檢查清單 - Windows Server 2003 網域控制站
發佈日期: 2003 年 12 月 31 日 | 更新日期: 2004 年 7 月 1 日
本頁內容
使用下列檢查清單,有助在強化 Microsoft® Windows Server™ 2003 作業系統網域控制站時,正確執行所有的安全性設定與程序。
準備 Active Directory 網域控制站組織單位:
| 步驟 | 注意: | |
|---|---|---|
.gif) |
建立網域控制站基準線原則 (DCBP)。 | |
|
|
將 DCBP 連結到網域控制站組織單位。 | |
|
|
確定 DCBP 擁有最高的優先權。 | GPO 應該在清單的最前面。 |
|
|
將對應的用戶端環境安全性範本匯入到新建立的 GPO。 | 例如,企業用戶端環境的 Enterprise Client — Domain Controller.inf。 |
|
|
新增指定網域群組到「使用者指派權限」。 | |
|
|
設定 DCBP 內其他的終端機服務設定。 | DCBP 內的路徑: Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Encryption and Security。 |
|
|
停用 DCBP 內的錯誤報告。 | DCBP 內的路徑: Computer Configuration\Administrative Templates\System\Error Reporting。 |
| 步驟 | 注意: | |
|---|---|---|
|
|
重新放置 Microsoft Active Directory® 目錄服務資料庫與記錄檔。 | |
|
|
調整 Active Directory 記錄檔大小。 | |
|
|
考慮執行 Syskey。 | |
|
|
保護 DNS 伺服器。 設定安全動態更新。 限制只有授權系統方可執行區域轉送。 調整 DNS 服務記錄大小。 |
|
|
|
保護已知的帳號。 | 重新命名 Administrator 帳號,指派一個複雜的密碼。確定 Guest 帳號已停用。 變更預設帳號描述。 |
|
|
保護服務帳號。 | |
|
|
考慮執行 IPSec 篩選器。 | |
|
|
驗證 DCBP 在網域控制站之間覆寫。 | |
|
|
執行 GPUPDATE.EXE /FORCE | |
|
|
重新啟動網域控制站。 | |
|
|
查看事件日誌以檢查錯誤。 |