本地安全策略.doc

使用本地安全策略加强windows主机的整体防御

学****目的
学生通过该能力模块的学****能够独立完成和熟练掌握WindowsXP的本地安全策略设置。
学****要求

禁止枚举账号
指派本地用户权利
设置IP安全策略
配置密码安全策略

IP安全策略:IP安全策略是一个给予通讯分析的策略,它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合,然后决定是允许还是拒绝通讯的传输,它弥补了传统TCP/IP设计上的"随意信任"重大安全漏洞,可以实现更仔细更精确的TCP/IP安全,也就是说,当我们配置好IP安全策略后,就相当于拥有了一个免费,但功能完善的个人防火墙。
本能力单元涉及的知识组织





,重点针对WindowsXP的本地安全策略进行设置,达到对本地安全策略的进行深入的理解。
知识准备
本地安全策略
安全策略是影响计算机安全性的安全设置的组合。可以利用本地安全策略来编辑本地计算机上的帐户策略和本地策略。
通过本地安全策略可以控制:
访问计算机的用户。
授权用户使用计算机上的哪些资源。
是否在事件日志中记录用户或组的操作。
枚举账号
禁用枚举账号的意义
一般来说,黑客攻击入侵,大部分利用漏洞,然后提升权限,成为管理员,这一切都跟用户帐号紧密相连。一般的黑客要攻击Windows 2000/XP等系统,必须要知道账号和密码。而账号更为关键,那么如何来避免这种情况的发生呢?
我们可以利用禁止枚举帐号来限制黑客攻击我们的账户和密码。
由于Windows 2000/XP的默认安装允许任何用户通过空用户得到系统所有账号和共享列表,但是,任何一个远程用户通过同样的方法都能得到账户列表,使用暴力法破解账户密码后,对我们的电脑进行攻击,所以有必要禁止枚举帐号,我们可以通过修改注册表和设置本地安全策略来禁止。
指派本地用户权利
在本地安全策略中可以指派本地用户的权利,比如说哪些用户组可以登录到此终端,哪些用户组或者用户不能登录到此终端中。还可以设置哪些用户组或者用户可以关闭此计算机等等。
IP策略
IP安全策略是一个给予通讯分析的策略,它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合,然后决定是允许还是拒绝通讯的传输,它弥补了传统TCP/IP设计上的"随意信任"重大安全漏洞,可以实现更仔细更精确的TCP/IP安全,当我们配置好IP安全策略后,就相当于拥有了一个免费但功能完善的个人防火墙。
密码安全
如何设置密码安全,我们可以利用用户账号的安全策略来进行保护密码,防止密码被破解:
Windows桌面系统中,用户账号的安全策略默认是关闭的。但要想设定安全的桌面系统,必须开启用户账号的安全策略,以下是用户账号安全策略的解释:
弱口令:在互联网术语中,弱口令我们经常会在一些资料中看到,什么是弱口令,弱口令是指仅包含简单数字和字母的口令,例如“123”、“abc”等。
密码长度:密码字符的长度。我们推荐密码的长度至少八位。建议10位以上。
密码复杂性:密码由大小写字母,数字,特殊字符组成。把他们进行组合的复杂程度我们称为密码复杂性。我们推荐密码复杂性需求至少组成密码字符应该是大小写字母,数字,特殊字符这四种当中的三种。
密码生存周期:也被称为密码有效期。通常情况下,一个密码是存在有效时间的,比如运行在工作组中的WinXP操作系统的密码,默认是0。意味着密码永不过期。如密码存在于AD目录中,那么密码的生存周期是7天。在密码生存周期里,包含二种类型,一个是密码最长使用周期期限,另一个是密码最短使用期限。
强制密码历史:强制密码历史是指如果要更改密码,则密码不能是之前设置过的几个密码。例如在更改密码之前设置的密码从近到远依次是123,456,789,如强制密码历史设置为2,那么密码就不能改成之前的2次密码,即123,456。

〖步骤1 〗创建系统账户
第一步:创建多个Windows用户帐户
第一步:创建多个Windows用户帐户
在PC1上创建bob、Mary、Tim三个用户,如图2-1,图2-2,图2-3所示。
图2- 1 新建bob账号
图2- 2 新建Mary账号
图2- 3 新建Tim账号
第二步:创建Windows用户组
在PC1上创建Sales、Manager、Engineer三个用户组,如图2-4,图2-5,图2-6所示。