• Pogingen om toegang te krijgen tot de veiligheid database op het domein controller.
• Pogingen om het veiligheids-database, zodat de database kunnen worden bekeken en onderzocht in een later stadium.
• Pogingen om toegang te krijgen tot domain controllers met de doelstelling van het bekijken en inbeslagneming beveiligingsconfiguratie informatie.
• Pogingen om toegang te krijgen tot de veiligheid database op de domeincontroller om de bestaande rechten van gebruikers, met de bedoeling van het configureren van een ongeautoriseerde gebruiker met administratieve toegang tot uw domein.
• Pogingen om toegang te krijgen tot het domein controller te veranderen computers die deel uitmaken van het domein, zodat malafide computers toegang tot het domein.

Het belang van domeincontrollers in principe dwingt je om de uitvoering van veiligheidsmaatregelen en het beleid dat het minimaliseren van de bedreigingen voor domeincontrollers.
Een van de voor de hand liggende veiligheidsstrategieën die moeten worden uitgevoerd is de uitvoering van de fysieke beveiliging van uw domeincontrollers. Uw domeincontrollers moeten altijd fysiek beveiligd op een veilige locatie, zoals een data center. Fysieke toegang tot het domein controllersâ € ™ locatie moet worden beperkt tot enkele individuen alleen toegestaan.
U moet ook de toegang van netwerkverbindingen op domeincontrollers. U dient alleen te configureren diensten en toepassingen die nodig zijn door het domein controller server rol. Alle diensten en toepassingen die zijn onnodig moeten worden uitgeschakeld of verwijderd.

Basisbeveiliging Maatregelen voor de beveiliging van Domain Controllers

De aanbevolen elementaire veiligheidsmaatregelen die u kunt uitvoeren om domeincontrollers worden hier genoemd:

• Fysiek veilige domeincontrollers. Dit moet ook de toegang naar de locatie waar domeincontrollers worden gehouden.
• Het NTFS-bestandssysteem moet worden gebruikt om gegevens te beschermen op het systeem volume.
• Beperk het lidmaatschap voor de volgende groepen:
• Domein groep Administrators
• Enterprise groep Administrators
• Sterke wachtwoorden moeten worden gebruikt op domeincontrollers om domain controllers uit ongeoorloofde toegang pogingen.
• Alle onnodige diensten en toepassingen moeten worden geschrapt.
• De syskey hulpprogramma kan worden gebruikt om verdere bescherming van de veiligheid database.
• U kunt ook veilig domain controllers door te eisen smartcard toegang voor de toegang tot domeincontrollers.
• Wees voorzichtig als u delegeren administratieve controle over de configuratie van een domein controller.

Hoe maak je een systeem-toets

1. Klik op Start, Uitvoeren en voer syskey. Klik op OK.
2. Selecteer Codering Ingeschakeld.
3. Klik op Bijwerken.
4. Selecteer de juiste optie.
5. Klik op OK.

Veiligstellen van Domain Controllers met Firewalls

U kunt gebruik maken van firewalls te beschermen domeincontrollers. Pakketfiltering functies kunnen worden gebruikt om het verkeer dat bestemd is voor vervoer van en naar een domein controller. U kunt ook het aantal poorten die zijn geopend tussen een domain-controller en een computer. Alleen die havens, die nodig zijn voor de communicatie moeten worden geopend tussen een domain-controller en de computer.

De poorten die gebruikt worden door Active Directory voor Active Directory-specifieke communicatie worden hier genoemd:

