Windows安全配置 教学课件 作者 冯秀彦 吕秀鉴 褚云霞 第三章 账户设置安全.ppt

第三章 账户设置安全 本章描述：所有的计算机用户登录计算机都需要一个许可的用户账户，这个账户的安全直接关系到windows 系统的安全。什么是用户账户？用户权限是如何分配的？我们怎样才能保证用户账户的安全呢？本章重点解决多用户操作系统的账户安全问题。 3.1账户设置安全标准 本章介绍了多个用户账户的安全设置策略和设置过程。通过5个子任务进行用户账户安全的相关设定，结合账户安全的相关策略，建立如下账户设置安全标准： 1、能够根据用户需要，修改密码设置策略和账户锁定策略 2、会为用户设置登录锁定策略 3、会在工作组和域模式下为用户指派不同的权限 4、设置管理员账户的安全策略 5、会利用系统账户数据库加密和备份的方法，来保护数据安全。 3.2 设置账户策略 任务描述1：用户账户是否安全，取决于密码的复杂度密码和设定尝试密码的次数。如何进行密码策略的设置，加强密码的保护，从而加强系统的安全性呢？ 技能要求：启用账户安全策略，掌握为用户配置密码策略的方法。 3.2.1密码策略 密码是用户登录Windows系统的钥匙，如果没有钥匙总是要费一番力气后，才能登录到目标操作系统。无论入侵者采用何种远程攻击，如果无法获得管理员或超级管理员的用户密码，就无法完全控制整个系统。若想访问系统，最简单也是必要的方法就是窃取用户的密码。因此，对系统管理员账户来说，最需要保护的就是密码，如果密码被盗，也就意味着灾难的降临。 密码策略包含以下6个策略： 1、密码必须符合复杂性要求。 2、 密码长度最小值。 3、密码最短使用期限。 4、 密码最长使用期限 5、强制密码历史 6、用可还原的加密来储存密码。 在Windows系统的密码策略中，推荐的密码策略为： 1 .密码必须符合复杂性要求：启用。 2. 密码长度最小值：14个字符或者更高。 3.密码最短使用期限：5天 4.密码最长使用期限：30天 5.强制密码历史：10个 6.用可还原的机密来储存密码：禁用。 3.2.2账户锁定策略 账户锁定策略用于域账户或本地用户账户，用来确定某个账户被系统锁定的情况和时间长短。账户锁定策略包含以下3个策略： 账户锁定时间。 账户锁定阈值。 重置账户锁定计数器。 3. 推荐的账户锁定策略为： 账户锁定阀值：3次（或者略高）无效登录。 账户锁定时间：30分钟（默认，可根据实际需要更改）。 重置账户锁定计数器：30分钟（默认，可根据实际需要更改）之后。 3.3 设置管理员账户 任务描述3：在网络攻击中，管理员一直是被攻击的对象。所以对管理员账户的设置就尤为重要。如何设置管理员账户的安全呢？ 技能要求：创建系统除Administrator用户以外的管理员账户，并禁用Administrator账户，为管理员设置强密码等。 系统管理员账户拥有系统中最高的权限，拥有管理员权限，也就相当于拥有了整个网络和系统的生杀大权。因此，管理员账户也成为入侵者的主要攻击目标。作为网络和计算机管理员，尤其应该做好管理员账户的安全管理，避免被破解或盗取。 3.3.1 更改管理员账户名 通过组策略编辑器虽然可以限制猜测口令的次数，但对系统管理员账号Administrator却无法限制，这就可能给非法用户攻击管理员账号口令带来机会。如果将管理员账号改名，使得非法用户无法得知管理员账户名称，从而可以有效地避免攻击。 3.3.2 禁用Administrator账户 可以使用管理员账户再重新创建一个账户，并赋予管理员权限，然后使用新的管理员账户登录，将Administrator账户禁用，而使用新管理员账户管理计算机。这样，入侵者无法得知真正的管理员账号，更无从尝试并猜出该账户的密码。 尽量减少管理员组成员的数量，也是最大限度保证网络安全的重要措施。 3.3.3设置强密码 一般意义上的强密码则具有以下特征： 1.长度至少有7个字符。 2.不包含用户的生日、电话、用户名、真实姓名或公司名等。 3.不包含完整的字典词汇。 4. 包含以下4种类型字符中的3种字符：英文大写字母（从A到Z）；英文小写字母（从a到z）；10个基本数字（从0到9）；非字母字符（如!、$、#、%） 3.4用户管理与家长控制 任务描述4：在成员服务器和域控制器中，需要创建新用户和对旧用户进行清理，或者改变用户的权限，这些都属于用户管理的范围，我们可以新建用户、禁用用户或者为特定用户指派更多的权限。如何对用户进行管理并进行相应的权限指派呢？ 技能要求：掌握进行用户管理与权限指派的设置方法。 3.4.1用户管理 1、创建用户账户 2、更改本地计算机的用户密码。 3、删除本地用户账户 4、禁用本地计算机的用户 3.4.2家长控制 如何限制对于某些游戏只允许家长运行，而禁止孩子运行？ 首先，需要为父母和