監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機APP | 產(chǎn)品資料
X 關(guān)閉

使管理員賬號更安全的方法

申請免費試用、咨詢電話:400-8352-114

文章來源:泛普軟件 使管理員賬號盡可能安全是對組織的網(wǎng)絡(luò)資產(chǎn)提供全面保護不可或缺的一環(huán)。企業(yè)需要保護管理員可能使用的每臺計算機,包括域控制器、服務(wù)器以及他們使用的任何工作站。組織的IT人員應(yīng)該盡可能安全地維護域控制器和證書頒發(fā)服務(wù)器,因為這些均被視為非常值得信賴的資產(chǎn)。企業(yè)還必須將管理員的臺式和移動計算機作為受信任資產(chǎn)進行保護,因為管理員使用它們來遠程管理林、域和基礎(chǔ)架構(gòu)。   日常不以管理員身份登錄   如果您定期以管理員身份登錄計算機,從而執(zhí)行基于常用應(yīng)用程序的任務(wù),則您的計算機容易遭受惡意軟件攻擊以及其他安全威脅,因為惡意軟件將使用您登錄時使用的相同特權(quán)運行。如果訪問Internet站點或打開電子郵件附件,則可能在您的計算機上下載并執(zhí)行惡意代碼,進而損壞計算機。   管理賬號和組概述   許多管理用戶賬號和組的憑據(jù)可以用于登錄計算機或域。 Active Directory域中的管理賬號包括:   ●  Administrator賬號,它是在域的第一個域控制器上安裝Active Directory時創(chuàng)建的。 這是該域中權(quán)限最高的賬號。   ●  后來創(chuàng)建的、并直接分配了管理特權(quán)或放置到具有管理特權(quán)的組的賬號。   ●  使用EFS數(shù)據(jù)恢復(fù)代理證書、注冊代理證書或密鑰恢復(fù)代理證書的賬號。使用這些代理證書的賬號是非常強大的賬號,也應(yīng)該受到保護。   Active Directory域中管理組的數(shù)目會有所不同,用于Active Directory的管理的組包括:   ●  已經(jīng)存在于“Builtin”容器中的管理組,例如Account Operators和Server Operators。 注意,“Builtin”容器中的組不能被移到其他位置。   ●  已經(jīng)存在于“Users”容器中的管理組,例如Domain Admins和Group Policy Creator Owners。   ●  后來創(chuàng)建的、并放置到具有管理特權(quán)的組中或直接分配了管理特權(quán)的組。 域環(huán)境中的默認管理組和賬號是:   ●  Enterprise Admins(僅存在于林根域中)。   ●  Domain Admins(存在于所有域中)。   ●   Schema Admins(僅存在于林根域中)。   ●  Group Policy Creator Owners(僅存在于林根域中)。   ●  管理員組。   ●  管理員組賬號。   ●  DS Restore Mode Administrator(僅在“目錄服務(wù)還原模式”時可用)。   管理員賬號類型   本質(zhì)上說,存在三類登錄到計算機或域的管理員賬號。每一類別均有獨特的能力和特權(quán)。   ●  本地管理員賬號。包括首次在計算機上安裝 Windows Server 2003時所創(chuàng)建的內(nèi)置 Administrator賬號,任何其他后續(xù)創(chuàng)建和添加到內(nèi)置本地Administrators組的用戶賬號。此組的成員對本地計算機擁有完全的、無限制的訪問權(quán)限。   ●  域管理員賬號。包括首次安裝Active Directory時Active Directory所創(chuàng)建和使用的內(nèi)置域Administrator賬號,任何其他后續(xù)創(chuàng)建和添加到內(nèi)置本地Administrators組或 Domain Admins組的用戶賬號。這些組的成員對域有完全的、無限制的訪問權(quán)限。   ●  林管理員賬號。包括在林中創(chuàng)建的第一個域(稱為林根域)中的內(nèi)置域Administrator賬號,任何其他后續(xù)創(chuàng)建和添加到Enterprise Admins組的用戶賬號。Enterprise Admins組的成員對整個林擁有完全的、無限制的訪問權(quán)限。   使管理員賬號更安全的原則   當(dāng)規(guī)劃如何使管理賬號更安全時,您應(yīng)該采用最小特權(quán)原則,并遵循使管理員賬號更安全的最佳做法指導(dǎo)原則。   最小特權(quán)原則。大多數(shù)與安全相關(guān)的培訓(xùn)課程和文檔都會討論最小特權(quán)原則的實施,然而組織卻很少遵循。該原則非常簡單,正確地運用它會大大增加安全性和降低風(fēng)險。該原則規(guī)定,所有用戶應(yīng)該使用僅具有完成當(dāng)前任務(wù)所需的絕對最小權(quán)限的用戶賬號登錄。這樣做可以對抗其他攻擊中的惡意代碼。此原則適用于計算機和那些計算機的用戶。您應(yīng)該借鑒最小特權(quán)的概念向所有域管理員用戶授予域特權(quán)。   要點:使管理賬號更安全的最佳做法   Microsoft公司提供了及時、高質(zhì)量、易于理解的安全規(guī)范、培訓(xùn)和工具,來方便消費者維護一個更加安全的系統(tǒng)環(huán)境。為更安全地使用Windows Server 2003中的管理賬號而應(yīng)遵循的最佳做法指導(dǎo)原則包括:   ● 區(qū)分域管理員和企業(yè)管理員角色。 ● 區(qū)分用戶賬號和管理員賬號。 ● 使用Secondary Logon服務(wù)。 ● 運行單獨的“Terminal Services”會話進行管理。 ● 重命名默認管理員賬號。 ● 創(chuàng)建虛假管理員賬號。 ● 創(chuàng)建次要管理員賬號并禁用內(nèi)置管理員賬號。 ● 為遠程管理員登錄啟用賬號鎖定。 ● 創(chuàng)建強管理員密碼。 ● 自動掃描弱密碼。 ● 僅在受信任計算機上使用管理憑據(jù)。 ● 定期審核賬號和密碼。      ● 禁止賬號委派。 ● 控制管理登錄過程。 (ccw)
發(fā)布:2007-04-22 10:00    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
南昌OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費獲取試用系統(tǒng)

QQ在線咨詢

泛普南昌OA信息化其他應(yīng)用

南昌OA軟件 南昌OA新聞動態(tài) 南昌OA信息化 南昌OA快博 南昌OA行業(yè)資訊 南昌軟件開發(fā)公司 南昌門禁系統(tǒng) 南昌物業(yè)管理軟件 南昌倉庫管理軟件 南昌餐飲管理軟件 南昌網(wǎng)站建設(shè)公司