我敢肯定某些专业罪犯会进行 SID 转换,但我同样敢肯定那只是极少数人,连我专门研究此类问题的人都从来没有遇到过。为什么专业人士不这么做呢?我猜是他们觉得绝大部分的人都不这么做,他们也没有理由这么做。
●简化警报 现在另一方争议,如果重命名管理员帐户开始盛行的话,则可能会失去它作为隐匿方法的价值。争论在于恶意软件、脚本黑客和专业人员会改变一贯战术,寻找管理员以外的名称。言之有理。幸运的是,它并不会改变基本情况。首先,如果未将 Windows 超级权限帐户命名为 Administrator,恶意黑客就必须多下点功夫。事实就是如此,而且如果恶意黑客必须多下点功夫的话,他就更不可能采取这种攻击途径,从而其他弥补深层防御手段能够更快地检测到恶意活动。
这就谈到了我赞同重命名的最后一个观点。如果您的管理员帐户的名称从来不是 Administrator,而且您使用该名称创建了另一个帐户,如图 3 所示,您将拥有一个良好的警报机制。如果事件监视检测到有人尝试使用默认名称登录,则会立即调查该事件。
图 3 尝试以名为 Administrator 的引诱帐户登录可能是前期攻击行为
我们的事件日志中记录了大量没有任何意义的“不良”登录。这通常不过是指用户(或 Windows)使用错误的密码尝试登录等类似情况。不过,如果您的管理员帐户的名称为 Administrator,如何轻松分辨正常和恶意的登录尝试呢?如果您从来没有名为 Administrator 的登录帐户名,却检测到有人尝试使用该帐户名登录,则它可能是恶意登录。争议很少的早期警告在当今的防御环境下具有重要价值。
Jesper 反驳
Aaron Margosis 对重命名管理员帐户的论点
Jesper,在理想条件下,您绝对没有错。密码的安全级别足以抵御暴力猜测,而也只有在紧急恢复时才会使用 -500 本地管理员帐户。但在现实生活中,情况并非如此。
尽管您在宣传卓越安全性方面做出了很多努力,特别是您编写的密码短语系列太棒了,许多系统管理员对怎样才是强密码的理解并没有更新。
不久前,从多个字符中随机挑出八个字符构成的密码还被视为强密码,而摩尔定律证明这种情况维持不久。用户(和系统管理员)教育的欠缺是罪魁祸首,而且未来很有可能还是如此,这恐怕到密码强度成为有线电视新闻频道的热门话题时才会有所改观。
所以,假设现在猜测密码不会花费 6000 亿年的时间,通常在午餐时间即可完成,那么,我们将这段时间乘以 1000,显然时间就够长了!与许多以 Administrator 帐户为目标的自动攻击相比,将帐户重命名可使它不易受到攻击。
您可能已经注意到,重命名管理员帐户一般只需投入极少的时间和精力,它只是一项简单的 GPO 设置。事实上,美国政府的联邦桌面核心配置(Federal Desktop Core Configuration,csrc.nist.gov/fdcc)要求必须重命名 -500 帐户。重命名不过是许多必要的设置之一,而且不会花费太多的时间或精力。也没有人过高估计重命名的安全性意义 — 我还没听过有人这么说:“我们不需要补丁管理,因为我们已经重命名了管理员帐户”。
如果整个组织中将帐户重命名为相同的名称,重命名还有意义吗?意义不大,但多少还是有一点:首先,它会阻止以 Administrator 为目标的自动攻击;其次,潜在攻击者未必知道新名称。(当本地管理员帐户 — 无论是否经过重命名 — 在组织内共享公用密码时,风险更大。管理这些密码一直比较棘手,也比较重要。禁用 -500 帐户是解决这种问题的办法之一,但是这在无法使用域帐户时会封锁重要的恢复渠道。)我还要指出,我们的安全指南长期以来就建议重命名默认帐户,因此这种做法不仅经过测试,而且完全受支持。
【责编:Zenghui】
相关文章
相关产品和培训
文章评论
专题推荐
今日更新 认证培训 频道精选
您现在的位置: 
2008-6-16
