1、 HYPERLINK / 更多企業學院： 中小企業治理全能版183套講座+89700份資料總經理、高層治理49套講座+16388份資料中層治理學院46套講座+6020份資料國學智慧、易經46套講座人力資源學院56套講座+27123份資料各時期職員培訓學院77套講座+ 324份資料職員治理企業學院67套講座+ 8720份資料工廠生產治理學院52套講座+ 13920份資料財務治理學院53套講座+ 17945份資料銷售經理學院56套講座+ 14350份資料銷售人員培訓學院72套講座+ 4879份資料使治理帳戶更安全的最佳做法為更安全地使用 Windows Server 2003 中的治理帳戶而應遵循

2、的最佳做法指導原則包括：? 區分域治理員和企業治理員角色。 ? 區分用戶帳戶和治理員帳戶。 ? 使用 Secondary Logon 服務。 ? 運行單獨的“Terminal Services”會話進行治理。 ? 重命名默認治理員帳戶。 ? 創建虛假治理員帳戶。 ? 創建次要治理員帳戶并禁用內置治理員帳戶。 ? 為遠程治理員登錄啟用帳戶鎖定。 ? 創建強治理員密碼。 ? 自動掃描弱密碼。 ? 僅在受信任計算機上使用治理憑據。 ? 定期審核帳戶和密碼。 ? 禁止帳戶委派。 ? 操縱治理登錄過程。 治理員帳戶安全規劃指南第 3 章 - 使治理員帳戶更安全的指導原則更新日期： 2005年07月04日

3、本章介紹了一些使治理帳戶更安全的常規最佳做法指導原則。 這些指導原則遵循第 2 章“使治理員帳戶更安全的方法”所介紹的原則。使治理員帳戶更安全的指導原則概述每次安裝新的 Active Directory? 目錄服務之后，就會為每個域創建一個治理員帳戶。 默認情況下，不能刪除或鎖定此帳戶。 在 Microsoft? Windows Server? 2003 中，能夠禁用治理員帳戶，但以安全模式啟動計算機時，會自動重新啟用此帳戶。 企圖攻擊計算機的惡意用戶通常先查找有效帳戶，然后嘗試升級此帳戶的權限。 另外，他可能還利用推測密碼技術竊取治理員帳戶密碼。 由于此帳戶具有許多權限且不能被鎖定，惡意用戶

4、以此帳戶為攻擊對象。 他可能還試圖引誘治理員執行某些將授予攻擊者權限的惡意代碼。 區分域治理員角色和企業治理員角色由于企業治理員角色在目錄林環境下具有最終權限，您必須執行以下兩個操作之一，以確保專門好地操縱它的使用。 您能夠創建并選擇一個受到完善愛護的帳戶作為 Enterprise Admins 的成員，或者選擇不使用這些憑據設置帳戶，而是僅在需要這些特權的授權任務要求創建此類帳戶時才創建。 在此帳戶完成任務之后，您應該立即刪除臨時 Enterprise Admins 帳戶。區分用戶帳戶和治理員帳戶關于擔任治理員角色的每個用戶，您應該創建兩個帳戶： 一個一般用戶帳戶，執行典型日常任務（例如電子

5、郵件和其他程序）；一個治理帳戶，僅執行治理任務。 您不應使用治理帳戶來發送電子郵件、運行標準程序或掃瞄 Internet。 每個帳戶必須擁有唯一的密碼。 這些簡單的防范措施大大地降低了帳戶被攻擊的風險，并縮短了治理帳戶登錄到計算機或域所需的時刻。使用 Secondary Logon 服務在 Microsoft Windows? 2000, Windows XP Professional 和 Windows Server 2003 中，您能夠作為與當前登錄的用戶不同的用戶運行程序。 在 Windows 2000 中，Run as 服務提供此功能，在 Windows XP 和 Windows Se

