Análisis detallado de seguridad para controladores de dominio

Mucha gente no sabe qué es un controlador de dominio. ¿Cuál es la función? De hecho, la función de esta cosa es muy grande. Sin embargo, si no presta atención a la protección y la seguridad, estará infectada por virus. Ahora permítame presentárselo. Presente este llamado controlador de dominio. Un controlador de dominio, como su nombre lo indica, tiene derechos administrativos para todo el dominio de Windows y para todas las computadoras en el dominio. Por lo tanto, debe hacer un mayor esfuerzo para garantizar la seguridad de sus controladores de dominio y mantenerlos seguros. Este artículo lo guiará a través de algunas de las medidas de seguridad que debe implementar en un controlador de dominio.

Seguridad física para controladores de dominio

El primer paso (y que a menudo se pasa por alto) es proteger la seguridad física de sus controladores de dominio. Es decir, debe colocar el servidor en una habitación cerrada y revisar y registrar estrictamente el acceso a la habitación. No tenga "seguridad segura". Esta visión cree erróneamente que colocar un servidor tan crítico en un lugar remoto sin ninguna protección puede proteger contra espías de datos obstinados y Destruye el ataque de la molécula.

Debido a que la policía especializada en investigación de prevención de delitos nos dice que no tenemos forma de hacer nuestra propia casa, compañía, automóvil y, por supuesto, nuestros servidores tienen un 100% de seguridad. Las medidas de seguridad no garantizan que esos "objetos malos" no tomarán sus objetos de valor, solo puede aumentar la dificultad y la dificultad de obtener objetos de valor. Si puede mantener su proceso de ataque por un período de tiempo más largo, entonces abandonarán el ataque o dejarán de intentarlo, e incluso las posibilidades de atraparlos en el lugar aumentarán considerablemente.

Después de la seguridad física, debe implementar un plan de defensa de múltiples capas. La sala de servidores con cerraduras es solo el primer piso. Esto solo se puede considerar como seguridad perimetral, como una cerca alrededor de su patio o una cerradura en su puerta. En caso de que la seguridad circundante sea violada, se deben configurar algunas medidas de seguridad para proteger el objetivo (esta vez DC) para protegerlo. Puede instalar un sistema de alerta de seguridad para notificarle a usted o a la policía cuando se comprometa su cerca o cerradura de la puerta. De manera similar, debe considerar la implementación de un sistema de alerta entre servidores, que suena como una alerta audible cuando un usuario no autorizado (que no conoce la contraseña para desbloquear el sistema de alerta) ingresa al servidor. También es posible instalar detectores en la puerta y detectores de infrarrojos para evitar la entrada ilegal a través de puertas, ventanas y otros orificios (recomendamos enfáticamente que reduzca el número de puertas, ventanas y orificios lo más posible).

Al implementar su plan de seguridad de múltiples capas desde adentro hacia afuera, debe hacerse una pregunta repetidamente. ¿Qué pasa si falla esta medida de seguridad? Podemos implementarlo en la línea de ataque del intruso. ¿Qué nuevos obstáculos? ”Al igual que coloca su dinero y sus joyas en una habitación vallada, cerrada y protegida por alarma, también debe considerar la seguridad del servidor en sí. Estas son algunas pautas:

Quite todas las unidades de dispositivos de almacenamiento extraíbles, como las unidades de disquete, unidades ópticas, unidades de disco duro externas, unidades Zip, unidades flash y más. Esto aumentará la dificultad para que un intruso cargue un programa (como un virus) en un servidor o descargue datos. Si no usa estos dispositivos, también puede eliminar los puertos que estos dispositivos externos necesitan (cerrados o eliminados físicamente del BIOS). Estos puertos incluyen USB /IEEE 1394, serie, paralelo, SCSI y más.

Bloquee el chasis para evitar que usuarios no autorizados roben el disco duro o dañen los componentes de la máquina.

Coloque el servidor en un rack cerrado y bloqueado (lo que garantiza una buena ventilación) y la fuente de alimentación debe colocarse preferiblemente en el rack del servidor. Para evitar que los intrusos puedan cortar fácilmente la alimentación eléctrica o UPS para interferir con la fuente de alimentación del sistema.

Cómo evitar la intrusión remota de los controladores de dominio

Si cree que su plan de seguridad física es lo suficientemente perfecto, debe centrar su atención en la prevención de piratas informáticos, piratas informáticos y atacantes. Acceda a sus controladores de dominio a través de la red. Por supuesto, la mejor manera de hacer esto es desconectar el controlador de dominio de la red, pero en este caso, el controlador de dominio es inútil. Por lo tanto, tienes que atravesarlos para reforzarlos y defenderlos contra los métodos generales de ataque.

Cuentas de dominio seguras

El método más sencillo (para los piratas informáticos), el más inesperado y común es iniciar sesión en el sistema a través de una contraseña de cuenta válida. Obtenga acceso a los controladores de red y dominio.

En una instalación típica, si un pirata informático quiere iniciar sesión en el sistema, solo necesita dos cosas: un número de cuenta legítimo y su contraseña correspondiente. Si aún utilizas la cuenta de administrador predeterminada — — Administrator, esto hará que la invasión del hacker sea mucho más fácil. Todo lo que necesita hacer es recopilar información. A diferencia de otras cuentas, esta cuenta de administrador predeterminada no se bloqueará para varios inicios de sesión fallidos. Esto significa que el hacker sigue adivinando la contraseña (a través del método de "fuerza bruta" para descifrar la contraseña) hasta que obtenga los privilegios de administrador.

Es por eso que lo primero que debes hacer es cambiar el nombre de la cuenta integrada en tu sistema. Por supuesto, si acaba de renombrar y olvidó cambiar la descripción predeterminada (" cuenta de administración integrada de dominio /computadora ") no tiene mucho sentido. Por lo tanto, debe evitar que los intrusos encuentren rápidamente una cuenta con privilegios de administrador. Por supuesto, tenga en cuenta que todo lo que haga solo puede frenar al intruso. Un pirata informático determinado y capaz aún puede omitir sus medidas de seguridad (por ejemplo, el SID de una cuenta de administrador no se puede cambiar, por lo general termina con 500. Algunos piratas informáticos pueden usar el número SID de la herramienta para identificar la administración). Número de cuenta).