如何保护好管理员账户
|
|
|
|
作者:佚名
来源:InterNet 加入时间:2005-5-17 |
|
网络管理员除了每日面对大量琐碎的工作外,安全可以说是网络管理最为关注的事情了。因为一旦发生被攻击,将导致服务器崩溃,公司机密泄漏等严重后果。
虽然日常工作中,我们通常采用的方式是,在需要做一些管理员权限的工作时,才会用管理员等较高级别权限的账户登录;而在做一些普通的工作时,就注销高级别账户而以普通账户登录。
这样我们虽然能够保证安全,但往往要面对过不了十几分钟就需要更换登录权限的情况,也就是需要注销普通用户账户,重新以管理员账户登录的过程。这样频繁的更换过程,相信是最有安全意识的人过不了几天也会厌烦,而心存侥幸心理:认为以管理员的账户登录处理一切事情,小心一点并不会有太大的问题。其结果呢?服务器可能直接面临各种威胁,如“特洛伊木马”代码的袭击等。
面对服务器被重新格式化硬盘、删除文件或是新建一个具有管理员权限的账户等这些威胁时,您是不是有一种把管理网络的钥匙交给一个心怀不轨的人手上的感觉呢?
使用“运行为”(RunAs)服务可以轻松解决上面令人心烦的问题。这项服务允许在普通权限的账户登录情况下,仍然可以执行管理员的职能,而不需要注销和重登录的过程。要打开“运行为”服务,需进行以下操作:
1.系统管理员身份的账户登录,单击“开始”→“程序”→“管理工具”→“服务”,打开“服务”对话框;
2.在“服务”列表中双击“RunAs service”,然后在弹出对话框中,确定“启动类型”为“自动”,“服务状态”为“已启动”(如果不是,单击“启动”按钮),“确定”后,关闭该对话框。
这样就启动了“运行为”服务,现在可以注销,并用一个普通账户登录。在需要启动管理工具时,在该管理工具上单击右键,然后在弹出菜单中选择“运行为”命令。
此时将弹出“以其他用户身份运行”的对话框,在该对话框中,输入有管理员身份的用户账户和密码,单击“确定”按钮,就可以打开具有管理员权限的管理工具窗口。
由于在日常网络管理过程中,我们不时需要使用脚本等方式让服务器自动执行某些系统管理工作,所以在很多时候还需要了解在命令行下如何启动和使用“RunAs”命令,具体执行方法如下:
1.用普通用户账户登录以后,通过在“运行”对话框使用“cmd”命令,打开命令窗口。
2.然后在该窗口中输入如下命令“runas /user:<domain\username>cmd”。在这里“username”是有系统管理员权限的账户。如果您登录的是本地用户账户,命令应该为“runas /use:<machinename\username>cmd”,随后将要求输入相应的密码。
3.输入密码以后就会打开第二个命令窗口。窗口的标题很明显地表明它正在以所选择的账户执行命令。
4.在上面这个打开的窗口中,就可以用管理员身份的账户执行任何需要执行的命令行任务了。
虽然通过命令行可以做很多工作,但有些需要通过应用程序,或控制面板等操作就不行了,这些程序需要随系统内核启动。如果想停止或者重新开启内核,以便可以使用像控制面板的功能需要执行以下步骤:
打开“任务管理器”命令,单击打开其中的“进程”选项卡,然后找到并选中“explorer.exe”,随后单击“结束进程”按钮,在出现的警告框中,单击“是”按钮,此时整个桌面除了任务管理器和一些活动的应用程序,都会消失。
随后单击“任务管理器”中的“文件”、“新任务”命令,在打开的“创建新任务”对话框的文本框中输入“runas /user:<domain\username> explorer.exe”,如前所述“username”是具有管理员权限的账户。如果是本地登录则使用“runas /user:<machinename\username> explorer.exe”,单击“确定”按钮,将弹出要求输入密码的窗口。输入密码后,包含任务栏的桌面就会恢复,而出现的桌面也是在指定用户权限下工作。
要返回到普通用户桌面,只需重复上述操作,但注意再次启动explorer.exe时,不用“RunAs”命令了。
另外需要特别注意的是:当桌面处于管理员账户安全环境下时,不要关闭任务管理器,否则会产生不可预测的后果。
| 
[文章录入员:sky365] |
|
|
|
|
