使用本地安全策略加強(qiáng)windows主機(jī)整體防御

1、項(xiàng)目二使用本地安全策略加強(qiáng)windows主機(jī)整體防御【項(xiàng)目描述】金山頂尖信息技術(shù)公司辦公網(wǎng)中有300臺(tái)計(jì)算機(jī)（Windows系統(tǒng)）。網(wǎng)絡(luò)中計(jì)算機(jī)之間 互相連接，形成共享網(wǎng)絡(luò)，實(shí)現(xiàn)公司網(wǎng)絡(luò)資源共享。為保護(hù)辦公網(wǎng)安全，保證網(wǎng)絡(luò)系統(tǒng)健康髙速運(yùn)行，金山頂尖信息技術(shù)公司信息中心， 要求辦公網(wǎng)要求所有的本地用戶必須配置訃算機(jī)本地安全策略，保護(hù)系統(tǒng)安全。【項(xiàng)目分析】在存放數(shù)據(jù)的桌而系統(tǒng)中設(shè)置本地安全策略。通過(guò)以下策略來(lái)加固桌而系統(tǒng):1）禁止枚舉賬號(hào)2）指派本地用戶權(quán)利3）IP策略4）密碼安全【知識(shí)準(zhǔn)備】1）禁用枚舉賬號(hào)的意義一般來(lái)說(shuō)，黑客攻擊入侵，大部分利用漏洞，然后提升權(quán)限，成為管理員，這一切都跟 用戶X

2、X緊密相連。一般的黑客要攻擊Windows 2000/XP等系統(tǒng)，必須要知道賬號(hào)和密碼。 而賬號(hào)更為關(guān)鍵，那么如何來(lái)避免這種情況的發(fā)生呢？我們可以利用禁止枚舉XX來(lái)限制黑客攻擊我們的賬戶和密碼。由于Windows 2000/XP的默認(rèn)安裝允許任何用戶通過(guò)空用戶得到系統(tǒng)所有賬號(hào)和共享 列表，但是，任何一個(gè)遠(yuǎn)程用戶通過(guò)同樣的方法都能得到賬戶列表，使用邸力法破解賬戶密 碼后，對(duì)我們的電腦進(jìn)行攻擊，所以有必要禁止枚舉XX,我們可以通過(guò)修改注冊(cè)表和設(shè)巻 本地安全策略來(lái)禁止。2）指派本地用戶權(quán)利在本地安全策略中可以指派本地用戶的權(quán)利，比如說(shuō)哪些用戶組可以登錄到此終端，哪 些用戶組或者用戶不能登錄到此終端中

3、。還可以設(shè)置哪些用戶組或者用戶可以關(guān)閉此汁 算機(jī)等等。3）IP策略IP安全策略是一個(gè)給予通訊分析的策略，它將通訊內(nèi)容與設(shè)泄好的規(guī)則進(jìn)行比較 以判斷通訊是否與預(yù)期相吻合，然后決左是允許還是拒絕通訊的傳輸，它彌補(bǔ)了傳統(tǒng) TCP/IP設(shè)汁上的”隨意信任重大安全漏洞，可以實(shí)現(xiàn)更仔細(xì)更精確的TCP/IP安全，當(dāng)我們配置好IP安全策略后，就相當(dāng)于擁有了一個(gè)免費(fèi)但功能完善的個(gè)人防火墻。4）密碼安全如何設(shè)置密碼安全，可以利用賬號(hào)安全策略來(lái)進(jìn)行保護(hù)密碼，防止密碼被破解：Windows桌而系統(tǒng)中，用戶賬號(hào)的安全策略默認(rèn)是關(guān)閉的。但要想設(shè)迫安全的桌而系統(tǒng), 必須開(kāi)啟用戶賬號(hào)的安全策略，以下是用戶賬號(hào)安全策略的解釋?zhuān)?/p>

4、弱口令：在互聯(lián)網(wǎng)術(shù)語(yǔ)中，弱口令我們經(jīng)常會(huì)在一些資料中看到，什么是弱口令， 弱口令是指僅包含簡(jiǎn)單數(shù)字和字母的口令，例如123”、“abc”等。 密碼長(zhǎng)度：密碼字符的長(zhǎng)度。我們推薦密碼的長(zhǎng)度至少八位。建議10位以上。 密碼復(fù)雜性：密碼由大小寫(xiě)字母，數(shù)字，特殊字符組成。把他們進(jìn)行組合的復(fù)雜程 度我們稱(chēng)為密碼復(fù)雜性。我們推薦密碼復(fù)雜性需求至少組成密碼字符應(yīng)該是大小寫(xiě) 字母，數(shù)字，特殊字符這四種當(dāng)中的三種。 密碼生存周期：也被稱(chēng)為密碼有效期。通常情況下，一個(gè)密碼是存在有效時(shí)間的， 比如運(yùn)行在工作組中的町nXP操作系統(tǒng)的密碼，默認(rèn)是0c意味著密碼永不過(guò)期。 如密碼存在于AD目錄中，那么密碼的生存周期是7天

