Les contrôleurs de domaine effectuer un nombre important de fonctions et les activités de contrôle dans un domaine, y compris les suivantes:

1. Cliquez sur Démarrer, sur Exécuter, puis saisissez syskey. Cliquez sur OK.
2. Sélectionnez Enabled Encryption.
3. Cliquez sur Mettre à jour.
4. Sélectionnez l'option appropriée.
5. Cliquez sur OK.

Sécurisation des contrôleurs de domaine avec des pare-feu

Vous pouvez utiliser un pare-feu pour protéger les contrôleurs de domaine. Fonctionnalités de filtrage de paquets peuvent être utilisés pour bloquer le trafic à destination et à partir d'un contrôleur de domaine. Vous pouvez aussi limiter le nombre de ports qui sont ouverts entre un contrôleur de domaine et un ordinateur. Seuls les ports qui sont nécessaires pour la communication devrait être ouverte entre un contrôleur de domaine et l'ordinateur.

Les ports utilisés par Active Directory pour Active Directory de communication spécifiques sont énumérés ici:

• Pour un utilisateur d'ouverture de session réseau sur un pare-feu:
• MS trafic du port TCP 445 et UDP port 445
• DNS, le port TCP 53 et UDP 53.
• Protocole d'authentification Kerberos, le port TCP 88 et UDP 88.
• Lightweight Directory Access Protocol (LDAP) ping, le port UDP 389.
• Pour un ordinateur de connexion à un contrôleur de domaine:
• MS trafic du port TCP 445 et UDP port 445
• DNS, le port TCP 53 et UDP 53.
• Protocole d'authentification Kerberos, le port TCP 88 et UDP 88.
• Lightweight Directory Access Protocol (LDAP) ping, le port UDP 389.
• Pour la vérification des relations de confiance entre les contrôleurs de domaine:
• MS trafic du port TCP 445 et UDP port 445
• DNS, le port TCP 53 et UDP 53.
• Protocole d'authentification Kerberos, le port TCP 88 et UDP 88.
• Lightweight Directory Access Protocol (LDAP); le port TCP 389, SSL pour le port TCP 686.
• Lightweight Directory Access Protocol (LDAP) ping, le port UDP 389.
• Netlogon.
• Pour la création d'une relation de confiance entre le contrôleur de domaine situé dans différents domaines:
• MS trafic du port TCP 445 et UDP port 445
• DNS, le port TCP 53 et UDP 53.
• Protocole d'authentification Kerberos, le port TCP 88 et UDP 88.
• Lightweight Directory Access Protocol (LDAP); le port TCP 389, SSL pour le port TCP 686.
• Lightweight Directory Access Protocol (LDAP) ping, le port UDP 389.

Contrôleur de domaine spécifique des modèles de sécurité prédéfinis

Quand un serveur est d'abord promu au rôle de contrôleur de domaine, un modèle de sécurité appelé DC security.inf modèle est appliqué au contrôleur de domaine. Un modèle de sécurité peut être définie comme une collection de paramètres de configuration de sécurité ou des paramètres qui peuvent être appliquées à un contrôleur de domaine, serveur membre ou un poste de travail. Les paramètres dans un modèle de sécurité sont utilisés pour contrôler la configuration de sécurité d'un ordinateur à la fois par les politiques locales et des groupes politiques.

DC security.inf Le modèle de sécurité définit les paramètres par défaut du système de services, paramètres de sécurité par défaut, et le système de fichiers du Registre et les paramètres d'un contrôleur de domaine. DC Le modèle de sécurité est créé quand un serveur est d'abord promu au rôle de contrôleur de domaine, et l'essentiel des formes de base de sécurité pour le contrôleur de domaine.

Les autres modèles de sécurité prédéfinis que vous pouvez spécifier pour un contrôleur de domaine sont les suivants:

• securedc.inf modèle: Ce modèle de sécurité prédéfini contient les paramètres de sécurité pour les contrôleurs de domaine que d'améliorer la sécurité sur un contrôleur de domaine dans le même temps de maintenir la compatibilité avec la plupart des fonctions et applications. Securedc Le modèle inclut des options de sécurité et d'audit des politiques. Il comprend également des restrictions pour les utilisateurs anonymes. L'impact sur les applications est réduit, et les ordinateurs sont configurés pour LAN Manager réponses.
• hisecdc.inf modèle: Ce modèle hautement sécurisée contient les paramètres de sécurité pour les contrôleurs de domaine. Le Hisecdc modèle est considéré comme un plus fort, plus sécuritaire que la securedc modèle. Le Hisecdc modèle offre une meilleure sécurité pour l'authentification NTLM (NTLM version 2), et s'applique à la fois de registre et des fichiers de sécurité. Le modèle a également Hisecdc désactive tous les services supplémentaires et supprime tous les membres du groupe Utilisateurs avec pouvoir. Il est recommandé d'utiliser le modèle hisecdc.inf sur les contrôleurs de domaine (si possible).

