使管理员账户更安全的指导原则

每次安装新的 Active Directory? 目录服务以后，就会为每一个域建立一个管理员账户。 默认状况下，不能删除或锁定此账户。 在 Microsoft? Windows Server? 2003 中，能够禁用管理员账户，但以安全模式启动计算机时，会自动从新启用此账户。
　　
　　企图***计算机的恶意用户一般先查找有效账户，而后尝试升级此账户的权限。 另外，他可能还利用猜想密码技术窃取管理员账户密码。 因为此账户具备许多权限且不能被锁定，恶意用户以此账户为***对象。 他可能还试图引诱管理员执行某些将授予***者权限的恶意代码。
　　
　　区分域管理员角色和企业管理员角色
　　
　　因为企业管理员角色在目录林环境下具备最终权限，您必须执行如下两个操做之一，以确保很好地控制它的使用。 您能够建立并选择一个受到完善保护的账户做为 Enterprise Admins 的成员，或者选择不使用这些凭据设置账户，而是仅在须要这些特权的受权任务要求建立此类账户时才建立。 在此账户完成任务以后，您应该当即删除临时 Enterprise Admins 账户。
　　
　　区分用户账户和管理员账户
　　
　　对于担任管理员角色的每一个用户，您应该建立两个账户： 一个普通用户账户，执行典型平常任务（例如电子邮件和其余程序）；一个管理账户，仅执行管理任务。 您不该使用管理账户来发送电子邮件、运行标准程序或浏览 Internet。 每一个账户必须拥有惟一的密码。 这些简单的防范措施大大地下降了账户被***的风险，并缩短了管理账户登陆到计算机或域所需的时间。
　　
　　使用 Secondary Logon 服务
　　
　　在 Microsoft Windows? 2000, Windows XP Professional 和 Windows Server 2003 中，您能够做为与当前登陆的用户不一样的用户运行程序。 在 Windows 2000 中，Run as 服务提供此功能，在 Windows XP 和 Windows Server 2003 中，它称为 Secondary Logon 服务。 Run as 和 Secondary Logon 服务是名称不一样的相同服务。
　　
　　Secondary Logon 容许管理员使用非管理账户登陆到计算机，无须注销，只需在管理环境中运行受信任的管理程序便可执行管理任务。
　　
　　Secondary Logon 服务解决了运行可能易受恶意代码***的程序的管理员提出的安全风险问题；例如，使用管理权限登陆、访问不受信任的网站的用户。
　　
　　Secondary Logon 主要适用于系统管理员；可是，任何拥有多个账户、须要在不一样账户环境中无需注销便可启动程序的用户也可使用它。
　　
　　Secondary Logon 服务设置为自动启动，使用运行方式工具做为其用户界面，使用 runas.exe 做为其命令行界面。 经过使用运行方式，您能够运行程序 (*.exe)、保存的 Microsoft 管理控制台 (MMC) 控制台 (*.msc)、程序快捷方式及“控制面板”中的项目。 即便您使用没有管理权限的标准用户账户登陆，只要您在系统提示输入适当的管理用户账户和密码凭据时输入它们，您就能够做为管理员运行这些程序。
　　
　　若是您拥有其余域的管理账户的凭据，运行方式容许您管理其余域或目录林中的服务器。
　　
　　注：不能使用运行方式启动某些项目，例如桌面上的打印机文件夹、个人电脑和网上邻居。
　　
　　使用运行方式
　　
　　能够经过多种方法来使用运行方式：
　　
　　使用运行方式来启动使用域管理员账户凭据的命令解释器
　　
　　1.单击“开始”，而后单击“运行”。
　　
　　2.在“运行”对话框中，键入 runas /user:<domain_name>\administrator cmd（其中 <domain_name> 是您的域名），而后单击“肯定”。
　　
　　3.当系统提示输入 domain_name\administrator 账户的密码时，键入管理员账户的密码，而后按 ENTER 键。
　　
