使用本地安全策略加强windows主机整体防御.pdf

使用本地安全策略加强windows主机整体防御

项目二

使用本地安全策略加强windows主机整体防御

【项目描述】

金山顶尖信息技术公司办公网中有300台计算机（Windows系统）。网络中计算机

之间互相连接，形成共享网络，实现公司网络资源共享。。

为保护办公网安全，保证网络系统健康高速运行，金山顶尖信息技术公司信息中心

，要求办公网要求所有的本地用户必须配置计算机本地安全策略，保护系统安全。

【项目分析】

在存放数据的桌面系统中设置本地安全策略。通过以下策略来加固桌面系统：

1）禁止枚举账号

2）指派本地用户权利

3）IP策略

4）密码安全

【知识准备】

1）禁用枚举账号的意义

一般来说，黑客攻击入侵，大部分利用漏洞，然后提升权限，成为管理员，这一切都

跟用户XX紧密相连。一般的黑客要攻击Windows2000/XP等系统，必须要知道账号和

密码。而账号更为关键，那么如何来避免这种情况的发生呢？

我们可以利用禁止枚举XX来限制黑客攻击我们的账户和密码。

由于Windows2000/XP的默认安装允许任何用户通过空用户得到系统所有账号和共

享列表，但是，任何一个远程用户通过同样的方法都能得到账户列表，使用暴力法破解账

户密码后，对我们的电脑进行攻击，所以有必要禁止枚举XX，我们可以通过修改注册表

和设置本地安全策略来禁止。

2）指派本地用户权利

在本地安全策略中可以指派本地用户的权利，比如说哪些用户组可以登录到此终端，

哪些用户组或者用户不能登录到此终端中。还可以设置哪些用户组或者用户可以关闭

此计算机等等。

3）IP策略

IP安全策略是一个给予通讯分析的策略，它将通讯内容与设定好的规则进行比较

以判断通讯是否与预期相吻合，然后决定是允许还是拒绝通讯的传输，它弥补了传统

TCP/IP设计上的随意信任重大安全漏洞，可以实现更仔细更精确的TCP/IP安全，当

1/5

使用本地安全策略加强windows主机整体防御

我们配置好IP安全策略后，就相当于拥有了一个免费但功能完善的个人防火墙。

4）密码安全

如何设置密码安全，可以利用账号安全策略来进行保护密码，防止密码被破解：

Windows桌面系统中，用户账号的安全策略默认是关闭的。但要想设定安全的桌面系

统，必须开启用户账号的安全策略，以下是用户账号安全策略的解释：

弱口令：在互联网术语中，弱口令我们经常会在一些资料中看到，什么是弱口令

，弱口令是指仅包含简单数字和字母的口令，例如“123”、“abc”等。

密码长度：密码字符的长度。我们推荐密码的长度至少八位。建议10位以上。

密码复杂性：密码由大小写字母，数字，特殊字符组成。把他们进行组合的复杂

程度我们称为密码复杂性。我们推荐密码复杂性需求至少组成密码字符应该是大

小写字母，数字，特殊字符这四种当中的三种。

密码生存周期：也被称为密码有效期。通常情况下，一个密码是存在有效时间的

，比如运行在工作组中的WinXP操作系统的密码，默认是0。意味着密码永不过

期。如密码存在于AD目录中，那么密码的生存周期是7天。在密码生存周期里

，包含二种类型，一个是密码最长使用周期期限，另一个是密码最短使用期限。

强制密码历史：强制密码历史是指如果要更改密码，则密码不能是之前设置过的

几个密码。例如在更改密码之前设置的密码从近到远依次是123，456，789，如

强制密码历史设置为2，那么密码就不能改成之前的2次密码，即123，456。

【项目实施】

（一）、项目拓扑

图1-1任务三项目实施拓扑

（二）、项目设备

计算机（一台）；WindowsXP（1