Sauvegarde et restauration des contrôleurs de domaine

Un contrôleur de domaine contient l'état du système qui comprend des données Active Directory et le répertoire SYSVOL. État du système de données se compose de la greffe, de démarrage du système de fichiers, l'enregistrement de classe COM + base de données, les services de certificats de base de données et fichiers sous Windows File Protection. Sauvegarde de données d'état système de sauvegarde d'état du système toutes les données associées à l'ordinateur local. Un contrôleur de domaine peut aussi contenir des applications ou des fichiers qui sont spécifiques à ce contrôleur de domaine. Tous ces éléments doivent être inclus lorsque vous sauvegardez le contrôleur de domaine.

Lorsque vous restaurez l'état du système et de données Active Directory pour un contrôleur de domaine, vous avez à décider de la méthode de restauration à effectuer. État du système de données peuvent être restaurées sur le contrôleur de domaine par le biais de l'une des méthodes suivantes:

• Faisant pas restaurer: Quand une restauration ne faisant pas est effectué, Active Directory est restauré à partir de supports de sauvegarde sur le contrôleur de domaine. Cette information est ensuite mise à jour au cours de la réplication de l'autre les contrôleurs de domaine. La restauration ne faisant méthode est la méthode par défaut pour restaurer les données d'état du système à un contrôleur de domaine.
• Authoritative restore: Dans une restauration faisant autorité, Active Directory est installé au point de la dernière sauvegarde. Cette méthode est généralement utilisée pour récupérer des objets Active Directory qui ont été supprimés par erreur. Une restauration faisant autorité est exercée par l'exécution d'un premier ne faisant restaurer, puis exécute le Ntdsutil, avant de redémarrer le serveur. Vous pouvez utiliser Ntdsutil pour indiquer les éléments qui font autorité. Les articles qui sont marqués comme faisant autorité ne sont pas mis à jour lorsque les autres contrôleurs de domaine répliqués sur le contrôleur de domaine.

Comment faire pour sauvegarder un contrôleur de domaine

1. Connectez-vous sur le domaine.
2. Cliquez sur Démarrer, Tous les programmes, Accessoires, Outils système, puis cliquez sur Sauvegarde.
3. Lorsque la Bienvenue à l'Assistant Sauvegarde ou Restauration page s'ouvre, cliquez sur Suivant.
4. Dans la page de sauvegarde ou de restauration, choisissez la sauvegarde de fichiers et de paramètres option. Cliquez sur Suivant.
5. Quand le Back Up Que s'ouvre, choisissez le Let Me Que Choisir Back Up option. Cliquez sur Suivant.
6. Dans les éléments à sauvegarder la page, sélectionnez l'état du système. Cliquez sur Suivant.
7. Lorsque le type de sauvegarde, la destination et le Nom page s'ouvre, sélectionnez l'option appropriée dans la zone Sélectionner le type de sauvegarde boîte.
8. Choisissez l'emplacement pour la sauvegarde dans la zone Choisissez un lieu de sauvegarde pour sauvegarder votre boîte.
9. Entrez un nom pour la sauvegarde d'emplois dans le Tapez le nom de la boîte de sauvegarde. Cliquez sur Suivant.
10. Cliquez sur le bouton Avancé de l'achèvement de l'Assistant Sauvegarde ou Restauration page.
11. Lorsque le type de sauvegarde s'ouvre, choisissez l'option Normal pour le type de sauvegarde, puis cliquez sur Suivant.
12. Dans le How To Back Up page, il est recommandé de choisir la vérification des données après la sauvegarde option.
13. Si la compression matérielle est prise en charge, et que vous utilisez un mécanisme de ruban, cliquez sur l'utilisation du matériel de compression, si disponible option. Cliquez sur Suivant.
14. Lorsque la page Options de sauvegarde s'ouvre, choisissez Remplacer le texte actuel des sauvegardes et de choisir Autoriser seulement le propriétaire et l'administrateur d'accès à la sauvegarde des données et à toute sauvegardes joint à la présente Medium. Cliquez sur Suivant.
15. Sélectionnez l'option dans l'immédiat Lorsque To Back Up page. Cliquez sur Suivant.
16. Cliquez sur Terminer.
17. Cliquez sur le bouton Rapport d'avancement sur la sauvegarde la page pour afficher un rapport sur le travail de sauvegarde qui vient de s'achever.

