第一篇：Windows操作系統(tǒng)安全(一)（大全）

一、實(shí)驗(yàn)項(xiàng)目名稱

Windows操作系統(tǒng)安全

（一）二、實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)實(shí)驗(yàn)掌握Windows賬戶與密碼的安全設(shè)置、文件系統(tǒng)的保護(hù)和加密、安全策略與安全模板的使用、審核和日志的啟用、本機(jī)漏洞檢測(cè)軟件MBSA的使用，建立一個(gè)Windows操作系統(tǒng)的基本安全框架。根據(jù)Windows操作系統(tǒng)的各項(xiàng)安全性實(shí)驗(yàn)要求，詳細(xì)觀察并記錄設(shè)置前后系統(tǒng)的變化，給出分析報(bào)告。

三、實(shí)驗(yàn)內(nèi)容與實(shí)驗(yàn)步驟

(1)．賬戶與密碼的安全設(shè)置

(2)．啟用安全策略與安全模板

(3)．用加密軟件EFS加密硬盤(pán)數(shù)據(jù)

(4)．NTFS文件系統(tǒng)的權(quán)限設(shè)置和管理

四、實(shí)驗(yàn)環(huán)境

1臺(tái)安裝Windows2000/XP操作系統(tǒng)的計(jì)算機(jī)，磁盤(pán)格式配置為NTFS，預(yù)裝MBSA(Microsoft Baseline Security Analyzer)工具。

五、實(shí)驗(yàn)過(guò)程與分析

任務(wù)一賬戶和密碼的安全設(shè)置

1．刪除不再使用的賬戶，禁用guest賬戶

⑴ 檢查和刪除不必要的賬戶，用戶列表如下

⑵ 禁用guest賬戶

1）操作前用guest用戶登錄，可以登錄，表示guest用戶可以用。在其他用戶登錄下禁止guest用戶的使用。

2）之后再次注銷(xiāo)，試圖登陸guest，發(fā)現(xiàn)無(wú)法登陸，證明被禁止了。

２．啟用賬戶策略

⑴ 設(shè)置密碼策略

1）對(duì)密碼策略設(shè)置如圖

2）對(duì)長(zhǎng)度最小值的改變進(jìn)行測(cè)試：設(shè)置只有一個(gè)字符的密碼，不成功就代表了長(zhǎng)度最小值策略設(shè)置成功。

⑵ 設(shè)置賬戶鎖定策略

1）對(duì)賬戶鎖定策略設(shè)置如圖

2）對(duì)賬戶鎖定閥值進(jìn)行測(cè)試：

連續(xù)輸入三次錯(cuò)誤密碼，賬戶被關(guān)閉。證明賬戶鎖定閥值為3。

2）對(duì)賬戶鎖定時(shí)間進(jìn)行測(cè)試

兩分鐘之后賬戶又重新開(kāi)放，所以賬戶鎖定時(shí)間可以為2。

３．開(kāi)機(jī)時(shí)設(shè)置為“不自動(dòng)顯示上次登陸賬戶”

設(shè)置后注銷(xiāo)重新登錄，發(fā)現(xiàn)賬戶不顯示。

４．禁止枚舉賬戶名

任務(wù)二 啟用安全策略與安全模塊

1．啟用安全模板

（1）打開(kāi)系統(tǒng)控制臺(tái)，為控制臺(tái)添加安全膜拜和安全配置分析項(xiàng)，并且查看模板配置信息

（2）建立安全數(shù)據(jù)庫(kù)，選擇一個(gè)安全模板將其導(dǎo)入。

（3）按照模板，選擇“立即分析計(jì)算機(jī)”。分析結(jié)果如下。

（4）記錄當(dāng)前安全配置，以密碼策略為例。

（5）選擇“立即配置計(jì)算機(jī)”，對(duì)計(jì)算機(jī)配置。之后再對(duì)計(jì)算機(jī)分析，可以看到計(jì)算機(jī)設(shè)置發(fā)生了改變，密碼長(zhǎng)度最小值，密碼最長(zhǎng)保存期兩個(gè)不符合模板的項(xiàng)按照模板進(jìn)行了配置。

2．建安全模板

（1）打開(kāi)控制臺(tái)，添加“安全模板”、“安全設(shè)置和分析”，查看其相關(guān)配置。建立安全數(shù)據(jù)庫(kù)，導(dǎo)入安全模板。

（2）新加自設(shè)模板mytem，并且定義安全策略。如圖是對(duì)密碼長(zhǎng)度最小值設(shè)置。

任務(wù)三 利用加密軟件EFS加密硬盤(pán)數(shù)據(jù)