　　4.一个新控制台窗口打开，表示正在管理环境中运行。 此控制台标题标识为做为domain_name\administrator 运行。
　　
　　使用运行方式来运行“控制面板”中的项目
　　
　　1.在 Windows XP 或 Windows Server 2003 中，依次单击“开始”、“控制面板”。
　　
　　2.按住 SHIFT 键，同时右键单击您要在管理环境中运行的工具或程序（例如，“添加硬件”）。
　　
　　3.在快捷方式菜单上，单击“运行方式”。
　　
　　4.在“运行身份”对话框中，单击“下列用户”，而后键入相应的域名、管理员账户名和密码；例如：
　　
　　CORPDOMAIN\Administrator
　　
　　P@ssw0rd
　　
　　5.单击“肯定”。此程序在管理环境中运行。
　　
　　使用运行方式来打开“开始”菜单中的程序（例如 Active Directory 用户和计算机）
　　
　　1.在 Windows Server 2003 中，单击“开始”，指向“管理工具”，而后右键单击“Active Directory 用户和计算机”。
　　
　　2.在快捷方式菜单上，单击“运行方式”。
　　
　　您还可使用可执行命令行实用程序 runas.exe 来运行程序，并从命令行启动管理控制台。
　　
　　在本地计算机上做为管理员启动命令提示符实例
　　
　　1.单击“开始”，而后单击“运行”。
　　
　　2.在“运行”对话框中，键入 runas /user:<localcomputername>\administrator cmd 。
　　
　　3.单击“肯定”。
　　
　　4.出现提示时，在命令提示符窗口中键入管理员密码，而后按 ENTER 键。
　　
　　在corpdomain域中使用称为 domainadmin的域管理员账户启动“计算机管理”管理单元实例
　　
　　1.单击“开始”，而后单击“运行”。
　　
　　2.在“运行”对话框中，键入 runas /user:<corpdomain>\<domainadmin> "mmc %windir%\system32\compmgmt.msc"
　　
　　3.单击“肯定”。
　　
　　4.出现提示时，在命令提示符窗口中键入账户密码，而后按 ENTER 键。
　　
　　您还可使用 runas.exe 来运行程序，并使用智能卡凭据从命令行启动管理控制台。
　　
　　使用智能卡凭据在本地计算机上做为管理员启动命令提示符实例
　　
　　1.单击“开始”，而后单击“运行”。
　　
　　2.在“运行”对话框中，键入 runas /smartcard /user:<localcomputername>\administrator cmd
　　
　　3.单击“肯定”。
　　
　　4.出现提示时，在命令提示符窗口中键入智能卡的 PIN 号，而后按 ENTER 键。
　　
　　注：不能输入密码做为 runas.exe 的命令行参数，由于这样不安全。
　　
　　运行用于管理的单独的“终端服务”会话
　　
　　运行方式是管理员在更改其本地计算机时最经常使用的方法，也多是执行某些业务线程序的最经常使用方法。 对于 IT 管理任务，您可使用终端服务来链接到您须要管理的服务器。 此方法大大简化了管理多台远程服务器的工做，无需物理访问每台远程服务器，并且不须要您具有在服务器上交互式登陆的权限。 要使用此方法，请使用普通用户账户凭据登陆，而后做为域管理员运行“终端服务”会话。 您只能在“终端服务”会话窗口中执行域管理任务。
　　
　　重命名默认管理员账户
　　
　　当您重命名默认管理员账户时，没有明显指示此账户具备提高的特权。 虽然***者仍须要经过密码使用默认管理员账户，可是已命名的默认管理员账户应该添加一道附加的保护层，以防止遭受特权提高的***。 一种方法是使用假想姓和名，并与其余用户名的格式相同。
　　
　　注：重命名默认管理员账户只能阻止某些类型的***。 因为此账户的安全 ID 始终相同，***者判断哪一个账户是默认管理员账户相对比较容易。 另外，工具能够枚举组成员，并始终先列出原始管理员账户。 为了最好地防止对您的内置管理员账户进行***，请建立新的管理账户，而后禁用内置账户。
　　
　　在域中重命名默认管理员账户