Comment faire pour restaurer l'état du système de données sur un contrôleur de domaine (ne faisant restaurer)

1. Redémarrez l'ordinateur local.
2. Lors du démarrage, appuyez sur F8 pour accéder aux options avancées de Windows.
3. Continuez de sélectionner le mode Restauration des services d'annuaire. Appuyez sur Entrée
4. Choisissez le système d'exploitation qui devrait être lancé à la S'il vous plaît sélectionner le système d'exploitation pour le démarrage rapide. Appuyez sur Entrée.
5. Connectez-vous sur le domaine en utilisant un compte avec des privilèges d'administrateur.
6. Cliquez sur OK quand un message s'affiche indiquant que Windows s'exécute en mode sans échec.
7. Cliquez sur Démarrer, Tous les programmes, Accessoires, Outils système, puis cliquez sur Sauvegarde.
8. Lorsque la Bienvenue à l'Assistant Sauvegarde ou Restauration page s'ouvre, cliquez sur Suivant.
9. Dans la page de sauvegarde ou de restauration, choisissez Restaurer les fichiers et les paramètres option. Cliquez sur Suivant.
10. Sur la page Restauration Que, de choisir les données qui devraient être restaurés. Cliquez sur Suivant.
11. Vérifiez que le support qui contient le fichier de sauvegarde est en place.
12. Cliquez sur Terminer pour démarrer le faisant pas le restaurer.
13. Cliquez sur OK quand un message apparaît indiquant que la restauration écrase les données existantes de l'état du système.
14. Lorsque le processus de restauration est terminé, redémarrez l'ordinateur.

En raison de la nature des informations stockées sur les contrôleurs de domaine, vous devriez vérifier toutes les activités de sauvegarde et de restauration qui sont effectuées sur vos contrôleurs de domaine. Il est recommandé que vous activez le Local Policies | Security Options | Audit: Audit de l'utilisation de la sauvegarde et de restauration privilège option pour vous permettre de détecter si les sauvegardes sont effectuées malhonnête.

Chiffrement et de signature numérique d'authentification de la circulation

Les comptes d'ordinateurs sont utilisés pour gérer et authentifier les ordinateurs dans un domaine. Les comptes d'ordinateurs sont stockés dans Active Directory, et peut être gérée à l'aide des Utilisateurs et ordinateurs Active Directory outil de gestion. Un ordinateur a d'appartenir à un domaine pour vous permettre de vous connecter à l'aide d'un compte d'utilisateur de domaine. Les comptes d'ordinateurs sont créés automatiquement pour les ordinateurs exécutant Windows NT, Windows 2000, Windows XP Professionnel ou Windows Server 2003 au moment de l'entrée d'un domaine. Les comptes d'ordinateurs contiennent un nom, mot de passe et identificateur de sécurité (SID). Computer biens sont inclus dans l'objet ordinateur dans Active Directory. Active Directory crée automatiquement un objet ordinateur dans l'OU Computers quand un ordinateur joint un domaine, et pas de compte d'ordinateur existe pour l'ordinateur.

Pour un ordinateur d'accéder et de communiquer avec un contrôleur de domaine dans le domaine, l'ordinateur doit être authentifié.

Il ya trois paramètres GPO permettant de déterminer si l'authentification du trafic est crypté et signé:

• Membre de domaine crypter ou signer numériquement les données des canaux sécurisés (toujours): Ici, l'ordinateur utilise uniquement les données des canaux sécurisés pour communiquer avec le contrôleur de domaine. Avant de pouvoir utiliser cette option, les contrôleurs de domaine ont pour le moins être mis à niveau vers Windows NT 4.0 SP6a. Activation de la crypter ou signer numériquement les données des canaux sécurisés (toujours) l'option d'aider à la prévention de la suite d'attaques quand les ordinateurs et les contrôleurs de domaine de communiquer:
• Replay attaques
• Man-in-the middle attaques
• Membre de domaine crypter numériquement les données des canaux sécurisés (lorsque possible): Cette option doit être activée et utilisée le cas échéant à niveau des contrôleurs de domaine ou de clients vous empêcher d'utiliser la première option. Lorsque cette option et l'option ci-dessous sont activées, la meilleure sécurité possible qui peut être utilisé, est utilisé.
• Membre de domaine signer numériquement les données des canaux sécurisés (lorsque possible): Cette option doit être activée et utilisée si le niveau des contrôleurs de domaine ou de clients vous empêcher d'utiliser les crypter ou signer numériquement les données des canaux sécurisés (toujours) l'option.

Configuration de l'audit des politiques et du journal des événements politiques pour les contrôleurs de domaine

Lorsque Active Directory est installé sur un ordinateur et d'un nouveau domaine Active Directory est créé, l'objet ordinateur du contrôleur de domaine est enregistré dans le domaine des contrôleurs de l'unité d'organisation (OU). Un objet Stratégie de groupe (GPO), qui est liée à l'UO Contrôleurs de domaine est également créée.

