全面降低windows系统的安全隐患 (四)

全面降低windows系统的安全隐患 (四)<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

之帐号安全

作者:许本新

另外系列文章连接

之五 [url]http://windows.blog.51cto.com/92193/52266[/url]

之三 [url]http://windows.blog.51cto.com/92193/51501[/url]
之二 [url]http://windows.blog.51cto.com/92193/51228[/url]
之一 [url]http://windows.blog.51cto.com/92193/51214[/url]

目前的windows server 2003或者是windows xp等操作系统都是严格的多用户多进程系统，但是当计算机的用户个数多了却会带来另外一个方面的苦恼，那就是计算机的安全也会随着减低。所以今天我借此机会给大家说说用户帐号的安全防护问题。

l 默认帐号带来的不安全的应对方法

1、问题所在

当windows server 2003或其它高版本的操作安装好后，计算机都会自动的给自己创建相应的默认识帐号：administrator和guest等。这些默认帐号往往会给计算机带来很大的安全隐患，因为网络***在想法进入你的计算机的话，那他肯定要获取你的帐号，而大家都知道OS中有这么一些默认帐号所以就给***猜测帐号提供了很大的方便。

2、解决方案

其实要想解决默认帐号给计算机系统带来的不安全，很简单。

Ø 删除没有必要的其它帐号(包括guest)

删除guest帐号的方法：

打开注册表，找到HKEY_LOCAL_MACHINE\SAM\SAM,单击鼠标右键,在弹出的子菜单中选择权限 ,然后把你现在所使用的用户添加进入,并选择完全控制,再刷新一下就可以看到SAM下面的项了再找到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

Names就是你系统内的所有用户,Users是相对应的值

Guest相对应的项一般000001F5

Administrator相对应的项一般000001F4

把Names和Users相对应的值都删掉就可以了

万事之后,记得把用户操作SAM的权限删掉

win 2000 只能在regedt32里改权限. regedit没那功能

Ø 重命名administrator帐号

创建注意事项：重命名administrator帐号，最好使用英文字母（不区分大小写）+数字+符号的方法来重命名。

Ø 创建陷阱帐号

创建方法：新建一个帐号把他加入到guests组中去，然后把这个帐号重命名为administrator(前提是内置的administrator帐号已经重命名了),然后把该帐号禁用掉。

Ø netbios名的不安全

为了防止别人利用netbios来访问你的计算机，我们可以把netbios给禁用掉（有关TCP/IP安全后面会相继推出）。

禁用方法：网上邻居\本地连接\TCP/IP协议(双击)\高级\wins\选择“禁用TCP/IP上的netbios”

l 密码的不安全的应对方法

很多朋友在给用户帐号设置口令的时候都习惯用姓名或用重要的人的生日来做口令其实这是非常危险的，我们在给用户帐号设置口令的时候要使用强密码（英文大写+小写+数字+符号或至少使用三种不同的字符方式来命名）。

l 利用组策略来实现帐号的更安全

1、禁止枚举账号

我们知道，某些具有***行为的蠕虫病毒，可以通过扫描Windows 2000/XP系统的指定端口，然后通过共享会话猜测管理员系统口令。因此，我们需要通过在“本地安全策略”中设置禁止枚举账号，从而抵御此类***行为，操作步骤如下：在“本地安全策略”左侧列表的“安全设置”目录树中，逐层展开“本地策略→安全选项”。查看右侧的相关策略列表，在此找到“网络访问：不允许SAM账户和共享的匿名枚举”，用鼠标右键单击，在弹出菜单中选择“属性”，而后会弹出一个对话框，在此激活“已启用”选项，最后点击“应用”按钮使设置生效

2、启用帐户的锁定策略

防止***采用枚举法来破获帐号的密码，建议锁定阈值可以设置为三，也就是所如果有人三次输入错误密码则会自动锁定帐号。

3、安排好密码策略

密码策略作用于域帐户或本地帐户，其中就包含以下几个方面：

强制密码历史

密码最长使用期限

密码最短使用期限

密码长度最小值

密码必须符合复杂性要求

用可还原的加密来存储密码

以上各项的配置方法均需根据当前用户帐户类型来选择大家可以根据你当前的实际情况来合理安排。默认情况下，成员计算机的配置与其域控制器的配置相同。

4、不显示用户的上次登录名

在组策略的本地策略中的安全选项下启用“不显示上次的用户名”，以免别人知道你上次登录计算机所使用的用户帐号。

为了实现系统的安全当然还有很多其它要注意的地方，我在此也没有办法给大家一一列举，希望大家以此为契机，重视起我们身边的计算机系统，保护好计算机中的资源。

转载于:https://blog.51cto.com/windows/51981

全面降低windows系统的安全隐患 (四)相关推荐

全面降低windows系统的安全隐患 (五)
全面降低windows系统的安全隐患 (五) 之共享安全作者:许本新另外系列文章连接之四 [url]http://windows.blog.51cto.com/92193/51981[/url] ...
C# 获取Windows系统ICON图标的四种方式-可提取各种文件夹、文件等等图标
本文介绍的是提取Windows系统内部Icon图标的方法,就是系统资源管理器里面显示的图标,包括文件夹.文件,如:常规文件夹的图标.特定文件夹图标(磁盘根目录.收藏夹.网络共享目录等).各文件类型图标 ...
[网络安全自学篇] 三十四.Windows系统安全缺陷之5次Shift漏洞启动计算机机理分析
这是作者的系列网络安全自学教程,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文详细讲解了绕狗一句话原理.绕过安全狗的常用方法和过狗菜刀,并实践安装安全狗进 ...
Windows系统的四个常见后门
后门是攻击者出入系统的通道,惟其如此它隐蔽而危险.攻击者利用后门技术如入无人之境,这是用户的耻辱.针对Windows系统的后门是比较多的,对于一般的后门也为大家所熟知.下面笔者揭秘四个可能不为大家所了 ...
在 Windows 系统上降低 UAC 权限运行程序（从管理员权限降权到普通用户权限）
在 Windows 系统中,管理员权限和非管理员权限运行的程序之间不能使用 Windows 提供的通信机制进行通信.对于部分文件夹(ProgramData),管理员权限创建的文件是不能以非管理员权限修 ...
测试windows到linux的端口,linux系统/Windows系统——测试端口通不通(四种方法）
针对Linux系统:有1.2.3.4四种方法针对Windows系统:有1.5两种通用方法目录针对Linux系统:有1.2.3.4四种方法针对Windows系统:有1.5两种通用方法 1.使用te ...
无形的栅栏完全解析Windows系统权限（转）
无形的栅栏完全解析Windows系统权限(1) 一. 权限的由来远方的某个山脚下,有一片被森林包围的草原,草原边上居住着一群以牧羊为生的牧民.草原边缘的森林里,生存着各种动物,包括野狼. 由于羊群 ...
Windows系统权限
无形的栅栏完全解析Windows系统权限(1) 一. 权限的由来远方的某个山脚下,有一片被森林包围的草原,草原边上居住着一群以牧羊为生的牧民.草原边缘的森林里,生存着各种动物,包括野狼. 由于羊群 ...
Windows系统漏洞学习总结
Windows系统常见漏洞分析由于windows NT/2000操作系统的普及率和市场占有率比较高,所以很容易使它成为很多黑客攻击的目标.目前,Windows NT/2000最主要的漏洞有Unico ...

全面降低windows系统的安全隐患 (四)

全面降低windows系统的安全隐患 (四)相关推荐

最新文章

热门文章