狮子的雄心,骆驼的耐力,孩子的执著!
分类: WINDOWS
2012-05-13 16:37:03
活动目录的数据库包含了大量的核心信息,是应该妥善保护的部分。方法之一就是将这些文件从被攻击者熟知的默认位置(在系统卷中)转移到其他位置。如果想进行更深入的保护,考虑把AD数据库文件移动到一个有冗余或者镜像的卷,以便磁盘发生错误的时候您还能恢复它。
活动目录的数据库文件包括:Ntds.dit;Edb.log;Temp.edb
附注:将活动目录的数据库文件移动到与系统卷不同的物理硬盘,也可以提高DC的系统性能。
您可以按照以下步骤,通过NTDSUTIL.EXE这个工具来转移活动目录的数据库和日志文件:
1.重新启动域控制器。
2.在启动的时候按下F8键,以访问高级选项菜单。
3.在菜单中选择 目录服务恢复模式。
4.如果您装有一个以上的Windows Server 2003,选择正确的那个,按回车键继续。
5.在登陆提示的时候,使用当时您提升服务器时指定的活动目录恢复账号的用户密码登陆。
6.点击 开始 | 运行,输入CMD,运行命令提示行。
7.在命令提示行中,输入NTDSUTIL.EXE,并执行。
8.在NTDSUTIL的提示行中,输入FILES。
9.选择你想要移动的数据库或者日志文件,输入MOVE DB TO或者MOVE LOGS TO。
Ntdsutil
Ntdsutil:files ----进入活动目录NTDS数据库模式
Files maintenance:info ----查看活动目录数据库和日志目前存放路径大小等信息
Files maintenance:move db to d:\windows --把数据库迁移到d:\windows
Files maintenance:move log to d:\windows 把日志迁移到d:\windows
10.输入两次QUIT,退出NTDSUTIL,返回到命令提示行,并关闭命令提示行窗口。
11.再次重新启动域控制器,以正常模式进入Windows Server 2003。
使用Syskey保障密码信息的安全
保存在活动目录中的域账号密码信息是最为敏感的安全信息。系统密钥(System Key - Syskey)就是用来加密保存在域控制器的目录服务数据库中的账号密码信息的。
Syskey一共有三种工作模式。模式一,就是所有Windows Server 2003中默认采用的,计算机随机产生一个系统密钥(system key),并将密钥加密后保存在本地。在这种模式中,你可以像平时一样的登录本地计算机。
在模式二中,系统密钥使用和模式一中同样的生成方式和存储方式,但是它使用一个由管理员指定的附加密码以提供更进一步的安全性。当你重起电脑的时候,你必须在启动的时候输入管理员指定的附加密码,这个密码不保存在本地。
模式三是安全性最高的操作方法。计算机随机产生的系统密钥将被保存在一张软盘上,而不是电脑本地。如果您没有软盘的物理访问权限,并在系统提示时插入该软盘,您就无法引导系统。
附注:在使用模式二和模式三之前,请先考虑他们相关的特性。例如,可能会需要管理员在本地插入含有syskey密码的软盘,这就意味着,您将无法不在服务器端插入软盘就实现服务器远程重启。
您可以通过以下方法创建system key:
1.点击 开始 | 运行,输入CMD,运行命令提示行。
2.在命令提示行中,输入SYSKEY,并执行。
3.点击 UPDATE。选中ENCRYPTION ENABLED。
4.如果需要一个syskey的开始密码,点击PASSWORD STARTUP。
5.输入一个强健的密码(密码可以含有12到128个字符)。
6.如果您不需要开始密码,点击 SYSTEM GENERATED PASSWORD。
7.默认的选项是STORE STARTUP KEY LOCALLY。如果您想要将密码保存在软盘中,选中STORE STARTUP KEY ON FLOOPY DISK。
如果您使用模式三,将密码保存在软盘中,请确保该软盘有备份。
请注意,如果您遗失了密钥软盘,或者它受到了损害,亦或您遗忘了管理员指定的密码,那么您都无法恢复,只能重新安装域控制器。
总结
保护您的域控制器是您网络安全策略中的重要一步。在本文中,我们讨论了如何保障域控制器的物理安全,如何保障域账号的安全性,重定位活动目录的数据库文件,以及如何使用Syskey工具来保护存储在域控制器中的账号密码信息。
