• Los intentos de acceder a la base de datos de seguridad de controlador de dominio.
• Los intentos de copiar la base de datos de seguridad a fin de que la base de datos puede ser visto y examinado en una etapa posterior.
• Los intentos de acceder a los controladores de dominio con el objetivo de ver y aprovechar la información de configuración de seguridad.
• Los intentos de acceder a la base de datos de seguridad en el controlador de dominio para cambiar el actual los derechos de los usuarios, con la intención de configurar un usuario no autorizado con acceso administrativo a su dominio.
• Los intentos de acceder al controlador de dominio a cambio de computadoras que pertenecen al dominio de manera que las computadoras pueden tener acceso a la picaresca del dominio.

La importancia de los controladores de dominio, básicamente te obliga a aplicar medidas de seguridad y políticas que reduzcan al mínimo las amenazas a los controladores de dominio.
Una de las estrategias de seguridad obvio que debe aplicarse es la aplicación de la seguridad física de sus controladores de dominio. Sus controladores de dominio debe ser siempre físicamente segura en una ubicación segura como por ejemplo un centro de datos. El acceso físico al dominio controllersâ € ™ ubicación debe limitarse a unas pocas personas autorizadas solamente.
También debe limitar el acceso de las conexiones de red a los controladores de dominio. Sólo debe configurar servicios y aplicaciones que se necesitan por el controlador de dominio de función de servidor. Todos los servicios y aplicaciones que son innecesarios deben ser desactivados o borrar.

Las medidas de seguridad básicas para asegurar los controladores de dominio

Se recomienda las medidas de seguridad básicas que se puede aplicar para obtener los controladores de dominio se enumeran aquí:

• Físicamente seguro controladores de dominio. Esto debería incluir el control de acceso a la ubicación donde se guardan los controladores de dominio.
• El sistema de archivos NTFS se deben utilizar para proteger los datos sobre el volumen del sistema.
• Limitar el número de miembros a los siguientes grupos:
• Grupo Administradores de dominio
• Administradores de grupo
• Contraseñas se debe utilizar en los controladores de dominio para obtener los controladores de dominio de los intentos de acceso no autorizado.
• Todas las aplicaciones y servicios innecesarios deben suprimirse.
• El SysKey utilidad puede ser usada para proteger aún más la base de datos de seguridad.
• También puede obtener los controladores de dominio mediante el requisito de acceso de tarjetas inteligentes para el acceso a los controladores de dominio.
• Tenga cuidado si usted es delegar el control administrativo de la configuración de un controlador de dominio.

Cómo crear un sistema de clave

1. Haga clic en Inicio, Ejecutar y escriba SysKey. Haga clic en Aceptar.
2. Seleccione Cifrado habilitado.
3. Haga clic en Actualizar.
4. Seleccione la opción apropiada.
5. Haga clic en Aceptar.

Asegurar los controladores de dominio con Firewalls

Puede utilizar servidores de seguridad para proteger a los controladores de dominio. Características de filtrado de paquetes se puede utilizar para bloquear el tráfico con destino hacia y desde un controlador de dominio. También puede limitar el número de puertos que se abren entre un controlador de dominio y un ordenador. Sólo los puertos que son necesarios para la comunicación debe estar abierto entre un controlador de dominio y el ordenador.

Los puertos utilizados por Active Directory de Active Directory de comunicación específicas se enumeran aquí:

