【正文】 碼策略，用強(qiáng)密碼保護(hù)所有用戶賬戶 ?定義 “ 強(qiáng)制密碼歷史 ” 策略設(shè)置，可以使系統(tǒng)記憶幾個(gè)以前用過的密碼。 ?永遠(yuǎn)不要與任何人共享密碼。 有的密碼雖然可以滿足大多數(shù)強(qiáng)密碼的條件，但仍然較弱。 ?不包含完整的字典詞匯。例如， Password就屬于弱密碼。因?yàn)榘踩挠?jì)算機(jī)需要對(duì)所有用戶賬戶都使用強(qiáng)密碼。密碼破解工具正在不斷進(jìn)步，而用于破解密碼的計(jì)算機(jī)也比以往更為強(qiáng)大。Windows Server 2022家族擁有一項(xiàng)新增功能，可以在操作系統(tǒng)啟動(dòng)時(shí)檢查 Administrator賬戶密碼的復(fù)雜程度。 圖 61 默認(rèn)域安全策略 在 Windows Server 2022系統(tǒng)中賬戶策略包含密碼策略、賬戶鎖定策略和 Kerberos策略三個(gè)子集。這一管理工具界面打開的方法是執(zhí)行 〖 開始 〗→ 〖 管理工具 〗 → 〖 域安全策略 〗 操作（注意不要選擇了“ 域控制器安全策略 ” 選項(xiàng)，因?yàn)槟侵皇轻槍?duì)域控制器本身，而不是針對(duì)整個(gè)域網(wǎng)絡(luò)）。 1. 自 Windows NT ? 加密文件系統(tǒng) ? Inter協(xié)議安全性 2. 自 Windows 2022系統(tǒng)以后的新增和更新功能 ?TCP/UDP端口所有權(quán) ?加密文件系統(tǒng)改進(jìn)功能 ?軟件限制策略 ?Inter協(xié)議安全性監(jiān)視改進(jìn)功能 本節(jié)詳細(xì)內(nèi)容參見書本的 P188頁。這些安全因素配置不當(dāng)都有可能給整個(gè)企業(yè)網(wǎng)絡(luò)帶來安全威脅，特別是用戶賬戶密碼策略、文件夾共享和文件訪問權(quán)限這幾個(gè)方面。 本章重點(diǎn)如下： ?Windows Server 2022系統(tǒng)的主要安全功能 ?Windows Server 2022系統(tǒng) 用戶密碼、賬戶鎖定和 Kerberos策略 ?Windows Server 2022系統(tǒng)用戶權(quán)限的配置 ?默認(rèn)共享的取消和文件夾共享權(quán)限的配置 ?NTFS文件訪問權(quán)限配置 ?Windows XP系統(tǒng)私人文件夾的創(chuàng)建 Server 2022系統(tǒng)安全概述 Windows Server 2022家族安全模型的主要功能是用戶身份驗(yàn)證和訪問控制。 域賬戶策略設(shè)置 本節(jié)要向大家介紹的就是這個(gè)域安全策略設(shè)置，不過它的基本設(shè)置方法基本上都適用于單機(jī)的本地安全設(shè)置。 域控制器始終從 “ 默認(rèn)域策略設(shè)置 ” 中獲得賬戶策略，即使已經(jīng)存在了一個(gè)應(yīng)用到包括該域控制器在內(nèi)的組織單位的不同賬戶策略。而在 Windows Server 2022系統(tǒng)中的本地策略中包含審核策略、用戶權(quán)限分配和安全選項(xiàng)三個(gè)子集。如果密碼為空或者不滿足復(fù)雜性要求，將顯示 Windows Installer對(duì)話框，警告您 Administrator賬戶不使用強(qiáng)密碼可能存在危險(xiǎn)。密碼破解軟件使用下面三種方法之一：巧妙猜測(cè)、詞典攻擊和自動(dòng)嘗試字符的各種可能的組合。 通常所說的弱密碼主要體現(xiàn)在以下幾個(gè)方面： ?