全面降低windows系统的安全隐患 (四)
之帐号安全
 作者:许本新
另外系列文章连接
目前的windows server 2003或者是windows xp等操作系统都是严格的多用户多进程系统,但是当计算机的用户个数多了却会带来另外一个方面的苦恼,那就是计算机的安全也会随着减低。所以今天我借此机会给大家说说用户帐号的安全防护问题。
l         默认帐号带来的不安全的应对方法
1、问题所在
     当windows server 2003或其它高版本的操作安装好后,计算机都会自动的给自己创建相应的默认识帐号:administrator和guest等。这些默认帐号往往会给计算机带来很大的安全隐患,因为网络***在想法进入你的计算机的话,那他肯定要获取你的帐号,而大家都知道OS中有这么一些默认帐号所以就给***猜测帐号提供了很大的方便。
     2、解决方案
     其实要想解决默认帐号给计算机系统带来的不安全,很简单。
Ø         删除没有必要的其它帐号(包括guest)
删除guest帐号的方法:
打开注册表,找到HKEY_LOCAL_MACHINE\SAM\SAM,单击鼠标右键,在弹出的子菜单中选择 权限 ,然后把你现在所使用的用户添加进入,并选择 完全控制,再刷新一下就可以看到SAM下面的项了再找到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
Names就是你系统内的所有用户,Users是相对应的值
Guest相对应的项一般000001F5
Administrator相对应的项一般000001F4
NamesUsers相对应的值都删掉就可以了
万事之后,记得把用户操作SAM的权限删掉
win 2000 只能在regedt32里改权限. regedit没那功能
Ø         重命名administrator帐号
创建注意事项:重命名administrator帐号,最好使用英文字母(不区分大小写)+数字+符号的方法来重命名。
Ø         创建陷阱帐号
创建方法:新建一个帐号把他加入到guests组中去,然后把这个帐号重命名为administrator(前提是内置的administrator帐号已经重命名了),然后把该帐号禁用掉。
Ø         netbios名的不安全
为了防止别人利用netbios来访问你的计算机,我们可以把netbios给禁用掉(有关TCP/IP安全后面会相继推出)。
禁用方法:网上邻居\本地连接\TCP/IP协议(双击)\高级\wins\选择“禁用TCP/IP上的netbios”
l         密码的不安全的应对方法
很多朋友在给用户帐号设置口令的时候都习惯用姓名或用重要的人的生日来做口令其实这是非常危险的,我们在给用户帐号设置口令的时候要使用强密码(英文大写+小写+数字+符号或至少使用三种不同的字符方式来命名)。
 
 
l         利用组策略来实现帐号的更安全
1、禁止枚举账号
我们知道,某些具有***行为的蠕虫病毒,可以通过扫描Windows 2000/XP系统的指定端口,然后通过共享会话猜测管理员系统口令。因此,我们需要通过在“本地安全策略”中设置禁止枚举账号,从而抵御此类***行为,操作步骤如下:在“本地安全策略”左侧列表的“安全设置”目录树中,逐层展开“本地策略安全选项”。查看右侧的相关策略列表,在此找到“网络访问:不允许SAM账户和共享的匿名枚举”,用鼠标右键单击,在弹出菜单中选择“属性”,而后会弹出一个对话框,在此激活“已启用”选项,最后点击“应用”按钮使设置生效
2、启用帐户的锁定策略
防止***采用枚举法来破获帐号的密码,建议锁定阈值可以设置为三,也就是所如果有人三次输入错误密码则会自动锁定帐号。
3、安排好密码策略
密码策略作用于域帐户或本地帐户,其中就包含以下几个方面:
强制密码历史
密码最长使用期限
密码最短使用期限
密码长度最小值
密码必须符合复杂性要求
用可还原的加密来存储密码
以上各项的配置方法均需根据当前用户帐户类型来选择大家可以根据你当前的实际情况来合理安排。默认情况下,成员计算机的配置与其域控制器的配置相同。
4、不显示用户的上次登录名
    在组策略的本地策略中的安全选项下启用“不显示上次的用户名”,以免别人知道你上次登录计算机所使用的用户帐号。
 
为了实现系统的安全当然还有很多其它要注意的地方,我在此也没有办法给大家一一列举,希望大家以此为契机,重视起我们身边的计算机系统,保护好计算机中的资源。