6、rver 2003 中，它稱為 Secondary Logon 服務。 Run as 和 Secondary Logon 服務是名稱不同的相同服務。 Secondary Logon 同意治理員使用非治理帳戶登錄到計算機，無須注銷，只需在治理環境中運行受信任的治理程序即可執行治理任務。 Secondary Logon 服務解決了運行可能易受惡意代碼攻擊的程序的治理員提出的安全風險問題；例如，使用治理權限登錄、訪問不受信任的網站的用戶。Secondary Logon 要緊適用于系統治理員；然而，任何擁有多個帳戶、需要在不同帳戶環境中無需注銷即可啟動程序的用戶也能夠使用它。 Secondary Lo

7、gon 服務設置為自動啟動，使用運行方式工具作為其用戶界面，使用 runas.exe 作為其命令行界面。 通過使用運行方式，您能夠運行程序 (*.exe)、保存的 Microsoft 治理操縱臺 (MMC) 操縱臺 (*.msc)、程序快捷方式及“操縱面板”中的項目。 即使您使用沒有治理權限的標準用戶帳戶登錄，只要您在系統提示輸入適當的治理用戶帳戶和密碼憑據時輸入它們，您就能夠作為治理員運行這些程序。假如您擁有其他域的治理帳戶的憑據，運行方式同意您治理其他域或目錄林中的服務器。注：不能使用運行方式啟動某些項目，例如桌面上的打印機文件夾、我的電腦和網上鄰居。使用運行方式能夠通過多種方法來使用運行

8、方式：使用運行方式來啟動使用域治理員帳戶憑據的命令解釋器1. 單擊“開始”，然后單擊“運行”。 2. 在“運行”對話框中，鍵入 runas /user:administrator cmd（其中 是您的域名），然后單擊“確定”。 3. 當系統提示輸入 domain_nameadministrator 帳戶的密碼時，鍵入治理員帳戶的密碼，然后按 ENTER 鍵。 4. 一個新操縱臺窗口打開，表示正在治理環境中運行。 此操縱臺標題標識為作為domain_nameadministrator 運行。 使用運行方式來運行“操縱面板”中的項目1. 在 Windows XP 或 Windows Server

9、2003 中，依次單擊“開始”、“操縱面板”。 2. 按住 SHIFT 鍵，同時右鍵單擊您要在治理環境中運行的工具或程序（例如，“添加硬件”）。 3. 在快捷方式菜單上，單擊“運行方式”。 4. 在“運行身份”對話框中，單擊“下列用戶”，然后鍵入相應的域名、治理員帳戶名和密碼；例如：CORPDOMAINAdministratorPssw0rd 5. 單擊“確定”。此程序在治理環境中運行。 使用運行方式來打開“開始”菜單中的程序（例如 Active Directory 用戶和計算機）1. 在 Windows Server 2003 中，單擊“開始”，指向“治理工具”，然后右鍵單擊“Active

10、Directory 用戶和計算機”。 2. 在快捷方式菜單上，單擊“運行方式”。 您還能夠使用可執行命令行有用程序 runas.exe 來運行程序，并從命令行啟動治理操縱臺。在本地計算機上作為治理員啟動命令提示符實例1. 單擊“開始”，然后單擊“運行”。 2. 在“運行”對話框中，鍵入 runas /user:administrator cmd 。 3. 單擊“確定”。 4. 出現提示時，在命令提示符窗口中鍵入治理員密碼，然后按 ENTER 鍵。 在corpdomain域中使用稱為 domainadmin的域治理員帳戶啟動“計算機治理”治理單元實例1. 單擊“開始”，然后單擊“運行”。 2.

11、在“運行”對話框中，鍵入 runas /user: mmc %windir%system32compmgmt.msc 3. 單擊“確定”。 4. 出現提示時，在命令提示符窗口中鍵入帳戶密碼，然后按 ENTER 鍵。 您還能夠使用 runas.exe 來運行程序，并使用智能卡憑據從命令行啟動治理操縱臺。使用智能卡憑據在本地計算機上作為治理員啟動命令提示符實例1. 單擊“開始”，然后單擊“運行”。 2. 在“運行”對話框中，鍵入 runas /smartcard /user:administrator cmd 3. 單擊“確定”。 4. 出現提示時，在命令提示符窗口中鍵入智能卡的 PIN 號，然后

