使管理員賬號(hào)更安全的方法

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

文章來源：泛普軟件 使管理員賬號(hào)盡可能安全是對(duì)組織的網(wǎng)絡(luò)資產(chǎn)提供全面保護(hù)不可或缺的一環(huán)。企業(yè)需要保護(hù)管理員可能使用的每臺(tái)計(jì)算機(jī)，包括域控制器、服務(wù)器以及他們使用的任何工作站。組織的IT人員應(yīng)該盡可能安全地維護(hù)域控制器和證書頒發(fā)服務(wù)器，因?yàn)檫@些均被視為非常值得信賴的資產(chǎn)。企業(yè)還必須將管理員的臺(tái)式和移動(dòng)計(jì)算機(jī)作為受信任資產(chǎn)進(jìn)行保護(hù)，因?yàn)楣芾韱T使用它們來遠(yuǎn)程管理林、域和基礎(chǔ)架構(gòu)。   日常不以管理員身份登錄   如果您定期以管理員身份登錄計(jì)算機(jī)，從而執(zhí)行基于常用應(yīng)用程序的任務(wù)，則您的計(jì)算機(jī)容易遭受惡意軟件攻擊以及其他安全威脅，因?yàn)閻阂廛浖⑹褂媚卿洉r(shí)使用的相同特權(quán)運(yùn)行。如果訪問Internet站點(diǎn)或打開電子郵件附件，則可能在您的計(jì)算機(jī)上下載并執(zhí)行惡意代碼，進(jìn)而損壞計(jì)算機(jī)。   管理賬號(hào)和組概述   許多管理用戶賬號(hào)和組的憑據(jù)可以用于登錄計(jì)算機(jī)或域。 Active Directory域中的管理賬號(hào)包括：   ●  Administrator賬號(hào)，它是在域的第一個(gè)域控制器上安裝Active Directory時(shí)創(chuàng)建的。 這是該域中權(quán)限最高的賬號(hào)。   ●  后來創(chuàng)建的、并直接分配了管理特權(quán)或放置到具有管理特權(quán)的組的賬號(hào)。   ●  使用EFS數(shù)據(jù)恢復(fù)代理證書、注冊(cè)代理證書或密鑰恢復(fù)代理證書的賬號(hào)。使用這些代理證書的賬號(hào)是非常強(qiáng)大的賬號(hào)，也應(yīng)該受到保護(hù)。   Active Directory域中管理組的數(shù)目會(huì)有所不同，用于Active Directory的管理的組包括：   ●  已經(jīng)存在于“Builtin”容器中的管理組，例如Account Operators和Server Operators。 注意，“Builtin”容器中的組不能被移到其他位置。   ●  已經(jīng)存在于“Users”容器中的管理組，例如Domain Admins和Group Policy Creator Owners。   ●  后來創(chuàng)建的、并放置到具有管理特權(quán)的組中或直接分配了管理特權(quán)的組。 域環(huán)境中的默認(rèn)管理組和賬號(hào)是：   ●  Enterprise Admins（僅存在于林根域中）。   ●  Domain Admins（存在于所有域中）。   ●   Schema Admins（僅存在于林根域中）。   ●  Group Policy Creator Owners（僅存在于林根域中）。   ●  管理員組。   ●  管理員組賬號(hào)。   ●  DS Restore Mode Administrator（僅在“目錄服務(wù)還原模式”時(shí)可用）。   管理員賬號(hào)類型   本質(zhì)上說，存在三類登錄到計(jì)算機(jī)或域的管理員賬號(hào)。每一類別均有獨(dú)特的能力和特權(quán)。   ●  本地管理員賬號(hào)。包括首次在計(jì)算機(jī)上安裝 Windows Server 2003時(shí)所創(chuàng)建的內(nèi)置 Administrator賬號(hào)，任何其他后續(xù)創(chuàng)建和添加到內(nèi)置本地Administrators組的用戶賬號(hào)。此組的成員對(duì)本地計(jì)算機(jī)擁有完全的、無限制的訪問權(quán)限。   ●  域管理員賬號(hào)。包括首次安裝Active Directory時(shí)Active Directory所創(chuàng)建和使用的內(nèi)置域Administrator賬號(hào)，任何其他后續(xù)創(chuàng)建和添加到內(nèi)置本地Administrators組或 Domain Admins組的用戶賬號(hào)。這些組的成員對(duì)域有完全的、無限制的訪問權(quán)限。   ●  林管理員賬號(hào)。包括在林中創(chuàng)建的第一個(gè)域（稱為林根域）中的內(nèi)置域Administrator賬號(hào)，任何其他后續(xù)創(chuàng)建和添加到Enterprise Admins組的用戶賬號(hào)。Enterprise Admins組的成員對(duì)整個(gè)林擁有完全的、無限制的訪問權(quán)限。   使管理員賬號(hào)更安全的原則   當(dāng)規(guī)劃如何使管理賬號(hào)更安全時(shí)，您應(yīng)該采用最小特權(quán)原則，并遵循使管理員賬號(hào)更安全的最佳做法指導(dǎo)原則。   最小特權(quán)原則。大多數(shù)與安全相關(guān)的培訓(xùn)課程和文檔都會(huì)討論最小特權(quán)原則的實(shí)施，然而組織卻很少遵循。該原則非常簡(jiǎn)單，正確地運(yùn)用它會(huì)大大增加安全性和降低風(fēng)險(xiǎn)。該原則規(guī)定，所有用戶應(yīng)該使用僅具有完成當(dāng)前任務(wù)所需的絕對(duì)最小權(quán)限的用戶賬號(hào)登錄。這樣做可以對(duì)抗其他攻擊中的惡意代碼。此原則適用于計(jì)算機(jī)和那些計(jì)算機(jī)的用戶。您應(yīng)該借鑒最小特權(quán)的概念向所有域管理員用戶授予域特權(quán)。   要點(diǎn)：使管理賬號(hào)更安全的最佳做法   Microsoft公司提供了及時(shí)、高質(zhì)量、易于理解的安全規(guī)范、培訓(xùn)和工具，來方便消費(fèi)者維護(hù)一個(gè)更加安全的系統(tǒng)環(huán)境。為更安全地使用Windows Server 2003中的管理賬號(hào)而應(yīng)遵循的最佳做法指導(dǎo)原則包括：   ● 區(qū)分域管理員和企業(yè)管理員角色。 ● 區(qū)分用戶賬號(hào)和管理員賬號(hào)。 ● 使用Secondary Logon服務(wù)。 ● 運(yùn)行單獨(dú)的“Terminal Services”會(huì)話進(jìn)行管理。 ● 重命名默認(rèn)管理員賬號(hào)。 ● 創(chuàng)建虛假管理員賬號(hào)。 ● 創(chuàng)建次要管理員賬號(hào)并禁用內(nèi)置管理員賬號(hào)。 ● 為遠(yuǎn)程管理員登錄啟用賬號(hào)鎖定。 ● 創(chuàng)建強(qiáng)管理員密碼。 ● 自動(dòng)掃描弱密碼。 ● 僅在受信任計(jì)算機(jī)上使用管理憑據(jù)。 ● 定期審核賬號(hào)和密碼。      ● 禁止賬號(hào)委派。 ● 控制管理登錄過程。 (ccw)