　　
　　1.做为 Domain Admins 组成员（但不是内置管理员账户）登陆，而后打开“Active Directory 用户和计算机”。
　　
　　2.在控制台树中，单击“用户”。
　　
　　3.在详细信息窗格中，右键单击“管理员”，而后单击“重命名”。
　　
　　4.键入假想的名和姓，而后按 ENTER 键。
　　
　　5.在“重命名用户”对话框中，改变“全名”、“名”、“姓”、“显示名”、“用户登陆名”以及“用户登陆名”（Windows 2000 前版本）使之匹配假想的账户名，而后单击“肯定”。
　　
　　6.在详细信息窗格中，右键单击新建的用户名，而后单击“属性”。
　　
　　7.单击“常规”选项卡。 在“说明”框中，删除管理计算机/域的内置账户，而后键入与其余用户账户相似的说明（对于许多组织，此值为空）。
　　
　　8.单击“肯定”。
　　
　　重命名默认的本地管理员账户
　　
　　1.做为本地管理员组成员（但不是内置管理员账户）登陆，而后在计算机管理控制台中打开本地用户和组管理单元工具。
　　
　　2.在控制台树中，展开“本地用户和组”，而后单击“用户”。
　　
　　3.在详细信息窗格中，右键单击“管理员”，而后单击“重命名”。
　　
　　4.键入假想的名和姓，而后按 ENTER 键。
　　
　　5.在详细信息窗格中，右键单击新建的用户名，而后单击“属性”。
　　
　　6.单击“常规”选项卡。 在“全名”框中，键入新的全名。 在“说明”框中，删除管理计算机/域的内置账户，而后键入与其余用户账户相似的说明（对于许多组织，此值为空）。
　　
　　7.单击“肯定”。
　　
　　注：另外，您还可使用组策略对象 (GPO) 设置在多台计算机上重命名默认管理员账户。 可是，此设置不容许您修改默认说明。 有关详细信息，请参阅 http://support.microsoft.com/default.aspx?scid=kb;en-us;816109 上的知识库文章如何在 Windows Server 2003 中重命名管理员账户和来宾账户。
　　
　　建立虚假管理员账户
　　
　　建立虚假管理员账户将增长一个附加的保护层。 这样能够引诱企图对管理员账户实施密码***的***者去***没有特权的账户，所以***者很难发现您的已命名的管理员账户。 另外一种好办法是，经过确保此虚假账户不被锁定，并为此账户设置强密码，延缓***者进行***。 在建立虚假账户以后，您应该确保此账户不是有特权的安全组成员，而后监视此账户的使用，查看是否出现登陆失败等意外活动。 有关详细信息，请参阅 www.microsoft.com/technet/security/topics/networksecurity/sec_ad_admin_groups.mspx 上的知识库文章 Securing Active Directory Administrative Groups and Accounts。
　　
　　在域中建立虚假管理员账户
　　
　　1.做为 Domain Admins 组成员登陆，而后打开“Active Directory 用户和计算机”。
　　
　　2.右键单击“Users”容器，指向“新建”，而后单击“用户”。
　　
　　3.在“名”和“用户登陆名”中键入 Administrator，而后单击“下一步”。
　　
　　4.键入并确认密码。
　　
　　5.清除“用户下次登陆时须更改密码”复选框，而后单击“下一步”。
　　
　　6.验证虚假账户信息是否正确，而后单击“完成”。
　　
　　7.在详细信息窗格中，右键单击“管理员”，而后单击“属性”。
　　
　　8.单击“常规”选项卡。 在“说明”框中，键入管理计算机/域的内置账户，而后单击“肯定”。
　　
　　建立虚假的本地管理员账户
　　
　　1.做为本地管理员组成员登陆，而后在计算机管理控制台中打开本地用户和组管理单元工具。
　　
　　2.在控制台树中，展开“本地用户和组”。
　　
　　3.右键单击“Users”容器，而后单击“新建用户”。
　　
　　4.在“用户名”框中，键入 Administrator。 在“说明”框中，键入管理计算机/域的内置账户。
　　
　　5.键入并确认密码。
