freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

試談使管理帳戶更安全的最佳做法-資料下載頁(yè)

2025-04-19 00:27本頁(yè)面
  

【正文】 務(wù)必要審核這些特權(quán)憑據(jù)并認(rèn)識(shí)到審核并不僅僅是檢查密碼長(zhǎng)度。 審核也是一種查明管理帳戶已執(zhí)行的任務(wù)的有用工具。 在配置和啟用審核之后,使用事件查看器查看創(chuàng)建的安全日志。 定期審核還可以檢測(cè)未使用的域級(jí)管理帳戶。 非活動(dòng)的域級(jí)管理帳戶會(huì)為網(wǎng)絡(luò)環(huán)境帶來(lái)安全漏洞,特別是在攻擊者在您不知不覺(jué)的情況下對(duì)他們進(jìn)行攻擊時(shí)。 您應(yīng)該刪除任何未使用的域級(jí)管理員帳戶或組。禁止帳戶委派您應(yīng)該將所有域級(jí)管理員用戶帳戶標(biāo)為“敏感帳戶,不能被委派”。 此操作有助于防止通過(guò)標(biāo)為“可委派其他帳戶”的服務(wù)器模擬憑據(jù)。當(dāng)網(wǎng)絡(luò)服務(wù)接受用戶請(qǐng)求并假定要啟動(dòng)與另一個(gè)網(wǎng)絡(luò)服務(wù)的新連接的用戶身份時(shí),進(jìn)行委派身份驗(yàn)證。 委派身份驗(yàn)證對(duì)于在多臺(tái)計(jì)算機(jī)上使用單一登錄功能的多層應(yīng)用程序非常有用。 例如,域控制器自動(dòng)受信任以進(jìn)行委派。 如果您在文件服務(wù)器上啟用加密文件系統(tǒng) (EFS),必須信任此服務(wù)器以進(jìn)行委派,以便代表用戶存儲(chǔ)加密文件。 委派身份驗(yàn)證對(duì)于 Internet 信息服務(wù) (IIS) 支持在其他計(jì)算機(jī)上運(yùn)行的數(shù)據(jù)庫(kù)的 Web 接口的程序也非常重要,例如 Microsoft Exchange Server 中或企業(yè)證書(shū)頒發(fā)機(jī)構(gòu)的 Web 注冊(cè)支持頁(yè)面(如果單獨(dú)的 Web 服務(wù)器托管這些頁(yè))中的 Microsoft Outlook? Web Access (OWA)。您應(yīng)該拒絕對(duì)不安全的計(jì)算機(jī)上 Active Directory 中的計(jì)算機(jī)帳戶進(jìn)行委派身份驗(yàn)證的權(quán)限,并拒絕域管理員帳戶的權(quán)限。 域管理員帳戶有權(quán)訪問(wèn)敏感資源,一旦敏感資源被泄漏,就會(huì)對(duì)您的組織帶來(lái)嚴(yán)重的風(fēng)險(xiǎn)。 有關(guān)詳細(xì)信息,請(qǐng)參閱 ??刂乒芾淼卿涍^(guò)程Administrators 組、Enterprise Admins 組及 Domain Admins 組的成員代表了每個(gè)單獨(dú)的域中權(quán)限最高的帳戶。 要最大程度地降低安全風(fēng)險(xiǎn),請(qǐng)執(zhí)行本指南的后續(xù)部分中描述的步驟,以強(qiáng)制使用強(qiáng)管理憑據(jù)。要求使用智能卡進(jìn)行管理登錄要執(zhí)行所有管理功能,域管理員應(yīng)該使用二元身份驗(yàn)證。 二元身份驗(yàn)證需要兩種東西:? 用戶具有的東西,例如智能卡 ? 用戶知道的東西,例如個(gè)人標(biāo)識(shí)號(hào) (PIN) 要求使用這兩種東西可以降低通過(guò)共享、盜取或復(fù)制一元憑據(jù)(例如用戶名和密碼)未經(jīng)授權(quán)訪問(wèn)的風(fēng)險(xiǎn)。在您保護(hù)域管理員帳戶時(shí),二元身份驗(yàn)證是一個(gè)重要環(huán)節(jié),因?yàn)槌R?guī)的用戶名和密碼是任意文本憑據(jù),通常由自然語(yǔ)言字符集組成。 因此,惡意用戶在下列情況下可以盜取、共享或復(fù)制它們:? 受信任的用戶與未經(jīng)授權(quán)的用戶共享密碼,或以不安全的方式記錄密碼(例如,將記錄密碼的便箋粘貼在顯示器上)。 ? 以純文本格式發(fā)送密碼。 ? 在登錄時(shí),使用硬件或軟件設(shè)備捕獲通過(guò)鍵盤(pán)輸入的內(nèi)容。 