【正文】 第 2步：在“本地安全設(shè)置”菜單欄的右側(cè)列表中選擇“網(wǎng)絡(luò)訪問：不允許 SAM帳戶和共享的匿名枚舉”選項(xiàng)，彈出圖 ，選擇“已啟用”選項(xiàng)，完成設(shè)置。原因是存儲(chǔ)在SAM數(shù)據(jù)庫(kù)中的信息并未經(jīng)過加密，而僅僅進(jìn)行了哈希(Hash)運(yùn)算，這樣就為黑客通過反復(fù)嘗試進(jìn)行口令破解留下了可能 。但是，只要有足夠長(zhǎng)的時(shí)間，再?gòu)?fù)雜的口令也能被破解。 第 3章 Windows系統(tǒng)安全加固 圖 “密碼策略”設(shè)置界面 第 3章 Windows系統(tǒng)安全加固 第 2步：設(shè)置密碼長(zhǎng)度最小值、密碼復(fù)雜性要求等。從安全的角度看，限制機(jī)制只給攻擊者為數(shù)不多的幾次嘗試機(jī)會(huì)，一旦失敗的次數(shù)超過了事先設(shè)定的極限值，該帳戶將被鎖定，從而避免用戶口令被破解。 第 3章 Windows系統(tǒng)安全加固 圖 “帳戶鎖定策略”設(shè)置界面 第 3章 Windows系統(tǒng)安全加固 第 2步：設(shè)置復(fù)位帳戶鎖定計(jì)數(shù)器、帳戶鎖定時(shí)間等。具體操作步驟如下： 第 3章 Windows系統(tǒng)安全加固 第 1步：選擇“開始” → “運(yùn)行”，輸入“ Syskey”就可以啟動(dòng)加密的窗口 (這里以 Windows XP)為例，如圖 。 第 3章 Windows系統(tǒng)安全加固 如果我們選擇“在軟盤上保存啟動(dòng)密碼”選項(xiàng)，則會(huì)生成一個(gè)密碼軟盤，如果沒有這張軟盤，將不能進(jìn)入操作系統(tǒng)。 NTFS文件系統(tǒng)是從 Windows NT起開始支持的一種文件分配表的格式，它能提供比 FAT和 FAT 32更多的安全功能，比如設(shè)置目錄和文件的訪問權(quán)限。建議對(duì)一般用戶賦予讀取權(quán)限，而只給管理員和SYSTEM以完全控制權(quán)限，但這樣做有可能使某些正常的腳本程序不能執(zhí)行，或者某些需要寫的操作不能完成。加密之后，就等于把文件或文件夾全部鎖進(jìn)了“保險(xiǎn)柜”。文件在加密之后，不必再使用前手動(dòng)解密，只有加密者才能打開加密文件，其他用戶登錄系統(tǒng)后，將無法打開加密文件。 4. 實(shí)驗(yàn)內(nèi)容 使用 EFS對(duì)文件和文件夾進(jìn)行加密的操作步驟如下： 第 1步：?jiǎn)?dòng)“ Windows 資源管理器”，找到要加密的文件或文件夾，然后單擊鼠標(biāo)右鍵并從彈出的快捷菜單中選擇“屬性”命令，打開“ FAQ 屬性”對(duì)話框，如圖 。在默認(rèn)情況下，經(jīng)過 EFS加密的文件或文件夾在資源管理器中顯示的顏色會(huì)變?yōu)榫G色，這表示它們已經(jīng)被 EFS加密了。 ?通常通過網(wǎng)絡(luò)共享某個(gè)文件 /文件夾，或者把連接到某臺(tái)計(jì)算機(jī)上的打印機(jī)設(shè)置為通過網(wǎng)絡(luò)共享，這些都是 NetBIOS提供的服務(wù) 。 (2) 系統(tǒng)為默認(rèn)共享提供的唯一保護(hù)措施就是設(shè)置了訪問權(quán)限，即對(duì)磁盤默認(rèn)共享的訪問一般需要管理員的權(quán)限。 4. 實(shí)驗(yàn)內(nèi)容 1) 關(guān)閉 NetBIOS服務(wù) 使用完文件或打印共享功能后，要隨時(shí)將 NetBIOS服務(wù)關(guān)閉，以便堵住資源共享隱患。具體的方法是首先尋找鍵值“ HKEY_LOCAL_MACHINE \System\CurrentControlSet\Service\lanmanserver\parameters”，如果是“ Professional”版，則在其下新建一數(shù)據(jù)類型為DWORD的鍵值“ autoShareWks”，且使 autoShareWks＝ 0；如果是“ Server”版，則建新一數(shù)據(jù)類型為 DWORD的鍵值“ autoShareserver”，且使 autoShareserver=0。 , March 7, 2023 ? 雨中黃葉樹，燈下白頭人。 :07:3022:07:30March 7, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國(guó)見青山。 