Secure Win 2003ドメインコントローラ

ドメインコントローラは、その名のとおり、Windowsドメイン全体とドメイン内のすべてのコンピュータに対する管理者権限を持っています。だからあなたはあなたのドメインコントローラのセキュリティを確保し、それらを安全に保つためにもっと努力を費やす必要があります。この記事では、ドメインコントローラに展開する必要があるセキュリティ対策について説明します。

ドメインコントローラの物理的セキュリティ

最初のステップ（見過ごされがちですが）は、ドメインコントローラの物理的セキュリティを保護することです。つまり、サーバーを鍵のかかる部屋に置き、その部屋へのアクセスを厳密に確認して記録する必要があります。このような重要なサーバーを保護することなく離れた場所に配置すると、頑固なデータスパイから保護できると誤って考えています。分子の攻撃を破壊する

防犯研究を専門とする警察は、私たちは自分の家、会社、車を作る方法がないと言っているので、もちろん私たちのサーバーは100％のセキュリティを持っています。セキュリティ対策はあなたの貴重品がそれらの「悪者」によって取られないことを保証するものではありません、それは貴重品を得ることの難しさと難しさを増やすことができるだけです。あなたが攻撃プロセスをもっと長い期間続けることができるならば、それらは攻撃を放棄するか、または試みを止めるでしょう、そしてその場でそれらを捕まえる可能性さえも大いに増加するでしょう。

物理的なセキュリティの後に、多層防御計画を展開する必要があります。鍵がかかっているサーバールームは1階です。これは、あなたの庭の周りの柵やあなたのドアの鍵のように、境界セキュリティとしか考えられません。周囲のセキュリティが侵害された場合、それらを保護するためにいくつかのセキュリティ対策がターゲット（今回はDC）を保護するために設定されるべきです。あなたはあなたのフェンスやドアロックが危険にさらされたときにあなたや警察に通知するためにセキュリティ警報システムを設置することができます。同様に、サーバー間に警告システムを配置することを検討する必要があります。これは、（警告システムのロックを解除するためのパスワードを知らない）許可されていないユーザーがサーバーに入ったときに警告音を鳴らすものです。ドア、窓、その他の穴からの不法侵入を防ぐために、ドアに赤外線検知器を、赤外線検知器を設置することも考えられます（ドア、窓、穴の数をできるだけ減らすことを強くお勧めします）。

多層セキュリティ計画を裏返しに展開するときは、「このセキュリティ対策が失敗した場合はどうなりますか」という質問を繰り返し行う必要があります。侵入者の攻撃経路にどのような新たな障害を展開することができますか？ 'お金と宝石を防護された施錠された、警報保護された部屋に入れるのと同じように、サーバー自体のセキュリティも考慮する必要があります。ガイドラインは次のとおりです。

フロッピードライブ、オプティカルドライブ、外付けハードドライブ、Zipドライブ、フラッシュドライブなど、すべてのリムーバブルストレージデバイスドライブを取り外します。これにより、侵入者がサーバーにプログラム（ウイルスなど）をアップロードしたり、データをダウンロードしたりするのが困難になります。これらのデバイスを使用しない場合は、これらの外部デバイスが使用する必要があるポートを削除することもできます（BIOSからクローズされているか物理的に削除されている）。これらのポートには、USB /IEEE 1394、シリアル、パラレル、SCSIなどがあります。

権限のないユーザーがハードドライブを盗んだり、機械の部品を損傷したりするのを防ぐため、シャーシをロックします。

サーバーを密閉されたロックされたサーバーラックに配置し（通気性をよくするため）、電源装置をサーバーラックに配置することをお勧めします。侵入者を避けるために、システムの電源に干渉するために電源またはUPSを簡単に遮断することができます。

