Non sono sicuro che le tue aspettative sulla sicurezza siano realistiche.
Se qualcuno ottiene l'accesso al tuo DC in modo tale da permettergli di cambiare le password arbitrarie dell'account, allora hai un sacco di problemi più grandi di cui preoccuparti.
Se potessero riavviare il sistema per forzare la loro modifica della password ad avere effetto (dopodiché, le tue ipotetiche misure di sicurezza aggiuntive avranno effetto), allora avranno:
1.) Accesso remoto all'accesso al sistema, il che significa che non hanno bisogno di riavviare il sistema per questo scopo perché sono già su di esso.
o
2.) Accesso fisico al sistema, che praticamente ignora qualsiasi ulteriore sicurezza logica che si ha a disposizione, a meno della crittografia del disco rigido.
Diciamo, per amor di discussione, che sono in grado di riavviare il sistema, ma non sono ancora in grado di collegarsi ad esso. A questo punto, hanno effettivamente eseguito DoSed su tutti i servizi forniti dal sistema che richiedono di mantenere il sistema connesso in qualsiasi momento. Forse non è così significativo come una violazione come se avessero effettivamente accesso logico al sistema. Tuttavia, a seconda della criticità di tali servizi, potrebbe avere un impatto significativo sulla tua organizzazione.
La lezione qui è per assicurarsi che i server che richiedono un alto livello di CIA (Riservatezza, Integrità o Disponibilità), come i sistemi che eseguono servizi critici e i controller di dominio a cui rispondono, siano ben protetti fisicamente e separati da i tuoi altri sistemi meno protetti, per quanto possibile sia fisicamente che logicamente.
Credo che il proverbio sia qualcosa del tipo: "Se permetti a qualcuno (intenzionalmente o per mancanza di sicurezza adeguata) l'accesso fisico al tuo sistema, allora il sistema non è più tuo." Lo stesso vale in particolare per i controller di dominio. Se consenti a qualcuno di eseguire comandi arbitrari sul tuo controller di dominio, il dominio non è più tuo.