怎样删除管理员帐户，使管理员帐户更安全的指导原则

使管理员帐户更安全的指导原则 - 网络安全 - 电脑教程网

站点导航

使管理员帐户更安全的指导原则

日期：2007-05-18 荐：

　　使管理员帐户更安全的指导原则概述　　　　每次安装新的 Active Directory? 目录服务之后，就会为每个域创建一个管理员帐户。默认情况下，不能删除或锁定此帐户。在 Microsoft? Windows Server? 2003 中，可以禁用管理员帐户，但以安全模式启动计算机时，会自动重新启用此帐户。　　　　企图攻击计算机的恶意用户通常先查找有效帐户，然后尝试升级此帐户的权限。另外，他可能还利用猜测密码技术窃取管理员帐户密码。由于此帐户具有许多权限且不能被锁定，恶意用户以此帐户为攻击对象。他可能还试图引诱管理员执行某些将授予攻击者权限的恶意代码。　　　　区分域管理员角色和企业管理员角色　　　　由于企业管理员角色在目录林环境下具有最终权限，您必须执行以下两个操作之一，以确保很好地控制它的使用。您可以创建并选择一个受到完善保护的帐户作为 Enterprise Admins 的成员，或者选择不使用这些凭据设置帐户，而是仅在需要这些特权的授权任务要求创建此类帐户时才创建。在此帐户完成任务之后，您应该立即删除临时 Enterprise Admins 帐户。　　　　区分用户帐户和管理员帐户　　　　对于担任管理员角色的每个用户，您应该创建两个帐户：一个普通用户帐户，执行典型日常任务（例如电子邮件和其他程序）；一个管理帐户，仅执行管理任务。您不应使用管理帐户来发送电子邮件、运行标准程序或浏览 Internet。每个帐户必须拥有唯一的密码。这些简单的防范措施大大地降低了帐户被攻击的风险，并缩短了管理帐户登录到计算机或域所需的时间。　　　　使用 Secondary Logon 服务　　　　在 Microsoft Windows? 2000, Windows XP Professional 和 Windows Server 2003 中，您可以作为与当前登录的用户不同的用户运行程序。在 windows 2000 中，Run as 服务提供此功能，在 Windows XP 和 Windows Server 2003 中，它称为 Secondary Logon 服务。 Run as 和 Secondary Logon 服务是名称不同的相同服务。　　　　Secondary Logon 允许管理员使用非管理帐户登录到计算机，无须注销，只需在管理环境中运行受信任的管理程序即可执行管理任务。　　　　Secondary Logon 服务解决了运行可能易受恶意代码攻击的程序的管理员提出的安全风险问题；例如，使用管理权限登录、访问不受信任的网站的用户。　　　　Secondary Logon 主要适用于系统管理员；但是，任何拥有多个帐户、需要在不同帐户环境中无需注销即可启动程序的用户也可以使用它。　　　　Secondary Logon 服务设置为自动启动，使用运行方式工具作为其用户界面，使用 runas.exe 作为其命令行界面。通过使用运行方式，您可以运行程序 (*.exe)、保存的 Microsoft 管理控制台 (MMC) 控制台 (*.msc)、程序快捷方式及“控制面板”中的项目。即使您使用没有管理权限的标准用户帐户登录，只要您在系统提示输入适当的管理用户帐户和密码凭据时输入它们，您就可以作为管理员运行这些程序。　　　　如果您拥有其他域的管理帐户的凭据，运行方式允许您管理其他域或目录林中的服务器。　　　　注：不能使用运行方式启动某些项目，例如桌面上的打印机文件夹、我的电脑和网上邻居。　　　　使用运行方式　　　　可以通过多种方法来使用运行方式：　　　　使用运行方式来启动使用域管理员帐户凭据的命令解释器　　　　1.单击“开始”，然后单击“运行”。　　　　2.在“运行”对话框中，键入 runas /user:<domain_name>\administrator cmd（其中 <domain_name> 是您的域名），然后单击“确定”。　　　　3.