Windows Server 2003 安全性指南介绍
许多恶意代码的变种企图使用内置的管理员账户来破坏一台服务器。在近几年来,进行上述重命名配置的意义已经大大降低了,因为出现了很多新的攻击工具,这些工具企图通过指定内置 Administrator 账户的安全标识(SID)来确定该帐户的真实姓名,从而侵占服务器。SID是唯一能确定网络中每个用户、组、计算机账户以及登录会话的值。改变内置账户的SID是不可能的。您可以将本地管理员账户改变为唯一的名称,以方便您的操作人员监视对该账户的攻击企图。
完成以下步骤以保护域和服务器中众所周知账户的安全:
1. 重命名Administrator和Guest账户,并且将每个域和服务器上的密码更改为长而复杂的值。
2. 在每个服务器上使用不同的名称和密码。如果在所有的域和服务器上使用相同的账户名和密码,攻击者只须获得对一台成员服务器的访问,就能够访问所有其他具有相同账户名和密码的服务器。
3. 改变缺省的账户描述,以帮助防止账户被轻易识别。
4. 将这些变化记录一个安全的位置。
注意:内置的管理员账户可以通过组策略重命名。该设置没有在DCBP中配置,因为您必须为您的环境选择一个唯一的名字。在本指南定义的三种环境下,“账户:重命名管理员账户”可以被配置为重命名管理员账户。该设置是GPO安全选项设置的一部分。
保护服务账户的安全
除非绝对必要,否则不要将一种服务配置为在域账户的安全上下文中运行。如果服务器的物理安全受到破坏,域账户密码可以很容易通过转储本地安全性授权(LSA)秘文而获得。
终端服务设置
表 4.20:设置
|
缺省值 |
旧有客户机 |
企业客户机 |
高安全性 |
||||||||
|
设置客户连接加密等级 |
高
相关资讯
|
010-89630319