12、按 ENTER 鍵。 注：不能輸入密碼作為 runas.exe 的命令行參數，因為如此不安全。運行用于治理的單獨的“終端服務”會話運行方式是治理員在更改其本地計算機時最常用的方法，也可能是執行某些業務線程序的最常用方法。 關于 IT 治理任務，您能夠使用終端服務來連接到您需要治理的服務器。 此方法大大簡化了治理多臺遠程服務器的工作，無需物理訪問每臺遠程服務器，而且不需要您具備在服務器上交互式登錄的權限。 要使用此方法，請使用一般用戶帳戶憑據登錄，然后作為域治理員運行“終端服務”會話。 您只能在“終端服務”會話窗口中執行域治理任務。重命名默認治理員帳戶當您重命名默認治理員帳戶時，沒有明顯指示此帳

13、戶具有提升的特權。 盡管攻擊者仍需要通過密碼使用默認治理員帳戶，然而已命名的默認治理員帳戶應該添加一道附加的愛護層，以防止遭受特權提升的攻擊。 一種方法是使用假想姓和名，并與其他用戶名的格式相同。注：重命名默認治理員帳戶只能阻止某些類型的攻擊。 由于此帳戶的安全 ID 始終相同，攻擊者推斷哪個帳戶是默認治理員帳戶相對比較容易。 另外，工具能夠枚舉組成員，并始終先列出原始治理員帳戶。 為了最好地防止對您的內置治理員帳戶進行攻擊，請創建新的治理帳戶，然后禁用內置帳戶。在域中重命名默認治理員帳戶1. 作為 Domain Admins 組成員（但不是內置治理員帳戶）登錄，然后打開“Active Dir

14、ectory 用戶和計算機”。 2. 在操縱臺樹中，單擊“用戶”。 3. 在詳細信息窗格中，右鍵單擊“治理員”，然后單擊“重命名”。 4. 鍵入假想的名和姓，然后按 ENTER 鍵。 5. 在“重命名用戶”對話框中，改變“全名”、“名”、“姓”、“顯示名”、“用戶登錄名”以及“用戶登錄名”（Windows 2000 前版本）使之匹配假想的帳戶名，然后單擊“確定”。 6. 在詳細信息窗格中，右鍵單擊新建的用戶名，然后單擊“屬性”。 7. 單擊“常規”選項卡。 在“講明”框中，刪除治理計算機/域的內置帳戶，然后鍵入與其他用戶帳戶類似的講明（關于許多組織，此值為空）。 8. 單擊“確定”。 重命名默

15、認的本地治理員帳戶1. 作為本地治理員組成員（但不是內置治理員帳戶）登錄，然后在計算機治理操縱臺中打開本地用戶和組治理單元工具。 2. 在操縱臺樹中，展開“本地用戶和組”，然后單擊“用戶”。 3. 在詳細信息窗格中，右鍵單擊“治理員”，然后單擊“重命名”。 4. 鍵入假想的名和姓，然后按 ENTER 鍵。 5. 在詳細信息窗格中，右鍵單擊新建的用戶名，然后單擊“屬性”。 6. 單擊“常規”選項卡。 在“全名”框中，鍵入新的全名。 在“講明”框中，刪除治理計算機/域的內置帳戶，然后鍵入與其他用戶帳戶類似的講明（關于許多組織，此值為空）。 7. 單擊“確定”。 注：另外，您還能夠使用組策略對象 (

16、GPO) 設置在多臺計算機上重命名默認治理員帳戶。 然而，此設置不同意您修改默認講明。 有關詳細信息，請參閱 /default.aspx?scid=kb;en-us;816109 上的知識庫文章如何在 Windows Server 2003 中重命名治理員帳戶和來賓帳戶。創建虛假治理員帳戶在域中創建虛假治理員帳戶1. 作為 Domain Admins 組成員登錄，然后打開“Active Directory 用戶和計算機”。 2. 右鍵單擊“Users”容器，指向“新建”，然后單擊“用戶”。 3. 在“名”和“用戶登錄名”中鍵入 Administrator，然后單擊“下一步”。 4. 鍵入并確認

