申請免費試用、咨詢電話:400-8352-114
文章來源:泛普軟件
使管理員賬號盡可能安全是對組織的網(wǎng)絡(luò)資產(chǎn)提供全面保護不可或缺的一環(huán)。企業(yè)需要保護管理員可能使用的每臺計算機,包括域控制器、服務(wù)器以及他們使用的任何工作站。組織的IT人員應(yīng)該盡可能安全地維護域控制器和證書頒發(fā)服務(wù)器,因為這些均被視為非常值得信賴的資產(chǎn)。企業(yè)還必須將管理員的臺式和移動計算機作為受信任資產(chǎn)進行保護,因為管理員使用它們來遠程管理林、域和基礎(chǔ)架構(gòu)。
日常不以管理員身份登錄
如果您定期以管理員身份登錄計算機,從而執(zhí)行基于常用應(yīng)用程序的任務(wù),則您的計算機容易遭受惡意軟件攻擊以及其他安全威脅,因為惡意軟件將使用您登錄時使用的相同特權(quán)運行。如果訪問Internet站點或打開電子郵件附件,則可能在您的計算機上下載并執(zhí)行惡意代碼,進而損壞計算機。
管理賬號和組概述
許多管理用戶賬號和組的憑據(jù)可以用于登錄計算機或域。 Active Directory域中的管理賬號包括:
● Administrator賬號,它是在域的第一個域控制器上安裝Active Directory時創(chuàng)建的。 這是該域中權(quán)限最高的賬號。
● 后來創(chuàng)建的、并直接分配了管理特權(quán)或放置到具有管理特權(quán)的組的賬號。
● 使用EFS數(shù)據(jù)恢復(fù)代理證書、注冊代理證書或密鑰恢復(fù)代理證書的賬號。使用這些代理證書的賬號是非常強大的賬號,也應(yīng)該受到保護。
Active Directory域中管理組的數(shù)目會有所不同,用于Active Directory的管理的組包括:
● 已經(jīng)存在于“Builtin”容器中的管理組,例如Account Operators和Server Operators。 注意,“Builtin”容器中的組不能被移到其他位置。
● 已經(jīng)存在于“Users”容器中的管理組,例如Domain Admins和Group Policy Creator Owners。
● 后來創(chuàng)建的、并放置到具有管理特權(quán)的組中或直接分配了管理特權(quán)的組。
域環(huán)境中的默認管理組和賬號是:
● Enterprise Admins(僅存在于林根域中)。
● Domain Admins(存在于所有域中)。
● Schema Admins(僅存在于林根域中)。
● Group Policy Creator Owners(僅存在于林根域中)。
● 管理員組。
● 管理員組賬號。
● DS Restore Mode Administrator(僅在“目錄服務(wù)還原模式”時可用)。
管理員賬號類型
本質(zhì)上說,存在三類登錄到計算機或域的管理員賬號。每一類別均有獨特的能力和特權(quán)。
● 本地管理員賬號。包括首次在計算機上安裝 Windows Server 2003時所創(chuàng)建的內(nèi)置 Administrator賬號,任何其他后續(xù)創(chuàng)建和添加到內(nèi)置本地Administrators組的用戶賬號。此組的成員對本地計算機擁有完全的、無限制的訪問權(quán)限。
● 域管理員賬號。包括首次安裝Active Directory時Active Directory所創(chuàng)建和使用的內(nèi)置域Administrator賬號,任何其他后續(xù)創(chuàng)建和添加到內(nèi)置本地Administrators組或 Domain Admins組的用戶賬號。這些組的成員對域有完全的、無限制的訪問權(quán)限。
● 林管理員賬號。包括在林中創(chuàng)建的第一個域(稱為林根域)中的內(nèi)置域Administrator賬號,任何其他后續(xù)創(chuàng)建和添加到Enterprise Admins組的用戶賬號。Enterprise Admins組的成員對整個林擁有完全的、無限制的訪問權(quán)限。
使管理員賬號更安全的原則
當(dāng)規(guī)劃如何使管理賬號更安全時,您應(yīng)該采用最小特權(quán)原則,并遵循使管理員賬號更安全的最佳做法指導(dǎo)原則。
最小特權(quán)原則。大多數(shù)與安全相關(guān)的培訓(xùn)課程和文檔都會討論最小特權(quán)原則的實施,然而組織卻很少遵循。該原則非常簡單,正確地運用它會大大增加安全性和降低風(fēng)險。該原則規(guī)定,所有用戶應(yīng)該使用僅具有完成當(dāng)前任務(wù)所需的絕對最小權(quán)限的用戶賬號登錄。這樣做可以對抗其他攻擊中的惡意代碼。此原則適用于計算機和那些計算機的用戶。您應(yīng)該借鑒最小特權(quán)的概念向所有域管理員用戶授予域特權(quán)。
要點:使管理賬號更安全的最佳做法
Microsoft公司提供了及時、高質(zhì)量、易于理解的安全規(guī)范、培訓(xùn)和工具,來方便消費者維護一個更加安全的系統(tǒng)環(huán)境。為更安全地使用Windows Server 2003中的管理賬號而應(yīng)遵循的最佳做法指導(dǎo)原則包括:
● 區(qū)分域管理員和
企業(yè)管理員角色。
● 區(qū)分用戶賬號和管理員賬號。
● 使用Secondary Logon服務(wù)。
● 運行單獨的“Terminal Services”會話進行管理。
● 重命名默認管理員賬號。
● 創(chuàng)建虛假管理員賬號。
● 創(chuàng)建次要管理員賬號并禁用內(nèi)置管理員賬號。
● 為遠程管理員登錄啟用賬號鎖定。
● 創(chuàng)建強管理員密碼。
● 自動掃描弱密碼。
● 僅在受信任計算機上使用管理憑據(jù)。
● 定期審核賬號和密碼。
● 禁止賬號委派。
● 控制管理登錄過程。
(ccw)