试谈使管理帐户更安全的最佳做法

1、 HYPERLINK / 更多企业学院： 中小企业治理全能版183套讲座+89700份资料总经理、高层治理49套讲座+16388份资料中层治理学院46套讲座+6020份资料国学智慧、易经46套讲座人力资源学院56套讲座+27123份资料各时期职员培训学院77套讲座+ 324份资料职员治理企业学院67套讲座+ 8720份资料工厂生产治理学院52套讲座+ 13920份资料财务治理学院53套讲座+ 17945份资料销售经理学院56套讲座+ 14350份资料销售人员培训学院72套讲座+ 4879份资料使治理帐户更安全的最佳做法为更安全地使用 Windows Server 2003 中的治理帐户而应遵循

2、的最佳做法指导原则包括：? 区分域治理员和企业治理员角色。 ? 区分用户帐户和治理员帐户。 ? 使用 Secondary Logon 服务。 ? 运行单独的“Terminal Services”会话进行治理。 ? 重命名默认治理员帐户。 ? 创建虚假治理员帐户。 ? 创建次要治理员帐户并禁用内置治理员帐户。 ? 为远程治理员登录启用帐户锁定。 ? 创建强治理员密码。 ? 自动扫描弱密码。 ? 仅在受信任计算机上使用治理凭据。 ? 定期审核帐户和密码。 ? 禁止帐户委派。 ? 操纵治理登录过程。 治理员帐户安全规划指南第 3 章 - 使治理员帐户更安全的指导原则更新日期： 2005年07月04日

3、本章介绍了一些使治理帐户更安全的常规最佳做法指导原则。 这些指导原则遵循第 2 章“使治理员帐户更安全的方法”所介绍的原则。使治理员帐户更安全的指导原则概述每次安装新的 Active Directory? 目录服务之后，就会为每个域创建一个治理员帐户。 默认情况下，不能删除或锁定此帐户。 在 Microsoft? Windows Server? 2003 中，能够禁用治理员帐户，但以安全模式启动计算机时，会自动重新启用此帐户。 企图攻击计算机的恶意用户通常先查找有效帐户，然后尝试升级此帐户的权限。 另外，他可能还利用推测密码技术窃取治理员帐户密码。 由于此帐户具有许多权限且不能被锁定，恶意用户

4、以此帐户为攻击对象。 他可能还试图引诱治理员执行某些将授予攻击者权限的恶意代码。 区分域治理员角色和企业治理员角色由于企业治理员角色在目录林环境下具有最终权限，您必须执行以下两个操作之一，以确保专门好地操纵它的使用。 您能够创建并选择一个受到完善爱护的帐户作为 Enterprise Admins 的成员，或者选择不使用这些凭据设置帐户，而是仅在需要这些特权的授权任务要求创建此类帐户时才创建。 在此帐户完成任务之后，您应该立即删除临时 Enterprise Admins 帐户。区分用户帐户和治理员帐户关于担任治理员角色的每个用户，您应该创建两个帐户： 一个一般用户帐户，执行典型日常任务（例如电子

5、邮件和其他程序）；一个治理帐户，仅执行治理任务。 您不应使用治理帐户来发送电子邮件、运行标准程序或扫瞄 Internet。 每个帐户必须拥有唯一的密码。 这些简单的防范措施大大地降低了帐户被攻击的风险，并缩短了治理帐户登录到计算机或域所需的时刻。使用 Secondary Logon 服务在 Microsoft Windows? 2000, Windows XP Professional 和 Windows Server 2003 中，您能够作为与当前登录的用户不同的用户运行程序。 在 Windows 2000 中，Run as 服务提供此功能，在 Windows XP 和 Windows Se

6、rver 2003 中，它称为 Secondary Logon 服务。 Run as 和 Secondary Logon 服务是名称不同的相同服务。 Secondary Logon 同意治理员使用非治理帐户登录到计算机，无须注销，只需在治理环境中运行受信任的治理程序即可执行治理任务。 Secondary Logon 服务解决了运行可能易受恶意代码攻击的程序的治理员提出的安全风险问题；例如，使用治理权限登录、访问不受信任的网站的用户。Secondary Logon 要紧适用于系统治理员；然而，任何拥有多个帐户、需要在不同帐户环境中无需注销即可启动程序的用户也能够使用它。 Secondary Lo

