不論是活動目錄中還是本地中,administrator賬戶都是權限最高的賬戶,不論我們做了多少安全防範,一旦***者破解了administrator賬戶,那麼我們所做的一切都是白費。所以,管理員賬戶的安全是所有安全的基礎。一般來說,我們經常會改變administrator的賬戶名來防止***對管理員賬戶的***。我們可以通過AD管理器或者策略進行管理。在組策略的安全設置——本地策略——安全選項中也是可以修改管理員賬戶的。以前我們會感覺如果計算機安全,那麼用戶賬戶就是安全的,但是有時候用戶賬戶安全往往是我們計算機安全的保證,所以修改賬戶名,給administrator有一個強度很高的密碼是必須的。
在很多賬戶安全守則上都會提到,一般服務器上我們選擇創建陷阱賬戶來保證服務器的安全。也就是修改administrator賬戶的用戶名後,創建一個沒有權限的administrator賬戶。現在還是有很多***使用字典***,當我們爲賬戶設置強密碼和陷阱賬戶,並定期更改密碼,那麼賬戶安全就提高了很多。
默認情況下,windows server 2003/2008中,用戶賬戶信息儲存在systemroot%\system32\config\SAM中,它就是用戶賬戶的數據庫,也就是說當***者***了SAM數據庫時,也就等於攻破了我們的最終防線。通常情況下,我們使用加密的方式保護SAM文件。
我們在運行中輸入syskey,就會出現上述的界面,我們先選擇更新。
我們看到其中有兩個選項,在軟盤上保存啓動密碼,在本機上保存啓動密碼。現在很少使用軟盤了。而在這個應用上我倒覺得軟盤不錯,它好像是一臺計算機的鑰匙,開機的時候必須插上軟盤才能啓動,在本機保存啓動密碼則將密碼保存在系統中,也就是說密碼在電腦自己放的一個位置,每次開機的時刻計算機會自己尋找鑰匙開啓密碼打開賬戶,而計算***者***了SAM數據庫,也無法打開獲取賬戶信息。
在這裏,我還想穿插一點關於活動目錄用戶的,在windows server 2003/2008中,微軟發佈了一個回覆活動目錄中賬戶的工具,很小很好用。最近在寫關於郵件服務器方面的內容想起來的,因爲我們刪除了郵箱就刪除了用戶,回覆的時候需要創建一個同名同密碼的賬戶,但由於SID不同,所以就算郵箱恢復過來,權限也是需要重新設置的,所以這裏就用到了這個小工具,我來介紹一下它的用法。
adrestore.exe是軟件的名字,在微軟官方搜索是有下載的,目前可以適用於03和08系統。
首先我們在活動目錄中,刪除我們用來測試的賬戶。將小工具提取到C盤,然後我們進入CMD模式,CD到C盤下。
dir顯示之後我們可以看到有我們安裝的文件,然後鍵入 adrestore.exe -r,確定後,便成功恢復。
恢復之後我們可以看到我們刪除的用戶或者組了,只是賬戶已經被鎖定,我們手動啓用便可以正常運用了。
最近在研究windows 安全方面,其實一些基礎的安全設置纔是服務器不被***的保證。歡迎大家一起來交流。