Proteção da conta de administrador no SAM offline

Traduções deste artigo Traduções deste artigo
ID do artigo: 223301 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo aborda a segurança do Gerenciador de contas de segurança (SAM) off-line e as contas.

Contas de usuário de domínio de armazenamento de controladores de domínio do Windows 2000, participações em grupos e outros objetos no Active Directory. A ferramenta de backup do Windows 2000 e outros programas de backup de terceiros podem fazer backup do Active Directory com base no jet em um controlador de domínio on-line do Windows 2000.

Manutenção do sistema e restaurar o Active Directory só podem ser executadas, colocando o Active Directory "offline" ou no modo de "Restauração de serviços de diretório". Diretório de restauração dos serviços de modo, que usa um banco de dados com base no registro, de uma SAM do contas para armazenar a conta de administrador e outros usuários internos e grupos, representa um contexto de segurança diferentes que o Active Directory.

Mais Informações

Registro com a criação de SAM

Microsoft Windows NT versão 4.0 e anteriores contas de usuário de armazenamento, contas de computador e informações de grupo em um SAM com base no registro. Quando você atualiza um controlador de domínio primário do Windows NT 4.0 (PDC) para o Windows 2000, o DCPROMO inicia no final do programa de instalação do Windows 2000. As contas no SAM são migradas para o Active Directory com base no jet. Um novo SAM com base no registro que contém a conta de administrador "offline" (e outras contas internas necessárias para recuperar os controladores de domínio do Windows 2000) é criado. Contas no SAM com base no Registro estão disponíveis somente no modo de restauração de serviços de diretório, pressione F8 na parte inicial do processo de inicialização. O registro baseado no SAM é armazenada na pasta %SYSTEMROOT%\SYSTEM32\CONFIG.

Para os novos domínios do Windows 2000, o banco de dados do active directory é criado e preenchido com um conjunto padrão de usuários e grupos. O tipo de versão 4.0 do Windows NT mesmo de SAM com base no registro encontrado no cenário de atualização é criado na pasta %SYSTEMROOT%\SYSTEM32\CONFIG do Windows NT.

Protegendo o SAM offline

Os métodos para proteger o SAM offline são idênticos aos métodos usados no Windows NT 4.0. Os administradores que desejam para proteger o SAM off-line podem considerar o seguinte:

  1. Manter uma senha diferente para o administrador no serviço de diretório e a conta de administrador no SAM offline. Como uma questão de diretiva, a senha da conta do administrador no Active Directory deve ser diferente a conta de administrador off-line.

    As senhas on-line e off-line se tornará diferentes com a primeira alteração de senha da conta de administrador do Active Directory.
  2. Avaliar o risco e, em seguida, desenvolva uma diretiva de alteração de senha para contas críticas como a conta de administrador off-line e baseada no Active Directory usando as diretrizes de senha de alta segurança.
  3. O SAM off-line não está acessível através de programação quando um controlador de domínio baseados no Windows 2000 é executado no modo active directory. Para implementar uma senha forte Alterar diretiva para a conta de administrador off-line:

    1. Inicie o controlador de domínio do Windows 2000 no modo de restauração de serviços de diretório.
    2. Altere a senha da conta ou contas.
    3. Inicie no modo Active Directory.
    O tempo de sistema-up eficaz para o servidor se torna o intervalo de alteração de senha para a conta de administrador off-line.
  4. Habilite a auditoria do arquivo SAM localizado na pasta %WINDIR%\SYSTEM32\CONFIG. Qualquer usar diferentes de um backup do sistema ou verificação de vírus deve ser investigada.

    Observação : não siga as etapas descritas nos seguintes artigos na Base de dados de Conhecimento da Microsoft:

    184017 os administradores podem exibir conteúdo de senhas de conta de serviço
    Chave do sistema Windows NT 143475 houver criptografia forte de SAM
  5. A segurança física para computadores, discos de reparação de emergência e mídia de backup de fita é um componente fundamental na criação de qualquer ambiente seguro.

Os administradores podem ocorrer a perda mais de serviço quando não é possível gerar a senha da conta Administrador off-line que para ataques contra o SAM off-line. Defina um processo interno para armazenar e recuperar senhas de administrador off-line que não comprometa a segurança, mas disponibiliza senhas para manutenção do sistema e recuperação. Considere que servidores são normalmente reconstruídos durante as horas fora do horário de pico meses ou até mesmo anos após a instalação original do sistema operacional.

Você pode alterar a senha para o off-line mesmo usando o Windows NT Terminal Server no modo de administração remota e alternando o Boot.ini alternar entre iniciar o computador no modo de restauração offline e modo do Active Directory remotamente.

SETPWD.exe, que está incluído no Windows 2000 Service Pack 2 e o comando "Set DSRM senha" na versão do NTDSUTIL.exe .NET Server permitem que os administradores alterar a senha de administrador de restauração DS em um controlador de domínio enquanto o serviço de diretório está on-line.

Propriedades

ID do artigo: 223301 - Última revisão: sexta-feira, 23 de fevereiro de 2007 - Revisão: 2.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbmt kbinfo KB223301 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 223301

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com