17、密碼。 5. 清除“用戶下次登錄時須更改密碼”復選框，然后單擊“下一步”。 6. 驗證虛假帳戶信息是否正確，然后單擊“完成”。 7. 在詳細信息窗格中，右鍵單擊“治理員”，然后單擊“屬性”。 8. 單擊“常規”選項卡。 在“講明”框中，鍵入治理計算機/域的內置帳戶，然后單擊“確定”。 創建虛假的本地治理員帳戶1. 作為本地治理員組成員登錄，然后在計算機治理操縱臺中打開本地用戶和組治理單元工具。 2. 在操縱臺樹中，展開“本地用戶和組”。 3. 右鍵單擊“Users”容器，然后單擊“新建用戶”。 4. 在“用戶名”框中，鍵入 Administrator。 在“講明”框中，鍵入治理計算機/域的內置

18、帳戶。 5. 鍵入并確認密碼。 6. 清除“用戶下次登錄時須更改密碼”復選框。 7. 單擊“創建”。 創建次要治理員帳戶并禁用內置帳戶即使您不使用治理的終端服務，或同意非治理用戶訪問您的服務器，最好的做法是創建其他用戶作為治理服務器的次要治理員帳戶。 您應該將此用戶設置為治理員組成員。 在創建次要帳戶之后，您能夠禁用內置治理員帳戶。 創建次要治理員帳戶1. 作為治理員登錄，然后打開“Active Directory 用戶和計算機”。 2. 右鍵單擊“Users”容器，指向“新建”，然后單擊“用戶”。 3. 在“名”和“用戶登錄名”中鍵入，然后單擊“下一步”。 4. 鍵入并確認強密碼。 5. 清

19、除“用戶下次登錄時須更改密碼”復選框，然后單擊“下一步”。 6. 驗證帳戶信息是否正確，然后單擊“完成”。 7. 在詳細信息窗格中，右鍵單擊“用戶名”，然后單擊“屬性”。 8. 單擊“成員屬于”選項卡，單擊“添加”，鍵入 administrators，單擊“檢查名稱”，然后單擊“確定”。 9. 再次單擊“確定”關閉“屬性”頁。 禁用內置治理員帳戶1. 作為您剛創建的次要治理員帳戶登錄，然后打開“Active Directory 用戶和計算機” 2. 單擊“Users”容器，右鍵單擊內置治理員帳戶名稱，然后單擊“屬性”。 3. 單擊“帳戶”選項卡。 4. 在“帳戶選項”下，向下滾動，然后選擇“帳

20、戶已停用”復選框。 5. 單擊“確定”。 警告：在禁用內置治理員帳戶時，您必須確定是否存在具有相應的治理員特權的其他帳戶。 假如您在沒有確定是否有其他帳戶的情況下禁用內置治理員帳戶，您可能會失去對域的治理權，您可能需要執行系統還原或重新安裝系統才能重新獲得治理權。為遠程治理員登錄啟用帳戶鎖定阻止攻擊者使用內置治理員帳戶和密碼憑據的一種方法是，依照帳戶策略，同意治理員帳戶在發生特定次數的登錄失敗之后被鎖定在網絡之外。 默認情況下，不能鎖定內置治理員帳戶；然而，您能夠使用 passprop.exe（Microsoft Windows 2000 Server Resource Kit 中的命令行程序

21、）為使用治理員帳戶的遠程登錄啟用帳戶鎖定。 在使用 /ADMINLOCKOUT 開關運行 passprop 有用程序時，您應該確保治理員帳戶受帳戶鎖定策略約束。 在 Windows 2000 Server 中，這僅適用于遠程登錄，因為無法在本地計算機上鎖定內置治理員帳戶，此程序同意您愛護治理員帳戶免受網絡攻擊，然而仍同意交互式訪問。 警告：在 Windows Server 2003 中，passprop 同意您通過交互式登錄和遠程登錄來鎖定內置治理員帳戶。您能夠使用 passprop 附帶的下列帳戶鎖定開關：passprop /adminlockout /noadminlockout/admi

