使管理员帐户更安全的指导原则

　　使管理员帐户更安全的指导原则概述　　　　每次安装新的 Active Directory? 目录服务之后，就会为每个域创建一个管理员帐户。 默认情况下，不能删除或锁定此帐户。 在 Microsoft? Windows Server? 2003 中，可以禁用管理员帐户，但以安全模式启动计算机时，会自动重新启用此帐户。　　　　企图攻击计算机的恶意用户通常先查找有效帐户，然后尝试升级此帐户的权限。 另外，他可能还利用猜测密码技术窃取管理员帐户密码。 由于此帐户具有许多权限且不能被锁定，恶意用户以此帐户为攻击对象。 他可能还试图引诱管理员执行某些将授予攻击者权限的恶意代码。　　　　区分域管理员角色和企业管理员角色　　　　由于企业管理员角色在目录林环境下具有最终权限，您必须执行以下两个操作之一，以确保很好地控制它的使用。 您可以创建并选择一个受到完善保护的帐户作为 Enterprise Admins 的成员，或者选择不使用这些凭据设置帐户，而是仅在需要这些特权的授权任务要求创建此类帐户时才创建。 在此帐户完成任务之后，您应该立即删除临时 Enterprise Admins 帐户。　　　　区分用户帐户和管理员帐户　　　　对于担任管理员角色的每个用户，您应该创建两个帐户： 一个普通用户帐户，执行典型日常任务（例如电子邮件和其他程序）；一个管理帐户，仅执行管理任务。 您不应使用管理帐户来发送电子邮件、运行标准程序或浏览 Internet。 每个帐户必须拥有唯一的密码。 这些简单的防范措施大大地降低了帐户被攻击的风险，并缩短了管理帐户登录到计算机或域所需的时间。　　　　使用 Secondary Logon 服务　　　　在 Microsoft Windows? 2000, Windows XP Professional 和 Windows Server 2003 中，您可以作为与当前登录的用户不同的用户运行程序。 在 Windows 2000 中，Run as 服务提供此功能，在 Windows XP 和 Windows Server 2003 中，它称为 Secondary Logon 服务。 Run as 和 Secondary Logon 服务是名称不同的相同服务。　　　　Secondary Logon 允许管理员使用非管理帐户登录到计算机，无须注销，只需在管理环境中运行受信任的管理程序即可执行管理任务。　　　　Secondary Logon 服务解决了运行可能易受恶意代码攻击的程序的管理员提出的安全风险问题；例如，使用管理权限登录、访问不受信任的网站的用户。　　　　Secondary Logon 主要适用于系统管理员；但是，任何拥有多个帐户、需要在不同帐户环境中无需注销即可启动程序的用户也可以使用它。　　　　Secondary Logon 服务设置为自动启动，使用运行方式工具作为其用户界面，使用 runas.exe 作为其命令行界面。 通过使用运行方式，您可以运行程序 (*.exe)、保存的 Microsoft 管理控制台 (MMC) 控制台 (*.msc)、程序快捷方式及“控制面板”中的项目。 即使您使用没有管理权限的标准用户帐户登录，只要您在系统提示输入适当的管理用户帐户和密码凭据时输入它们，您就可以作为管理员运行这些程序。　　　　如果您拥有其他域的管理帐户的凭据，运行方式允许您管理其他域或目录林中的服务器。　　　　注：不能使用运行方式启动某些项目，例如桌面上的打印机文件夹、我的电脑和网上邻居。　　　　使用运行方式　　　　可以通过多种方法来使用运行方式：　　　　使用运行方式来启动使用域管理员帐户凭据的命令解释器　　　　1.单击“开始”，然后单击“运行”。　　　　2.在“运行”对话框中，键入 runas /user:<domain_name>\administrator cmd（其中 <domain_name> 是您的域名），然后单击“确定”。　　　　3.当系统提示输入 domain_name\administrator 帐户的密码时，键入管理员帐户的密码，然后按 ENTER 键。　　　　4.