使管理員帳戶更安全的指導原則

　　使管理員帳戶更安全的指導原則概述　　　　每次安裝新的 Active Directory? 目錄服務之後，就會為每個域創建一個管理員帳戶。 默認情況下，不能刪除或鎖定此帳戶。 在 Microsoft? Windows Server? 2003 中，可以禁用管理員帳戶，但以安全模式啟動計算機時，會自動重新啟用此帳戶。　　　　企圖攻擊計算機的惡意用戶通常先查找有效帳戶，然後嘗試升級此帳戶的權限。 另外，他可能還利用猜測密碼技術竊取管理員帳戶密碼。 由於此帳戶具有許多權限且不能被鎖定，惡意用戶以此帳戶為攻擊對象。 他可能還試圖引誘管理員執行某些將授予攻擊者權限的惡意代碼。　　　　區分域管理員角色和企業管理員角色　　　　由於企業管理員角色在目錄林環境下具有最終權限，您必須執行以下兩個操作之一，以確保很好地控制它的使用。 您可以創建並選擇一個受到完善保護的帳戶作為 Enterprise Admins 的成員，或者選擇不使用這些憑據設置帳戶，而是僅在需要這些特權的授權任務要求創建此類帳戶時才創建。 在此帳戶完成任務之後，，您應該立即刪除臨時 Enterprise Admins 帳戶。　　　　區分用戶帳戶和管理員帳戶　　　　對於擔任管理員角色的每個用戶，您應該創建兩個帳戶： 一個普通用戶帳戶，執行典型日常任務（例如電子郵件和其他程序）；一個管理帳戶，僅執行管理任務。 您不應使用管理帳戶來發送電子郵件、運行標准程序或浏覽 Internet。 每個帳戶必須擁有唯一的密碼。 這些簡單的防范措施大大地降低了帳戶被攻擊的風險，並縮短了管理帳戶登錄到計算機或域所需的時間。　　　　使用 Secondary Logon 服務　　　　在 Microsoft Windows? 2000, Windows XP Professional 和 Windows Server 2003 中，您可以作為與當前登錄的用戶不同的用戶運行程序。 在 Windows 2000 中，Run as 服務提供此功能，在 Windows XP 和 Windows Server 2003 中，它稱為 Secondary Logon 服務。 Run as 和 Secondary Logon 服務是名稱不同的相同服務。　　　　Secondary Logon 允許管理員使用非管理帳戶登錄到計算機，無須注銷，只需在管理環境中運行受信任的管理程序即可執行管理任務。　　　　Secondary Logon 服務解決了運行可能易受惡意代碼攻擊的程序的管理員提出的安全風險問題；例如，使用管理權限登錄、訪問不受信任的網站的用戶。　　　　Secondary Logon 主要適用於系統管理員；但是，任何擁有多個帳戶、需要在不同帳戶環境中無需注銷即可啟動程序的用戶也可以使用它。　　　　Secondary Logon 服務設置為自動啟動，使用運行方式工具作為其用戶界面，使用 runas.exe 作為其命令行界面。 通過使用運行方式，您可以運行程序 (*.exe)、保存的 Microsoft 管理控制台 (MMC) 控制台 (*.msc)、程序快捷方式及“控制面板”中的項目。 即使您使用沒有管理權限的標准用戶帳戶登錄，只要您在系統提示輸入適當的管理用戶帳戶和密碼憑據時輸入它們，您就可以作為管理員運行這些程序。　　　　如果您擁有其他域的管理帳戶的憑據，運行方式允許您管理其他域或目錄林中的服務器。　　　　注：不能使用運行方式啟動某些項目，例如桌面上的打印機文件夾、我的電腦和網上鄰居。　　　　使用運行方式　　　　可以通過多種方法來使用運行方式：　　　　使用運行方式來啟動使用域管理員帳戶憑據的命令解釋器　　　　1.單擊“開始”，然後單擊“運行”。　　　　2.在“運行”對話框中，鍵入 runas /user:<domain_name>\administrator cmd（其中 <domain_name> 是您的域名），然後單擊“確定”。　　　　3.當系統提示輸入 domain_name\administrator 帳戶的密碼時，鍵入管理員帳戶的密碼，然後按 ENTER 鍵。　　　　4.一個新控制台窗口打開，表示正在管理環境中運行。 此控制台標題標識為作為domain_name\administrator 運行。　　　　使用運行方式來運行“控制面板”中的項目　　　　1.在 Windows XP 或 Windows Server 2003 中，依次單擊“開始”、“控制面板”。　　　　2.按住 SHIFT 鍵，同時右鍵單擊您要在管理環境中運行的工具或程序（例如，“添加硬件”）。　　　　3.在快捷方式菜單上，單擊“運行方式”。　　　　4.在“運行身份”對話框中，單擊“下列用戶”，然後鍵入相應的域名、管理員帳戶名和密碼；例如：　　　　CORPDOMAIN\Administrator　　　　P@ssw0rd　　　　5.單擊“確定”。此程序在管理環境中運行。　　　　使用運行方式來打開“開始”菜單中的程序（例如 Active Directory 用戶和計算機）　　　　1.在 Windows Server 2003 中，單擊“開始”，指向“管理工具”，然後右鍵單擊“Active Directory 用戶和計算機”。　　　　2.在快捷方式菜單上，單擊“運行方式”。　　　　您還可以使用可執行命令行實用程序 runas.exe 來運行程序，並從命令行啟動管理控制台。　　　　