　　
　　6.清除“用户下次登陆时须更改密码”复选框。
　　
　　7.单击“建立”。
　　
　　建立次要管理员账户并禁用内置账户
　　
　　即便您不使用管理的终端服务，或容许非管理用户访问您的服务器，最好的作法是建立其余用户做为管理服务器的次要管理员账户。 您应该将此用户设置为管理员组成员。 在建立次要账户以后，您能够禁用内置管理员账户。
　　
　　建立次要管理员账户
　　
　　1.做为管理员登陆，而后打开“Active Directory 用户和计算机”。
　　
　　2.右键单击“Users”容器，指向“新建”，而后单击“用户”。
　　
　　3.在“名”和“用户登陆名”中键入<用户名>，而后单击“下一步”。
　　
　　4.键入并确认强密码。
　　
　　5.清除“用户下次登陆时须更改密码”复选框，而后单击“下一步”。
　　
　　6.验证账户信息是否正确，而后单击“完成”。
　　
　　7.在详细信息窗格中，右键单击“用户名”，而后单击“属性”。
　　
　　8.单击“成员属于”选项卡，单击“添加”，键入 administrators，单击“检查名称”，而后单击“肯定”。
　　
　　9.再次单击“肯定”关闭“属性”页。
　　
　　禁用内置管理员账户
　　
　　1.做为您刚建立的次要管理员账户登陆，而后打开“Active Directory 用户和计算机”
　　
　　2.单击“Users”容器，右键单击内置管理员账户名称，而后单击“属性”。
　　
　　3.单击“账户”选项卡。
　　
　　4.在“账户选项”下，向下滚动，而后选择“账户已停用”复选框。
　　
　　5.单击“肯定”。
　　
　　警告：在禁用内置管理员账户时，您必须肯定是否存在具备相应的管理员特权的其余账户。 若是您在没有肯定是否有其余账户的状况下禁用内置管理员账户，您可能会失去对域的管理权，您可能须要执行系统还原或从新安装系统才能从新得到管理权。
　　
　　为远程管理员登陆启用账户锁定
　　
　　阻止***者使用内置管理员账户和密码凭据的一种方法是，根据账户策略，容许管理员账户在发生特定次数的登陆失败以后被锁定在网络以外。 默认状况下，不能锁定内置管理员账户；可是，您可使用 passprop.exe（Microsoft Windows 2000 Server Resource Kit 中的命令行程序）为使用管理员账户的远程登陆启用账户锁定。 在使用 /ADMINLOCKOUT 开关运行 passprop 实用程序时，您应该确保管理员账户受账户锁定策略约束。 在 Windows 2000 Server 中，这仅适用于远程登陆，由于没法在本地计算机上锁定内置管理员账户，此程序容许您保护管理员账户免受网络***，可是仍容许交互式访问。
　　
　　警告：在 Windows Server 2003 中，passprop 容许您经过交互式登陆和远程登陆来锁定内置管理员账户。
　　
　　您可使用 passprop 附带的下列账户锁定开关：
　　
　　passprop [/adminlockout] [/noadminlockout]
　　
　　/adminlockout 开关用于锁定管理员。
　　
　　/noadminlockout 开关用于取消锁定管理员。
　　
　　注：在启用此设置时，管理员账户将被锁定，任何人都没法使用管理员账户进行远程管理。
　　
　　建立强管理员密码
　　
　　使用内置管理员账户的强密码。 强密码能够最大程度地减小猜想密码并得到管理员账户凭据的***者的***。 强管理员账户密码应该：
　　
　　至少包含 15 个字符。
　　
　　不包含账户名、实际姓名或公司名称。
　　
　　不包含字典中的完整单词、任何语言中的俚语或行话。
　　
　　要明显不一样于之前的密码。 递增的密码（Password一、Password二、Password3...）不是强密码。
　　
　　包含来自下表中列出的五组中三组以上的字符。
　　
　　表 3.1 强管理员密码的字符类型
　　
　　字符类型　　　　　　　　 示例
　　
　　大写字母　　　　　　　　A、B、C...
　　
　　小写字母　　　　　　　　a、b、c...
　　
　　数字　　　　　　　　　　0、一、二、3...
