Windows 2003安全之强化堡垒主机(12)

　　保护众所周知的账号

　　在Microsoft Windows Server? 2003中有一些内置的账号，它们不能被删除，而只能重命名。在Windows 2003中最为人所熟知的两个内置账号是Guest和Administrator。

　　默认情况下，在服务器上的Guest账号是禁用的，而且不应被修改。内置的Administrator账号应该被重命名，并且改变描述以阻止攻击者从远程服务器使用该账号进行攻击。

　　许多恶意代码的变种使用内置的管理员帐号，企图窃取服务器的秘密。在近几年来，进行上述重命名配置的意义已经大大降低了，因为出现了很多新的攻击工具，这些工具企图通过指定内置 Administrator 账户的安全标识（SID）来确定该帐户的真实姓名，从而侵占服务器。 SID是一个能唯一识别每一个用户、组、计算机帐户及网络登录会话的数值。内置帐户的SID是不可能改变的。将本地管理员帐户重新命名为独特的名称，操作部门就可以轻松监控攻击该帐户的企图。

　　在堡垒主机服务器上保护众所周知的账号：

　　1. 重命名Administrator和Guest账号，然后将其在每台服务器上的密码设成一个长且复杂的值。

　　2. 在每台服务器上使用不同的名字和密码。如果在所有的服务器上都使用相同的账号名和密码，那么获得一台服务器访问权的攻击者就能使用相同的账号名和密码来访问所有其它的服务器。

　　3. 更改对账号的描述，使其与默认描述不同，这样有助于防止帐户被轻易识别。

　　4. 在一个安全的位置记录这些更改。

　　错误报告

　　表11.19：设置

　　“错误报告”服务可以帮助Microsoft 跟踪和查找错误。您可以将该服务配置为给操作系统错误、Windows组件错误或程序错误生成报告。“错误报告”服务将这些错误通过Internet报告给Microsoft，或者报告给内部企业文件共享。

　　该设置只有在Microsoft Windows? XP Professional和Windows Server 2003上可用。在组策略对象编辑器中配置该设置的路径是：

　　Computer ConfigurationAdministrative TemplatesSystemError Reporting

　　错误报告可能包含敏感的（甚至是保密的）企业数据。Microsoft 关于错误报告的隐私政策保证 Microsoft 不会不适当地使用这些数据，但是这些数据使用明文形式的超级文本传输协议（HTTP）传送，这就有可能被Internet 上的第三方截获或者查看。因此，本指南建议在指南定义的三种安全环境下，在DCBP中将 错误报告 设置配置为禁用。