使管理帐户更安全的最佳做法

使管理帐户更安全的最佳做法为更安全地使用WindowsServer2003中的管理帐户而应遵循的最佳做法指导原则包括：?区分域管理员和企业管理员角色。?区分用户帐户和管理员帐户。?使用SecondaryLogon服务。?运行单独的“TerminalServices”会话进行管理。?重命名默认管理员帐户。?创建虚假管理员帐户。?创建次要管理员帐户并禁用内置管理员帐户。?为远程管理员登录启用帐户锁定。?创建强管理员密码。?自动扫描弱密码。?仅在受信任计算机上使用管理凭据。?定期审核帐户和密码。?禁止帐户委派。?控制管理登录过程。管理员帐户安全规划指南第3章-使管理员帐户更安全的指导原则更新日期：2005年07月04日本章介绍了一些使管理帐户更安全的常规最佳做法指导原则。这些指导原则遵循第2章“使管理员帐户更安全的方法”所介绍的原则。使管理员帐户更安全的指导原则概述每次安装新的ActiveDirectory?目录服务之后，就会为每个域创建一个管理员帐户。默认情况下，不能删除或锁定此帐户。在Microsoft?WindowsServer?2003中，可以禁用管理员帐户，但以安全模式启动计算机时，会自动重新启用此帐户。企图攻击计算机的恶意用户通常先查找有效帐户，然后尝试升级此帐户的权限。另外，他可能还利用猜测密码技术窃取管理员帐户密码。由于此帐户具有许多权限且不能被锁定，恶意用户以此帐户为攻击对象。他可能还试图引诱管理员执行某些将授予攻击者权限的恶意代码。区分域管理员角色和企业管理员角色由于企业管理员角色在目录林环境下具有最终权限，您必须执行以下两个操作之一，以确保很好地控制它的使用。您可以创建并选择一个受到完善保护的帐户作为EnterpriseAdmins的成员，或者选择不使用这些凭据设置帐户，而是仅在需要这些特权的授权任务要求创建此类帐户时才创建。在此帐户完成任务之后，您应该立即删除临时EnterpriseAdmins帐户。区分用户帐户和管理员帐户对于担任管理员角色的每个用户，您应该创建两个帐户：一个普通用户帐户，执行典型日常任务（例如电子邮件和其他程序）；一个管理帐户，仅执行管理任务。您不应使用管理帐户来发送电子邮件、运行标准程序或浏览Internet。每个帐户必须拥有唯一的密码。这些简单的防范措施大大地降低了帐户被攻击的风险，并缩短了管理帐户登录到计算机或域所需的时间。使用SecondaryLogon服务在MicrosoftWindows?2000,WindowsXPProfessional和WindowsServer2003中，您可以作为与当前登录的用户不同的用户运行程序。在Windows2000中，Runas服务提供此功能，在WindowsXP和WindowsServer2003中，它称为SecondaryLogon服务。Runas和SecondaryLogon服务是名称不同的相同服务。SecondaryLogon允许管理员使用非管理帐户登录到计算机，无须注销，只需在管理环境中运行受信任的管理程序即可执行管理任务。SecondaryLogon服务解决了运行可能易受恶意代码攻击的程序的管理员提出的安全风险问题；例如，使用管理权限登录、访问不受信任的网站的用户。SecondaryLogon主要适用于系统管理员；但是，任何拥有多个帐户、需要在不同帐户环境中无需注销即可启动程序的用户也可以使用它。SecondaryLogon服务设置为自动启动，使用运行方式工具作为其用户界面，使用runas.exe作为其命令行界面。通过使用运行方式，您可以运行程序(*.exe)、保存的Microsoft管理控制台(MMC)控制台(*.msc)、程序快捷方式及“控制面板”中的项目。即使您使用没有管理权限的标准用户帐户登录，只要您在系统提示输入适当的管理用户帐户和密码凭据时输入它们，您就可以作为管理员运行这些程序。如果您拥有其他域的管理帐户的凭据，运行方式允许您管理其他域或目录林中的服务器。注：不能使用运行方式启动某些项目，例如桌面上的打印机文件夹、我的电脑和网上邻居。使用运行方式可以通过多种方法来使用运行方式：使用运行方式来启动使用域管理员帐户凭据的命令解释器1.单击“开始”，然后单击“运行”。2.在“运行”对话框中，键入runas/user:domain_name\administratorcmd（其中domain_name是您的域名），然后单击“确定”。3.当系统提示输入domain_name\administrator帐户的密码时，键入管理员帐户的密码，然后按ENTER键。4.一个新控制台窗口打开，表示正在管理环境中运行。此控制台标题标识为作为domain_name\administrator运行。使用运行方式来运行“控制面板”中的项目1.在WindowsXP或WindowsServer2003中，依次单击“开始”、“控制面板”。2.按住SHIFT键，同时右键单击您要在管理环境中运行的工具或程序（例如，“添加硬件”）。3.在快捷方式菜单上，单击“运行方式”。4.在“运行身份”对话框中，单击“下列用户”，然后键入相应的域名、管理员帐户名和密码；例如：CORPDOMAIN\AdministratorP@ssw0rd5.单击“确定”。此程序在管理环境中运行。使用运行方式来打开“开始”菜单中的程序（例如ActiveDirectory用户和计算机）1.在WindowsServer2003中，单击“开始”，指向“管理工具”，然后右键单击“ActiveDirectory用户和计算机”。2.在快捷方式菜单上，单击“运行方式”。您还可以使用可执行命令行实用程序runas.exe来运行程序，并从命令行启动管理控制台。在本地计算机上作为管理员启动命令提示符实例1.单击“开始”，然后单击“运行”。