企业内部系统账户安全策略

简介:
  不论是活动目录中还是本地中,administrator账户都是权限最高的账户,不论我们做了多少安全防范,一旦入侵者破解了administrator账户,那么我们所做的一切都是白费。所以,管理员账户的安全是所有安全的基础。一般来说,我们经常会改变administrator的账户名来防止黑客对管理员账户的攻击。我们可以通过AD管理器或者策略进行管理。在组策略的安全设置——本地策略——安全选项中也是可以修改管理员账户的。以前我们会感觉如果计算机安全,那么用户账户就是安全的,但是有时候用户账户安全往往是我们计算机安全的保证,所以修改账户名,给administrator有一个强度很高的密码是必须的。
      在很多账户安全守则上都会提到,一般服务器上我们选择创建陷阱账户来保证服务器的安全。也就是修改administrator账户的用户名后,创建一个没有权限的administrator账户。现在还是有很多黑客使用字典攻击,当我们为账户设置强密码和陷阱账户,并定期更改密码,那么账户安全就提高了很多。
      默认情况下,windows server 2003/2008中,用户账户信息储存在systemroot%\system32\config\SAM中,它就是用户账户的数据库,也就是说当入侵者入侵了SAM数据库时,也就等于攻破了我们的最终防线。通常情况下,我们使用加密的方式保护SAM文件。
       image
我们在运行中输入syskey,就会出现上述的界面,我们先选择更新。
       image
      我们看到其中有两个选项,在软盘上保存启动密码,在本机上保存启动密码。现在很少使用软盘了。而在这个应用上我倒觉得软盘不错,它好像是一台计算机的钥匙,开机的时候必须插上软盘才能启动,在本机保存启动密码则将密码保存在系统中,也就是说密码在电脑自己放的一个位置,每次开机的时刻计算机会自己寻找钥匙开启密码打开账户,而计算入侵者入侵了SAM数据库,也无法打开获取账户信息。
      在这里,我还想穿插一点关于活动目录用户的,在windows server 2003/2008中,微软发布了一个回复活动目录中账户的工具,很小很好用。最近在写关于邮件服务器方面的内容想起来的,因为我们删除了邮箱就删除了用户,回复的时候需要创建一个同名同密码的账户,但由于SID不同,所以就算邮箱恢复过来,权限也是需要重新设置的,所以这里就用到了这个小工具,我来介绍一下它的用法。
adrestore.exe是软件的名字,在微软官方搜索是有下载的,目前可以适用于03和08系统。
首先我们在活动目录中,删除我们用来测试的账户。将小工具提取到C盘,然后我们进入CMD模式,CD到C盘下。
image
dir显示之后我们可以看到有我们安装的文件,然后键入 adrestore.exe -r,确定后,便成功恢复。
image
      恢复之后我们可以看到我们删除的用户或者组了,只是账户已经被锁定,我们手动启用便可以正常运用了。
      最近在研究windows 安全方面,其实一些基础的安全设置才是服务器不被入侵的保证。欢迎大家一起来交流。

本文转自 郑伟  51CTO博客,原文链接:http://blog.51cto.com/zhengweiit/309114

相关文章
|
7月前
|
存储 运维 安全
从西工大安全事件浅谈特权账号管理系统
去年9月,国家计算机病毒应急处理中心发布《西北工业大学遭美国NSA网络攻击事件调查报告(之一)》(以下简称“西工大事件报告”),以充分详实的证据揭示了美国NSA使用41种武器,先后使用了遍布17个国家的54台跳板机和代理服务器,对我国包括西北工业大学等多个重要数据设施网络系统进行了长时间的渗透准备和攻击,
76 0
|
4月前
|
监控 安全
OT安全实现问题之企业对帐户安全问题如何解决
OT安全实现问题之企业对帐户安全问题如何解决
24 0
|
监控 安全 数据安全/隐私保护
特权账号的安全和风险管理
在日常账号管理中,特权账号风险无处不在。无论是蓄意破坏的“外部人员”,还是粗心大意或心怀不满的“内部人员”,都会对您的核心业务造成严重破坏。无论哪种情况,管理不善的特权凭证和账号都是常见的漏洞。
320 0
特权账号的安全和风险管理
|
7月前
|
安全 项目管理 数据安全/隐私保护
解密项目管理系统:如何确保用户数据安全?
Zoho Projects保障用户数据安全,措施包括:拥有专业隐私安全团队,执行安全计划和合规审查;内部和第三方审计确保符合安全标准;在北京和上海建有安全数据中心,实行数据实时备份。用户层面,提供单点登录和多因素验证(如Zoho OneAuth和Yubikey支持)增强账户安全。此外,Zoho遵循GDPR、国家信息安全等级保护三级认证、SOC2 Type Ⅱ、ISO 27001、ISO 27017、ISO 27018和ISO 27701等多重国际安全和隐私保护标准。
69 3
|
安全 数据库 数据安全/隐私保护
特权账号管理之风险检测
特权账号是信息资产防护最关键的一个环节,数据的加密只能对普通账号生效,对特权账号是放开管控的,涉及到业务系统,优先保证其完整性和可靠性,是无法完全以加密的方式一刀切处理。
98 0
特权账号管理之风险检测
|
7月前
|
安全
特权账号管理误区
随着账号风险事件的频繁发生,各个组织越来越重视特权账号的安全管理,但在日常实践中,我们发现各个组织对特权账号安全管理普遍存在以下误区
50 0
|
运维 安全 大数据
构建多账号云环境的解决方案|多账号身份权限集中管理
企业客户在阿里云采用多账号的资源结构,如果需要在每个账号内配置身份和权限,管理成本和安全风险都会大大增加。阿里云开放平台云SSO产品专家 夜来为您介绍如何使用云SSO进行多账号身份权限统一管理,包括与企业自有身份系统集成、统一的身份管理和多账号的权限配置。
1188 5
|
安全 数据库 数据安全/隐私保护
特权账号管理的重点
账号权限的最小化是目前对特权账号权限管理的主要原则之一,但在实际的工作中,通常情况下,账号权限的会因为要保障业务顺利开展而进行扩大
118 0
|
安全 数据安全/隐私保护 数据中心
针对现状为什么需要对特权账号进行管理
通常数据中心资产都存在大量的弱密码账号,在护网、攻防演练、甚至黑客入侵中,入侵方首要的突破口就是通过撞库、爆破等手段探测弱密码账号,根据获取的弱密码账号进行提权、横向渗透。这类账号的危害极高。
77 0
|
存储 运维 安全
特权账号安全管理的难点
账号的全生命周期管理,风险检测中心,账号领用中心。这三大管理模块,可以从账号本身的管理,系统的风险检测预警和业务支持等各个方面保证信息系统中的特权账号的受控和安全。
74 0