（1）建立名為MYUSER的新用戶。

（2）打開(kāi)硬盤(pán)格式為NTFS的磁盤(pán)，選擇要進(jìn)行加密的文件夾在屬性窗口對(duì)其設(shè)置將其

加密。

（3）加密完成后，保存當(dāng)前用戶下的文件注銷(xiāo)當(dāng)前用戶,以剛才新建的MYUSER用戶登

陸系統(tǒng)，再次訪問(wèn)加密文件夾，發(fā)現(xiàn)其拒絕訪問(wèn)。

（4）以原來(lái)加密文件夾的管理員用戶登陸系統(tǒng)，打開(kāi)系統(tǒng)控制臺(tái)添加證書(shū)，為當(dāng)前的加密文件系統(tǒng)EFS設(shè)置證書(shū)。在控制臺(tái)窗口左側(cè)的目錄樹(shù)中選擇“證書(shū)”“個(gè)人“證書(shū)”。可以看到用于加密文件系統(tǒng)的證書(shū)顯示在右側(cè)的窗口中。雙擊此證

書(shū)，單擊詳細(xì)信息，則可以看到此證書(shū)包含的詳細(xì)信息。

（5）選中用于EFS的證書(shū),導(dǎo)出證書(shū)，并設(shè)置保護(hù)私鑰的密碼，然后將導(dǎo)出的證書(shū)文件

保存。

（6）以新建的MYUSER登陸系統(tǒng)導(dǎo)入該證書(shū)。

（7）再次雙擊加密文件擊中的文件，發(fā)現(xiàn)可以進(jìn)行訪問(wèn)。

任務(wù)四NTFS文件系統(tǒng)的權(quán)限設(shè)置和管理

1.為學(xué)生創(chuàng)建一個(gè)私有的用戶文件夾：在NTFS磁盤(pán)分區(qū)上為用戶stu01建立一個(gè)用戶文

件夾StuData01,用戶文件夾只允許用戶本人完全控制，用戶tutor讀取訪問(wèn)，其他人拒絕訪問(wèn)。用其他用戶訪問(wèn)，無(wú)法訪問(wèn)。

2.創(chuàng)建一個(gè)學(xué)生組公用文件夾

為學(xué)生組Students在windows 2000服務(wù)器的NTFS磁盤(pán)分區(qū)上建立一個(gè)公用文件夾，該文件夾允許students成員讀取及運(yùn)行，tutor完全控制，Administrator只有列出文件夾，創(chuàng)建文件夾，刪除文件夾和文件的權(quán)限。并且此文件夾對(duì)Administrator的NTFS權(quán)限設(shè)置不傳播到子文件夾。

3.文件夾共享

（1）創(chuàng)建一個(gè)文件夾share共享它。

（2）為這個(gè)文件夾分配共享權(quán)限，安全權(quán)限

（3）從網(wǎng)絡(luò)上訪問(wèn)這個(gè)文件夾。嘗試用不同賬號(hào)訪問(wèn)權(quán)限

假設(shè)：share共享權(quán)限是everyone完全控制，完全權(quán)限是everyone只讀，那么用戶從網(wǎng)絡(luò)上的訪問(wèn)權(quán)限是什么？

回答：只讀權(quán)限

假設(shè)：share共享權(quán)限是everyone只讀，完全權(quán)限是everyone完全控制，那么用戶從網(wǎng)絡(luò)上的訪問(wèn)權(quán)限是什么？

回答:只讀權(quán)限

六、實(shí)驗(yàn)結(jié)果總結(jié)

1．如何檢查系統(tǒng)是否允許guest賬戶登陸？

回答：打開(kāi)控制面板中的管理工具，選擇計(jì)算機(jī)管理中本地用戶和組，打開(kāi)用戶，若

guest用戶前有叉號(hào)，則已經(jīng)被禁用。

2.如果一個(gè)用戶（非管理員）創(chuàng)建一個(gè)文件夾，內(nèi)有文件，他設(shè)置安全權(quán)限，禁止除他以外的用戶訪問(wèn)，請(qǐng)問(wèn)管理員有權(quán)限訪問(wèn)嗎？可以的話，如何操作？

回答：有的，管理員可以更改文件的所有者，可以把所有者改成自己，就可以訪問(wèn)了?？偨Y(jié)：本實(shí)驗(yàn)內(nèi)容包括對(duì)于windows賬戶密碼的安全進(jìn)行設(shè)置，啟用了安全策略和安全模板，用加密軟件EFS加密硬盤(pán)數(shù)據(jù)，設(shè)置和管理NTFS文件系統(tǒng)四個(gè)方面。通過(guò)以上的手段，建立了windows操作系統(tǒng)的基本安全框架。

第二篇：Windows系統(tǒng)安全技巧

Window系統(tǒng)安全技巧

系統(tǒng)光盤(pán)個(gè)人比較喜歡使用雨林木風(fēng)安裝版或者GHOST版，純凈無(wú)插件，破解和優(yōu)化得都比較好。使用電腦公司裝機(jī)版也可以，番茄花園以前做得不錯(cuò)，現(xiàn)在的版本插件比較多，且界面不是很喜歡。

（1）系統(tǒng)安裝完后，做個(gè)純凈版的ghost備份，可以使用MaxDos或者矮人DOS工具箱。以備以后系統(tǒng)出問(wèn)題可以快速恢復(fù)到純凈系統(tǒng)，節(jié)省安裝系統(tǒng)時(shí)間，（使用安裝版安裝系統(tǒng)需要時(shí)間大約45分鐘，恢復(fù)系統(tǒng)時(shí)間只需10分鐘左右）。