2.在“运行”对话框中，键入runas/user:localcomputername\administratorcmd。3.单击“确定”。4.出现提示时，在命令提示符窗口中键入管理员密码，然后按ENTER键。在corpdomain域中使用称为domainadmin的域管理员帐户启动“计算机管理”管理单元实例1.单击“开始”，然后单击“运行”。2.在“运行”对话框中，键入runas/user:corpdomain\domainadminmmc%windir%\system32\compmgmt.msc3.单击“确定”。4.出现提示时，在命令提示符窗口中键入帐户密码，然后按ENTER键。您还可以使用runas.exe来运行程序，并使用智能卡凭据从命令行启动管理控制台。使用智能卡凭据在本地计算机上作为管理员启动命令提示符实例1.单击“开始”，然后单击“运行”。2.在“运行”对话框中，键入runas/smartcard/user:localcomputername\administratorcmd3.单击“确定”。4.出现提示时，在命令提示符窗口中键入智能卡的PIN号，然后按ENTER键。注：不能输入密码作为runas.exe的命令行参数，因为这样不安全。运行用于管理的单独的“终端服务”会话运行方式是管理员在更改其本地计算机时最常用的方法，也可能是执行某些业务线程序的最常用方法。对于IT管理任务，您可以使用终端服务来连接到您需要管理的服务器。此方法大大简化了管理多台远程服务器的工作，无需物理访问每台远程服务器，而且不需要您具备在服务器上交互式登录的权限。要使用此方法，请使用普通用户帐户凭据登录，然后作为域管理员运行“终端服务”会话。您只能在“终端服务”会话窗口中执行域管理任务。重命名默认管理员帐户当您重命名默认管理员帐户时，没有明显指示此帐户具有提升的特权。虽然攻击者仍需要通过密码使用默认管理员帐户，但是已命名的默认管理员帐户应该添加一道附加的保护层，以防止遭受特权提升的攻击。一种方法是使用假想姓和名，并与其他用户名的格式相同。注：重命名默认管理员帐户只能阻止某些类型的攻击。由于此帐户的安全ID始终相同，攻击者判断哪个帐户是默认管理员帐户相对比较容易。另外，工具可以枚举组成员，并始终先列出原始管理员帐户。为了最好地防止对您的内置管理员帐户进行攻击，请创建新的管理帐户，然后禁用内置帐户。在域中重命名默认管理员帐户1.作为DomainAdmins组成员（但不是内置管理员帐户）登录，然后打开“ActiveDirectory用户和计算机”。2.在控制台树中，单击“用户”。3.在详细信息窗格中，右键单击“管理员”，然后单击“重命名”。4.键入假想的名和姓，然后按ENTER键。5.在“重命名用户”对话框中，改变“全名”、“名”、“姓”、“显示名”、“用户登录名”以及“用户登录名”（Windows2000前版本）使之匹配假想的帐户名，然后单击“确定”。6.在详细信息窗格中，右键单击新建的用户名，然后单击“属性”。7.单击“常规”选项卡。在“说明”框中，删除管理计算机/域的内置帐户，然后键入与其他用户帐户类似的说明（对于许多组织，此值为空）。8.单击“确定”。重命名默认的本地管理员帐户1.作为本地管理员组成员（但不是内置管理员帐户）登录，然后在计算机管理控制台中打开本地用户和组管理单元工具。2.在控制台树中，展开“本地用户和组”，然后单击“用户”。3.在详细信息窗格中，右键单击“管理员”，然后单击“重命名”。4.键入假想的名和姓，然后按ENTER键。5.在详细信息窗格中，右键单击新建的用户名，然后单击“属性”。6.单击“常规”选项卡。在“全名”框中，键入新的全名。在“说明”框中，删除管理计算机/域的内置帐户，然后键入与其他用户帐户类似的说明（对于许多组织，此值为空）。7.单击“确定”。注：另外，您还可以使用组策略对象(GPO)设置在多台计算机上重命名默认管理员帐户。但是，此设置不允许您修改默认说明。有关详细信息，请参阅=kb;en-us;816109上的知识库文章如何在WindowsServer2003中重命名管理员帐户和来宾帐户。创建虚假管理员帐户创建虚假管理员帐户将增加一个附加的保护层。这样可以引诱企图对管理员帐户实施密码攻击的攻击者去攻击没有特权的帐户，因此攻击者很难发现您的已命名的管理员帐户。另一种好办法是，通过确保此虚假帐户不被锁定，并为此帐户设置强密码，延缓攻击者进行攻击。在创建虚假帐户之后，您应该确保此帐户不是有特权的安全组成员，然后监视此帐户的使用，查看是否出现登录失败等意外活动。有关详细信息，请参阅上的知识库文章SecuringActiveDirectoryAdministrativeGroupsandAccounts。在域中创建虚假管理员帐户1.作为DomainAdmins组成员登录，然后打开“ActiveDirectory用户和计算机”。2.右键单击“Users”容器，指向“新建”，然后单击“用户”。3.在“名”和“用户登录名”中键入Administrator，然后单击“下一步”。4.键入并确认密码。5.清除“用户下次登录时须更改密码”复选框，然后单击“下一步”。6.验证虚假帐户信息是否正确，然后单击“完成”。7.在详细信息窗格中，右键单击“管理员”，然后单击“属性”。8.单击“常规”选项卡。在“说明”框中，键入管理计算机/域的内置帐户，然后单击“确定”。创建虚假的本地管理员帐户1.作为本地管理员组成员登录，然后在计算机管理控制台中打开本地用户和组管理单元工具。2.在控制台树中，展开“本地用户和组”。3.右键单击“Users”容器，然后单击“新建用户”。4.在“用户名”框中，键入Administrator。在“说明”框中，键入管理计算机/域的内置帐户。5.键入并确认密码。6.清除“用户下