ドメインコントローラへのリモートからの侵入を防止する

物理的なセキュリティ計画が十分に優れていると思われる場合は、ハッカー、ハッカー、攻撃者の防止に注意を向ける必要があります。ネットワーク経由でドメインコントローラにアクセスします。もちろん、これを行う最善の方法はネットワークからドメインコントローラを切断することですが、この場合、ドメインコントローラは役に立ちません。したがって、一般的な攻撃方法に対して防御するためにそれらを強化するためにそれらをステップスルーする必要があります。

セキュリティで保護されたドメインアカウント

最も簡単な方法（ハッカーにとって）、最も予想外で最も一般的な方法は、有効なアカウントパスワードを使用してシステムにログインすることです。ネットワークコントローラとドメインコントローラにアクセスします。

通常のインストールでは、ハッカーがシステムにログインしたい場合、必要なものは2つだけです。正当なアカウント番号とそれに対応するパスワードです。それでもデフォルトの管理者アカウント—— Administratorを使用している場合は、これによりハッカーの侵入がはるかに簡単になります。彼がする必要があるのはいくつかの情報を集めることだけです。他のアカウントとは異なり、このデフォルトの管理者アカウントは複数のログイン失敗に対してロックされません。つまり、ハッカーは管理者権限を取得するまでパスワードを推測し続けます（「ブルートフォース」方式でパスワードを解読する）。

だからこそ、最初にすべきことはあなたのシステムのビルトインアカウントの名前を変更することです。もちろん、名前を変更してデフォルトの説明（コンピュータ/ドメインの組み込み管理アカウント）を変更し忘れた場合は、あまり意味がありません。そのため、侵入者が管理者権限を持つアカウントをすばやく見つけることを避けるべきです。もちろん、あなたがすることのすべてが侵入者を遅くすることができるだけであることを心に留めておいてください。決定的で有能なハッカーは依然としてあなたのセキュリティ対策を迂回することができます（例えば、管理者アカウントのSIDは変更することができません、それは通常500で終わります）。口座番号）

Windows Server 2003では、組み込みの管理者アカウントを完全に無効にすることが可能です。もちろん、そうしたい場合は、まず別のアカウントを作成し、それに管理者特権を与えなければなりません。さもなければ、あなたはあなたがあなた自身で特定の特権的なタスクを実行することができないことに気付くでしょう。もちろん、組み込みのguestアカウントは禁止されるべきです（これがデフォルトです）。何人かのユーザーがゲストの特権を持っている必要があるならば、より見えない名前で新しいアカウントを作成して、それにアクセスを制限してください。

すべてのアカウント、特に管理者アカウントには強力なパスワードを設定してください。強力なパスワードには、8文字を超える文字、数字、および記号を含める必要があります。これらは混在させる必要があります。辞書には含めることはできません。ユーザーは自分のパスワードをペンで書き留めたり他人に知らせたりしないように注意する必要があります（ソーシャルエンジニアリングも不正アクセスの一般的な方法です）。グループポリシーを使用して、特定の基準でパスワードを強制的に変更することもできます。

Active Directoryデータベースのリダイレクト

Active Directoryデータベースには大量のコア情報が含まれているため、適切に保護する必要があります。これを行う1つの方法は、攻撃者に知られているデフォルトの場所（システムボリューム内）から他の場所にこれらのファイルを移動することです。保護を強化する場合は、ディスクに問題が発生した場合に回復できるように、ADデータベースファイルを冗長ボリュームまたはミラーボリュームに移動することを検討してください。

Active Directoryのデータベースファイルは次のとおりです。Ntds.dit; Edb.log; Temp.edb

注意：Active Directoryのデータベースファイルをシステムボリュームとは異なる物理ハードディスクに移動するか、またはDCシステムの性能を向上させる

NTDSUTIL.EXEツールを使用すると、次の手順に従ってActive Directoryデータベースとログファイルを転送できます。ドメインコントローラを再起動します。