22、nlockout 開關用于鎖定治理員。/noadminlockout 開關用于取消鎖定治理員。注：在啟用此設置時，治理員帳戶將被鎖定，任何人都無法使用治理員帳戶進行遠程治理。創建強治理員密碼使用內置治理員帳戶的強密碼。 強密碼能夠最大程度地減少推測密碼并獲得治理員帳戶憑據的攻擊者的攻擊。 強治理員帳戶密碼應該：? 至少包含 15 個字符。 ? 不包含帳戶名、實際姓名或公司名稱。 ? 不包含字典中的完整單詞、任何語言中的俚語或行話。 ? 要明顯不同于往常的密碼。 遞增的密碼（Password1、Password2、Password3.）不是強密碼。 ? 包含來自下表中列出的五組中三組以上的字符。

23、 表 3.1 強治理員密碼的字符類型字符類型 示例 大寫字母 A、B、C. 小寫字母 a、b、c. 數字 0、1、2、3. 非字母數字鍵盤符號 ! # $ % & * ( ) _ + - = | : ; ? , . / Unicode 字符 、G、?、? 使用密碼短語而不是密碼創建不必寫下的強密碼的最簡單方法是使用密碼短語。 實質上，密碼短語是容易記的句子，例如“My son Aiden is three years older than my daughter Anna”。 使用此句中每個單詞的首字母，您能夠創建一個專門好的強密碼。 例如，“msaityotmda”。 只是，您還能夠使用大小

24、寫字母、數字和看似字母的專門字符的組合使此密碼更難以破解。 例如，使用同樣易于經歷的句子和少許技巧，密碼便成了 M$8ni3y0tmd。盡管密碼短語易受字典攻擊，但大多數商業密碼破解軟件不能檢查超過 14 個字符的密碼。 假如用戶使用較長的密碼短語，他們的密碼不太可能會被破解，與傳統強密碼相比，此密碼短語更易于被他們記住。 假如密碼短語易于經歷，用戶幾乎不需要記下密碼。 強密碼短語的專門好的示例：? I te 4 tacos for lunch tody! ? I relly want to buy 11 Dogs! 這些示例是一個超長的密碼短語，包含 20 多個字符，其中包括來自可能的五組中

25、的四組的字符。 它們不是眾所周知的短語，然而它們遠遠比包含由不相關的字符、符號和沒有實際意義的標點符號組成的字母數字字符組合的 15 字符密碼容易經歷。不要使用空的或弱治理員密碼盡管如此會帶來嚴峻的安全風險，但某些組織仍為治理員帳戶設置弱密碼或空密碼。 空密碼或弱密碼代表網絡上最常見的安全漏洞之一，為入侵者提供了一個最容易攻擊的訪問點。 假如您為治理員帳戶設置空密碼或弱密碼，惡意用戶使用差不多的字符組合就能夠訪問您的計算機，例如在“用戶名”框中輸入“Administrator”，在“密碼”框中不輸入任何內容或輸入“administrator”。 空密碼和弱密碼為企圖破解密碼的攻擊者大開方便之門

26、，易受字典攻擊，攻擊者能夠有條不紊地逐一嘗試每個單詞，并能夠使用常見字符序列（例如線性組合的 A-Z 和 0-9）進行強力攻擊。盡管良好的密碼無法保證入侵者不能訪問您的網絡，然而它提供了第一道牢固防線。強制使用強密碼您應該確保您組織的網絡治理員使用強密碼。 在 Windows 2000 Server 和 Windows Server 2003 中，您能夠使用組策略來強制使用強密碼。 定期更改治理員密碼您應該定期更改您的特權帳戶密碼。 依照帳戶泄密對您的組織的阻礙，確定每次更改之間的時刻間隔。 有關如何確定此阻礙的指導原則，請參閱 /technet/security/guidance/secri

27、sk/default.mspx 上的 The Security Risk Management Guide。您應該定期更改您的本地治理員帳戶的密碼。 您能夠使用 Microsoft Windows 2000 Server Resource Kit 中包含的 cusrmgr.exe 工具來對服務器和工作站自動進行此操作。 有關如何使用 cusrmgr.exe 的詳細信息，請參閱 /kb/272530 上的知識庫文章 How to Use the Cusrmgr.exe Tool to Change Administrator Account Password on Multiple Comput

