问题描述:
NTDS
和SYSVOL两个目录都放在D盘,防止病毒,想在域控制器上装还原软件,将C盘保护起来。
问题反馈:
不建议安装。
-安全是一个整体性的架构,一是安装最新的补丁,二是安装合适的防病毒软件并更新最新的病毒库,三是严格定义管理员的操作。
安装最新的补丁还是需要提一下的,因为在我做方案的时候,遇到有些管理员认为某些重要补丁对于dc来说是不用安装的,安装了反而会带来漏洞,比如Internet
Explorer
service
pack
1。但这么做恰恰是错误的,现在有相当多的服务器管理软件都会涉及到web
service,如果不安装ie的补丁,一方面可能导致功能缺陷,另一方面就可能带来病毒或恶意软件的攻击。
安装合适的防病毒软件,针对不同的服务安装不同的防病毒软件,ad是基于文件服务的,所以所使用的软件,是要针对高频率文件操作而设计的。如果ad中的用户比较少,这个问题还不会有什么影响,如果比较多,比如上万的时候,并不是为高频率文件操作而设计的防病毒软件,就可能严重的影响ad的效能,设置导致死机。
最后一点是最关键的,很多的dc上出现病毒的问题,最常见的情况就是管理员将dc直接放置于internet,或者在dc上直接连接到internet,或者在dc上执行非授权的软件等等。这些都可能导致病毒的入侵,而dc作为ad架构的核心地带(在某些情况下就相当于fileserver),它一旦被攻击,就可能影响到所有的客户端,所以dc的安全是非常重要的。
关于您提到的“NTDS
和SYSVOL两个目录都放在D盘”,这样作其实并不能起到预防病毒的作用。微软曾经在如何调整dc性能的文章上,也提到这点。但这样做的目的是基于避免磁盘读写冲突的问题,也就是说,如果将ntds和sysvol放置在系统盘上,由于系统盘也需要较多的文件读写,这样就可能导致ad的运行效能。
但这样做,曾经在win2k
and
win2k3的ad上造成过兼容性的问题,当ntds
以及
sysvol位于非系统盘位置时,如果安装
service
pack进行升级,ad服务及数据库可能会无法启动。
那么如果您需要将ntds转移到其他盘,那么最安全的做法就是,确保您将服务器提升为dc之前,已经安装了最新的service
pack。
关于您提到的“在域控制器上装还原软件”,无论对于dc还是client都是不可取的。先不必说ad时刻都处于不断的变化过程中,dc之间需要不断同步,client与dc之间需要不断同步,一个硬件或者软件的强行还原,都有可能让被实施对象从ad中脱离,脱离后,可能需要的修复动作就是重新安装操作系统,这个结果对于client来说还不严重,但对于dc来说,就意味着,您需要手动清理ad中残留的dc数据,而这个过程是需要对ad的运作机制有一定了解的。
关于如何进行dc乃至整个ad架构的安全性防御的最佳实践,请参考
http://www.microsoft.com/china/TechNet/security/Safeguidebook/book01.asphttp://www.microsoft.com/downloads/thankyou.aspx?familyId=4e734065-3f18-488a-be1e-f03390ec5f91&displayLang=enFEEDBACK By
gnaw0725