Asegurando los controladores de dominio de Win 2003

Un controlador de dominio, como su nombre lo indica, tiene derechos administrativos para todo el dominio de Windows y para todas las computadoras en el dominio. Por lo tanto, debe hacer un mayor esfuerzo para garantizar la seguridad de sus controladores de dominio y mantenerlos seguros. Este artículo lo guiará a través de algunas de las medidas de seguridad que deben implementarse en un controlador de dominio.

Seguridad física para controladores de dominio

El primer paso (ya menudo pasado por alto) es proteger la seguridad física de sus controladores de dominio. Es decir, debe colocar el servidor en una habitación cerrada y revisar y registrar estrictamente el acceso a la habitación. No tenga "seguridad segura". Esta visión cree erróneamente que colocar un servidor tan crítico en un lugar remoto sin ninguna protección puede proteger contra espías de datos obstinados y Destruye el ataque de la molécula.

Debido a que la policía especializada en investigación de prevención de delitos nos dice que no tenemos forma de hacer nuestra propia casa, compañía, automóvil y, por supuesto, nuestros servidores tienen un 100% de seguridad. Las medidas de seguridad no garantizan que los "malos" no tomarán sus objetos de valor, solo puede aumentar la dificultad y la dificultad de obtenerlos. Si puede mantener su proceso de ataque por un período de tiempo más largo, entonces abandonarán el ataque o dejarán de intentarlo, e incluso las posibilidades de atraparlos en el lugar aumentarán considerablemente.

Después de la seguridad física, debe implementar un plan de defensa de múltiples capas. La sala de servidores con cerraduras es solo el primer piso. Esto solo se puede considerar como seguridad perimetral, como una cerca alrededor de su patio o una cerradura en su puerta. En caso de que la seguridad circundante sea violada, se deben configurar algunas medidas de seguridad para proteger el objetivo (esta vez DC) para protegerlo. Puede instalar un sistema de alerta de seguridad para notificarle a usted o a la policía cuando se comprometa su valla o cerradura de la puerta. De manera similar, debe considerar la implementación de un sistema de alerta entre servidores, que suena como una alerta audible cuando un usuario no autorizado (que no conoce la contraseña para desbloquear el sistema de alerta) ingresa al servidor. También es posible instalar detectores en la puerta y detectores de infrarrojos para evitar la entrada ilegal a través de puertas, ventanas y otros orificios (recomendamos enfáticamente que reduzca el número de puertas, ventanas y orificios lo más posible).

Al implementar su plan de seguridad de múltiples capas desde adentro hacia afuera, debe hacerse una pregunta repetidamente "¿Qué pasa si falla esta medida de seguridad?" ¿Qué nuevos obstáculos podemos desplegar en la línea de ataque del intruso? " Del mismo modo que coloca su dinero y sus joyas en una habitación vallada, cerrada y protegida por alarma, también debe considerar la seguridad del propio servidor. Estas son algunas pautas:

Quite todas las unidades de dispositivos de almacenamiento extraíbles, como las unidades de disquete, unidades ópticas, unidades de disco duro externas, unidades Zip, unidades flash y más. Esto aumentará la dificultad para que un intruso cargue un programa (como un virus) en un servidor o descargue datos. Si no usa estos dispositivos, también puede eliminar los puertos que estos dispositivos externos necesitan (cerrados o eliminados físicamente del BIOS). Estos puertos incluyen USB /IEEE 1394, serie, paralelo, SCSI y más.

Bloquee el chasis para evitar que usuarios no autorizados roben el disco duro o dañen los componentes de la máquina.

Coloque el servidor en un rack cerrado y bloqueado (lo que garantiza una buena ventilación) y la fuente de alimentación debe colocarse preferiblemente en el rack del servidor. Para evitar que los intrusos puedan cortar fácilmente la alimentación eléctrica o UPS para interferir con la fuente de alimentación del sistema.

