使用本地安全策略加强windows主机整体防御

1、项目二使用本地安全策略加强windows主机整体防御【项目描述】金山顶尖信息技术公司办公网中有300台计算机（Windows系统）。网络中计算机之间 互相连接，形成共享网络，实现公司网络资源共享。为保护办公网安全，保证网络系统健康髙速运行，金山顶尖信息技术公司信息中心， 要求办公网要求所有的本地用户必须配置讣算机本地安全策略，保护系统安全。【项目分析】在存放数据的桌而系统中设置本地安全策略。通过以下策略来加固桌而系统:1）禁止枚举账号2）指派本地用户权利3）IP策略4）密码安全【知识准备】1）禁用枚举账号的意义一般来说，黑客攻击入侵，大部分利用漏洞，然后提升权限，成为管理员，这一切都跟 用户X

2、X紧密相连。一般的黑客要攻击Windows 2000/XP等系统，必须要知道账号和密码。 而账号更为关键，那么如何来避免这种情况的发生呢？我们可以利用禁止枚举XX来限制黑客攻击我们的账户和密码。由于Windows 2000/XP的默认安装允许任何用户通过空用户得到系统所有账号和共享 列表，但是，任何一个远程用户通过同样的方法都能得到账户列表，使用邸力法破解账户密 码后，对我们的电脑进行攻击，所以有必要禁止枚举XX,我们可以通过修改注册表和设巻 本地安全策略来禁止。2）指派本地用户权利在本地安全策略中可以指派本地用户的权利，比如说哪些用户组可以登录到此终端，哪 些用户组或者用户不能登录到此终端中

3、。还可以设置哪些用户组或者用户可以关闭此汁 算机等等。3）IP策略IP安全策略是一个给予通讯分析的策略，它将通讯内容与设泄好的规则进行比较 以判断通讯是否与预期相吻合，然后决左是允许还是拒绝通讯的传输，它弥补了传统 TCP/IP设汁上的”随意信任重大安全漏洞，可以实现更仔细更精确的TCP/IP安全，当我们配置好IP安全策略后，就相当于拥有了一个免费但功能完善的个人防火墙。4）密码安全如何设置密码安全，可以利用账号安全策略来进行保护密码，防止密码被破解：Windows桌而系统中，用户账号的安全策略默认是关闭的。但要想设迫安全的桌而系统, 必须开启用户账号的安全策略，以下是用户账号安全策略的解释：

4、弱口令：在互联网术语中，弱口令我们经常会在一些资料中看到，什么是弱口令， 弱口令是指仅包含简单数字和字母的口令，例如123”、“abc”等。 密码长度：密码字符的长度。我们推荐密码的长度至少八位。建议10位以上。 密码复杂性：密码由大小写字母，数字，特殊字符组成。把他们进行组合的复杂程 度我们称为密码复杂性。我们推荐密码复杂性需求至少组成密码字符应该是大小写 字母，数字，特殊字符这四种当中的三种。 密码生存周期：也被称为密码有效期。通常情况下，一个密码是存在有效时间的， 比如运行在工作组中的町nXP操作系统的密码，默认是0c意味着密码永不过期。 如密码存在于AD目录中，那么密码的生存周期是7天

5、。在密码生存周期里，包含 二种类型，一个是密码最长使用周期期限，另一个是密码最短使用期限。 强制密码历史：强制密码历史是指如果要更改密码，则密码不能是之前设置过的几 个密码。例如在更改密码之前设置的密码从近到远依次是123, 456, 789,如强制 密码历史设置为2,那么密码就不能改成之前的2次密码，即123, 456。【项目实施】（一）、项目拓扑PC1PC2图任务三项目实施拓扑（二入项目设备计算机（一台）:Windows XP （1 套）。（三）、操作步骤K步骤1新建账户Bob,设置Bob密码，这里密码设置为123。开始我的电脑一一在我的电脑-单击右键-一选择管理选项一一进入计算机管理 界

6、面一一打开本地用户和组标签一一单击右键一-选择新建用户，见下图在新用户标签上，填入用戸名bob,密码输入123.点击创建，则新用户可以建立。K步骤2 3设置本地策略-密码安全1）首先进入本地安全策略配置界而开始一一控制而板一一性能与维护一一管理工具一一双击本地安全策略。在安全设宜标签的账户策略一一密码策略中-一设置密码策略:斋本I*安全设百文件边按fE登音钻助e 一 匀 IE j 釦（f ED少安全设置安全设胃1k H咔户荼喘風密诃必级符台复杂性妾衣虫冃密码策昭腳密玛长度弟小佰6彳宇得X卫妊户蜕定第陷蹈密玛灵氏便用期氓42天卫本地策陀0天停C公明策昭圈强制密玛历史0个记住的密码叵：_j弦件陀包

7、崇坚匡目n安全策ag，衽弟地计算机励用可还寡的加密东储存痊玛已共用2）双击一密码必须符合复杂性要求，点击启用。3）之后，再点击密码长度最小值，进入此标签。这里我们设置字符为74）开始一一我的电脑一一在我的电脑上-一单击右键一-选择管理选项一一进入讣算机 管理界而一一打开本地用户和组标签一一单击右键-一-选择新建用户。这里建立账号Mary.输入密码123,点击创建。点击创建后，发现无法创建此账号。见下图:创建失败原因，是密码不符合密码复杂性要求及密码长度。5）回到新用户界而，密码长度设置成7位，密码设宜成123qwe,再次点击创建 这次创建成功，下图可见新建成功Mary账户。昱丈件幽作釦查看 宙口辖助-5J JQ豹回啓国EE全名管建i皿机滋啲內壬肋務Ahini心.车血lE