7、gon 服务设置为自动启动，使用运行方式工具作为其用户界面，使用 runas.exe 作为其命令行界面。 通过使用运行方式，您能够运行程序 (*.exe)、保存的 Microsoft 治理操纵台 (MMC) 操纵台 (*.msc)、程序快捷方式及“操纵面板”中的项目。 即使您使用没有治理权限的标准用户帐户登录，只要您在系统提示输入适当的治理用户帐户和密码凭据时输入它们，您就能够作为治理员运行这些程序。假如您拥有其他域的治理帐户的凭据，运行方式同意您治理其他域或目录林中的服务器。注：不能使用运行方式启动某些项目，例如桌面上的打印机文件夹、我的电脑和网上邻居。使用运行方式能够通过多种方法来使用运行

8、方式：使用运行方式来启动使用域治理员帐户凭据的命令解释器1. 单击“开始”，然后单击“运行”。 2. 在“运行”对话框中，键入 runas /user:administrator cmd（其中 是您的域名），然后单击“确定”。 3. 当系统提示输入 domain_nameadministrator 帐户的密码时，键入治理员帐户的密码，然后按 ENTER 键。 4. 一个新操纵台窗口打开，表示正在治理环境中运行。 此操纵台标题标识为作为domain_nameadministrator 运行。 使用运行方式来运行“操纵面板”中的项目1. 在 Windows XP 或 Windows Server

9、2003 中，依次单击“开始”、“操纵面板”。 2. 按住 SHIFT 键，同时右键单击您要在治理环境中运行的工具或程序（例如，“添加硬件”）。 3. 在快捷方式菜单上，单击“运行方式”。 4. 在“运行身份”对话框中，单击“下列用户”，然后键入相应的域名、治理员帐户名和密码；例如：CORPDOMAINAdministratorPssw0rd 5. 单击“确定”。此程序在治理环境中运行。 使用运行方式来打开“开始”菜单中的程序（例如 Active Directory 用户和计算机）1. 在 Windows Server 2003 中，单击“开始”，指向“治理工具”，然后右键单击“Active

10、Directory 用户和计算机”。 2. 在快捷方式菜单上，单击“运行方式”。 您还能够使用可执行命令行有用程序 runas.exe 来运行程序，并从命令行启动治理操纵台。在本地计算机上作为治理员启动命令提示符实例1. 单击“开始”，然后单击“运行”。 2. 在“运行”对话框中，键入 runas /user:administrator cmd 。 3. 单击“确定”。 4. 出现提示时，在命令提示符窗口中键入治理员密码，然后按 ENTER 键。 在corpdomain域中使用称为 domainadmin的域治理员帐户启动“计算机治理”治理单元实例1. 单击“开始”，然后单击“运行”。 2.

11、在“运行”对话框中，键入 runas /user: mmc %windir%system32compmgmt.msc 3. 单击“确定”。 4. 出现提示时，在命令提示符窗口中键入帐户密码，然后按 ENTER 键。 您还能够使用 runas.exe 来运行程序，并使用智能卡凭据从命令行启动治理操纵台。使用智能卡凭据在本地计算机上作为治理员启动命令提示符实例1. 单击“开始”，然后单击“运行”。 2. 在“运行”对话框中，键入 runas /smartcard /user:administrator cmd 3. 单击“确定”。 4. 出现提示时，在命令提示符窗口中键入智能卡的 PIN 号，然后

12、按 ENTER 键。 注：不能输入密码作为 runas.exe 的命令行参数，因为如此不安全。运行用于治理的单独的“终端服务”会话运行方式是治理员在更改其本地计算机时最常用的方法，也可能是执行某些业务线程序的最常用方法。 关于 IT 治理任务，您能够使用终端服务来连接到您需要治理的服务器。 此方法大大简化了治理多台远程服务器的工作，无需物理访问每台远程服务器，而且不需要您具备在服务器上交互式登录的权限。 要使用此方法，请使用一般用户帐户凭据登录，然后作为域治理员运行“终端服务”会话。 您只能在“终端服务”会话窗口中执行域治理任务。重命名默认治理员帐户当您重命名默认治理员帐户时，没有明显指示此帐

13、户具有提升的特权。 尽管攻击者仍需要通过密码使用默认治理员帐户，然而已命名的默认治理员帐户应该添加一道附加的爱护层，以防止遭受特权提升的攻击。 一种方法是使用假想姓和名，并与其他用户名的格式相同。注：重命名默认治理员帐户只能阻止某些类型的攻击。 由于此帐户的安全 ID 始终相同，攻击者推断哪个帐户是默认治理员帐户相对比较容易。 另外，工具能够枚举组成员，并始终先列出原始治理员帐户。 为了最好地防止对您的内置治理员帐户进行攻击，请创建新的治理帐户，然后禁用内置帐户。在域中重命名默认治理员帐户1. 作为 Domain Admins 组成员（但不是内置治理员帐户）登录，然后打开“Active Dir

