logo

Konto administratora

Domyślnie w systemie Windows Server 2003 główne konto administratora systemu nazywa się po prostu „Administrator” i wiedzą to wszyscy. Wynika z tego niestety jeden bardzo ważny fakt, o istnieniu takiego konta wiedzą osoby potencjalnie chcące włamać się do naszego systemu. Niestety też bardzo często to wbudowane konto systemowe używane jest jako główne konto służące do zarządzania serwerami w domenie. Rozwiązanie takie jest niestety bardzo niebezpieczne.

Warto więc zabezpieczyć się przed ewentualnym atakiem na konto administratora. Najprościej jest oczywiście wyłączyć konto „Administrator”. Można pójść jednak o krok dalej i stworzyć „oszukańcze” konto „Administrator”. Rozwiązanie takie jest bardzo popularne i warto zapoznać się z tą metodą zabezpieczenia naszych serwerów.

W tym celu otwieramy Active Directory Users and Computers. Pierwszym krokiem jest zmiana nazwy użytkownika z „administrator” na inne, choćby „nasze.imie.i.nazwisko”. W następnym kroku tworzymy nowe konto użytkownika, jako nazwę wpisujemy administrator, natomiast jako opis wpisujemy Built-in account for administering the computer/domain. Rozwiązanie takie umożliwi ograniczyć próby zalogowania się na to standardowe konto. Warto stosować to jako dobra praktykę w administrowaniu Windows Server.

Warto również pamiętać o kilku aspektach związanych z tematem zmiany nazwy użytkownika. A mianowicie przedstawiona metoda jest tzw. metodą zabezpieczania przez ukrywanie. Niestety bardzo słabą, gdyż SID każdego konta administratora kończy się cyfrą „500″. To z kolei pozwala w łatwy sposób namierzyć SID, który będzie odpowiadał kontu administratora.

W sytuacji posiadania odpowiedniego identyfikatora wystarczy posłużyć się taki narzędziami jak SID2USER lub USER2SID by uzyskać nazwę potrzebną do logowania. W tej sytuacji wszelkie staranie mające na celu zabezpieczenie tego konta nie przynoszą rezultatu.

Podsumowując najlepszym rozwiązaniem w takim wypadku jest wyłączenie takiego konta. Bardzo dobrym rozwiązaniem w tym wypadku jest wyłączenie kont Administratora na wszystkich serwerach za pomocą Group Policy. W tym celu otwieramy ścieżkę: Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Accounts: Administrator account status, oraz wyłączamy konta wybierając Disabled. 

Kolejny problem pojawia się w systemach wcześniejszych niż Windows Server 2003 gdzie konta administratora nie da się wyłączyć. W takim wypadku pozostaje jedynie zastosowanie mocnego hasła. Inną kwestią oczywiście jest, że mocne hasła powinny się znajdować na każdym koncie o dużych uprawnieniach.PS. Dużo ciekawych opinii na temat zabezpieczania przez ukrywanie możecie znaleźć w tej debacie.

Linki:

  • Źródło screenów: www.windowsecurity.com

Szymon Bochniak - więcej informacji

Szymon jest doświadczonym administratorem SharePoint, właścicielem firmy SharePoint 4 Busiess oraz autorem bloga sharepointblog.pl



  0 KOMENTARZY
OfficeSystem.pl
Loading Facebook Comments ...