1、項目項目2 2 WindowsWindows系統(tǒng)安全加固系統(tǒng)安全加固項目項目1 1 雙機互連對等網(wǎng)絡的組建雙機互連對等網(wǎng)絡的組建 2.1 2.1 項目提出項目提出 u張先生的計算機新裝了張先生的計算機新裝了Windows Server 2003Windows Server 2003操作系統(tǒng)，該系統(tǒng)具有高性能、高可靠性和操作系統(tǒng)，該系統(tǒng)具有高性能、高可靠性和高安全性等特點。高安全性等特點。uWindows Server 2003Windows Server 2003在默認安裝的時候，基在默認安裝的時候，基于安全的考慮已經(jīng)實施了很多安全策略，但于安全的考慮已經(jīng)實施了很多安全策略，但由于服務器操作系

2、統(tǒng)的特殊性，在默認安裝由于服務器操作系統(tǒng)的特殊性，在默認安裝完成后還需要張先生對其進行安全加固，進完成后還需要張先生對其進行安全加固，進一步提升服務器操作系統(tǒng)的安全性，保證應一步提升服務器操作系統(tǒng)的安全性，保證應用系統(tǒng)以及數(shù)據(jù)庫系統(tǒng)的安全。用系統(tǒng)以及數(shù)據(jù)庫系統(tǒng)的安全。 2.2 2.2 項目分析項目分析 u在安裝在安裝Windows Server 2003Windows Server 2003操作系統(tǒng)時，為了提高操作系統(tǒng)時，為了提高系統(tǒng)的安全性，張先生按系統(tǒng)建議，采用最小化方式系統(tǒng)的安全性，張先生按系統(tǒng)建議，采用最小化方式安裝，只安裝網(wǎng)絡服務所必需的組件。如果以后有新安裝，只安裝網(wǎng)絡服務所必需的

3、組件。如果以后有新的服務需求，再安裝相應的服務組件，并及時進行安的服務需求，再安裝相應的服務組件，并及時進行安全設置。全設置。u在完成操作系統(tǒng)安裝全過程后，張先生要對在完成操作系統(tǒng)安裝全過程后，張先生要對WindowsWindows系統(tǒng)安全性方面進行加固，系統(tǒng)加固工作主要包括賬系統(tǒng)安全性方面進行加固，系統(tǒng)加固工作主要包括賬戶安全配置、密碼安全配置、系統(tǒng)安全配置、服務安戶安全配置、密碼安全配置、系統(tǒng)安全配置、服務安全配置以及禁用注冊表編輯器等內(nèi)容，從而使得操作全配置以及禁用注冊表編輯器等內(nèi)容，從而使得操作系統(tǒng)變得更加安全可靠，為以后的工作提供一個良好系統(tǒng)變得更加安全可靠，為以后的工作提供一個良好

4、的環(huán)境平臺。的環(huán)境平臺。u操作系統(tǒng)的安全是整個計算機系統(tǒng)安全的基操作系統(tǒng)的安全是整個計算機系統(tǒng)安全的基礎，其安全問題日益引起人們的高度重視。礎，其安全問題日益引起人們的高度重視。u作為用戶使用計算機和網(wǎng)絡資源的操作界面，作為用戶使用計算機和網(wǎng)絡資源的操作界面，操作系統(tǒng)發(fā)揮著十分重要的作用。因此，操操作系統(tǒng)發(fā)揮著十分重要的作用。因此，操作系統(tǒng)本身的安全就成了安全防護的頭等大作系統(tǒng)本身的安全就成了安全防護的頭等大事。事。 2.3 2.3 相關知識點相關知識點 2.3.1 2.3.1 操作系統(tǒng)安全的概念操作系統(tǒng)安全的概念 u 操作系統(tǒng)的安全防護研究通常包括以下幾個方面的內(nèi)容。操作系統(tǒng)的安全防護研究通

5、常包括以下幾個方面的內(nèi)容。(1) (1) 操作系統(tǒng)本身提供的安全功能和安全服務。目前的操作系統(tǒng)本操作系統(tǒng)本身提供的安全功能和安全服務。目前的操作系統(tǒng)本身往往要提供一定的訪問控制、認證與授權等方面的安全服務，身往往要提供一定的訪問控制、認證與授權等方面的安全服務，如何對操作系統(tǒng)本身的安全性能進行研究和開發(fā)使之符合選定如何對操作系統(tǒng)本身的安全性能進行研究和開發(fā)使之符合選定的環(huán)境和需求。的環(huán)境和需求。(2) (2) 針對各種常用的操作系統(tǒng)，進行相關配置，使之能正確對付和針對各種常用的操作系統(tǒng)，進行相關配置，使之能正確對付和防御各種入侵。防御各種入侵。(3) (3) 保證操作系統(tǒng)本身所提供的網(wǎng)絡服務能

6、得到安全配置。保證操作系統(tǒng)本身所提供的網(wǎng)絡服務能得到安全配置。u 一般來說，如果說一個計算機系統(tǒng)是安全的，那么是指該系統(tǒng)一般來說，如果說一個計算機系統(tǒng)是安全的，那么是指該系統(tǒng)能夠控制外部對系統(tǒng)信息的訪問。也就是說，只有經(jīng)過授權的能夠控制外部對系統(tǒng)信息的訪問。也就是說，只有經(jīng)過授權的用戶或代表該用戶運行的進程才能讀、寫、創(chuàng)建或刪除信息。用戶或代表該用戶運行的進程才能讀、寫、創(chuàng)建或刪除信息。 u操作系統(tǒng)內(nèi)的活動都可以認為是主體對計算機系統(tǒng)內(nèi)操作系統(tǒng)內(nèi)的活動都可以認為是主體對計算機系統(tǒng)內(nèi)部所有客體的一系列操作。部所有客體的一系列操作。u主體是指發(fā)出訪問操作、存取請求的主動方，它包括主體是指發(fā)出訪問操

7、作、存取請求的主動方，它包括用戶、用戶組、主機、終端或應用進程等。主體可以用戶、用戶組、主機、終端或應用進程等。主體可以訪問客體。訪問客體。u客體是指被調(diào)用的程序或要存取的數(shù)據(jù)訪問，它包括客體是指被調(diào)用的程序或要存取的數(shù)據(jù)訪問，它包括文件、程序、內(nèi)存、目錄、隊列、進程間報文、文件、程序、內(nèi)存、目錄、隊列、進程間報文、I/OI/O設備和物理介質(zhì)等。設備和物理介質(zhì)等。u主體對客體的安全訪問策略是一套規(guī)則，可用于確定主體對客體的安全訪問策略是一套規(guī)則，可用于確定一個主體是否對客體擁有訪問能力。一個主體是否對客體擁有訪問能力。u一般所說的操作系統(tǒng)的安全通常包含兩方面的含義：一般所說的操作系統(tǒng)的安全通常