（2）在連接網(wǎng)絡(luò)之前先安裝殺毒軟件，連接網(wǎng)絡(luò)后將殺毒軟件更新到最新。個(gè)人比較喜歡NOD32（占用系統(tǒng)資源小，殺毒速度快，防護(hù)能力強(qiáng)）或者卡巴斯基（主動(dòng) 防御很強(qiáng)，殺毒能力強(qiáng)，但是殺毒速度很慢，占用系統(tǒng)資源較大）；感覺(jué)江民還可以，尤其不喜歡瑞星和金山，并非不支持國(guó)產(chǎn)，瑞星我覺(jué)得除了界面還可以之外，其他的優(yōu)點(diǎn)沒(méi)有什么感覺(jué)，金山感覺(jué)能力平平。

（3）打上最新的系統(tǒng)補(bǔ)丁，建議用手動(dòng)安裝版，安裝速度快。將IE升級(jí)到IE7.0。將系統(tǒng)更新方式更改為“手動(dòng)”，防止安裝windows正版驗(yàn)證程序。

（4）安裝好常用的軟件。個(gè)人比較喜歡雨林木風(fēng)下載，無(wú)插件，破解比較完美。建議使用魔法兔子或者優(yōu)化大師，方便以后對(duì)系統(tǒng)進(jìn)行維護(hù)。

（5）修改注冊(cè)表啟動(dòng)項(xiàng)（run、runonce等），刪除不必要的隨系統(tǒng)啟動(dòng)的程序，以節(jié)省系統(tǒng)開(kāi)機(jī)時(shí)間、系統(tǒng)資源、系統(tǒng)關(guān)機(jī)時(shí)間。并關(guān)閉run項(xiàng)的設(shè)置權(quán)限，可以使大部分木馬程序失去作用。（必做）

（6）刪除不必要的服務(wù)。以節(jié)省系統(tǒng)資源及開(kāi)機(jī)時(shí)間。（必做）

（7）設(shè)置系統(tǒng)組策略。如無(wú)局域網(wǎng)可以關(guān)閉網(wǎng)絡(luò)訪問(wèn)；關(guān)閉自動(dòng)播放功能。（必做）

（8）屏蔽TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口。減少給黑客入侵的機(jī)會(huì)。（推薦）

（9）最后做個(gè)ghost備份鏡像，用于以后萬(wàn)一系統(tǒng)出問(wèn)題時(shí)恢復(fù)系統(tǒng)，可以免去安裝軟件，設(shè)置系統(tǒng)麻煩，所需時(shí)間大約是10分鐘。

第三篇：windows基本操作

38(1)在“考生文件夾83win2”中新建文件夾“筆記備份”；

(2)將“考生文件夾83win2今天的工作參考文章”中的“任務(wù)驅(qū)模式.doc”更名為“任務(wù)驅(qū)動(dòng)模

式.doc”；

(3)刪除“考生文件夾83win2”中的文件“喜歡的學(xué)習(xí)網(wǎng)站.txt”；

(4)將“考生文件夾83win2”中的“PPT課件”文件夾復(fù)制到“素材收集”中。

39(1)在“考生文件夾76考核”文件夾中建立名稱為“學(xué)科”的文件夾；

(2)將文本文件“考生文件夾76考核學(xué)科知識(shí)點(diǎn).txt”移動(dòng)到“學(xué)科”文件夾中；

(3)刪除文件“考生文件夾76考核圖片.jpg”；

(4)將“考生文件夾76考核”文件夾中的“娛樂(lè)”文件夾改名為“我的音樂(lè)”文件夾。

分類(lèi)整理文件和文件夾，完成以下操作。

(1)在“考生文件夾75荷塘月色”文件夾中新建“圖片”文件夾；

(2)將“考生文件夾75荷塘月色”文件夾中的圖片文件移動(dòng)到“圖片”文件夾中。

將文件“考生文件夾246Test表格.rar”復(fù)制到“考生文件夾246資產(chǎn)管理”中，并將“資產(chǎn)管理”文

件夾中的文件“舊表格.xls”改名為“新表格.xls”。

44(1)在“考生文件夾85”文件夾中新建文件夾“bak”；

(2)將文件“考生文件夾85TypeEasy.tmp”復(fù)制到“bak”文件夾中；

(3)將“考生文件夾85”文件夾中的“TypeEasy.txt”文件改名為“Easy.txt”。

46(1)將“考生文件夾81win1”文件夾中的“00-01屆”文件夾更名為“00-02屆”；

(2)刪除文件“考生文件夾81win180-89屆tmp.mdb”；

(3)將“考生文件夾81win1”文件夾中的文件“校慶邀請(qǐng)函.doc”復(fù)制到“校慶準(zhǔn)備”文件夾中。

打開(kāi)“考生文件夾73考核”文件夾，在其中的“多媒體”文件夾中新建“動(dòng)畫(huà)”、“聲音”、“視頻”子文件

夾，將“考生文件夾73考核”中的所有文件按類(lèi)別移動(dòng)到相應(yīng)的文件夾中。

利用Windows資源管理器，完成以下操作：

(1)將“考生文件夾79Test”文件夾中的“朱自清”文件夾復(fù)制到“現(xiàn)代文學(xué)家”文件夾中；

(2)在“考生文件夾79Test”文件夾中新建文本文件“春.txt”；

(3)將“考生文件夾79Test”文件夾中的文件“背影.doc”改名為“荷塘月色.doc”；

(4)刪除文件“考生文件夾79Test再別康橋.doc”。

第四篇：Windows系統(tǒng)安全分析-病毒篇

病毒是如何進(jìn)入我們的系統(tǒng)的?

