資源描述:
《使管理帳戶更安全的最佳做法》由會員上傳分享�,免費在線閱讀����,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫�����。
1�、使管理帳戶更安全的最佳做法使管理帳戶更安全的最佳做法為更安全地使用WindowsServer2003中的管理帳戶而應(yīng)遵循的最佳做法指導(dǎo)原則包括:?區(qū)分域管理員和企業(yè)管理員角色。?區(qū)分用戶帳戶和管理員帳戶����。?使用SecondaryLogon服務(wù)。?運行單獨的“TerminalServices”會話進行管理���。?重命名默認管理員帳戶��。?創(chuàng)建虛假管理員帳戶���。?創(chuàng)建次要管理員帳戶并禁用內(nèi)置管理員帳戶�。?為遠程管理員登錄啟用帳戶鎖定�。?創(chuàng)建強管理員密碼。?自動掃描弱密碼����。?僅在受信任計算機上使用管理憑據(jù)。?定期審核帳戶和密碼����。?禁止帳戶委派。?控制管理登錄過程����。管理員帳戶安全規(guī)劃
2、指南第3章-使管理員帳戶更安全的指導(dǎo)原則更新日期:2005年07月04日本章介紹了一些使管理帳戶更安全的常規(guī)最佳做法指導(dǎo)原則���。這些指導(dǎo)原則遵循第2章“使管理員帳戶更安全的方法”所介紹的原則�����。使管理員帳戶更安全的指導(dǎo)原則概述每次安裝新的ActiveDirectory?目錄服務(wù)之后�����,就會為每個域創(chuàng)建一個管理員帳戶�����。默認情況下�,不能刪除或鎖定此帳戶。在Microsoft?WindowsServer?2003中���,可以禁用管理員帳戶�����,但以安全模式啟動計算機時����,會自動重新啟用此帳戶���。企圖攻擊計算機的惡意用戶通常先查找有效帳戶,然后嘗試升級此帳戶的權(quán)限�。另外,他可能還利用猜測密碼技
3�����、術(shù)竊取管理員帳戶密碼。由于此帳戶具有許多權(quán)限且不能被鎖定����,惡意用戶以此帳戶為攻擊對象。他可能還試圖引誘管理員執(zhí)行某些將授予攻擊者權(quán)限的惡意代碼�����。區(qū)分域管理員角色和企業(yè)管理員角色由于企業(yè)管理員角色在目錄林環(huán)境下具有最終權(quán)限�,您必須執(zhí)行以下兩個操作之一,以確保很好地控制它的使用���。您可以創(chuàng)建并選擇一個受到完善保護的帳戶作為EnterpriseAdmins的成員���,或者選擇不使用這些憑據(jù)設(shè)置帳戶,而是僅在需要這些特權(quán)的授權(quán)任務(wù)要求創(chuàng)建此類帳戶時才創(chuàng)建��。在此帳戶完成任務(wù)之后�,您應(yīng)該立即刪除臨時EnterpriseAdmins帳戶。區(qū)分用戶帳戶和管理員帳戶對于擔(dān)任管理員角色的每個用
4����、戶,您應(yīng)該創(chuàng)建兩個帳戶:一個普通用戶帳戶��,執(zhí)行典型日常任務(wù)(例如電子郵件和其他程序);一個管理帳戶����,僅執(zhí)行管理任務(wù)。您不應(yīng)使用管理帳戶來發(fā)送電子郵件����、運行標(biāo)準(zhǔn)程序或瀏覽Internet。每個帳戶必須擁有唯一的密碼�。這些簡單的防范措施大大地降低了帳戶被攻擊的風(fēng)險,并縮短了管理帳戶登錄到計算機或域所需的時間���。使用SecondaryLogon服務(wù)在MicrosoftWindows?2000,WindowsXPProfessional和WindowsServer2003中��,您可以作為與當(dāng)前登錄的用戶不同的用戶運行程序��。在Windows2000中����,Runas服務(wù)提供此功能��,在W
5����、indowsXP和WindowsServer2003中,它稱為SecondaryLogon服務(wù)�����。Runas和SecondaryLogon服務(wù)是名稱不同的相同服務(wù)���。SecondaryLogon允許管理員使用非管理帳戶登錄到計算機��,無須注銷����,只需在管理環(huán)境中運行受信任的管理程序即可執(zhí)行管理任務(wù)���。SecondaryLogon服務(wù)解決了運行可能易受惡意代碼攻擊的程序的管理員提出的安全風(fēng)險問題�����;例如����,使用管理權(quán)限登錄���、訪問不受信任的網(wǎng)站的用戶�����。SecondaryLogon主要適用于系統(tǒng)管理員����;但是,任何擁有多個帳戶����、需要在不同帳戶環(huán)境中無需注銷即可啟動程序的用戶也可以使用它。S
6�、econdaryLogon服務(wù)設(shè)置為自動啟動,使用運行方式工具作為其用戶界面��,使用runas.exe作為其命令行界面����。通過使用運行方式,您可以運行程序(*.exe)���、保存的Microsoft管理控制臺(MMC)控制臺(*.msc)�����、程序快捷方式及“控制面板”中的項目�。即使您使用沒有管理權(quán)限的標(biāo)準(zhǔn)用戶帳戶登錄��,只要您在系統(tǒng)提示輸入適當(dāng)?shù)墓芾碛脩魩艉兔艽a憑據(jù)時輸入它們�,您就可以作為管理員運行這些程序。如果您擁有其他域的管理帳戶的憑據(jù)�,運行方式允許您管理其他域或目錄林中的服務(wù)器。注:不能使用運行方式啟動某些項目�,例如桌面上的打印機文件夾、我的電腦和網(wǎng)上鄰居��。使用運行方式可
7����、以通過多種方法來使用運行方式:使用運行方式來啟動使用域管理員帳戶憑據(jù)的命令解釋器1.單擊“開始”,然后單擊“運行”�����。2.在“運行”對話框中����,鍵入runas/user:administratorcmd(其中是您的域名),然后單擊“確定”����。3.當(dāng)系統(tǒng)提示輸入domain_nameadministrator帳戶的密碼時�����,鍵入管理員帳戶的密碼���,然后按ENTER鍵。4.一個新控制臺窗口打開���,表示正在管理環(huán)境中運行�。此控制臺標(biāo)題標(biāo)識為作為domain_nameadministrator運行����。使用運行方式來
