到威胁,您如何减少潜在的损害?最后,如果域控制器受到威胁,是否有任何方法可以减少潜在的损害?
我正在寻找与 Active Directory(2003 和 2008)特别相关的信息。应该给出通用的最佳实践(阅读您的日志、安全的管理员密码等)。
不要使用域管理员或类似特权的帐户登录网络上的任何计算机,DC 除外。这样,受感染的系统就无法窃取您的凭据。
拥有一个单独的特权帐户来管理面向 Web 的机器。
如果可能,在面向 Web 的机器上安装严密的网络级防火墙。
如果可能,将面向 Web 的机器置于 DMZ 中 - 这基本上只是一个与内部网络其余部分连接有限的子网。
如果域控制器受到威胁……严格来说,您的域已经消失,需要重建。更实际的是,这取决于妥协的类型,并且您必须根据具体情况进行评估。我继承了两个严格来说“受损”的域,我重建了一个并修复了第二个。有很多因素需要考虑。
| 归档时间: |
|
| 查看次数: |
1372 次 |
| 最近记录: |