• Para un usuario de inicio de sesión de red de más de un cortafuegos:
• MS tráfico el puerto TCP 445 y el puerto UDP 445
• DNS, el puerto TCP 53 y el puerto UDP 53.
• Protocolo de autenticación Kerberos, el puerto TCP 88 y el puerto UDP 88.
• Lightweight Directory Access Protocol (LDAP) ping; el puerto UDP 389.
• Para un equipo de inicio de sesión a un controlador de dominio:
• MS tráfico el puerto TCP 445 y el puerto UDP 445
• DNS, el puerto TCP 53 y el puerto UDP 53.
• Protocolo de autenticación Kerberos, el puerto TCP 88 y el puerto UDP 88.
• Lightweight Directory Access Protocol (LDAP) ping; el puerto UDP 389.
• Para la verificación de relaciones de confianza entre los controladores de dominio:
• MS tráfico el puerto TCP 445 y el puerto UDP 445
• DNS, el puerto TCP 53 y el puerto UDP 53.
• Protocolo de autenticación Kerberos, el puerto TCP 88 y el puerto UDP 88.
• Lightweight Directory Access Protocol (LDAP), el puerto TCP 389, SSL para el puerto TCP 686.
• Lightweight Directory Access Protocol (LDAP) ping; el puerto UDP 389.
• Netlogon.
• Para la creación de una relación de confianza entre el controlador de dominio ubicado en distintos ámbitos:
• MS tráfico el puerto TCP 445 y el puerto UDP 445
• DNS, el puerto TCP 53 y el puerto UDP 53.
• Protocolo de autenticación Kerberos, el puerto TCP 88 y el puerto UDP 88.
• Lightweight Directory Access Protocol (LDAP), el puerto TCP 389, SSL para el puerto TCP 686.
• Lightweight Directory Access Protocol (LDAP) ping; el puerto UDP 389.

Controlador de dominio específicas de plantillas de seguridad predefinidas

Cuando un servidor es el primero promovido a controlador de dominio de papel, una plantilla de seguridad denominada DC security.inf plantilla se aplica al controlador de dominio. Una plantilla de seguridad puede definirse como una colección de ajustes de configuración de seguridad o los parámetros que se pueden aplicar a un controlador de dominio, servidor miembro o una estación de trabajo. Los valores dentro de una plantilla de seguridad se utilizan para controlar la configuración de seguridad de un ordenador a través de las políticas locales y políticas de grupo.

DC security.inf la plantilla de seguridad se define por defecto la configuración de los servicios del sistema, configuración de seguridad predeterminada, y el sistema de archivos y entradas del Registro de la configuración de un controlador de dominio. La DC plantilla de seguridad se crea cuando un servidor es la primera ascendido a controlador de dominio de la función, y básicamente es la base de referencia de seguridad para el controlador de dominio.

Las otras plantillas de seguridad predefinidas que puede especificar para un controlador de dominio son:

• securedc.inf plantilla: Esta plantilla de seguridad predefinidas contiene la configuración de seguridad para los controladores de dominio que mejoran la seguridad en un controlador de dominio al mismo tiempo mantener la compatibilidad con la mayoría de las funciones y aplicaciones. La plantilla securedc incluye la mejora de la seguridad y las opciones políticas de auditoría. También incluye restricciones para los usuarios anónimos. El impacto sobre las solicitudes se minimiza, y los ordenadores están configurados para las respuestas de LAN Manager.
• hisecdc.inf plantilla: Esta plantilla contiene alta seguridad para la configuración de seguridad de los controladores de dominio. Hisecdc la plantilla se considera una más fuerte, más seguro que el ajuste securedc plantilla. La plantilla hisecdc proporciona una mayor seguridad para NTLM (NTLM versión 2), y se aplica tanto el registro y archivo de la seguridad. La plantilla hisecdc también deshabilita todos los servicios adicionales y elimina todos los miembros del grupo Usuarios. Se recomienda que utilice la plantilla hisecdc.inf en los controladores de dominio (si es posible).

Hacer una copia de seguridad y restauración de controladores de dominio

Un controlador de dominio contiene el estado del sistema que incluye datos de Active Directory y el directorio SYSVOL. Estado del sistema consiste en datos de la Secretaría, los archivos de arranque del sistema, la clase COM + Registro de base de datos, base de datos de Servicios de Certificate Server y los archivos bajo Protección de archivos de Windows. Copias de seguridad del estado del sistema de datos copias de seguridad de estado del sistema todos los datos asociados con el equipo local. Un controlador de dominio también puede contener aplicaciones o archivos que son específicos de ese controlador de dominio. Todos estos componentes tienen que ser incluidos cuando se copia de seguridad del controlador de dominio.