8、包含兩方面的含義： 操作系統(tǒng)在設計時通過權限訪問控制、信息加密性操作系統(tǒng)在設計時通過權限訪問控制、信息加密性保護、完整性鑒定等機制實現(xiàn)的安全；保護、完整性鑒定等機制實現(xiàn)的安全； 操作系統(tǒng)在使用中，通過一系列的配置，保證操作操作系統(tǒng)在使用中，通過一系列的配置，保證操作系統(tǒng)避免由于實現(xiàn)時的缺陷或是應用環(huán)境因素產(chǎn)生的系統(tǒng)避免由于實現(xiàn)時的缺陷或是應用環(huán)境因素產(chǎn)生的不安全因素。不安全因素。u只有在這兩方面同時努力，才能夠最大可能地建立安只有在這兩方面同時努力，才能夠最大可能地建立安全的操作系統(tǒng)。全的操作系統(tǒng)。 2.3.2 2.3.2 服務與端口服務與端口 u 我們知道，一臺擁有我們知道，一臺擁有IPIP

9、地址的主機可以提供許多服務，比如地址的主機可以提供許多服務，比如WebWeb服務、服務、FTPFTP服務、服務、SMTPSMTP服務等，這些服務完全可以通過服務等，這些服務完全可以通過1 1個個IPIP地地址來實現(xiàn)。那么，主機是怎樣區(qū)分不同的網(wǎng)絡服務呢？顯然不址來實現(xiàn)。那么，主機是怎樣區(qū)分不同的網(wǎng)絡服務呢？顯然不能只靠能只靠IPIP地址，因為地址，因為IP IP 地址與網(wǎng)絡服務的關系是一對多的關系。地址與網(wǎng)絡服務的關系是一對多的關系。實際上是通過實際上是通過“IPIP地址端口號地址端口號”來區(qū)分不同的服務的。來區(qū)分不同的服務的。u 我們來打個形象的比喻我們來打個形象的比喻: : 假設假設IPI

10、P地址是一棟大樓的地址，那么地址是一棟大樓的地址，那么端口號就代表著這棟大樓的不同房間。如果一封信端口號就代表著這棟大樓的不同房間。如果一封信( (數(shù)據(jù)包數(shù)據(jù)包) )上上的地址僅包含了這棟大樓的地址的地址僅包含了這棟大樓的地址(IP)(IP)而沒有具體的房間號而沒有具體的房間號( (端口端口號號) )，那么沒有人知道誰，那么沒有人知道誰( (網(wǎng)絡服務網(wǎng)絡服務) )應該去接收它。為了讓郵遞應該去接收它。為了讓郵遞成功，發(fā)信人不僅需要寫明大樓的地址成功，發(fā)信人不僅需要寫明大樓的地址(IP(IP地址地址) )，還需要標注，還需要標注具體的收信人房間號具體的收信人房間號( (端口號端口號) )，這樣這

11、封信才能被順利地投遞，這樣這封信才能被順利地投遞到它應該前往的房間。到它應該前往的房間。 u 端口是計算機與外界通訊的渠道，它們就像一道道門一樣控制端口是計算機與外界通訊的渠道，它們就像一道道門一樣控制著數(shù)據(jù)與指令的傳輸。各類數(shù)據(jù)包在最終封包時都會加入端口著數(shù)據(jù)與指令的傳輸。各類數(shù)據(jù)包在最終封包時都會加入端口信息，以便在數(shù)據(jù)包接收后拆包識別。我們知道，許多蠕蟲病信息，以便在數(shù)據(jù)包接收后拆包識別。我們知道，許多蠕蟲病毒正是利用了端口信息才能實現(xiàn)惡意騷擾的。所以，對于原本毒正是利用了端口信息才能實現(xiàn)惡意騷擾的。所以，對于原本脆弱的脆弱的WindowsWindows系統(tǒng)來說，有必要把一些危險而又不常

12、用到的端系統(tǒng)來說，有必要把一些危險而又不常用到的端口關閉或是封鎖，以保證網(wǎng)絡安全?？陉P閉或是封鎖，以保證網(wǎng)絡安全。u 同樣的，面對網(wǎng)絡攻擊時，端口對于黑客來說至關重要。每一同樣的，面對網(wǎng)絡攻擊時，端口對于黑客來說至關重要。每一項服務都對應相應的端口號，比如我們?yōu)g覽網(wǎng)頁時，需要服務項服務都對應相應的端口號，比如我們?yōu)g覽網(wǎng)頁時，需要服務器提供器提供WWWWWW服務，端口號是服務，端口號是8080，SMTPSMTP服務的端口號是服務的端口號是2525，F(xiàn)TPFTP服服務的端口號是務的端口號是2121，如果企業(yè)中的服務器僅僅是文件服務或者做，如果企業(yè)中的服務器僅僅是文件服務或者做內(nèi)網(wǎng)交換，應關閉不必要

13、的端口，因為在關閉這些端口后，可內(nèi)網(wǎng)交換，應關閉不必要的端口，因為在關閉這些端口后，可以進一步保障系統(tǒng)的安全。以進一步保障系統(tǒng)的安全。u我們知道，在我們知道，在 TCPTCP和和 UDPUDP協(xié)議中，源端協(xié)議中，源端口和目標端口是用一個口和目標端口是用一個1616位無符號整數(shù)位無符號整數(shù)來表示的，這就意味著端口號共有來表示的，這就意味著端口號共有6553665536個個( (2 21616，0 065535)65535)。u按對應的協(xié)議類型，端口有兩種：按對應的協(xié)議類型，端口有兩種：TCPTCP端口和端口和UDPUDP端口。由于端口。由于TCPTCP和和UDP UDP 兩個協(xié)兩個協(xié)議是獨立的，

14、因此各自的端口號也相互議是獨立的，因此各自的端口號也相互獨立，比如獨立，比如TCPTCP有有235235端口，端口，UDPUDP也可以也可以有有235235端口，兩者并不沖突。端口，兩者并不沖突。u IETFIETF定義了以下三種端口組。定義了以下三種端口組。(1) (1) 公認端口公認端口(Well-Known Ports)(Well-Known Ports)：從：從0 0到到10231023，它們緊密綁定，它們緊密綁定（bindingbinding）于一些服務。通常這些端口的通訊明確表明了某種服）于一些服務。通常這些端口的通訊明確表明了某種服務的協(xié)議。例如：務的協(xié)議。例如：8080端口實際

