2019/3/21 网络安全技术 10
北京大学出版社
2．开启密码策略 对不同的账户进行授 权，使其拥有和身份相应的权限。
策略 设置 要求
密码复杂性要求
密码最小值 密码最长存留期
启用
6位 15天
数字和字母组合
长度至少为6 超期要求改密码
不能设置相同密码
11
强制密码历史
2019/3/21
5次
网络安全技术
北京大学出版社
3．设置屏幕保护密码 防止内部人员破 坏服务器的一个屏障。注意不要使用 OpenGL和一些复杂的屏幕保护程序浪 费系统资源，黑屏就可以了 。
2019/3/21
网络安全技术
12
北京大学出版社
4．加密文件或文件夹 用加密工具来保 护文件和文件夹，以防别人偷看 。
2019/3/21
网络安全技术
2019/3/21
网络安全技术
19
北京大学出版社
8．开启审核策略 侵日志。
策略
审核系统登录事件 审核账户管理 审核登录事件 审核对象访问 审核策略更改 审核特权使用 审核系统事件
2019/3/21
用安全审核来记录入
设置
成功、失败 成功、失败 成功、失败 成功 成功、失败 成功、失败 成功、失败
网络安全技术 20
Software\Microsoft\windows\currentversion\policies\system，
2019/3/21
网络安全技术
18
北京大学出版社
6．禁止从软盘和光驱启动系统 一些 第三方的工具能通过引导系统来绕过原 有的安全机制 。 7. 利用安全配置工具来配置安全策略 利用基于MMC（管理控制台）安全配置 和分析工具配置服务器。 /windows20 00/techinfo/howitworks/security/sc toolset.asp
2019/3/21 网络安全技术 8
北京大学出版社
10．开启用户策略 击。
可以有效的防止字典式攻
当某一用户连续5次录都失败后将自动锁定该 账户，30分钟后自动复位被锁定的账户。
2019/3/21 网络安全技术 9
北京大学出版社
2.2.2 密码安全配置
主要有4类，分别描述如下： 1. 安全密码 创建账号时不用公司名、 计算机名、或者一些别的容易猜到的字 符做用户名，密码设置要复杂。 安全期内无法破解出来的密码就是安全 密码（密码策略是42天必须改密码） 。
北京大学出版社
北京大学出版社
9．加密Temp 文件夹 给Temp文件夹加 密可以给文件多一层保护。 10．使用智能卡 用智能卡来代替复杂 的密码。 11．使用IPSec 提供IP数据包的安全 性。它提供身份验证、完整性和可选择 的机密性。 利用IPSec可以使得系统的安全性能大大 增强。
2019/3/21 网络安全技术 21
北京大学出版社
主要有10类，分别描述如下： 1. 新建用户 账号便于记忆与使用，而 密码则要求有一定的长度与复杂度。
2.2 操作系统安全配置实验 2.2.1 用户安全配置
2019/3/21
网络安全技术
1
北京大学出版社
2．账户授权 对不同的账户进行授权， 使其拥有和身份相应的权限。
2019/3/21
网络安全技术
2
北京大学出版社
3．停用Guest用户 把Guest账号禁用，并 且修改Guest账号的属性,设置拒绝远程 访问 。
2019/3/21
网络安全技术
3
北京大学出版社
4．系统Administrator账号改名 防止 管理员账号密码被穷举，伪装成普通用 户。
2019/3/21
网络安全技术
4
NT\CurrentVersion\Winlogon\DontDisplayLastUserName”，把REG_SZ的键值改
成 1。
2019/3/21
网络安全技术
7
北京大学出版社
8．限制用户数量 减少入侵突破口，账 户数不大于10 。 9．多个管理员账号 减少管理员账号使用 时间，避免被破解 。 创建一个一般用户权限账号用来处理电 子邮件及处理一些日常事务，创建另一 个有Administrator权限的账户在需要的 时候使用。
2019/3/21
网络安全技术
15
北京大学出版社
3．下载最新的补丁 经常访问微软和一些 安全站点，下载最新的Service Pack和漏 洞补丁。
2019/3/21
网络安全技术
16
北京大学出版社
4．关闭默认共享 侵。
默认共享目录 C$ D$ E$ 路 径
防止利用默认共享入
说 明
分区的根目录
Win2003 Advanced Server版中，只 有Administrator 和Backup Operators级成员才可连接，Win2000 Server版本Server Operators组也可 以连接到这些共享目录 远程管理用的共享目录。它的路径永 远都指向WIN2003的安装路径，比如C： \\winnt
13
北京大学出版社
2.2.3 系统安全配置
主要有11类，分别描述如下： 1. 使用NTFS格式分区 所有分区都改成 NTFS格式，NTFS文件系统要比FAT、 FAT32的文件系统安全得多。
Hale Waihona Puke 2019/3/21网络安全技术
14
北京大学出版社
2．运行防毒软件 不仅可杀掉一些著名 的病毒，还能查杀大量木马和后门程序。 要注意经常运行程序并升级病毒库。
ADMIN$ IPC$ PRIN$
2019/3/21
%SYSTEMTOOT%
IPC$共享提供了登的能力
SYSTEM32\SPOOL\DRIVER S
网络安全技术
用户远程管理打印机
17
北京大学出版社
5．锁定注册表 防止黑客从远程访问注 册表。修改Hkey_current_user下的子键： 把DisableRegistryTools值改为0，类型为 DWORD。
北京大学出版社
5．创建一个陷阱用户 将管理员账号权 限设置最低，延缓攻击企图。
2019/3/21
网络安全技术
5
北京大学出版社
6．更改默认权限 将共享文件的权限从 “Everyone”改成“授权用户 。
2019/3/21
网络安全技术
6
北京大学出版社
7．不显示上次登录用户名 防止密码猜 测，打开注册表编辑器并找到注册表项 “HKEY_CURRENT\Software\Microsoft\Windows