5、。在密碼生存周期里，包含 二種類(lèi)型，一個(gè)是密碼最長(zhǎng)使用周期期限，另一個(gè)是密碼最短使用期限。 強(qiáng)制密碼歷史：強(qiáng)制密碼歷史是指如果要更改密碼，則密碼不能是之前設(shè)置過(guò)的幾 個(gè)密碼。例如在更改密碼之前設(shè)置的密碼從近到遠(yuǎn)依次是123, 456, 789,如強(qiáng)制 密碼歷史設(shè)置為2,那么密碼就不能改成之前的2次密碼，即123, 456。【項(xiàng)目實(shí)施】（一）、項(xiàng)目拓?fù)銹C1PC2圖任務(wù)三項(xiàng)目實(shí)施拓?fù)洌ǘ腠?xiàng)目設(shè)備計(jì)算機(jī)（一臺(tái)）:Windows XP （1 套）。（三）、操作步驟K步驟1新建賬戶Bob,設(shè)置Bob密碼，這里密碼設(shè)置為123。開(kāi)始我的電腦一一在我的電腦-單擊右鍵-一選擇管理選項(xiàng)一一進(jìn)入計(jì)算機(jī)管理 界

6、面一一打開(kāi)本地用戶和組標(biāo)簽一一單擊右鍵一-選擇新建用戶，見(jiàn)下圖在新用戶標(biāo)簽上，填入用戸名bob,密碼輸入123.點(diǎn)擊創(chuàng)建，則新用戶可以建立。K步驟2 3設(shè)置本地策略-密碼安全1）首先進(jìn)入本地安全策略配置界而開(kāi)始一一控制而板一一性能與維護(hù)一一管理工具一一雙擊本地安全策略。在安全設(shè)宜標(biāo)簽的賬戶策略一一密碼策略中-一設(shè)置密碼策略:齋本I*安全設(shè)百文件邊按fE登音鉆助e 一 勻 IE j 釦（f ED少安全設(shè)置安全設(shè)胃1k H咔戶荼喘風(fēng)密訶必級(jí)符臺(tái)復(fù)雜性妾衣蟲(chóng)冃密碼策昭腳密瑪長(zhǎng)度弟小佰6彳宇得X衛(wèi)妊戶蛻定第陷蹈密瑪靈氏便用期氓42天衛(wèi)本地策陀0天停C公明策昭圈強(qiáng)制密瑪歷史0個(gè)記住的密碼叵：_j弦件陀包

7、崇堅(jiān)匡目n安全策ag，衽弟地計(jì)算機(jī)勵(lì)用可還寡的加密東儲(chǔ)存痊瑪已共用2）雙擊一密碼必須符合復(fù)雜性要求，點(diǎn)擊啟用。3）之后，再點(diǎn)擊密碼長(zhǎng)度最小值，進(jìn)入此標(biāo)簽。這里我們?cè)O(shè)置字符為74）開(kāi)始一一我的電腦一一在我的電腦上-一單擊右鍵一-選擇管理選項(xiàng)一一進(jìn)入訃算機(jī) 管理界而一一打開(kāi)本地用戶和組標(biāo)簽一一單擊右鍵-一-選擇新建用戶。這里建立賬號(hào)Mary.輸入密碼123,點(diǎn)擊創(chuàng)建。點(diǎn)擊創(chuàng)建后，發(fā)現(xiàn)無(wú)法創(chuàng)建此賬號(hào)。見(jiàn)下圖:創(chuàng)建失敗原因，是密碼不符合密碼復(fù)雜性要求及密碼長(zhǎng)度。5）回到新用戶界而，密碼長(zhǎng)度設(shè)置成7位，密碼設(shè)宜成123qwe,再次點(diǎn)擊創(chuàng)建 這次創(chuàng)建成功，下圖可見(jiàn)新建成功Mary賬戶。昱丈件幽作釦查看 宙口轄助-5J JQ豹回啓國(guó)EE全名管建i皿機(jī)滋啲內(nèi)壬肋務(wù)Ahini心.車(chē)血lE