Les contrôleurs de domaine contient le texte suivant OU audit des politiques que vous pouvez personnaliser:

• Audit des événements d'ouverture de session de compte, de l'audit de gestion de compte, de l'audit du service d'annuaire d'accès, de l'audit des événements d'ouverture de session, de l'Audit Policy Change, et de la vérification du système Evénements

Vous pourriez aussi avoir besoin de modifier les paramètres de la stratégie du journal des événements en fonction de votre stratégie de vérification.

Limiter les droits de l'utilisateur

Les contrôleurs de domaine par défaut, OU GPO subventions Autoriser Ouvrir une session localement droit d'utilisateur à ces groupes:

• Opérateurs de compte
• Administrateurs
• Opérateurs de sauvegarde
• Imprimer opérateurs
• Opérateurs de serveur

Pour l'éditeur opérateurs Opérateurs de compte et intégré dans les groupes, il est recommandé que vous supprimez le Permettez Ouvrir une session localement des droits des utilisateurs.

Il est également recommandé de limiter les personnes qui sont autorisées à arrêter les contrôleurs de domaine. Les contrôleurs de domaine OU GPO par défaut, le droit de fermer les contrôleurs de domaine à ces haut-groupes:

• Administrateurs
• Opérateurs de sauvegarde
• Imprimer opérateurs
• Opérateurs de serveur

Pour les opérateurs de l'éditeur et Opérateurs de sauvegarde intégré des groupes, il est recommandé de supprimer le droit de fermer les contrôleurs de domaine.

Limiter l'accès anonyme

L'authentification anonyme est une méthode d'authentification qui permet en fait d'un utilisateur et client réseau pour être authentifiée par l'utilisateur / client sans remise d'identification de l'utilisateur. Toutefois, si vous exécutez Windows Server 2003, l'utilisateur ne sera pas autorisé à accéder à des ressources réseau. Avec l'ancien système d'exploitation Windows, ce n'est pas le cas. L'authentification anonyme est généralement utilisée pour la fourniture de la compatibilité ascendante avec les systèmes antérieurs à Windows 2000, pour les scénarios suivants.

• Windows NT 4.0 peut éventuellement utiliser l'accès anonyme à obtenir des informations auprès des contrôleurs de domaine.
• Remote Access Server (RAS) sur les serveurs Windows NT 4.0 utilise l'accès anonyme pour déterminer les permissions d'accès en
• Anciens systèmes d'exploitation peuvent également utiliser l'accès anonyme à changer les mots de passe (avant "Windows 2000" compatible accès groupe) dans Active Directory.

Pour permettre l'authentification anonyme, activez l'un des paramètres de stratégie de sécurité suivants:

• Accès au réseau: Partagez qui peut être consulté Anonymement: Utilisez ce paramètre de stratégie de sécurité de définir des actions qui peuvent être consultées.
• Accès au réseau: Je demande Pour Tous autorisations utilisateurs anonymes: Lorsque cette option est activée, les utilisateurs anonymes sont ajoutés au groupe Tout le monde.

Une meilleure méthode de permettre l'accès anonyme est d'inclure la sécurité Ouverture de session anonyme principal dans le liste de contrôle d'accès (ACL), qui doit avoir accès.

Avec Windows Server 2003, le compte anonyme est limité par défaut. Si vous avez besoin pour lui permettre de systèmes qui nécessitent l'accès anonyme, l'utilisation de ces recommandations pour permettre au compte anonyme afin de ne pas réduire inutilement la sécurité:

• Pour empêcher les intrus d'utiliser l'aide de la connexion anonyme pour le calcul de comptes sur un ordinateur, vous devez utiliser l'option Ne pas autoriser l'énumération anonyme des comptes et partages SAM politique objets de stratégie de groupe. Cette option peut être utilisée si vous utilisez Windows 2000 ou plus tard, les versions du système d'exploitation Windows.
• L'un des plus sûrs moyens de permettre l'ouverture de session ou de l'accès anonyme est de modifier les ACL des ressources qui doivent permettre l'ouverture de session anonyme. C'est bien un processus manuellement.
• Pour les clients qui exécutent Windows 2000 pré-systèmes d'exploitation, vous pouvez ajouter Chacun Anonyme et à la pré-Windows 2000 compatible accès groupe si les utilisateurs doivent pouvoir changer leur mot de passe.
• Il est fortement recommandé de ne pas, vous pouvez utiliser les autorisations que chacun s'applique à des utilisateurs anonymes GPO pour modifier la configuration de sécurité à la Windows NT modèle.