　　
　　非字母数字键盘符号　　　` ~ ! @ # $ % ^ & * ( ) _ + - = { } | [ ] \ : " ; '' < > ? , . /
　　
　　Unicode 字符　　　　　　€、G、?、?
　　
　　使用密码短语而不是密码
　　
　　建立没必要写下的强密码的最简单方法是使用密码短语。 实质上，密码短语是容易记的句子，例如“My son Aiden is three years older than my daughter Anna”。 使用此句中每一个单词的首字母，您能够建立一个很好的强密码。 例如，“msaityotmda”。 不过，您还可使用大小写字母、数字和看似字母的特殊字符的组合使此密码更难以破解。 例如，使用一样易于记忆的句子和少量技巧，密码便成了 M$"8ni3y0tmd@。
　　
　　虽然密码短语易受字典***，但大多数商业密码破解软件不能检查超过 14 个字符的密码。 若是用户使用较长的密码短语，他们的密码不太可能会被破解，与传统强密码相比，此密码短语更易于被他们记住。 若是密码短语易于记忆，用户几乎不须要记下密码。 强密码短语的很好的示例：
　　
　　I @te 4 tacos for lunch tod@y!
　　
　　I re@lly want to buy 11 Dogs!
　　
　　这些示例是一个超长的密码短语，包含 20 多个字符，其中包括来自可能的五组中的四组的字符。 它们不是众所周知的短语，可是它们远远比包含由不相关的字符、符号和没有实际意义的标点符号组成的字母数字字符组合的 15 字符密码容易记忆。
　　
　　不要使用空的或弱管理员密码
　　
　　虽然这样会带来严重的安全风险，但某些组织仍为管理员账户设置弱密码或空密码。 空密码或弱密码表明网络上最多见的安全漏洞之一，为***者提供了一个最容易***的访问点。
　　
　　若是您为管理员账户设置空密码或弱密码，恶意用户使用基本的字符组合就能够访问您的计算机，例如在“用户名”框中输入“Administrator”，在“密码”框中不输入任何内容或输入“administrator”。 空密码和弱密码为企图破解密码的***者大开方便之门，易受字典***，***者能够有条不紊地逐一尝试每一个单词，并可使用常见字符序列（例如线性组合的 A-Z 和 0-9）进行强力***。
　　
　　虽然良好的密码没法保证***者不能访问您的网络，可是它提供了第一道坚固防线。
　　
　　强制使用强密码
　　
　　您应该确保您组织的网络管理员使用强密码。 在 Windows 2000 Server 和 Windows Server 2003 中，您可使用组策略来强制使用强密码。
　　
　　有关强密码和安全密码的详细信息，请参阅 www.microsoft.com/smallbusiness/gtm/securityguidance/articles/enforce_strong_

passwords.mspx 上的 Enforcing Strong Password Usage Throughout Your Organization 白皮书和 www.microsoft.com/smallbusiness/gtm/securityguidance/articles/select_sec_passwords.mspx 上的 Selecting Secure Passwords 白皮书。
　　
　　按期更改管理员密码
　　
　　您应该按期更改您的特权账户密码。 根据账户泄密对您的组织的影响，肯定每次更改之间的时间间隔。 有关如何肯定此影响的指导原则，请参阅 www.microsoft.com/technet/security/guidance/secrisk/default.mspx 上的 The Security Risk Management Guide。
　　
　　您应该按期更改您的本地管理员账户的密码。 您可使用 Microsoft Windows 2000 Server Resource Kit 中包含的 cusrmgr.exe 工具来对服务器和工做站自动进行此操做。 有关如何使用 cusrmgr.exe 的详细信息，请参阅 http://support.microsoft.com/kb/272530 上的知识库文章 How to Use the Cusrmgr.exe Tool to Change Administrator Account Password on Multiple Computers。