• Voor een gebruiker netwerkaanmelding over een firewall:
• MS verkeer; TCP-poort 445 en UDP-poort 445
• DNS, TCP-poort 53 en UDP-poort 53.
• Kerberos authentication protocol TCP poort 88 en UDP-poort 88.
• Lightweight Directory Access Protocol (LDAP) ping; UDP-poort 389.
• Voor een computer inloggen op een domein controller:
• MS verkeer; TCP-poort 445 en UDP-poort 445
• DNS, TCP-poort 53 en UDP-poort 53.
• Kerberos authentication protocol TCP poort 88 en UDP-poort 88.
• Lightweight Directory Access Protocol (LDAP) ping; UDP-poort 389.
• Voor de verificatie van vertrouwensrelaties tussen domeincontrollers:
• MS verkeer; TCP-poort 445 en UDP-poort 445
• DNS, TCP-poort 53 en UDP-poort 53.
• Kerberos authentication protocol TCP poort 88 en UDP-poort 88.
• Lightweight Directory Access Protocol (LDAP); TCP poort 389, voor SSL TCP poort 686.
• Lightweight Directory Access Protocol (LDAP) ping; UDP-poort 389.
• Netlogon.
• Voor het scheppen van een vertrouwensrelatie tussen domeincontroller in verschillende domeinen:
• MS verkeer; TCP-poort 445 en UDP-poort 445
• DNS, TCP-poort 53 en UDP-poort 53.
• Kerberos authentication protocol TCP poort 88 en UDP-poort 88.
• Lightweight Directory Access Protocol (LDAP); TCP poort 389, voor SSL TCP poort 686.
• Lightweight Directory Access Protocol (LDAP) ping; UDP-poort 389.

Domain Controller-Veiligheidsraad Specifieke Voorgedefinieerde sjablonen

Wanneer een server voor het eerst wordt gepromoveerd tot de rol van domain controller, een beveiligingssjabloon riep de DC security.inf sjabloon is toegepast op het domein controller. Een zekerheid sjabloon kan worden gedefinieerd als een verzameling van beveiligingsconfiguratie instellingen of parameters die kunnen worden toegepast op een domein controller, member server of een werkstation. De instellingen binnen een beveiligingssjabloon worden gebruikt om de beveiliging van een computer via zowel lokaal beleid en group policies.

De DC security.inf beveiligingssjabloon definieert standaard systeem services instellingen, standaard beveiligingsinstellingen en bestandssysteem en register-instellingen voor een domein controller. De DC beveiliging sjabloon is gemaakt wanneer een server voor het eerst wordt gepromoveerd tot het domein controller rol, en in feite vormen de uitgangssituatie zekerheid voor de domeincontroller.

De andere voorgedefinieerde beveiligingssjablonen die u kunt opgeven voor een domein controller zijn:

• securedc.inf sjabloon: Deze voorgedefinieerde beveiligingssjabloon bevat beveiligingsinstellingen voor domeincontrollers die de veiligheid op een domeincontroller en tegelijkertijd het behoud van compatibiliteit met de meeste functies en toepassingen. De securedc sjabloon bevat verbeterde beveiliging opties en controlebeleidslijnen. Het omvat ook de beperkingen voor anonieme gebruikers. De impact op de applicaties wordt geminimaliseerd, en computers zijn geconfigureerd voor LAN Manager reacties.
• hisecdc.inf sjabloon: Deze zeer veilige template bevat beveiligingsinstellingen voor domeincontrollers. De hisecdc sjabloon wordt beschouwd als een sterker, beter beveiligd dan het securedc sjabloon. De hisecdc sjabloon biedt verbeterde beveiliging voor NTLM (NTLM versie 2), en geldt zowel register en bestand veiligheid. De hisecdc sjabloon ook schakelt alle aanvullende diensten en verwijdert alle leden van de groep. Het is aanbevolen dat u de sjabloon op hisecdc.inf domain controllers (indien mogelijk).

Backing Up and Restoring Domain Controllers

Een domein controller bevat systeem staat gegevens met Active Directory en de SYSVOL directory. Systeem staat gegevens uit het register, systeemopstartpartitie bestanden, COM +-klasse Registratie database, Certificate Services-database, en de bestanden onder Windows File Protection. Een back-up-systeem staat gegevens een back-up systeem staat alle gegevens in verband met de lokale computer. Een domein controller kan ook applicaties of bestanden die specifiek zijn voor dat specifieke domein controller. Al deze elementen moeten worden opgenomen wanneer u een back-up van de domeincontroller.