一个新控制台窗口打开，表示正在管理环境中运行。 此控制台标题标识为作为domain_name\administrator 运行。　　　　使用运行方式来运行“控制面板”中的项目　　　　1.在 Windows XP 或 Windows Server 2003 中，依次单击“开始”、“控制面板”。　　　　2.按住 SHIFT 键，同时右键单击您要在管理环境中运行的工具或程序（例如，“添加硬件”）。　　　　3.在快捷方式菜单上，单击“运行方式”。　　　　4.在“运行身份”对话框中，单击“下列用户”，然后键入相应的域名、管理员帐户名和密码；例如：　　　　CORPDOMAIN\Administrator　　　　P@ssw0rd　　　　5.单击“确定”。此程序在管理环境中运行。　　　　使用运行方式来打开“开始”菜单中的程序（例如 Active Directory 用户和计算机）　　　　1.在 Windows Server 2003 中，单击“开始”，指向“管理工具”，然后右键单击“Active Directory 用户和计算机”。　　　　2.在快捷方式菜单上，单击“运行方式”。　　　　您还可以使用可执行命令行实用程序 runas.exe 来运行程序，并从命令行启动管理控制台。　　　　在本地计算机上作为管理员启动命令提示符实例　　　　1.单击“开始”，然后单击“运行”。　　　　2.在“运行”对话框中，键入 runas /user:<localcomputername>\administrator cmd 。　　　　3.单击“确定”。　　　　4.出现提示时，在命令提示符窗口中键入管理员密码，然后按 ENTER 键。　　　　在corpdomain域中使用称为 domainadmin的域管理员帐户启动“计算机管理”管理单元实例　　　　1.单击“开始”，然后单击“运行”。　　　　2.在“运行”对话框中，键入 runas /user:<corpdomain>\<domainadmin> "mmc %windir%\system32\compmgmt.msc"　　　　3.单击“确定”。　　　　4.出现提示时，在命令提示符窗口中键入帐户密码，然后按 ENTER 键。　　　　您还可以使用 runas.exe 来运行程序，并使用智能卡凭据从命令行启动管理控制台。 　　　　使用智能卡凭据在本地计算机上作为管理员启动命令提示符实例　　　　1.单击“开始”，然后单击“运行”。　　　　2.在“运行”对话框中，键入 runas /smartcard /user:<localcomputername>\administrator cmd　　　　3.单击“确定”。　　　　4.出现提示时，在命令提示符窗口中键入智能卡的 PIN 号，然后按 ENTER 键。　　　　注：不能输入密码作为 runas.exe 的命令行参数，因为这样不安全。　　　　运行用于管理的单独的“终端服务”会话　　　　运行方式是管理员在更改其本地计算机时最常用的方法，也可能是执行某些业务线程序的最常用方法。 对于 IT 管理任务，您可以使用终端服务来连接到您需要管理的服务器。 此方法大大简化了管理多台远程服务器的工作，无需物理访问每台远程服务器，而且不需要您具备在服务器上交互式登录的权限。 要使用此方法，请使用普通用户帐户凭据登录，然后作为域管理员运行“终端服务”会话。 您只能在“终端服务”会话窗口中执行域管理任务。　　　　重命名默认管理员帐户　　　　当您重命名默认管理员帐户时，没有明显指示此帐户具有提升的特权。 虽然攻击者仍需要通过密码使用默认管理员帐户，但是已命名的默认管理员帐户应该添加一道附加的保护层，以防止遭受特权提升的攻击。 一种方法是使用假想姓和名，并与其他用户名的格式相同。　　　　注：重命名默认管理员帐户只能阻止某些类型的攻击。 由于此帐户的安全 ID 始终相同，攻击者判断哪个帐户是默认管理员帐户相对比较容易。 另外，工具可以枚举组成员，并始终先列出原始管理员帐户。 为了最好地防止对您的内置管理员帐户进行攻击，请创建新的管理帐户，然后禁用内置帐户。　　　　在域中重命名默认管理员帐户　　　　1.