使管理員賬戶更安全的指導原則

每次安裝新的 Active Directory? 目錄服務以後，就會爲每一個域建立一個管理員賬戶。 默認狀況下，不能刪除或鎖定此賬戶。 在 Microsoft? Windows Server? 2003 中，能夠禁用管理員賬戶，但以安全模式啓動計算機時，會自動從新啓用此賬戶。
　　
　　企圖***計算機的惡意用戶一般先查找有效賬戶，而後嘗試升級此賬戶的權限。 另外，他可能還利用猜想密碼技術竊取管理員賬戶密碼。 因爲此賬戶具備許多權限且不能被鎖定，惡意用戶以此賬戶爲***對象。 他可能還試圖引誘管理員執行某些將授予***者權限的惡意代碼。
　　
　　區分域管理員角色和企業管理員角色
　　
　　因爲企業管理員角色在目錄林環境下具備最終權限，您必須執行如下兩個操做之一，以確保很好地控制它的使用。 您能夠建立並選擇一個受到完善保護的賬戶做爲 Enterprise Admins 的成員，或者選擇不使用這些憑據設置賬戶，而是僅在須要這些特權的受權任務要求建立此類賬戶時才建立。 在此賬戶完成任務以後，您應該當即刪除臨時 Enterprise Admins 賬戶。
　　
　　區分用戶賬戶和管理員賬戶
　　
　　對於擔任管理員角色的每一個用戶，您應該建立兩個賬戶： 一個普通用戶賬戶，執行典型平常任務（例如電子郵件和其餘程序）；一個管理賬戶，僅執行管理任務。 您不該使用管理賬戶來發送電子郵件、運行標準程序或瀏覽 Internet。 每一個賬戶必須擁有惟一的密碼。 這些簡單的防範措施大大地下降了賬戶被***的風險，並縮短了管理賬戶登陸到計算機或域所需的時間。
　　
　　使用 Secondary Logon 服務
　　
　　在 Microsoft Windows? 2000, Windows XP Professional 和 Windows Server 2003 中，您能夠做爲與當前登陸的用戶不一樣的用戶運行程序。 在 Windows 2000 中，Run as 服務提供此功能，在 Windows XP 和 Windows Server 2003 中，它稱爲 Secondary Logon 服務。 Run as 和 Secondary Logon 服務是名稱不一樣的相同服務。
　　
　　Secondary Logon 容許管理員使用非管理賬戶登陸到計算機，無須註銷，只需在管理環境中運行受信任的管理程序便可執行管理任務。
　　
　　Secondary Logon 服務解決了運行可能易受惡意代碼***的程序的管理員提出的安全風險問題；例如，使用管理權限登陸、訪問不受信任的網站的用戶。
　　
　　Secondary Logon 主要適用於系統管理員；可是，任何擁有多個賬戶、須要在不一樣賬戶環境中無需註銷便可啓動程序的用戶也可使用它。
　　
　　Secondary Logon 服務設置爲自動啓動，使用運行方式工具做爲其用戶界面，使用 runas.exe 做爲其命令行界面。 經過使用運行方式，您能夠運行程序 (*.exe)、保存的 Microsoft 管理控制檯 (MMC) 控制檯 (*.msc)、程序快捷方式及「控制面板」中的項目。 即便您使用沒有管理權限的標準用戶賬戶登陸，只要您在系統提示輸入適當的管理用戶賬戶和密碼憑據時輸入它們，您就能夠做爲管理員運行這些程序。
　　
　　若是您擁有其餘域的管理賬戶的憑據，運行方式容許您管理其餘域或目錄林中的服務器。
　　
　　注：不能使用運行方式啓動某些項目，例如桌面上的打印機文件夾、個人電腦和網上鄰居。
　　
　　使用運行方式
　　
　　能夠經過多種方法來使用運行方式：
　　
　　使用運行方式來啓動使用域管理員賬戶憑據的命令解釋器
　　
　　1.單擊「開始」，而後單擊「運行」。
　　
　　2.在「運行」對話框中，鍵入 runas /user:<domain_name>\administrator cmd（其中 <domain_name> 是您的域名），而後單擊「肯定」。
　　
　　3.當系統提示輸入 domain_name\administrator 賬戶的密碼時，鍵入管理員賬戶的密碼，而後按 ENTER 鍵。
　　