有一點(diǎn)可以肯定計(jì)算機(jī)病毒不會(huì)在自己的硬盤(pán)里“生”出來(lái)。它一定是從其它儲(chǔ)存介質(zhì)復(fù)制到我們的硬盤(pán)，通常有許多途徑都可以讓病毒有被復(fù)制在我們硬盤(pán)的可能性。下載就是其中被病毒傳播者用得比較多的一種途徑。我們?cè)谙螺d時(shí)，不管是電影、壓縮包、游戲、文檔、或是郵件都有可能被置放病毒。因而下載回來(lái)一定要記住:先掃描后使用。

由于閃盤(pán)價(jià)格的大幅度下降，擁有U盤(pán)等閃盤(pán)的用戶越來(lái)越多。閃盤(pán)被病毒盯上，這種傳播方式需要在U盤(pán)根目錄下新建一個(gè)名為autorun.inf的文件和復(fù)制病毒本身。事前在根目錄下新建名為autorun.inf的文件夾能防止這種方式的傳播此外

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExploer]主鍵下，在右窗格中找到“NoDriveTypeAutoRun”，就是這個(gè)鍵決定了是否執(zhí)行各類(lèi)盤(pán)的AutoRun功能。其中DRIVE_REMOVABLE 2 1 04H 表示可移動(dòng)驅(qū)動(dòng)器。也就是說(shuō)可以利用這個(gè)鍵來(lái)防止各類(lèi)盤(pán)的自動(dòng)播放，預(yù)防中毒。[1]

光盤(pán)有時(shí)也有可能會(huì)被病毒感染，成為病毒傳播的途徑之一。另外系統(tǒng)本身存在的漏洞也是病毒利用的途徑之一。

因而預(yù)防病毒要做到，外來(lái)的文件要先經(jīng)過(guò)掃描后才使用，系統(tǒng)的漏洞要及時(shí)補(bǔ)上。

病毒是如何激活運(yùn)行的?

計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼，一個(gè)可執(zhí)行文件。如何它不運(yùn)行它就不會(huì)對(duì)系統(tǒng)造成威脅。最多只是占著硬盤(pán)空間。但是一旦激運(yùn)行了病毒程序，它會(huì)對(duì)系統(tǒng)造成怎么樣的損害依病毒的破壞性強(qiáng)弱和計(jì)算機(jī)系統(tǒng)本身的自我保護(hù)能力而定。因而不給病毒運(yùn)行的機(jī)會(huì)，就是病毒存在于硬盤(pán)中也不會(huì)對(duì)系統(tǒng)造成嚴(yán)重破壞。那如何防止病毒的激活呢?一般情況下，病毒會(huì)有好幾種啟動(dòng)方式。病毒用的比較多的是注冊(cè)表和系統(tǒng)服務(wù)。注冊(cè)表環(huán)境復(fù)雜，大多數(shù)計(jì)算機(jī)用戶對(duì)其望而生畏。病毒很喜歡將其啟動(dòng)的資料放在這里面。而系統(tǒng)服務(wù)會(huì)在系統(tǒng)啟動(dòng)的過(guò)程中被自動(dòng)啟動(dòng)，因而病毒也很喜歡躲在這里面混水摸魚(yú)。[2]

除了這兩種啟動(dòng)方式外，還有捆綁文件，各類(lèi)盤(pán)的自動(dòng)播放，文件關(guān)聯(lián)，程序映射等方法也能讓病毒有被激活運(yùn)行的可能性。

保證計(jì)算機(jī)病毒不被激活是計(jì)算機(jī)病毒預(yù)防工作的重點(diǎn)之一。所以對(duì)注冊(cè)表用啟動(dòng)程序的關(guān)鍵鍵值要加以注意。定時(shí)查看系統(tǒng)服務(wù)是不是正常。利用一些小工具查看文件關(guān)聯(lián)是否正常，有沒(méi)有程序已經(jīng)被映射了。對(duì)外來(lái)文件要先經(jīng)過(guò)掃描后先可以使用。

除了以上方法外，給系統(tǒng)裝上一個(gè)合適的殺病軟件和防火墻也是非常必要的。它們對(duì)已經(jīng)出名的病毒的查殺能力是很強(qiáng)的。這樣可以幫計(jì)算機(jī)管理員省去不少工作。

如果病毒已經(jīng)激活了。及時(shí)發(fā)現(xiàn)病毒的存在能保證系統(tǒng)受到的破壞最小。那病毒有哪些癥狀呢?

