使用本地安全策略加强windows主机整体防御

使用本地安全策略加强w i n d o w s主机整体防御

Company Document number：WUUT-WUUY-WBBGB-BWYTT-1982GT

项目二

使用本地安全策略加强windows主机整体防御

【项目描述】

金山顶尖信息技术公司办公网中有300台计算机（Windows系统）。网络中计算机之间互相连接，形成共享网络，实现公司网络资源共享。。

为保护办公网安全，保证网络系统健康高速运行，金山顶尖信息技术公司信息中心，要求办公网要求所有的本地用户必须配置计算机本地安全策略，保护系统安全。

【项目分析】

在存放数据的桌面系统中设置本地安全策略。通过以下策略来加固桌面系统：

1）禁止枚举账号

2）指派本地用户权利

3） IP策略

4）密码安全

【知识准备】

1）禁用枚举账号的意义

一般来说，黑客攻击入侵，大部分利用漏洞，然后提升权限，成为管理员，这一切都跟用户帐号紧密相连。一般的黑客要攻击Windows 2000/XP等系统，必须要知道账号和密码。而账号更为关键，那么如何来避免这种情况的发生呢

我们可以利用禁止枚举帐号来限制黑客攻击我们的账户和密码。

由于Windows 2000/XP的默认安装允许任何用户通过空用户得到系统所有账号和共享列表，但是，任何一个远程用户通过同样的方法都能得到账户列表，使用暴力法破解账户密码后，对我们的电脑进行攻击，所以有必要禁止枚举帐号，我们可以通过修改注册表和设置本地安全策略来禁止。

2）指派本地用户权利

在本地安全策略中可以指派本地用户的权利，比如说哪些用户组可以登录到此终端，哪些用户组或者用户不能登录到此终端中。还可以设置哪些用户组或者用户可以关闭此计算机等等。

3） IP策略

IP安全策略是一个给予通讯分析的策略，它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合，然后决定是允许还是拒绝通讯的传输，它弥补了传统TCP/IP设计上的"

随意信任"重大安全漏洞，可以实现更仔细更精确的TCP/IP安全，当我们配置好IP安全策略后，就相当于拥有了一个免费但功能完善的个人防火墙。

4）密码安全

如何设置密码安全，可以利用账号安全策略来进行保护密码，防止密码被破解：

Windows桌面系统中，用户账号的安全策略默认是关闭的。但要想设定安全的桌面系统，必须开启用户账号的安全策略，以下是用户账号安全策略的解释：

●弱口令：在互联网术语中，弱口令我们经常会在一些资料中看到，什么是弱口令，弱口令是

指仅包含简单数字和字母的口令，例如“123”、“abc”等。

●密码长度：密码字符的长度。我们推荐密码的长度至少八位。建议10位以上。

●密码复杂性：密码由大小写字母，数字，特殊字符组成。把他们进行组合的复杂程度我们称

为密码复杂性。我们推荐密码复杂性需求至少组成密码字符应该是大小写字母，数字，特殊字符这四种当中的三种。

●密码生存周期：也被称为密码有效期。通常情况下，一个密码是存在有效时间的，比如运行

在工作组中的WinXP操作系统的密码，默认是0。意味着密码永不过期。如密码存在于AD

目录中，那么密码的生存周期是7天。在密码生存周期里，包含二种类型，一个是密码最长使用周期期限，另一个是密码最短使用期限。

●强制密码历史：强制密码历史是指如果要更改密码，则密码不能是之前设置过的几个密码。

例如在更改密码之前设置的密码从近到远依次是123，456，789，如强制密码历史设置为

2，那么密码就不能改成之前的2次密码，即123，456。

【项目实施】

（一）、项目拓扑

图1-1 任务三项目实施拓扑

（二）、项目设备

计算机（一台）； Windows XP（1套）。

（三）、操作步骤

〖步骤1 〗新建账户Bob，设置Bob密码，这里密码设置为123。

开始——我的电脑——在我的电脑---单击右键---选择管理选项——进入计算机管理界面——打开本地用户和组标签——单击右键---选择新建用户，见下图

在新用户标签上，填入用户名bob，密码输入123，点击创建，则新用户可以建立。

〖步骤2 〗设置本地策略---密码安全

1）首先进入本地安全策略配置界面

开始——控制面板——性能与维护——管理工具——双击本地安全策略。

在安全设置标签的账户策略——密码策略中---设置密码策略：

2)双击--密码必须符合复杂性要求，点击启用。

3)之后，再点击密码长度最小值，进入此标签。这里我们设置字符为7

4) 开始——我的电脑——在我的电脑上---单击右键---选择管理选项——进入计算机管理界面

——打开本地用户和组标签——单击右键----选择新建用户。

这里建立账号Mary，输入密码123，点击创建。

点击创建后，发现无法创建此账号。见下图：

创建失败原因，是密码不符合密码复杂性要求及密码长度。

5）回到新用户界面，密码长度设置成7位，密码设置成123@qwe，再次点击创建

这次创建成功，下图可见新建成功Mary账户。