　　4.一個新控制檯窗口打開，表示正在管理環境中運行。 此控制檯標題標識爲做爲domain_name\administrator 運行。
　　
　　使用運行方式來運行「控制面板」中的項目
　　
　　1.在 Windows XP 或 Windows Server 2003 中，依次單擊「開始」、「控制面板」。
　　
　　2.按住 SHIFT 鍵，同時右鍵單擊您要在管理環境中運行的工具或程序（例如，「添加硬件」）。
　　
　　3.在快捷方式菜單上，單擊「運行方式」。
　　
　　4.在「運行身份」對話框中，單擊「下列用戶」，而後鍵入相應的域名、管理員賬戶名和密碼；例如：
　　
　　CORPDOMAIN\Administrator
　　
　　P@ssw0rd
　　
　　5.單擊「肯定」。此程序在管理環境中運行。
　　
　　使用運行方式來打開「開始」菜單中的程序（例如 Active Directory 用戶和計算機）
　　
　　1.在 Windows Server 2003 中，單擊「開始」，指向「管理工具」，而後右鍵單擊「Active Directory 用戶和計算機」。
　　
　　2.在快捷方式菜單上，單擊「運行方式」。
　　
　　您還可使用可執行命令行實用程序 runas.exe 來運行程序，並從命令行啓動管理控制檯。
　　
　　在本地計算機上做爲管理員啓動命令提示符實例
　　
　　1.單擊「開始」，而後單擊「運行」。
　　
　　2.在「運行」對話框中，鍵入 runas /user:<localcomputername>\administrator cmd 。
　　
　　3.單擊「肯定」。
　　
　　4.出現提示時，在命令提示符窗口中鍵入管理員密碼，而後按 ENTER 鍵。
　　
　　在corpdomain域中使用稱爲 domainadmin的域管理員賬戶啓動「計算機管理」管理單元實例
　　
　　1.單擊「開始」，而後單擊「運行」。
　　
　　2.在「運行」對話框中，鍵入 runas /user:<corpdomain>\<domainadmin> "mmc %windir%\system32\compmgmt.msc"
　　
　　3.單擊「肯定」。
　　
　　4.出現提示時，在命令提示符窗口中鍵入賬戶密碼，而後按 ENTER 鍵。
　　
　　您還可使用 runas.exe 來運行程序，並使用智能卡憑據從命令行啓動管理控制檯。
　　
　　使用智能卡憑據在本地計算機上做爲管理員啓動命令提示符實例
　　
　　1.單擊「開始」，而後單擊「運行」。
　　
　　2.在「運行」對話框中，鍵入 runas /smartcard /user:<localcomputername>\administrator cmd
　　
　　3.單擊「肯定」。
　　
　　4.出現提示時，在命令提示符窗口中鍵入智能卡的 PIN 號，而後按 ENTER 鍵。
　　
　　注：不能輸入密碼做爲 runas.exe 的命令行參數，由於這樣不安全。
　　
　　運行用於管理的單獨的「終端服務」會話
　　
　　運行方式是管理員在更改其本地計算機時最經常使用的方法，也多是執行某些業務線程序的最經常使用方法。 對於 IT 管理任務，您可使用終端服務來鏈接到您須要管理的服務器。 此方法大大簡化了管理多臺遠程服務器的工做，無需物理訪問每臺遠程服務器，並且不須要您具有在服務器上交互式登陸的權限。 要使用此方法，請使用普通用戶賬戶憑據登陸，而後做爲域管理員運行「終端服務」會話。 您只能在「終端服務」會話窗口中執行域管理任務。
　　
　　重命名默認管理員賬戶
　　
　　當您重命名默認管理員賬戶時，沒有明顯指示此賬戶具備提高的特權。 雖然***者仍須要經過密碼使用默認管理員賬戶，可是已命名的默認管理員賬戶應該添加一道附加的保護層，以防止遭受特權提高的***。 一種方法是使用假想姓和名，並與其餘用戶名的格式相同。
　　
　　注：重命名默認管理員賬戶只能阻止某些類型的***。 因爲此賬戶的安全 ID 始終相同，***者判斷哪一個賬戶是默認管理員賬戶相對比較容易。 另外，工具能夠枚舉組成員，並始終先列出原始管理員賬戶。 爲了最好地防止對您的內置管理員賬戶進行***，請建立新的管理賬戶，而後禁用內置賬戶。
　　