2023年 3月 7日星期二 10時(shí) 7分 30秒 22:07:307 March 2023 ? 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 :07:3022:07Mar237Mar23 ? 1世間成事，不求其絕對(duì)圓滿，留一份不足，可得無限完美。 。 , March 7, 2023 ? 閱讀一切好書如同和過去最杰出的人談話。勝人者有力，自勝者強(qiáng)。 2023年 3月 7日星期二 10時(shí) 7分 30秒 22:07:307 March 2023 ? 1一個(gè)人即使已登上頂峰，也仍要自強(qiáng)不息。 2023年 3月 7日星期二 下午 10時(shí) 7分 30秒 22:07: ? 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。 :07:3022:07Mar237Mar23 ? 1越是無能的人，越喜歡挑剔別人的錯(cuò)兒。 2023年 3月 7日星期二 10時(shí) 7分 30秒 22:07:307 March 2023 ? 1空山新雨后，天氣晚來秋。 :07:3022:07:30March 7, 2023 ? 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 , March 7, 2023 ? 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒有。 。 :07:3022:07Mar237Mar23 ? 1故人江海別，幾度隔山川。本章主要介紹了 Windows系統(tǒng)一些安全鞏固手段，如注冊(cè)表的安全配置、帳號(hào)和口令的安全設(shè)置、文件系統(tǒng)的加密、關(guān)閉默認(rèn)共享等。 第 3章 Windows系統(tǒng)安全加固 第 2步：用鼠標(biāo)左鍵選中圖 “ Inter協(xié)議(TCP/IP)”，單擊“屬性”命令，打開“ Inter協(xié)議 (TCP/IP)屬性”對(duì)話框，選擇“高級(jí)”選項(xiàng)，在打開的“高級(jí) TCP/IP設(shè)置”對(duì)話框中選擇“ WINS”選項(xiàng)，打開的界面如圖 示，選擇“禁用 TCP/IP上的 NetBIOS”選項(xiàng)，即可關(guān)閉NetBIOS服務(wù) 。 鑒于這兩種共享機(jī)制均存在安全缺陷，從系統(tǒng)安全的角度考慮，建議把它們關(guān)掉。這樣的好處是系統(tǒng)管理員可以通過遠(yuǎn)程的方式對(duì)系統(tǒng)進(jìn)行維護(hù)。 第 3章 Windows系統(tǒng)安全加固 2. 實(shí)驗(yàn)原理 為了方便局域網(wǎng)用戶之間的信息傳輸， Windows提供了以下兩種機(jī)制。 第 3章 Windows系統(tǒng)安全加固 圖 “屬性”對(duì)話框 第 3章 Windows系統(tǒng)安全加固 圖 “高級(jí)屬性”對(duì)話框 第 3章 Windows系統(tǒng)安全加固 第 3步：如果加密的是文件夾，此時(shí)會(huì)彈出一個(gè)對(duì)話框，如圖 。另外，標(biāo)記為“系統(tǒng)”屬性的文件，以及位于Windows 系統(tǒng)目錄中的文件無法被 EFS加密 。 第 3章 Windows系統(tǒng)安全加固 需要說明的是， EFS只能對(duì)存儲(chǔ)在磁盤上的數(shù)據(jù)進(jìn)行加密，是一種安全的本地信息加密服務(wù)，而且只有 NTFS分區(qū)才支持 EFS的功能， FAT分區(qū)上的文件和文件夾是不能被 EFS加密的。 第 3章 Windows系統(tǒng)安全加固 另外，運(yùn)行 ，可使用注冊(cè)表編輯器，這樣可以對(duì)任何一個(gè)文件夾，甚至是注冊(cè)表的表項(xiàng)進(jìn)行同樣的權(quán)限設(shè)置。 第 3章 Windows系統(tǒng)安全加固 圖 文件權(quán)限設(shè)置界面 第 3章 Windows系統(tǒng)安全加固 從圖 ，我們可以對(duì)每個(gè)用戶進(jìn)行操作，對(duì)每個(gè)文件的權(quán)限做細(xì)致的規(guī)定。 第 3章 Windows系統(tǒng)安全加固 文件系統(tǒng)安全設(shè)置實(shí)驗(yàn) 1. 實(shí)驗(yàn)?zāi)康? 使用 EFS對(duì)文件和文件夾加密。 圖 “啟動(dòng)密碼”對(duì)話框 第 3章 Windows系統(tǒng)安全加固