28、ers。另外，您應該定期在域操縱器上更改目錄服務還原模式 (DSRM) 治理員密碼。 Windows 2000 使用 setpwd 有用程序重置 DSRM 密碼。 在 Windows Server 2003 中，Ntdsutil 工具提供此功能。 您能夠遠程使用這兩種工具。自動掃描弱密碼弱密碼和空密碼明顯危及組織的網絡的總體安全。 組織應該開發或購買自動掃描或測試空密碼和弱密碼的軟件。 此類工具使用兩種差不多方法：? 聯機使用常見弱密碼嘗試多次登錄網絡。 Microsoft Baseline Security Analyzer (MBSA) 是此類工具的一個實例。 建議不要使用此方法，因為聯機

29、方法可能導致在啟用帳戶鎖定時拒絕服務。 ? 脫機密碼掃描。 能夠使用某些第三方脫機掃描工具，它們同意治理員識不并修補由于弱密碼或容易推測的密碼而導致的安全漏洞，從而能夠關心降低組織的安全風險。 通常，這些工具先掃描弱密碼，然后提供密碼質量評分、報告和修補功能。 建議使用此方法來測試弱密碼。 在識不使用空密碼或弱密碼的帳戶之后，事件響應應該遵循您組織制定的事件響應協議。 事件響應協議的某些實例： ? 自動系統將帳戶密碼重置為強密碼。 ? 自動系統將電子郵件發送給服務器的所有者以請求重置密碼。 延遲的響應可能會延長服務器安全漏洞存在的時刻。使用 Microsoft Baseline Securit

30、y Analyzer 掃描密碼 您能夠使用 /technet/security/tools/mbsahome.mspx 上提供的 Microsoft Baseline Security Analyzer (MBSA) 工具，掃描網絡上的每臺計算機并搜索弱密碼。 在其他安全測試過程中，MBSA 能夠枚舉所有用戶帳戶并檢查下列密碼弱點： ? 密碼為空 ? 密碼與用戶帳戶名稱相同 ? 密碼與計算機名相同 ? 密碼使用單詞“password” ? 密碼使用單詞“admin”或“administrator” 此掃描結束之后，此工具還通知您任何已禁用的或當前鎖定的帳戶。為了完成此測試，MBSA 嘗試使用這

31、些密碼來更改目標計算機的密碼。 MBSA 可不能重置或永久更改密碼，然而假如您的密碼不是強密碼，它會警告您存在安全風險。僅在受信任計算機上使用治理憑據確保您組織的治理員從不使用其治理憑據來登錄到他們沒有對其完全操縱的權限的計算機。 擊鍵記錄程序或屏幕掃描程序可能會在計算機上運行，并捕獲治理員的密碼憑據。 擊鍵記錄程序是一種無提示安裝的間諜軟件程序，運行在用戶計算機的后臺上。 間諜軟件程序員將擊鍵記錄程序設計為在未經用戶同意或用戶不明白的情況下秘密地記錄所有擊鍵。 此信息將被存儲以供今后檢索，或被傳輸給擊鍵記錄程序的開發者以進行檢查。 擊鍵記錄程序能夠記錄所有擊鍵，包括密碼或信用卡號碼等個人信息

32、。 它們還能夠記錄所有帶附件的電子郵件或在線談天會話。通過檢查顯示屏上的實際上不用于數據傳輸或程序檢查的內容，然后以一種易讀的圖形用戶界面 (GUI) 格式顯示此內容，屏幕掃描程序能夠從計算機或程序捕獲字符數據。 較新的屏幕掃描程序以 HTML 格式顯示信息，以便使用掃瞄器掃瞄此信息。定期審核帳戶和密碼定期審核有助于確保域安全的完整性和防止特權提升。 特權提升能夠為用戶帳戶提供未經授權的治理特權。 除非您愛護治理功能，否則攻擊者能夠造成安全漏洞并避開安全措施。 例如，具有治理權限的攻擊者能夠創建假的用戶帳戶，在未經許可的情況下將帳戶添加到成員組，提升現有帳戶的特權，添加或修改策略，以及禁用安全

