对于黑客来说,系统管理员帐户一直是攻击的主要目标,而Windows的管理员帐户更是重要。虽然很多网络管理员或者电脑用户都知道管理 员帐户对于系统整体安全性的重要意义,但是对于如何锁定管理员帐户,仍然有不少人存有错误的认识。说到访问帐户,每一个黑客的目的都 是管理员帐户(或者是root帐户)。
在Windows系统中存在的一个很明显的问题是,管理员帐户可以不设置密码,并且管理员帐户的名字总是administrator。虽然很多用户都知道 这个帐户对于系统整体安全性的重要,但是在锁定管理员帐户时,还是会出现一些对管理员帐户的误解。
更改管理员帐户名称可以防止黑客发现管理员帐户
针对Windows 2000系统:此方法无效。Windows 2000管理员帐户的安全识别码默认都是500。黑客通过活动目录或者本地SAM中的SID就可以定位 管理员帐户。当然,也可以在域中禁用SID列举:
打开活动目录用户和计算机控制台。
右键点击域名,选择属性。
点击组策略选项卡,然后点击默认域策略,选择编辑。
进入计算机配置|Windows设置|安全设置|本地策略|安全选项。
点击匿名连接额外设置,选择定义本策略。
从下拉菜单中选择不允许列举或共享SAM帐户。
点击确定,关闭控制台。
进入开始|运行,键入cmd,点击确定。
在命令提示符下输入gpupdate,按回车键,然后输入exit并按回车键。
针对Windows Server 2003系统:此方法可行。Windows Server 2003系统允许彻底禁用系统内建的管理员帐户。但是在禁用管理员帐户前,仍 需要禁用SID的列举功能。禁止SID列举功能的方法与上面所述类似,唯一不同的是:双击网络访问而不是匿名连接额外设置,然后选择允许匿 名SID/名称转化,同时确定你已经禁用了该策略。
另外不要忘记,在禁用管理员帐户前,需要先创建一个新的管理员帐户。然后根据一下步骤禁用原有的管理员帐户:
使用新建立的管理员帐户登录,然后打开活动目录用户和计算机控制台,选择用户容器。
右键点击默认的管理员帐户名字,然后点击属性。
在帐户选项卡中选择帐户选项中的帐户禁用复选框,然后点击确定。
现在,系统唯一的一个管理员帐户就只有自己知道了,并且黑客也无法通过列举SID找到管理员的帐户。
管理员帐户在多次错误登录尝试后也不会被锁定
对于Windows 2000系统:不正确。如果你在安全选项中设定了帐户锁定,那么通过网络登录的时候,如果达到了规定次数,管理员帐户也会被 锁定。(对于交互式或者控制台登录的管理员帐户没有此限制)要配置管理员帐户在多次错误登录后被锁定,需要一个叫做Passprop.exe的程 序。 这个程序包含在Windows 2000专业版工具包(Resource Kit)或者Windows 2000服务器版工具包的Netmgmt.cab文件中。对于Windows Server 2003系统:同样不正确。和Windows 2000一样,可以用Passprop.exe工具将管理员帐户设定成在多次登录失败后自动锁定。但是,需要 注意的是,Windows Server 2003版本的Passprop.exe会同时将默认的管理员帐户锁定,不论是通过网络登录失败还是交互式登录失败。因此需 要有一个解锁帐户的策略。
[推荐]Windows系统管理员帐户的谣传
您现在的位置: