让AD更安全的五个步骤（2）

　　在确信遵循了与管理员有关的最佳做法后，我们将注意力转移到域控制器(Domain Controller，以下简称DC)上面来，因为它们是许多AD实现中最容易受到攻击的目标。如果某个攻击者成功进入DC，那么整个森林将受到威胁。因此，您需要遵循如下最佳做法:

　　确保DC的物理安全性。DC的物理安全性是部署AD时需要考虑的最重要问题之一。如果某个攻击者获得了DC的物理访问权，他将有可能对几乎所有其它的安全措施进行破坏。当您将DC放置在数据中心时，DC的安全性并不存在问题;当在分支机构部署DC时，DC的物理安全性很可能存在问题。在分支机构中，DC经常存放在可以被非IT人员访问的带锁房间内。在一些情况下，这种方式不可避免，但是不管情况如何，只有被充分信任的人员才能够对DC进行访问。

　　自动化安装的过程。通常自动化任务的执行要比手工执行的安全性高。当安装或升级DC时尤其如此。安装和配置操作系统过程的自动化程度越高，DC的不确定因素就越少。当手工安装服务器时，对每台服务器人们的操作均存在细微的差别。即使完整地记录下所有过程，每台服务器的配置仍然会有所区别。通过安装和配置过程的自动化，您有理由确信所有DC均以同样的方式被配置并设置安全性。对于已经安装好的DC，您可以使用组策略这类工具来确保它们之间配置的一致性。

　　迅速安装重要的更新。在Windows NT时代，除非绝对需要，绝大多数管理员不会安装热修复程序(hotfix)或安全更新。更新经常存在缺陷并会导致进一步的问题。今天，我们就没有那么奢侈了。幸运的是微软提供的更新程序质量有了很大提高。因为DC是非常显眼的目标，所以您需要密切关注出现的每一个安全更新。您可以通过访问地址http://www.microsoft.com/security/bulletins/alerts.mspx来订阅并收到有关最新安全更新的Email通知。您可以通过自动更新(Automatic Updates)迅速地对安全更新进行安装，或者通过微软的Software Update Services(SUS)在测试后有选择地对其进行安装。

　　创建一个保留文件。在Windows Server 2003以前的操作系统中，如果用户具备在某个容器中创建对象的权限，那么将无法限制用户创建对象的数量。缺乏限制可以导致攻击者不断地创建对象以至耗尽DC硬盘空间。您可以通过在每个DC的硬盘上创建一个10M至20M的保留文件，以便在某种程度上降低这类风险的发生。如果DC的空间用完了，您可以删除上述保留文件，并在找到解决方案前留下一些解决问题的空间。

　　运行扫描软件。在DC上运行病毒扫描软件比在大多数服务器上运行该软件更为迫切，因为DC间不仅要复制目录信息，还要通过文件复制服务(File Replication Service，以下简称FRS)复制文件内容。不幸的是FRS为病毒提供了在一组服务器之间进行传播的简单途径。并且FRS通常还会对登录脚本进行复制，因此还会潜在地威胁到客户端的安全。运行病毒扫描软件可以大幅降低病毒复制到服务器和客户端的威胁。