返回
windowsserverad安全配置标准

windowsserverad安全配置标准

ID:30792825

大小:57.50 KB

页数:6页

时间:2019-01-03

windowsserverad安全配置标准_第1页
windowsserverad安全配置标准_第2页
windowsserverad安全配置标准_第3页
windowsserverad安全配置标准_第4页
windowsserverad安全配置标准_第5页
资源描述:

《windowsserverad安全配置标准》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、大铲湾现代码头(一期)IT管理文档WindowsServerAD安全配置标准文档信息项目名称:WindowsServerAD安全配置标准文档编号:DCB1-1T-P0L-07文件名称:WindowsServerAD安全配置标准签发予:文档状态:正式稿文档版本:VI.0版本日期:2011年05月26日撰写者:KennethYao撰写日期:2011年05月26日审核者:BeyondChen审核日期:2011年06月06日签字日期批准:签字日期版本记录版本号日期修改人描述V1.02011-05-26KennethYaoWin

2、dowsServerAD安全配置标准活动目录(ActiveDirectory,文中简称AD)中保存着能够对AD进行访问的重要密钥和相应权限,为了提髙AD的安全性,我们需要通过一系列基木的操作和管理,逐步提高AD安全性。第一章AD管理员账号安全指引1.管理账号(administrativeaccounts)的使用日常操作时,AD管理员应使用非特权账号,例如使用普通用户权限账号,而在对AD进行操作时,管理员应使用具有相应权限的独立管理账号。或者管理员使用普通用户权限账号登录AD所在服务器,但可以使用Runas命令以管理员身

3、份运行AD。2.确保管理员机器的安全性建立一台独立的专门用于管理AD的PC,并将这台PC放置于一个专门的0U屮,同时对这个0U进行必要的组策略设置,比如,这台PC仅可以哪些账号登录,仅可以访问哪些服务器等等。同时,应确保这台PC的操作系统和软件环境的安全性,当然这台PC应放置在安全的地方,以防被盗。3.定期对管理组的成员进行Review作为AD管理员,需要密切留意AD管理组(AdministrativeGroup)中的成员,由于AD本身并不具备当某个组的成员发生改变时发送提示信息的内建机制,所以,需及时对组成员的状态、

4、权限进行检查,同时在0U上启用审核策略。4.修改默认管理员账号(Administrator)的权限由于默认管理员Administrator的默认权限非常大,所以,应在AD中创建一些别名账号用来替代默认管理员账号,并且,对这些账号进行分级、分类授权,不能将所有权限集屮在某一个账号上。同时,将默认管理员权限回收,并赋以复杂程度较高的密码。5.禁用管理员账号若AD中存在多个域管理员,当这些人员离开公司吋,需尽快禁用账号上的管理访问权限。第二章域控制器(DomainController后文中简称DC)我们知道,DC是许多AD架

5、构中最容易受到攻击的目标。如果某个攻击者成功进入DC,那么整个森林将受到威胁。因此,需要遵循如下方法:1.确保DC的物理安全性DC的物理安全性是部署AD时需要考虑的最重要问题之一。如果某个攻击者获得了DC的物理访问权,他将有可能对几乎所有其它的安全措施进行破坏。当某些没有数据中心的物理环境单独部署DC吋,DC的物理安全性很可能存在问题,因为DC可能被放在可以被非IT人员访问的带锁房间内。通常,只有被充分信任的人员才能够对DC进行访问。2.自动化安装的过程通常自动化任务的执行耍比手工执行的安全性高。当安装或升级DC时尤其

6、如此。安装和配置操作系统过程的自动化程度越高,DC的不确定因素就越少。当手工安装服务器时,对每台服务器人们的操作均存在细微的差别。即使完整地记录下所有过程,每台服务器的配置仍然会有所区别。通过安装和配置过程的自动化,您有理由确信所有DC均以同样的方式被配置并设置安全性。对于已经安装好的DC,您可以使用组策略这类工具来确保它们Z间配置的一致性。3・安装重要的更新需要密切关注微软发布的每一个安全更新。可以通过访问地址http://www.microsoft.com/security/bulletins/alerts.msp

7、x来订阅并收到有关最新安全更新的Email通知。也可以通过自动更新的方式快速对安全更新进行安装,或者通过微软的WindowsSoftwareUpdateServices(WSUS)在测试后有选择地对其进行安装。4.安装防病毒软件DC间不断在复制目录信息,还要通过文件复制服务(FileReplicationService,以下简称FRS)复制文件内容。但FRS服务会为病毒提供了在一组服务器之间进行传播的简单途径。并且FRS通常还会对登录脚木进行复制,因此还会潜在地威胁到客户端的安全。安装防病毒软件可以大幅降低病毒复制到服

8、务器和客户端的威胁。第三章工资权限委派错误地对保护AD内容的访问控制列表(ACL)进行配置将会使AD易于受到攻击。此外,如果委派实施得越复杂,那么AD的维护和问题解决工作就越难。委派实施得越简单,您的麻烦就会越少,在安全方而尤为如此。1.不能将权限分配给用户账号进行委派的基本原则之一就是始终将权限分配给组而不是某个用户。原因是,比

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。