2016用户账户安全策略.pptVIP

Windows用户账户安全策略 在用户账户安全方面，与用户用户有关的安全因素还有许多如用户密码策略、账户锁定策略、共享文件夹共享权限、NTFS文件访问权限等。这些安全因素配置不当都有可能给整个企业网络带来安全威胁，特别是用户账户密码策略、文件夹共享和文件访问权限这几个方面。 本章重点如下： Windows Server 2003系统的主要安全功能 Windows Server 2003系统用户密码、账户锁定和Kerberos策略 Windows Server 2003系统用户权限的配置 默认共享的取消和文件夹共享权限的配置 NTFS文件访问权限配置 Windows XP系统私人文件夹的创建 6.1Windows Server 2003系统安全概述 Windows Server?2003家族安全模型的主要功能是用户身份验证和访问控制。 6.1.1 安全模型功能  在Windows Server 2003系统中，主要安全模型功能有以下几个： 身份验证基于对象的访问控制 安全策略 审核 Active Directory和安全性 数据保护 公钥基础结构 信任本节详细内容参见书本的P186~P187页。 6.1.2 Windows Server 2003系统新安全功能 1. 新功能 授权管理器 存储用户名和密码 软件限制策略 2. 更改成现有的技术 证书颁发机构 受限委派 有效权限工具 加密文件系统 （EFS） Everyone成员身份 基于操作的审核 重新应用安全默认值本节详细内容参见书本的P187~P188页。 6.1.3与以前系统相比的新增或更新的安全功能 1. 自Windows?NT?4.0系统以后新增和更新的功能 加密文件系统 Internet协议安全性  2. 自Windows?2000系统以后的新增和更新功能 TCP/UDP端口所有权 加密文件系统改进功能 软件限制策略 Internet协议安全性监视改进功能 本节详细内容参见书本的P188页。 6.2 域账户策略设置 本节要向大家介绍的就是这个域安全策略设置，不过它的基本设置方法基本上都适用于单机的本地安全设置。 6.2.1域账户和本地策略简介 对于域账户，只有一种账户策略。账户策略必须在“默认域策略设置”中定义，并且由组成该域的域控制器实施，如图6-1所示。这一管理工具界面打开的方法是执行〖开始〗→〖管理工具〗→〖域安全策略〗操作（注意不要选择了“域控制器安全策略”选项，因为那只是针对域控制器本身，而不是针对整个域网络）。 域控制器始终从“默认域策略设置”中获得账户策略，即使已经存在了一个应用到包括该域控制器在内的组织单位的不同账户策略。默认情况下，加入到域（例如成员计算机）中的工作站和服务器会接收到相同的账户策略用于本地账户。然而，本地账户策略可能不同于域账户策略。 6.2.2 域账户密码概述 密码为抵御对企业的非法访问构筑了第一道防线。Windows Server?2003家族拥有一项新增功能，可以在操作系统启动时检查Administrator账户密码的复杂程度。如果密码为空或者不满足复杂性要求，将显示Windows Installer对话框，警告您Administrator账户不使用强密码可能存在危险。如果继续使用空密码，您将无法通过网络访问该账户。  弱密码会使得攻击者易于访问您的计算机和网络，而强密码则难以破解，即使使用当今的密码破解软件也难以办到。密码破解工具正在不断进步，而用于破解密码的计算机也比以往更为强大。密码破解软件使用下面三种方法之一：巧妙猜测、词典攻击和自动尝试字符的各种可能的组合。只要有足够时间，这种自动方法可以破解任何密码。即便如此，破解强密码也远比破解弱密码困难得多。因为安全的计算机需要对所有用户账户都使用强密码。 通常所说的弱密码主要体现在以下几个方面： 根本没有密码，就是不设密码，这是许多初级网络管理员最经常使用的。 包含用户名、真实姓名或公司名称，这也是我们日常经常使用的。 包含完整的字典词汇。例如，Password就属于弱密码。这很容易受到字典类的网络攻击。 而在Windows Server 2003系统中所规定的强密码则至少需要满足以下条件： 密码长度至少有七个字符。 不包含用户名、真实姓名或公司名称。 不包含完整的字典词汇。 与先前使用过的密码大不相同。递增密码 （Password1、Password2、Password3 ...） 不能算作强密码。 包含书中表6-1所列的全部