Положения документированной политики информационной безопасности организации

В следующей таблице представлены рекомендуемые действия по обеспечению безопасности в домене, направленные на повышение уровня защиты серверов, выполняющих службу роли Контроллер домена Active Directory.
Таблица 9 - Контрольный список настройки.
Задачи настройки
Использовать Server Core Windows Server 2012.
Использовать контроллеры RODC там, где невозможно гарантировать физическую безопасность.
Делегировать локальное администрирование контроллеров RODC.
Ограничить количество конфиденциальных данных, хранящихся на контроллерах RODC.
Объединить службы роли DNS и Контроллер домена.
Ограничить количество участников группы администрирования и объемы администрирования.
Запретить администраторам служб обходить политики паролей.
Настроить расширенные политики паролей.
Потребовать многофакторную аутентификацию для пользователей с высоким уровнем привилегий.
Управлять администраторами служб при помощи управляемой структуры подразделений.
Управлять членством в группах для учетных записей администраторов служб.
Шифровать данные, хранящиеся на локальных дисках, с помощью Шифрования дисков BitLocker®.
Архивировать информацию восстановления для BitLocker и TPM.
Защитить ключ запуска компьютера с помощью Syskey.
По причине их большой важности Microsoft рекомендует размещать контроллеры домена в физически защищенных местах, доступ к которым имеет только квалифицированный административный персонал. В ситуациях, когда вашей организации приходится размещать контроллеры домена в незащищенных окружениях, например филиалах, можно использовать контроллеры домена только для чтения (RODCs).
Контроллеры RODC не хранят локально копии паролей всех учетных записей, только специальную учетную запись компьютера для RODC и специальную учетную запись Kerberos для RODC. С помощью Политики репликации паролей (Password Replication Policy), специально создаваемой для RODC, можно настроить пароли каких учетных записей будут храниться на том или ином RODC. Обычно большинство контроллеров RODC локально кэшируют ограниченный набор паролей учетных записей. Он содержит подмножество паролей, для которых разрешено копирование в RODC, и тех, к которым осуществляется непосредственный доступ в этом RODC. С помощью Отфильтрованного набора атрибутов RODC (RODC Filtered Attribute Set) можно гарантировать, что копирование других конфиденциальных данных выполняться не будет

. Контроллеры не допускают изменений базы данных AD DS извне по следующим причинам:
База данных AD DS в RODC является доступной только для чтения.
Для всех размещенных разделов и ресурса SYSVOL поддерживается только входящая репликация.
Таким образом, можно разместить обычные контроллеры домена в безопасных центрах обработки данных и затем установить сетевое взаимодействие с контроллерами RODC. Однако никогда нельзя забывать о том, что любой компьютер, находящийся в физически незащищенном месте, представляет угрозу для безопасности организации.
Функция Разделения Административных Ролей позволяет делегировать права администратора RODC любому пользователю домена или группе доступа без предоставления им каких-либо дополнительных прав на доступ к домену или другим контроллерам домена. Таким образом, администратор с делегированными полномочиями может регистрироваться на RODC для выполнения работ по обслуживанию сервера, таких как обновление драйвера.
Однако администратор с делегированными полномочиями не сможет регистрироваться на любом другом контроллере домена или выполнять какие-либо другие административные задачи в домене. То есть можно делегировать полномочия группе доступа, в состав которой входят не участники группы Domain Admins (Администраторы домена), а пользователи из филиала, и предоставить ей возможность эффективно управлять RODC в филиале, не подвергая рискам безопасность остального домена.
Для контроллеров домена Windows Server 2008 необходима стабильная, правильно конфигурированная служба DNS. Можно интегрировать зоны DNS в AD DS, что является более безопасным вариантом, потому что в этом случае поддерживаются безопасные обновления.
По этой причине многие организации сочетают на одном компьютере службы роли Контроллер домена Active Directory и DNS-сервер, когда служба роли DNS-сервер поддерживает Active Directory. Однако Microsoft рекомендует избегать комбинирования службы роли Контроллер домена Active Directory с другими ролями сервера. Единственным исключением является служба роли DNS-сервер, поддерживающая Active Directory. Выполняя все остальные роли на других серверах, мы максимально сокращаем уязвимость службы роли Контроллер домена Active Directory.
Windows Server 2008 позволяет задавать несколько политик паролей в рамках одного домена