【正文】 碼策略，用強(qiáng)密碼保護(hù)所有用戶(hù)賬戶(hù) ?定義 “ 強(qiáng)制密碼歷史 ” 策略設(shè)置，可以使系統(tǒng)記憶幾個(gè)以前用過(guò)的密碼。 ?永遠(yuǎn)不要與任何人共享密碼。 有的密碼雖然可以滿足大多數(shù)強(qiáng)密碼的條件，但仍然較弱。 ?不包含完整的字典詞匯。例如， Password就屬于弱密碼。因?yàn)榘踩挠?jì)算機(jī)需要對(duì)所有用戶(hù)賬戶(hù)都使用強(qiáng)密碼。密碼破解工具正在不斷進(jìn)步，而用于破解密碼的計(jì)算機(jī)也比以往更為強(qiáng)大。Windows Server 2022家族擁有一項(xiàng)新增功能，可以在操作系統(tǒng)啟動(dòng)時(shí)檢查 Administrator賬戶(hù)密碼的復(fù)雜程度。 圖 61 默認(rèn)域安全策略 在 Windows Server 2022系統(tǒng)中賬戶(hù)策略包含密碼策略、賬戶(hù)鎖定策略和 Kerberos策略三個(gè)子集。這一管理工具界面打開(kāi)的方法是執(zhí)行 〖 開(kāi)始 〗→ 〖 管理工具 〗 → 〖 域安全策略 〗 操作（注意不要選擇了“ 域控制器安全策略 ” 選項(xiàng)，因?yàn)槟侵皇轻槍?duì)域控制器本身，而不是針對(duì)整個(gè)域網(wǎng)絡(luò)）。 1. 自 Windows NT ? 加密文件系統(tǒng) ? Inter協(xié)議安全性 2. 自 Windows 2022系統(tǒng)以后的新增和更新功能 ?TCP/UDP端口所有權(quán) ?加密文件系統(tǒng)改進(jìn)功能 ?軟件限制策略 ?Inter協(xié)議安全性監(jiān)視改進(jìn)功能 本節(jié)詳細(xì)內(nèi)容參見(jiàn)書(shū)本的 P188頁(yè)。這些安全因素配置不當(dāng)都有可能給整個(gè)企業(yè)網(wǎng)絡(luò)帶來(lái)安全威脅，特別是用戶(hù)賬戶(hù)密碼策略、文件夾共享和文件訪問(wèn)權(quán)限這幾個(gè)方面。 本章重點(diǎn)如下： ?Windows Server 2022系統(tǒng)的主要安全功能 ?Windows Server 2022系統(tǒng) 用戶(hù)密碼、賬戶(hù)鎖定和 Kerberos策略 ?Windows Server 2022系統(tǒng)用戶(hù)權(quán)限的配置 ?默認(rèn)共享的取消和文件夾共享權(quán)限的配置 ?NTFS文件訪問(wèn)權(quán)限配置 ?Windows XP系統(tǒng)私人文件夾的創(chuàng)建 Server 2022系統(tǒng)安全概述 Windows Server 2022家族安全模型的主要功能是用戶(hù)身份驗(yàn)證和訪問(wèn)控制。 域賬戶(hù)策略設(shè)置 本節(jié)要向大家介紹的就是這個(gè)域安全策略設(shè)置，不過(guò)它的基本設(shè)置方法基本上都適用于單機(jī)的本地安全設(shè)置。 域控制器始終從 “ 默認(rèn)域策略設(shè)置 ” 中獲得賬戶(hù)策略，即使已經(jīng)存在了一個(gè)應(yīng)用到包括該域控制器在內(nèi)的組織單位的不同賬戶(hù)策略。而在 Windows Server 2022系統(tǒng)中的本地策略中包含審核策略、用戶(hù)權(quán)限分配和安全選項(xiàng)三個(gè)子集。如果密碼為空或者不滿足復(fù)雜性要求，將顯示 Windows Installer對(duì)話框，警告您 Administrator賬戶(hù)不使用強(qiáng)密碼可能存在危險(xiǎn)。密碼破解軟件使用下面三種方法之一：巧妙猜測(cè)、詞典攻擊和自動(dòng)嘗試字符的各種可能的組合。 通常所說(shuō)的弱密碼主要體現(xiàn)在以下幾個(gè)方面： ?根本沒(méi)有密碼，就是不設(shè)密碼，這是許多初級(jí)網(wǎng)絡(luò)管理員最經(jīng)常使用的。這很容易受到字典類(lèi)的網(wǎng)絡(luò)攻擊。 ?與先前使用過(guò)的密碼大不相同。例如， Hello2U! 就是一個(gè)相對(duì)而言的弱密碼，因?yàn)榘ㄒ粋€(gè)完整、且順序一致的單詞。 ?對(duì)所有用戶(hù)賬戶(hù)都分別使用不同的密碼。 ?定義 “ 密碼最長(zhǎng)期限 ” 策略設(shè)置，可以使密碼的到期時(shí)間盡可能短，通常的間隔是 30至 90天。 3. 謹(jǐn)慎定義賬戶(hù)鎖定策略 ?不要隨意使用賬戶(hù)鎖定策略 ?如果決定采用賬戶(hù)鎖定策略，應(yīng)設(shè)置足夠高的 “ 賬戶(hù)鎖定閾值 ” 策略設(shè)置，使合法用戶(hù)不至于僅因敲錯(cuò)了密碼而被鎖定。這部分設(shè)置項(xiàng)目包括： ?強(qiáng)制密碼歷史 ?密碼最長(zhǎng)使用期限 ?密碼最短使用期限 ?密碼長(zhǎng)度最小值 ?密碼必須符合復(fù)雜性要求 ?用可還原的加密來(lái)存儲(chǔ)密碼 本節(jié)詳細(xì)內(nèi)容參見(jiàn)書(shū)本的 P192~P194頁(yè)。系統(tǒng)密鑰實(shí)用程序（ Syskey）為對(duì)抗密碼破解軟件建立了另一道防線。但執(zhí)行該過(guò)程時(shí)需要視環(huán)境的不同而使用不同的管理憑據(jù)： ?如果創(chuàng)建或更新系統(tǒng)密鑰用于本地計(jì)算機(jī)：要執(zhí)行該過(guò)程，您必須是本地計(jì)算機(jī) Administrators組的成員，或者您必須被委派適當(dāng)?shù)臋?quán)限。作為安全性的最佳操作，可以考慮使用運(yùn)行方式來(lái)執(zhí)行這個(gè)過(guò)程。而為了欺騙那些非法用戶(hù)，通常把一個(gè)具有較低權(quán)限的用戶(hù)名改為 administrator。 賬戶(hù)鎖定策略用于域賬戶(hù)或本地用戶(hù)賬戶(hù)。 Inter協(xié)議安全性（ IPSec）可以使用 Kerberos協(xié)議進(jìn)行身份驗(yàn)證。例如，可設(shè)置用戶(hù)的 Kerberos 5票證生存周期。 NTLM身份驗(yàn)證協(xié)議 是用來(lái)處理兩臺(tái)計(jì)算機(jī)（其中至少有一臺(tái)計(jì)算機(jī)運(yùn)行 Windows NT ）之間事務(wù)的協(xié)議。 Kerberos策略選項(xiàng)包括：強(qiáng)制用戶(hù)登錄限制、服務(wù)票證最長(zhǎng)壽命、用戶(hù)票證最長(zhǎng)壽命、用戶(hù)票證續(xù)訂最長(zhǎng)壽命、計(jì)算機(jī)時(shí)鐘同步的最大容差。 Guest賬戶(hù)和更改管理員賬戶(hù)名 有很多入侵都是通過(guò) Guest（來(lái)賓）賬戶(hù)進(jìn)一步獲得管理員密碼或者權(quán)限，進(jìn)而實(shí)現(xiàn)他們攻擊的目的。 從用戶(hù)列表中刪除這個(gè)賬戶(hù)即可，或者把 Guest賬戶(hù)訪問(wèn)此文件夾的權(quán)限僅設(shè)置為 “ 列出文件夾目錄 ” 或 “ 讀取 ”之類(lèi)較低的權(quán)限，這樣就安全多了。這樣一來(lái)，入侵者就很難搞清哪個(gè)賬戶(hù)真正擁有管理員權(quán)限，也就在一定程度上減少了危險(xiǎn)性。 刪掉不必要的協(xié)議 對(duì)于服務(wù)器和主機(jī)來(lái)說(shuō)，一般只安裝 TCP/IP協(xié)議就夠了，因?yàn)楝F(xiàn)在主流的操作系統(tǒng)都是采用TCP/IP協(xié)議進(jìn)行網(wǎng)絡(luò)通信的。所以，我們?cè)跒橛梅峙錂?quán)限時(shí)先要清楚系統(tǒng)默認(rèn)的用戶(hù)和組賬戶(hù)，以及它們各自的權(quán)限。 Administrator賬戶(hù)具有最廣泛的權(quán)利和權(quán)限，而 Guest賬戶(hù)的權(quán)利和權(quán)限則有限。當(dāng)您將用戶(hù)添加到組中時(shí)，用戶(hù)將接受