在本地計算機上作為管理員啟動命令提示符實例　　　　1.單擊“開始”，然後單擊“運行”。　　　　2.在“運行”對話框中，鍵入 runas /user:<localcomputername>\administrator cmd 。　　　　3.單擊“確定”。　　　　4.出現提示時，在命令提示符窗口中鍵入管理員密碼，然後按 ENTER 鍵。　　　　在corpdomain域中使用稱為 domainadmin的域管理員帳戶啟動“計算機管理”管理單元實例　　　　1.單擊“開始”，然後單擊“運行”。　　　　2.在“運行”對話框中，鍵入 runas /user:<corpdomain>\<domainadmin> "mmc %windir%\system32\compmgmt.msc"　　　　3.單擊“確定”。　　　　4.出現提示時，在命令提示符窗口中鍵入帳戶密碼，然後按 ENTER 鍵。　　　　您還可以使用 runas.exe 來運行程序，並使用智能卡憑據從命令行啟動管理控制台。 　　　　使用智能卡憑據在本地計算機上作為管理員啟動命令提示符實例　　　　1.單擊“開始”，然後單擊“運行”。　　　　2.在“運行”對話框中，鍵入 runas /smartcard /user:<localcomputername>\administrator cmd　　　　3.單擊“確定”。　　　　4.出現提示時，在命令提示符窗口中鍵入智能卡的 PIN 號，然後按 ENTER 鍵。　　　　注：不能輸入密碼作為 runas.exe 的命令行參數，因為這樣不安全。　　　　運行用於管理的單獨的“終端服務”會話　　　　運行方式是管理員在更改其本地計算機時最常用的方法，也可能是執行某些業務線程序的最常用方法。 對於 IT 管理任務，您可以使用終端服務來連接到您需要管理的服務器。 此方法大大簡化了管理多台遠程服務器的工作，無需物理訪問每台遠程服務器，而且不需要您具備在服務器上交互式登錄的權限。 要使用此方法，請使用普通用戶帳戶憑據登錄，然後作為域管理員運行“終端服務”會話。 您只能在“終端服務”會話窗口中執行域管理任務。　　　　重命名默認管理員帳戶　　　　當您重命名默認管理員帳戶時，沒有明顯指示此帳戶具有提升的特權。 雖然攻擊者仍需要通過密碼使用默認管理員帳戶，但是已命名的默認管理員帳戶應該添加一道附加的保護層，以防止遭受特權提升的攻擊。 一種方法是使用假想姓和名，並與其他用戶名的格式相同。　　　　注：重命名默認管理員帳戶只能阻止某些類型的攻擊。 由於此帳戶的安全 ID 始終相同，攻擊者判斷哪個帳戶是默認管理員帳戶相對比較容易。 另外，工具可以枚舉組成員，並始終先列出原始管理員帳戶。 為了最好地防止對您的內置管理員帳戶進行攻擊，請創建新的管理帳戶，然後禁用內置帳戶。　　　　在域中重命名默認管理員帳戶　　　　1.作為 Domain Admins 組成員（但不是內置管理員帳戶）登錄，然後打開“Active Directory 用戶和計算機”。　　　　2.在控制台樹中，單擊“用戶”。　　　　3.在詳細信息窗格中，右鍵單擊“管理員”，然後單擊“重命名”。　　　　4.鍵入假想的名和姓，然後按 ENTER 鍵。　　　　5.在“重命名用戶”對話框中，改變“全名”、“名”、“姓”、“顯示名”、“用戶登錄名”以及“用戶登錄名”（Windows 2000 前版本）使之匹配假想的帳戶名，然後單擊“確定”。　　　　6.在詳細信息窗格中，右鍵單擊新建的用戶名，然後單擊“屬性”。　　　　7.單擊“常規”選項卡。 在“說明”框中，刪除管理計算機/域的內置帳戶，然後鍵入與其他用戶帳戶類似的說明（對於許多組織，此值為空）。　　　　8.單擊“確定”。　　　　重命名默認的本地管理員帳戶　　　　1.作為本地管理員組成員（但不是內置管理員帳戶）登錄，然後在計算機管理控制台中打開本地用戶和組管理單元工具。　　　　2.在控制台樹中，展開“本地用戶和組”，然後單擊“用戶”。　　　　3.在詳細信息窗格中，右鍵單擊“管理員”，然後單擊“重命名”。　　　　4.鍵入假想的名和姓，然後按 ENTER 鍵。　　　　5.在詳細信息窗格中，右鍵單擊新建的用戶名，然後單擊“屬性”。　　　　6.單擊“常規”選項卡。 在“全名”框中，鍵入新的全名。 在“說明”框中，刪除管理計算機/域的內置帳戶，然後鍵入與其他用戶帳戶類似的說明（對於許多組織，此值為空）。　　　　7.單擊“確定”。　　　　注：另外，您還可以使用組策略對象 (GPO) 設置在多台計算機上重命名默認管理員帳戶。 但是，此設置不允許您修改默認說明。 有關詳細信息，請參閱 ?scid=kb;en-us;816109 上的知識庫文章如何在 Windows Server 2003 中重命名管理員帳戶和來賓帳戶。　　　　創建虛假管理員帳戶　　　　創建虛假管理員帳戶將增加一個附加的保護層。 這樣可以引誘企圖對管理員帳戶實施密碼攻擊的攻擊者去攻擊沒有特權的帳戶，因此攻擊者很難發現您的已命名的管理員帳戶。 另一種好辦法是，通過確保此虛假帳戶不被鎖定，並為此帳戶設置強密碼，延緩攻擊者進行攻擊。 在創建虛假帳戶之後，您應該確保此帳戶不是有特權的安全組成員，然後監視此帳戶的使用，查看是否出現登錄失敗等意外活動。 有關詳細信息，請參閱 上的知識庫文章 Securing Active Directory Administrative Groups and Accounts。　　　　在域中創建虛