当系统提示输入 domain_name\administrator 帐户的密码时，键入管理员帐户的密码，然后按 ENTER 键。　　　　4.一个新控制台窗口打开，表示正在管理环境中运行。此控制台标题标识为作为domain_name\administrator 运行。　　　　使用运行方式来运行“控制面板”中的项目　　　　1.在 Windows XP 或 Windows Server 2003 中，依次单击“开始”、“控制面板”。　　　　2.按住 SHIFT 键，同时右键单击您要在管理环境中运行的工具或程序（例如，“添加硬件”）。　　　　3.在快捷方式菜单上，单击“运行方式”。　　　　4.在“运行身份”对话框中，单击“下列用户”，然后键入相应的域名、管理员帐户名和密码；例如：　　　　CORPDOMAIN\Administrator　　　　P@ssw0rd　　　　5.单击“确定”。此程序在管理环境中运行。　　　　使用运行方式来打开“开始”菜单中的程序（例如 Active Directory 用户和计算机）　　　　1.在 Windows Server 2003 中，单击“开始”，指向“管理工具”，然后右键单击“Active Directory 用户和计算机”。　　　　2.在快捷方式菜单上，单击“运行方式”。　　　　您还可以使用可执行命令行实用程序 runas.exe 来运行程序，并从命令行启动管理控制台。　　　　在本地计算机上作为管理员启动命令提示符实例　　　　1.单击“开始”，然后单击“运行”。　　　　2.在“运行”对话框中，键入 runas /user:<localcomputername>\administrator cmd 。　　　　3.单击“确定”。　　　　4.出现提示时，在命令提示符窗口中键入管理员密码，然后按 ENTER 键。　　　　在corpdomain域中使用称为 domainadmin的域管理员帐户启动“计算机管理”管理单元实例　　　　1.单击“开始”，然后单击“运行”。　　　　2.在“运行”对话框中，键入 runas /user:<corpdomain>\<domainadmin> "mmc %windir%\system32\compmgmt.msc"　　　　3.单击“确定”。　　　　4.出现提示时，在命令提示符窗口中键入帐户密码，然后按 ENTER 键。　　　　您还可以使用 runas.exe 来运行程序，并使用智能卡凭据从命令行启动管理控制台。　　　　使用智能卡凭据在本地计算机上作为管理员启动命令提示符实例　　　　1.单击“开始”，然后单击“运行”。　　　　2.在“运行”对话框中，键入 runas /smartcard /user:<localcomputername>\administrator cmd　　　　3.单击“确定”。　　　　4.出现提示时，在命令提示符窗口中键入智能卡的 PIN 号，然后按 ENTER 键。　　　　注：不能输入密码作为 runas.exe 的命令行参数，因为这样不安全。　　　　运行用于管理的单独的“终端服务”会话　　　　运行方式是管理员在更改其本地计算机时最常用的方法，也可能是执行某些业务线程序的最常用方法。对于 IT 管理任务，您可以使用终端服务来连接到您需要管理的服务器。此方法大大简化了管理多台远程服务器的工作，无需物理访问每台远程服务器，而且不需要您具备在服务器上交互式登录的权限。要使用此方法，请使用普通用户帐户凭据登录，然后作为域管理员运行“终端服务”会话。您只能在“终端服务”会话窗口中执行域管理任务。　　　　重命名默认管理员帐户　　　　当您重命名默认管理员帐户时，没有明显指示此帐户具有提升的特权。虽然攻击者仍需要通过密码使用默认管理员帐户，但是已命名的默认管理员帐户应该添加一道附加的保护层，以防止遭受特权提升的攻击。一种方法是使用假想姓和名，并与其他用户名的格式相同。　　　　注：重命名默认管理员帐户只能阻止某些类型的攻击。由于此帐户的安全 ID 始终相同，攻击者判断哪个帐户是默认管理员帐户相对比较容易。另外，工具可以枚举组成员，并始终先列出原始管理员帐户。为了最好地防止对您的内置管理员帐户进行攻击，请创建新的管理帐户，然后禁用内置帐户。　　　　