湖南第一网欢迎您!    
网站首页 | 综合资讯 | 电脑教程 | 成功人生 | 美丽服饰 | 流行时尚 | 汽车频道 | 游戏专区
生活点滴 | I T 资讯 | 软件前沿 | 自我测试 | 体育赛事 | 免费资源 | Q Q 技巧 | 保健养生
华夏旅游
| 创业指南 | 天天美食 | 常用软件 | 生财之道 | 查询大全 | 万 年 历 | 繁體中文
 
当前位置 : 首页 >> 电脑教程 >>
  组策略为你打造安全的操作系统  
  来源:网络     日期:2008-6-10      
   
 

  自Windows诞生以来,很多人就抱怨它像漏勺一样浑身是漏洞。诚然,一些用户的系统被攻破,Windows的漏洞是一个因素,但很多人没有安全意识,设置不当也是一个非常重要的原因。其实,就系统安全来说,只要你及时安装补丁,设置得当,Windows的安全性还是值得信赖的。本文就从组策略入手,介绍如何使你的Windows 2000 Server更安全(本文也适用于Windows 2000以上的其它Server版本)。

  重命名默认帐户

  通过IPC$或终端服务(IPC$或终端服务是Windows为了共享资源和远程管理而设置的功能,但由于设置不当,很多系统被黑客通过IPS$或终端服务控制,所以有些人也把IPS$或终端服务叫做系统漏洞)可以远程登录到计算机。如图1所示,在这个终端服务客户端的窗口中,只要我们正确输入了Windows的管理员帐户和密码,就能像操作本地电脑那样操作远程的IP地址为222.57.88.143的计算机。Windows内置了Administrator和Guest帐户,而Administrator就是具有全部权限的管理员帐户。一些“爆破手”可以通过密码猜测或暴力破解的方法获得这一帐户的口令,所以建议你重命名这两个帐户:在“开始”菜单单击“运行”,输入“gpedit.msc”打开组策略编辑器,依次展开“计算机配置” “Windows设置” “安全设置” “本地策略” “安全选项”,在右侧分别双击“重命名系统管理员帐户”、“重命名来宾帐户”策略,在弹出的对话框上重新输入一个帐户名即可重命名Administrator和Guest帐户。

  组策略为你打造安全的操作系统

  提示:对于黑客来说,得到Administrator帐户的密码是他们梦寐以求的事情,但Administrator帐户又不能被删除或禁用(即便改名以后也不能被删除或禁用,这样可以确保用户不会因为删除或禁用所有的管理员帐户而失去添加或删除帐户的管理权限),所以要保证该帐户的安全,可行的办法就是改名或使用一个复杂的密码。

  启用帐户锁定策略

  有些黑客会利用帐户词典和密码词典远程破解Windows帐户以便通过IPC$或终端服务远程登录到Windows。启用帐户锁定策略可以有效防止黑客通过这种方法远程破解Windows帐户。打开组策略编辑器,依次展开“计算机配置” “Windows设置” “安全设置” “帐户策略” “帐户锁定策略”,在右侧双击“帐户锁定阈值”,在弹出的对话框上输入“5”(登录失败5次被猜测的帐户将被锁定),接着,再双击“账户锁定时间”,在弹出的对话框输入“30”(30分钟之后锁定将被解除),这样,就可有效地防止黑客利用软件采用穷举法远程破解Windows帐户。

  提示:有些用户喜欢把Administrator帐户改名为Admin、Root之类的名字,这样改了等于没改,因为在黑客使用的大多数帐户词典中,这类帐户早就被列为爆破的对象。

  启用密码策略

  从上面的介绍可以看出Windows帐户和密码的重要性,但是大多数Windows用户的帐户使用的却是“弱口令”(密码极易被破解的口令),甚至有些用户的Administrator帐户是空口令。为了防止帐户和密码设置上的“轻率”,使你的Windows帐户有一个复杂的密码,建议按以下方法启用密码策略:打开组策略编辑器,依次展开“计算机配置” “Windows设置” “安全设置” “帐户策略” “密码策略”,双击相应的策略,在弹出的对话框上启用“密码必须符合复杂性要求”策略,并设置密码长度的最小值为8个字符,强制密码历史为3个,密码最长存留期为30天。

  提示:短密码的安全性很低,因为使用词典破解工具可以很容易地破解短密码,但不是说长密码就一定很安全,很长的密码可能会造成密码输入错误而导致帐户被锁定,另外,太长的密码为了便于记忆你可能会写下来或保存在电脑中,这反而会降低密码的安全性,所以大多数环境下笔者建议你使用由8个字符组成的密码,因为这种密码足够长,可提供充分的安全性;同时也足够短,能够便于记忆。

  不显示上次登录的用户名

  在默认设置下,Windows 2000 Server在交互式登录窗口上会显示上次登录的帐户名(如图2),为了防止用户猜测或破解这一帐户,我们可以让Windows 2000 Server的交互式登录窗口不显示上次登录的帐户名。具体做法是:打开组策略编辑器,依次展开“计算机配置” “Windows设置” “安全设置” “本地策略” “安全选项”,在右侧双击“登录屏幕上不要显示上次登录的用户名”策略,在弹出的对话框上选择“已启用”即可。

  

 

  启用审核策略

  审核策略启用后(如图3),Windows会通过安全日志记录被审核对象的操作,可以通过“事件查看器”查看安全日志,比如,如果黑客通过终端服务登录失败,而你又审核“成功”或“失败”的登录事件,那么在“事件查看器”中Windows就会记录如图3所示的事件。从图4上可以看出,在2005年8月9日10点45分,黑客使用“X-cov”的帐户登录时,由于系统中不存在该账户或密码错误,致使该黑客没有登录成功。

  

 

  

 

  提示:这里需要说明的是启用审核策略会消耗掉一部分系统资源,而且审核太多的对象会使安全事件骤增,这也不利于查看事件。所以审核策略不是“越多越好”,要根据“需要和可能”权衡而定。

 
 
 
 
 
 
   相关资讯    最新资讯  
 
·Windows操作系统解决组策略问题详
·Photoshop打造金属质感镂空文字
 
·免费万能播放器ALLPlayer 5.4.3 
·查看系统是32位还是64位的方法
·科学家宣称正在研制一种能够模仿
·美国科学家宣布世界上第二例艾滋
·Windows 9操作系统可能于11月份正
 

Copyright ©2006-2028 hhee88.com All Rights Reserved.
湖南第一网 2006-2028 版权所有   
本站所有文章、数据仅供参考,使用前请核实,风险自负。
湖南第一网站内搜索