2。起動時にF8キーを押して、詳細オプションメニューにアクセスします。

3。メニューから[ディレクトリサービス回復モード]を選択します。

4。複数のWindows Server 2003がインストールされている場合は、正しいものを選択してEnterキーを押して続行します。

5。ログインプロンプトが表示されたら、サーバーをアップグレードしたときに指定したActive Directory回復アカウントのユーザーパスワードを使用してログインします。

6。クリックして開始  実行してCMDと入力し、コマンドプロンプト行を実行します。

7。コマンドプロンプトで、「NTDSUTIL.EXE」と入力して実行します。

8。 NTDSUTILのプロンプト行にFILESと入力します。

9。移動するデータベースまたはログファイルを選択して、MOVE DB TOまたはMOVE LOGS TOと入力します。

10。 QUITを2回入力してNTDSUTILを終了し、コマンドプロンプトに戻ってコマンドプロンプトウィンドウを閉じます。

11。ドメインコントローラを再起動し、通常モードでWindows Server 2003を起動します。

Syskeyによるパスワード情報の保護

Active Directoryに保存されているドメインアカウントのパスワード情報は、最も機密性の高いセキュリティ情報です。システムキー（System Key - Syskey）は、ドメインコントローラのディレクトリサービスデータベースに格納されているアカウントパスワード情報を暗号化するために使用されます。

Syskeyには3つの動作モードがあります。モード1は、すべてのWindows Server 2003で使用される既定値です。コンピューターはシステムキーをランダムに生成し、そのキーを暗号化してローカルに保存します。このモードでは、通常どおりローカルコンピュータにログインできます。

モード2では、システムキーはモード1と同じ生成方法と保存方法を使用しますが、セキュリティを強化するために管理者が指定した追加のパスワードを使用します。コンピュータを再起動したら、起動時に管理者が指定した追加のパスワードを入力する必要があります。これはローカルには保存されません。

モード3が最も安全な操作方法です。コンピュータによってランダムに生成されたシステムキーは、コンピュータではなくフロッピーディスクに保存されます。フロッピーディスクに物理的にアクセスできない場合は、メッセージが表示されたらフロッピーディスクを挿入すると、システムを起動できなくなります。

注：モード2とモード3を使用する前に、それらに関連する機能について検討してください。たとえば、syskeyパスワードを持つフロッピーディスクをローカルに挿入する管理者が必要な場合があります。これは、サーバー側にフロッピーディスクを挿入しないとサーバーをリモートで再起動できないことを意味します。

次の方法でシステムキーを作成できます。

クリックして開始  実行してCMDと入力し、コマンドプロンプト行を実行します。

2。コマンドプロンプトでSYSKEYと入力して実行します。

3。更新をクリックします。 ENCRYPTION ENABLEDを確認してください。

4。 syskeyの起動パスワードが必要な場合は、PASSWORD STARTUPをクリックしてください。

5。強力なパスワードを入力します（パスワードには12〜128文字を含めることができます）。

6。パスワードを開始する必要がない場合は、SYSTEM GENERATED PASSWORDをクリックしてください。

7。デフォルトのオプションはSTORE STARTUP KEY LOCALLYです。フロッピーディスクにパスワードを保存したい場合は、フロッピーディスクにキーを保存するをチェックしてください。

モード3を使用してパスワードをフロッピーディスクに保存する場合は、フロッピーディスクにバックアップがあることを確認してください。

キーフロッピーを紛失した場合、または漏洩した場合、あるいは管理者が指定したパスワードを忘れた場合は、元に戻すことはできず、ドメインコントローラを再インストールすることしかできません。

概要

ドメインコントローラを保護することは、ネットワークセキュリティ戦略における重要なステップです。この記事では、ドメインコントローラの物理的なセキュリティを保護する方法、ドメインアカウントを保護する方法、Active Directory内のデータベースファイルを移動する方法、ドメインコントローラに保存されているアカウントパスワード情報を保護するためのSyskeyツールの使用方法について説明しました。