使管理員賬號更安全的方法

申請免費試用、咨詢電話：400-8352-114

文章來源：泛普軟件 使管理員賬號盡可能安全是對組織的網(wǎng)絡(luò)資產(chǎn)提供全面保護不可或缺的一環(huán)。企業(yè)需要保護管理員可能使用的每臺計算機，包括域控制器、服務(wù)器以及他們使用的任何工作站。組織的IT人員應(yīng)該盡可能安全地維護域控制器和證書頒發(fā)服務(wù)器，因為這些均被視為非常值得信賴的資產(chǎn)。企業(yè)還必須將管理員的臺式和移動計算機作為受信任資產(chǎn)進行保護，因為管理員使用它們來遠程管理林、域和基礎(chǔ)架構(gòu)。   日常不以管理員身份登錄   如果您定期以管理員身份登錄計算機，從而執(zhí)行基于常用應(yīng)用程序的任務(wù)，則您的計算機容易遭受惡意軟件攻擊以及其他安全威脅，因為惡意軟件將使用您登錄時使用的相同特權(quán)運行。如果訪問Internet站點或打開電子郵件附件，則可能在您的計算機上下載并執(zhí)行惡意代碼，進而損壞計算機。   管理賬號和組概述   許多管理用戶賬號和組的憑據(jù)可以用于登錄計算機或域。 Active Directory域中的管理賬號包括：   ●  Administrator賬號，它是在域的第一個域控制器上安裝Active Directory時創(chuàng)建的。 這是該域中權(quán)限最高的賬號。   ●  后來創(chuàng)建的、并直接分配了管理特權(quán)或放置到具有管理特權(quán)的組的賬號。   ●  使用EFS數(shù)據(jù)恢復(fù)代理證書、注冊代理證書或密鑰恢復(fù)代理證書的賬號。使用這些代理證書的賬號是非常強大的賬號，也應(yīng)該受到保護。   Active Directory域中管理組的數(shù)目會有所不同，用于Active Directory的管理的組包括：   ●  已經(jīng)存在于“Builtin”容器中的管理組，例如Account Operators和Server Operators。 注意，“Builtin”容器中的組不能被移到其他位置。   ●  已經(jīng)存在于“Users”容器中的管理組，例如Domain Admins和Group Policy Creator Owners。   ●  后來創(chuàng)建的、并放置到具有管理特權(quán)的組中或直接分配了管理特權(quán)的組。 域環(huán)境中的默認(rèn)管理組和賬號是：   ●  Enterprise Admins（僅存在于林根域中）。   ●  Domain Admins（存在于所有域中）。   ●   Schema Admins（僅存在于林根域中）。   ●  Group Policy Creator Owners（僅存在于林根域中）。   ●  管理員組。   ●  管理員組賬號。   ●  DS Restore Mode Administrator（僅在“目錄服務(wù)還原模式”時可用）。   管理員賬號類型   本質(zhì)上說，存在三類登錄到計算機或域的管理員賬號。每一類別均有獨特的能力和特權(quán)。   ●  本地管理員賬號。包括首次在計算機上安裝 Windows Server 2003時所創(chuàng)建的內(nèi)置 Administrator賬號，任何其他后續(xù)創(chuàng)建和添加到內(nèi)置本地Administrators組的用戶賬號。此組的成員對本地計算機擁有完全的、無限制的訪問權(quán)限。   ●  域管理員賬號。包括首次安裝Active Directory時Active Directory所創(chuàng)建和使用的內(nèi)置域Administrator賬號，任何其他后續(xù)創(chuàng)建和添加到內(nèi)置本地Administrators組或 Domain Admins組的用戶賬號。這些組的成員對域有完全的、無限制的訪問權(quán)限。   ●  林管理員賬號。包括在林中創(chuàng)建的第一個域（稱為林根域）中的內(nèi)置域Administrator賬號，任何其他后續(xù)創(chuàng)建和添加到Enterprise Admins組的用戶賬號。Enterprise Admins組的成員對整個林擁有完全的、無限制的訪問權(quán)限。   使管理員賬號更安全的原則   當(dāng)規(guī)劃如何使管理賬號更安全時，您應(yīng)該采用最小特權(quán)原則，并遵循使管理員賬號更安全的最佳做法指導(dǎo)原則。   最小特權(quán)原則。大多數(shù)與安全相關(guān)的培訓(xùn)課程和文檔都會討論最小特權(quán)原則的實施，然而組織卻很少遵循。該原則非常簡單，正確地運用它會大大增加安全性和降低風(fēng)險。該原則規(guī)定，所有用戶應(yīng)該使用僅具有完成當(dāng)前任務(wù)所需的絕對最小權(quán)限的用戶賬號登錄。這樣做可以對抗其他攻擊中的惡意代碼。此原則適用于計算機和那些計算機的用戶。您應(yīng)該借鑒最小特權(quán)的概念向所有域管理員用戶授予域特權(quán)。   要點：使管理賬號更安全的最佳做法   Microsoft公司提供了及時、高質(zhì)量、易于理解的安全規(guī)范、培訓(xùn)和工具，來方便消費者維護一個更加安全的系統(tǒng)環(huán)境。為更安全地使用Windows Server 2003中的管理賬號而應(yīng)遵循的最佳做法指導(dǎo)原則包括：   ● 區(qū)分域管理員和企業(yè)管理員角色。 ● 區(qū)分用戶賬號和管理員賬號。 ● 使用Secondary Logon服務(wù)。 ● 運行單獨的“Terminal Services”會話進行管理。 ● 重命名默認(rèn)管理員賬號。 ● 創(chuàng)建虛假管理員賬號。 ● 創(chuàng)建次要管理員賬號并禁用內(nèi)置管理員賬號。 ● 為遠程管理員登錄啟用賬號鎖定。 ● 創(chuàng)建強管理員密碼。 ● 自動掃描弱密碼。 ● 僅在受信任計算機上使用管理憑據(jù)。 ● 定期審核賬號和密碼。      ● 禁止賬號委派。 ● 控制管理登錄過程。 (ccw)