全面降低windows系統的安全隱患 (四)<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

之帳號安全

?作者:許本新

另外系列文章連接

之五 [url]http://windows.blog.51cto.com/92193/52266[/url]

之三 [url]http://windows.blog.51cto.com/92193/51501[/url]
之二 [url]http://windows.blog.51cto.com/92193/51228[/url]
之一 [url]http://windows.blog.51cto.com/92193/51214[/url]

目前的windows server 2003或者是windows xp等操作系統都是嚴格的多用戶多進程系統，但是當計算機的用戶個數多了卻會帶來另外一個方面的苦惱，那就是計算機的安全也會隨著減低。所以今天我借此機會給大家說說用戶帳號的安全防護問題。

l???????? 默認帳號帶來的不安全的應對方法

1、問題所在

???? 當windows server 2003或其它高版本的操作安裝好后，計算機都會自動的給自己創建相應的默認識帳號：administrator和guest等。這些默認帳號往往會給計算機帶來很大的安全隱患，因為網絡***在想法進入你的計算機的話，那他肯定要獲取你的帳號，而大家都知道OS中有這么一些默認帳號所以就給***猜測帳號提供了很大的方便。

???? 2、解決方案

???? 其實要想解決默認帳號給計算機系統帶來的不安全，很簡單。

????????? 刪除沒有必要的其它帳號(包括guest)

刪除guest帳號的方法：

打開注冊表，找到HKEY_LOCAL_MACHINE\SAM\SAM,單擊鼠標右鍵,在彈出的子菜單中選擇?權限?,然后把你現在所使用的用戶添加進入,并選擇?完全控制,再刷新一下就可以看到SAM下面的項了再找到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

Names就是你系統內的所有用戶,Users是相對應的值

Guest相對應的項一般000001F5

Administrator相對應的項一般000001F4

把Names和Users相對應的值都刪掉就可以了

萬事之后,記得把用戶操作SAM的權限刪掉

win?2000?只能在regedt32里改權限.?regedit沒那功能

????????? 重命名administrator帳號

創建注意事項：重命名administrator帳號，最好使用英文字母（不區分大小寫）+數字+符號的方法來重命名。

????????? 創建陷阱帳號

創建方法：新建一個帳號把他加入到guests組中去，然后把這個帳號重命名為administrator(前提是內置的administrator帳號已經重命名了),然后把該帳號禁用掉。

????????? netbios名的不安全

為了防止別人利用netbios來訪問你的計算機，我們可以把netbios給禁用掉（有關TCP/IP安全后面會相繼推出）。

禁用方法：網上鄰居\本地連接\TCP/IP協議(雙擊)\高級\wins\選擇“禁用TCP/IP上的netbios”

l???????? 密碼的不安全的應對方法

很多朋友在給用戶帳號設置口令的時候都習慣用姓名或用重要的人的生日來做口令其實這是非常危險的，我們在給用戶帳號設置口令的時候要使用強密碼（英文大寫+小寫+數字+符號或至少使用三種不同的字符方式來命名）。

?

?

l???????? 利用組策略來實現帳號的更安全

1、禁止枚舉賬號

我們知道，某些具有***行為的蠕蟲病毒，可以通過掃描Windows 2000/XP系統的指定端口，然后通過共享會話猜測管理員系統口令。因此，我們需要通過在“本地安全策略”中設置禁止枚舉賬號，從而抵御此類***行為，操作步驟如下：在“本地安全策略”左側列表的“安全設置”目錄樹中，逐層展開“本地策略→安全選項”。查看右側的相關策略列表，在此找到“網絡訪問：不允許SAM賬戶和共享的匿名枚舉”，用鼠標右鍵單擊，在彈出菜單中選擇“屬性”，而后會彈出一個對話框，在此激活“已啟用”選項，最后點擊“應用”按鈕使設置生效

2、啟用帳戶的鎖定策略

防止***采用枚舉法來破獲帳號的密碼，建議鎖定閾值可以設置為三，也就是所如果有人三次輸入錯誤密碼則會自動鎖定帳號。

3、安排好密碼策略

密碼策略作用于域帳戶或本地帳戶，其中就包含以下幾個方面： 強制密碼歷史 密碼最長使用期限 密碼最短使用期限 密碼長度最小值 密碼必須符合復雜性要求 用可還原的加密來存儲密碼 以上各項的配置方法均需根據當前用戶帳戶類型來選擇大家可以根據你當前的實際情況來合理安排。默認情況下，成員計算機的配置與其域控制器的配置相同。

4、不顯示用戶的上次登錄名

??? 在組策略的本地策略中的安全選項下啟用“不顯示上次的用戶名”，以免別人知道你上次登錄計算機所使用的用戶帳號。

?

為了實現系統的安全當然還有很多其它要注意的地方，我在此也沒有辦法給大家一一列舉，希望大家以此為契機，重視起我們身邊的計算機系統，保護好計算機中的資源。

轉載于:https://blog.51cto.com/windows/51981

總結

以上是生活随笔為你收集整理的全面降低windows系统的安全隐患 (四)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。