14、ectory 用户和计算机”。 2. 在操纵台树中，单击“用户”。 3. 在详细信息窗格中，右键单击“治理员”，然后单击“重命名”。 4. 键入假想的名和姓，然后按 ENTER 键。 5. 在“重命名用户”对话框中，改变“全名”、“名”、“姓”、“显示名”、“用户登录名”以及“用户登录名”（Windows 2000 前版本）使之匹配假想的帐户名，然后单击“确定”。 6. 在详细信息窗格中，右键单击新建的用户名，然后单击“属性”。 7. 单击“常规”选项卡。 在“讲明”框中，删除治理计算机/域的内置帐户，然后键入与其他用户帐户类似的讲明（关于许多组织，此值为空）。 8. 单击“确定”。 重命名默

15、认的本地治理员帐户1. 作为本地治理员组成员（但不是内置治理员帐户）登录，然后在计算机治理操纵台中打开本地用户和组治理单元工具。 2. 在操纵台树中，展开“本地用户和组”，然后单击“用户”。 3. 在详细信息窗格中，右键单击“治理员”，然后单击“重命名”。 4. 键入假想的名和姓，然后按 ENTER 键。 5. 在详细信息窗格中，右键单击新建的用户名，然后单击“属性”。 6. 单击“常规”选项卡。 在“全名”框中，键入新的全名。 在“讲明”框中，删除治理计算机/域的内置帐户，然后键入与其他用户帐户类似的讲明（关于许多组织，此值为空）。 7. 单击“确定”。 注：另外，您还能够使用组策略对象 (

16、GPO) 设置在多台计算机上重命名默认治理员帐户。 然而，此设置不同意您修改默认讲明。 有关详细信息，请参阅 /default.aspx?scid=kb;en-us;816109 上的知识库文章如何在 Windows Server 2003 中重命名治理员帐户和来宾帐户。创建虚假治理员帐户在域中创建虚假治理员帐户1. 作为 Domain Admins 组成员登录，然后打开“Active Directory 用户和计算机”。 2. 右键单击“Users”容器，指向“新建”，然后单击“用户”。 3. 在“名”和“用户登录名”中键入 Administrator，然后单击“下一步”。 4. 键入并确认

17、密码。 5. 清除“用户下次登录时须更改密码”复选框，然后单击“下一步”。 6. 验证虚假帐户信息是否正确，然后单击“完成”。 7. 在详细信息窗格中，右键单击“治理员”，然后单击“属性”。 8. 单击“常规”选项卡。 在“讲明”框中，键入治理计算机/域的内置帐户，然后单击“确定”。 创建虚假的本地治理员帐户1. 作为本地治理员组成员登录，然后在计算机治理操纵台中打开本地用户和组治理单元工具。 2. 在操纵台树中，展开“本地用户和组”。 3. 右键单击“Users”容器，然后单击“新建用户”。 4. 在“用户名”框中，键入 Administrator。 在“讲明”框中，键入治理计算机/域的内置

18、帐户。 5. 键入并确认密码。 6. 清除“用户下次登录时须更改密码”复选框。 7. 单击“创建”。 创建次要治理员帐户并禁用内置帐户即使您不使用治理的终端服务，或同意非治理用户访问您的服务器，最好的做法是创建其他用户作为治理服务器的次要治理员帐户。 您应该将此用户设置为治理员组成员。 在创建次要帐户之后，您能够禁用内置治理员帐户。 创建次要治理员帐户1. 作为治理员登录，然后打开“Active Directory 用户和计算机”。 2. 右键单击“Users”容器，指向“新建”，然后单击“用户”。 3. 在“名”和“用户登录名”中键入，然后单击“下一步”。 4. 键入并确认强密码。 5. 清

19、除“用户下次登录时须更改密码”复选框，然后单击“下一步”。 6. 验证帐户信息是否正确，然后单击“完成”。 7. 在详细信息窗格中，右键单击“用户名”，然后单击“属性”。 8. 单击“成员属于”选项卡，单击“添加”，键入 administrators，单击“检查名称”，然后单击“确定”。 9. 再次单击“确定”关闭“属性”页。 禁用内置治理员帐户1. 作为您刚创建的次要治理员帐户登录，然后打开“Active Directory 用户和计算机” 2. 单击“Users”容器，右键单击内置治理员帐户名称，然后单击“属性”。 3. 单击“帐户”选项卡。 4. 在“帐户选项”下，向下滚动，然后选择“帐

