資源描述:
《使管理帳戶(hù)更安全的最佳做法》由會(huì)員上傳分享���,免費(fèi)在線(xiàn)閱讀�,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)。
1���、使管理帳戶(hù)更安全的最佳做法使管理帳戶(hù)更安全的最佳做法為更安全地使用WindowsServer2003中的管理帳戶(hù)而應(yīng)遵循的最佳做法指導(dǎo)原則包括:?區(qū)分域管理員和企業(yè)管理員角色���。?區(qū)分用戶(hù)帳戶(hù)和管理員帳戶(hù)。?使用SecondaryLogon服務(wù)����。?運(yùn)行單獨(dú)的“TerminalServices”會(huì)話(huà)進(jìn)行管理。?重命名默認(rèn)管理員帳戶(hù)����。?創(chuàng)建虛假管理員帳戶(hù)。?創(chuàng)建次要管理員帳戶(hù)并禁用內(nèi)置管理員帳戶(hù)��。?為遠(yuǎn)程管理員登錄啟用帳戶(hù)鎖定��。?創(chuàng)建強(qiáng)管理員密碼���。?自動(dòng)掃描弱密碼�。?僅在受信任計(jì)算機(jī)上使用管理憑據(jù)��。?定期審核帳戶(hù)和密碼。?禁止帳戶(hù)委派��。?控制管理登錄過(guò)程�。管理員帳戶(hù)安全規(guī)劃
2、指南第3章-使管理員帳戶(hù)更安全的指導(dǎo)原則更新日期:2005年07月04日本章介紹了一些使管理帳戶(hù)更安全的常規(guī)最佳做法指導(dǎo)原則�����。這些指導(dǎo)原則遵循第2章“使管理員帳戶(hù)更安全的方法”所介紹的原則����。使管理員帳戶(hù)更安全的指導(dǎo)原則概述每次安裝新的ActiveDirectory?目錄服務(wù)之后,就會(huì)為每個(gè)域創(chuàng)建一個(gè)管理員帳戶(hù)�。默認(rèn)情況下,不能刪除或鎖定此帳戶(hù)���。在Microsoft?WindowsServer?2003中��,可以禁用管理員帳戶(hù)���,但以安全模式啟動(dòng)計(jì)算機(jī)時(shí),會(huì)自動(dòng)重新啟用此帳戶(hù)���。企圖攻擊計(jì)算機(jī)的惡意用戶(hù)通常先查找有效帳戶(hù)�,然后嘗試升級(jí)此帳戶(hù)的權(quán)限。另外��,他可能還利用猜測(cè)密碼技
3�����、術(shù)竊取管理員帳戶(hù)密碼���。由于此帳戶(hù)具有許多權(quán)限且不能被鎖定,惡意用戶(hù)以此帳戶(hù)為攻擊對(duì)象�����。他可能還試圖引誘管理員執(zhí)行某些將授予攻擊者權(quán)限的惡意代碼�����。區(qū)分域管理員角色和企業(yè)管理員角色由于企業(yè)管理員角色在目錄林環(huán)境下具有最終權(quán)限�����,您必須執(zhí)行以下兩個(gè)操作之一�����,以確保很好地控制它的使用。您可以創(chuàng)建并選擇一個(gè)受到完善保護(hù)的帳戶(hù)作為EnterpriseAdmins的成員�,或者選擇不使用這些憑據(jù)設(shè)置帳戶(hù),而是僅在需要這些特權(quán)的授權(quán)任務(wù)要求創(chuàng)建此類(lèi)帳戶(hù)時(shí)才創(chuàng)建�。在此帳戶(hù)完成任務(wù)之后,您應(yīng)該立即刪除臨時(shí)EnterpriseAdmins帳戶(hù)��。區(qū)分用戶(hù)帳戶(hù)和管理員帳戶(hù)對(duì)于擔(dān)任管理員角色的每個(gè)用