Cuando se restaura el estado del sistema y datos de Active Directory para un controlador de dominio, usted tiene que decidir sobre el método de restauración a realizar. Estado del sistema de datos se pueden restaurar en el controlador de dominio a través de cualquiera de los siguientes métodos:

• Nonauthoritative restaurar: Cuando uno se realiza nonauthoritative restaurar, de Active Directory se restaura la copia de seguridad de los medios de comunicación en el controlador de dominio. Esta información se actualiza durante la reproducción de los otros controladores de dominio. El método es nonauthoritative restaurar el método predeterminado para restaurar el estado del sistema de datos a un controlador de dominio.
• Restauración autoritativa: En una restauración autoritativa, Active Directory está instalado en el punto de la última copia de seguridad de empleo. Este método se suele utilizar para recuperar objetos de Active Directory que se han suprimido por error. Una restauración autoritativa se realiza en primer lugar la realización de una nonauthoritative restaurar y, a continuación, ejecuta la utilidad Ntdsutil antes de reiniciar el servidor. Puede utilizar la utilidad Ntdsutil para indicar los temas que son auténticas. Elementos que están marcados como autoridad no se actualizan cuando los otros controladores de dominio para replicar el controlador de dominio.

¿Cómo hacer copia de seguridad de un controlador de dominio

1. Inicie sesión en el dominio.
2. Haga clic en Inicio, Todos los programas, Accesorios, Herramientas del sistema y, a continuación, haga clic en Copia de seguridad.
3. Cuando la bienvenida a los asistente de copia de seguridad o restauración se abre la página, haga clic en Siguiente.
4. En la copia de seguridad o restaurar la página, seleccione la copia de seguridad de archivos y configuraciones opción. Haga clic en Siguiente.
5. Que cuando la copia de seguridad de la página se abre, elija el Dejarme elegir Qué opción de copia de seguridad. Haga clic en Siguiente.
6. Para los artículos en la copia de seguridad de la página, seleccione el estado del sistema. Haga clic en Siguiente.
7. Cuando el tipo de copia, de destino y el nombre se abre la página, seleccione la opción adecuada en el cuadro Seleccione el cuadro Tipo de copia de seguridad.
8. Elija la ubicación para la copia de seguridad en el escoger un lugar para guardar su copia de seguridad de caja.
9. Introduzca un nombre para la copia de seguridad en el trabajo Escriba un nombre para esta copia de seguridad de caja. Haga clic en Siguiente.
10. Haga clic en el botón Opciones avanzadas en la Realización de la copia de seguridad o Asistente para restauración página.
11. Cuando el tipo de copia de seguridad de la página se abre, seleccione la opción normal para el tipo de copia de seguridad y, a continuación, haga clic en Siguiente.
12. Como en la copia de seguridad de la página, se recomienda seleccionar la verificación de los datos de copia de seguridad Después de opción.
13. Si la compresión de hardware está soportado, y que está utilizando un mecanismo de cinta, haga clic en el uso de compresión de hardware, si se dispone de la opción. Haga clic en Siguiente.
14. Cuando la página Opciones de copia de seguridad se abre, elegir sustituir el actual copias de seguridad, y seleccione Permitir sólo el propietario y el administrador de acceso a la copia de seguridad de datos y cualquier adjunto a la presente copias de seguridad Media. Haga clic en Siguiente.
15. Ahora seleccione la opción en la copia de seguridad Cuando Para página. Haga clic en Siguiente.
16. Haga clic en Finalizar.
17. Haga clic en el botón Informe de Progreso de copia de seguridad en la página para ver un informe sobre el trabajo de copia de seguridad que acaba de finalizar.

