完整版02Windows帐户与口令的安全设置Word文档下载推荐.docx

1、本地连接VPC1 连接要求PC 网络接口，本地连接与实验网络直连软件描述1、学生机要求安装java环境2、vpc安装Windows xp实验环境描述1、学生机与实验室网络直连;2、VPC1与实验室网络直连;3、学生机与VPC1物理链路连通；预备知识windows的域安全策略目前常见的安装在服务器端的windows操作系统中均带有“域安全策略”，这是一种非常有效的系统安全管理工具。可以通过一次单击“开始”-“设置”-“控制面板”-“管理工具”-“域安全策略”命令，打开“域安全策略”进行相关设置。Windows的域安全设置可分为帐户策略，本地策略，公钥策略，事件日志，受限制的组，系统服务，注册表，

2、文件系统，公钥策略和IP安全策略。（1）账户策略是由用户名+密码组成，我们利用账户策略设置密码策略，账户锁定和Kerberos（只针对域）策略。（2）本地策略。本地策略所设置的值只对本地计算机起作用，它包括审核策略，授权用户权限，设置各种安全机制。（3）事件日志。主要对域（包括本地）的各种事件进行记录。为应用程序日志，系统日志和安全日志配置大小，访问方式和保留时间等参数。（4）受限制的组。管理内置组的成员资格。一般内置组都有预定义功能，利用受限组可以更改这些预定义的功能。（5）系统服务。为了运行在计算机上的服务配置安全性和启动设置。（6）注册表。配置注册密钥的安全性，在windows xp中，

3、注册表是一个集中式层次结构数据库，它存储windows所需要的必要信息，用于为用户，程序，硬件设备配置进行统计。（7）文件系统。指定文件路径配置安全性。（8）公钥策略。配置加密的数据恢复代理和信任认证中心证书。证书是软件服务证书，可以提供身份鉴定的支持，包括安全的E-mail功能，基于web的身份鉴定和SAM身份鉴定。（9）IP安全性策略。配置IPSec（IP协议安全性）。IPSec是一个工业标准，用于对TCP/IP网络数据流加密以及保护企业内部网内部通信和跨越Internet的VPN（虚拟专用网络）通信的安全。windows的本地安全策略与之相对应的另一组windows操作系统中带有“本地安

4、全策略”，例如windows xp操作系统。打开“本地安全策略”进行相关设置。顾名思义，域安全策略设置作用于整个域，而本地安全策略设置仅作用于本台计算机。本地安全策略包括4个子项目：“账户策略”，“本地策略”，“软件限制策略”与“IP安全策略”，其中通过对对“账户策略”与“本地策略”的设置，可有效保护windows登录账户的安全性。本实验主要是通过对本地安全策略进行相应设置以提高操作系统账户和口令的安全。Administrator和Guest账户“本地用户和组”位于“开始”“设置”“控制面板”“管理工具”“计算机管理”中，用户可以利用这一组管理工具来管理单台本地或远程计算机。可以使用“本地用户

5、和组”保护并管理存储在本地激素那几上的用户账户和组。可以在特定计算机和仅这台计算机上分配本地用户或组账户的权限和权力。通过“本地用户和组”，可以为用户和组分配权力和权限，从而限制了用户和组织执行某些操作的能力。权限可授权用户在计算机上执行某些操作，如备份文件和文件夹或者关机。权限是与对象（通常是文件，文件夹或打印机）相关联的一种规则，它规定哪些用户可以访问该对象以及何种方式访问。“本地用户和组”的“用户”文件夹显示了默认的用户账户以及操作系统用户所创建的用户账户。其中有两个特殊的账户：Administrator和Guest账户。Administrator和Guest账户是在安装windows时

6、自动建立的账户，也称为内置账户。这两个账户在windows安装之后已经存在并且被赋予了相应的权限，它们不能被删除（既使是管理员也不能），其中Administartor账户还不允许被屏蔽，开始时Guest账户处于停用状态。Administartor和Guest账户的权限如下。Administrator。在域中和计算机中具有不受限制的权利，可以管理本地或域中的任何计算机，如创建账户，创建组，实施安全策略等。Administrator账户具有对服务器的安全控制权限，并可以根据需要向用户指派用户权利和访问控制权限。Administrator账户是服务器上Administartors组的成员。永远也不可

7、以从Administrators组删除Administrator账户，但可以重命名或禁用该账户。由于大家都知道administrator账户存于许多版本的windows上，所以重命名或警用此账户将使恶意用户尝试并访问该账户变得更为困难。Guest，供在域中和计算机中没有固定账户的用户临时使用计算机或访问域。如果某个用户的账户已被禁用，但还未删除，那该用户也可以使用Guest账户，Guest账户不需要密码。默认情况下，Guest账户是禁用，但也可以启用它。该账户在默认情况下不允许对计算机或域中的设置和资源做永久性改变。可以像任何用户账户一样设置Guest账户的权利和权限。默认情况下,Guest账

