使管理员账号更安全的方法

申请免费试用、咨询电话：400-8352-114

文章来源：泛普软件 使管理员账号尽可能安全是对组织的网络资产提供全面保护不可或缺的一环。企业需要保护管理员可能使用的每台计算机，包括域控制器、服务器以及他们使用的任何工作站。组织的IT人员应该尽可能安全地维护域控制器和证书颁发服务器，因为这些均被视为非常值得信赖的资产。企业还必须将管理员的台式和移动计算机作为受信任资产进行保护，因为管理员使用它们来远程管理林、域和基础架构。   日常不以管理员身份登录   如果您定期以管理员身份登录计算机，从而执行基于常用应用程序的任务，则您的计算机容易遭受恶意软件攻击以及其他安全威胁，因为恶意软件将使用您登录时使用的相同特权运行。如果访问Internet站点或打开电子邮件附件，则可能在您的计算机上下载并执行恶意代码，进而损坏计算机。   管理账号和组概述   许多管理用户账号和组的凭据可以用于登录计算机或域。 Active Directory域中的管理账号包括：   ●  Administrator账号，它是在域的第一个域控制器上安装Active Directory时创建的。 这是该域中权限最高的账号。   ●  后来创建的、并直接分配了管理特权或放置到具有管理特权的组的账号。   ●  使用EFS数据恢复代理证书、注册代理证书或密钥恢复代理证书的账号。使用这些代理证书的账号是非常强大的账号，也应该受到保护。   Active Directory域中管理组的数目会有所不同，用于Active Directory的管理的组包括：   ●  已经存在于“Builtin”容器中的管理组，例如Account Operators和Server Operators。 注意，“Builtin”容器中的组不能被移到其他位置。   ●  已经存在于“Users”容器中的管理组，例如Domain Admins和Group Policy Creator Owners。   ●  后来创建的、并放置到具有管理特权的组中或直接分配了管理特权的组。 域环境中的默认管理组和账号是：   ●  Enterprise Admins（仅存在于林根域中）。   ●  Domain Admins（存在于所有域中）。   ●   Schema Admins（仅存在于林根域中）。   ●  Group Policy Creator Owners（仅存在于林根域中）。   ●  管理员组。   ●  管理员组账号。   ●  DS Restore Mode Administrator（仅在“目录服务还原模式”时可用）。   管理员账号类型   本质上说，存在三类登录到计算机或域的管理员账号。每一类别均有独特的能力和特权。   ●  本地管理员账号。包括首次在计算机上安装 Windows Server 2003时所创建的内置 Administrator账号，任何其他后续创建和添加到内置本地Administrators组的用户账号。此组的成员对本地计算机拥有完全的、无限制的访问权限。   ●  域管理员账号。包括首次安装Active Directory时Active Directory所创建和使用的内置域Administrator账号，任何其他后续创建和添加到内置本地Administrators组或 Domain Admins组的用户账号。这些组的成员对域有完全的、无限制的访问权限。   ●  林管理员账号。包括在林中创建的第一个域（称为林根域）中的内置域Administrator账号，任何其他后续创建和添加到Enterprise Admins组的用户账号。Enterprise Admins组的成员对整个林拥有完全的、无限制的访问权限。   使管理员账号更安全的原则   当规划如何使管理账号更安全时，您应该采用最小特权原则，并遵循使管理员账号更安全的最佳做法指导原则。   最小特权原则。大多数与安全相关的培训课程和文档都会讨论最小特权原则的实施，然而组织却很少遵循。该原则非常简单，正确地运用它会大大增加安全性和降低风险。该原则规定，所有用户应该使用仅具有完成当前任务所需的绝对最小权限的用户账号登录。这样做可以对抗其他攻击中的恶意代码。此原则适用于计算机和那些计算机的用户。您应该借鉴最小特权的概念向所有域管理员用户授予域特权。   要点：使管理账号更安全的最佳做法   Microsoft公司提供了及时、高质量、易于理解的安全规范、培训和工具，来方便消费者维护一个更加安全的系统环境。为更安全地使用Windows Server 2003中的管理账号而应遵循的最佳做法指导原则包括：   ● 区分域管理员和企业管理员角色。 ● 区分用户账号和管理员账号。 ● 使用Secondary Logon服务。 ● 运行单独的“Terminal Services”会话进行管理。 ● 重命名默认管理员账号。 ● 创建虚假管理员账号。 ● 创建次要管理员账号并禁用内置管理员账号。 ● 为远程管理员登录启用账号锁定。 ● 创建强管理员密码。 ● 自动扫描弱密码。 ● 仅在受信任计算机上使用管理凭据。 ● 定期审核账号和密码。      ● 禁止账号委派。 ● 控制管理登录过程。 (ccw)