　　在域中重命名默認管理員賬戶
　　
　　1.做爲 Domain Admins 組成員（但不是內置管理員賬戶）登陸，而後打開「Active Directory 用戶和計算機」。
　　
　　2.在控制檯樹中，單擊「用戶」。
　　
　　3.在詳細信息窗格中，右鍵單擊「管理員」，而後單擊「重命名」。
　　
　　4.鍵入假想的名和姓，而後按 ENTER 鍵。
　　
　　5.在「重命名用戶」對話框中，改變「全名」、「名」、「姓」、「顯示名」、「用戶登陸名」以及「用戶登陸名」（Windows 2000 前版本）使之匹配假想的賬戶名，而後單擊「肯定」。
　　
　　6.在詳細信息窗格中，右鍵單擊新建的用戶名，而後單擊「屬性」。
　　
　　7.單擊「常規」選項卡。 在「說明」框中，刪除管理計算機/域的內置賬戶，而後鍵入與其餘用戶賬戶相似的說明（對於許多組織，此值爲空）。
　　
　　8.單擊「肯定」。
　　
　　重命名默認的本地管理員賬戶
　　
　　1.做爲本地管理員組成員（但不是內置管理員賬戶）登陸，而後在計算機管理控制檯中打開本地用戶和組管理單元工具。
　　
　　2.在控制檯樹中，展開「本地用戶和組」，而後單擊「用戶」。
　　
　　3.在詳細信息窗格中，右鍵單擊「管理員」，而後單擊「重命名」。
　　
　　4.鍵入假想的名和姓，而後按 ENTER 鍵。
　　
　　5.在詳細信息窗格中，右鍵單擊新建的用戶名，而後單擊「屬性」。
　　
　　6.單擊「常規」選項卡。 在「全名」框中，鍵入新的全名。 在「說明」框中，刪除管理計算機/域的內置賬戶，而後鍵入與其餘用戶賬戶相似的說明（對於許多組織，此值爲空）。
　　
　　7.單擊「肯定」。
　　
　　注：另外，您還可使用組策略對象 (GPO) 設置在多臺計算機上重命名默認管理員賬戶。 可是，此設置不容許您修改默認說明。 有關詳細信息，請參閱 http://support.microsoft.com/default.aspx?scid=kb;en-us;816109 上的知識庫文章如何在 Windows Server 2003 中重命名管理員賬戶和來賓賬戶。
　　
　　建立虛假管理員賬戶
　　
　　建立虛假管理員賬戶將增長一個附加的保護層。 這樣能夠引誘企圖對管理員賬戶實施密碼***的***者去***沒有特權的賬戶，所以***者很難發現您的已命名的管理員賬戶。 另外一種好辦法是，經過確保此虛假賬戶不被鎖定，併爲此賬戶設置強密碼，延緩***者進行***。 在建立虛假賬戶以後，您應該確保此賬戶不是有特權的安全組成員，而後監視此賬戶的使用，查看是否出現登陸失敗等意外活動。 有關詳細信息，請參閱 www.microsoft.com/technet/security/topics/networksecurity/sec_ad_admin_groups.mspx 上的知識庫文章 Securing Active Directory Administrative Groups and Accounts。
　　
　　在域中建立虛假管理員賬戶
　　
　　1.做爲 Domain Admins 組成員登陸，而後打開「Active Directory 用戶和計算機」。
　　
　　2.右鍵單擊「Users」容器，指向「新建」，而後單擊「用戶」。
　　
　　3.在「名」和「用戶登陸名」中鍵入 Administrator，而後單擊「下一步」。
　　
　　4.鍵入並確認密碼。
　　
　　5.清除「用戶下次登陸時須更改密碼」複選框，而後單擊「下一步」。
　　
　　6.驗證虛假賬戶信息是否正確，而後單擊「完成」。
　　
　　7.在詳細信息窗格中，右鍵單擊「管理員」，而後單擊「屬性」。
　　
　　8.單擊「常規」選項卡。 在「說明」框中，鍵入管理計算機/域的內置賬戶，而後單擊「肯定」。
　　
　　建立虛假的本地管理員賬戶
　　
　　1.做爲本地管理員組成員登陸，而後在計算機管理控制檯中打開本地用戶和組管理單元工具。
　　
　　2.在控制檯樹中，展開「本地用戶和組」。
　　
　　3.右鍵單擊「Users」容器，而後單擊「新建用戶」。
　　
　　4.在「用戶名」框中，鍵入 Administrator。 在「說明」框中，鍵入管理計算機/域的內置賬戶。
