信息技术--赵泽茂--第八章.pptVIP

表8-5-2 开启帐户策略 　　3. 开启密码策略　　提高密码的破解难度主要是通过采用提高密码复杂性、增大密码长度、提高更换频率等措施来实现的，但普通用户很难做到，对于企业网络中的一些敏感用户就必须采取一些相关的措施，以强制改变不安全密码的使用习惯。密码策略包含以下6个策略，即密码必须符合复杂性要求、密码长度最小值、密码最长存留期、密码最短存留期、 强制密码历史、为域中所有用户使用可还原的加密来存储密码。 　　在Windows 2000及以上版本中都可以对帐户策略设置响应的密码策略，设置方法如下: 　　依次选择“控制面板”→“管理工具”→“本地安全策略”→“帐户策略”→“密码策略”选项，如图8-5-1所示。　为了更有效地保护计算机密码，在启用密码策略时，建议的配置如表8-5-3所示。 图 8-5-1 配置密码策略 表8-5-3 开启密码策略 　　4. 停用Guest帐号　　Guest用户作为一个来宾用户，其权限是很低的，而且默认密码为空，这就使得入侵者可以利用种种途径，通过Guest登录并最终拿到Administrator权。　　因此，应在计算机管理的用户里面把Guest帐号停用，任何时候都不允许Guest 帐号登录系统。为了保险起见，最好给Guest加一个复杂的密码(用户可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest帐号的密码拷贝进去)。 　　首先是要给Guest加一个强的密码，在“管理工”→“计算机管理”→“本地用户和组”→“用户”里面设置，单击右键，选择“属性”选项， 然后可以设置Guest帐户对物理路径的访问权限，如图8-5-2所示。 图 8-5-2 停用Guest帐号 　　5. 限制不必要的用户数量 　　去掉所有的不必要的帐户、测试用帐户、共享帐号、普通部门帐号等，同时用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不再使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户权限的可能性一般也就越大。  　　6. 为系统Administrator帐号改名 　　Windows 2000的Administrator帐号是不能被停用的，这意味着别人可以一遍又一边地尝试这个帐户的密码。把Administrator帐户改名，可以有效地防止这一点。当然，也不要使用Admin之类的名字，尽量把它伪装成普通用户，比如改成Guestone。 　选择“管理工具”→“本地安全设置”选项，打开其“本地策略”中的“安全选项”，从中看到有一项帐户策略——重命名系统管理员帐户(如图8-5-3所示)，双击此项进入其属性即可修改。 图 8-5-3 重命名系统管理员帐户 　　7. 创建一个陷阱帐号 　　创建一个名为“Administrator”的本地帐户，把它的权限设置成最低(什么事也干不了的那种)，并且加上一个超过10位的超级复杂密码，这样未经授权者即使得到Administrator权限也没有用。 　　3. 注册表使用的一些技巧　　1) ActiveX漏洞防范方法　　ActiveX是微软提出的一组使用COM(Component Object Model，部件对象模型)技术，使得软件部件在网络环境中进行交互的技术集，它与具体的编程语言无关。目前，利用ActiveX技术漏洞的网页木马越来越多，这已成为系统安全不可回避的一个问题。ActiveX技术漏洞对IE、Outlook、Foxmail等也有着巨大的威胁。 它把com.ms.activeX.ActiveXComponent对象嵌入APPLET标记，可能导致任意创建和解释执行ActiveX对象，从而可以创建任意文件，写注册表，运行程序，甚至可以使程序在后台运行。 　　修改注册表的防范方法: 　　禁用WSHShell对象，阻止运行程序。删除或更名系统文件夹中的wshom.ocx文件，或删除注册表项HKEY_LOCAL_MACHINE＼SOFTWARE＼Classes＼CLSID＼{F935DC221CF011D0ADB900C04FD58A0B}。 　　2) Word隐藏木马的防范方法　　利用Word来隐藏木马是比较流行的一种攻击方法。具体方法是新建.doc文件，利用VBA写一段特定的代码，把文档保存为newdoc.doc，然后把木马程序与这个.doc文件放在同一个目录下，运行如下命令: 　　copy /b xxxx.doc+xxxx.exe newdoc.doc　　在Word文档末尾加入木马文件，如图8-3-2所示，只要别人点击这个所谓的Word文件就会中木马。其中，参数“/b”表示用户所合并的文件是二进制格