　　
　　另外，您应该按期在域控制器上更改目录服务还原模式 (DSRM) 管理员密码。 Windows 2000 使用 setpwd 实用程序重置 DSRM 密码。 在 Windows Server 2003 中，Ntdsutil 工具提供此功能。 您能够远程使用这两种工具。
　　
　　自动扫描弱密码
　　
　　弱密码和空密码明显危及组织的网络的整体安全。 组织应该开发或购买自动扫描或测试空密码和弱密码的软件。
　　
　　此类工具使用两种基本方法：
　　
　　联机使用常见弱密码尝试屡次登陆网络。 Microsoft Baseline Security Analyzer (MBSA) 是此类工具的一个实例。 建议不要使用此方法，由于联机方法可能致使在启用账户锁定时拒绝服务。
　　
　　脱机密码扫描。 可使用某些第三方脱机扫描工具，它们容许管理员识别并修补因为弱密码或容易猜想的密码而致使的安全漏洞，从而能够帮助下降组织的安全风险。 一般，这些工具先扫描弱密码，而后提供密码质量评分、报告和修补功能。 建议使用此方法来测试弱密码。
　　
　　在识别使用空密码或弱密码的账户以后，事件响应应该遵循您组织制定的事件响应协议。 事件响应协议的某些实例：
　　
　　自动系统将账户密码重置为强密码。
　　
　　自动系统将电子邮件发送给服务器的全部者以请求重置密码。
　　
　　延迟的响应可能会延长服务器安全漏洞存在的时间。
　　
　　使用 Microsoft Baseline Security Analyzer 扫描密码
　　
　　您可使用 www.microsoft.com/technet/security/tools/mbsahome.mspx 上提供的 Microsoft Baseline Security Analyzer (MBSA) 工具，扫描网络上的每台计算机并搜索弱密码。
　　
　　在其余安全测试过程当中，MBSA 能够枚举全部用户账户并检查下列密码弱点：
　　
　　密码为空
　　
　　密码与用户账户名称相同
　　
　　密码与计算机名相同
　　
　　密码使用单词“password”
　　
　　密码使用单词“admin”或“administrator”
　　
　　此扫描结束以后，此工具还通知您任何已禁用的或当前锁定的账户。
　　
　　为了完成此测试，MBSA 尝试使用这些密码来更改目标计算机的密码。 MBSA 不会重置或永久更改密码，可是若是您的密码不是强密码，它会警告您存在安全风险。
　　
　　仅在受信任计算机上使用管理凭据
　　
　　确保您组织的管理员从不使用其管理凭据来登陆到他们没有对其彻底控制的权限的计算机。 击键记录程序或屏幕扫描程序可能会在计算机上运行，并捕获管理员的密码凭据。
　　
　　击键记录程序是一种无提示安装的间谍软件程序，运行在用户计算机的后台上。 间谍软件程序员将击键记录程序设计为在未经用户赞成或用户不知道的状况下秘密地记录全部击键。 此信息将被存储以供未来检索，或被传输给击键记录程序的开发者以进行检查。 击键记录程序能够记录全部击键，包括密码或信用卡号码等我的信息。 它们还能够记录全部带附件的电子邮件或在线聊天会话。
　　
　　经过检查显示屏上的实际上不用于数据传输或程序检查的内容，而后以一种易读的图形用户界面 (GUI) 格式显示此内容，屏幕扫描程序能够从计算机或程序捕获字符数据。 较新的屏幕扫描程序以 HTML 格式显示信息，以便使用浏览器浏览此信息。
　　
　　按期审核账户和密码
　　
　　按期审核有助于确保域安全的完整性和防止特权提高。 特权提高能够为用户账户提供未经受权的管理特权。 除非您保护管理功能，不然***者能够形成安全漏洞并避开安全措施。 例如，具备管理权限的***者能够建立假的用户账户，在未经许可的状况下将账户添加到成员组，提高现有账户的特权，添加或修改策略，以及禁用安全设置。
　　