20、户已停用”复选框。 5. 单击“确定”。 警告：在禁用内置治理员帐户时，您必须确定是否存在具有相应的治理员特权的其他帐户。 假如您在没有确定是否有其他帐户的情况下禁用内置治理员帐户，您可能会失去对域的治理权，您可能需要执行系统还原或重新安装系统才能重新获得治理权。为远程治理员登录启用帐户锁定阻止攻击者使用内置治理员帐户和密码凭据的一种方法是，依照帐户策略，同意治理员帐户在发生特定次数的登录失败之后被锁定在网络之外。 默认情况下，不能锁定内置治理员帐户；然而，您能够使用 passprop.exe（Microsoft Windows 2000 Server Resource Kit 中的命令行程序

21、）为使用治理员帐户的远程登录启用帐户锁定。 在使用 /ADMINLOCKOUT 开关运行 passprop 有用程序时，您应该确保治理员帐户受帐户锁定策略约束。 在 Windows 2000 Server 中，这仅适用于远程登录，因为无法在本地计算机上锁定内置治理员帐户，此程序同意您爱护治理员帐户免受网络攻击，然而仍同意交互式访问。 警告：在 Windows Server 2003 中，passprop 同意您通过交互式登录和远程登录来锁定内置治理员帐户。您能够使用 passprop 附带的下列帐户锁定开关：passprop /adminlockout /noadminlockout/admi

22、nlockout 开关用于锁定治理员。/noadminlockout 开关用于取消锁定治理员。注：在启用此设置时，治理员帐户将被锁定，任何人都无法使用治理员帐户进行远程治理。创建强治理员密码使用内置治理员帐户的强密码。 强密码能够最大程度地减少推测密码并获得治理员帐户凭据的攻击者的攻击。 强治理员帐户密码应该：? 至少包含 15 个字符。 ? 不包含帐户名、实际姓名或公司名称。 ? 不包含字典中的完整单词、任何语言中的俚语或行话。 ? 要明显不同于往常的密码。 递增的密码（Password1、Password2、Password3.）不是强密码。 ? 包含来自下表中列出的五组中三组以上的字符。

23、 表 3.1 强治理员密码的字符类型字符类型 示例 大写字母 A、B、C. 小写字母 a、b、c. 数字 0、1、2、3. 非字母数字键盘符号 ! # $ % & * ( ) _ + - = | : ; ? , . / Unicode 字符 、G、?、? 使用密码短语而不是密码创建不必写下的强密码的最简单方法是使用密码短语。 实质上，密码短语是容易记的句子，例如“My son Aiden is three years older than my daughter Anna”。 使用此句中每个单词的首字母，您能够创建一个专门好的强密码。 例如，“msaityotmda”。 只是，您还能够使用大小

24、写字母、数字和看似字母的专门字符的组合使此密码更难以破解。 例如，使用同样易于经历的句子和少许技巧，密码便成了 M$8ni3y0tmd。尽管密码短语易受字典攻击，但大多数商业密码破解软件不能检查超过 14 个字符的密码。 假如用户使用较长的密码短语，他们的密码不太可能会被破解，与传统强密码相比，此密码短语更易于被他们记住。 假如密码短语易于经历，用户几乎不需要记下密码。 强密码短语的专门好的示例：? I te 4 tacos for lunch tody! ? I relly want to buy 11 Dogs! 这些示例是一个超长的密码短语，包含 20 多个字符，其中包括来自可能的五组中

25、的四组的字符。 它们不是众所周知的短语，然而它们远远比包含由不相关的字符、符号和没有实际意义的标点符号组成的字母数字字符组合的 15 字符密码容易经历。不要使用空的或弱治理员密码尽管如此会带来严峻的安全风险，但某些组织仍为治理员帐户设置弱密码或空密码。 空密码或弱密码代表网络上最常见的安全漏洞之一，为入侵者提供了一个最容易攻击的访问点。 假如您为治理员帐户设置空密码或弱密码，恶意用户使用差不多的字符组合就能够访问您的计算机，例如在“用户名”框中输入“Administrator”，在“密码”框中不输入任何内容或输入“administrator”。 空密码和弱密码为企图破解密码的攻击者大开方便之门

