使管理員賬號更安全的方法

申請免費試用、咨詢電話：400-8352-114

文章來源：泛普軟件 使管理員賬號盡可能安全是對組織的網(wǎng)絡資產(chǎn)提供全面保護不可或缺的一環(huán)。企業(yè)需要保護管理員可能使用的每臺計算機，包括域控制器、服務器以及他們使用的任何工作站。組織的IT人員應該盡可能安全地維護域控制器和證書頒發(fā)服務器，因為這些均被視為非常值得信賴的資產(chǎn)。企業(yè)還必須將管理員的臺式和移動計算機作為受信任資產(chǎn)進行保護，因為管理員使用它們來遠程管理林、域和基礎架構。   日常不以管理員身份登錄   如果您定期以管理員身份登錄計算機，從而執(zhí)行基于常用應用程序的任務，則您的計算機容易遭受惡意軟件攻擊以及其他安全威脅，因為惡意軟件將使用您登錄時使用的相同特權運行。如果訪問Internet站點或打開電子郵件附件，則可能在您的計算機上下載并執(zhí)行惡意代碼，進而損壞計算機。   管理賬號和組概述   許多管理用戶賬號和組的憑據(jù)可以用于登錄計算機或域。 Active Directory域中的管理賬號包括：   ●  Administrator賬號，它是在域的第一個域控制器上安裝Active Directory時創(chuàng)建的。 這是該域中權限最高的賬號。   ●  后來創(chuàng)建的、并直接分配了管理特權或放置到具有管理特權的組的賬號。   ●  使用EFS數(shù)據(jù)恢復代理證書、注冊代理證書或密鑰恢復代理證書的賬號。使用這些代理證書的賬號是非常強大的賬號，也應該受到保護。   Active Directory域中管理組的數(shù)目會有所不同，用于Active Directory的管理的組包括：   ●  已經(jīng)存在于“Builtin”容器中的管理組，例如Account Operators和Server Operators。 注意，“Builtin”容器中的組不能被移到其他位置。   ●  已經(jīng)存在于“Users”容器中的管理組，例如Domain Admins和Group Policy Creator Owners。   ●  后來創(chuàng)建的、并放置到具有管理特權的組中或直接分配了管理特權的組。 域環(huán)境中的默認管理組和賬號是：   ●  Enterprise Admins（僅存在于林根域中）。   ●  Domain Admins（存在于所有域中）。   ●   Schema Admins（僅存在于林根域中）。   ●  Group Policy Creator Owners（僅存在于林根域中）。   ●  管理員組。   ●  管理員組賬號。   ●  DS Restore Mode Administrator（僅在“目錄服務還原模式”時可用）。   管理員賬號類型   本質(zhì)上說，存在三類登錄到計算機或域的管理員賬號。每一類別均有獨特的能力和特權。   ●  本地管理員賬號。包括首次在計算機上安裝 Windows Server 2003時所創(chuàng)建的內(nèi)置 Administrator賬號，任何其他后續(xù)創(chuàng)建和添加到內(nèi)置本地Administrators組的用戶賬號。此組的成員對本地計算機擁有完全的、無限制的訪問權限。   ●  域管理員賬號。包括首次安裝Active Directory時Active Directory所創(chuàng)建和使用的內(nèi)置域Administrator賬號，任何其他后續(xù)創(chuàng)建和添加到內(nèi)置本地Administrators組或 Domain Admins組的用戶賬號。這些組的成員對域有完全的、無限制的訪問權限。   ●  林管理員賬號。包括在林中創(chuàng)建的第一個域（稱為林根域）中的內(nèi)置域Administrator賬號，任何其他后續(xù)創(chuàng)建和添加到Enterprise Admins組的用戶賬號。Enterprise Admins組的成員對整個林擁有完全的、無限制的訪問權限。   使管理員賬號更安全的原則   當規(guī)劃如何使管理賬號更安全時，您應該采用最小特權原則，并遵循使管理員賬號更安全的最佳做法指導原則。   最小特權原則。大多數(shù)與安全相關的培訓課程和文檔都會討論最小特權原則的實施，然而組織卻很少遵循。該原則非常簡單，正確地運用它會大大增加安全性和降低風險。該原則規(guī)定，所有用戶應該使用僅具有完成當前任務所需的絕對最小權限的用戶賬號登錄。這樣做可以對抗其他攻擊中的惡意代碼。此原則適用于計算機和那些計算機的用戶。您應該借鑒最小特權的概念向所有域管理員用戶授予域特權。   要點：使管理賬號更安全的最佳做法   Microsoft公司提供了及時、高質(zhì)量、易于理解的安全規(guī)范、培訓和工具，來方便消費者維護一個更加安全的系統(tǒng)環(huán)境。為更安全地使用Windows Server 2003中的管理賬號而應遵循的最佳做法指導原則包括：   ● 區(qū)分域管理員和企業(yè)管理員角色。 ● 區(qū)分用戶賬號和管理員賬號。 ● 使用Secondary Logon服務。 ● 運行單獨的“Terminal Services”會話進行管理。 ● 重命名默認管理員賬號。 ● 創(chuàng)建虛假管理員賬號。 ● 創(chuàng)建次要管理員賬號并禁用內(nèi)置管理員賬號。 ● 為遠程管理員登錄啟用賬號鎖定。 ● 創(chuàng)建強管理員密碼。 ● 自動掃描弱密碼。 ● 僅在受信任計算機上使用管理憑據(jù)。 ● 定期審核賬號和密碼。      ● 禁止賬號委派。 ● 控制管理登錄過程。 (ccw)