Физическая безопасность DC. Физическая безопасность контроллеров домена — одна из самых актуальных проблем AD. Злоумышленник, получивший физический доступ к DC, может обойти практически все защитные барьеры. Как правило, физической безопасности ничто не угрожает, если DC располагаются в центрах обработки данных; чаще проблема возникает в офисах филиалов. В таких офисах DC часто находятся в запертых помещениях, к которым имеет доступ только ИТ-персонал. В некоторых ситуациях подобное решение неизбежно. Но в любом случае люди, имеющие физический доступ к DC, должны пользоваться безусловным доверием.

Автоматизация процедуры назначения DC. В общем случае гораздо безопаснее автоматизировать задачу, чем решать ее вручную.

Это особенно справедливо, когда требуется построить и назначить DC. Чем больше степень автоматизации процесса построения и настройки, тем менее уязвимыми будут DC. При ручной установке серверов между различными серверами, как правило, возникают небольшие различия. Даже если процесс полностью документирован, в конфигурации серверов неизбежно появляются различия. Автоматизируя процессы построения и настройки, можно с достаточной степенью уверенности считать, что все DC идентично настроены и защищены. Обеспечить одинаковую конфигурацию ранее построенных DC можно с помощью такого инструмента, как Group Policy.

Незамедлительная установка важных программных исправлений. Во времена Windows NT большинство администраторов применяли лишь самые необходимые исправления для системы безопасности. Нередко исправления содержали ошибки и становились причиной дополнительных проблем. В настоящее время такие вольности недопустимы. К счастью, качество программных исправлений, выпускаемых Microsoft, стало гораздо выше. Контроллеры домена — очевидные мишени, поэтому администраторам необходимо уделить особое внимание новым исправлениям. Можно подписаться на рассылаемые по электронной почте извещения о новых исправлениях для системы безопасности по адресу http://www.microsoft.com/ security/bulletins/alerts.mspx. Развернуть исправления для системы безопасности можно незамедлительно с помощью Automatic Updates или протестировать и установить их выборочно с использованием службы Microsoft Software Update Services (SUS).

Резервный файл. В операционных системах, предшествующих Windows 2003, не существует способа ограничить число объектов, создаваемых в контейнере пользователем с соответствующими разрешениями. Из-за отсутствия ограничений взломщик может, непрерывно создавая объекты, заполнить жесткий диск DC. Опасность можно несколько снизить, создав на каждом DC резервный файл размером от 10 до 20 Мбайт. Если на диске DC не хватает места, можно удалить резервный файл и получить небольшую передышку до тех пор, пока не будет найден выход из положения. Создать резервный файл совсем нетрудно. Это может быть документ Microsoft Word или текстовый файл, содержащий произвольный текст.

Программы поиска вирусов. Запускать программы поиска вирусов на DC еще важнее, чем на большинстве серверов, потому что контроллеры домена обеспечивают репликацию не только информации о каталогах, но и содержимого файлов через службу File Replication Service (FRS).

К сожалению, FRS — удобный способ для распространения вирусов на большом числе серверов. А поскольку FRS обычно реплицирует сценарии регистрации, то потенциальная опасность распространяется вплоть до уровня клиентов. Использование антивирусных программ значительно снижает риск репликации вирусов на серверах и клиентах.

Сообщение отредактировал vaky - Четверг, 13.09.2007, 21:10