返回
使管理帐户更安全的最佳做法

使管理帐户更安全的最佳做法

ID:6606402

大小:56.00 KB

页数:26页

时间:2018-01-20

使管理帐户更安全的最佳做法_第1页
使管理帐户更安全的最佳做法_第2页
使管理帐户更安全的最佳做法_第3页
使管理帐户更安全的最佳做法_第4页
使管理帐户更安全的最佳做法_第5页
资源描述:

《使管理帐户更安全的最佳做法》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、使管理帐户更安全的最佳做法使管理帐户更安全的最佳做法为更安全地使用WindowsServer2003中的管理帐户而应遵循的最佳做法指导原则包括:?区分域管理员和企业管理员角色。?区分用户帐户和管理员帐户。?使用SecondaryLogon服务。?运行单独的“TerminalServices”会话进行管理。?重命名默认管理员帐户。?创建虚假管理员帐户。?创建次要管理员帐户并禁用内置管理员帐户。?为远程管理员登录启用帐户锁定。?创建强管理员密码。?自动扫描弱密码。?仅在受信任计算机上使用管理凭据。?定期审核帐户和密码。?禁止帐户委派。?控制管理登录过程。管理员帐户安全规划

2、指南第3章-使管理员帐户更安全的指导原则更新日期:2005年07月04日本章介绍了一些使管理帐户更安全的常规最佳做法指导原则。这些指导原则遵循第2章“使管理员帐户更安全的方法”所介绍的原则。使管理员帐户更安全的指导原则概述每次安装新的ActiveDirectory?目录服务之后,就会为每个域创建一个管理员帐户。默认情况下,不能删除或锁定此帐户。在Microsoft?WindowsServer?2003中,可以禁用管理员帐户,但以安全模式启动计算机时,会自动重新启用此帐户。企图攻击计算机的恶意用户通常先查找有效帐户,然后尝试升级此帐户的权限。另外,他可能还利用猜测密码技

3、术窃取管理员帐户密码。由于此帐户具有许多权限且不能被锁定,恶意用户以此帐户为攻击对象。他可能还试图引诱管理员执行某些将授予攻击者权限的恶意代码。区分域管理员角色和企业管理员角色由于企业管理员角色在目录林环境下具有最终权限,您必须执行以下两个操作之一,以确保很好地控制它的使用。您可以创建并选择一个受到完善保护的帐户作为EnterpriseAdmins的成员,或者选择不使用这些凭据设置帐户,而是仅在需要这些特权的授权任务要求创建此类帐户时才创建。在此帐户完成任务之后,您应该立即删除临时EnterpriseAdmins帐户。区分用户帐户和管理员帐户对于担任管理员角色的每个用

4、户,您应该创建两个帐户:一个普通用户帐户,执行典型日常任务(例如电子邮件和其他程序);一个管理帐户,仅执行管理任务。您不应使用管理帐户来发送电子邮件、运行标准程序或浏览Internet。每个帐户必须拥有唯一的密码。这些简单的防范措施大大地降低了帐户被攻击的风险,并缩短了管理帐户登录到计算机或域所需的时间。使用SecondaryLogon服务在MicrosoftWindows?2000,WindowsXPProfessional和WindowsServer2003中,您可以作为与当前登录的用户不同的用户运行程序。在Windows2000中,Runas服务提供此功能,在W

5、indowsXP和WindowsServer2003中,它称为SecondaryLogon服务。Runas和SecondaryLogon服务是名称不同的相同服务。SecondaryLogon允许管理员使用非管理帐户登录到计算机,无须注销,只需在管理环境中运行受信任的管理程序即可执行管理任务。SecondaryLogon服务解决了运行可能易受恶意代码攻击的程序的管理员提出的安全风险问题;例如,使用管理权限登录、访问不受信任的网站的用户。SecondaryLogon主要适用于系统管理员;但是,任何拥有多个帐户、需要在不同帐户环境中无需注销即可启动程序的用户也可以使用它。S

6、econdaryLogon服务设置为自动启动,使用运行方式工具作为其用户界面,使用runas.exe作为其命令行界面。通过使用运行方式,您可以运行程序(*.exe)、保存的Microsoft管理控制台(MMC)控制台(*.msc)、程序快捷方式及“控制面板”中的项目。即使您使用没有管理权限的标准用户帐户登录,只要您在系统提示输入适当的管理用户帐户和密码凭据时输入它们,您就可以作为管理员运行这些程序。如果您拥有其他域的管理帐户的凭据,运行方式允许您管理其他域或目录林中的服务器。注:不能使用运行方式启动某些项目,例如桌面上的打印机文件夹、我的电脑和网上邻居。使用运行方式可

7、以通过多种方法来使用运行方式:使用运行方式来启动使用域管理员帐户凭据的命令解释器1.单击“开始”,然后单击“运行”。2.在“运行”对话框中,键入runas/user:administratorcmd(其中是您的域名),然后单击“确定”。3.当系统提示输入domain_nameadministrator帐户的密码时,键入管理员帐户的密码,然后按ENTER键。4.一个新控制台窗口打开,表示正在管理环境中运行。此控制台标题标识为作为domain_nameadministrator运行。使用运行方式来

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。