　　
　　5.鍵入並確認密碼。
　　
　　6.清除「用戶下次登陸時須更改密碼」複選框。
　　
　　7.單擊「建立」。
　　
　　建立次要管理員賬戶並禁用內置賬戶
　　
　　即便您不使用管理的終端服務，或容許非管理用戶訪問您的服務器，最好的作法是建立其餘用戶做爲管理服務器的次要管理員賬戶。 您應該將此用戶設置爲管理員組成員。 在建立次要賬戶以後，您能夠禁用內置管理員賬戶。
　　
　　建立次要管理員賬戶
　　
　　1.做爲管理員登陸，而後打開「Active Directory 用戶和計算機」。
　　
　　2.右鍵單擊「Users」容器，指向「新建」，而後單擊「用戶」。
　　
　　3.在「名」和「用戶登陸名」中鍵入<用戶名>，而後單擊「下一步」。
　　
　　4.鍵入並確認強密碼。
　　
　　5.清除「用戶下次登陸時須更改密碼」複選框，而後單擊「下一步」。
　　
　　6.驗證賬戶信息是否正確，而後單擊「完成」。
　　
　　7.在詳細信息窗格中，右鍵單擊「用戶名」，而後單擊「屬性」。
　　
　　8.單擊「成員屬於」選項卡，單擊「添加」，鍵入 administrators，單擊「檢查名稱」，而後單擊「肯定」。
　　
　　9.再次單擊「肯定」關閉「屬性」頁。
　　
　　禁用內置管理員賬戶
　　
　　1.做爲您剛建立的次要管理員賬戶登陸，而後打開「Active Directory 用戶和計算機」
　　
　　2.單擊「Users」容器，右鍵單擊內置管理員賬戶名稱，而後單擊「屬性」。
　　
　　3.單擊「賬戶」選項卡。
　　
　　4.在「賬戶選項」下，向下滾動，而後選擇「賬戶已停用」複選框。
　　
　　5.單擊「肯定」。
　　
　　警告：在禁用內置管理員賬戶時，您必須肯定是否存在具備相應的管理員特權的其餘賬戶。 若是您在沒有肯定是否有其餘賬戶的狀況下禁用內置管理員賬戶，您可能會失去對域的管理權，您可能須要執行系統還原或從新安裝系統才能從新得到管理權。
　　
　　爲遠程管理員登陸啓用賬戶鎖定
　　
　　阻止***者使用內置管理員賬戶和密碼憑據的一種方法是，根據賬戶策略，容許管理員賬戶在發生特定次數的登陸失敗以後被鎖定在網絡以外。 默認狀況下，不能鎖定內置管理員賬戶；可是，您可使用 passprop.exe（Microsoft Windows 2000 Server Resource Kit 中的命令行程序）爲使用管理員賬戶的遠程登陸啓用賬戶鎖定。 在使用 /ADMINLOCKOUT 開關運行 passprop 實用程序時，您應該確保管理員賬戶受賬戶鎖定策略約束。 在 Windows 2000 Server 中，這僅適用於遠程登陸，由於沒法在本地計算機上鎖定內置管理員賬戶，此程序容許您保護管理員賬戶免受網絡***，可是仍容許交互式訪問。
　　
　　警告：在 Windows Server 2003 中，passprop 容許您經過交互式登陸和遠程登陸來鎖定內置管理員賬戶。
　　
　　您可使用 passprop 附帶的下列賬戶鎖定開關：
　　
　　passprop [/adminlockout] [/noadminlockout]
　　
　　/adminlockout 開關用於鎖定管理員。
　　
　　/noadminlockout 開關用於取消鎖定管理員。
　　
　　注：在啓用此設置時，管理員賬戶將被鎖定，任何人都沒法使用管理員賬戶進行遠程管理。
　　
　　建立強管理員密碼
　　
　　使用內置管理員賬戶的強密碼。 強密碼能夠最大程度地減小猜想密碼並得到管理員賬戶憑據的***者的***。 強管理員賬戶密碼應該：
　　
　　至少包含 15 個字符。
　　
　　不包含賬戶名、實際姓名或公司名稱。
　　
　　不包含字典中的完整單詞、任何語言中的俚語或行話。
　　
　　要明顯不一樣於之前的密碼。 遞增的密碼（Password一、Password二、Password3...）不是強密碼。
　　
　　包含來自下表中列出的五組中三組以上的字符。
　　
　　表 3.1 強管理員密碼的字符類型
　　
　　字符類型　　　　　　　　 示例
　　
　　大寫字母　　　　　　　　A、B、C...
　　
　　小寫字母　　　　　　　　a、b、c...