26、，易受字典攻击，攻击者能够有条不紊地逐一尝试每个单词，并能够使用常见字符序列（例如线性组合的 A-Z 和 0-9）进行强力攻击。尽管良好的密码无法保证入侵者不能访问您的网络，然而它提供了第一道牢固防线。强制使用强密码您应该确保您组织的网络治理员使用强密码。 在 Windows 2000 Server 和 Windows Server 2003 中，您能够使用组策略来强制使用强密码。 定期更改治理员密码您应该定期更改您的特权帐户密码。 依照帐户泄密对您的组织的阻碍，确定每次更改之间的时刻间隔。 有关如何确定此阻碍的指导原则，请参阅 /technet/security/guidance/secri

27、sk/default.mspx 上的 The Security Risk Management Guide。您应该定期更改您的本地治理员帐户的密码。 您能够使用 Microsoft Windows 2000 Server Resource Kit 中包含的 cusrmgr.exe 工具来对服务器和工作站自动进行此操作。 有关如何使用 cusrmgr.exe 的详细信息，请参阅 /kb/272530 上的知识库文章 How to Use the Cusrmgr.exe Tool to Change Administrator Account Password on Multiple Comput

28、ers。另外，您应该定期在域操纵器上更改目录服务还原模式 (DSRM) 治理员密码。 Windows 2000 使用 setpwd 有用程序重置 DSRM 密码。 在 Windows Server 2003 中，Ntdsutil 工具提供此功能。 您能够远程使用这两种工具。自动扫描弱密码弱密码和空密码明显危及组织的网络的总体安全。 组织应该开发或购买自动扫描或测试空密码和弱密码的软件。 此类工具使用两种差不多方法：? 联机使用常见弱密码尝试多次登录网络。 Microsoft Baseline Security Analyzer (MBSA) 是此类工具的一个实例。 建议不要使用此方法，因为联机

29、方法可能导致在启用帐户锁定时拒绝服务。 ? 脱机密码扫描。 能够使用某些第三方脱机扫描工具，它们同意治理员识不并修补由于弱密码或容易推测的密码而导致的安全漏洞，从而能够关心降低组织的安全风险。 通常，这些工具先扫描弱密码，然后提供密码质量评分、报告和修补功能。 建议使用此方法来测试弱密码。 在识不使用空密码或弱密码的帐户之后，事件响应应该遵循您组织制定的事件响应协议。 事件响应协议的某些实例： ? 自动系统将帐户密码重置为强密码。 ? 自动系统将电子邮件发送给服务器的所有者以请求重置密码。 延迟的响应可能会延长服务器安全漏洞存在的时刻。使用 Microsoft Baseline Securit

30、y Analyzer 扫描密码 您能够使用 /technet/security/tools/mbsahome.mspx 上提供的 Microsoft Baseline Security Analyzer (MBSA) 工具，扫描网络上的每台计算机并搜索弱密码。 在其他安全测试过程中，MBSA 能够枚举所有用户帐户并检查下列密码弱点： ? 密码为空 ? 密码与用户帐户名称相同 ? 密码与计算机名相同 ? 密码使用单词“password” ? 密码使用单词“admin”或“administrator” 此扫描结束之后，此工具还通知您任何已禁用的或当前锁定的帐户。为了完成此测试，MBSA 尝试使用这

31、些密码来更改目标计算机的密码。 MBSA 可不能重置或永久更改密码，然而假如您的密码不是强密码，它会警告您存在安全风险。仅在受信任计算机上使用治理凭据确保您组织的治理员从不使用其治理凭据来登录到他们没有对其完全操纵的权限的计算机。 击键记录程序或屏幕扫描程序可能会在计算机上运行，并捕获治理员的密码凭据。 击键记录程序是一种无提示安装的间谍软件程序，运行在用户计算机的后台上。 间谍软件程序员将击键记录程序设计为在未经用户同意或用户不明白的情况下秘密地记录所有击键。 此信息将被存储以供今后检索，或被传输给击键记录程序的开发者以进行检查。 击键记录程序能够记录所有击键，包括密码或信用卡号码等个人信息

32、。 它们还能够记录所有带附件的电子邮件或在线谈天会话。通过检查显示屏上的实际上不用于数据传输或程序检查的内容，然后以一种易读的图形用户界面 (GUI) 格式显示此内容，屏幕扫描程序能够从计算机或程序捕获字符数据。 较新的屏幕扫描程序以 HTML 格式显示信息，以便使用扫瞄器扫瞄此信息。定期审核帐户和密码定期审核有助于确保域安全的完整性和防止特权提升。 特权提升能够为用户帐户提供未经授权的治理特权。 除非您爱护治理功能，否则攻击者能够造成安全漏洞并避开安全措施。 例如，具有治理权限的攻击者能够创建假的用户帐户，在未经许可的情况下将帐户添加到成员组，提升现有帐户的特权，添加或修改策略，以及禁用安全