Cómo evitar la intrusión remota de los controladores de dominio

Si cree que su plan de seguridad física es lo suficientemente perfecto, debe centrar su atención en la prevención de piratas informáticos, piratas informáticos y atacantes. Acceda a sus controladores de dominio a través de la red. Por supuesto, la mejor manera de hacer esto es desconectar el controlador de dominio de la red, pero en este caso, el controlador de dominio es inútil. Por lo tanto, tienes que atravesarlos para reforzarlos y defenderlos contra los métodos generales de ataque.

Cuentas de dominio seguras

El método más sencillo (para los piratas informáticos), el más inesperado y común es iniciar sesión en el sistema a través de una contraseña de cuenta válida. Obtenga acceso a los controladores de red y dominio.

En una instalación típica, si un pirata informático quiere iniciar sesión en el sistema, solo necesita dos cosas: un número de cuenta legítimo y su contraseña correspondiente. Si aún utilizas la cuenta de administrador predeterminada — — Administrator, esto hará que la invasión del hacker sea mucho más fácil. Todo lo que necesita hacer es recopilar información. A diferencia de otras cuentas, esta cuenta de administrador predeterminada no se bloqueará para varios inicios de sesión fallidos. Esto significa que el hacker sigue adivinando la contraseña (a través del método de "fuerza bruta" para descifrar la contraseña) hasta que obtenga los privilegios de administrador.

Es por eso que lo primero que debes hacer es cambiar el nombre de la cuenta integrada en tu sistema. Por supuesto, si acaba de renombrar y olvidó cambiar la descripción predeterminada (" cuenta de administración integrada de dominio /computadora ") no tiene mucho sentido. Por lo tanto, debe evitar que los intrusos encuentren rápidamente una cuenta con privilegios de administrador. Por supuesto, tenga en cuenta que todo lo que haga solo puede frenar al intruso. Un pirata informático determinado y capaz aún puede omitir sus medidas de seguridad (por ejemplo, el SID de una cuenta de administrador no se puede cambiar, por lo general termina con 500. Algunos piratas informáticos pueden usar el número SID de la herramienta para identificar la administración). Número de cuenta).

En Windows Server 2003, es posible deshabilitar completamente la cuenta de administrador integrada. Por supuesto, si desea hacerlo, primero debe crear otra cuenta y otorgarle privilegios de administrador. De lo contrario, descubrirá que no puede realizar ciertas tareas privilegiadas usted mismo. Por supuesto, la cuenta de invitado incorporada debe estar prohibida (esta es la opción predeterminada). Si algunos usuarios necesitan tener los privilegios del invitado, cree una nueva cuenta con un nombre menos visible y limite el acceso a ella.

Todas las cuentas, especialmente las cuentas administrativas, deben tener una contraseña segura. Una contraseña segura debe contener más de 8 caracteres, números y símbolos, que deben mezclarse, y no deben ser palabras en el diccionario. Los usuarios deben tener cuidado de no escribir sus contraseñas con bolígrafos o de decirle a otros (la ingeniería social también es un método común de acceso no autorizado). Las políticas de grupo también se pueden usar para forzar que las contraseñas cambien sobre una base determinada.

Redireccionar la base de datos de Active Directory

La base de datos de Active Directory contiene mucha información esencial y es una parte que debe protegerse adecuadamente. Una forma de hacerlo es mover estos archivos desde la ubicación predeterminada (en el volumen del sistema) que el atacante conoce a otras ubicaciones. Si desea hacer una protección más profunda, considere mover el archivo de la base de datos AD a un volumen con redundancia o duplicación para que pueda recuperarlo si algo falla con el disco.

Los archivos de la base de datos de Active Directory incluyen: Ntds.dit; Edb.log; Temp.edb

Nota: Mueva los archivos de la base de datos de Active Directory a un disco duro físico diferente del volumen del sistema, o Mejorar el rendimiento del sistema de CC.

