保護Windows本地管理員帳戶安全

你是否知道，只要有人掌握了本地管理員帳戶，就能夠在你的網絡上造成一場大災難？鎖住這個帳戶能夠讓你的企業系統更加安全。Mike Mullins在這裡提供了一些方法，讓你能夠快速地保護本地管理員帳戶。

在企業系統裡，黑客只要擁有了這一個帳戶，就能夠給網絡造成一場大災難。這個帳戶通常被稱為根帳戶，對於Windows管理員來說更熟悉的名字是本地管理員帳戶。

這個帳戶理所當然會受到更多關注，因為它擁有連接到域中每台計算機的全部控制權限。這意味著這個帳戶可以訪問網絡上的所有文件和應用，在不被允許的情況下，它甚至也可以為自己分配權限來訪問文件。

安裝Windows操作系統會自動創建這個帳戶，我敢向你保證每一個可能的黑客都已經知道這個帳戶的默認用戶名和密碼。保護這個帳戶會大大提高你所在企業的系統安全性。下面我們看一些能夠快速保護本地管理員帳戶的方法。

讓管理員帳戶使用難度加大

無論你使用的是Windows的哪個版本，你需要做的第一件事情就是更改用戶名，並設定一個復雜難解的密碼。當然不要把密碼的長度弄得太長或者把密碼弄得太復雜，如果你不能記住它，而是需要把它寫在記事帖，貼到“保密的地方”，那就糟糕了。如果你必須把用戶名和密碼寫下來，你一定要把它們鎖在帶鎖的檔案櫃裡，而且不要把鑰匙給別人。

禁用管理員帳戶

讓登錄信息變得難以破解是很好的開始，但是你不應該就此停步。在不需要使用的時候禁用這個帳戶是個不錯的主意。

為什麼禁用管理員帳戶呢？你應該像對待其他你不需要使用的服務一樣對待這個帳戶：如果不需要，就禁用它。禁用本地管理員帳戶，或者禁止該帳戶通過訪問工作站或服務器。這樣做會給那些希望使用這個超級帳戶來為非作歹的黑帽子黑客以沉重打擊。

不過我有一個警告。在你禁用任何工作站或者服務器上的本地管理員帳戶之前，你都要確認系統至少保留了一個有管理權限的用戶，否則你接下來所進行的操作就將是不可逆轉的。

在Windows 2000中保護管理員帳戶

Windows 2000不允許你禁用管理員帳戶。但是，你可以采取以下步驟來獲得同等的安全保障。具體步驟如下：1. 使用管理員帳戶或者具有管理權限的用戶帳戶登錄。2. 打開“開始”菜單| 程序 | 管理工具|本地安全策略3. 在本地安全設置窗口，選擇“本地策略”，然後選擇“用戶權限設置”。4. 雙擊“拒絕通過網絡訪問本台電腦”。5. 在“安全策略設置”對話框中，點擊“添加”。6. 在“選擇用戶或組”的對話框中，選擇該管理員帳戶，，然後點擊“添加”。7. 按兩次OK，然後關閉本地安全設置窗口。

重啟系統讓這些更改生效。

在Windows XP和Windows Server 2003之中禁用管理員帳戶

可以采用下面的步驟來禁用本地管理員帳戶：1. 使用管理員帳戶或者具有管理權限的用戶帳戶登錄。2. 用鼠標右鍵點擊“我的電腦”，然後選擇“管理”。3. 打開“本地用戶和組”，然後選擇用戶。4. 雙擊“管理員”。5. 選擇“禁用帳戶”選擇框，然後點擊“OK”。6. 管理“計算機管理”窗口。等到你退出後，所修改的設置將生效。

總結

絕大部分管理員不會使用本地管理員帳戶。相反，他們往往會使用具有管理員權限的用戶帳戶。除非是無法避免的情況下，管理員們才會通過網絡使用本地帳戶行使管理功能。

現在就開始檢查你的網絡，並為相關人員委派相應的責任是個不錯的主意。如果有人需要使用本地管理員帳戶來完成日常工作的話，那麼你就需要重新評估這些帳戶的授權以及你的網絡。

作者簡介Mike Mullin曾經擔任美國經濟情報局的數據庫管理員和助理網絡管理員。他目前在Defense Information Systems Agency擔任網絡安全管理員。