15、上總是端口實際上總是HTTPHTTP通訊。通訊。 (2) (2) 注冊端口（注冊端口（Registered PortsRegistered Ports）：從）：從10241024到到4915149151。它們松散地。它們松散地綁定于一些服務。也就是說有許多服務綁定于這些端口，這些端綁定于一些服務。也就是說有許多服務綁定于這些端口，這些端口同樣用于許多其它目的。例如：許多系統(tǒng)處理動態(tài)端口從口同樣用于許多其它目的。例如：許多系統(tǒng)處理動態(tài)端口從10241024左右開始。左右開始。 (3) (3) 動態(tài)和動態(tài)和/ /或私有端口（或私有端口（Dynamic and/or Private PortsDyn

16、amic and/or Private Ports）：從）：從4915249152到到6553565535。理論上，不應為服務分配這些端口。實際上，機。理論上，不應為服務分配這些端口。實際上，機器通常從器通常從10241024起分配動態(tài)端口。但也有例外：起分配動態(tài)端口。但也有例外：SUNSUN的的RPCRPC端口從端口從3276832768開始。開始。u管理好端口號在網(wǎng)絡安全中有著非常重要的管理好端口號在網(wǎng)絡安全中有著非常重要的意義，黑客往往通過探測目標主機開啟的端意義，黑客往往通過探測目標主機開啟的端口號進行攻擊。所以，對那些沒有用到的端口號進行攻擊。所以，對那些沒有用到的端口號，最好將它們

17、關閉?？谔枺詈脤⑺鼈冴P閉。u一個通信連接中，源端口與目標端口并不是一個通信連接中，源端口與目標端口并不是相同的，如客戶機訪問相同的，如客戶機訪問WWWWWW服務器時，服務器時，WWWWWW服服務器使用的是務器使用的是8080端口，而客戶端的端口則是端口，而客戶端的端口則是系統(tǒng)動態(tài)分配的大于系統(tǒng)動態(tài)分配的大于10231023的隨機端口。的隨機端口。u 開啟的端口可能被攻擊者利用，如利用掃描軟件，可以掃描到開啟的端口可能被攻擊者利用，如利用掃描軟件，可以掃描到目標主機中開啟的端口及服務，因為提供服務就有可能存在漏目標主機中開啟的端口及服務，因為提供服務就有可能存在漏洞。洞。u 入侵者通常會用掃描

18、軟件對對目標主機的端口進行掃描，以確入侵者通常會用掃描軟件對對目標主機的端口進行掃描，以確定哪些端口是開放的。從開放的端口，入侵者可以知道目標主定哪些端口是開放的。從開放的端口，入侵者可以知道目標主機大致提供了哪些服務，進而尋找可能存在的漏洞。因此對端機大致提供了哪些服務，進而尋找可能存在的漏洞。因此對端口的掃描有助于了解目標主機，從管理角度來看，掃描本機的口的掃描有助于了解目標主機，從管理角度來看，掃描本機的端口也是做好安全防范的前提。端口也是做好安全防范的前提。u 查看端口的相關工具有：查看端口的相關工具有：WindowsWindows系統(tǒng)中的系統(tǒng)中的netstatnetstat命令、命令

19、、fportfport軟件、軟件、activeportactiveport軟件、軟件、superscansuperscan軟件、軟件、Visual SnifferVisual Sniffer軟件軟件等，此類命令或軟件可用來查看主機所開放的端口。等，此類命令或軟件可用來查看主機所開放的端口。u可以在網(wǎng)上查看各種服務對應的端口號和木馬后門常可以在網(wǎng)上查看各種服務對應的端口號和木馬后門常用端口來判斷系統(tǒng)中的可疑端口中，并通過軟件查看用端口來判斷系統(tǒng)中的可疑端口中，并通過軟件查看開啟此端口的進程。開啟此端口的進程。u確定可疑端口和進程后，可以利用防火墻來屏蔽此端確定可疑端口和進程后，可以利用防火墻來屏

20、蔽此端口，也可以通過選擇本地連接口，也可以通過選擇本地連接TCP/IPTCP/IP高級高級選項選項TCP/IPTCP/IP篩選，啟用篩選機制來過濾這些端口；篩選，啟用篩選機制來過濾這些端口；u對于對于WindowsWindows系統(tǒng)主機，如不對外提供服務也可以進系統(tǒng)主機，如不對外提供服務也可以進行過濾設置。對于網(wǎng)絡中的普通客戶計算機，可以限行過濾設置。對于網(wǎng)絡中的普通客戶計算機，可以限制對外的所有的端口，不必對外提供任何服務；而對制對外的所有的端口，不必對外提供任何服務；而對于服務器，則把需要提供服務的端口，如于服務器，則把需要提供服務的端口，如WWWWWW服務端服務端口口8080等開放，不使

21、用的其他端口則全部關閉?？梢岳乳_放，不使用的其他端口則全部關閉。可以利用端口查看工具檢查開啟的非業(yè)務端口。用端口查看工具檢查開啟的非業(yè)務端口。u關閉端口的方法非常簡單，在關閉端口的方法非常簡單，在“控制面板控制面板”“管理管理工具工具”“服務服務”中即可配置。中即可配置。u一些端口常常會被攻擊者或病毒木馬所利用，如端口一些端口常常會被攻擊者或病毒木馬所利用，如端口2121、2222、2323、2525、8080、110110、111111、119119、135135、137137、138138、139139、161161、177177、389389、33893389等。關于常見木馬等。關于常

22、見木馬程序所使用的端口可以在網(wǎng)上查找到。程序所使用的端口可以在網(wǎng)上查找到。u這里重點說說這里重點說說139139端口，端口，139139端口也就是端口也就是NetBIOS NetBIOS SessionSession端口，用作文件和打印的共享。端口，用作文件和打印的共享。u關閉關閉139139端口的方法是在端口的方法是在“本地連接本地連接”中選取中選取“InternetInternet協(xié)議協(xié)議(TCP/IP)(TCP/IP)”屬性，進入屬性，進入“高級高級TCP/IPTCP/IP設置設置”，在，在“WINSWINS”選項卡中，有一選項卡中，有一“禁用禁用TCP/IPTCP/IP的的NETBIO

23、SNETBIOS”選項，選中后即可關閉選項，選中后即可關閉139139端口。端口。u為什么要關閉為什么要關閉139139端口呢？這里涉及一個端口呢？這里涉及一個139139端口入侵端口入侵的問題。如果黑客確定一臺存在的問題。如果黑客確定一臺存在139139端口漏洞的主機，端口漏洞的主機，用掃描工具掃描，然后使用用掃描工具掃描，然后使用“nbtstat -a IPnbtstat -a IP”命令得命令得到用戶的情況，最后完成非法訪問的操作。到用戶的情況，最后完成非法訪問的操作。2.3.3 2.3.3 組策略組策略 u 組策略和注冊表，是組策略和注冊表，是WindowsWindows系統(tǒng)中重要的兩

