讓AD更安全!是的，每個管理員都希望如此，但是要盡可能高地實現這個目標，您還是需要花上一點力氣的，本文通過5個步驟，幫您理解如何來切實增強AD基礎設施的安全。

活動目錄(AD)中保存著能夠對AD進行訪問的重要密鑰，如果不能恰當地增強AD的安全性，那么它很容易受到攻擊。坦率地講，增強AD的安全性并不簡單，但是通過一些基本的步驟，您確實可以提高它的安全性。請注意我這里所說的是“基本”步驟。安全無止境，您總是可以找到提高安全性的方法，但是這些方法往往需要付出相應的代價。這些代價可表現為實際的花費，或者靈活性或功能性方面的損失。讓我在這里向您展示5個步驟，實施這些步驟的代價并不算高，但它們卻可以幫助您切實增強AD基礎設施的安全性。

步驟1. 遵循管理員方面的最佳做法

您可以通過將手工操作(例如，安裝域控制器)自動化的方法來增強AD的安全性，但是目前還沒有出現能夠將人類行為自動化的程序設計語言。因此，這就是您需要為管理員如何管理AD建立指南的原因。您需要確信您的管理員遵循了如下的最佳做法:

區分管理賬號(administrative accounts)的使用。區分管理賬號的使用已經成為許多組織的一個標準做法，但它仍然值得一提。如果管理員的機器不小心感染了病毒，那么潛在的威脅將會非常大，因為獲得管理權限(right)后，病毒可運行程序或腳本。因此，對于日常操作，管理員應使用非特權賬號(例如，用戶賬號);對于和AD有關的操作，管理員應使用一個獨立的管理賬號。當您通過一個非管理賬號登錄后，您可以使用Runas命令這類工具以管理員的身份打開程序。如需了解有關如何使用Runas命令的信息，請參閱Windows的幫助文件。

確保管理員機器的安全性。雖然要求您的管理員以非管理賬號登錄和使用Runas命令打開AD管理程序能夠帶來很多益處，但是如果運行這些工具的硬件系統不安全的話，您仍然處于危險之中。如果您不能確保管理員機器的安全性，那么您需要建立一個獨立并且安全的管理員機器，并讓管理員使用終端服務來訪問它。為了確保該機器的安全，您可以將它放在一個特定的組織單元中，并在組織單元上使用嚴格的組策略設置。您還需要注意機器的物理安全性。如果管理員的機器被盜，那么機器上的所有東西都將受到威脅。

定期檢查管理組(administrative group)的成員。攻擊者獲得更高特權(privilege)的手段之一就是將它們的賬號添加到AD的管理組當中，例如Domain Admins、Administrators或Enterprise Admins。因此，您需要密切關注AD管理組中的成員。遺憾的是AD不具備當某個組的成員發生改變時發送提示信息的內建機制，但是編寫一個遍歷組成員的腳本并使腳本每天至少運行一次并不復雜。在這些組上面啟用審核(Enabling Auditing)也是一個很好的主意，因為每次改變都會在事件日志中有一條對應的記錄。

限制可以訪問管理員賬號(Administrator account)密碼的人員。如果某個攻擊者獲得了管理員賬號的密碼，他將獲得森林中的巨大特權，并且很難對他的操作進行跟蹤。因此，您通常不應使用管理員賬號來執行管理AD的任務。相反，您應該創建可替代的管理賬號(alternative administrative accounts)，將這些賬號添加到Domain Admins或Enterprise Admins組中，然后再使用這些賬號來分別執行每個管理功能。管理員賬號僅應作為最后一個可選擇的手段。因為它的使用應該受到嚴格的限制，同時知道管理員密碼的用戶數量也應受到限制。另外，由于任何管理員均可修改管理員賬號的密碼，您或許還需要對該賬號的所有登錄請求進行監視。

準備一個快速修改管理員賬號密碼的方法。即使當您限制了可以訪問管理員賬號的人數，您仍然需要準備一個快速修改該賬號密碼的方法。每月對密碼進行一次修改是一個很好的方法，但是如果某個知道密碼(或具有修改密碼權限)的管理員離開了組織，您需要迅速對密碼進行修改。該指南同樣適用于當您在升級域控制器時設置的目錄服務恢復模式(Directory Service Restore Mode，以下簡稱DSRM)密碼和任何具有管理權力的服務賬號。DSRM密碼是以恢復模式啟動時用來進行登錄的密碼。您可以使用Windows Server 2003中的Ntdsutil命令行工具來修改這個密碼。

當修改密碼時，您應該使用盡量長的(超過20個字符)隨機密碼。對于管理員而言這種密碼很難記憶。設置完密碼后，您可將它交給某個管理人員，并由他來決定誰可以使用該密碼。

準備一個快速禁用管理員賬號的方法。對于絕大多數使用AD的組織，最大的安全威脅來自于管理員，尤其是那些對雇主懷恨在心的前管理員。即使您和那些自愿或不自愿離開公司的管理員是好朋友，您仍然需要迅速禁用賬號上的管理訪問權限。

步驟2. 遵循域控制器方面的最佳做法

在確信遵循了與管理員有關的最佳做法后，我們將注意力轉移到域控制器(Domain Controller，以下簡稱DC)上面來，因為它們是許多AD實現中最容易受到攻擊的目標。如果某個攻擊者成功進入DC，那么整個森林將受到威脅。因此，您需要遵循如下最佳做法:

確保DC的物理安全性。DC的物理安全性是部署AD時需要考慮的最重要問題之一。如果某個攻擊者獲得了DC的物理訪問權，他將有可能對幾乎所有其它的安全措施進行破壞。當您將DC放置在數據中心時，DC的安全性并不存在問題;當在分支機構部署DC時，DC的物理安全性很可能存在問題。在分支機構中，DC經常存放在可以被非IT人員訪問的帶鎖房間內。在一些情況下，這種方式不可避免，但是不管情況如何，只有被充分信任的人員才能夠對DC進行訪問。