8、户是默认的Guest组的成员，该组允许用户登录服务器，其他权利及任何权限都必须由administrator组的成员授予Guests组。4.高强度登录密码登录密码是目前windows操作系统采用的，识别合法用户的一种常见有效手段，在保护windows操作系统安全，避免非法用户入侵方面具有重要的作用；若登录密码强度不够，那么整个操作系统的安全性将存在严重隐患。因此设置高强度的登录密码，并采用有效措施保护登录密码是保障计算机安全的一种基本手段。一个高强度的密码至少要包括下列4个方面内容的3种：大写字母小写字母数字非字母数字的特殊字符，如标点符号等。另外高强度的密码还要符合下列的规则：不使用普通的名字

9、，昵称或缩写。不使用普通的个人信息，如生日日期。密码不能与用户名相同，或者相近。密码里不含有重复的字母或数字。另外，在目前的windows操作系统中，密码字符是7个一组进行存放的，密码破解工具在破解密码时通常是针对这种特点实施分组破解，因此密码的长度最好为7的整倍数。5.SYSKEY从windows NT4 server pack 3开始，Microsoft提供了对SAM散列值进行进一步加密的方法，称为SYSKEY。SYSKEY是System key的缩写，它生成一个随机的128位密钥，对散列值再次进行加密（请注意：不是对SAM文件加密，而是对散列值进行加密）。因此SYSKEY可以用来保护SA

10、M数据库不被离线破解。用过去的加密机制，如果攻击者能够得到一份加密过的SAM库的拷贝，就能够在自己的机器上来破解用户口令。目前已经有一些专门用来破解SAM数据库的工具。SYSKEY对数据库采用了更多的加密措施，目的是增加破解的计算机量，使暴力破解从时间上考虑不可行。实验内容演示如何对账户实施管理，以确保系统的安全性，其中包括限制用户数量，停用Guest账户，重命名管理员账户，设置双管理员账户和设置陷阱账户等几个部分。演示通过设置本地安全策略中的密码策略和账户锁定策略来确保账户的安全性。演示如何使用windows系统自带的syskey工具来保护SAM文件中的账户信息。实验步骤账户设置（1）限制用

11、户数量去掉所有的测试账户，共享账户等，尽可能少建立有效账户，没有用的一律不要，多疑个账户就多一个安全隐患。系统的账户越多，被攻击成功的可能性越大。因此，要经常用一些扫描工具查看系统账户，账户权限及密码，并且及时删除不再使用的账户。对于windows主机，如果系统账户超过10个，一般能找出一两个弱口令账户，所以账户数量不要大于10个。具体做法：依次单击“开始”-“控制面板” 命令，然后依次双击“管理工具”“计算机管理”，弹出如图6.1所示的窗口。图6.1点击“本地用户和组” 前面的 “+”，然后单击“用户”，在右边出现的用户列表中，选择要删除的用户，单击右键，在弹出的快捷菜单中，选择“删除”，命

12、令，在接下来出现的对话框中，单击“是”按钮。如图6.2图6.23、停用Guest账户将Guest账户停用，改成一个复杂的名称并加上密码，然后将它从Guests组删除，任何时候都不允许Guest账户登录系统。右击Guest用户，点击“属性”，弹出如图6.3所示窗口。选择“账户已停用”复选框。图6.3停用Guest账户然后，在同一个快捷菜单中单击“重命名”，为Guest起一个新名字hhnihama；单击“设置密码”123456，建议设置一个复杂的密码。接下来，单击“组”，在右边出现的组列表中，双击Guests组，在弹出的对话框中选择Guest账户，单击“删除”按钮，如图所示6.4图6.44、重命名

13、管理员账户用户登录系统的账户名对于黑客来说也有着重要意义。当黑客得知账户名后，可发起有针对性的攻击。目前许多用户都在使用Administrator账户登录系统，这为黑客的攻击创造了条件。因此可以重命名administrator账户，使得黑客无法针对该账户发起攻击。但是注意不要使用admin root之类的特殊名字，尽量伪装成普通用户，例如user1。依次单击“开始”“控制面板”，然后依次双击“管理工具”“计算机管理”，在弹出的窗口中单击“本地用户和组”前面的“+”，然后单击“用户”，在右边出现的用户列表中，选择administartor账户，单击右键，在弹出的快捷菜单中，单击“重命名”，在接下

14、来出现的对话框中，为administrator账户重命名为admin。打开“本地安全策略”窗口，在窗口左侧依次选择“安全设置“”本地策略“”安全选项“，如图6.4所示，在窗口右侧双击选择”账户：重命名系统管理员账户“选项，在弹出的对话框中将更改administrator账户名，如图6.5所示图6.5打开“安全选项” 修改“系统管理员账户名称”（3）设置两个管理员账户因为只要登录系统后，密码就存储在winLogon进程中，当有其他用户入侵计算机的时候就可以得到登录用户的密码，所以可以设置两个管理员账户，一个用来处理日常事务，一个用作备用。（4）设置陷阱用户在Guests组中设置一个administrator账户，把它的权限设置成最低，并给予一个复杂的密码（至少要超过10位的超级复杂密码）而且用户不能更改密码，这样就可以让那些企图入侵的黑客们花费一番工夫，并且可以借此发现他们的入侵企图。具体做法如下：依次单击“开始“ -”设置“”控制面板“，然后依次双击”管理工具“”计算机管理“。在弹出的窗口中单击“本地用户和组“前面的”+“，然后单击”用户“，在右边出现的用户列表中单击右键，在弹出的快捷菜单中