離線 SAM 中系統管理員帳戶的保護措施

文章翻譯 文章翻譯
文章編號: 223301 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文將告訴您離線「安全性帳戶管理員」(SAM) 以及儲存在其中之帳戶的安全性。

Windows 2000 網域控制站會在 Active Directory 中儲存網域使用者帳戶、群組成員和其他物件。Windows 2000 備份工具以及其他協力廠商的備份程式,可以在連線的 Windows 2000 網域控制站上備份以 Jet 為基礎的 Active Directory。

只有當 Active Directory 處於「離線」狀態或是「目錄服務還原」模式中時,您才能執行系統維護和還原 Active Directory 的工作。「目錄服務還原」模式是使用以登錄為基礎的 SAM 帳戶資料庫,來儲存系統管理員帳戶以及其他內建的使用者和群組,和 Active Directory 的安全性內容不同。

其他相關資訊

建立以登錄為基礎的 SAM

Microsoft Windows NT 4.0 版和較早的版本是在以登錄為基礎的 SAM 中儲存使用者帳戶、電腦帳戶和群組資訊。當您將 Windows NT 4.0 網域主控制站 (PDC) 升級至 Windows 2000 時,DCPROMO 會在 Windows 2000 安裝結束時啟動。SAM 中的帳戶會遷移到以 Jet 為基礎的 Active Directory,並且會建立新的以登錄為基礎的 SAM,其中包含「離線」系統管理員帳戶 (以及其他復原 Windows 2000 網域控制站所需的內建帳戶)。只有在開機程序初期按下 F8 鍵進入「目錄服務還原」模式中,才能使用以登錄為基礎的 SAM 中的帳戶。以登錄為基礎的 SAM 是儲存於 %SYSTEMROOT%\SYSTEM32\CONFIG 資料夾中。

如果是新的 Windows 2000 網域,就會建立 Active Directory 資料庫並填入一組預設的使用者和群組,而 %SYSTEMROOT%\SYSTEM32\CONFIG 資料夾中會建立 SAM,此 SAM 的類型和 Windows NT 升級時所見之 Windows NT 4.0 版以登錄為基礎的 SAM 類型相同。

保護離線 SAM 的安全

保護離線 SAM 的方法和 Windows NT 4.0 所用的方法完全相同。如果想要保護離線 SAM 的安全,系統管理員可以考慮下列方法:

  1. 讓 DS 中的系統管理員和離線 SAM 中的系統管理員帳戶使用不同的密碼。Active Directory 中的系統管理員帳戶密碼應該和離線系統管理員帳戶的密碼不同,這是原則問題。

    首次變更 Active Directory 系統管理員帳戶密碼後,連線和離線密碼就會變成不同。
  2. 評估風險,然後使用強硬的密碼方針,替重要帳戶 (例如離線和以 Active Directory 為基礎的系統管理員帳戶) 訂定一個密碼變更原則。
  3. 當 Windows 2000 網域控制站是在 Active Directory 模式中執行時,您無法以程式設計方式來存取離線 SAM。如果要針對離線系統管理員帳戶來實作強硬的密碼變更方針:

    1. 請將 Windows 2000 網域控制站啟動在「目錄服務還原」模式中。
    2. 變更帳戶密碼。
    3. 啟動在 Active Directory 模式中。
    伺服器的系統有效執行時間會變成離線系統管理員帳戶的密碼變更間隔。
  4. 啟用位於 %WINDIR%\SYSTEM32\CONFIG 資料夾中 SAM 檔的稽核功能。除了系統備份或病毒掃瞄外,對於此檔的任何其他使用都應該調查。

    附註:請勿遵循下列 Microsoft Knowledge Base 文件中所述之步驟:

    184017 Administrators Can Display Contents of Service Account Passwords
    143475 Windows NT System Key Permits Strong Encryption of the SAM
  5. 在建立任何安全環境時,電腦的實體安全性、緊急修復磁片以及磁帶備份媒體都是重要元件。

無法提供離線系統管理員帳戶密碼和離線 SAM 遭受攻擊的情況相較之下,系統管理員可能會遇到更多無法提供服務的問題。定義一個內部程序來儲存及擷取離線系統管理員密碼,既不會損及安全性,也讓系統維護和修復工作能夠使用密碼來進行。請考慮到作業系統在原始安裝之後,通常是在離峰時間 (幾小時、幾個月,或甚至幾年的時間) 執行伺服器的重建。

您可以在遠端系統管理模式中使用 Windows NT 終端機伺服器,並且使用 Boot.ini 參數來切換要在「離線還原」模式或在 Active Directory 模式中啟動電腦,以便從遠端變更離線 SAM 的密碼。

SETPWD.exe (隨附於 Windows 2000 Service Pack 2) 以及 .NET Server 版本的 NTDSUTIL.exe 中的 Set DSRM Password 命令,可以讓系統管理員在目錄服務連線時,在網域控制站上變更「DS 還原」系統管理員密碼。

屬性

文章編號: 223301 - 上次校閱: 2004年3月25日 - 版次: 3.0
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
關鍵字:?
kbinfo KB223301
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com