概述本文檔描述了 Computing Services 制定的指導方針,,以確保安全使用具有管理員或特權訪問權限的 Windows 操作系統(tǒng)賬戶,。 適用于具有管理員或特權訪問權限的任何計算機、設備或應用程序上的 Windows 操作系統(tǒng)賬戶,。 指南的目的Carnegie Mellon Computing Policy為使用計算,、電話和信息資源制定了一般政策。本指南的目的是建立可接受的實踐來支持適用于 Windows 管理員賬戶 的策略,。 此外,,本指南的目的是介紹有效的做法,旨在減少入侵者訪問特權賬戶的機會,,減少不需要和/或惡意軟件的秘密安裝的發(fā)生,,提高共享時特權賬戶的安全性和可管理性在工作組內,并根據(jù)最小權限原則限制特權賬戶的使用,。 定義/說明所有 Microsoft Windows 系統(tǒng)都有一個本地管理員賬戶,,通常稱為“管理員”。此賬戶具有提升的特權(超級用戶)訪問權限,,因此,,惡意攻擊者通常使用它來嘗試破壞系統(tǒng)。如果您訪問 Internet 站點或打開電子郵件附件,,您可能會損壞您的計算機,,因為可能會部署惡意代碼,這些代碼將在您的計算機上下載并執(zhí)行,。如果您在本地計算機上以管理員或同等身份登錄,,惡意代碼可以重新格式化您的硬盤驅動器,刪除您的文件,,并創(chuàng)建一個具有管理權限的新用戶賬戶以供惡意使用,。 對于大多數(shù)目的(例如,日常用戶活動),,管理員賬戶不需要執(zhí)行手頭的任務,。 最小權限原則 – 規(guī)定所有用戶都應使用具有完成當前任務所需的絕對最低權限的用戶賬戶登錄。
指南聲明采取的步驟: 1. 立即更改任何 Windows 系統(tǒng)默認附帶的“管理員”賬戶密碼,。密碼應符合批準的密碼準則,。 2. 在創(chuàng)建具有管理員權限的新賬戶時,請避免使用標識分配權限級別的賬戶名稱,,例如“_admin”,、“super_user”、“sysadmin”等,。 3. 將最小權限原則應用于所有賬戶,。因此,對于不需要管理員權限的正常日常計算使用,,請僅登錄具有“有限”權限的賬戶,。 4. 限制誰有權訪問具有管理員權限的賬戶。如果允許訪問,,請將訪問范圍限制為僅授權計算機,。 5. 審核所有管理員登錄/注銷事件、失敗的登錄嘗試并查看事件日志以了解管理員賬戶上的意外密碼更改,。及時調查意外或不尋常的發(fā)現(xiàn),。 6. 不要在腳本文件(或任何未加密的文件)中包含賬戶名和密碼。例如,,在Windows 系統(tǒng)上,,使用“RunAs”命令啟動系統(tǒng)腳本。 7. 考慮從已知的安全機器遠程更改管理員密碼,,以避免在受感染的計算機上出現(xiàn)“鍵盤記錄器”的可能性,。 8. 考慮禁用 SAM 枚舉。SAM 枚舉是列出給定機器上所有賬戶名和 SID 的能力,。要禁用 SAM 枚舉,,請編輯單個計算機的本地 GPO 或編輯聯(lián)網計算機的域 GPO 之一。 用戶責任和程序最終用戶應與部門管理員討論管理員權限的實施,。用戶應遵守本文檔中指出的和/或部門管理員規(guī)定的所有政策和程序,。如果最終用戶沒有部門管理員,,請聯(lián)系幫助中心。
|
|
|