在域中重命名默认管理员帐户　　　　1.作为 Domain Admins 组成员（但不是内置管理员帐户）登录，然后打开“Active Directory 用户和计算机”。　　　　2.在控制台树中，单击“用户”。　　　　3.在详细信息窗格中，右键单击“管理员”，然后单击“重命名”。　　　　4.键入假想的名和姓，然后按 ENTER 键。　　　　5.在“重命名用户”对话框中，改变“全名”、“名”、“姓”、“显示名”、“用户登录名”以及“用户登录名”（Windows 2000 前版本）使之匹配假想的帐户名，然后单击“确定”。　　　　6.在详细信息窗格中，右键单击新建的用户名，然后单击“属性”。　　　　7.单击“常规”选项卡。在“说明”框中，删除管理计算机/域的内置帐户，然后键入与其他用户帐户类似的说明（对于许多组织，此值为空）。　　　　8.单击“确定”。　　　　重命名默认的本地管理员帐户　　　　1.作为本地管理员组成员（但不是内置管理员帐户）登录，然后在计算机管理控制台中打开本地用户和组管理单元工具。　　　　2.在控制台树中，展开“本地用户和组”，然后单击“用户”。　　　　3.在详细信息窗格中，右键单击“管理员”，然后单击“重命名”。　　　　4.键入假想的名和姓，然后按 ENTER 键。　　　　5.在详细信息窗格中，右键单击新建的用户名，然后单击“属性”。　　　　6.单击“常规”选项卡。在“全名”框中，键入新的全名。在“说明”框中，删除管理计算机/域的内置帐户，然后键入与其他用户帐户类似的说明（对于许多组织，此值为空）。　　　　7.单击“确定”。　　　　注：另外，您还可以使用组策略对象 (GPO) 设置在多台计算机上重命名默认管理员帐户。但是，此设置不允许您修改默认说明。有关详细信息，请参阅 http://support.microsoft.com/default.ASPx?scid=kb;en-us;816109 上的知识库文章如何在 Windows Server 2003 中重命名管理员帐户和来宾帐户。　　　　创建虚假管理员帐户　　　　创建虚假管理员帐户将增加一个附加的保护层。这样可以引诱企图对管理员帐户实施密码攻击的攻击者去攻击没有特权的帐户，因此攻击者很难发现您的已命名的管理员帐户。另一种好办法是，通过确保此虚假帐户不被锁定，并为此帐户设置强密码，延缓攻击者进行攻击。在创建虚假帐户之后，您应该确保此帐户不是有特权的安全组成员，然后监视此帐户的使用，查看是否出现登录失败等意外活动。有关详细信息，请参阅 www.microsoft.com/technet/security/topics/networksecurity/sec_ad_admin_groups.mspx 上的知识库文章 Securing Active Directory Administrative Groups and Accounts。　　　　在域中创建虚假管理员帐户　　　　1.作为 Domain Admins 组成员登录，然后打开“Active Directory 用户和计算机”。　　　　2.右键单击“Users”容器，指向“新建”，然后单击“用户”。　　　　3.在“名”和“用户登录名”中键入 Administrator，然后单击“下一步”。　　　　4.键入并确认密码。　　　　5.清除“用户下次登录时须更改密码”复选框，然后单击“下一步”。　　　　6.验证虚假帐户信息是否正确，然后单击“完成”。　　　　7.在详细信息窗格中，右键单击“管理员”，然后单击“属性”。　　　　8.单击“常规”选项卡。在“说明”框中，键入管理计算机/域的内置帐户，然后单击“确定”。　　　　创建虚假的本地管理员帐户　　　　1.作为本地管理员组成员登录，然后在计算机管理控制台中打开本地用户和组管理单元工具。　　　　2.在控制台树中，展开“本地用户和组”。　　　　3.右键单击“Users”容器，然后单击“新建用户”。　　　　4.在“用户名”框中，键入 Administrator。在“说明”框中，键入管理计算机/域的内置帐户。　　　　5.键入并确认密码。　　　　