收藏
下载资源

试谈使管理帐户更安全的最佳做法

上传人:pu****.1 文档编号:510926693 上传时间:2023-10-16 格式:DOC 页数:17 大小:47KB
返回 下载 相关 举报
试谈使管理帐户更安全的最佳做法_第1页
第1页 / 共17页
试谈使管理帐户更安全的最佳做法_第2页
第2页 / 共17页
试谈使管理帐户更安全的最佳做法_第3页
第3页 / 共17页
试谈使管理帐户更安全的最佳做法_第4页
第4页 / 共17页
试谈使管理帐户更安全的最佳做法_第5页
第5页 / 共17页
点击查看更多>>
资源描述

《试谈使管理帐户更安全的最佳做法》由会员分享,可在线阅读,更多相关《试谈使管理帐户更安全的最佳做法(17页珍藏版)》请在金锄头文库上搜索。

1、nn使管理帐户更安全的最佳做法为更安全地使用 Windows Server 2003 中的管理帐户而应遵循的最佳做法指导原则包括:? 区分域管理员和企业管理员角色。 ? 区分用户帐户和管理员帐户。 ? 使用 Secondary Logon 服务。 ? 运行单独的“Terminal Services”会话进行管理。 ? 重命名默认管理员帐户。 ? 创建虚假管理员帐户。 ? 创建次要管理员帐户并禁用内置管理员帐户。 ? 为远程管理员登录启用帐户锁定。 ? 创建强管理员密码。 ? 自动扫描弱密码。 ? 仅在受信任计算机上使用管理凭据。 ? 定期审核帐户和密码。 ? 禁止帐户委派。 ? 控制管理登录过

2、程。 管理员帐户安全规划指南第 3 章 - 使管理员帐户更安全的指导原则更新日期: 2005年07月04日本章介绍了一些使管理帐户更安全的常规最佳做法指导原则。 这些指导原则遵循第 2 章“使管理员帐户更安全的方法”所介绍的原则。使管理员帐户更安全的指导原则概述每次安装新的 Active Directory? 目录服务之后,就会为每个域创建一个管理员帐户。 默认情况下,不能删除或锁定此帐户。 在 Microsoft? Windows Server? 2003 中,可以禁用管理员帐户,但以安全模式启动计算机时,会自动重新启用此帐户。 企图攻击计算机的恶意用户通常先查找有效帐户,然后尝试升级此帐户

3、的权限。 另外,他可能还利用猜测密码技术窃取管理员帐户密码。 由于此帐户具有许多权限且不能被锁定,恶意用户以此帐户为攻击对象。 他可能还试图引诱管理员执行某些将授予攻击者权限的恶意代码。 区分域管理员角色和企业管理员角色由于企业管理员角色在目录林环境下具有最终权限,您必须执行以下两个操作之一,以确保很好地控制它的使用。 您可以创建并选择一个受到完善保护的帐户作为 Enterprise Admins 的成员,或者选择不使用这些凭据设置帐户,而是仅在需要这些特权的授权任务要求创建此类帐户时才创建。 在此帐户完成任务之后,您应该立即删除临时 Enterprise Admins 帐户。区分用户帐户和管

4、理员帐户对于担任管理员角色的每个用户,您应该创建两个帐户: 一个普通用户帐户,执行典型日常任务(例如电子邮件和其他程序);一个管理帐户,仅执行管理任务。 您不应使用管理帐户来发送电子邮件、运行标准程序或浏览 Internet。 每个帐户必须拥有唯一的密码。 这些简单的防范措施大大地降低了帐户被攻击的风险,并缩短了管理帐户登录到计算机或域所需的时间。使用 Secondary Logon 服务在 Microsoft Windows? 2000, Windows XP Professional 和 Windows Server 2003 中,您可以作为与当前登录的用户不同的用户运行程序。 在 Win

5、dows 2000 中,Run as 服务提供此功能,在 Windows XP 和 Windows Server 2003 中,它称为 Secondary Logon 服务。 Run as 和 Secondary Logon 服务是名称不同的相同服务。 Secondary Logon 允许管理员使用非管理帐户登录到计算机,无须注销,只需在管理环境中运行受信任的管理程序即可执行管理任务。 Secondary Logon 服务解决了运行可能易受恶意代码攻击的程序的管理员提出的安全风险问题;例如,使用管理权限登录、访问不受信任的网站的用户。Secondary Logon 主要适用于系统管理员;但是,

6、任何拥有多个帐户、需要在不同帐户环境中无需注销即可启动程序的用户也可以使用它。 Secondary Logon 服务设置为自动启动,使用运行方式工具作为其用户界面,使用 runas.exe 作为其命令行界面。 通过使用运行方式,您可以运行程序 (*.exe)、保存的 Microsoft 管理控制台 (MMC) 控制台 (*.msc)、程序快捷方式及“控制面板”中的项目。 即使您使用没有管理权限的标准用户帐户登录,只要您在系统提示输入适当的管理用户帐户和密码凭据时输入它们,您就可以作为管理员运行这些程序。如果您拥有其他域的管理帐户的凭据,运行方式允许您管理其他域或目录林中的服务器。注:不能使用运

7、行方式启动某些项目,例如桌面上的打印机文件夹、我的电脑和网上邻居。使用运行方式可以通过多种方法来使用运行方式:使用运行方式来启动使用域管理员帐户凭据的命令解释器1. 单击“开始”,然后单击“运行”。 2. 在“运行”对话框中,键入 runas /user:administrator cmd(其中 是您的域名),然后单击“确定”。 3. 当系统提示输入 domain_nameadministrator 帐户的密码时,键入管理员帐户的密码,然后按 ENTER 键。 4. 一个新控制台窗口打开,表示正在管理环境中运行。 此控制台标题标识为作为domain_nameadministrator 运行。

