使用本地安全策略加強(qiáng)windows主機(jī)整體防御.doc

項(xiàng)目二使用本地安全策略加強(qiáng)windows主機(jī)整體防御【項(xiàng)目描述】金山頂尖信息技術(shù)公司辦公網(wǎng)中有300臺(tái)計(jì)算機(jī)（Windows系統(tǒng)）。網(wǎng)絡(luò)中計(jì)算機(jī)之間互相連接，形成共享網(wǎng)絡(luò)，實(shí)現(xiàn)公司網(wǎng)絡(luò)資源共享。 。為保護(hù)辦公網(wǎng)安全， 保證網(wǎng)絡(luò)系統(tǒng)健康高速運(yùn)行，金山頂尖信息技術(shù)公司信息中心，要求辦公網(wǎng)要求所有的本地用戶必須配置計(jì)算機(jī)本地安全策略，保護(hù)系統(tǒng)安全?！卷?xiàng)目分析】在存放數(shù)據(jù)的桌面系統(tǒng)中設(shè)置本地安全策略。通過以下策略來加固桌面系統(tǒng)：1） 禁止枚舉賬號(hào)2） 指派本地用戶權(quán)利3） IP策略4） 密碼安全【知識(shí)準(zhǔn)備】1） 禁用枚舉賬號(hào)的意義一般來說，黑客攻擊入侵，大部分利用漏洞，然后提升權(quán)限，成為管理員，這一切都跟用戶帳號(hào)緊密相連。一般的黑客要攻擊Windows 2000/XP等系統(tǒng)，必須要知道賬號(hào)和密碼。而賬號(hào)更為關(guān)鍵，那么如何來避免這種情況的發(fā)生呢？我們可以利用禁止枚舉帳號(hào)來限制黑客攻擊我們的賬戶和密碼。由于Windows 2000/XP的默認(rèn)安裝允許任何用戶通過空用戶得到系統(tǒng)所有賬號(hào)和共享列表，但是，任何一個(gè)遠(yuǎn)程用戶通過同樣的方法都能得到賬戶列表，使用暴力法破解賬戶密碼后，對(duì)我們的電腦進(jìn)行攻擊，所以有必要禁止枚舉帳號(hào)，我們可以通過修改注冊(cè)表和設(shè)置本地安全策略來禁止。 2） 指派本地用戶權(quán)利在本地安全策略中可以指派本地用戶的權(quán)利，比如說哪些用戶組可以登錄到此終端，哪些用戶組或者用戶不能登錄到此終端中。還可以設(shè)置哪些用戶組或者用戶可以關(guān)閉此計(jì)算機(jī)等等。3） IP策略IP安全策略是一個(gè)給予通訊分析的策略，它將通訊內(nèi)容與設(shè)定好的規(guī)則進(jìn)行比較以判斷通訊是否與預(yù)期相吻合，然后決定是允許還是拒絕通訊的傳輸，它彌補(bǔ)了傳統(tǒng)TCP/IP設(shè)計(jì)上的隨意信任重大安全漏洞，可以實(shí)現(xiàn)更仔細(xì)更精確的TCP/IP安全，當(dāng)我們配置好IP安全策略后，就相當(dāng)于擁有了一個(gè)免費(fèi)但功能完善的個(gè)人防火墻。4） 密碼安全如何設(shè)置密碼安全，可以利用賬號(hào)安全策略來進(jìn)行保護(hù)密碼，防止密碼被破解：Windows桌面系統(tǒng)中，用戶賬號(hào)的安全策略默認(rèn)是關(guān)閉的。但要想設(shè)定安全的桌面系統(tǒng)，必須開啟用戶賬號(hào)的安全策略，以下是用戶賬號(hào)安全策略的解釋：l 弱口令：在互聯(lián)網(wǎng)術(shù)語中，弱口令我們經(jīng)常會(huì)在一些資料中看到，什么是弱口令，弱口令是指僅包含簡(jiǎn)單數(shù)字和字母的口令，例如“123”、“abc”等。l 密碼長(zhǎng)度：密碼字符的長(zhǎng)度。我們推薦密碼的長(zhǎng)度至少八位。建議10位以上。l 密碼復(fù)雜性：密碼由大小寫字母，數(shù)字，特殊字符組成。把他們進(jìn)行組合的復(fù)雜程度我們稱為密碼復(fù)雜性。我們推薦密碼復(fù)雜性需求至少組成密碼字符應(yīng)該是大小寫字母，數(shù)字，特殊字符這四種當(dāng)中的三種。l 密碼生存周期：也被稱為密碼有效期。通常情況下，一個(gè)密碼是存在有效時(shí)間的，比如運(yùn)行在工作組中的WinXP操作系統(tǒng)的密碼，默認(rèn)是0。意味著密碼永不過期。如密碼存在于AD目錄中，那么密碼的生存周期是7天。在密碼生存周期里，包含二種類型，一個(gè)是密碼最長(zhǎng)使用周期期限，另一個(gè)是密碼最短使用期限。l 強(qiáng)制密碼歷史：強(qiáng)制密碼歷史是指如果要更改密碼，則密碼不能是之前設(shè)置過的幾個(gè)密碼。例如在更改密碼之前設(shè)置的密碼從近到遠(yuǎn)依次是123，456，789，如強(qiáng)制密碼歷史設(shè)置為2，那么密碼就不能改成之前的2次密碼，即123，456?！卷?xiàng)目實(shí)施】（一）、項(xiàng)目拓?fù)鋱D1-1 任務(wù)三項(xiàng)目實(shí)施拓?fù)洌ǘ?、?xiàng)目設(shè)備計(jì)算機(jī)（一臺(tái)）； Windows XP（1套）。（三）、操作步驟步驟1 新建賬戶Bob，設(shè)置Bob密碼，這里密碼設(shè)置為123。開始我的電腦在我的電腦-單擊右鍵-選擇管理選項(xiàng)進(jìn)入計(jì)算機(jī)管理界面打開本地用戶和組標(biāo)簽單擊右鍵-選擇新建用戶，見下圖在新用戶標(biāo)簽上，填入用戶名bob，密碼輸入123，點(diǎn)擊創(chuàng)建，則新用戶可以建立。步驟2 設(shè)置本地策略-密碼安全1）首先進(jìn)入本地安全策略配置界面開始控制面板性能與維護(hù)管理工具雙擊本地安全策略。在安全設(shè)置標(biāo)簽的賬戶策略密碼策略中-設(shè)置密碼策略：2)雙擊-密碼必須符合復(fù)雜性要求，點(diǎn)擊啟用。3)之后，再點(diǎn)擊密碼長(zhǎng)度最小值，進(jìn)入此標(biāo)簽。這里我們?cè)O(shè)置字符為74) 開始我的電腦在我的電腦上-單擊右鍵-選擇管理選項(xiàng)進(jìn)入計(jì)算機(jī)管理界面打開本地用戶和組標(biāo)簽單擊右鍵-選擇新建用戶。這里建立賬號(hào)Mary，輸入密碼123，點(diǎn)擊創(chuàng)建。點(diǎn)擊創(chuàng)建后，發(fā)現(xiàn)無法創(chuàng)建此