Wanneer u herstellen systeem staat gegevens en Active Directory op een domeincontroller, moet u beslissen over de wijze van herstel uit te voeren. Systeem staat gegevens kunnen worden hersteld op het domein controller via een van de volgende methoden:

• Nonauthoritative herstellen: Wanneer een nonauthoritative herstellen wordt uitgevoerd, Active Directory wordt hersteld vanaf een back-up media op de domeincontroller. Deze informatie wordt vervolgens bijgewerkt tijdens de replicatie van de andere domeincontrollers. De nonauthoritative herstellen methode is de standaard methode voor het herstellen systeem staat gegevens van een domein controller.
• Gezaghebbende herstellen: In een gezaghebbende herstellen van Active Directory is geïnstalleerd op het punt van de laatste back-up functie. Deze methode wordt meestal gebruikt om Active Directory-objecten die zijn geschrapt in fout. Een gezaghebbende herstellen wordt uitgevoerd door eerst het uitvoeren van een nonauthoritative herstellen, en dan draait de Ntdsutil gebruiksmodellen voorafgaand aan het opnieuw opstarten van de server. U gebruikt de Ntdsutil nut om aan te geven voor producten die zijn authentiek. Items die zijn gemarkeerd als gezaghebbend worden niet bijgewerkt wanneer de andere domeincontrollers gerepliceerd naar de specifieke domein controller.

Hoe een back-up van een domeincontroller

1. Meld u aan bij het domein.
2. Klik op Start, Alle programma's, accessoires, Systeemwerkset en klik op Backup.
3. Wanneer het Welcome To The Back-up wizard wordt geopend, klikt u op Volgende.
4. In de Back-pagina, kiest u de back-up bestanden en instellingen optie. Klik op Volgende.
5. Wanneer de What To Back Up pagina opent, kies dan de Let Me Kies wat u wilt back-up optie. Klik op Volgende.
6. In de objecten to Back Up pagina, selecteert u Systeem staat. Klik op Volgende.
7. Wanneer de back-up type, bestemming en Naam pagina opent, selecteert u de juiste optie in het selecteren De Backup vak.
8. Kies de locatie voor de back-up in de Kies een plaats op te slaan Backup doos.
9. Voer een naam voor de back-up job in de typ een naam voor deze back-up box. Klik op Volgende.
10. Klik op de knop Geavanceerd op het voltooien van de wizard Back-up pagina.
11. Wanneer het type back-up wordt geopend, kiest u de optie Normaal voor het back-type, en klik op Volgende.
12. In How to Back Up pagina, is het raadzaam het selectievakje Controleren gegevens na Backup optie.
13. Als hardware-compressie wordt ondersteund en u een tape mechanisme, klikt u op het gebruik van hardware compressie, indien beschikbaar optie. Klik op Volgende.
14. Wanneer de backup-opties wordt geopend, kiest u de plaats van de bestaande back-ups, en kies alleen de eigenaar en de beheerder toegang tot de back-upgegevens en de eventuele backups aan dit medium. Klik op Volgende.
15. Selecteer de optie Nu in de When to Back Up pagina. Klik op Volgende.
16. Klik op Voltooien.
17. Klik op de knop Rapport over de Backup Progress pagina om een rapport over de back-up job gewoon voltooid.

Hoe te herstellen systeem staat gegevens op een domein controller (nonauthoritative restore)

1. Herstart de lokale computer.
2. Tijdens het opstarten, druk op F8 om toegang te krijgen tot de Windows Geavanceerde opties.
3. Ga verder te selecteren Directory Services Restore Mode. Druk op Enter
4. Kies het besturingssysteem dat moet worden gestart op Selecteer het besturingssysteem moet worden gestart prompt. Druk op Enter.
5. Meld u aan op het domein met een account met beheerdersrechten.
6. Klik op OK wanneer een bericht verschijnt dat Windows wordt uitgevoerd in de veilige modus.
7. Klik op Start, Alle programma's, accessoires, Systeemwerkset en klik op Backup.
8. Wanneer het Welcome To The Back-up wizard wordt geopend, klikt u op Volgende.
9. In de Back-pagina, kiest u de bestanden en instellingen optie. Klik op Volgende.
10. Op de pagina Wat wilt herstellen, kiest u de gegevens die moeten worden hersteld. Klik op Volgende.
11. Controleer dat de media dat het back-upbestand is.
12. Klik op Voltooien om te beginnen met de nonauthoritative herstellen.
13. Klik op OK wanneer een bericht weergegeven waarin wordt vermeld dat het herstelproces zal overschrijven bestaande systeem staat gegevens.
14. Wanneer het herstelproces is voltooid, start de computer opnieuw op.

