不论是活动目录中还是本地中,administrator账户都是权限最高的账户,不论我们做了多少安全防范,一旦入侵者破解了administrator账户,那么我们所做的一切都是白费。所以,管理员账户的安全是所有安全的基础。一般来说,我们经常会改变administrator的账户名来防止黑客对管理员账户的攻击。我们可以通过AD管理器或者策略进行管理。在组策略的安全设置——本地策略——安全选项中也是可以修改管理员账户的。以前我们会感觉如果计算机安全,那么用户账户就是安全的,但是有时候用户账户安全往往是我们计算机安全的保证,所以修改账户名,给administrator有一个强度很高的密码是必须的。

      在很多账户安全守则上都会提到,一般服务器上我们选择创建陷阱账户来保证服务器的安全。也就是修改administrator账户的用户名后,创建一个没有权限的administrator账户。现在还是有很多黑客使用字典攻击,当我们为账户设置强密码和陷阱账户,并定期更改密码,那么账户安全就提高了很多。

      默认情况下,windows server 2003/2008中,用户账户信息储存在systemroot%\system32\config\SAM中,它就是用户账户的数据库,也就是说当入侵者入侵了SAM数据库时,也就等于攻破了我们的最终防线。通常情况下,我们使用加密的方式保护SAM文件。

企业内部系统账户安全策略_系统

我们在运行中输入syskey,就会出现上述的界面,我们先选择更新。

企业内部系统账户安全策略_企业_02

      我们看到其中有两个选项,在软盘上保存启动密码,在本机上保存启动密码。现在很少使用软盘了。而在这个应用上我倒觉得软盘不错,它好像是一台计算机的钥匙,开机的时候必须插上软盘才能启动,在本机保存启动密码则将密码保存在系统中,也就是说密码在电脑自己放的一个位置,每次开机的时刻计算机会自己寻找钥匙开启密码打开账户,而计算入侵者入侵了SAM数据库,也无法打开获取账户信息。

      在这里,我还想穿插一点关于活动目录用户的,在windows server 2003/2008中,微软发布了一个回复活动目录中账户的工具,很小很好用。最近在写关于邮件服务器方面的内容想起来的,因为我们删除了邮箱就删除了用户,回复的时候需要创建一个同名同密码的账户,但由于SID不同,所以就算邮箱恢复过来,权限也是需要重新设置的,所以这里就用到了这个小工具,我来介绍一下它的用法。

adrestore.exe是软件的名字,在微软官方搜索是有下载的,目前可以适用于03和08系统。

首先我们在活动目录中,删除我们用来测试的账户。将小工具提取到C盘,然后我们进入CMD模式,CD到C盘下。

企业内部系统账户安全策略_账户_03

dir显示之后我们可以看到有我们安装的文件,然后键入 adrestore.exe -r,确定后,便成功恢复。

企业内部系统账户安全策略_系统_04

      恢复之后我们可以看到我们删除的用户或者组了,只是账户已经被锁定,我们手动启用便可以正常运用了。

      最近在研究windows 安全方面,其实一些基础的安全设置才是服务器不被入侵的保证。欢迎大家一起来交流。