　　您应该按期审核全部域级管理用户和组，以及敏感服务器上的全部本地管理用户和组。 因为管理员可能有能力（但不是权力）对他们本身的管理账户进行修改，组织必须确保账户遵循域级管理用户的安全策略。 务必要审核这些特权凭据并认识到审核并不只仅是检查密码长度。 审核也是一种查明管理账户已执行的任务的有用工具。 在配置和启用审核以后，使用事件查看器查看建立的安全日志。 按期审核还能够检测未使用的域级管理账户。 非活动的域级管理账户会为网络环境带来安全漏洞，特别是在***者在您不知不觉的状况下对他们进行***时。 您应该删除任何未使用的域级管理员账户或组。
　　
　　禁止账户委派
　　
　　您应该将全部域级管理员用户账户标为“敏感账户，不能被委派”。 此操做有助于防止经过标为“可委派其余账户”的服务器模拟凭据。
　　
　　当网络服务接受用户请求并假定要启动与另外一个网络服务的新链接的用户身份时，进行委派身份验证。 委派身份验证对于在多台计算机上使用单一登陆功能的多层应用程序很是有用。 例如，域控制器自动受信任以进行委派。 若是您在文件服务器上启用加密文件系统 (EFS)，必须信任此服务器以进行委派，以便表明用户存储加密文件。 委派身份验证对于 Internet 信息服务 (IIS) 支持在其余计算机上运行的数据库的 Web 接口的程序也很是重要，例如 Microsoft Exchange Server 中或企业证书颁发机构的 Web 注册支持页面（若是单独的 Web 服务器托管这些页）中的 Microsoft Outlook? Web Access (OWA)。
　　
　　您应该拒绝对不安全的计算机上 Active Directory 中的计算机账户进行委派身份验证的权限，并拒绝域管理员账户的权限。 域管理员账户有权访问敏感资源，一旦敏感资源被泄漏，就会对您的组织带来严重的风险。 有关详细信息，请参阅 www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dsscc_aut_vwcs.asp 上 Windows Server 2003 Deployment Kit 中的 Enabling Delegated Authentication 主题。
　　
　　控制管理登陆过程
　　
　　Administrators 组、Enterprise Admins 组及 Domain Admins 组的成员表明了每一个单独的域中权限最高的账户。 要最大程度地下降安全风险，请执行本指南的后续部分中描述的步骤，以强制使用强管理凭据。
　　
　　要求使用智能卡进行管理登陆
　　
　　要执行全部管理功能，域管理员应该使用二元身份验证。 二元身份验证须要两种东西：
　　
　　用户具备的东西，例如智能卡
　　
　　用户知道的东西，例如我的标识号 (PIN)
　　
　　要求使用这两种东西能够下降经过共享、盗取或复制一元凭据（例如用户名和密码）未经受权访问的风险。
　　
　　在您保护域管理员账户时，二元身份验证是一个重要环节，由于常规的用户名和密码是任意文本凭据，一般由天然语言字符集组成。 所以，恶意用户在下列状况下能够盗取、共享或复制它们：
　　
　　受信任的用户与未经受权的用户共享密码，或以不安全的方式记录密码（例如，将记录密码的便笺粘贴在显示器上）。
　　
　　以纯文本格式发送密码。
　　
　　在登陆时，使用硬件或软件设备捕获经过键盘输入的内容。
　　
　　若是您要求您的管理员使用智能卡进行交互式登陆，这将强制管理用户使用其本身的智能卡登陆，并确保使用随机生成的、加密性强的用户账户密码。 这些强密码有助于防止盗取弱密码以得到管理权限。
　　
　　若是您为每一个管理用户账户启用“交互式登陆必须使用智能卡”账户选项，您能够强制使用智能卡。
　　
　　智能卡 PIN 是各个卡全部者设置并存储在卡上的加密代码。 此 PIN 是用户在使用智能卡进行身份验证时必须提供的字符串，以即可以使用私钥。 智能卡上的每一个私钥均是惟一的，这保证了身份验证的单一性。
　　
　　在域管理员进行交互式登陆时，智能卡身份验证尤其重要。 智能卡可使负责多台均须要身份验证的服务器的域管理员的工做更加轻松。 您可使用具备共同的 PIN 的惟一智能卡来保护服务器，而不须要管理员为每台服务器（他必须对其进行身份验证）设置单独的密码。
　　