33、設置。您應該定期審核所有域級治理用戶和組，以及敏感服務器上的所有本地治理用戶和組。 由于治理員可能有能力（但不是權力）對他們自己的治理帳戶進行修改，組織必須確保帳戶遵循域級治理用戶的安全策略。 務必要審核這些特權憑據并認識到審核并不僅僅是檢查密碼長度。 審核也是一種查明治理帳戶已執行的任務的有用工具。 在配置和啟用審核之后，使用事件查看器查看創建的安全日志。 定期審核還能夠檢測未使用的域級治理帳戶。 非活動的域級治理帳戶會為網絡環境帶來安全漏洞，特不是在攻擊者在您不知不覺的情況下對他們進行攻擊時。 您應該刪除任何未使用的域級治理員帳戶或組。禁止帳戶委派您應該將所有域級治理員用戶帳戶標為“敏感帳

34、戶，不能被委派”。 此操作有助于防止通過標為“可委派其他帳戶”的服務器模擬憑據。當網絡服務同意用戶請求并假定要啟動與另一個網絡服務的新連接的用戶身份時，進行委派身份驗證。 委派身份驗證關于在多臺計算機上使用單一登錄功能的多層應用程序特不有用。 例如，域操縱器自動受信任以進行委派。 假如您在文件服務器上啟用加密文件系統 (EFS)，必須信任此服務器以進行委派，以便代表用戶存儲加密文件。 委派身份驗證關于 Internet 信息服務 (IIS) 支持在其他計算機上運行的數據庫的 Web 接口的程序也特不重要，例如 Microsoft Exchange Server 中或企業證書頒發機構的 Web

35、注冊支持頁面（假如單獨的 Web 服務器托管這些頁）中的 Microsoft Outlook? Web Access (OWA)。您應該拒絕對不安全的計算機上 Active Directory 中的計算機帳戶進行委派身份驗證的權限，并拒絕域治理員帳戶的權限。 域治理員帳戶有權訪問敏感資源，一旦敏感資源被泄漏，就會對您的組織帶來嚴峻的風險。 有關詳細信息，請參閱 /resources/documentation/WindowsServ/2003/all/deployguide/en-us/dsscc_aut_vwcs.asp 上 Windows Server 2003 Deployment Ki

36、t 中的 Enabling Delegated Authentication 主題。操縱治理登錄過程Administrators 組、Enterprise Admins 組及 Domain Admins 組的成員代表了每個單獨的域中權限最高的帳戶。 要最大程度地降低安全風險，請執行本指南的后續部分中描述的步驟，以強制使用強治理憑據。要求使用智能卡進行治理登錄要執行所有治理功能，域治理員應該使用二元身份驗證。 二元身份驗證需要兩種東西：? 用戶具有的東西，例如智能卡 ? 用戶明白的東西，例如個人標識號 (PIN) 要求使用這兩種東西能夠降低通過共享、盜取或復制一元憑據（例如用戶名和密碼）未經授權

37、訪問的風險。在您愛護域治理員帳戶時，二元身份驗證是一個重要環節，因為常規的用戶名和密碼是任意文本憑據，通常由自然語言字符集組成。 因此，惡意用戶在下列情況下能夠盜取、共享或復制它們：? 受信任的用戶與未經授權的用戶共享密碼，或以不安全的方式記錄密碼（例如，將記錄密碼的便箋粘貼在顯示器上）。 ? 以純文本格式發送密碼。 ? 在登錄時，使用硬件或軟件設備捕獲通過鍵盤輸入的內容。 假如您要求您的治理員使用智能卡進行交互式登錄，這將強制治理用戶使用其自己的智能卡登錄，并確保使用隨機生成的、加密性強的用戶帳戶密碼。 這些強密碼有助于防止盜取弱密碼以獲得治理權限。假如您為每個治理用戶帳戶啟用“交互式登錄必須使用智能卡”帳戶選項，您能夠強制使用智能卡。 智能卡 PIN 是各個卡所有者設置并存儲在卡上的加密代碼。 此 PIN 是用戶在使用智能卡進行身份驗證時必須提供的字符串，以便能夠使用私鑰。 智能卡上的每個私鑰均是唯一的，這保證了身份驗證的單一性。在域治理員進行交互式登錄時，智能卡身份驗證尤為重要。 智能卡能夠使負責多臺均需要身份驗證的服務器的域治理員的工作更加輕松。 您能夠