6.清除“用户下次登录时须更改密码”复选框。　　　　7.单击“创建”。　　　　创建次要管理员帐户并禁用内置帐户　　　　即使您不使用管理的终端服务，或允许非管理用户访问您的服务器，最好的做法是创建其他用户作为管理服务器的次要管理员帐户。您应该将此用户设置为管理员组成员。在创建次要帐户之后，您可以禁用内置管理员帐户。　　　　创建次要管理员帐户　　　　1.作为管理员登录，然后打开“Active Directory 用户和计算机”。　　　　2.右键单击“Users”容器，指向“新建”，然后单击“用户”。　　　　3.在“名”和“用户登录名”中键入<用户名>，然后单击“下一步”。　　　　4.键入并确认强密码。　　　　5.清除“用户下次登录时须更改密码”复选框，然后单击“下一步”。　　　　6.验证帐户信息是否正确，然后单击“完成”。　　　　7.在详细信息窗格中，右键单击“用户名”，然后单击“属性”。　　　　8.单击“成员属于”选项卡，单击“添加”，键入 administrators，单击“检查名称”，然后单击“确定”。　　　　9.再次单击“确定”关闭“属性”页。　　　　禁用内置管理员帐户　　　　1.作为您刚创建的次要管理员帐户登录，然后打开“Active Directory 用户和计算机”　　　　2.单击“Users”容器，右键单击内置管理员帐户名称，然后单击“属性”。　　　　3.单击“帐户”选项卡。　　　　4.在“帐户选项”下，向下滚动，然后选择“帐户已停用”复选框。　　　　5.单击“确定”。　　　　警告：在禁用内置管理员帐户时，您必须确定是否存在具有相应的管理员特权的其他帐户。如果您在没有确定是否有其他帐户的情况下禁用内置管理员帐户，您可能会失去对域的管理权，您可能需要执行系统还原或重新安装系统才能重新获得管理权。　　　　为远程管理员登录启用帐户锁定　　　　阻止攻击者使用内置管理员帐户和密码凭据的一种方法是，根据帐户策略，允许管理员帐户在发生特定次数的登录失败之后被锁定在网络之外。默认情况下，不能锁定内置管理员帐户；但是，您可以使用 passprop.exe（Microsoft Windows 2000 Server Resource Kit 中的命令行程序）为使用管理员帐户的远程登录启用帐户锁定。在使用 /ADMINLOCKOUT 开关运行 passprop 实用程序时，您应该确保管理员帐户受帐户锁定策略约束。在 Windows 2000 Server 中，这仅适用于远程登录，因为无法在本地计算机上锁定内置管理员帐户，此程序允许您保护管理员帐户免受网络攻击，但是仍允许交互式访问。　　　　警告：在 Windows Server 2003 中，passprop 允许您通过交互式登录和远程登录来锁定内置管理员帐户。　　　　您可以使用 passprop 附带的下列帐户锁定开关：　　　　passprop [/adminlockout] [/noadminlockout]　　　　/adminlockout 开关用于锁定管理员。　　　　/noadminlockout 开关用于取消锁定管理员。　　　　注：在启用此设置时，管理员帐户将被锁定，任何人都无法使用管理员帐户进行远程管理。　　　　创建强管理员密码　　　　使用内置管理员帐户的强密码。强密码可以最大程度地减少猜测密码并获得管理员帐户凭据的攻击者的攻击。强管理员帐户密码应该：　　　　至少包含 15 个字符。　　　　不包含帐户名、实际姓名或公司名称。　　　　不包含字典中的完整单词、任何语言中的俚语或行话。　　　　要明显不同于以前的密码。递增的密码（PassWord1、Password2、Password3...）不是强密码。　　　　包含来自下表中列出的五组中三组以上的字符。　　　　表 3.1 强管理员密码的字符类型　　　　字符类型　　　　　　　　示例　　　　大写字母　　　　　　　　A、B、C...　　　　小写字母　　　　　　　　a、b、c...　　　　数字　　　　　　　　　　0、1、2、3...　　　　非字母数字键盘符号　　　` ~ ! @ # $ % ^ & * ( ) _ + - = { } [ ] \ : " ; ' < > ? , . /　　　　Unicode 字符　　　　　　€、G、?