　　
　　數字　　　　　　　　　　0、一、二、3...
　　
　　非字母數字鍵盤符號　　　` ~ ! @ # $ % ^ & * ( ) _ + - = { } | [ ] \ : " ; '' < > ? , . /
　　
　　Unicode 字符　　　　　　€、G、?、?
　　
　　使用密碼短語而不是密碼
　　
　　建立沒必要寫下的強密碼的最簡單方法是使用密碼短語。 實質上，密碼短語是容易記的句子，例如「My son Aiden is three years older than my daughter Anna」。 使用此句中每一個單詞的首字母，您能夠建立一個很好的強密碼。 例如，「msaityotmda」。 不過，您還可使用大小寫字母、數字和看似字母的特殊字符的組合使此密碼更難以破解。 例如，使用一樣易於記憶的句子和少量技巧，密碼便成了 M$"8ni3y0tmd@。
　　
　　雖然密碼短語易受字典***，但大多數商業密碼破解軟件不能檢查超過 14 個字符的密碼。 若是用戶使用較長的密碼短語，他們的密碼不太可能會被破解，與傳統強密碼相比，此密碼短語更易於被他們記住。 若是密碼短語易於記憶，用戶幾乎不須要記下密碼。 強密碼短語的很好的示例：
　　
　　I @te 4 tacos for lunch tod@y!
　　
　　I re@lly want to buy 11 Dogs!
　　
　　這些示例是一個超長的密碼短語，包含 20 多個字符，其中包括來自可能的五組中的四組的字符。 它們不是衆所周知的短語，可是它們遠遠比包含由不相關的字符、符號和沒有實際意義的標點符號組成的字母數字字符組合的 15 字符密碼容易記憶。
　　
　　不要使用空的或弱管理員密碼
　　
　　雖然這樣會帶來嚴重的安全風險，但某些組織仍爲管理員賬戶設置弱密碼或空密碼。 空密碼或弱密碼錶明網絡上最多見的安全漏洞之一，爲***者提供了一個最容易***的訪問點。
　　
　　若是您爲管理員賬戶設置空密碼或弱密碼，惡意用戶使用基本的字符組合就能夠訪問您的計算機，例如在「用戶名」框中輸入「Administrator」，在「密碼」框中不輸入任何內容或輸入「administrator」。 空密碼和弱密碼爲企圖破解密碼的***者大開方便之門，易受字典***，***者能夠有條不紊地逐一嘗試每一個單詞，並可使用常見字符序列（例如線性組合的 A-Z 和 0-9）進行強力***。
　　
　　雖然良好的密碼沒法保證***者不能訪問您的網絡，可是它提供了第一道堅固防線。
　　
　　強制使用強密碼
　　
　　您應該確保您組織的網絡管理員使用強密碼。 在 Windows 2000 Server 和 Windows Server 2003 中，您可使用組策略來強制使用強密碼。
　　
　　有關強密碼和安全密碼的詳細信息，請參閱 www.microsoft.com/smallbusiness/gtm/securityguidance/articles/enforce_strong_

passwords.mspx 上的 Enforcing Strong Password Usage Throughout Your Organization 白皮書和 www.microsoft.com/smallbusiness/gtm/securityguidance/articles/select_sec_passwords.mspx 上的 Selecting Secure Passwords 白皮書。
　　
　　按期更改管理員密碼
　　
　　您應該按期更改您的特權賬戶密碼。 根據賬戶泄密對您的組織的影響，肯定每次更改之間的時間間隔。 有關如何肯定此影響的指導原則，請參閱 www.microsoft.com/technet/security/guidance/secrisk/default.mspx 上的 The Security Risk Management Guide。
　　
　　您應該按期更改您的本地管理員賬戶的密碼。 您可使用 Microsoft Windows 2000 Server Resource Kit 中包含的 cusrmgr.exe 工具來對服務器和工做站自動進行此操做。 有關如何使用 cusrmgr.exe 的詳細信息，請參閱 http://support.microsoft.com/kb/272530 上的知識庫文章 How to Use the Cusrmgr.exe Tool to Change Administrator Account Password on Multiple Computers。