4����、戶(hù),您應(yīng)該創(chuàng)建兩個(gè)帳戶(hù):一個(gè)普通用戶(hù)帳戶(hù)����,執(zhí)行典型日常任務(wù)(例如電子郵件和其他程序);一個(gè)管理帳戶(hù)����,僅執(zhí)行管理任務(wù)。您不應(yīng)使用管理帳戶(hù)來(lái)發(fā)送電子郵件�、運(yùn)行標(biāo)準(zhǔn)程序或?yàn)g覽Internet。每個(gè)帳戶(hù)必須擁有唯一的密碼���。這些簡(jiǎn)單的防范措施大大地降低了帳戶(hù)被攻擊的風(fēng)險(xiǎn)���,并縮短了管理帳戶(hù)登錄到計(jì)算機(jī)或域所需的時(shí)間���。使用SecondaryLogon服務(wù)在MicrosoftWindows?2000,WindowsXPProfessional和WindowsServer2003中,您可以作為與當(dāng)前登錄的用戶(hù)不同的用戶(hù)運(yùn)行程序�����。在Windows2000中����,Runas服務(wù)提供此功能�,在W
5、indowsXP和WindowsServer2003中����,它稱(chēng)為SecondaryLogon服務(wù)。Runas和SecondaryLogon服務(wù)是名稱(chēng)不同的相同服務(wù)��。SecondaryLogon允許管理員使用非管理帳戶(hù)登錄到計(jì)算機(jī)��,無(wú)須注銷(xiāo)����,只需在管理環(huán)境中運(yùn)行受信任的管理程序即可執(zhí)行管理任務(wù)。SecondaryLogon服務(wù)解決了運(yùn)行可能易受惡意代碼攻擊的程序的管理員提出的安全風(fēng)險(xiǎn)問(wèn)題�����;例如,使用管理權(quán)限登錄����、訪(fǎng)問(wèn)不受信任的網(wǎng)站的用戶(hù)。SecondaryLogon主要適用于系統(tǒng)管理員�;但是,任何擁有多個(gè)帳戶(hù)��、需要在不同帳戶(hù)環(huán)境中無(wú)需注銷(xiāo)即可啟動(dòng)程序的用戶(hù)也可以使用它���。S
6���、econdaryLogon服務(wù)設(shè)置為自動(dòng)啟動(dòng),使用運(yùn)行方式工具作為其用戶(hù)界面���,使用runas.exe作為其命令行界面�。通過(guò)使用運(yùn)行方式��,您可以運(yùn)行程序(*.exe)�����、保存的Microsoft管理控制臺(tái)(MMC)控制臺(tái)(*.msc)、程序快捷方式及“控制面板”中的項(xiàng)目�。即使您使用沒(méi)有管理權(quán)限的標(biāo)準(zhǔn)用戶(hù)帳戶(hù)登錄,只要您在系統(tǒng)提示輸入適當(dāng)?shù)墓芾碛脩?hù)帳戶(hù)和密碼憑據(jù)時(shí)輸入它們���,您就可以作為管理員運(yùn)行這些程序����。如果您擁有其他域的管理帳戶(hù)的憑據(jù)���,運(yùn)行方式允許您管理其他域或目錄林中的服務(wù)器。注:不能使用運(yùn)行方式啟動(dòng)某些項(xiàng)目�,例如桌面上的打印機(jī)文件夾、我的電腦和網(wǎng)上鄰居�。使用運(yùn)行方式可
7、以通過(guò)多種方法來(lái)使用運(yùn)行方式:使用運(yùn)行方式來(lái)啟動(dòng)使用域管理員帳戶(hù)憑據(jù)的命令解釋器1.單擊“開(kāi)始”�,然后單擊“運(yùn)行”。2.在“運(yùn)行”對(duì)話(huà)框中�����,鍵入runas/user:administratorcmd(其中是您的域名)�����,然后單擊“確定”。3.當(dāng)系統(tǒng)提示輸入domain_nameadministrator帳戶(hù)的密碼時(shí)�,鍵入管理員帳戶(hù)的密碼,然后按ENTER鍵��。4.一個(gè)新控制臺(tái)窗口打開(kāi)�,表示正在管理環(huán)境中運(yùn)行。此控制臺(tái)標(biāo)題標(biāo)識(shí)為作為domain_nameadministrator運(yùn)行����。使用運(yùn)行方式來(lái)