、?　　　　使用密码短语而不是密码　　　　创建不必写下的强密码的最简单方法是使用密码短语。实质上，密码短语是容易记的句子，例如“My son Aiden is three years older than my daughter Anna”。使用此句中每个单词的首字母，您可以创建一个很好的强密码。例如，“msaityotmda”。不过，您还可以使用大小写字母、数字和看似字母的特殊字符的组合使此密码更难以破解。例如，使用同样易于记忆的句子和少许技巧，密码便成了 M$"8ni3y0tmd@。　　　　虽然密码短语易受字典攻击，但大多数商业密码破解软件不能检查超过 14 个字符的密码。如果用户使用较长的密码短语，他们的密码不太可能会被破解，与传统强密码相比，此密码短语更易于被他们记住。如果密码短语易于记忆，用户几乎不需要记下密码。强密码短语的很好的示例：　　　　I @te 4 tacos for lunch tod@y!　　　　I re@lly want to buy 11 Dogs!　　　　这些示例是一个超长的密码短语，包含 20 多个字符，其中包括来自可能的五组中的四组的字符。它们不是众所周知的短语，但是它们远远比包含由不相关的字符、符号和没有实际意义的标点符号组成的字母数字字符组合的 15 字符密码容易记忆。　　　　不要使用空的或弱管理员密码　　　　虽然这样会带来严重的安全风险，但某些组织仍为管理员帐户设置弱密码或空密码。空密码或弱密码代表网络上最常见的安全漏洞之一，为入侵者提供了一个最容易攻击的访问点。　　　　如果您为管理员帐户设置空密码或弱密码，恶意用户使用基本的字符组合就可以访问您的计算机，例如在“用户名”框中输入“Administrator”，在“密码”框中不输入任何内容或输入“administrator”。空密码和弱密码为企图破解密码的攻击者大开方便之门，易受字典攻击，攻击者可以有条不紊地逐一尝试每个单词，并可以使用常见字符序列（例如线性组合的 A-Z 和 0-9）进行强力攻击。　　　　虽然良好的密码无法保证入侵者不能访问您的网络，但是它提供了第一道坚固防线。　　　　强制使用强密码　　　　您应该确保您组织的网络管理员使用强密码。在 Windows 2000 Server 和 Windows Server 2003 中，您可以使用组策略来强制使用强密码。　　　　有关强密码和安全密码的详细信息，请参阅 www.microsoft.com/smallbusiness/gtm/securityguidance/articles/enforce_strong_passwords.mspx 上的 Enforcing Strong Password Usage Throughout Your Organization 白皮书和 www.microsoft.com/smallbusiness/gtm/securityguidance/articles/select_sec_passwords.mspx 上的 Selecting Secure Passwords 白皮书。　　　　定期更改管理员密码　　　　您应该定期更改您的特权帐户密码。根据帐户泄密对您的组织的影响，确定每次更改之间的时间间隔。有关如何确定此影响的指导原则，请参阅 www.microsoft.com/technet/security/guidance/secrisk/default.mspx 上的 The Security Risk Management Guide。　　　　您应该定期更改您的本地管理员帐户的密码。您可以使用 Microsoft Windows 2000 Server Resource Kit 中包含的 cusrmgr.exe 工具来对服务器和工作站自动进行此操作。有关如何使用 cusrmgr.exe 的详细信息，请参阅 http://support.microsoft.com/kb/272530 上的知识库文章 How to Use the Cusrmgr.exe Tool to Change Administrator Account Password on Multiple Computers。　　　　