　　
　　另外，您應該按期在域控制器上更改目錄服務還原模式 (DSRM) 管理員密碼。 Windows 2000 使用 setpwd 實用程序重置 DSRM 密碼。 在 Windows Server 2003 中，Ntdsutil 工具提供此功能。 您能夠遠程使用這兩種工具。
　　
　　自動掃描弱密碼
　　
　　弱密碼和空密碼明顯危及組織的網絡的整體安全。 組織應該開發或購買自動掃描或測試空密碼和弱密碼的軟件。
　　
　　此類工具使用兩種基本方法：
　　
　　聯機使用常見弱密碼嘗試屢次登陸網絡。 Microsoft Baseline Security Analyzer (MBSA) 是此類工具的一個實例。 建議不要使用此方法，由於聯機方法可能致使在啓用賬戶鎖定時拒絕服務。
　　
　　脫機密碼掃描。 可使用某些第三方脫機掃描工具，它們容許管理員識別並修補因爲弱密碼或容易猜想的密碼而致使的安全漏洞，從而能夠幫助下降組織的安全風險。 一般，這些工具先掃描弱密碼，而後提供密碼質量評分、報告和修補功能。 建議使用此方法來測試弱密碼。
　　
　　在識別使用空密碼或弱密碼的賬戶以後，事件響應應該遵循您組織制定的事件響應協議。 事件響應協議的某些實例：
　　
　　自動系統將賬戶密碼重置爲強密碼。
　　
　　自動系統將電子郵件發送給服務器的全部者以請求重置密碼。
　　
　　延遲的響應可能會延長服務器安全漏洞存在的時間。
　　
　　使用 Microsoft Baseline Security Analyzer 掃描密碼
　　
　　您可使用 www.microsoft.com/technet/security/tools/mbsahome.mspx 上提供的 Microsoft Baseline Security Analyzer (MBSA) 工具，掃描網絡上的每臺計算機並搜索弱密碼。
　　
　　在其餘安全測試過程當中，MBSA 能夠枚舉全部用戶賬戶並檢查下列密碼弱點：
　　
　　密碼爲空
　　
　　密碼與用戶賬戶名稱相同
　　
　　密碼與計算機名相同
　　
　　密碼使用單詞「password」
　　
　　密碼使用單詞「admin」或「administrator」
　　
　　此掃描結束以後，此工具還通知您任何已禁用的或當前鎖定的賬戶。
　　
　　爲了完成此測試，MBSA 嘗試使用這些密碼來更改目標計算機的密碼。 MBSA 不會重置或永久更改密碼，可是若是您的密碼不是強密碼，它會警告您存在安全風險。
　　
　　僅在受信任計算機上使用管理憑據
　　
　　確保您組織的管理員從不使用其管理憑據來登陸到他們沒有對其徹底控制的權限的計算機。 擊鍵記錄程序或屏幕掃描程序可能會在計算機上運行，並捕獲管理員的密碼憑據。
　　
　　擊鍵記錄程序是一種無提示安裝的間諜軟件程序，運行在用戶計算機的後臺上。 間諜軟件程序員將擊鍵記錄程序設計爲在未經用戶贊成或用戶不知道的狀況下祕密地記錄全部擊鍵。 此信息將被存儲以供未來檢索，或被傳輸給擊鍵記錄程序的開發者以進行檢查。 擊鍵記錄程序能夠記錄全部擊鍵，包括密碼或信用卡號碼等我的信息。 它們還能夠記錄全部帶附件的電子郵件或在線聊天會話。
　　
　　經過檢查顯示屏上的實際上不用於數據傳輸或程序檢查的內容，而後以一種易讀的圖形用戶界面 (GUI) 格式顯示此內容，屏幕掃描程序能夠從計算機或程序捕獲字符數據。 較新的屏幕掃描程序以 HTML 格式顯示信息，以便使用瀏覽器瀏覽此信息。
　　
　　按期審覈賬戶和密碼
　　
　　按期審覈有助於確保域安全的完整性和防止特權提高。 特權提高能夠爲用戶賬戶提供未經受權的管理特權。 除非您保護管理功能，不然***者能夠形成安全漏洞並避開安全措施。 例如，具備管理權限的***者能夠建立假的用戶賬戶，在未經許可的狀況下將賬戶添加到成員組，提高現有賬戶的特權，添加或修改策略，以及禁用安全設置。
　　
