发信人: cndgm(钉子)
整理人: cndgm(2002-07-29 17:32:03), 站内信件
|
系統管理秘訣: 避免指定信箱給系統管理帳戶
避免指派信箱給以下屬於 Microsoft Active Directory™ 目錄服務安全性群組的使用者或是群組:
系統管理員
架構系統管理員
網域系統管理員
企業系統管理員
除此之外,不要使用使用者或群組帳號執行一般的使用者工作,例如存取信箱。換句話說,最好不要指定信箱給擁有系統管理使用權限的帳戶。
藉著不指定信箱給擁有使用權限的帳戶,您可以避免由「特別權限提昇」所產生對安全上的攻擊。舉例來說,在一次權限提昇攻擊中,當群組 X 加入網域管理者群組並且允許群組 Y 修改在群組 X 中的存取控制清單 (ACLs) 時,就會出現安全上的漏洞。在這種情況下,群組 Y 的使用者可以讓自己變為群組 X 的成員,因此也就可轉變成為網域系統管理者群組的一員。
為了幫忙防衛這類的安全問題,系統管理者帳戶以及這些安全群組成員的帳戶不被允許繼承權限。在 [安全] 這個群組的標籤或帳戶的屬性頁上,您可以看見 [允許從父系繼承權限來傳遞物件] 核取方塊未被勾選。另外,如果您勾選了這個核取方塊,Microsoft Windows® 2000 系統工作會很快地自動清除它。清除這個核取方塊是 Windows 2000 為防止駭客玩弄安全性和不當地增加其使用權限至系管理者的層級的功能之一。
----
*************************************
*不要问我太多.我是一个没有明天的钉子*
*************************************
*E-MAIL: [email protected] *
*QQ:36335336 *
*MSN:[email protected] *
************************************* |
|