4.4 Windows 2k帐号安全
来源:互联网 发布:js 创建数组并赋值 编辑:程序博客网 时间:2024/05/12 21:51
Windows 2k帐号安全
首先,也是最困难的工作就是确保只有必须的帐号被使用,而且每个帐号仅有能满足他们工作的最小权限。
通常使用域来集中管理帐号,域是一个中央集权的帐号数据库。
解决帐号的安全问题,需要确保不再有新的帐号建立或已存在的帐号权限不作改动。可以使用net user或net group命令,把显示的结果同帐号列表进行比较。也可以使用第三方工具,如Peri和diff。
帐号重命名
另一个可靠的(解决帐号安全问题)的方法,就是对帐号重命名。(Administrator, Guest……)
简单的重命名并不能很好地保护这些帐号,因为Windows 2k知道哪些是管理员,管理员帐号的当前名字被保存在注册表中。
帐号策略
使用帐号策略,有效地防止黑客使用暴力破解的方法来攻击。可以选择密码时效、密码长度和帐号锁定机制等。
实现强壮的密码
多数时候需要使用强壮的密码来阻止类似于字典攻击的暴力破解。强壮的密码需要至少6个字符,不能包括用户名的任意一部分,并且要有大小写字母、数字和符号。
禁止枚举帐号
Windows 2K默认允许所有用户通过建立空连接得到系统所有帐号和共享列表,这本来是为了方便用户共享资源,但是所有人在得到帐号列表后,都可以使用暴力方法破解帐号,对主机进行攻击。
修改注册表,禁止空连接(空用户连接)。HKLM/SYSTEM/CurrentControlSet/Control/LSA的RestrictAnonymous,设置为1。
另外,在Windows 2k的本地安全策-》安全选项中,也可以对本地策略进行设置。
“无,依赖于默认许可权限”:这是系统默认值,没有任何限制,远程用户可以知道主机上所有的帐号、组信息、共享目录、网络传输列表等。
“不允许枚举SAM帐号和共享”:这个值是只允许非NULL用户存取SAM帐号信息和共享信息。
“没有显示匿名权限就无法访问”:这个值是最安全的一个,但是如果使用了这个值,就不能再共享资源。
Administrator帐号更名
Windows 2k的administrator帐号是不能被停用的,也不能设置安全策略,但这样黑客可以一遍又一遍地尝试这个帐号的密码。所以,在“计算机管理”中把Administrator重命名来防止这一点。
黑客还可以通过终端服务的登录界面看到用户名,所以禁止显示登录的用户名。
本地安全策略-》本地策略-》安全选项,“登录屏幕不要显示上次登录的用户名”,启用。
另外,可以通过修改注册表实现。HKLM/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon,中的Don't Display Last User Name串,修改为1。
禁用Guest帐号
Guest帐号是一个非常危险的漏洞,因为黑客可以使用这个帐号登录机器。在计算机管理中,禁用GUEST帐号。
如果还需要提供共享打印等服务,则在本地安全策略-》用户权利指派-》在本地登录中,设置禁止Guest在本地登录。
经常检查无用用户和组,删除无用的帐号,不给黑客可乘之机。
- 4.4 Windows 2k帐号安全
- 4.2 Windows 2k安全结构
- 4.3 Windows 2k文件系统安全
- 【原创-节译】windows系统中本地administrator帐号的安全
- Linux帐号安全
- [转]确保Tomcat在Windows NT/2K/XP上安全的关键步骤
- Linux用户帐号安全优化
- 网络帐号安全简单解决办法
- ASP在SQL Server 2k中新建帐号和权限
- Windows 帐号管理相关操作
- windows 禁用/开启系统管理员 帐号
- .NET获取windows域帐号
- 解剖安全帐号管理器(SAM)结构
- 解剖安全帐号管理器(SAM)结构
- 解剖安全帐号管理器(SAM)结构
- QQ用户的帐号和密码安全
- 从12306帐号泄漏谈用户密码安全
- windows 安全
- CSDN的第一天
- 第一篇文章,测试一下Firefox能不能正常发贴
- 有时间看看
- [转]VCL窗口函数注册机制研究手记,兼与MFC比较
- Java6 十大新特性
- 4.4 Windows 2k帐号安全
- Thinstall.VS v3.049
- 《设计模式解析》摘录(2)
- 《设计模式解析》摘录(3)
- FreeBSD ADSL 安装 Howto
- 《设计模式解析》摘录(4)
- New Blog!
- 丢失的违例(小心你的finally)
- 双核处理器不人所知的5个方面