{安全生产管理}试谈使管理帐户更安全的最佳做法.docx

{安全生产管理}试谈使管理帐户更安全的最佳做法  更多企业学院： 《中小企业管理全能版》 183套讲座+89700份资料 《总经理、高层管理》 49套讲座+16388份资料 《中层管理学院》 46套讲座+6020份资料 《国学智慧、易经》 46套讲座 《人力资源学院》 56套讲座+27123份资料 《各阶段员工培训学院》 77套讲座+324份资料 《员工管理企业学院》 67套讲座+8720份资料 《工厂生产管理学院》 52套讲座+13920份资料 《财务管理学院》 53套讲座+17945份资料 《销售经理学院》 56套讲座+14350份资料 《销售人员培训学院》 72套讲座+4879份资料 使管理帐户更安全的最佳做法 为更安全地使用WindowsServer2003中的管理帐户而应遵循的最佳做法指导原则包括： ?区分域管理员和企业管理员角色。 ?区分用户帐户和管理员帐户。 ?使用SecondaryLogon服务。 ?运行单独的“TerminalServices”会话进行管理。 ?重命名默认管理员帐户。 ?创建虚假管理员帐户。 ?创建次要管理员帐户并禁用内置管理员帐户。 ?为远程管理员登录启用帐户锁定。 ?创建强管理员密码。 ?自动扫描弱密码。 ?仅在受信任计算机上使用管理凭据。 ?定期审核帐户和密码。 ?禁止帐户委派。 ?控制管理登录过程。 管理员帐户安全规划指南 第3章-使管理员帐户更安全的指导原则 更新日期：2005年07月04日 本章介绍了一些使管理帐户更安全的常规最佳做法指导原则。这些指导原则遵循第2章“使管理员帐户更安全的方法”所介绍的原则。 使管理员帐户更安全的指导原则概述 每次安装新的ActiveDirectory?目录服务之后，就会为每个域创建一个管理员帐户。默认情况下，不能删除或锁定此帐户。在Microsoft?WindowsServer?2003中，可以禁用管理员帐户，但以安全模式启动计算机时，会自动重新启用此帐户。 企图攻击计算机的恶意用户通常先查找有效帐户，然后尝试升级此帐户的权限。另外，他可能还利用猜测密码技术窃取管理员帐户密码。由于此帐户具有许多权限且不能被锁定，恶意用户以此帐户为攻击对象。他可能还试图引诱管理员执行某些将授予攻击者权限的恶意代码。 区分域管理员角色和企业管理员角色 由于企业管理员角色在目录林环境下具有最终权限，您必须执行以下两个操作之一，以确保很好地控制它的使用。您可以创建并选择一个受到完善保护的帐户作为EnterpriseAdmins的成员，或者选择不使用这些凭据设置帐户，而是仅在需要这些特权的授权任务要求创建此类帐户时才创建。在此帐户完成任务之后，您应该立即删除临时EnterpriseAdmins帐户。 区分用户帐户和管理员帐户 对于担任管理员角色的每个用户，您应该创建两个帐户：一个普通用户帐户，执行典型日常任务（例如电子邮件和其他程序）；一个管理帐户，仅执行管理任务。您不应使用管理帐户来发送电子邮件、运行标准程序或浏览Internet。每个帐户必须拥有唯一的密码。这些简单的防范措施大大地降低了帐户被攻击的风险，并缩短了管理帐户登录到计算机或域所需的时间。 使用SecondaryLogon服务 在MicrosoftWindows?2000,WindowsXPProfessional和WindowsServer2003中，您可以作为与当前登录的用户不同的用户运行程序。在Windows2000中，Runas服务提供此功能，在WindowsXP和WindowsServer2003中，它称为SecondaryLogon服务。Runas和SecondaryLogon服务是名称不同的相同服务。 SecondaryLogon允许管理员使用非管理帐户登录到计算机，无须注销，只需在管理环境中运行受信任的管理程序即可执行管理任务。 SecondaryLogon服务解决了运行可能易受恶意代码攻击的程序的管理员提出的安全风险问题；例如，使用管理权限登录、访问不受信任的网站的用户。 SecondaryLogon主要适用于系统管理员；但是，任何拥有多个帐户、需要在不同帐户环境中无需注销即可启动程序的用户也可以使用它。 SecondaryLogon服务设置为自动启动，使用运行方式工具作为其用户界面，使用作为其命令行界面。通过使用运行方式，您可以运行程序(*.exe)、保存的Microsoft管理控制台(MMC)控制台(*.msc)、程序快捷方式及“控制面板”中的项目。即使您使用没有管理权限的标准用户帐户登录，只要您在系统提示输入适当的管理用户帐户和密码凭据时输入它们，您就可以作为管理员运行这些程序。 如果您拥有其他域的管理帐户的凭据，运行方式允许您管理其他域或目录林中的服务器。 注：不能使用运行方