使用本地安全策略加強windows主機整體防御

1、項目二使用本地安全策略加強windows主機整體防御【項目描述】金山頂尖信息技術(shù)公司辦公網(wǎng)中有300臺計算機（Windows系統(tǒng)）。網(wǎng)絡中計算機之間 互相連接，形成共享網(wǎng)絡，實現(xiàn)公司網(wǎng)絡資源共享。為保護辦公網(wǎng)安全，保證網(wǎng)絡系統(tǒng)健康髙速運行，金山頂尖信息技術(shù)公司信息中心， 要求辦公網(wǎng)要求所有的本地用戶必須配置訃算機本地安全策略，保護系統(tǒng)安全?！卷椖糠治觥吭诖娣艛?shù)據(jù)的桌而系統(tǒng)中設置本地安全策略。通過以下策略來加固桌而系統(tǒng):1）禁止枚舉賬號2）指派本地用戶權(quán)利3）IP策略4）密碼安全【知識準備】1）禁用枚舉賬號的意義一般來說，黑客攻擊入侵，大部分利用漏洞，然后提升權(quán)限，成為管理員，這一切都跟 用戶X

2、X緊密相連。一般的黑客要攻擊Windows 2000/XP等系統(tǒng)，必須要知道賬號和密碼。 而賬號更為關(guān)鍵，那么如何來避免這種情況的發(fā)生呢？我們可以利用禁止枚舉XX來限制黑客攻擊我們的賬戶和密碼。由于Windows 2000/XP的默認安裝允許任何用戶通過空用戶得到系統(tǒng)所有賬號和共享 列表，但是，任何一個遠程用戶通過同樣的方法都能得到賬戶列表，使用邸力法破解賬戶密 碼后，對我們的電腦進行攻擊，所以有必要禁止枚舉XX,我們可以通過修改注冊表和設巻 本地安全策略來禁止。2）指派本地用戶權(quán)利在本地安全策略中可以指派本地用戶的權(quán)利，比如說哪些用戶組可以登錄到此終端，哪 些用戶組或者用戶不能登錄到此終端中

3、。還可以設置哪些用戶組或者用戶可以關(guān)閉此汁 算機等等。3）IP策略IP安全策略是一個給予通訊分析的策略，它將通訊內(nèi)容與設泄好的規(guī)則進行比較 以判斷通訊是否與預期相吻合，然后決左是允許還是拒絕通訊的傳輸，它彌補了傳統(tǒng) TCP/IP設汁上的”隨意信任重大安全漏洞，可以實現(xiàn)更仔細更精確的TCP/IP安全，當我們配置好IP安全策略后，就相當于擁有了一個免費但功能完善的個人防火墻。4）密碼安全如何設置密碼安全，可以利用賬號安全策略來進行保護密碼，防止密碼被破解：Windows桌而系統(tǒng)中，用戶賬號的安全策略默認是關(guān)閉的。但要想設迫安全的桌而系統(tǒng), 必須開啟用戶賬號的安全策略，以下是用戶賬號安全策略的解釋：

4、弱口令：在互聯(lián)網(wǎng)術(shù)語中，弱口令我們經(jīng)常會在一些資料中看到，什么是弱口令， 弱口令是指僅包含簡單數(shù)字和字母的口令，例如123”、“abc”等。 密碼長度：密碼字符的長度。我們推薦密碼的長度至少八位。建議10位以上。 密碼復雜性：密碼由大小寫字母，數(shù)字，特殊字符組成。把他們進行組合的復雜程 度我們稱為密碼復雜性。我們推薦密碼復雜性需求至少組成密碼字符應該是大小寫 字母，數(shù)字，特殊字符這四種當中的三種。 密碼生存周期：也被稱為密碼有效期。通常情況下，一個密碼是存在有效時間的， 比如運行在工作組中的町nXP操作系統(tǒng)的密碼，默認是0c意味著密碼永不過期。 如密碼存在于AD目錄中，那么密碼的生存周期是7天

5、。在密碼生存周期里，包含 二種類型，一個是密碼最長使用周期期限，另一個是密碼最短使用期限。 強制密碼歷史：強制密碼歷史是指如果要更改密碼，則密碼不能是之前設置過的幾 個密碼。例如在更改密碼之前設置的密碼從近到遠依次是123, 456, 789,如強制 密碼歷史設置為2,那么密碼就不能改成之前的2次密碼，即123, 456。【項目實施】（一）、項目拓撲PC1PC2圖任務三項目實施拓撲（二入項目設備計算機（一臺）:Windows XP （1 套）。（三）、操作步驟K步驟1新建賬戶Bob,設置Bob密碼，這里密碼設置為123。開始我的電腦一一在我的電腦-單擊右鍵-一選擇管理選項一一進入計算機管理 界

6、面一一打開本地用戶和組標簽一一單擊右鍵一-選擇新建用戶，見下圖在新用戶標簽上，填入用戸名bob,密碼輸入123.點擊創(chuàng)建，則新用戶可以建立。K步驟2 3設置本地策略-密碼安全1）首先進入本地安全策略配置界而開始一一控制而板一一性能與維護一一管理工具一一雙擊本地安全策略。在安全設宜標簽的賬戶策略一一密碼策略中-一設置密碼策略:齋本I*安全設百文件邊按fE登音鉆助e 一 勻 IE j 釦（f ED少安全設置安全設胃1k H咔戶荼喘風密訶必級符臺復雜性妾衣蟲冃密碼策昭腳密瑪長度弟小佰6彳宇得X衛(wèi)妊戶蛻定第陷蹈密瑪靈氏便用期氓42天衛(wèi)本地策陀0天停C公明策昭圈強制密瑪歷史0個記住的密碼叵：_j弦件陀包

7、崇堅匡目n安全策ag，衽弟地計算機勵用可還寡的加密東儲存痊瑪已共用2）雙擊一密碼必須符合復雜性要求，點擊啟用。3）之后，再點擊密碼長度最小值，進入此標簽。這里我們設置字符為74）開始一一我的電腦一一在我的電腦上-一單擊右鍵一-選擇管理選項一一進入訃算機 管理界而一一打開本地用戶和組標簽一一單擊右鍵-一-選擇新建用戶。這里建立賬號Mary.輸入密碼123,點擊創(chuàng)建。點擊創(chuàng)建后，發(fā)現(xiàn)無法創(chuàng)建此賬號。見下圖:創(chuàng)建失敗原因，是密碼不符合密碼復雜性要求及密碼長度。5）回到新用戶界而，密碼長度設置成7位，密碼設宜成123qwe,再次點擊創(chuàng)建 這次創(chuàng)建成功，下圖可見新建成功Mary賬戶。昱丈件幽作釦查看 宙口轄助-5J JQ豹回啓國EE全名管建i皿機滋啲內(nèi)壬肋務Ahini心.車血lE