02-Windows帐户与口令的安全设置.doc

课程编写 类别 内容 实验课题名称 Windows帐户与口令的安全设置 实验目的与要求 1.??掌握windows操作系统中安全帐户的设置方法。 2.??掌握windows操作系统中高强度登录密码的设置方法。 3.??掌握利用syskey保护帐户信息的方法 实验环境 VPC1(虚拟PC） 操作系统类型：windows xp，网络接口：本地连接 VPC1 连接要求 PC 网络接口，本地连接与实验网络直连 软件描述 1、学生机要求安装java环境2、vpc安装Windows xp 实验环境描述 1、?学生机与实验室网络直连; 2、?VPC1与实验室网络直连; 3、?学生机与VPC1物理链路连通； 预备知识 1.??windows的域安全策略 目前常见的安装在服务器端的windows操作系统中均带有“域安全策略”，这是一种非常有效的系统安全管理工具。可以通过一次单击“开始”-“设置”-“控制面板”-“管理工具”-“域安全策略”命令，打开“域安全策略”进行相关设置。Windows的域安全设置可分为帐户策略，本地策略，公钥策略，事件日志，受限制的组，系统服务，注册表，文件系统，公钥策略和IP安全策略。 （1）???账户策略是由用户名+密码组成，我们利用账户策略设置密码策略，账户锁定和Kerberos(只针对域)策略。 （2）???本地策略。本地策略所设置的值只对本地计算机起作用，它包括审核策略，授权用户权限，设置各种安全机制。 （3）???事件日志。主要对域（包括本地）的各种事件进行记录。为应用程序日志，系统日志和安全日志配置大小，访问方式和保留时间等参数。 （4）???受限制的组。管理内置组的成员资格。一般内置组都有预定义功能，利用受限组可以更改这些预定义的功能。 （5）???系统服务。为了运行在计算机上的服务配置安全性和启动设置。 （6）???注册表。配置注册密钥的安全性，在windows xp中，注册表是一个集中式层次结构数据库，它存储windows所需要的必要信息，用于为用户，程序，硬件设备配置进行统计。 （7）???文件系统。指定文件路径配置安全性。 （8）???公钥策略。配置加密的数据恢复代理和信任认证中心证书。证书是软件服务证书，可以提供身份鉴定的支持，包括安全的E-mail功能，基于web的身份鉴定和SAM身份鉴定。 （9）???IP安全性策略。配置IPSec(IP协议安全性)。IPSec是一个工业标准，用于对TCP/IP网络数据流加密以及保护企业内部网内部通信和跨越Internet的VPN（虚拟专用网络）通信的安全。 2.??windows的本地安全策略 与之相对应的另一组windows操作系统中带有“本地安全策略”，例如windows xp操作系统。打开“本地安全策略”进行相关设置。顾名思义，域安全策略设置作用于整个域，而本地安全策略设置仅作用于本台计算机。本地安全策略包括4个子项目：“账户策略”，“本地策略”，“软件限制策略”与“IP安全策略”，其中通过对对“账户策略”与“本地策略”的设置，可有效保护windows登录账户的安全性。本实验主要是通过对本地安全策略进行相应设置以提高操作系统账户和口令的安全。 3.??Administrator和Guest账户 “本地用户和组”位于“开始”?–?“设置”?–?“控制面板”?–?“管理工具”?–?“计算机管理”中，用户可以利用这一组管理工具来管理单台本地或远程计算机。可以使用“本地用户和组”保护并管理存储在本地激素那几上的用户账户和组。可以在特定计算机和仅这台 计算机上分配本地用户或组账户的权限和权力。 通过“本地用户和组”，可以为用户和组分配权力和权限，从而限制了用户和组织执行某些操作的能力。权限可授权用户在计算机上执行某些操作，如备份文件和文件夹或者关机。权限是与对象（通常是文件，文件夹或打印机）相关联的一种规则，它规定哪些用户可以访问该对象以及何种方式访问。 “本地用户和组”的“用户”文件夹显示了默认的用户账户以及操作系统用户所创建的用户账户。其中有两个特殊的账户：Administrator和Guest账户。 Administrator和Guest账户是在安装windows时自动建立的账户，也称为内置账户。这两个账户在windows安装之后已经存在并且被赋予了相应的权限，它们不能被删除（既使是管理员也不能），其中Administartor账户还不允许被屏蔽，开始时Guest账户处于停用状态。Administartor和Guest账户的权限如下。 （1）?Administrator。在域中和计算机中具有不受限制的权利，可以管理本地或域中的任何计算机，如创建账户，创建组，实施安全策略等。Administrator账户具有对服务器的安全控制权限，