作为 Domain Admins 组成员（但不是内置管理员帐户）登录，然后打开“Active Directory 用户和计算机”。　　　　2.在控制台树中，单击“用户”。　　　　3.在详细信息窗格中，右键单击“管理员”，然后单击“重命名”。　　　　4.键入假想的名和姓，然后按 ENTER 键。　　　　5.在“重命名用户”对话框中，改变“全名”、“名”、“姓”、“显示名”、“用户登录名”以及“用户登录名”（Windows 2000 前版本）使之匹配假想的帐户名，然后单击“确定”。　　　　6.在详细信息窗格中，右键单击新建的用户名，然后单击“属性”。　　　　7.单击“常规”选项卡。 在“说明”框中，删除管理计算机/域的内置帐户，然后键入与其他用户帐户类似的说明（对于许多组织，此值为空）。　　　　8.单击“确定”。　　　　重命名默认的本地管理员帐户　　　　1.作为本地管理员组成员（但不是内置管理员帐户）登录，然后在计算机管理控制台中打开本地用户和组管理单元工具。　　　　2.在控制台树中，展开“本地用户和组”，然后单击“用户”。　　　　3.在详细信息窗格中，右键单击“管理员”，然后单击“重命名”。　　　　4.键入假想的名和姓，然后按 ENTER 键。　　　　5.在详细信息窗格中，右键单击新建的用户名，然后单击“属性”。　　　　6.单击“常规”选项卡。 在“全名”框中，键入新的全名。 在“说明”框中，删除管理计算机/域的内置帐户，然后键入与其他用户帐户类似的说明（对于许多组织，此值为空）。　　　　7.单击“确定”。　　　　注：另外，您还可以使用组策略对象 (GPO) 设置在多台计算机上重命名默认管理员帐户。 但是，此设置不允许您修改默认说明。 有关详细信息，请参阅 http://support.microsoft.com/default.aspx?scid=kb;en-us;816109 上的知识库文章如何在 Windows Server 2003 中重命名管理员帐户和来宾帐户。　　　　创建虚假管理员帐户　　　　创建虚假管理员帐户将增加一个附加的保护层。 这样可以引诱企图对管理员帐户实施密码攻击的攻击者去攻击没有特权的帐户，因此攻击者很难发现您的已命名的管理员帐户。 另一种好办法是，通过确保此虚假帐户不被锁定，并为此帐户设置强密码，延缓攻击者进行攻击。 在创建虚假帐户之后，您应该确保此帐户不是有特权的安全组成员，然后监视此帐户的使用，查看是否出现登录失败等意外活动。 有关详细信息，请参阅 www.microsoft.com/technet/security/topics/networksecurity/sec_ad_admin_groups.mspx 上的知识库文章 Securing Active Directory Administrative Groups and Accounts。　　　　在域中创建虚假管理员帐户　　　　1.作为 Domain Admins 组成员登录，然后打开“Active Directory 用户和计算机”。　　　　2.右键单击“Users”容器，指向“新建”，然后单击“用户”。　　　　3.在“名”和“用户登录名”中键入 Administrator，然后单击“下一步”。　　　　4.键入并确认密码。　　　　5.清除“用户下次登录时须更改密码”复选框，然后单击“下一步”。　　　　6.验证虚假帐户信息是否正确，然后单击“完成”。　　　　7.在详细信息窗格中，右键单击“管理员”，然后单击“属性”。　　　　8.单击“常规”选项卡。 在“说明”框中，键入管理计算机/域的内置帐户，然后单击“确定”。　　　　创建虚假的本地管理员帐户　　　　1.作为本地管理员组成员登录，然后在计算机管理控制台中打开本地用户和组管理单元工具。　　　　2.在控制台树中，展开“本地用户和组”。　　　　3.右键单击“Users”容器，然后单击“新建用户”。　　　　4.在“用户名”框中，键入 Administrator。 在“说明”框中，键入管理计算机/域的内置帐户。　　　　5.键入并确认密码。　　　　6.清除“用户下次登录时须更改密码”复选框。　　　　7.单击“创建”。　　　　 