　　您應該按期審覈全部域級管理用戶和組，以及敏感服務器上的全部本地管理用戶和組。 因爲管理員可能有能力（但不是權力）對他們本身的管理賬戶進行修改，組織必須確保賬戶遵循域級管理用戶的安全策略。 務必要審覈這些特權憑據並認識到審覈並不只僅是檢查密碼長度。 審覈也是一種查明管理賬戶已執行的任務的有用工具。 在配置和啓用審覈以後，使用事件查看器查看建立的安全日誌。 按期審覈還能夠檢測未使用的域級管理賬戶。 非活動的域級管理賬戶會爲網絡環境帶來安全漏洞，特別是在***者在您不知不覺的狀況下對他們進行***時。 您應該刪除任何未使用的域級管理員賬戶或組。
　　
　　禁止賬戶委派
　　
　　您應該將全部域級管理員用戶賬戶標爲「敏感賬戶，不能被委派」。 此操做有助於防止經過標爲「可委派其餘賬戶」的服務器模擬憑據。
　　
　　當網絡服務接受用戶請求並假定要啓動與另外一個網絡服務的新鏈接的用戶身份時，進行委派身份驗證。 委派身份驗證對於在多臺計算機上使用單一登陸功能的多層應用程序很是有用。 例如，域控制器自動受信任以進行委派。 若是您在文件服務器上啓用加密文件系統 (EFS)，必須信任此服務器以進行委派，以便表明用戶存儲加密文件。 委派身份驗證對於 Internet 信息服務 (IIS) 支持在其餘計算機上運行的數據庫的 Web 接口的程序也很是重要，例如 Microsoft Exchange Server 中或企業證書頒發機構的 Web 註冊支持頁面（若是單獨的 Web 服務器託管這些頁）中的 Microsoft Outlook? Web Access (OWA)。
　　
　　您應該拒絕對不安全的計算機上 Active Directory 中的計算機賬戶進行委派身份驗證的權限，並拒絕域管理員賬戶的權限。 域管理員賬戶有權訪問敏感資源，一旦敏感資源被泄漏，就會對您的組織帶來嚴重的風險。 有關詳細信息，請參閱 www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dsscc_aut_vwcs.asp 上 Windows Server 2003 Deployment Kit 中的 Enabling Delegated Authentication 主題。
　　
　　控制管理登陸過程
　　
　　Administrators 組、Enterprise Admins 組及 Domain Admins 組的成員表明了每一個單獨的域中權限最高的賬戶。 要最大程度地下降安全風險，請執行本指南的後續部分中描述的步驟，以強制使用強管理憑據。
　　
　　要求使用智能卡進行管理登陸
　　
　　要執行全部管理功能，域管理員應該使用二元身份驗證。 二元身份驗證須要兩種東西：
　　
　　用戶具備的東西，例如智能卡
　　
　　用戶知道的東西，例如我的標識號 (PIN)
　　
　　要求使用這兩種東西能夠下降經過共享、盜取或複製一元憑據（例如用戶名和密碼）未經受權訪問的風險。
　　
　　在您保護域管理員賬戶時，二元身份驗證是一個重要環節，由於常規的用戶名和密碼是任意文本憑據，一般由天然語言字符集組成。 所以，惡意用戶在下列狀況下能夠盜取、共享或複製它們：
　　
　　受信任的用戶與未經受權的用戶共享密碼，或以不安全的方式記錄密碼（例如，將記錄密碼的便箋粘貼在顯示器上）。
　　
　　以純文本格式發送密碼。
　　
　　在登陸時，使用硬件或軟件設備捕獲經過鍵盤輸入的內容。
　　
　　若是您要求您的管理員使用智能卡進行交互式登陸，這將強制管理用戶使用其本身的智能卡登陸，並確保使用隨機生成的、加密性強的用戶賬戶密碼。 這些強密碼有助於防止盜取弱密碼以得到管理權限。
　　
　　若是您爲每一個管理用戶賬戶啓用「交互式登陸必須使用智能卡」賬戶選項，您能夠強制使用智能卡。
　　
　　智能卡 PIN 是各個卡全部者設置並存儲在卡上的加密代碼。 此 PIN 是用戶在使用智能卡進行身份驗證時必須提供的字符串，以即可以使用私鑰。 智能卡上的每一個私鑰均是惟一的，這保證了身份驗證的單一性。
　　
　　在域管理員進行交互式登陸時，智能卡身份驗證尤其重要。 智能卡可使負責多臺均須要身份驗證的服務器的域管理員的工做更加輕鬆。 您可使用具備共同的 PIN 的惟一智能卡來保護服務器，而不須要管理員爲每臺服務器（他必須對其進行身份驗證）設置單獨的密碼。
　　