另外，您应该定期在域控制器上更改目录服务还原模式 (DSRM) 管理员密码。 Windows 2000 使用 setpwd 实用程序重置 DSRM 密码。在 Windows Server 2003 中，Ntdsutil 工具提供此功能。您可以远程使用这两种工具。　　　　自动扫描弱密码　　　　弱密码和空密码明显危及组织的网络的总体安全。组织应该开发或购买自动扫描或测试空密码和弱密码的软件。　　　　此类工具使用两种基本方法：　　　　联机使用常见弱密码尝试多次登录网络。 Microsoft Baseline Security Analyzer (MBSA) 是此类工具的一个实例。建议不要使用此方法，因为联机方法可能导致在启用帐户锁定时拒绝服务。　　　　脱机密码扫描。可以使用某些第三方脱机扫描工具，它们允许管理员识别并修补由于弱密码或容易猜测的密码而导致的安全漏洞，从而可以帮助降低组织的安全风险。通常，这些工具先扫描弱密码，然后提供密码质量评分、报告和修补功能。建议使用此方法来测试弱密码。　　　　在识别使用空密码或弱密码的帐户之后，事件响应应该遵循您组织制定的事件响应协议。事件响应协议的某些实例：　　　　自动系统将帐户密码重置为强密码。　　　　自动系统将电子邮件发送给服务器的所有者以请求重置密码。　　　　延迟的响应可能会延长服务器安全漏洞存在的时间。　　　　使用 Microsoft Baseline Security Analyzer 扫描密码　　　　您可以使用 www.microsoft.com/technet/security/tools/mbsahome.mspx 上提供的 Microsoft Baseline Security Analyzer (MBSA) 工具，扫描网络上的每台计算机并搜索弱密码。　　　　在其他安全测试过程中，MBSA 可以枚举所有用户帐户并检查下列密码弱点：　　　　密码为空　　　　密码与用户帐户名称相同　　　　密码与计算机名相同　　　　密码使用单词“password”　　　　密码使用单词“admin”或“administrator”　　　　此扫描结束之后，此工具还通知您任何已禁用的或当前锁定的帐户。　　　　为了完成此测试，MBSA 尝试使用这些密码来更改目标计算机的密码。 MBSA 不会重置或永久更改密码，但是如果您的密码不是强密码，它会警告您存在安全风险。　　　　仅在受信任计算机上使用管理凭据　　　　确保您组织的管理员从不使用其管理凭据来登录到他们没有对其完全控制的权限的计算机。击键记录程序或屏幕扫描程序可能会在计算机上运行，并捕获管理员的密码凭据。　　　　击键记录程序是一种无提示安装的间谍软件程序，运行在用户计算机的后台上。间谍软件程序员将击键记录程序设计为在未经用户同意或用户不知道的情况下秘密地记录所有击键。此信息将被存储以供将来检索，或被传输给击键记录程序的开发者以进行检查。击键记录程序可以记录所有击键，包括密码或信用卡号码等个人信息。它们还可以记录所有带附件的电子邮件或在线聊天会话。　　　　通过检查显示屏上的实际上不用于数据传输或程序检查的内容，然后以一种易读的图形用户界面 (GUI) 格式显示此内容，屏幕扫描程序可以从计算机或程序捕获字符数据。较新的屏幕扫描程序以 Html 格式显示信息，以便使用浏览器浏览此信息。　　　　定期审核帐户和密码　　　　定期审核有助于确保域安全的完整性和防止特权提升。特权提升可以为用户帐户提供未经授权的管理特权。除非您保护管理功能，否则攻击者可以造成安全漏洞并避开安全措施。例如，具有管理权限的攻击者可以创建假的用户帐户，在未经许可的情况下将帐户添加到成员组，提升现有帐户的特权，添加或修改策略，以及禁用安全设置。　　　　您应该定期审核所有域级管理用户和组，以及敏感服务器上的所有本地管理用户和组。由于管理员可能有能力（但不是权力）对他们自己的管理帐户进行修改，组织必须确保帐户遵循域级管理用户的安全策略。务必要审核这些特权凭据并认识到审核并不仅仅是检查密码长度。