24、部控制臺。對于系系統(tǒng)中重要的兩部控制臺。對于系統(tǒng)中安全方面的部署，組策略又以其直觀化的表現(xiàn)形式更受用統(tǒng)中安全方面的部署，組策略又以其直觀化的表現(xiàn)形式更受用戶青睞。我們可以通過組策略禁止第三方非法更改地址，也可戶青睞。我們可以通過組策略禁止第三方非法更改地址，也可以禁止別人隨意修改防火墻配置參數(shù)，更可以提高共享密碼強以禁止別人隨意修改防火墻配置參數(shù)，更可以提高共享密碼強度免遭其被破解。度免遭其被破解。u 比如，在一個特定網(wǎng)絡環(huán)境中，如果部分用戶共同使用相同的比如，在一個特定網(wǎng)絡環(huán)境中，如果部分用戶共同使用相同的一臺工作站進行網(wǎng)絡訪問時，安全隱患就顯露出來、倘若我們一臺工作站進行網(wǎng)絡訪問時，安全隱

25、患就顯露出來、倘若我們沒有劃定安全的上網(wǎng)區(qū)域，那樣會造成工作站的權限紊亂，從沒有劃定安全的上網(wǎng)區(qū)域，那樣會造成工作站的權限紊亂，從而帶來系統(tǒng)危機。輕者造成系統(tǒng)癱瘓，重者則可遭受遠程入侵，而帶來系統(tǒng)危機。輕者造成系統(tǒng)癱瘓，重者則可遭受遠程入侵，損失寶貴資料。損失寶貴資料。u 所以，為了保護本地網(wǎng)絡以及本地工作站的安全，我們可以嘗所以，為了保護本地網(wǎng)絡以及本地工作站的安全，我們可以嘗試在公共計算機系統(tǒng)中，通過設置組策略的方法為普通用戶界試在公共計算機系統(tǒng)中，通過設置組策略的方法為普通用戶界定安全上網(wǎng)區(qū)域，強制進入系統(tǒng)的用戶只能在設定內(nèi)的安全區(qū)定安全上網(wǎng)區(qū)域，強制進入系統(tǒng)的用戶只能在設定內(nèi)的安全區(qū)域

26、中上網(wǎng)沖浪。域中上網(wǎng)沖浪。u 由于組策略有著直觀的名字和功能解釋，所以應用上比較簡單，對由于組策略有著直觀的名字和功能解釋，所以應用上比較簡單，對于管理員和終端用戶都非常方便，但它的功能遠沒有限制起來那樣于管理員和終端用戶都非常方便，但它的功能遠沒有限制起來那樣簡單，我們可以將它作為一種安全保護跟蹤工具。比如，可以利用簡單，我們可以將它作為一種安全保護跟蹤工具。比如，可以利用組策略尋找共享目錄訪問痕跡。組策略尋找共享目錄訪問痕跡。u 這對于局域網(wǎng)內(nèi)的用戶監(jiān)測來說非常重要。因為在網(wǎng)絡內(nèi)部，一旦這對于局域網(wǎng)內(nèi)的用戶監(jiān)測來說非常重要。因為在網(wǎng)絡內(nèi)部，一旦出現(xiàn)非法用戶，大多與共享入侵和訪問共享資源有關

27、，此時查詢共出現(xiàn)非法用戶，大多與共享入侵和訪問共享資源有關，此時查詢共享目錄的訪問信息就可以追蹤求源，查到真兇。享目錄的訪問信息就可以追蹤求源，查到真兇。u 打開組策略后在左側列表區(qū)域中的打開組策略后在左側列表區(qū)域中的“本地計算機本地計算機策略策略”“計計算機配置算機配置”“WindowsWindows設置設置”“安全設置安全設置”“本地策本地策略略”“審核策略審核策略”選項，在選項，在“審核策略審核策略”中找到中找到“審核對象訪審核對象訪問問”，選中屬性界面中的，選中屬性界面中的“失敗失敗”、“成功成功”選項，以后出現(xiàn)問題選項，以后出現(xiàn)問題時就能有針對性地進入系統(tǒng)安全日志文件，來查看相關事件

28、記錄。時就能有針對性地進入系統(tǒng)安全日志文件，來查看相關事件記錄。2.3.4 2.3.4 賬戶與密碼安全賬戶與密碼安全u賬戶與密碼的使用通常是許多系統(tǒng)預設的防護賬戶與密碼的使用通常是許多系統(tǒng)預設的防護措施。事實上，有許多用戶的密碼是很容易被措施。事實上，有許多用戶的密碼是很容易被猜中的，或者使用系統(tǒng)預設的密碼、甚至不設猜中的，或者使用系統(tǒng)預設的密碼、甚至不設密碼。密碼。u用戶應該要避免使用不當?shù)拿艽a、系統(tǒng)預設密用戶應該要避免使用不當?shù)拿艽a、系統(tǒng)預設密碼或是使用空白密碼，也可以配置本地安全策碼或是使用空白密碼，也可以配置本地安全策略要求密碼符合安全性要求。略要求密碼符合安全性要求。2.3.5 2.

29、3.5 漏洞與后門漏洞與后門1. 1. 漏洞漏洞u漏洞即某個程序漏洞即某個程序( (包括操作系統(tǒng)包括操作系統(tǒng)) )在設計時未考慮周全，在設計時未考慮周全，當程序遇到一個看似合理，但實際無法處理的問題時，當程序遇到一個看似合理，但實際無法處理的問題時，引發(fā)的不可預見的錯誤。系統(tǒng)漏洞又稱安全缺陷，對引發(fā)的不可預見的錯誤。系統(tǒng)漏洞又稱安全缺陷，對用戶造成的不良后果有：用戶造成的不良后果有： 如漏洞被惡意用戶利用，會造成信息泄漏。例如，如漏洞被惡意用戶利用，會造成信息泄漏。例如，黑客攻擊網(wǎng)站即利用網(wǎng)絡服務器操作系統(tǒng)的漏洞。黑客攻擊網(wǎng)站即利用網(wǎng)絡服務器操作系統(tǒng)的漏洞。 對用戶操作造成不便。例如，不明原因