如果您要求您的管理員使用智能卡進(jìn)行交互式登錄,這將強(qiáng)制管理用戶使用其自己的智能卡登錄,并確保使用隨機(jī)生成的、加密性強(qiáng)的用戶帳戶密碼。 這些強(qiáng)密碼有助于防止盜取弱密碼以獲得管理權(quán)限。如果您為每個(gè)管理用戶帳戶啟用“交互式登錄必須使用智能卡”帳戶選項(xiàng),您可以強(qiáng)制使用智能卡。 智能卡 PIN 是各個(gè)卡所有者設(shè)置并存儲(chǔ)在卡上的加密代碼。 此 PIN 是用戶在使用智能卡進(jìn)行身份驗(yàn)證時(shí)必須提供的字符串,以便可以使用私鑰。 智能卡上的每個(gè)私鑰均是唯一的,這保證了身份驗(yàn)證的單一性。在域管理員進(jìn)行交互式登錄時(shí),智能卡身份驗(yàn)證尤為重要。 智能卡可以使負(fù)責(zé)多臺(tái)均需要身份驗(yàn)證的服務(wù)器的域管理員的工作更加輕松。 您可以使用具有共同的 PIN 的唯一智能卡來(lái)保護(hù)服務(wù)器,而不需要管理員為每臺(tái)服務(wù)器(他必須對(duì)其進(jìn)行身份驗(yàn)證)設(shè)置單獨(dú)的密碼。注:Windows 2000 Server 支持使用智能卡進(jìn)行遠(yuǎn)程訪問(wèn);但是,要求 Windows Server 2003 支持使用域級(jí)帳戶的智能卡。 還要求 Windows Server 2003 通過(guò) Secondary Logon 服務(wù)的 runas 命令使用智能卡憑據(jù)。域管理員使用智能卡,采用本指南介紹的原則和做法,可以幫助組織顯著提高其網(wǎng)絡(luò)資產(chǎn)的安全。有關(guān)使用智能卡進(jìn)行身份驗(yàn)證的詳細(xì)信息,請(qǐng)參閱下列資源:? Microsoft TechNet 網(wǎng)站 。 ? 。 共享敏感管理帳戶的登錄憑據(jù)對(duì)于每個(gè)您認(rèn)為敏感的帳戶(例如,目錄林根域中 Enterprise Admins 或 Domain Admins 組的一個(gè)成員),指派兩個(gè)用戶共享此帳戶,以便這兩個(gè)用戶成功使用此帳戶登錄。 如果您共享這些帳戶,將提供固有、直觀的審核: 一個(gè)用戶可以監(jiān)視另一個(gè)用戶執(zhí)行的操作。 另外,這樣還會(huì)防止單個(gè)用戶作為管理員秘密登錄訪問(wèn)計(jì)算機(jī),以免惡意管理員在被脅迫的情況下威脅到計(jì)算機(jī)的安全。您可以采用使用拆分的密碼或智能卡及 PIN 的共享管理帳戶。 如果您使用管理帳戶的基于密碼的憑據(jù),拆分共享帳戶的兩個(gè)用戶的密碼,以便每個(gè)用戶只知道一半密碼。 每個(gè)用戶均負(fù)責(zé)保護(hù)一半密碼。 例如,您可以創(chuàng)建一個(gè)稱為 Admin1 的管理帳戶,指派兩個(gè)受信任用戶(Jane 和 Bob)共享此帳戶。 每個(gè)用戶均保護(hù)一半密碼。 如果其中一個(gè)用戶登錄并使用此帳戶,另一個(gè)用戶必須輸入另一半密碼。共享管理帳戶選項(xiàng)的缺點(diǎn)是審核的整個(gè)過(guò)程中缺乏責(zé)任。 組織需要適當(dāng)?shù)夭扇∧承┢渌刂拼胧ɡ鐢z像機(jī)監(jiān)視),以確保用戶沒(méi)有濫用這些共享特權(quán)。如果您使用管理帳戶的基于智能卡的憑據(jù),拆分共享帳戶的兩個(gè)用戶的智能卡及其 PIN 的所有權(quán),以便一個(gè)用戶保留智能卡的實(shí)際所有權(quán),另一個(gè)用戶保護(hù) PIN。 這樣,兩個(gè)用戶必須登錄到此帳戶。限制域管理員可以登錄的方式和位置組織應(yīng)該限制域級(jí)管理員可以登錄的方式和位置。 如果管理員的任務(wù)或角色需要,他們可以交互式登錄到他們具有對(duì)其的特權(quán)的域控制器,但是您應(yīng)該仍需要進(jìn)行二元身份驗(yàn)證。在以下情況下,您應(yīng)該禁止域管理員登錄到尚未專門(mén)允許域管理員使用的任何計(jì)算機(jī):? 進(jìn)行交互式登錄時(shí) ? 使用遠(yuǎn)程桌面時(shí) ? 作為服務(wù)登錄時(shí) ? 作為批作業(yè)登錄時(shí) 18 / 18
點(diǎn)擊復(fù)制文檔內(nèi)容
公司管理相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖鄂ICP備17016276號(hào)-1