审核也是一种查明管理帐户已执行的任务的有用工具。在配置和启用审核之后，使用事件查看器查看创建的安全日志。定期审核还可以检测未使用的域级管理帐户。非活动的域级管理帐户会为网络环境带来安全漏洞，特别是在攻击者在您不知不觉的情况下对他们进行攻击时。您应该删除任何未使用的域级管理员帐户或组。　　　　禁止帐户委派　　　　您应该将所有域级管理员用户帐户标为“敏感帐户，不能被委派”。此操作有助于防止通过标为“可委派其他帐户”的服务器模拟凭据。　　　　当网络服务接受用户请求并假定要启动与另一个网络服务的新连接的用户身份时，进行委派身份验证。委派身份验证对于在多台计算机上使用单一登录功能的多层应用程序非常有用。例如，域控制器自动受信任以进行委派。如果您在文件服务器上启用加密文件系统 (EFS)，必须信任此服务器以进行委派，以便代表用户存储加密文件。委派身份验证对于 Internet 信息服务 (IIS) 支持在其他计算机上运行的数据库的 Web 接口的程序也非常重要，例如 Microsoft Exchange Server 中或企业证书颁发机构的 Web 注册支持页面（如果单独的 Web 服务器托管这些页）中的 Microsoft Outlook? Web Access (OWA)。　　　　您应该拒绝对不安全的计算机上 Active Directory 中的计算机帐户进行委派身份验证的权限，并拒绝域管理员帐户的权限。域管理员帐户有权访问敏感资源，一旦敏感资源被泄漏，就会对您的组织带来严重的风险。有关详细信息，请参阅 www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dsscc_aut_vwcs.asp 上 Windows Server 2003 Deployment Kit 中的 Enabling Delegated Authentication 主题。　　　　控制管理登录过程　　　　Administrators 组、Enterprise Admins 组及 Domain Admins 组的成员代表了每个单独的域中权限最高的帐户。要最大程度地降低安全风险，请执行本指南的后续部分中描述的步骤，以强制使用强管理凭据。　　　　要求使用智能卡进行管理登录　　　　要执行所有管理功能，域管理员应该使用二元身份验证。二元身份验证需要两种东西：　　　　用户具有的东西，例如智能卡　　　　用户知道的东西，例如个人标识号 (PIN)　　　　要求使用这两种东西可以降低通过共享、盗取或复制一元凭据（例如用户名和密码）未经授权访问的风险。　　　　在您保护域管理员帐户时，二元身份验证是一个重要环节，因为常规的用户名和密码是任意文本凭据，通常由自然语言字符集组成。因此，恶意用户在下列情况下可以盗取、共享或复制它们：　　　　受信任的用户与未经授权的用户共享密码，或以不安全的方式记录密码（例如，将记录密码的便笺粘贴在显示器上）。　　　　以纯文本格式发送密码。　　　　在登录时，使用硬件或软件设备捕获通过键盘输入的内容。　　　　如果您要求您的管理员使用智能卡进行交互式登录，这将强制管理用户使用其自己的智能卡登录，并确保使用随机生成的、加密性强的用户帐户密码。这些强密码有助于防止盗取弱密码以获得管理权限。　　　　如果您为每个管理用户帐户启用“交互式登录必须使用智能卡”帐户选项，您可以强制使用智能卡。　　　　智能卡 PIN 是各个卡所有者设置并存储在卡上的加密代码。此 PIN 是用户在使用智能卡进行身份验证时必须提供的字符串，以便可以使用私钥。智能卡上的每个私钥均是唯一的，这保证了身份验证的单一性。　　　　在域管理员进行交互式登录时，智能卡身份验证尤为重要。智能卡可以使负责多台均需要身份验证的服务器的域管理员的工作更加轻松。您可以使用具有共同的 PIN 的唯一智能卡来保护服务器，而不需要管理员为每台服务器（他必须对其进行身份验证）设置单独的密码。　　　　注：Windows 2000 Server 支持使用智能卡进行远程访问；但是，要求 Windows Server 2003 支持使用域级帐户的智能卡。