企业内部系统账户安全策略

不论是活动目录中还是本地中，administrator账户都是权限最高的账户，不论我们做了多少安全防范，一旦入侵者破解了administrator账户，那么我们所做的一切都是白费。所以，管理员账户的安全是所有安全的基础。一般来说，我们经常会改变administrator的账户名来防止黑客对管理员账户的攻击。我们可以通过AD管理器或者策略进行管理。在组策略的安全设置――本地策略――安全选项中也是可以修改管理员账户的。以前我们会感觉如果计算机安全，那么用户账户就是安全的，但是有时候用户账户安全往往是我们计算机安全的保证，所以修改账户名，给administrator有一个强度很高的密码是必须的。
      在很多账户安全守则上都会提到，一般服务器上我们选择创建陷阱账户来保证服务器的安全。也就是修改administrator账户的用户名后，创建一个没有权限的administrator账户。现在还是有很多黑客使用字典攻击，当我们为账户设置强密码和陷阱账户，并定期更改密码，那么账户安全就提高了很多。
      默认情况下，windows server 2003/2008中，用户账户信息储存在systemroot%\system32\config\SAM中，它就是用户账户的数据库，也就是说当入侵者入侵了SAM数据库时，也就等于攻破了我们的最终防线。通常情况下，我们使用加密的方式保护SAM文件。



我们在运行中输入syskey，就会出现上述的界面，我们先选择更新。



      我们看到其中有两个选项，在软盘上保存启动密码，在本机上保存启动密码。现在很少使用软盘了。而在这个应用上我倒觉得软盘不错，它好像是一台计算机的钥匙，开机的时候必须插上软盘才能启动，在本机保存启动密码则将密码保存在系统中，也就是说密码在电脑自己放的一个位置，每次开机的时刻计算机会自己寻找钥匙开启密码打开账户，而计算入侵者入侵了SAM数据库，也无法打开获取账户信息。
      在这里，我还想穿插一点关于活动目录用户的，在windows server 2003/2008中，微软发布了一个回复活动目录中账户的工具，很小很好用。最近在写关于邮件服务器方面的内容想起来的，因为我们删除了邮箱就删除了用户，回复的时候需要创建一个同名同密码的账户，但由于SID不同，所以就算邮箱恢复过来，权限也是需要重新设置的，所以这里就用到了这个小工具，我来介绍一下它的用法。
adrestore.exe是软件的名字，在微软官方搜索是有下载的，目前可以适用于03和08系统。
首先我们在活动目录中，删除我们用来测试的账户。将小工具提取到C盘，然后我们进入CMD模式，CD到C盘下。



dir显示之后我们可以看到有我们安装的文件，然后键入 adrestore.exe -r,确定后，便成功恢复。



      恢复之后我们可以看到我们删除的用户或者组了，只是账户已经被锁定，我们手动启用便可以正常运用了。
      最近在研究windows 安全方面，其实一些基础的安全设置才是服务器不被入侵的保证。欢迎大家一起来交流。