会员登录 注册新帐号电脑店行业门户 | U盘启动工具

首页

服务器账户的安全配置

发布时间:2013-01-15 09:22     点击:    关注官方微博:

由于其固有的权限和权利,windows xp操作系统中的管理员账户是计算机中最有用、同时可能是最危险的账户。任何被授予管理员特权同等权限的其他账户将面临同样高的风险。因此,本节介绍账户的安全配置主要从管理员级别谈起。

  (1)账户的安全操作准则—般来说,要保证Windows系统中的账户具有最好的安全性,用户应该遵循如下的操作准则:

  •只在管理计算机的时候,才以Administrators账户组成员的身份登录。一般的应用操作,最好不要以Administrators组的成员身份登录。

  •在以Administrators账户组成员身份管理计算机的时候,不要进行一些比较危险的操作,替如不要连接Internet和访问Web站点,也不要执行来历不明的应用程序,以免被特洛伊木马或病毒感染,导致系统损坏。

  •除管理之外的其他时候,以Users组成员的身份访问Internet将会是比较安全的,这时候即便存在木马或病毒等不可预知的问题,系统也通常不会被感染,因为当前的用户身份没有感染系统的权利。

  •在计算机上只安装经过WindowsXP认证过的应用程序,这样可以确保Users组成员身份也可以正确运行它们。

  •任何权限的账户的密码都最好定期进行更换,且不要在系统中以txt等文件保存任何的密码。

  •尽量使用Administrators组成员的身份

  安装应用程序,然后使用Users组成员的身份下运行安装的应用程序。

  (2)账户密码的管理

  密码设置的强度直接影响到账户的安全性,在Windows中,密码被分为弱密码和强密码两种。弱密码通常具有如下特征:

  •根本不能算是密码,如空密码。

  •包含用户名、真实姓名或公司名称。

  •包含完整的字典中的词汇。例如,Password就属于弱密码。

  强密码通常具有如下特征:

  •长度至少为七个字符。

  •不包含用户名、真实姓名或公司名称。

  •不是完整的字典中的词汇。

  •多个密码之间没有明显的相同,如递增密码(Password1、Password2、Password3……)就不能算作强密码。

  —个典型的强密码可以是“J*p2le〇4>F”或“sHz@*(tt&”。有的密码虽然具备一个强密码应具备的绝大多数条件,但仍然较弱。例如,Hello2U!就是一个相对较弱的密码,即使它能够满足成为强密码的多数条件,也能够满足密码策略的复杂性要求。

  要改进密码的安全性,密码应当包含大写字母、小写字母和数字这些元素中的至少两个。字符序列的随机性越大,其安全性就越高。

  在Windows中,可以在“组策略”中对账户的密码规则进行设置。其中,常用的几个安全策略有:

  一是设置密码的最小长度。如果将密码的位数保持在6位以上,就会大大增强账户及系统的整体安全性。默认状态下,WindowsXP中允许设置密码为空或在256个字符长度之间进行选择。

  如果希望xp中任何账户的密码都不能小于指定的位数(如6位),可以在“组策略”中进行相关设置。具体方法是:

  步骤1:在“运行”栏中使用命令“Gpedit.msc”打开“组策略”编辑器窗口。

  步骤2:依次展开到“计算机配置”一“Windows设置”一“安全设置”—“账户策略”一“密码策略”节点。

  步骤3:双击右侧窗格中的“密码长度最小值”项,打开此项的属性窗口,如图所示。

服务器账户的安全配置

  步骤4:在密码长度框中可以输入长度从1到14个字符的值(如数字“6”),默认值为数字0,这表示可以设置不需要密码。

  步骤5:输入完毕后,单击“确定”按钮应用密码长度的设置。

  在应用了此项设置后,当在系统中进行账户的创建时,就不能将密码设置为空密码或是少于6位的密码了。否则,会出现如图所示的错误。

  服务器账户的安全配置

  二是设置密码的复杂性要求。前面已经说过密码具有弱密码和强密码之分,默认状态下,WindowsXP中可以使用空口令这类典型的弱密码。如果希望在WindowsXP中强制账户使用的密码使用强密码,可以在组策略中进行如下设置。