從目前發(fā)現(xiàn)的病毒來(lái)看，主要癥狀有：

（1）由于病毒程序把自己或操作系統(tǒng)的一部分用壞簇隱起來(lái)，磁盤(pán)壞簇莫名其妙地增多。

（2）由于病毒程序附加在可執(zhí)行程序頭尾或插在中間，使可執(zhí)行程序容量增。

（3）由于病毒程序把自己的某個(gè)特殊標(biāo)志作為標(biāo)簽，使接觸到的磁盤(pán)出現(xiàn)特別標(biāo)簽。

（4）由于病毒本身或其復(fù)制品不斷侵占系統(tǒng)空間，使可用系統(tǒng)空間變小。

（5）由于病毒程序的異?；顒?dòng)，造成異常的磁盤(pán)訪問(wèn)。

（6）由于病毒程序附加或占用引導(dǎo)部分，使系統(tǒng)導(dǎo)引變慢。

（7）丟失數(shù)據(jù)和程序。

（8）中斷向量發(fā)生變化。

（9）打印出現(xiàn)問(wèn)題。

（10）死機(jī)現(xiàn)象增多。

（11）生成不可見(jiàn)的表格文件或特定文件。

（12）系統(tǒng)出現(xiàn)異常動(dòng)作，例如：突然死機(jī)，又在無(wú)任何外界介入下，自行起動(dòng)。

（13）出現(xiàn)一些無(wú)意義的畫(huà)面問(wèn)候語(yǔ)等顯示。

（14）程序運(yùn)行出現(xiàn)異?，F(xiàn)象或不合理的結(jié)果。

（15）磁盤(pán)的卷標(biāo)名發(fā)生變化。

（16）系統(tǒng)不認(rèn)識(shí)磁盤(pán)或硬盤(pán)不能引導(dǎo)系統(tǒng)等。

（17）在系統(tǒng)內(nèi)裝有漢字庫(kù)且漢字庫(kù)正常的情況下不能調(diào)用漢字庫(kù)或不能打印漢字。

（18）在使用寫(xiě)保護(hù)的軟盤(pán)時(shí)屏幕上出現(xiàn)軟盤(pán)寫(xiě)保護(hù)的提示。

（19）異常要求用戶輸入口令

當(dāng)出現(xiàn)這些情況時(shí)請(qǐng)及時(shí)檢查系統(tǒng)。或許病毒正運(yùn)行在系統(tǒng)上，破壞著系統(tǒng)！

鬼片網(wǎng) http:// 整理

第五篇：操作系統(tǒng)安全 復(fù)習(xí)資料

第三章 windows server 2003 用戶賬號(hào)安全

一、密碼安全設(shè)置原則

1．不可讓賬號(hào)與密碼相同

2．不可使用自己的姓名

3．不可使用英文詞組

4．不可使用特定意義的日期

5．不可使用簡(jiǎn)單的密碼

二、要保證密碼的安全，應(yīng)當(dāng)遵循以下規(guī)則：

1．用戶密碼應(yīng)包含英文字母的大小寫(xiě)、數(shù)字、可打印字符，甚至是非打印字符。建議將這些符號(hào)排列組合使用，以期達(dá)到最好的保密效果。

2．用戶密碼不要太規(guī)則，不要使用用戶姓名、生日、電話號(hào)碼以及常用單詞作為密碼。

3．根據(jù)Windows系統(tǒng)密碼的散列算法原理，密碼長(zhǎng)度設(shè)置應(yīng)超過(guò)7位，最好為14位。

4．密碼不得以明文方式存放在系統(tǒng)中，確保密碼以加密的形式寫(xiě)在硬盤(pán)上并包含密碼的文件是只讀的。

5．密碼應(yīng)定期修改，應(yīng)避免重復(fù)使用舊密碼，應(yīng)采用多套密碼的命名規(guī)則。

6．建立賬號(hào)鎖定機(jī)制。一旦同一賬號(hào)密碼校驗(yàn)錯(cuò)誤若干次，即斷開(kāi)連接并鎖定該賬號(hào)，經(jīng)過(guò)一段時(shí)間才解鎖。

三、在Windows Server 2003系統(tǒng)中，如果在“密碼策略”中啟用了“密碼必須符合復(fù)雜性要求”設(shè)置的話，則對(duì)用戶的密碼設(shè)置有如下要求：

1．不包含全部或部分的用戶賬戶名。

2．長(zhǎng)度至少為7個(gè)字符。

3．包含以下4種類(lèi)型字符中的3種字符。

(1)英文大寫(xiě)字母（從A到Z）

(2)英文小寫(xiě)字母（從a到z）

(3)10個(gè)基本數(shù)字（從0到9）

(4)非字母字符（如!、$、#、%）

四、強(qiáng)密碼則具有以下特征：

1．長(zhǎng)度至少有7個(gè)字符。

2．不包含用戶的生日、電話、用戶名、真實(shí)姓名或公司名等。

3．不包含完整的字典詞匯。

4．包含全部4種類(lèi)型的字符。

除此之外，管理員賬戶的密碼應(yīng)當(dāng)定期修改，尤其是當(dāng)發(fā)現(xiàn)有不良攻擊時(shí)，更應(yīng)及時(shí)修改復(fù)雜密碼，以免被破解。為避免密碼因過(guò)于復(fù)雜而忘記，可用筆記錄下來(lái)，并保存在安全的地方，或隨身攜帶避免丟失。