30、的死機和丟對用戶操作造成不便。例如，不明原因的死機和丟失文件等。失文件等。u可見，僅有堵住系統(tǒng)漏洞，用戶才會有一個安全和穩(wěn)可見，僅有堵住系統(tǒng)漏洞，用戶才會有一個安全和穩(wěn)定的工作環(huán)境。定的工作環(huán)境。u漏洞的產(chǎn)生大致有以下漏洞的產(chǎn)生大致有以下3 3個原因。個原因。 編程人員的人為因素。在程序編寫過程中，為實現(xiàn)編程人員的人為因素。在程序編寫過程中，為實現(xiàn)不可告人的目的，在程序代碼的隱蔽處留有后門。不可告人的目的，在程序代碼的隱蔽處留有后門。 受編程人員的能力、經(jīng)驗和當時安全技術所限，在受編程人員的能力、經(jīng)驗和當時安全技術所限，在程序中難免會有不足之處，輕則影響程序效率，重則程序中難免會有不足之處，輕

31、則影響程序效率，重則導致非授權用戶的權限提升。導致非授權用戶的權限提升。 由于硬件原因，使編程人員無法彌補硬件的漏洞，由于硬件原因，使編程人員無法彌補硬件的漏洞，從而使硬件的問題通過軟件表現(xiàn)出來。從而使硬件的問題通過軟件表現(xiàn)出來。 u可以說，幾乎所有的操作系統(tǒng)都不是十全十美的，總可以說，幾乎所有的操作系統(tǒng)都不是十全十美的，總是存在各種安全漏洞。是存在各種安全漏洞。u例如，在例如，在Windows NTWindows NT中，安全賬戶管理中，安全賬戶管理(SAM)(SAM)數(shù)據(jù)庫數(shù)據(jù)庫可以被以下用戶所復制：可以被以下用戶所復制：AdministratorAdministrator賬戶、賬戶、Ad

32、ministratorsAdministrators組中的所有成員、備份操作員、服務組中的所有成員、備份操作員、服務器操作員以及所有具有備份特權的人員。器操作員以及所有具有備份特權的人員。SAMSAM數(shù)據(jù)庫數(shù)據(jù)庫的一個備份拷貝能夠被某些工具所利用來破解口令。的一個備份拷貝能夠被某些工具所利用來破解口令。u又如，又如，Windows NTWindows NT對較大的對較大的ICMPICMP數(shù)據(jù)包是很脆弱的，數(shù)據(jù)包是很脆弱的，如果發(fā)一條如果發(fā)一條pingping命令，指定數(shù)據(jù)包的大小為命令，指定數(shù)據(jù)包的大小為64KB64KB，Windows NTWindows NT的的TCP/IPTCP/IP棧將

33、不會正常工作，可使系統(tǒng)離棧將不會正常工作，可使系統(tǒng)離線乃至重新啟動，結果造成某些服務的拒絕訪問。線乃至重新啟動，結果造成某些服務的拒絕訪問。u 任何軟件都難免存在漏洞，但作為系統(tǒng)最核心的軟件，操作系任何軟件都難免存在漏洞，但作為系統(tǒng)最核心的軟件，操作系統(tǒng)存在的漏洞會使黑客有機可乘。統(tǒng)存在的漏洞會使黑客有機可乘。u 例如，例如，6464位位Windows 7Windows 7圖形顯示組件中的一個漏洞有可能導致系圖形顯示組件中的一個漏洞有可能導致系統(tǒng)崩潰，或者被黑客利用并執(zhí)行遠程代碼，用戶可以通過關閉統(tǒng)崩潰，或者被黑客利用并執(zhí)行遠程代碼，用戶可以通過關閉Windows AeroWindows Ae

34、ro的方式或打上安全補丁來防止這一漏洞被他人利的方式或打上安全補丁來防止這一漏洞被他人利用。用。u 實際上，根據(jù)目前的軟件設計水平和開發(fā)工具，要想絕對避免實際上，根據(jù)目前的軟件設計水平和開發(fā)工具，要想絕對避免軟件漏洞幾乎是不可能的。軟件漏洞幾乎是不可能的。u 操作系統(tǒng)作為一種系統(tǒng)軟件，在設計和開發(fā)過程中造成這樣或操作系統(tǒng)作為一種系統(tǒng)軟件，在設計和開發(fā)過程中造成這樣或那樣的缺陷，埋下一些安全隱患，使黑客有機可乘，也可以理那樣的缺陷，埋下一些安全隱患，使黑客有機可乘，也可以理解?？梢哉f，軟件質(zhì)量決定了軟件的安全性。解?？梢哉f，軟件質(zhì)量決定了軟件的安全性。2. 2. 后門后門u后門又稱為后門又稱為B

35、ack DoorBack Door，是繞過安全性控制而，是繞過安全性控制而獲取對程序或系統(tǒng)訪問權的方法。獲取對程序或系統(tǒng)訪問權的方法。u在軟件的開發(fā)階段，程序員常會在軟件內(nèi)創(chuàng)在軟件的開發(fā)階段，程序員常會在軟件內(nèi)創(chuàng)建后門以便可以修改程序中的缺陷。如果后建后門以便可以修改程序中的缺陷。如果后門被其他人知道，或是在發(fā)布軟件之前沒有門被其他人知道，或是在發(fā)布軟件之前沒有刪除后門，那么它就成了安全風險。刪除后門，那么它就成了安全風險。u 后門產(chǎn)生的必要條件有：后門產(chǎn)生的必要條件有： 必須以某種方式與其他終端節(jié)點相連。因為都是從其他節(jié)點訪必須以某種方式與其他終端節(jié)點相連。因為都是從其他節(jié)點訪問后門，因此必

36、須使用雙絞線、光纖、串問后門，因此必須使用雙絞線、光纖、串/ /并口、藍牙、紅外等并口、藍牙、紅外等設備與目標主機連接才可以對端口進行訪問。只有訪問成功，設備與目標主機連接才可以對端口進行訪問。只有訪問成功，雙方才可以進行信息交流，攻擊方才有機會進行入侵。雙方才可以進行信息交流，攻擊方才有機會進行入侵。 目標主機默認開放的可供外界訪問的端口必須在一個以上。因目標主機默認開放的可供外界訪問的端口必須在一個以上。因為一臺默認無任何端口開放的機器是無法進行通信的，而如果為一臺默認無任何端口開放的機器是無法進行通信的，而如果開放的端口無法被外界訪問，則目標主機同樣不可能遭到入侵。開放的端口無法被外界訪

37、問，則目標主機同樣不可能遭到入侵。 目標機存在程序設計或人為疏忽，導致攻擊者能以權限較高的目標機存在程序設計或人為疏忽，導致攻擊者能以權限較高的身份執(zhí)行程序。并不是任何一個權限的帳號都能夠被利用的，身份執(zhí)行程序。并不是任何一個權限的帳號都能夠被利用的，只有權限達到操作系統(tǒng)一定要求后，才允許執(zhí)行修改注冊表、只有權限達到操作系統(tǒng)一定要求后，才允許執(zhí)行修改注冊表、修改日志記錄等操作。修改日志記錄等操作。u后門的分類方式有多種，為了便于大家理解，下面從后門的分類方式有多種，為了便于大家理解，下面從技術方面來考慮后門的分類方法。技術方面來考慮后門的分類方法。 網(wǎng)頁后門。這類后門一般都是利用服務器上正常的