Vanwege de aard van de informatie die is opgeslagen op domeincontrollers, moet u controleren alle back-up en herstel van evenementen die worden uitgevoerd op uw domeincontrollers. Het is aanbevolen dat u de Local Policies | Security Options | Controle: Controle van het gebruik van Backup and Restore voorrecht optie zodat je kan detecteren wanneer back-ups worden uitgevoerd oneerlijk.

Digitaal coderen en ondertekenings Verificatietype Verkeer

Computer accounts worden gebruikt voor het beheren en authenticeren computers binnen een domein. Computer accounts worden opgeslagen in Active Directory en kan worden beheerd met behulp van de Active Directory: gebruikers en computers management tool. Een computer heeft te behoren tot een domein om u aan te melden bij het gebruik van een domeingebruikersaccount. Computer accounts worden automatisch aangemaakt voor computers met Windows NT, Windows 2000, Windows XP Professional of Windows Server 2003, toen bij een domein. Computer rekeningen bevatten een naam, een wachtwoord en beveiligings-id (SID). Computer eigenschappen zijn opgenomen in de computer in Active Directory. Active Directory maakt automatisch een computer object in de Computers OU wanneer een computer bij een domein, en geen computer-account bestaat voor de computer.

Voor een computer met toegang tot en communiceren met een domeincontroller in het domein, de computer moet worden geverifieerd.

Er zijn drie groepsbeleidobject instellingen die bepalen of authenticatie verkeer wordt ondertekend en gecodeerd:

• Lid van domein digitaal coderen of ondertekenen beveiligd kanaal gegevens (altijd): Hier wordt de computer zal alleen gebruik maken van gegevens in beveiligd kanaal om te communiceren met de domeincontroller. Voordat u kunt deze optie gebruiken, domain controllers moeten minimaal worden opgewaardeerd naar Windows NT 4.0 SP6a. Waardoor het digitaal coderen of ondertekenen gegevens in beveiligd kanaal (altijd) optie helpen bij het voorkomen van de volgende aanvallen bij computers en domeincontrollers communiceren:
• Replay-aanvallen
• Man-in-the middle-aanvallen
• Lid van domein beveiligd kanaal digitaal coderen van gegevens (indien mogelijk): Deze optie moet worden ingeschakeld en gebruikt als een down-level domain controllers of klanten voorkomen dat u met behulp van de voormalige optie. Wanneer deze optie en de optie daaronder zijn ingeschakeld, wordt de best mogelijke veiligheidsmaatregelen die kunnen worden gebruikt, wordt gebruikt.
• Lid van domein beveiligd kanaal digitaal ondertekenen van gegevens (indien mogelijk): Deze optie moet worden ingeschakeld en gebruikt indien down-level domain controllers of klanten voorkomen dat u met behulp van het digitaal coderen of ondertekenen gegevens in beveiligd kanaal (altijd) optie.

Configureren controlebeleidslijnen en Gebeurtenislogboek Policies for Domain Controllers

Als Active Directory wordt geïnstalleerd op een computer en een nieuwe Active Directory-domein is gemaakt, de computer-object van het domein controller is opgeslagen in het Domain Controllers organisatie-eenheid (OU). A Group Policy Object (GPO) die gekoppeld is aan het Domain Controllers OU is ook gemaakt.

Het Domain Controllers OU bevat de volgende controlebeleidslijnen die u kunt aanpassen:

• Audit aanmeldingsgebeurtenissen, Audit Account Management, Audit Directory Service Access, Audit Logon Events, Audit Policy Change, and Audit System Events

Je zou ook moeten veranderen van het beleid van instellingen van de Gebeurtenislogboek aan uw controle strategie.