Puede usar la herramienta NTDSUTIL.EXE para transferir la base de datos y los archivos de registro de Active Directory siguiendo estos pasos:

1. Reinicie el controlador de dominio.

2. Presione la tecla F8 al inicio para acceder al menú de opciones avanzadas.

3. Seleccione Modo de recuperación del servicio de directorio en el menú.

4. Si tiene más de un Windows Server 2003 instalado, seleccione el correcto y presione Enter para continuar.

5. En el momento de la solicitud de inicio de sesión, inicie sesión con la contraseña de usuario de la cuenta de recuperación de Active Directory que se especificó cuando actualizó el servidor.

6. Haga clic para iniciar |  Ejecute, ingrese CMD, ejecute la línea de comando.

7. En el símbolo del sistema, escriba NTDSUTIL.EXE y ejecútelo.

8. En la línea de solicitud de NTDSUTIL, ingrese ARCHIVOS.

9. Seleccione la base de datos o el archivo de registro que desea mover e ingrese MOVE DB TO o MOVE LOGS TO.

10. Ingrese QUIT dos veces, salga de NTDSUTIL, regrese al símbolo del sistema y cierre la ventana del símbolo del sistema.

11. Reinicie el controlador de dominio nuevamente para ingresar a Windows Server 2003 en modo normal.

Asegurar la información de contraseña con Syskey

La información de seguridad de la cuenta de dominio almacenada en Active Directory es la información de seguridad más sensible. La clave del sistema (Clave del sistema - Syskey) se usa para cifrar la información de la contraseña de la cuenta almacenada en la base de datos del servicio de directorio del controlador de dominio.

Syskey tiene tres modos de trabajo. El modo uno es el predeterminado que se usa en todos los servidores Windows 2003. La computadora genera aleatoriamente una clave del sistema, la cifra y la guarda localmente. En este modo, puede iniciar sesión en su computadora local como lo haría normalmente.

En el Modo 2, la clave del sistema usa la misma generación y métodos de almacenamiento que en el Modo 1, pero usa una contraseña adicional especificada por el administrador para brindar mayor seguridad. Cuando reinicia su computadora, debe ingresar la contraseña adicional especificada por el administrador al inicio, que no se guarda localmente.

El modo 3 es el método de operación más seguro. La clave del sistema generada al azar por la computadora se guardará en un disquete en lugar de la computadora. Si no tiene acceso físico al disquete e inserta el disquete cuando se le solicite, no podrá iniciar el sistema.

Nota: antes de usar el Modo 2 y el Modo 3, tenga en cuenta sus características relacionadas. Por ejemplo, es posible que necesite un administrador para insertar un disquete con una contraseña de syskey localmente, lo que significa que no podrá reiniciar el servidor de forma remota sin insertar un disquete en el lado del servidor.

Puede crear una clave de sistema de las siguientes maneras:

1. Haga clic para iniciar |  Ejecute, ingrese CMD, ejecute la línea de comando.

2. En el símbolo del sistema, escriba SYSKEY y ejecútelo.

3. Haga clic en ACTUALIZAR. Verificar la ENCRYPTION ENABLED.

4. Si necesita una contraseña de inicio de syskey, haga clic en PASSWORD STARTUP.

5. Introduzca una contraseña segura (la contraseña puede contener de 12 a 128 caracteres).

6. Si no necesita iniciar su contraseña, haga clic en CONTRASEÑA GENERADA POR EL SISTEMA.

7. La opción por defecto es ALMACENAR LA TECLA DE INICIO LOCALMENTE. Si desea guardar la contraseña en un disquete, marque STORE STARTUP KEY ON FLOOPY DISK.

Si usa el modo 3 y guarda la contraseña en un disquete, asegúrese de que el disquete tenga una copia de seguridad.

Tenga en cuenta que si pierde la clave de su disquete, si está comprometida, o si olvidó la contraseña especificada por el administrador, no podrá recuperarla y solo podrá reinstalar el controlador de dominio.

Resumen

Proteger su controlador de dominio es un paso importante en su estrategia de seguridad de red. En este artículo, analizamos cómo proteger la seguridad física de los controladores de dominio, cómo proteger las cuentas de dominio, reubicar los archivos de la base de datos en Active Directory y cómo utilizar las herramientas de Syskey para proteger la información de la contraseña de la cuenta almacenada en los controladores de dominio.