38、網(wǎng)頁后門。這類后門一般都是利用服務器上正常的WebWeb服務來構造自己的連接方式，比如現(xiàn)在非常流行服務來構造自己的連接方式，比如現(xiàn)在非常流行的的ASPASP、CGICGI腳本后門等。腳本后門等。 線程插入后門。利用系統(tǒng)自身的某個服務或者線程，線程插入后門。利用系統(tǒng)自身的某個服務或者線程，將后門程序插入到其中，這也是現(xiàn)在最流行的一個后將后門程序插入到其中，這也是現(xiàn)在最流行的一個后門技術。門技術。 擴展后門。所謂的擴展后門。所謂的“擴展擴展”，是指在功能上有大的，是指在功能上有大的提升，比普通的單一功能的后門有更強的使用性，這提升，比普通的單一功能的后門有更強的使用性，這種后門本身就相當于一個小的

39、安全工具包，能實現(xiàn)非種后門本身就相當于一個小的安全工具包，能實現(xiàn)非常多的常見安全功能。常多的常見安全功能。 C/S C/S后門。采用后門。采用“客戶端客戶端/ /服務器服務器”的控制方式，通過某種特定的控制方式，通過某種特定的訪問方式來啟動后門，從而達到控制服務器的目的。的訪問方式來啟動后門，從而達到控制服務器的目的。 root kitroot kit。root kitroot kit出現(xiàn)于出現(xiàn)于2020世紀世紀9090年代初，在年代初，在19941994年年2 2月的一月的一篇安全咨詢報告中首先使用了篇安全咨詢報告中首先使用了root kitroot kit這個名詞。這個名詞。u root

40、kitroot kit是攻擊者用來隱藏自己的蹤跡和保留是攻擊者用來隱藏自己的蹤跡和保留rootroot訪問權限的訪問權限的工具。通常，攻擊者通過遠程攻擊獲得工具。通常，攻擊者通過遠程攻擊獲得rootroot訪問權限，進入系訪問權限，進入系統(tǒng)后，攻擊者會在侵入的主機中安裝統(tǒng)后，攻擊者會在侵入的主機中安裝root kitroot kit，然后他將經(jīng)常，然后他將經(jīng)常通過通過root kitroot kit的后門檢查是否有其他的用戶登錄系統(tǒng)，如果只的后門檢查是否有其他的用戶登錄系統(tǒng)，如果只有自己，攻擊者就開始清理日志中的有關信息。通過有自己，攻擊者就開始清理日志中的有關信息。通過root kitroo

41、t kit的嗅探器獲得其他系統(tǒng)的用戶和密碼之后，攻擊者就會利用這的嗅探器獲得其他系統(tǒng)的用戶和密碼之后，攻擊者就會利用這些信息侵入其他系統(tǒng)。些信息侵入其他系統(tǒng)。 3. 3. 漏洞與后門的區(qū)別漏洞與后門的區(qū)別u后門是留在計算機系統(tǒng)中，通過某種特殊方后門是留在計算機系統(tǒng)中，通過某種特殊方式控制計算機系統(tǒng)以供某類特殊使用的途徑。式控制計算機系統(tǒng)以供某類特殊使用的途徑。它不僅繞過系統(tǒng)已有的安全設置，而且還能它不僅繞過系統(tǒng)已有的安全設置，而且還能挫敗系統(tǒng)上的各種增強的安全設置。挫敗系統(tǒng)上的各種增強的安全設置。u漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺

42、陷，攻擊者能夠利用統(tǒng)安全策略上存在的缺陷，攻擊者能夠利用這些漏洞在未授權的情況下訪問或破壞系統(tǒng)。這些漏洞在未授權的情況下訪問或破壞系統(tǒng)。u漏洞雖然可能最初就存在于系統(tǒng)當中，但漏洞并不是漏洞雖然可能最初就存在于系統(tǒng)當中，但漏洞并不是自己出現(xiàn)的，必須要有人來發(fā)現(xiàn)。在實際使用中，用自己出現(xiàn)的，必須要有人來發(fā)現(xiàn)。在實際使用中，用戶會發(fā)現(xiàn)系統(tǒng)中存在的錯誤，而入侵者會有意利用其戶會發(fā)現(xiàn)系統(tǒng)中存在的錯誤，而入侵者會有意利用其中的某些錯誤來威脅系統(tǒng)安全，這時人們會認識到這中的某些錯誤來威脅系統(tǒng)安全，這時人們會認識到這個錯誤是一個漏洞。然后系統(tǒng)供應商會盡快發(fā)布針對個錯誤是一個漏洞。然后系統(tǒng)供應商會盡快發(fā)布針對這

43、個漏洞的補丁程序。這個漏洞的補丁程序。u漏洞和后門是不同的，漏洞是一種無意的行為，是不漏洞和后門是不同的，漏洞是一種無意的行為，是不可避免的，是難以預知的，無論是硬件還是軟件都存可避免的，是難以預知的，無論是硬件還是軟件都存在著漏洞；而后門是一種有意的行為，是人為故意設在著漏洞；而后門是一種有意的行為，是人為故意設置的，是完全可以避免的。置的，是完全可以避免的。2.4 2.4 項目實施項目實施 2.4.1 2.4.1 任務任務1:1:賬戶安全配置賬戶安全配置1. 1. 任務目標任務目標 (1) (1) 了解操作系統(tǒng)賬戶安全的重要性。了解操作系統(tǒng)賬戶安全的重要性。 (2) (2) 掌握賬戶安全配

44、置的方法。掌握賬戶安全配置的方法。2. 2. 任務內(nèi)容任務內(nèi)容 (1) (1) 更改更改“AdministratorAdministrator”賬戶名稱。賬戶名稱。 (2) (2) 創(chuàng)建一個陷阱賬戶。創(chuàng)建一個陷阱賬戶。 (3) (3) 不讓系統(tǒng)顯示上次登錄的賬戶名。不讓系統(tǒng)顯示上次登錄的賬戶名。3. 3. 完成任務所需的設備和軟件完成任務所需的設備和軟件裝有裝有Windows Server 2003Windows Server 2003操作系統(tǒng)的操作系統(tǒng)的PCPC機機1 1臺，或臺，或Windows Windows Server 2003Server 2003虛擬機虛擬機1 1臺。臺。4. 4