还要求 Windows Server 2003 通过 Secondary Logon 服务的 runas 命令使用智能卡凭据。　　　　域管理员使用智能卡，采用本指南介绍的原则和做法，可以帮助组织显著提高其网络资产的安全。　　　　有关使用智能卡进行身份验证的详细信息，请参阅下列资源：　　　　Microsoft TechNet 网站 www.microsoft.com/technet/security/topics/smrtcard/smrtcdcb/default.mspx 上的 The Smart Card Deployment Cookbook。　　　　www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/f65c054e-4cb3-4a6e-84f6-8a9787819df5.mspx 上的 Planning a Smart Card Deployment。　　　　共享敏感管理帐户的登录凭据　　　　对于每个您认为敏感的帐户（例如，目录林根域中 Enterprise Admins 或 Domain Admins 组的一个成员），指派两个用户共享此帐户，以便这两个用户成功使用此帐户登录。如果您共享这些帐户，将提供固有、直观的审核：一个用户可以监视另一个用户执行的操作。另外，这样还会防止单个用户作为管理员秘密登录访问计算机，以免恶意管理员在被胁迫的情况下威胁到计算机的安全。　　　　您可以采用使用拆分的密码或智能卡及 PIN 的共享管理帐户。如果您使用管理帐户的基于密码的凭据，拆分共享帐户的两个用户的密码，以便每个用户只知道一半密码。每个用户均负责保护一半密码。例如，您可以创建一个称为 Admin1 的管理帐户，指派两个受信任用户（Jane 和 Bob）共享此帐户。每个用户均保护一半密码。如果其中一个用户登录并使用此帐户，另一个用户必须输入另一半密码。　　　　共享管理帐户选项的缺点是审核的整个过程中缺乏责任。组织需要适当地采取某些其他控制措施（例如摄像机监视），以确保用户没有滥用这些共享特权。　　　　如果您使用管理帐户的基于智能卡的凭据，拆分共享帐户的两个用户的智能卡及其 PIN 的所有权，以便一个用户保留智能卡的实际所有权，另一个用户保护 PIN。这样，两个用户必须登录到此帐户。　　　　限制域管理员可以登录的方式和位置　　　　组织应该限制域级管理员可以登录的方式和位置。如果管理员的任务或角色需要，他们可以交互式登录到他们具有对其的特权的域控制器，但是您应该仍需要进行二元身份验证。　　　　在以下情况下，您应该禁止域管理员登录到尚未专门允许域管理员使用的任何计算机：　　　　进行交互式登录时　　　　使用远程桌面时　　　　作为服务登录时　　　　作为批作业登录时　　　　由于其固有的权限和权力，计算机上的管理帐户是计算机上存在的最有用、同时也是最危险的帐户。　　　　组织在保护域级管理员帐户的安全时必须特别小心谨慎，因为能够破坏域管理员帐户的入侵者可以获得域和林中每台计算机的广泛的访问权限。 Microsoft 采取了许多措施来保护其企业网络上域管理员帐户的安全，并极力主张其他组织也这样做。　　　　当管理网络时，您应该使用本指南描述的最佳做法并遵守其原则，以降低未经授权的用户获取您的敏感网络资产和 Active Directory? 目录服务数据的管理访问权限的风险。　　　　对于希望保护其网络资产安全的组织来说，使管理员帐户尽可能安全是一项重要举措。　　　　后续步骤　　　　如果组织尚未为管理员帐户安全部署计划，此规则指南将为组织规划此类计划提供基础。　　　　组织规划保护管理员帐户的安全时应该采取的主要措施包括：　　　　定义过程，降低管理员帐户遭受破坏的风险。　　　　确定策略，增加 Active Directory 中管理帐户的安全性。　　　　使用最小特权这一原则。　　　　区分域管理员和企业管理员角色。　　　　使用 Secondary Logon 服务区分用户和管理员帐户。　　　　遵循最佳做法指导原则，保护管理员帐户安全。
[1] [2]

（出处：http://www.sheup.com）

[1] [2]

标签：