　　注：Windows 2000 Server 支持使用智能卡進行遠程訪問；可是，要求 Windows Server 2003 支持使用域級賬戶的智能卡。 還要求 Windows Server 2003 經過 Secondary Logon 服務的 runas 命令使用智能卡憑據。
　　
　　域管理員使用智能卡，採用本指南介紹的原則和作法，能夠幫助組織顯著提升其網絡資產的安全。
　　
　　有關使用智能卡進行身份驗證的詳細信息，請參閱下列資源：
　　
　　Microsoft TechNet 網站 www.microsoft.com/technet/security/topics/smrtcard/smrtcdcb/default.mspx 上的 The Smart Card Deployment Cookbook。
　　
　　www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/f65c054e-4cb3-4a6e-84f6-8a9787819df5.mspx 上的 Planning a Smart Card Deployment。
　　
　　共享敏感管理賬戶的登陸憑據
　　
　　對於每一個您認爲敏感的賬戶（例如，目錄林根域中 Enterprise Admins 或 Domain Admins 組的一個成員），指派兩個用戶共享此賬戶，以便這兩個用戶成功使用此賬戶登陸。 若是您共享這些賬戶，將提供固有、直觀的審覈： 一個用戶能夠監視另外一個用戶執行的操做。 另外，這樣還會防止單個用戶做爲管理員祕密登陸訪問計算機，以避免惡意管理員在被脅迫的狀況下威脅到計算機的安全。
　　
　　您能夠採用使用拆分的密碼或智能卡及 PIN 的共享管理賬戶。 若是您使用管理賬戶的基於密碼的憑據，拆分共享賬戶的兩個用戶的密碼，以便每一個用戶只知道一半密碼。 每一個用戶均負責保護一半密碼。 例如，您能夠建立一個稱爲 Admin1 的管理賬戶，指派兩個受信任用戶（Jane 和 Bob）共享此賬戶。 每一個用戶均保護一半密碼。 若是其中一個用戶登陸並使用此賬戶，另外一個用戶必須輸入另外一半密碼。
　　
　　共享管理賬戶選項的缺點是審覈的整個過程當中缺少責任。 組織須要適當地採起某些其餘控制措施（例如攝像機監視），以確保用戶沒有濫用這些共享特權。
　　
　　若是您使用管理賬戶的基於智能卡的憑據，拆分共享賬戶的兩個用戶的智能卡及其 PIN 的全部權，以便一個用戶保留智能卡的實際全部權，另外一個用戶保護 PIN。 這樣，兩個用戶必須登陸到此賬戶。
　　
　　限制域管理員能夠登陸的方式和位置
　　
　　組織應該限制域級管理員能夠登陸的方式和位置。 若是管理員的任務或角色須要，他們能夠交互式登陸到他們具備對其的特權的域控制器，可是您應該仍須要進行二元身份驗證。
　　
　　在如下狀況下，您應該禁止域管理員登陸到還沒有專門容許域管理員使用的任何計算機：
　　
　　進行交互式登陸時
　　
　　使用遠程桌面時
　　
　　做爲服務登陸時
　　
　　做爲批做業登陸時
　　
　　因爲其固有的權限和權力，計算機上的管理賬戶是計算機上存在的最有用、同時也是最危險的賬戶。
　　
　　組織在保護域級管理員賬戶的安全時必須特別當心謹慎，由於可以破壞域管理員賬戶的***者能夠得到域和林中每臺計算機的普遍的訪問權限。 Microsoft 採起了許多措施來保護其企業網絡上域管理員賬戶的安全，並極力主張其餘組織也這樣作。
　　
　　當管理網絡時，您應該使用本指南描述的最佳作法並遵照其原則，以下降未經受權的用戶獲取您的敏感網絡資產和 Active Directory? 目錄服務數據的管理訪問權限的風險。
　　
　　對於但願保護其網絡資產安全的組織來講，使管理員賬戶儘量安全是一項重要舉措。
　　
　　後續步驟
　　
　　若是組織還沒有爲管理員賬戶安所有署計劃，此規則指南將爲組織規劃此類計劃提供基礎。
　　
　　組織規劃保護管理員賬戶的安全時應該採起的主要措施包括：
　　
　　定義過程，下降管理員賬戶遭受破壞的風險。
　　
　　肯定策略，增長 Active Directory 中管理賬戶的安全性。
　　
　　使用最小特權這一原則。
　　
　　區分域管理員和企業管理員角色。
　　
　　使用 Secondary Logon 服務區分用戶和管理員賬戶。
　　
　　遵循最佳作法指導原則，保護管理員賬戶安全