Cómo restaurar los datos del estado del sistema en un controlador de dominio (nonauthoritative restaurar)

1. Reinicie el equipo local.
2. Durante el inicio, presione F8 para acceder a las Opciones avanzadas de Windows.
3. Procede a la selección de modo de restauración de servicios de directorio. Pulse Intro
4. Elija el sistema operativo que debe iniciarse en el Seleccione el sistema operativo de inicio rápido. Pulse Aceptar.
5. Inicie sesión en el dominio utilizando una cuenta con privilegios de administrador.
6. Haga clic en Aceptar cuando aparece un mensaje indicando que Windows se ejecuta en modo seguro.
7. Haga clic en Inicio, Todos los programas, Accesorios, Herramientas del sistema y, a continuación, haga clic en Copia de seguridad.
8. Cuando la bienvenida a los asistente de copia de seguridad o restauración se abre la página, haga clic en Siguiente.
9. En la copia de seguridad o restaurar la página, seleccione Restaurar archivos y la opción Configuración. Haga clic en Siguiente.
10. Que en la página de restauración, seleccione los datos que deben ser restauradas. Haga clic en Siguiente.
11. Compruebe que los medios de comunicación que contiene el archivo de copia de seguridad esté en su lugar.
12. Haga clic en Finalizar para iniciar la nonauthoritative restaurar.
13. Haga clic en Aceptar cuando aparece un mensaje indicando que la restauración sobrescribirá los datos existentes del estado del sistema.
14. Cuando se completa el proceso de restauración, reinicie el equipo.

Debido al tipo de información almacenada en los controladores de dominio, usted debe auditar todos los eventos de copia de seguridad y restauración que se realizan en su controladores de dominio. Se recomienda que habilite el local Políticas | Opciones de seguridad | Auditoría: Auditoría de la utilización de copias de seguridad y restauración privilegio opción para que pueda detectar cuando se están llevando a cabo copias de seguridad deshonestamente.

Firma digital y cifrado del tráfico de autenticación

Cuentas se utilizan para gestionar y autenticar las computadoras dentro de un dominio. Cuentas de equipo se almacenan en Active Directory, y pueden ser gestionados mediante el Active Directory Usuarios y equipos de herramienta de gestión. Un equipo tiene que pertenecer a un dominio para poder acceder a ella utilizando una cuenta de usuario de dominio. Cuentas de equipo se crean automáticamente para los equipos que ejecutan Windows NT, Windows 2000, Windows XP Professional o Windows Server 2003 al unirse a un dominio. Cuentas de equipo contienen un nombre, contraseña, y el identificador de seguridad (SID). Ordenador propiedades incluidas en el objeto de equipo en Active Directory. Active Directory crea automáticamente un objeto de equipo en la OU los equipos cuando un equipo se une a un dominio, y no existe cuenta de equipo para el equipo.

Para un equipo de acceso y comunicación con un controlador de dominio en el dominio, el equipo tiene que ser autenticada.

Hay tres ajustes de la GPO que determinar si el tráfico de autenticación de firma y cifrado:

• Miembro del dominio firmar digitalmente o cifrar los datos del canal seguro (siempre): En este caso, el equipo sólo utilizará los datos del canal seguro de comunicación con el controlador de dominio. Antes de poder utilizar esta opción, los controladores de dominio tienen que estar mínimamente actualizado a Windows NT 4.0 SP6a. Habilitar el firmar digitalmente o cifrar los datos del canal seguro (siempre) opción de asistencia en la prevención de los siguientes ataques cuando los ordenadores y los controladores de dominio de comunicar:
• Repetir los ataques
• Hombre en el medio los ataques
• Miembro del dominio encriptar digitalmente los datos del canal seguro (cuando sea posible): Esta opción debe estar habilitada y se utiliza en su caso a nivel de los controladores de dominio o clientes le impide utilizar la primera opción. Cuando esta opción, y la opción a continuación están activadas, la mejor seguridad que puede ser utilizado, se utiliza.
• Miembro del dominio firmar digitalmente los datos del canal seguro (cuando sea posible): Esta opción debe estar habilitada y utilizarse si el nivel de los controladores de dominio o clientes le impide utilizar el cifrar o firmar digitalmente los datos del canal seguro (siempre) opción.

Configuración de Políticas de Auditoría y Registro de eventos Políticas para controladores de dominio

Cuando Active Directory se encuentra instalado en un equipo y un nuevo dominio de Active Directory se crea, el objeto de equipo del controlador de dominio se almacena en los controladores de dominio unidad organizativa (OU). Un objeto de directiva de grupo (GPO) que está vinculado a la OU Controladores de dominio también se crea.