　　注：Windows 2000 Server 支持使用智能卡进行远程访问；可是，要求 Windows Server 2003 支持使用域级账户的智能卡。 还要求 Windows Server 2003 经过 Secondary Logon 服务的 runas 命令使用智能卡凭据。
　　
　　域管理员使用智能卡，采用本指南介绍的原则和作法，能够帮助组织显著提升其网络资产的安全。
　　
　　有关使用智能卡进行身份验证的详细信息，请参阅下列资源：
　　
　　Microsoft TechNet 网站 www.microsoft.com/technet/security/topics/smrtcard/smrtcdcb/default.mspx 上的 The Smart Card Deployment Cookbook。
　　
　　www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/f65c054e-4cb3-4a6e-84f6-8a9787819df5.mspx 上的 Planning a Smart Card Deployment。
　　
　　共享敏感管理账户的登陆凭据
　　
　　对于每一个您认为敏感的账户（例如，目录林根域中 Enterprise Admins 或 Domain Admins 组的一个成员），指派两个用户共享此账户，以便这两个用户成功使用此账户登陆。 若是您共享这些账户，将提供固有、直观的审核： 一个用户能够监视另外一个用户执行的操做。 另外，这样还会防止单个用户做为管理员秘密登陆访问计算机，以避免恶意管理员在被胁迫的状况下威胁到计算机的安全。
　　
　　您能够采用使用拆分的密码或智能卡及 PIN 的共享管理账户。 若是您使用管理账户的基于密码的凭据，拆分共享账户的两个用户的密码，以便每一个用户只知道一半密码。 每一个用户均负责保护一半密码。 例如，您能够建立一个称为 Admin1 的管理账户，指派两个受信任用户（Jane 和 Bob）共享此账户。 每一个用户均保护一半密码。 若是其中一个用户登陆并使用此账户，另外一个用户必须输入另外一半密码。
　　
　　共享管理账户选项的缺点是审核的整个过程当中缺少责任。 组织须要适当地采起某些其余控制措施（例如摄像机监视），以确保用户没有滥用这些共享特权。
　　
　　若是您使用管理账户的基于智能卡的凭据，拆分共享账户的两个用户的智能卡及其 PIN 的全部权，以便一个用户保留智能卡的实际全部权，另外一个用户保护 PIN。 这样，两个用户必须登陆到此账户。
　　
　　限制域管理员能够登陆的方式和位置
　　
　　组织应该限制域级管理员能够登陆的方式和位置。 若是管理员的任务或角色须要，他们能够交互式登陆到他们具备对其的特权的域控制器，可是您应该仍须要进行二元身份验证。
　　
　　在如下状况下，您应该禁止域管理员登陆到还没有专门容许域管理员使用的任何计算机：
　　
　　进行交互式登陆时
　　
　　使用远程桌面时
　　
　　做为服务登陆时
　　
　　做为批做业登陆时
　　
　　因为其固有的权限和权力，计算机上的管理账户是计算机上存在的最有用、同时也是最危险的账户。
　　
　　组织在保护域级管理员账户的安全时必须特别当心谨慎，由于可以破坏域管理员账户的***者能够得到域和林中每台计算机的普遍的访问权限。 Microsoft 采起了许多措施来保护其企业网络上域管理员账户的安全，并极力主张其余组织也这样作。
　　
　　当管理网络时，您应该使用本指南描述的最佳作法并遵照其原则，以下降未经受权的用户获取您的敏感网络资产和 Active Directory? 目录服务数据的管理访问权限的风险。
　　
　　对于但愿保护其网络资产安全的组织来讲，使管理员账户尽量安全是一项重要举措。
　　
　　后续步骤
　　
　　若是组织还没有为管理员账户安所有署计划，此规则指南将为组织规划此类计划提供基础。
　　
　　组织规划保护管理员账户的安全时应该采起的主要措施包括：
　　
　　定义过程，下降管理员账户遭受破坏的风险。
　　
　　肯定策略，增长 Active Directory 中管理账户的安全性。
　　
　　使用最小特权这一原则。
　　
　　区分域管理员和企业管理员角色。
　　
　　使用 Secondary Logon 服务区分用户和管理员账户。
　　
　　遵循最佳作法指导原则，保护管理员账户安全