使管理帐户安全的最佳做法.docVIP

使管理帐户更安全的最佳做法 为更安全地使用 Windows Server 2003 中的管理帐户而应遵循的最佳做法指导原则包括： ? 区分域管理员和企业管理员角色。 ? 区分用户帐户和管理员帐户。 ? 使用 Secondary Logon 服务。 ? 运行单独的“Terminal Services”会话进行管理。 ? 重命名默认管理员帐户。 ? 创建虚假管理员帐户。 ? 创建次要管理员帐户并禁用内置管理员帐户。 ? 为远程管理员登录启用帐户锁定。 ? 创建强管理员密码。 ? 自动扫描弱密码。 ? 仅在受信任计算机上使用管理凭据。 ? 定期审核帐户和密码。 ? 禁止帐户委派。 ? 控制管理登录过程。 管理员帐户安全规划指南 第 3 章 - 使管理员帐户更安全的指导原则 更新日期： 2005年07月04日 本章介绍了一些使管理帐户更安全的常规最佳做法指导原则。 这些指导原则遵循第 2 章“使管理员帐户更安全的方法”所介绍的原则。 使管理员帐户更安全的指导原则概述 每次安装新的 Active Directory? 目录服务之后，就会为每个域创建一个管理员帐户。 默认情况下，不能删除或锁定此帐户。 在 Microsoft? Windows Server? 2003 中，可以禁用管理员帐户，但以安全模式启动计算机时，会自动重新启用此帐户。 企图攻击计算机的恶意用户通常先查找有效帐户，然后尝试升级此帐户的权限。 另外，他可能还利用猜测密码技术窃取管理员帐户密码。 由于此帐户具有许多权限且不能被锁定，恶意用户以此帐户为攻击对象。 他可能还试图引诱管理员执行某些将授予攻击者权限的恶意代码。 区分域管理员角色和企业管理员角色 由于企业管理员角色在目录林环境下具有最终权限，您必须执行以下两个操作之一，以确保很好地控制它的使用。 您可以创建并选择一个受到完善保护的帐户作为 Enterprise Admins 的成员，或者选择不使用这些凭据设置帐户，而是仅在需要这些特权的授权任务要求创建此类帐户时才创建。 在此帐户完成任务之后，您应该立即删除临时 Enterprise Admins 帐户。 区分用户帐户和管理员帐户 对于担任管理员角色的每个用户，您应该创建两个帐户： 一个普通用户帐户，执行典型日常任务（例如电子邮件和其他程序）；一个管理帐户，仅执行管理任务。 您不应使用管理帐户来发送电子邮件、运行标准程序或浏览 Internet。 每个帐户必须拥有唯一的密码。 这些简单的防范措施大大地降低了帐户被攻击的风险，并缩短了管理帐户登录到计算机或域所需的时间。 使用 Secondary Logon 服务 在 Microsoft Windows? 2000, Windows XP Professional 和 Windows Server 2003 中，您可以作为与当前登录的用户不同的用户运行程序。 在 Windows 2000 中，Run as 服务提供此功能，在 Windows XP 和 Windows Server 2003 中，它称为 Secondary Logon 服务。 Run as 和 Secondary Logon 服务是名称不同的相同服务。 Secondary Logon 允许管理员使用非管理帐户登录到计算机，无须注销，只需在管理环境中运行受信任的管理程序即可执行管理任务。 Secondary Logon 服务解决了运行可能易受恶意代码攻击的程序的管理员提出的安全风险问题；例如，使用管理权限登录、访问不受信任的网站的用户。 Secondary Logon 主要适用于系统管理员；但是，任何拥有多个帐户、需要在不同帐户环境中无需注销即可启动程序的用户也可以使用它。 Secondary Logon 服务设置为自动启动，使用运行方式工具作为其用户界面，使用 runas.exe 作为其命令行界面。 通过使用运行方式，您可以运行程序 (*.exe)、保存的 Microsoft 管理控制台 (MMC) 控制台 (*.msc)、程序快捷方式及“控制面板”中的项目。 即使您使用没有管理权限的标准用户帐户登录，只要您在系统提示输入适当的管理用户帐户和密码凭据时输入它们，您就可以作为管理员运行这些程序。 如果您拥有其他域的管理帐户的凭据，运行方式允许您管理其他域或目录林中的服务器。 注：不能使用运行方式启动某些项目，例如桌面上的打印机文件夹、我的电脑和网上邻居。 使用运行方式 可以通过多种方法来使用运行方式： 使用运行方式来启动使用域管理员帐户凭据的命令解释器 1. 单击“开始”，然后单击“运行”。 2. 在“运行”对话框中，键入