保护Windows本地管理员帐户安全

你是否知道，只要有人掌握了本地管理员帐户，就能够在你的网络上造成一场大灾难？锁住这个帐户能够让你的企业系统更加安全。Mike Mullins在这里提供了一些方法，让你能够快速地保护本地管理员帐户。

在企业系统里，黑客只要拥有了这一个帐户，就能够给网络造成一场大灾难。这个帐户通常被称为根帐户，对于Windows管理员来说更熟悉的名字是本地管理员帐户。

这个帐户理所当然会受到更多关注，因为它拥有连接到域中每台计算机的全部控制权限。这意味着这个帐户可以访问网络上的所有文件和应用，在不被允许的情况下，它甚至也可以为自己分配权限来访问文件。

安装Windows操作系统会自动创建这个帐户，我敢向你保证每一个可能的黑客都已经知道这个帐户的默认用户名和密码。保护这个帐户会大大提高你所在企业的系统安全性。下面我们看一些能够快速保护本地管理员帐户的方法。

    让管理员帐户使用难度加大

无论你使用的是Windows的哪个版本，你需要做的第一件事情就是更改用户名，并设定一个复杂难解的密码。当然不要把密码的长度弄得太长或者把密码弄得太复杂，如果你不能记住它，而是需要把它写在记事帖，贴到“保密的地方”，那就糟糕了。如果你必须把用户名和密码写下来，你一定要把它们锁在带锁的档案柜里，而且不要把钥匙给别人。

    禁用管理员帐户

让登录信息变得难以破解是很好的开始，但是你不应该就此停步。在不需要使用的时候禁用这个帐户是个不错的主意。

为什么禁用管理员帐户呢？你应该像对待其他你不需要使用的服务一样对待这个帐户：如果不需要，就禁用它。禁用本地管理员帐户，或者禁止该帐户通过访问工作站或服务器。这样做会给那些希望使用这个超级帐户来为非作歹的黑帽子黑客以沉重打击。

不过我有一个警告。在你禁用任何工作站或者服务器上的本地管理员帐户之前，你都要确认系统至少保留了一个有管理权限的用户，否则你接下来所进行的操作就将是不可逆转的。

    在Windows 2000中保护管理员帐户

Windows 2000不允许你禁用管理员帐户。但是，你可以采取以下步骤来获得同等的安全保障。具体步骤如下：
1. 使用管理员帐户或者具有管理权限的用户帐户登录。
2. 打开“开始”菜单| 程序 | 管理工具|本地安全策略
3. 在本地安全设置窗口，选择“本地策略”，然后选择“用户权限设置”。
4. 双击“拒绝通过网络访问本台电脑”。
5. 在“安全策略设置”对话框中，点击“添加”。
6. 在“选择用户或组”的对话框中，选择该管理员帐户，然后点击“添加”。
7. 按两次OK，然后关闭本地安全设置窗口。

重启系统让这些更改生效。

    在Windows XP和Windows Server 2003之中禁用管理员帐户

可以采用下面的步骤来禁用本地管理员帐户：
1. 使用管理员帐户或者具有管理权限的用户帐户登录。
2. 用鼠标右键点击“我的电脑”，然后选择“管理”。
3. 打开“本地用户和组”，然后选择用户。
4. 双击“管理员”。
5. 选择“禁用帐户”选择框，然后点击“OK”。
6. 管理“计算机管理”窗口。等到你退出后，所修改的设置将生效。

    总结

绝大部分管理员不会使用本地管理员帐户。相反，他们往往会使用具有管理员权限的用户帐户。除非是无法避免的情况下，管理员们才会通过网络使用本地帐户行使管理功能。

现在就开始检查你的网络，并为相关人员委派相应的责任是个不错的主意。如果有人需要使用本地管理员帐户来完成日常工作的话，那么你就需要重新评估这些帐户的授权以及你的网络。

    作者简介
Mike Mullin曾经担任美国经济情报局的数据库管理员和助理网络管理员。他目前在Defense Information Systems Agency担任网络安全管理员。