4.4 Windows 2k帐号安全

Windows 2k帐号安全

首先，也是最困难的工作就是确保只有必须的帐号被使用，而且每个帐号仅有能满足他们工作的最小权限。
通常使用域来集中管理帐号，域是一个中央集权的帐号数据库。

解决帐号的安全问题，需要确保不再有新的帐号建立或已存在的帐号权限不作改动。可以使用net user或net group命令，把显示的结果同帐号列表进行比较。也可以使用第三方工具，如Peri和diff。

帐号重命名

另一个可靠的（解决帐号安全问题）的方法，就是对帐号重命名。（Administrator, Guest……）
简单的重命名并不能很好地保护这些帐号，因为Windows 2k知道哪些是管理员，管理员帐号的当前名字被保存在注册表中。

帐号策略

使用帐号策略，有效地防止黑客使用暴力破解的方法来攻击。可以选择密码时效、密码长度和帐号锁定机制等。

实现强壮的密码

多数时候需要使用强壮的密码来阻止类似于字典攻击的暴力破解。强壮的密码需要至少6个字符，不能包括用户名的任意一部分，并且要有大小写字母、数字和符号。

禁止枚举帐号

Windows 2K默认允许所有用户通过建立空连接得到系统所有帐号和共享列表，这本来是为了方便用户共享资源，但是所有人在得到帐号列表后，都可以使用暴力方法破解帐号，对主机进行攻击。
修改注册表，禁止空连接（空用户连接）。HKLM/SYSTEM/CurrentControlSet/Control/LSA的RestrictAnonymous，设置为1。
另外，在Windows 2k的本地安全策－》安全选项中，也可以对本地策略进行设置。

“无，依赖于默认许可权限”：这是系统默认值，没有任何限制，远程用户可以知道主机上所有的帐号、组信息、共享目录、网络传输列表等。
“不允许枚举SAM帐号和共享”：这个值是只允许非NULL用户存取SAM帐号信息和共享信息。
“没有显示匿名权限就无法访问”：这个值是最安全的一个，但是如果使用了这个值，就不能再共享资源。

Administrator帐号更名

Windows 2k的administrator帐号是不能被停用的，也不能设置安全策略，但这样黑客可以一遍又一遍地尝试这个帐号的密码。所以，在“计算机管理”中把Administrator重命名来防止这一点。

黑客还可以通过终端服务的登录界面看到用户名，所以禁止显示登录的用户名。
本地安全策略－》本地策略－》安全选项，“登录屏幕不要显示上次登录的用户名”，启用。

另外，可以通过修改注册表实现。HKLM/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon，中的Don't Display Last User Name串，修改为1。

禁用Guest帐号

Guest帐号是一个非常危险的漏洞，因为黑客可以使用这个帐号登录机器。在计算机管理中，禁用GUEST帐号。
如果还需要提供共享打印等服务，则在本地安全策略－》用户权利指派－》在本地登录中，设置禁止Guest在本地登录。

经常检查无用用户和组，删除无用的帐号，不给黑客可乘之机。