為什麼使管理員帳戶更安全十分重要 使管理員帳戶盡可能安全是對組織的網絡資產提供全面保護不可或缺的。 您需要保護管理員可能使用的每台計算機,包括域控制器、服務器以及他們使用的任何工作站。 組織的 IT 組應該盡可能安全地維護域控制器和證書頒發機構服務器,因為這些均被視為非常值得信賴的資產。 您還必須將管理員的台式和移動計算機作為受信任資產進行保護,因為管理員使用它們來遠程管理林、域和基礎結構。 頻繁連接到域控制器的成員服務器需要高特權才能連接並提供服務。 由於這通常要求服務器保留提升憑據(通常是域級管理權限),任何一台服務器遭到破壞可以立即導致整個域受到破壞。 例如,攻擊者可能控制單台成員服務器並將該服務器作為著眼點對整個域發起攻擊。 當跨林或域使用安全環境信任時,5自學網,使域管理員帳戶盡可能安全尤為重要。 組織必須能夠假設他們可以在所有信任域中使用域帳戶,以及跨所有域對管理員帳戶應用同樣高的保護標准。 例如,假定有一個根域 Test.com 以及兩個子域 TestA.com 和 TestB.com。如果 TestB.com 的管理員被顯式地授予了 TestA.com 的管理特權或者是整個目錄林范圍內 Enterprise Admins 組的成員,自學教程,那麼它無法保護 TestA.com 上的管理員帳戶。原因在於,如果 TestB.com 中的管理員帳戶不安全,TestB.com 不安全域中的入侵者可能獲取安全 TestA.com 域的管理訪問權限。 為什麼不應該以管理員身份登錄計算機 如果您定期以管理員身份登錄計算機從而執行基於常用應用程序的任務,則您的計算機容易遭受惡意軟件攻擊以及其他安全威脅,因為惡意軟件將使用您登錄時使用的相同特權運行。 如果訪問 Internet 站點或打開電子郵件附件,則可以損壞計算機,因為可能在您的計算機上部署將下載並執行的惡意代碼。 如果您以本地計算機的管理員身份登錄,惡意代碼可以重新格式化您的硬盤驅動器、刪除您的文件並新建擁有管理特權的用戶帳戶等等。 如果您作為 Active Directory? 目錄服務中的 Domain Admins 組、Enterprise Admins 組或 Schema Admins 組的成員登錄,惡意代碼可以新建有管理訪問權限或使架構、配置或域數據瀕臨風險的域用戶帳戶。 在本地計算機上,您應該僅將您的域用戶帳戶添加到 Users 組(而不是 Administrators 組),從而執行常規任務(如運行程序或訪問 Internet 站點。 當需要在本地計算機上或者 Active Directory 中執行管理任務時,使用“運行方式”命令啟動具有管理憑據的程序。 “運行方式”命令允許您完成管理任務的同時計算機或 Active Directory 數據遭受較小風險。 有關如何使用 Run as 命令的詳細信息,請參閱本指南第 3 章“使管理員帳戶更安全的指導原則”中的“使用 Secondary Logon 服務”一節。 注意: 有關在 Microsoft? Windows? 2000、Windows XP 和 Windows Server? 2003 中使用“運行方式”的詳細信息,請參閱知識庫文章 294676、305780、325859 和 325362。您可以通過搜索支持知識庫 (KB) 網站的編號找到這些文章,網址為 ?scid=fh;en-us;KBHOWTO 管理帳戶和組概述 許多管理用戶帳戶和組的憑據可以用於登錄計算機或域。 Active Directory 域中的管理帳戶包括: Administrator 帳戶,它是在域的第一個域控制器上安裝 Active Directory 時創建的。 這是該域中權限最高的帳戶。 在計算機上安裝 Active Directory 的人在安裝過程中將為該帳戶創建密碼。 如果該域是林中創建的第一個域,它會自動成為林根域,因此包含 Enterprise Admins 組。 默認情況下,此林根域的 Administrator 帳戶是 Enterprise Admins 組的成員,同樣擁有整個林的管理特權。 默認情況下,每個域中創建的第一個管理員帳戶也是每個域中加密文件系統 (EFS) 的數據恢復代理 (DRA)。 後來創建的、並直接分配了管理特權或放置到具有管理特權的組的帳戶。 使用 EFS 數據恢復代理證書、注冊代理證書或密鑰恢復代理證書的帳戶。 使用這些代理證書的帳戶是非常強大的帳戶,也應該受到保護。 例如,某人擁有注冊代理證書之後,他們可以代表組織中的任何人注冊證書並生成智能卡。 然後,生成的智能卡可以用於登錄到網絡並模擬真正的用戶。 由於這些代理證書帳戶功能強大,建議組織對擁有這些證書的人員實施堅固的安全策略。 Active Directory 域中管理組的數目會有所不同,這具體取決於安裝的服務。 