五、賬戶策略包含兩個(gè)子集：密碼策略和賬戶鎖定策略

六、密碼策略包含以下6個(gè)策略：

1．密碼必須符合復(fù)雜性要求。

2．密碼長(zhǎng)度最小值。

3．密碼最長(zhǎng)使用期限。

4．密碼最短使用期限。

5．強(qiáng)制密碼歷史。

6．用可還原的加密來(lái)儲(chǔ)存密碼。

七、“強(qiáng)制密碼歷史”策略

該策略通過(guò)確保舊密碼不能繼續(xù)使用，從而使管理員能夠增強(qiáng)安全性。重新使用舊密碼之前，該安全設(shè)置確定與某個(gè)用戶賬戶相關(guān)的唯一新密碼的數(shù)量。該值必須為0～24之間的一個(gè)數(shù)值，推薦值為8

八、雙擊“密碼最長(zhǎng)使用期限”，選中“定義這個(gè)策略設(shè)置”復(fù)選框

該安全設(shè)置要求用戶更改密碼之前可以使用該密碼的時(shí)間（單位為天）?？蓪⒚艽a的過(guò)期天數(shù)設(shè)置在1～999天之間，或?qū)⑻鞌?shù)設(shè)置為0，可指定密碼永不過(guò)期。如果密碼最長(zhǎng)使用期限在1～999天之間，那么密碼最短使用期限必須小于密碼最長(zhǎng)使用期限。如果密碼最長(zhǎng)使用期限設(shè)置為0，則密碼最短使用期限可以是1～998天之間的任意值。

九、雙擊“密碼最短使用期限”，選中“定義這個(gè)策略設(shè)置”復(fù)選框

該安全策略設(shè)置確定用戶可以更改密碼之前必須使用該密碼的時(shí)間（單位為天）?？梢栽O(shè)置1～998天之間的某個(gè)值，或者通過(guò)將天數(shù)設(shè)置為0，允許立即更改密碼。

十、雙擊“最小密碼長(zhǎng)度”，選中“定義這個(gè)策略設(shè)置”復(fù)選框

將“密碼必須至少是”的值設(shè)置為 8, 然后雙擊“確定”。通過(guò)將字符數(shù)設(shè)置為0，可設(shè)置不需要密碼。

十一、賬戶鎖定閾值

該安全設(shè)置確定造成用戶賬戶被鎖定的登錄失敗嘗試的次數(shù)。在鎖定時(shí)間內(nèi)，無(wú)法使用鎖定的賬戶，除非管理員進(jìn)行了重新設(shè)置或該賬戶的鎖定時(shí)間已過(guò)期。登錄嘗試失敗的范圍可設(shè)置為0～999之間，建議值為3～5，既允許用戶輸或記憶錯(cuò)誤，又避免惡意用戶反復(fù)嘗試用不同密碼登錄系統(tǒng)。如果將鎖定閾值設(shè)為0，將無(wú)法鎖定賬戶。對(duì)于使用Ctrl+Alt+Delete組合鍵或帶有密碼保護(hù)的屏幕保護(hù)程序鎖定的計(jì)算機(jī)上，失敗的密碼嘗試計(jì)入失敗的登錄嘗試次數(shù)中。

十二、賬戶鎖定時(shí)間

該安全設(shè)置確定鎖定的賬戶在自動(dòng)解鎖前保持鎖定狀態(tài)的分鐘數(shù)。有效范圍從0～99，999分鐘。如果將賬戶鎖定時(shí)間設(shè)置為0，那么在管理員明確將其解鎖前，該賬戶將一直被鎖定。如果定義了賬戶鎖定閾值，則賬戶鎖定時(shí)間必須大于或等于重置時(shí)間。

十三、復(fù)位賬戶鎖定計(jì)數(shù)器

確定在登錄嘗試失敗計(jì)數(shù)器被復(fù)位為0（即0次失敗登錄嘗試）之前，嘗試登錄失敗之后所需的分鐘數(shù)。有效范圍為1～99，999分鐘之間。如果定義了賬戶鎖定閾值，則該復(fù)位時(shí)間必須小于或等于賬戶鎖定時(shí)間

十四、系統(tǒng)管理員設(shè)置原則

1．更改管理員賬戶名

2．禁用Administrator賬戶

3．強(qiáng)密碼設(shè)置

十五、除非有特殊應(yīng)用，否則Guest賬戶應(yīng)當(dāng)被禁用。事實(shí)上，許多網(wǎng)絡(luò)攻擊就是借助Guest用戶來(lái)實(shí)現(xiàn)的。即使啟用Guest賬戶，也應(yīng)當(dāng)為其指定最低的訪問(wèn)權(quán)限

十六、共享文件夾權(quán)限

當(dāng)將文件夾設(shè)置為共享資源時(shí)，除了必須為文件和文件夾指定NTFS訪問(wèn)權(quán)限以外，還應(yīng)當(dāng)為共享文件夾指定相應(yīng)的訪問(wèn)權(quán)限。共享文件夾權(quán)限比NTFS權(quán)限簡(jiǎn)單一些，而且NTFS權(quán)限的優(yōu)先級(jí)要高于共享文件夾權(quán)限。因此，共享文件夾的權(quán)限可以粗略設(shè)置，而NTFS權(quán)限則必須詳細(xì)劃分

