【文章內(nèi)容簡介】 策略”，將賬戶設為“3次登陸無效”，“鎖定時間60分鐘”，“復位鎖定計數(shù)設為60分鐘”。（注：“復位鎖定計數(shù)器時間”必須大于“賬戶鎖定時間”）如下圖所示。在“默認域安全設置”－“本地策略”－“安全選項”中將“不顯示上次的用戶名”設為“啟用”，如下圖所示。在“默認域安全設置”－“本地策略”－“用戶權(quán)利”分配中將“從網(wǎng)絡訪問此計算機”中添加組或賬號，以使其可以通過網(wǎng)絡訪問些計算機，如下圖所示。選擇“定義這些策略設置”打勾，并點擊“添加用戶或組（U）”，點擊“瀏覽”出現(xiàn)窗口如下圖所示。點擊“高級（A）”后，出現(xiàn)如下圖所示。點擊“立即查找（N）”后，在“搜索結(jié)果（U）：”中列出所有賬戶信息，如下圖所示。添加啟動IIS進程賬戶（IIS_WPG）和域的來賓賬戶（Domain Guests）。，則保留相應賬戶即可。第三章 系統(tǒng)資源的安全管理本章包括二個實訓：。實訓目的：Windows系統(tǒng)為本地及網(wǎng)絡用戶提供了一系列良好應用資源，因此保障這些應用資源的有效、安全的應用是尤為重要，本實訓對資源安全管理措施進行詳細分析和設置。實訓要求：安裝windows Server2003系統(tǒng)的計算機。實訓內(nèi)容：對系統(tǒng)盤、c:\Documents and Settings目錄及其子目錄分別進行不同的權(quán)限設置，對system32目錄的可執(zhí)行程序進行權(quán)限設置。實訓過程：設置系統(tǒng)盤（c:\）權(quán)限。打開“我的電腦”選擇系統(tǒng)盤右鍵選擇“屬性”，在彈出的窗口中選擇“安全”選項卡，如下圖所示。保留“administrators”和“system”用戶組權(quán)限的默認值，其他用戶組刪除，如下圖所示。添加IIS_WPG進程組“特別權(quán)限或高級設置，請單擊‘高級’”處點擊“高級”按鈕，如下圖所示。點擊“添加”按鈕后，出現(xiàn)如下圖所示。選擇“高級（A）…”按鈕，然后點擊“立即查找（N）”按鈕，出現(xiàn)如下圖所示。選擇“IIS_WPG”后點擊“確定”后，在“權(quán)限項目”窗口中設置，應用到“只有該文件夾”權(quán)限為“創(chuàng)建文件/寫入數(shù)據(jù)”，點擊“確定”，如下圖所示。在“高級安全設置”窗口中點擊“應用”，如下圖所示。重復以上過程繼續(xù)添加IIS_WPG，然后到“權(quán)限項目”窗口中設置不同的權(quán)限，應用到“該文件夾，子文件夾及文件”，權(quán)限設置“遍歷文件夾/運行文件 ”、“列出文件夾/讀取數(shù)據(jù)”、“讀取屬性”、“創(chuàng)建文件夾/附加數(shù)據(jù) ”、“讀取權(quán)限”，如下圖所示。在“高級安全設置”窗口中點擊“應用”，如下圖所示。設置系統(tǒng)盤\Documents and Settings及其子目錄權(quán)限。（\Documents and Settings子目錄的權(quán)限不會繼承\(zhòng)Documents and Settings的設置,因此需分別設置）選擇\Documents and Settings文件夾，點擊右鍵選擇“屬性”，在“安全”選項卡中只保留Administrators 和 SYSTEM 權(quán)限，其他的刪除，如下圖所示。選擇\Documents and Settings\All Users文件夾，點擊右鍵選擇“屬性”，在“安全”中只保留Administrators 和 SYSTEM 權(quán)限，其他的刪除，如下圖所示。選擇\Documents and Settings\All Users\Application Data文件夾，點擊右鍵選擇“屬性”，在“安全”中只保留Administrators 和 SYSTEM 權(quán)限，其他的刪除，如下圖所示。選擇\Windows文件夾，點擊右鍵選擇“屬性”，在“安全”中只保留Administrators 和 SYSTEM和users權(quán)限，其他的刪除（ASP和ASPX等應用程序運行需要users的權(quán)限），如下圖所示。其他目錄，如果有安裝程序運行的可設置Administrators 和 SYSTEM 權(quán)限，無只給 Administrators 權(quán)限（某些程序的服務功能需要SYSTEM用戶組權(quán)限）。設置\Windows\System32目錄下文件的權(quán)限。將\Windows\，，，，， 權(quán)限。（），選擇“安全”選項卡，在“組或用戶名稱（G）：”中只保留Administrators用戶組名稱，其他的刪除，如下圖所示。實訓目的：windows的應用程序的許多初始化信息和配置信息等都存儲在注冊表中，如某些軟件的序列號和注冊信息，遠程數(shù)據(jù)庫的用戶和明文口令等，對注冊表信息進行修改即可以增強系統(tǒng)安全，又能為入侵者提供便利，因此進行安全保護具有舉足輕重的作用。實訓要求：安裝windows Server2003系統(tǒng)的計算機。實訓內(nèi)容：注冊表中記錄了windows系統(tǒng)和程序進行運轉(zhuǎn)的幾乎所有關(guān)鍵信息，在對注冊表相關(guān)項進行設置提高系統(tǒng)的安全性的同時也需對注冊表本身進行訪問控制防止注冊表的非法修改。實訓過程：一、修改注冊表相關(guān)項目提高安全性。禁用IPC空連接默認情況下，任何用戶可利用net use、net view、nbtstat等網(wǎng)絡命令建立空連接連上服務器，進而枚舉出帳號，猜測密碼。因此禁止空連接很有必要。具體步驟如下：在“開始”菜單中選擇“運行”命令，輸入“regedit”打開注冊表，如下圖所示。找到如下分支KEY_Local_Machine\System\CurrentControlSet\Control\LSA的RestrictAnonymous值項，把該值改成“1”，如下圖所示。更改TTL值 不同的TTL值代表不同的操作系統(tǒng)，因此，通過修改TTL值為任意值，可以防止入侵者根據(jù)ping回的TTL值來大致判斷你的操作系統(tǒng)，具體操作如下： TTL=107(WINNT)。 TTL=108(win2000)。 TTL=127或128(win9x)。 TTL=240或241(linux)。 TTL=252(solaris)。 TTL=240(Irix)。 可根據(jù)情況修改該值，找到如下分支HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建名稱為DefaultTTL類型為REG_DWORD的鍵值，如下圖所示。雙擊DefaultTTL鍵名，任意設置一個十進制數(shù)字258（十六進制102）如下圖所示。完全隱藏重要文件/目錄：系統(tǒng)盤中的一些重要文件/目錄及一些設置為“隱藏”屬性的文件/目錄一般可以通過修改窗口屬性后看到，通過修改注冊表能實現(xiàn)完全隱藏的效果。具體步驟如下：找到如下分支HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL的CheckedValue值項，把數(shù)值改為0 ，如下圖所示。二、注冊表訪問控制的安全管理對注冊表的安全管理可以分為兩種：一種方法是對注冊表命令（、 ）文件添加需要訪問的賬戶名及權(quán)限設置即可。下面介紹另一種方法是限制對注冊表的網(wǎng)絡訪問和對注冊表關(guān)鍵項的訪問。對注冊表網(wǎng)絡訪問（遠程訪問）