特定用於 Active Directory 的管理的組包括: 已經存在於“Builtin”容器中的管理組;例如,Account Operators 和 Server Operators。 注意,“Builtin”容器中的組不能被移到其他位置。 已經存在於“Users”容器中的管理組;例如,Domain Admins 和 Group Policy Creator Owners。 後來創建的、並放置到具有管理特權的組中或直接分配了管理特權的組。 域環境中的默認管理組和帳戶是: Enterprise Admins(僅存在於林根域中) Domain Admins(存在於所有域中) Schema Admins(僅存在於林根域中) Group Policy Creator Owners(僅存在於林根域中) 管理員組 管理員組帳戶 DS Restore Mode Administrator(僅在“目錄服務還原模式”時可用。 此帳戶對域控制器來說是本地的,不是域級帳戶。 當在計算機上安裝 Active Directory 時設置此帳戶的密碼。) 有關每個管理帳戶和組的完整描述,請參閱 Windows Server 2003 幫助和支持中心中的“默認組:Active Directory”和“用戶和計算機帳戶”主題。 管理員帳戶類型 本質上說,存在三類登錄到計算機或域的管理員帳戶。 每一類別均有獨特的能力和特權。 本地管理員帳戶。 此類包括首次在計算機上安裝 Windows Server 2003 時所創建的內置 Administrator 帳戶。 此類還包括任何其他後續創建和添加到內置本地 Administrators 組的用戶帳戶。 此組的成員對本地計算機擁有完全的、無限制的訪問權限。
域管理員帳戶。 此類包括首次安裝 Active Directory 時 Active Directory 所創建和使用的內置域 Administrator 帳戶。 此類還包括任何其他後續創建和添加到內置本地 Administrators 組或 Domain Admins 組的用戶帳戶。 這些組的成員對域有完全的、無限制的訪問權限,如果未受到正確保護,則對整個林有完全的、無限制的訪問權限。 林管理員帳戶。 此類包括在林中創建的第一個域(稱為林根域)中的內置域 Administrator 帳戶,因為安裝 Active Directory 時,林根域中的 Administrator 帳戶會自動添加到 Enterprise Admins 組。 此類還包括任何其他後續創建和添加到 Enterprise Admins 組的用戶帳戶。 Enterprise Admins 組的成員對整個林擁有完全的、無限制的訪問權限。 Enterprise Admins 還可以安裝“證書頒發機構”,然後可以用於模擬林中的任何用戶。 使管理員帳戶更安全的原則 當規劃如何使管理帳戶更安全時,您應該: 采用最小特權這一原則 遵循使管理員帳戶更安全的最佳做法指導原則 最小特權原則 大多數與安全相關的培訓課程和文檔討論最小特權原則的實施,然而組織卻很少遵循。 該原則非常簡單,正確地運用它會大大增加安全性和降低風險。 該原則規定,所有用戶應該使用僅具有完成當前任務所需的絕對最小權限的用戶帳戶登錄。 這樣做可以對抗其他攻擊中的惡意代碼。 此原則適用於計算機和那些計算機的用戶。 此原則如此有效的一個原因是它強制您執行某些內部調查。 例如,您必須確定計算機或用戶真正需要的訪問特權,然後實施這些特權。 對於許多組織來說,此任務最初看似要做大量工作;但是,它是成功保護網絡環境安全的基本步驟。 您應該借鑒最小特權的概念向所有域管理員用戶授予域特權。 例如,如果某管理員使用特權帳戶登錄並無意間執行了病毒程序,那麼該病毒對本地計算機和整個域有管理訪問權限。 相反,如果管理員使用非特權(非管理)帳戶登錄,由於病毒是以本地計算機用戶運行的,它的破壞范圍僅僅是本地計算機。 再舉另一個例子,您授予其域級管理員權限的帳戶不能擁有其他林的提升權限,即使林之間存在信任關系。 如果攻擊者設法破壞某個受管理的林,這一策略幫助防止大范圍破壞。 組織應該定期審核其網絡,從而防止未經授權的特權提升。 使管理帳戶更安全的最佳做法 為更安全地使用 Windows Server 2003 中的管理帳戶而應遵循的最佳做法指導原則包括: 區分域管理員和企業管理員角色。 區分用戶帳戶和管理員帳戶。 使用 Secondary Logon 服務。 運行單獨的“Terminal Services”會話進行管理。 重命名默認管理員帳戶。 創建虛假管理員帳戶。 創建次要管理員帳戶並禁用內置管理員帳戶。 為遠程管理員登錄啟用帳戶鎖定。 創建強管理員密碼。 自動掃描弱密碼。 僅在受信任計算機上使用管理憑據。 定期審核帳戶和密碼。 禁止帳戶委派。 控制管理登錄過程。 有關這些最佳做法指導原則的詳細信息,請參閱下文。