La OU Controladores de dominio contiene las siguientes políticas de auditoría, que se pueden personalizar:

• Cuenta de inicio de sesión de auditoría Eventos, Gestión de la cuenta de auditoría, auditoría del servicio de directorio de acceso, auditoría de inicio de sesión de eventos, el cambio de auditoría, auditoría del sistema y Eventos

También puede que necesite modificar la configuración del registro de sucesos que se adapte a sus estrategia de auditoría.

La limitación de derechos de usuario

La OU Controladores de dominio GPO por defecto subvenciones Permitir inicio de sesión local derecho de usuario a estos grupos:

• Operadores de cuentas
• Administradores
• Operadores de copia de seguridad
• Operadores de impresión
• Operadores de servidores

Los operadores de la impresión y Operadores de cuentas incorporados en grupos, se recomienda que retire el Permitir el inicio de sesión local en los derechos de los usuarios.

También se recomienda que usted limita que las personas se les permite apagar los controladores de dominio. La OU Controladores de dominio GPO por defecto se concede el derecho a cerrar los controladores de dominio a incorporado en estos grupos:

• Administradores
• Operadores de copia de seguridad
• Operadores de impresión
• Operadores de servidores

Los operadores de la impresión y Operadores de copia de seguridad incorporado en grupos, se recomienda que quite el derecho a cerrar los controladores de dominio.

Limitar el acceso anónimo

Anónimo de autenticación es un método de autenticación que realmente permite a un usuario y cliente de la red para ser autenticado con el usuario / cliente no suministrar las credenciales de usuario. Sin embargo, si está ejecutando Windows Server 2003, el usuario no será autorizado a acceder a recursos de red. Con las anteriores sistemas operativos de Windows, este no era el caso. Autenticación anónima es típicamente utilizada para el suministro de compatibilidad con sistemas anteriores a Windows 2000, para los siguientes escenarios.

• Windows NT 4.0 puede utilizar el acceso anónimo para obtener información de los controladores de dominio.
• Servidor de acceso remoto (RAS) en los servidores de Windows NT 4.0 utiliza el acceso anónimo para determinar los permisos de marcación en
• Sistemas operativos más antiguos también pueden utilizar el acceso anónimo a cambio de contraseñas (pre "Windows 2000", compatible con el acceso del grupo) en Active Directory.

Para habilitar la autenticación anónima, active uno de los siguientes ajustes de la política de seguridad:

• Acceso a la red: Porcentaje que se puede acceder anónima: Utilice esta configuración de seguridad para definir acciones concretas que se puede acceder.
• Acceso a la red: Que todos los permisos en Aplicar a los usuarios anónimos: Cuando está activada, los usuarios anónimos se añaden al grupo Todos.

Un mejor método de permitir el acceso anónimo es incluir el principal de seguridad Inicio de sesión anónimo en la lista de control de acceso (ACL) que necesita acceder.

Con Windows Server 2003, el Anónimo cuenta está restringida por defecto. Si usted necesita a fin de que los sistemas que requieren el acceso anónimo, el uso de estas recomendaciones a fin de que la cuenta anónima para que no reducen la seguridad innecesaria:

• Para evitar que intrusos utilicen el Anónimo utilizando para el cálculo de las cuentas de inicio de sesión en un equipo, debe usar el no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM política objeto de directiva de grupo. Esta opción se puede utilizar si está ejecutando Windows 2000 o posterior versiones del sistema operativo Windows.
• Uno de los métodos más seguros de permitir el inicio de sesión o el acceso anónimo es editar la lista de control de acceso de los recursos que necesitan para permitir el inicio de sesión anónimo. Esto es a pesar de un intenso proceso manualmente.
• Para los clientes que se estén ejecutando antes de los sistemas operativos Windows 2000, puede agregar Anónimo Todos y al pre-Windows 2000 compatible con el acceso del grupo si los usuarios tienen que poder cambiar sus contraseñas.
• Si bien no es muy recomendable, puede utilizar la que todo el mundo los permisos se aplican a los usuarios anónimos GPO para cambiar la configuración de seguridad de nuevo a la modelo de Windows NT.