45、. 任務實施步驟任務實施步驟(1) (1) 更改更改“AdministratorAdministrator”賬戶名稱賬戶名稱u由于由于“AdministratorAdministrator”賬戶是微軟操作系統(tǒng)的賬戶是微軟操作系統(tǒng)的默認系統(tǒng)管理員賬戶，且此賬戶不能被停用，默認系統(tǒng)管理員賬戶，且此賬戶不能被停用，這意味著非法入侵者可以一遍又一遍地猜測這這意味著非法入侵者可以一遍又一遍地猜測這個賬戶的密碼。個賬戶的密碼。u將將“AdministratorAdministrator”重命名為其他名稱，可以重命名為其他名稱，可以有效地解決這一問題。有效地解決這一問題。u步驟步驟1 1：選擇：選擇“開始開

46、始” “程序程序”“管理管理工具工具”“本地安全策略本地安全策略”命令，打開命令，打開“本本地安全設置地安全設置”窗口，如圖窗口，如圖2-12-1所示。所示。u 步驟步驟2 2：在左側窗格中，選擇：在左側窗格中，選擇“安全設置安全設置” “本地策本地策略略”“安全選項安全選項”選項，在右側窗格中，雙擊選項，在右側窗格中，雙擊“賬戶：重命賬戶：重命名系統(tǒng)管理員賬戶名系統(tǒng)管理員賬戶”策略選項，打開如圖策略選項，打開如圖2-22-2所示的對話框，將所示的對話框，將系統(tǒng)管理員賬戶名稱系統(tǒng)管理員賬戶名稱“AdministratorAdministrator”改為一個普通的賬戶名改為一個普通的賬戶名稱，如

47、稱，如“huanghuang”，而不要使用如，而不要使用如“AdminAdmin”之類的賬戶名稱，單之類的賬戶名稱，單擊擊“確定確定”按鈕。按鈕。 u 步驟步驟3 3：更改完成后，選擇：更改完成后，選擇“開始開始” “程序程序”“管理工管理工具具”“計算機管理計算機管理”命令，打開命令，打開“計算機管理計算機管理”窗口，在左窗口，在左側窗格中，選擇側窗格中，選擇“系統(tǒng)工具系統(tǒng)工具” “本地用戶和組本地用戶和組”“用戶用戶”選項，如圖選項，如圖2-32-3所示，默認的所示，默認的“AdministratorAdministrator”賬戶名稱已被更賬戶名稱已被更改為改為“huanghuang”。

48、u 步驟步驟4 4：在圖：在圖2-32-3中，選擇左側窗格中的中，選擇左側窗格中的“組組”選項，然后雙擊選項，然后雙擊右側窗格中的右側窗格中的“AdministratorsAdministrators”組名，打開組名，打開“Administrators Administrators 屬性屬性”對話框，默認只有對話框，默認只有“AdministratorAdministrator”賬戶，如圖賬戶，如圖2-42-4所示。所示。選中選中“AdministratorAdministrator”賬戶，單擊賬戶，單擊“刪除刪除”按鈕，將該賬戶刪按鈕，將該賬戶刪除。除。u 步驟步驟5 5：在圖：在圖2-42

49、-4中，單擊中，單擊“添加添加”按鈕，打開按鈕，打開“選擇用戶選擇用戶”對對話框，單擊話框，單擊“高級高級”按鈕，再單擊按鈕，再單擊“立即查找立即查找”按鈕，雙擊對按鈕，雙擊對話框底部的話框底部的“huanghuang”選項，如圖選項，如圖2-52-5所示。此時，在所示。此時，在“輸入對象輸入對象名稱來選擇名稱來選擇”文本框中自動出現(xiàn)了已經(jīng)重命名的管理員賬戶名文本框中自動出現(xiàn)了已經(jīng)重命名的管理員賬戶名稱，如稱，如“TESThuangTESThuang”( (計算機名計算機名 賬戶名賬戶名) ) ，如圖，如圖2-62-6所示。所示。u步 驟步 驟 6 6 ： 單 擊： 單 擊 “ 確 定確 定

50、” 按 鈕 返 回按 鈕 返 回“Administrators Administrators 屬性屬性”對話框，再單擊對話框，再單擊“確定確定”按鈕完成系統(tǒng)管理員名稱的更改。按鈕完成系統(tǒng)管理員名稱的更改。(2) (2) 創(chuàng)建一個陷阱賬戶創(chuàng)建一個陷阱賬戶u陷阱賬戶就是讓非法入侵者誤認為是管理員賬戶的非陷阱賬戶就是讓非法入侵者誤認為是管理員賬戶的非管理員賬戶。管理員賬戶。u默認的管理員賬戶默認的管理員賬戶“AdministratorAdministrator”重命名后，可以重命名后，可以創(chuàng)建一個同名的擁有最低權限的創(chuàng)建一個同名的擁有最低權限的“AdministratorAdministrator”

51、賬賬戶，并把它添加到戶，并把它添加到“GuestsGuests”組組( (“GuestsGuests”組的權限為組的權限為最低最低) )中，再為該賬戶設置一個超過中，再為該賬戶設置一個超過2020位的超級復雜位的超級復雜密碼密碼( (其中包括字母、數(shù)字、特殊符號等字符其中包括字母、數(shù)字、特殊符號等字符) )。u這樣可以使非法入侵者需花費很長的時間才能破解密這樣可以使非法入侵者需花費很長的時間才能破解密碼，借此發(fā)現(xiàn)它們的入侵企圖。碼，借此發(fā)現(xiàn)它們的入侵企圖。u 步驟步驟1 1：選擇：選擇“開始開始” “程序程序”“管理工具管理工具”“計算機計算機管理管理”命令，打開命令，打開“計算機管理計算機管

52、理”窗口，在左側窗格中，選擇窗口，在左側窗格中，選擇“系統(tǒng)工具系統(tǒng)工具” “本地用戶和組本地用戶和組”“用戶用戶”選項，然后右擊選項，然后右擊“用戶用戶”選項，在彈出的快捷菜單中選擇選項，在彈出的快捷菜單中選擇“新用戶新用戶”命令，打命令，打開開“新用戶新用戶”對話框，如圖對話框，如圖2-72-7所示。所示。u 步驟步驟2 2：在：在“用戶名用戶名”文本框中輸入用戶名文本框中輸入用戶名“AdministratorAdministrator”，在在“密碼密碼”和和“確認密碼確認密碼”文件框中輸入一個較復雜的密碼，文件框中輸入一個較復雜的密碼，單擊單擊“創(chuàng)建創(chuàng)建”按鈕，再單擊按鈕，再單擊“關閉關閉

