|
|
所有帐号权限需严格控制,轻易不要给帐号以特殊权限;将Administrator重命名,改为一个不易猜的名字。其他一般帐号也应尊循这一原则(说明:这样可以为黑客攻击增加一层障碍)。
除Administrator外,有必要再增加一个属于管理员组的帐号(说明:两个管理员组的帐号,一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐号;另方面,一旦黑客攻破一个帐号并更改口令,我们还有有机会重新在短期内取得控制权)。
将Guest帐号禁用,并将它从Guest组删掉(说明:有的黑客工具正是利用了guest 的弱点,可以将帐号从一般用户提升到管理员组)。
给所有用户帐号一个复杂的口令,长度最少在8位以上, 且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词(如microsoft)、熟悉的键盘顺序(如qwert)、熟悉的数字(如2000)等(说明:口令是黑客攻击的重点,口令一旦被突破也就无任何系统安全可言了)。
5. 口令必须定期更改(建议至少两周该一次),且最好记在心里,除此以外不要在任何地方做记录;另外,如果在日志审核中发现某个帐号被连续尝试,则必须立刻更改此帐号(包括用户名和口令)(说明:在帐号属性中设立锁定次数,比如改帐号失败登录次数超过5次即锁定改帐号。这样可以防止某些大规模的登录尝试,同时也使管理员对该帐号提高警惕)。
6. 账户安全管理
通过本地安全策略中的账户策略:
  1)密码唯一性:记录上次的 6 个密码
  2) 最短密码期限:2
  3) 密码最长期限:42
  4) 最短密码长度:8
  5) 密码复杂化(passfilt.dll):启用
  6) 用户必须登录方能更改密码:启用
  7) 帐号失败登录锁定的门限:6
  8)锁定后重新启用的时间间隔:720分钟
7. 本地安全策略:
设置“本地安全策略→本地策略→选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容许枚举SAM账号和共享”。
在安全选项中,不显示上次登录用户名、重命名管理员账号名称(某些情况下可能导致个别程序运行异常!);在用户权力指派中,限制更改系统时间、关闭系统的权力仅管理员。 |
|
发表于 2011-12-16 13:19:03