  步骤1:在“运行”栏中使用命令“Gpedit.msc”打开“组策略”编辑器窗口。

  步骤2:依次展开到“计算机配置”一“Windows设置”一“安全设置”一“账户策略”一“密码策略”。

  步骤3:双击右侧窗格中的“密码必须符合复杂性要求”项,在弹出的如图所示的属性窗口中,选中“已启用”项并单击“确定”按钮应用此密码设置。

服务器账户的安全配置  

  在单击提示框中的“安全设置描述”项后,在弹出的帮助文件窗口中打开“密码必须符合复杂性要求”项的帮助内容页面(可以在“运行”栏中直接输入此页面的网址“ms-its:D:\WINDOWS\Help\spolsconcepts.chm::/504.htm”,使用旧浏览器浏览相应的帮助信息。),可以看到如下内容:

  启用“密码必须符合复杂性要求”策略后,密码必须满足以下最低要求:

  •不包含全部或部分的用户账户名。

  •长度至少为六个字符。

  •包含来自以下四个类别中的三个的字符,即:英文大写字母(从A到Z)、英文小写字母(从a到z)、10个基本数字(从0到9)、非字母字符(例如,!、$、#、%)。

  此安全策略只有在更改或创建账户的密码时,才会生效并会强制执行复杂需求。

  三是设置密码最短存留期。假设,管理员为新创建的账户设置了一个复杂的密码。但是,使用这个账户的用户却不愿意使用这个复杂的密码,而希望使用一个简单的密码。基于安全因素考虑,这个要求将会被拒绝。为了强化这个安全管理,可以设置复杂的密码最低使用期限(如60天),在这个指定的期限日期内,用户将不能擅自更改管理员创建的密码。在组策略窗口中,进行此项设置的方法是:

  步骤1:在“运行”栏中使用命令“Gpedit.msc”打开“组策略”编辑器窗口。

  步骤2:依次展开到“计算机配置”一“Windows设置”一“安全设置”一“账户策略”一“密码策略”。

  步骤3:双击右侧窗格中的“密码最短存留期”项,打开此项的属性窗口,如图所示。

  服务器账户的安全配置

 

  步骤4:在“在以下天数后可以更改密码”项下方的文本框中输入数字1~999天之间的任一个数字(如60>。如果将密码更改为数字0的话,则允许账户立即可以更改密码。

  步骤5:在单击“确定”按钮应用此密码设置后,只有当账户新建密码后,在更改密码时此设置才会生效。比方说,账户111在创建一个密码后,使用“用户账户”工具修改密码时就会弹出如图所示的错误提示信息。

  服务器账户的安全配置

 

  如果在“本地用户和组”窗口中进行111账户的密码修改,则会弹出“拒绝访问”的提示框。

  四是强制不能再使用曾用过的密码。如果不希望账户在修改密码时,使用以前曾使用过的密码,需要在“组策略”编辑器中进行如下操作:

  步骤1:在“运行”栏中使用命令“Gpedit.msc”打开“组策略”编辑器窗口。

  步骤2:依次展开到“计算机配置”一“Windows设置”一“安全设置”一“账户策略”一“密码策略”节点。

  步骤3:双击右侧窗格中的“强制密码历史”项,打开此项的属性窗口,如图所示。

  服务器账户的安全配置

  步骤4:此策略可以通过确保旧密码不能继续使用,从而使管理员能够增强安全性。在“保留密码历史”框中,可以输入数字0~24之间的任意值,这个值是指系统中能记住曾使用过的密码的个数,如输入数字2,就意味可以记住第一次和第二次设置的密码。此后的密码修改中,将不能再使用这两次使用过的密码。

★★★ 电脑店行业门户(www.diannaodian.com)独家文章,欢迎大家转载 ★★★