檢查清單 - Windows Server 2003 網域控制站

發佈日期: 2003 年 12 月 31 日 | 更新日期: 2004 年 7 月 1 日

本頁內容

使用下列檢查清單,有助在強化 Microsoft® Windows Server™ 2003 作業系統網域控制站時,正確執行所有的安全性設定與程序。

準備 Active Directory 網域控制站組織單位:

步驟 注意:
建立網域控制站基準線原則 (DCBP)。
將 DCBP 連結到網域控制站組織單位。
確定 DCBP 擁有最高的優先權。 GPO 應該在清單的最前面。
將對應的用戶端環境安全性範本匯入到新建立的 GPO。 例如,企業用戶端環境的 Enterprise Client — Domain Controller.inf。
新增指定網域群組到「使用者指派權限」。
設定 DCBP 內其他的終端機服務設定。 DCBP 內的路徑: Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Encryption and Security。
停用 DCBP 內的錯誤報告。 DCBP 內的路徑: Computer Configuration\Administrative Templates\System\Error Reporting。

強化網域控制站的步驟:

步驟 注意:
重新放置 Microsoft Active Directory® 目錄服務資料庫與記錄檔。
調整 Active Directory 記錄檔大小。
考慮執行 Syskey。
保護 DNS 伺服器。
設定安全動態更新。
限制只有授權系統方可執行區域轉送。
調整 DNS 服務記錄大小。
保護已知的帳號。 重新命名 Administrator 帳號,指派一個複雜的密碼。確定 Guest 帳號已停用。 變更預設帳號描述。
保護服務帳號。
考慮執行 IPSec 篩選器。
驗證 DCBP 在網域控制站之間覆寫。
執行 GPUPDATE.EXE /FORCE
重新啟動網域控制站。
查看事件日誌以檢查錯誤。

回到頁首