8、使用运行方式来运行“控制面板”中的项目1. 在 Windows XP 或 Windows Server 2003 中,依次单击“开始”、“控制面板”。 2. 按住 SHIFT 键,同时右键单击您要在管理环境中运行的工具或程序(例如,“添加硬件”)。 3. 在快捷方式菜单上,单击“运行方式”。 4. 在“运行身份”对话框中,单击“下列用户”,然后键入相应的域名、管理员帐户名和密码;例如:CORPDOMAINAdministratorPssw0rd 5. 单击“确定”。此程序在管理环境中运行。 使用运行方式来打开“开始”菜单中的程序(例如 Active Directory 用户和计算机)1. 在

9、Windows Server 2003 中,单击“开始”,指向“管理工具”,然后右键单击“Active Directory 用户和计算机”。 2. 在快捷方式菜单上,单击“运行方式”。 您还可以使用可执行命令行实用程序 runas.exe 来运行程序,并从命令行启动管理控制台。在本地计算机上作为管理员启动命令提示符实例1. 单击“开始”,然后单击“运行”。 2. 在“运行”对话框中,键入 runas /user:administrator cmd 。 3. 单击“确定”。 4. 出现提示时,在命令提示符窗口中键入管理员密码,然后按 ENTER 键。 在corpdomain域中使用称为 doma

10、inadmin的域管理员帐户启动“计算机管理”管理单元实例1. 单击“开始”,然后单击“运行”。 2. 在“运行”对话框中,键入 runas /user: mmc %windir%system32compmgmt.msc 3. 单击“确定”。 4. 出现提示时,在命令提示符窗口中键入帐户密码,然后按 ENTER 键。 您还可以使用 runas.exe 来运行程序,并使用智能卡凭据从命令行启动管理控制台。使用智能卡凭据在本地计算机上作为管理员启动命令提示符实例1. 单击“开始”,然后单击“运行”。 2. 在“运行”对话框中,键入 runas /smartcard /user:administra

11、tor cmd 3. 单击“确定”。 4. 出现提示时,在命令提示符窗口中键入智能卡的 PIN 号,然后按 ENTER 键。 注:不能输入密码作为 runas.exe 的命令行参数,因为这样不安全。运行用于管理的单独的“终端服务”会话运行方式是管理员在更改其本地计算机时最常用的方法,也可能是执行某些业务线程序的最常用方法。 对于 IT 管理任务,您可以使用终端服务来连接到您需要管理的服务器。 此方法大大简化了管理多台远程服务器的工作,无需物理访问每台远程服务器,而且不需要您具备在服务器上交互式登录的权限。 要使用此方法,请使用普通用户帐户凭据登录,然后作为域管理员运行“终端服务”会话。 您只能

12、在“终端服务”会话窗口中执行域管理任务。重命名默认管理员帐户当您重命名默认管理员帐户时,没有明显指示此帐户具有提升的特权。 虽然攻击者仍需要通过密码使用默认管理员帐户,但是已命名的默认管理员帐户应该添加一道附加的保护层,以防止遭受特权提升的攻击。 一种方法是使用假想姓和名,并与其他用户名的格式相同。注:重命名默认管理员帐户只能阻止某些类型的攻击。 由于此帐户的安全 ID 始终相同,攻击者判断哪个帐户是默认管理员帐户相对比较容易。 另外,工具可以枚举组成员,并始终先列出原始管理员帐户。 为了最好地防止对您的内置管理员帐户进行攻击,请创建新的管理帐户,然后禁用内置帐户。在域中重命名默认管理员帐户1

13、. 作为 Domain Admins 组成员(但不是内置管理员帐户)登录,然后打开“Active Directory 用户和计算机”。 2. 在控制台树中,单击“用户”。 3. 在详细信息窗格中,右键单击“管理员”,然后单击“重命名”。 4. 键入假想的名和姓,然后按 ENTER 键。 5. 在“重命名用户”对话框中,改变“全名”、“名”、“姓”、“显示名”、“用户登录名”以及“用户登录名”(Windows 2000 前版本)使之匹配假想的帐户名,然后单击“确定”。 6. 在详细信息窗格中,右键单击新建的用户名,然后单击“属性”。 7. 单击“常规”选项卡。 在“说明”框中,删除管理计算机/域

14、的内置帐户,然后键入与其他用户帐户类似的说明(对于许多组织,此值为空)。 8. 单击“确定”。 重命名默认的本地管理员帐户1. 作为本地管理员组成员(但不是内置管理员帐户)登录,然后在计算机管理控制台中打开本地用户和组管理单元工具。 2. 在控制台树中,展开“本地用户和组”,然后单击“用户”。 3. 在详细信息窗格中,右键单击“管理员”,然后单击“重命名”。 4. 键入假想的名和姓,然后按 ENTER 键。 5. 在详细信息窗格中,右键单击新建的用户名,然后单击“属性”。 6. 单击“常规”选项卡。 在“全名”框中,键入新的全名。 在“说明”框中,删除管理计算机/域的内置帐户,然后键入与其他用户帐户类似的说明(对于许多组织,此值为空)。 7. 单击“确定”。 注:另外,您还可以使用组策略对象 (GPO) 设置在多台计算机上重命名默认管理员帐户。 但是,此设置不允许您修改默认说明。 有关详细信息,请参阅 http:/ 上的知识库文章如何在 Windows Server 2003 中重命名管理员帐户和来宾帐户

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业/管理/HR > 商业计划书

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号