53、”按鈕。按鈕。u 步驟步驟3 3：右擊新創(chuàng)建的用戶名：右擊新創(chuàng)建的用戶名“AdministratorAdministrator”，在彈出的快捷，在彈出的快捷菜單中選擇菜單中選擇“屬性屬性”命令，打開命令，打開“Administrator Administrator 屬性屬性”對話對話框，選擇框，選擇“隸屬于隸屬于”選項卡，如圖選項卡，如圖2-82-8所示，從圖中可見，所示，從圖中可見， “AdministratorAdministrator”用戶默認隸屬于用戶默認隸屬于“UsersUsers”組。組。u 步驟步驟4 4：單擊：單擊“添加添加”按鈕，打開按鈕，打開“選擇組選擇組”對話框，如圖對話

54、框，如圖2-92-9所示。所示。u 步驟步驟5 5：單擊：單擊“高級高級”按鈕，再單擊按鈕，再單擊“立即查找立即查找”按鈕，雙擊對按鈕，雙擊對話框底部的話框底部的“GuestsGuests”組名，如圖組名，如圖2-102-10所示。所示。u 步驟步驟6 6：單擊：單擊“確定確定”按鈕，返回按鈕，返回“Administrator Administrator 屬性屬性”對話對話框，此時已添加了框，此時已添加了“GuestsGuests”組，如圖組，如圖2-112-11所示。所示。u 步驟步驟7 7：在圖：在圖2-112-11中，選中中，選中“UsersUsers”組名，單擊組名，單擊“刪除刪除”按

55、鈕，按鈕，再單擊再單擊“確定確定”按鈕。此時，按鈕。此時，“AdministratorAdministrator”賬戶已設置為賬戶已設置為陷阱賬戶。陷阱賬戶。(3) (3) 不讓系統(tǒng)顯示上次登錄的賬戶名不讓系統(tǒng)顯示上次登錄的賬戶名u默認情況下，登錄對話框中會顯示上次登錄默認情況下，登錄對話框中會顯示上次登錄的賬戶名。這使得非法入侵者可以很容易地的賬戶名。這使得非法入侵者可以很容易地得到系統(tǒng)的一些賬戶名，進而做密碼猜測，得到系統(tǒng)的一些賬戶名，進而做密碼猜測，從而給系統(tǒng)帶來一定的安全隱患。從而給系統(tǒng)帶來一定的安全隱患。u可以設置登錄時不顯示上次登錄的賬戶名，可以設置登錄時不顯示上次登錄的賬戶名，來

56、解決這一問題。來解決這一問題。u 步驟步驟1 1：在：在“本地安全設置本地安全設置”窗口的左側窗格中，選擇窗口的左側窗格中，選擇“本地策本地策略略”“安全選項安全選項”選項。選項。u 步驟步驟2 2：在右側窗格中，找到并雙擊：在右側窗格中，找到并雙擊“交互式登錄：不顯示上次交互式登錄：不顯示上次的用戶名的用戶名”選項選項( (如圖如圖2-122-12所示所示) )，打開，打開“交互式登錄：不顯示交互式登錄：不顯示上次的用戶名上次的用戶名 屬性屬性”對話框，在對話框，在“本地安全設置本地安全設置”選項卡中，選項卡中，選中選中“已啟用已啟用”單選按鈕，如圖單選按鈕，如圖2-132-13所示，單擊所

57、示，單擊“確定確定”按鈕。按鈕。2.4.2 2.4.2 任務任務2 2：密碼安全配置：密碼安全配置1. 1. 任務目標任務目標 (1) (1) 了解操作系統(tǒng)密碼安全的重要性。了解操作系統(tǒng)密碼安全的重要性。 (2) (2) 掌握密碼安全配置的方法。掌握密碼安全配置的方法。2. 2. 任務內(nèi)容任務內(nèi)容 (1) (1) 設置用戶賬戶策略。設置用戶賬戶策略。 (2) (2) 設置用戶賬戶鎖定策略。設置用戶賬戶鎖定策略。3. 3. 完成任務所需的設備和軟件完成任務所需的設備和軟件u 裝有裝有Windows Server 2003Windows Server 2003操作系統(tǒng)的操作系統(tǒng)的PCPC機機1 1

58、臺，或臺，或Windows Windows Server 2003Server 2003虛擬機虛擬機1 1臺。臺。4. 4. 任務實施步驟任務實施步驟(1) (1) 設置用戶賬戶策略設置用戶賬戶策略u 步驟步驟1 1：選擇：選擇“開始開始” “程序程序”“管理工具管理工具”“本地安本地安全策略全策略”命令，打開命令，打開“本地安全設置本地安全設置”窗口，在左側窗格中，窗口，在左側窗格中，選擇選擇“安全設置安全設置”“賬戶策略賬戶策略”“密碼策略密碼策略”選項，如圖選項，如圖2-142-14所示。所示。u 步驟步驟2 2：雙擊右側窗格中的：雙擊右側窗格中的“密碼長度最小值密碼長度最小值”策略選項

59、，打開策略選項，打開“密碼長度最小值密碼長度最小值 屬性屬性”對話框，選擇對話框，選擇“本地安全設置本地安全設置”選項選項卡，設置密碼必須至少是卡，設置密碼必須至少是6 6個字符，如圖個字符，如圖2-152-15所示，單擊所示，單擊“確定確定”按鈕，返回按鈕，返回“本地安全設置本地安全設置”窗口。窗口。u步驟步驟3 3：在圖：在圖2-142-14中，雙擊右側窗格中的中，雙擊右側窗格中的“密碼最短密碼最短使用期限使用期限”策略選項，打開策略選項，打開“密碼最短使用期限密碼最短使用期限 屬屬性性”對話框，設置對話框，設置“在以下天數(shù)后可以更改密碼在以下天數(shù)后可以更改密碼”為為3 3天，如圖天，如圖

60、2-162-16所示，單擊所示，單擊“確定確定”按鈕，返回按鈕，返回“本本地安全設置地安全設置”窗口。窗口。u 步驟步驟4 4：同理，設置：同理，設置“密碼最長使用期限密碼最長使用期限”為為“1414”天，設置天，設置“強制密碼歷史強制密碼歷史”為為“1010”個記住的密碼，設置個記住的密碼，設置“密碼必須符合密碼必須符合復雜性要求復雜性要求”為為“已啟用已啟用”。上述設置完成后的密碼策略如圖。上述設置完成后的密碼策略如圖2-172-17所示。所示。(2) (2) 設置用戶賬戶鎖定策略設置用戶賬戶鎖定策略u 用戶賬戶鎖定策略可以防止非法入侵者不斷地猜測用戶的賬戶用戶賬戶鎖定策略可以防止非法入侵