Beperking User Rights

Het Domain Controllers OU groepsbeleidobject standaard verleent de Laat Aanmelden Lokaal gebruiker recht op deze groepen:

• Account Operators
• Beheerders
• Backup Operators
• Print Operators
• Serveroperators

Voor de Print Exploitanten en Account Operators ingebouwd in groepen, is het aanbevolen dat u de Laat Aanmelden Lokale gebruikersrechten.

Ook wordt aanbevolen dat u limiet die particulieren mogen afsluiten domeincontrollers. Het Domain Controllers OU groepsbeleidobject standaard verleent het recht om stilgelegd domeincontrollers deze ingebouwd in de groepen:

• Beheerders
• Backup Operators
• Print Operators
• Serveroperators

Voor de Print Exploitanten en Backup Operators ingebouwd in groepen, is het aanbevolen dat u het recht om stilgelegd domeincontrollers.

Beperking Anoniem Toegang

Anoniem authenticatie is een authenticatie methode die daadwerkelijk kan een gebruiker en het netwerk client te worden gewaarmerkt met de gebruiker / cliënt inrichting geen gebruiker geloofsbrieven. Echter, als u Windows Server 2003, de gebruiker zal niet worden toegestaan om toegang te krijgen tot netwerkbronnen. Met de oudere Windows-systemen, was dit niet het geval. Anoniem authentificatie wordt meestal gebruikt voor de levering van achterwaartse compatibiliteit met systemen voor Windows 2000, voor de volgende scenario's.

• Windows NT 4.0 kan eventueel gebruik van anonieme toegang tot het verkrijgen van informatie van domeincontrollers.
• Remote Access Server (RAS) servers op Windows NT 4.0 maakt gebruik van anonieme toegang voor de vaststelling van dial-in machtigingen
• Oudere besturingssystemen kunnen ook gebruik maken van anonieme toegang tot wijziging van wachtwoorden (Pre "Windows 2000" compatibele toegang groep) in Active Directory.

Om anonieme authenticatie, activeert u een van de volgende veiligheidsbeleid instellingen:

• Network Access: Aandeel dat toegankelijk Anoniem: Gebruik deze instelling veiligheidsbeleid te bepalen specifieke aandelen die kunnen worden gebruikt.
• Netwerktoegang: machtigingen voor Iedereen toepassen op anonieme gebruikers: Wanneer ingeschakeld, anonieme gebruikers zijn toegevoegd aan de groep Iedereen.

Een betere methode om anonieme toegang is tot de belangrijkste Anoniem Logon veiligheid in de specifieke access control list (ACL) dat moet toegang.

Met Windows Server 2003, de Anoniem rekening wordt beperkt door standaard. Als u in staat te stellen voor systemen die Anoniem toegang, gebruik deze aanbevelingen om de Anoniem account, zodat u geen onnodige beperking van de veiligheid:

• Om te voorkomen dat indringers uit met behulp van het gebruik van anonieme aanmelding voor de berekening van de rekeningen op een computer, moet u het geen anonieme inventarisatie van SAM-accounts en shares beleid Group Policy Object. Deze optie kan worden gebruikt wanneer u Windows 2000 of hoger Windows-besturingssysteem versies.
• Een van de meest veilige manieren van activerende Anoniem inloggen of toegang tot het bewerken van de ACL's van de middelen die moeten toelaten Anoniem aanmelden. Dit is echter een handmatig proces.
• Voor cliënten die actief zijn pre-Windows 2000-besturingssystemen kunt u Iedereen en anoniem naar het pre-Windows 2000-compatibele toegang groep als de gebruikers moeten kunnen hun wachtwoord wijzigen.
• Hoewel het niet sterk aanbevolen, kunt u de machtigingen voor Iedereen toepassen op anonieme gebruikers groepsbeleidobject om de beveiligingsconfiguratie terug naar het Windows NT-model.