创建次要管理员帐户并禁用内置帐户　　　　即使您不使用管理的终端服务，或允许非管理用户访问您的服务器，最好的做法是创建其他用户作为管理服务器的次要管理员帐户。 您应该将此用户设置为管理员组成员。 在创建次要帐户之后，您可以禁用内置管理员帐户。　　　　创建次要管理员帐户　　　　1.作为管理员登录，然后打开“Active Directory 用户和计算机”。　　　　2.右键单击“Users”容器，指向“新建”，然后单击“用户”。　　　　3.在“名”和“用户登录名”中键入<用户名>，然后单击“下一步”。　　　　4.键入并确认强密码。　　　　5.清除“用户下次登录时须更改密码”复选框，然后单击“下一步”。　　　　6.验证帐户信息是否正确，然后单击“完成”。　　　　7.在详细信息窗格中，右键单击“用户名”，然后单击“属性”。　　　　8.单击“成员属于”选项卡，单击“添加”，键入 administrators，单击“检查名称”，然后单击“确定”。　　　　9.再次单击“确定”关闭“属性”页。　　　　禁用内置管理员帐户　　　　1.作为您刚创建的次要管理员帐户登录，然后打开“Active Directory 用户和计算机”　　　　2.单击“Users”容器，右键单击内置管理员帐户名称，然后单击“属性”。　　　　3.单击“帐户”选项卡。　　　　4.在“帐户选项”下，向下滚动，然后选择“帐户已停用”复选框。　　　　5.单击“确定”。　　　　警告：在禁用内置管理员帐户时，您必须确定是否存在具有相应的管理员特权的其他帐户。 如果您在没有确定是否有其他帐户的情况下禁用内置管理员帐户，您可能会失去对域的管理权，您可能需要执行系统还原或重新安装系统才能重新获得管理权。　　　　为远程管理员登录启用帐户锁定　　　　阻止攻击者使用内置管理员帐户和密码凭据的一种方法是，根据帐户策略，允许管理员帐户在发生特定次数的登录失败之后被锁定在网络之外。 默认情况下，不能锁定内置管理员帐户；但是，您可以使用 passprop.exe（Microsoft Windows 2000 Server Resource Kit 中的命令行程序）为使用管理员帐户的远程登录启用帐户锁定。 在使用 /ADMINLOCKOUT 开关运行 passprop 实用程序时，您应该确保管理员帐户受帐户锁定策略约束。 在 Windows 2000 Server 中，这仅适用于远程登录，因为无法在本地计算机上锁定内置管理员帐户，此程序允许您保护管理员帐户免受网络攻击，但是仍允许交互式访问。　　　　警告：在 Windows Server 2003 中，passprop 允许您通过交互式登录和远程登录来锁定内置管理员帐户。　　　　您可以使用 passprop 附带的下列帐户锁定开关：　　　　passprop [/adminlockout] [/noadminlockout]　　　　/adminlockout 开关用于锁定管理员。　　　　/noadminlockout 开关用于取消锁定管理员。　　　　注：在启用此设置时，管理员帐户将被锁定，任何人都无法使用管理员帐户进行远程管理。　　　　创建强管理员密码　　　　使用内置管理员帐户的强密码。 强密码可以最大程度地减少猜测密码并获得管理员帐户凭据的攻击者的攻击。 强管理员帐户密码应该：　　　　至少包含 15 个字符。　　　　不包含帐户名、实际姓名或公司名称。　　　　不包含字典中的完整单词、任何语言中的俚语或行话。　　　　要明显不同于以前的密码。 递增的密码（Password1、Password2、Password3...）不是强密码。　　　　包含来自下表中列出的五组中三组以上的字符。　　　　表 3.1 强管理员密码的字符类型　　　　字符类型　　　　　　　　 示例　　　　大写字母　　　　　　　　A、B、C...　　　　小写字母　　　　　　　　a、b、c...　　　　数字　　　　　　　　　　0、1、2、3...　　　　非字母数字键盘符号　　　` ~ ! @ # $ % ^ & * ( ) _ - = { } | [ ] \ : " ; ' < > ? , . /　　　　Unicode 字符