42实例Windows系统安全配置.docVIP

4.2 实例——Windows系统安全配置 Windows操作系统安全配置包括安全配置安全方面。 4.2.1账号安全管理1．重命名和禁用默认的账户 安装好Windows后，系统会自动建立两个账户：Administrator和Guest在Windows XP中，，计算机管理。在左边列表中找到本地用户和组用户，账户图4.1计算机管理窗口 Administrator账户Administrator（管理员账户拥有计算机的最高管理权限，每一台计算机至少需要一个拥有管理员权限账户，但不一定Administrator这个名称。黑客入侵的常用手段之一就是试图获得管理员账户的密码。账户将轻易得知账户，就是寻找密码了。账户黑客的管理员账户的名称密码。Guest账户在Windows XP中，Guest账户即所谓的来宾账户，只有基本的权限并且默认是禁用的。如果不需要Guest账户，禁用它Guest也为黑客入侵方便。禁用Guest账户在右边中，双击Guest账户，Guest属性”对话框中选中账户已停用。在Windows XP Home中，不允许停用Guest账户，Guest账户的密码。不要忘记为所有账户设置足够复杂的密码。 2．可靠的密码 密码策略尽管绝对安全的密码不存在的，但是相对安全的密码还是可以实现的。在开始菜单中打开运行对话框，输入secpol.msc”打开本地安全设置，.2所示，展开“账户策略密码策略，右侧有项关于密码的设置的配置，就可以建立完备密码策略，密码可以得到最大限度的保护。本地安全设置操作系统的登录密码Windows XP的登录密码存放在系统的C:\WINDOWS\system32\config下的sam文件中，sam文件就是存放账号密码数据库文件。当登录系统时，系统会自动和sam，如果发现此账号密码与sam文件中的加密数据符合，用户就会顺利登录，如果错误则无法登录。 为了保障密码安全性，用户应该过一段时间就要更改自己的密码。给账户双重加密为账户设置了复杂的密码，密码破解。可以账户设置双重加密。 在开始菜单中打开运行对话框，输入syskey”打开保证Windows XP账户数据库的安全，选中启用加密，确定按钮，这样程序对账户完成了双重加密，不过这个加密过程对用户来说是透明的该项操作是不可逆，一旦启用加密则不可以禁用如果想更进一步体验这种双重加密功能，那么可以在图中更新按钮，打开启动密码这里有密码启动和系统产生的密码两个选项 图4.3 保证Windows XP账户数据库的安全 启动密码选择密码启动需要自己设置一个密码，这样在登录Windows XP之前先输入这个密码然后才能选择登录的账户选择系统产生的密码又有两个选项，选项在本机上保存启动密码那么程序仅在后台完成加密过程，在登录时不输入任何密码，因为密码就保存在计算机内部如果对安全要求高，可以选择在软盘上保存启动密码，确定按钮之后会提示在软驱里放入一张软盘创建完毕会在软盘上生成一个StartKey.Key文件，以后每次时必须放入该软盘才能登录，相当于系统有了一张可以随身携带的钥匙盘。选择在软盘上保存启动密码，则建议创建一张备用盘。 ．最小特权原则 最小特权原则是系统安全中最基本的原则之一。最小特权指的是在完成某种操作时所赋予网络中每个主体（用户或进程）必不可少的特权。最小特权原则是指应限定网络中每个主体所必的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小。最小特权原则一方面给予主体必不可少的特权，这就保证了所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作；另一方面，它只给予主体必不可少的特权，这就限制了每个主体所能进行的操作。最小特权原则有效地限制、分割了用户对数据资料进行访问时的权限，降低了非法用户或非法操作可能给系统及数据带来的损失，对于系统安全具有至关重要的作用。但目前大多数系统的管理员对于最小特权原则的认识还不够深入。尤其是对于Windows系列操作系统，因为系统所赋予用户的默认权限是最高的权限，例如Windows下的目录和文件的默认权限是Everyone均具有完全的权限，而Administrator则有对整个系统的完全控制。如果系统的管理员不对此进行修改，则系统的安全性将非常薄弱。当然，最小特权原则只是系统安全的原则之一，如纵深防御原则、特权分离原则、强制存取控制等。如果要使系统达到相当高的安全性，还需要其他原则的配合使用。4.2.5 Windows组策略组策略设置定义了系统管理员需要管理的用户桌面环境的多种组件，例如，用户可用的程序、用户桌面上出现的程序以及开始菜单选项。组策略包括影响用户的用户配置策略设置和影响计算机的计算机配置策略设置。计算机配