33、设置。您应该定期审核所有域级治理用户和组，以及敏感服务器上的所有本地治理用户和组。 由于治理员可能有能力（但不是权力）对他们自己的治理帐户进行修改，组织必须确保帐户遵循域级治理用户的安全策略。 务必要审核这些特权凭据并认识到审核并不仅仅是检查密码长度。 审核也是一种查明治理帐户已执行的任务的有用工具。 在配置和启用审核之后，使用事件查看器查看创建的安全日志。 定期审核还能够检测未使用的域级治理帐户。 非活动的域级治理帐户会为网络环境带来安全漏洞，特不是在攻击者在您不知不觉的情况下对他们进行攻击时。 您应该删除任何未使用的域级治理员帐户或组。禁止帐户委派您应该将所有域级治理员用户帐户标为“敏感帐

34、户，不能被委派”。 此操作有助于防止通过标为“可委派其他帐户”的服务器模拟凭据。当网络服务同意用户请求并假定要启动与另一个网络服务的新连接的用户身份时，进行委派身份验证。 委派身份验证关于在多台计算机上使用单一登录功能的多层应用程序特不有用。 例如，域操纵器自动受信任以进行委派。 假如您在文件服务器上启用加密文件系统 (EFS)，必须信任此服务器以进行委派，以便代表用户存储加密文件。 委派身份验证关于 Internet 信息服务 (IIS) 支持在其他计算机上运行的数据库的 Web 接口的程序也特不重要，例如 Microsoft Exchange Server 中或企业证书颁发机构的 Web

35、注册支持页面（假如单独的 Web 服务器托管这些页）中的 Microsoft Outlook? Web Access (OWA)。您应该拒绝对不安全的计算机上 Active Directory 中的计算机帐户进行委派身份验证的权限，并拒绝域治理员帐户的权限。 域治理员帐户有权访问敏感资源，一旦敏感资源被泄漏，就会对您的组织带来严峻的风险。 有关详细信息，请参阅 /resources/documentation/WindowsServ/2003/all/deployguide/en-us/dsscc_aut_vwcs.asp 上 Windows Server 2003 Deployment Ki

36、t 中的 Enabling Delegated Authentication 主题。操纵治理登录过程Administrators 组、Enterprise Admins 组及 Domain Admins 组的成员代表了每个单独的域中权限最高的帐户。 要最大程度地降低安全风险，请执行本指南的后续部分中描述的步骤，以强制使用强治理凭据。要求使用智能卡进行治理登录要执行所有治理功能，域治理员应该使用二元身份验证。 二元身份验证需要两种东西：? 用户具有的东西，例如智能卡 ? 用户明白的东西，例如个人标识号 (PIN) 要求使用这两种东西能够降低通过共享、盗取或复制一元凭据（例如用户名和密码）未经授权

37、访问的风险。在您爱护域治理员帐户时，二元身份验证是一个重要环节，因为常规的用户名和密码是任意文本凭据，通常由自然语言字符集组成。 因此，恶意用户在下列情况下能够盗取、共享或复制它们：? 受信任的用户与未经授权的用户共享密码，或以不安全的方式记录密码（例如，将记录密码的便笺粘贴在显示器上）。 ? 以纯文本格式发送密码。 ? 在登录时，使用硬件或软件设备捕获通过键盘输入的内容。 假如您要求您的治理员使用智能卡进行交互式登录，这将强制治理用户使用其自己的智能卡登录，并确保使用随机生成的、加密性强的用户帐户密码。 这些强密码有助于防止盗取弱密码以获得治理权限。假如您为每个治理用户帐户启用“交互式登录必须使用智能卡”帐户选项，您能够强制使用智能卡。 智能卡 PIN 是各个卡所有者设置并存储在卡上的加密代码。 此 PIN 是用户在使用智能卡进行身份验证时必须提供的字符串，以便能够使用私钥。 智能卡上的每个私钥均是唯一的，这保证了身份验证的单一性。在域治理员进行交互式登录时，智能卡身份验证尤为重要。 智能卡能够使负责多台均需要身份验证的服务器的域治理员的工作更加轻松。 您能够