根本沒有密碼，就是不設(shè)密碼，這是許多初級(jí)網(wǎng)絡(luò)管理員最經(jīng)常使用的。這很容易受到字典類的網(wǎng)絡(luò)攻擊。 ?與先前使用過的密碼大不相同。例如， Hello2U! 就是一個(gè)相對(duì)而言的弱密碼，因?yàn)榘ㄒ粋€(gè)完整、且順序一致的單詞。 ?對(duì)所有用戶賬戶都分別使用不同的密碼。 ?定義 “ 密碼最長期限 ” 策略設(shè)置，可以使密碼的到期時(shí)間盡可能短，通常的間隔是 30至 90天。 3. 謹(jǐn)慎定義賬戶鎖定策略 ?不要隨意使用賬戶鎖定策略 ?如果決定采用賬戶鎖定策略，應(yīng)設(shè)置足夠高的 “ 賬戶鎖定閾值 ” 策略設(shè)置，使合法用戶不至于僅因敲錯(cuò)了密碼而被鎖定。這部分設(shè)置項(xiàng)目包括： ?強(qiáng)制密碼歷史 ?密碼最長使用期限 ?密碼最短使用期限 ?密碼長度最小值 ?密碼必須符合復(fù)雜性要求 ?用可還原的加密來存儲(chǔ)密碼 本節(jié)詳細(xì)內(nèi)容參見書本的 P192~P194頁。系統(tǒng)密鑰實(shí)用程序（ Syskey）為對(duì)抗密碼破解軟件建立了另一道防線。但執(zhí)行該過程時(shí)需要視環(huán)境的不同而使用不同的管理憑據(jù)： ?如果創(chuàng)建或更新系統(tǒng)密鑰用于本地計(jì)算機(jī)：要執(zhí)行該過程，您必須是本地計(jì)算機(jī) Administrators組的成員，或者您必須被委派適當(dāng)?shù)臋?quán)限。作為安全性的最佳操作，可以考慮使用運(yùn)行方式來執(zhí)行這個(gè)過程。而為了欺騙那些非法用戶，通常把一個(gè)具有較低權(quán)限的用戶名改為 administrator。 賬戶鎖定策略用于域賬戶或本地用戶賬戶。 Inter協(xié)議安全性（ IPSec）可以使用 Kerberos協(xié)議進(jìn)行身份驗(yàn)證。例如，可設(shè)置用戶的 Kerberos 5票證生存周期。 NTLM身份驗(yàn)證協(xié)議 是用來處理兩臺(tái)計(jì)算機(jī)（其中至少有一臺(tái)計(jì)算機(jī)運(yùn)行 Windows NT ）之間事務(wù)的協(xié)議。 Kerberos策略選項(xiàng)包括：強(qiáng)制用戶登錄限制、服務(wù)票證最長壽命、用戶票證最長壽命、用戶票證續(xù)訂最長壽命、計(jì)算機(jī)時(shí)鐘同步的最大容差。 Guest賬戶和更改管理員賬戶名 有很多入侵都是通過 Guest（來賓）賬戶進(jìn)一步獲得管理員密碼或者權(quán)限，進(jìn)而實(shí)現(xiàn)他們攻擊的目的。 從用戶列表中刪除這個(gè)賬戶即可，或者把 Guest賬戶訪問此文件夾的權(quán)限僅設(shè)置為 “ 列出文件夾目錄 ” 或 “ 讀取 ”之類較低的權(quán)限，這樣就安全多了。這樣一來，入侵者就很難搞清哪個(gè)賬戶真正擁有管理員權(quán)限，也就在一定程度上減少了危險(xiǎn)性。 刪掉不必要的協(xié)議 對(duì)于服務(wù)器和主機(jī)來說，一般只安裝 TCP/IP協(xié)議就夠了，因?yàn)楝F(xiàn)在主流的操作系統(tǒng)都是采用TCP/IP協(xié)議進(jìn)行網(wǎng)絡(luò)通信的。所以，我們?cè)跒橛梅峙錂?quán)限時(shí)先要清楚系統(tǒng)默認(rèn)的用戶和組賬戶，以及它們各自的權(quán)限。 Administrator賬戶具有最廣泛的權(quán)利和權(quán)限，而 Guest賬戶的權(quán)利和權(quán)限則有限。當(dāng)您將用戶添加到組中時(shí)，用戶將接受