十七、為用戶組指定權(quán)限時(shí)，有以下兩點(diǎn)需要注意

1．權(quán)限是疊加的用戶可以同時(shí)屬于多個(gè)用戶組，用戶所擁有的權(quán)限，是其所屬組權(quán)限的總和。對(duì)組指派的用戶權(quán)限應(yīng)用到該組的所有成員（在它們還是成員的時(shí)候）。如果用戶是多個(gè)組的成員，則用戶權(quán)限是累積的，這意味著用戶有多組權(quán)限。

2．拒絕權(quán)限優(yōu)先

無(wú)論用戶在其他組擁有怎樣大的權(quán)限，只要其所屬組中有一個(gè)明確設(shè)置了“拒絕”權(quán)限，那么該權(quán)限及其包含的權(quán)限也都將被拒絕。

第四章 文件訪問(wèn)安全

一、多重NTFS權(quán)限

1)權(quán)限的積累

用戶對(duì)資源的有效權(quán)限是分配給該個(gè)人用戶帳戶和用戶所屬的組的所有權(quán)限的總和。如果用戶對(duì)文件具有“讀取”權(quán)限，該用戶所屬的組又對(duì)該文件具有“寫(xiě)入”的權(quán)限，那么該用戶就對(duì)該文件同時(shí)具有“讀取”和“寫(xiě)入”的權(quán)限，舉例如下：

假設(shè)情況如下所示：有一個(gè)文件叫FILE。USER1用戶屬于GROUP1組

2)文件權(quán)限高于文件夾權(quán)限

意思就是說(shuō)NTFS文件權(quán)限對(duì)于NTFS文件夾權(quán)限具有優(yōu)先權(quán)，假設(shè)用戶能夠訪問(wèn)一個(gè)文件，那么即使該文件位于用戶不具有訪問(wèn)權(quán)限的文件夾中，也可以進(jìn)行訪問(wèn)（前提是該文件沒(méi)有繼承它所屬的文件夾的權(quán)限）。

舉例說(shuō)明如下：假設(shè)用戶對(duì)文件夾FOLDER沒(méi)有訪問(wèn)權(quán)限，但是該文件夾下的文件FILE.TXT沒(méi)有繼承FOLDER的權(quán)限，也就是說(shuō)用戶對(duì)FILE.TXT文件是有權(quán)限訪問(wèn)的，只不過(guò)無(wú)法用資源管理器之類(lèi)的東西來(lái)打開(kāi)FOLDER文件夾，無(wú)法看到文件FILE而已（因?yàn)閷?duì)FOLDER沒(méi)有訪問(wèn)權(quán)限），但是可以通過(guò)輸入它的完整的路徑來(lái)訪問(wèn)該文件。比如可以用 c:folderfile.txt來(lái)訪問(wèn)FILE文件（假設(shè)在C盤(pán)）。

3)拒絕高于其他權(quán)限

拒絕權(quán)限可以覆蓋所有其他的權(quán)限。甚至作為一個(gè)組的成員有權(quán)訪問(wèn)文件夾或文件，但是該組被拒絕訪問(wèn)，那么該用戶本來(lái)具有的所有權(quán)限都會(huì)被鎖定而導(dǎo)致無(wú)法訪問(wèn)該文件夾或文件。也就是說(shuō)上面第一點(diǎn)的權(quán)限累積原則將失效。舉例說(shuō)明如下：

假設(shè)情況如下：有一個(gè)文件叫FILE。USER1用戶屬于GROUP1組

有一個(gè)文件叫FILE。

USER1用戶屬于GROUP1組，同時(shí)也屬于GROUP2組，二、NTFS 權(quán)限繼承

1．在同一NTFS分區(qū)間復(fù)制或移動(dòng)

2．在不同NTFS分區(qū)間復(fù)制或移動(dòng)

3．從NTFS分區(qū)復(fù)制或移動(dòng)到FAT格式分區(qū)

三、創(chuàng)建配額

可以創(chuàng)建兩種方式的配額：

普通配額：普通配額只是應(yīng)用到某個(gè)卷或文件夾，并限制整個(gè)文件夾樹(shù)（此文件夾本身和它的所有子文件夾）所使用的磁盤(pán)空間；比如可以使用普通配額來(lái)限制用戶在某個(gè)文件夾中存儲(chǔ)的數(shù)據(jù)大小；

自動(dòng)配額：自動(dòng)配額允許用戶為某個(gè)卷或文件夾指派一個(gè)配額模板，F(xiàn)SRM將基于此配額模板自動(dòng)為現(xiàn)有子文件夾或任何將來(lái)創(chuàng)建的新子文件夾生成普通配額，但是FSRM并不會(huì)針對(duì)此文件夾本身創(chuàng)建普通配額。自動(dòng)配額通常使用在以下場(chǎng)景：用戶數(shù)據(jù)分別按子目錄存放在一個(gè)公用的文件夾中，那么可以針對(duì)公用文件夾啟用自動(dòng)配額。

