全面降低windows系統(tǒng)的安全隱患 (四)<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

之帳號安全

?作者:許本新

另外系列文章連接

之五 [url]http://windows.blog.51cto.com/92193/52266[/url]

之三 [url]http://windows.blog.51cto.com/92193/51501[/url]
之二 [url]http://windows.blog.51cto.com/92193/51228[/url]
之一 [url]http://windows.blog.51cto.com/92193/51214[/url]

目前的windows server 2003或者是windows xp等操作系統(tǒng)都是嚴(yán)格的多用戶多進(jìn)程系統(tǒng)，但是當(dāng)計算機(jī)的用戶個數(shù)多了卻會帶來另外一個方面的苦惱，那就是計算機(jī)的安全也會隨著減低。所以今天我借此機(jī)會給大家說說用戶帳號的安全防護(hù)問題。

l???????? 默認(rèn)帳號帶來的不安全的應(yīng)對方法

1、問題所在

???? 當(dāng)windows server 2003或其它高版本的操作安裝好后，計算機(jī)都會自動的給自己創(chuàng)建相應(yīng)的默認(rèn)識帳號：administrator和guest等。這些默認(rèn)帳號往往會給計算機(jī)帶來很大的安全隱患，因?yàn)榫W(wǎng)絡(luò)***在想法進(jìn)入你的計算機(jī)的話，那他肯定要獲取你的帳號，而大家都知道OS中有這么一些默認(rèn)帳號所以就給***猜測帳號提供了很大的方便。

???? 2、解決方案

???? 其實(shí)要想解決默認(rèn)帳號給計算機(jī)系統(tǒng)帶來的不安全，很簡單。

????????? 刪除沒有必要的其它帳號(包括guest)

刪除guest帳號的方法：

打開注冊表，找到HKEY_LOCAL_MACHINE\SAM\SAM,單擊鼠標(biāo)右鍵,在彈出的子菜單中選擇?權(quán)限?,然后把你現(xiàn)在所使用的用戶添加進(jìn)入,并選擇?完全控制,再刷新一下就可以看到SAM下面的項了再找到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

Names就是你系統(tǒng)內(nèi)的所有用戶,Users是相對應(yīng)的值

Guest相對應(yīng)的項一般000001F5

Administrator相對應(yīng)的項一般000001F4

把Names和Users相對應(yīng)的值都刪掉就可以了

萬事之后,記得把用戶操作SAM的權(quán)限刪掉

win?2000?只能在regedt32里改權(quán)限.?regedit沒那功能

????????? 重命名administrator帳號

創(chuàng)建注意事項：重命名administrator帳號，最好使用英文字母（不區(qū)分大小寫）+數(shù)字+符號的方法來重命名。

????????? 創(chuàng)建陷阱帳號

創(chuàng)建方法：新建一個帳號把他加入到guests組中去，然后把這個帳號重命名為administrator(前提是內(nèi)置的administrator帳號已經(jīng)重命名了),然后把該帳號禁用掉。

????????? netbios名的不安全

為了防止別人利用netbios來訪問你的計算機(jī)，我們可以把netbios給禁用掉（有關(guān)TCP/IP安全后面會相繼推出）。

禁用方法：網(wǎng)上鄰居\本地連接\TCP/IP協(xié)議(雙擊)\高級\wins\選擇“禁用TCP/IP上的netbios”

l???????? 密碼的不安全的應(yīng)對方法

很多朋友在給用戶帳號設(shè)置口令的時候都習(xí)慣用姓名或用重要的人的生日來做口令其實(shí)這是非常危險的，我們在給用戶帳號設(shè)置口令的時候要使用強(qiáng)密碼（英文大寫+小寫+數(shù)字+符號或至少使用三種不同的字符方式來命名）。

?

?

l???????? 利用組策略來實(shí)現(xiàn)帳號的更安全

1、禁止枚舉賬號

我們知道，某些具有***行為的蠕蟲病毒，可以通過掃描Windows 2000/XP系統(tǒng)的指定端口，然后通過共享會話猜測管理員系統(tǒng)口令。因此，我們需要通過在“本地安全策略”中設(shè)置禁止枚舉賬號，從而抵御此類***行為，操作步驟如下：在“本地安全策略”左側(cè)列表的“安全設(shè)置”目錄樹中，逐層展開“本地策略→安全選項”。查看右側(cè)的相關(guān)策略列表，在此找到“網(wǎng)絡(luò)訪問：不允許SAM賬戶和共享的匿名枚舉”，用鼠標(biāo)右鍵單擊，在彈出菜單中選擇“屬性”，而后會彈出一個對話框，在此激活“已啟用”選項，最后點(diǎn)擊“應(yīng)用”按鈕使設(shè)置生效

2、啟用帳戶的鎖定策略

防止***采用枚舉法來破獲帳號的密碼，建議鎖定閾值可以設(shè)置為三，也就是所如果有人三次輸入錯誤密碼則會自動鎖定帳號。

3、安排好密碼策略

密碼策略作用于域帳戶或本地帳戶，其中就包含以下幾個方面： 強(qiáng)制密碼歷史 密碼最長使用期限 密碼最短使用期限 密碼長度最小值 密碼必須符合復(fù)雜性要求 用可還原的加密來存儲密碼 以上各項的配置方法均需根據(jù)當(dāng)前用戶帳戶類型來選擇大家可以根據(jù)你當(dāng)前的實(shí)際情況來合理安排。默認(rèn)情況下，成員計算機(jī)的配置與其域控制器的配置相同。

4、不顯示用戶的上次登錄名

??? 在組策略的本地策略中的安全選項下啟用“不顯示上次的用戶名”，以免別人知道你上次登錄計算機(jī)所使用的用戶帳號。

?

為了實(shí)現(xiàn)系統(tǒng)的安全當(dāng)然還有很多其它要注意的地方，我在此也沒有辦法給大家一一列舉，希望大家以此為契機(jī)，重視起我們身邊的計算機(jī)系統(tǒng)，保護(hù)好計算機(jī)中的資源。

轉(zhuǎn)載于:https://blog.51cto.com/windows/51981

總結(jié)

以上是生活随笔為你收集整理的全面降低windows系统的安全隐患 (四)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。