第五章 網(wǎng)絡(luò)通信安全

一、在網(wǎng)絡(luò)技術(shù)中，端口（Port）大致有兩種意思：一是物理意義上的端口，比如，ADSL Modem、集線器、交換機(jī)、路由器用于連接其他網(wǎng)絡(luò)設(shè)備的接口，如RJ-45端口、SC端口等等。二是邏輯意義上的端口，一般是指TCP/IP協(xié)議中的端口，端口號(hào)的范圍從0到65535，比如用于瀏覽網(wǎng)頁(yè)服務(wù)的80端口，用于FTP服務(wù)的21端口等等

二、端口分類(lèi)

1.按端口號(hào)分布劃分

（1）知名端口（Well-Known Ports）

知名端口即眾所周知的端口號(hào)，范圍從0到1023，這些端口號(hào)一般固定分配給一些服務(wù)。比如21端口分配給FTP服務(wù)，25端口分配給SMTP（簡(jiǎn)單郵件傳輸協(xié)議）服務(wù)，80端口分配給HTTP服務(wù)，135端口分配給RPC（遠(yuǎn)程過(guò)程調(diào)用）服務(wù)等等。

（2）動(dòng)態(tài)端口（Dynamic Ports）

動(dòng)態(tài)端口的范圍從1024到65535，這些端口號(hào)一般不固定分配給某個(gè)服務(wù)，也就是說(shuō)許多服務(wù)都可以使用這些端口。只要運(yùn)行的程序向系統(tǒng)提出訪問(wèn)網(wǎng)絡(luò)的申請(qǐng)，那么系統(tǒng)就可以從這些端口號(hào)中分配一個(gè)供該程序使用。比如1024端口就是分配給第一個(gè)向系統(tǒng)發(fā)出申請(qǐng)的程序。在關(guān)閉程序進(jìn)程后，就會(huì)釋放所占用的端口號(hào)。

2.按協(xié)議類(lèi)型劃分

按協(xié)議類(lèi)型劃分，可以分為T(mén)CP、UDP、IP和ICMP（Internet控制消息協(xié)議）等端口。下面主要介紹TCP和UDP端口：

（1）TCP端口

TCP端口，即傳輸控制協(xié)議端口，需要在客戶端和服務(wù)器之間建立連接，這樣可以提供可靠的數(shù)據(jù)傳輸。常見(jiàn)的包括FTP服務(wù)的21端口，Telnet服務(wù)的23端口，SMTP服務(wù)的25端口，以及HTTP服務(wù)的80端口等等。

（2）UDP端口

UDP端口，即用戶數(shù)據(jù)包協(xié)議端口，無(wú)需在客戶端和服務(wù)器之間建立連接，安全性得不到保障。常見(jiàn)的有DNS服務(wù)的53端口，SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議）服務(wù)的161端口，QQ使用的8000和4000端口等等。

第六章 應(yīng)用程序和服務(wù)安全

一、IIS 6.0版本支持以下6種身份驗(yàn)證方法，使用這些方法可以確認(rèn)任何請(qǐng)求訪問(wèn)網(wǎng)站的用

戶的身份，以及授予訪問(wèn)站點(diǎn)公共區(qū)域的權(quán)限，同時(shí)又可防止未經(jīng)授權(quán)的用戶訪問(wèn)專用文件和目錄。

匿名身份驗(yàn)證。允許網(wǎng)絡(luò)中的任意用戶進(jìn)行訪問(wèn)，不需要使用用戶名和密碼登錄。

基本身份驗(yàn)證。需要用戶鍵入用戶名和密碼，然后通過(guò)網(wǎng)絡(luò)“非加密”將這些信息傳送到服務(wù)器，經(jīng)過(guò)驗(yàn)證后方可允許用戶訪問(wèn)。

摘要式身份驗(yàn)證。與“基本身份驗(yàn)證”非常類(lèi)似，所不同的是將密碼作為“哈?！敝蛋l(fā)送。摘要式身份驗(yàn)證僅用于Windows域控制器的域。

高級(jí)摘要式身份驗(yàn)證。與“摘要式身份驗(yàn)證”基本相同，所不同的是，“高級(jí)摘要式身份驗(yàn)證”將客戶端憑據(jù)作為MD5哈希存儲(chǔ)在Windows Server 2003域控制器的Active Directory（活動(dòng)目錄）服務(wù)中，從而提高了安全性。

集成Windows身份驗(yàn)證。使用哈希技術(shù)來(lái)標(biāo)識(shí)用戶，而不通過(guò)網(wǎng)絡(luò)實(shí)際發(fā)送密碼。證書(shū)?？梢杂脕?lái)建立安全套接字層（SSL）連接的數(shù)字憑據(jù)，也可以用于驗(yàn)證。

當(dāng)不允許用戶匿名訪問(wèn)時(shí)，就應(yīng)當(dāng)為IIS用戶賬戶設(shè)置強(qiáng)密碼以實(shí)現(xiàn)IIS的訪問(wèn)安全。