【正文】 設(shè)置為介于 0 和 998 之間的任何值。 如果希望 ―強(qiáng)制密碼歷史 ‖有效，則需要將密碼最短使用期限設(shè)置為大于0 的值。如果沒有設(shè)置密碼最短使用期限，用戶則可以循環(huán)選擇密碼，直到獲得期望的舊密碼。默認(rèn)設(shè)置沒有遵從此建議，以便管理員能夠?yàn)橛脩糁付? 35 密碼，然后要求用戶在登錄時(shí)更改管理員定義的密碼。如果將密碼歷史設(shè)置為 0，用戶將不必選擇新密碼。因此，默認(rèn)情況下將 ―強(qiáng)制密碼歷史 ‖設(shè)置為 1。 默認(rèn)值 : ? 在域控制器上為 1。 ? 在獨(dú)立服務(wù)器上設(shè)置為 0。 注意 : 默認(rèn)情況下，成員計(jì)算機(jī)沿用各自域控制器的配置。 ? 強(qiáng)制密碼歷史 5 個(gè) 此安全設(shè)置確定再次使用某個(gè)舊密碼之前必須與某個(gè)用戶帳戶關(guān)聯(lián)的唯一新密碼數(shù)。該值必須介于 0 個(gè)和 24 個(gè)密碼之間。 此策略使管理員能夠通過確保舊密碼不被連續(xù)重新使用來增強(qiáng)安全性。 默認(rèn)值 : ? 在域控制器上為 24。 ? 在獨(dú)立服務(wù)器上為 0。 注意 : 默認(rèn)情況下，成員計(jì)算機(jī)沿用各自域控制器的配置。 若要維護(hù)密碼歷史的有效性，還要同時(shí)啟用密碼最短使用期限安全策略設(shè)置，不允許在密碼更改之后立即再次更改密碼。有關(guān)密碼最短使用期限安全策略設(shè)置的 信息，請(qǐng)參閱 ―密碼最短使用期限 ‖。 ? 用可還原的加密來儲(chǔ)存密碼 使用此安全設(shè)置確定操作系統(tǒng)是否使用可還原的加密來儲(chǔ)存密碼。 此策略為某些應(yīng)用程序提供支持，這些應(yīng)用程序使用的協(xié)議需要用戶密碼來進(jìn)行身份驗(yàn)證。使用可還原的加密儲(chǔ)存密碼與儲(chǔ)存純文本密碼在本質(zhì)上是相同的。因此，除非應(yīng)用程序需求比保護(hù)密碼信息更重要，否則絕不要啟用此策略。 通過遠(yuǎn)程訪問或 Inter 身份驗(yàn)證服務(wù) (IAS)使用質(zhì)詢握手身份驗(yàn)證協(xié)議 (CHAP)驗(yàn)證時(shí)需要設(shè)置此策略。在 Inter 信息服務(wù) (IIS)中使用摘要式身份驗(yàn)證時(shí)也需要設(shè) 置此策略。 默認(rèn)值 : 禁用。 36 圖 設(shè)置密碼策略 2． 網(wǎng)絡(luò) 安全策略 （ 1）關(guān)閉不必要的端口 關(guān)閉端口意味著減少功能，在安全和功能上面需要你做一點(diǎn)決策。 具體方法為：打開 ― 網(wǎng)上鄰居 /屬性 /本地連接 /屬性 /inter 協(xié)議 (TCP/IP)/屬性 /高級(jí) /選項(xiàng) /TCP/IP 篩選 /屬性 ‖ 打開 ―TCP/IP 篩選 ‖，添加需要的 TCP、 UDP 協(xié)議即可。 1）關(guān)閉自己的 139 端口， ipc 和 RPC 漏洞存在于此。如 圖 關(guān)閉 139 端口 。 關(guān)閉 139 端口的方法是在 ―網(wǎng)絡(luò)和撥號(hào)連接 ‖中 ―本地連接 ‖中選取 ―Inter 協(xié)議 (TCP/IP)‖屬性，進(jìn)入 ―高級(jí) TCP/IP 設(shè)置 ‖―WinS 設(shè)置 ‖里面有一項(xiàng) ―禁用 TCP/IP的 NETBIOS‖，打勾重啟后就關(guān)閉了 139 端口。 圖 關(guān)閉 139 端口 37 2） 445 端口的關(guān)閉 修改注冊(cè)表，添加一個(gè)鍵值 ： HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetBTParameters在右面的窗口建立一個(gè) SMBDeviceEnabled 為 REG_DWORD 類型鍵值為 0 這樣就 ok 了。 3） 3389 的關(guān)閉，如 圖 關(guān)閉 3389 端口 。 “ 我的電腦 ” 上點(diǎn)右鍵選屬性 —》遠(yuǎn)程，將里面的遠(yuǎn)程協(xié)助和遠(yuǎn)程桌面兩個(gè)選項(xiàng)框里的勾去掉。 圖 關(guān)閉 3389 端口 設(shè)置完成后，可以運(yùn)行 CMD 輸入 stat –na，查看這些端口是否已經(jīng)關(guān)閉。 （ 2）刪除本地共享資源 1） 查看本地共享資源，如 圖 本地共享資源 。 運(yùn)行 CMD 輸入 share，如果看到有異常的共享，那么應(yīng)該關(guān)閉。但是有時(shí)你關(guān)閉共享下次開機(jī)的時(shí)候又出現(xiàn)了，那么你應(yīng)該考慮一下，你的機(jī)器是否已經(jīng)被黑客所控制了，或者中了病毒。 38 圖 本地共享資源 2） 刪除共享，如 圖 。 在 圖 中顯示 C、 D、 E、 ADMIN 是默認(rèn)共享，可以通過如下命令進(jìn)行刪除默認(rèn)共 享。 ? share admin$ /delete 圖 刪除默認(rèn)共享 ADMIN$ ? share c$ /delete ? share d$ /delete（如果有 e， f， …… 可以繼續(xù)刪除） 3） 刪除 ipc$空連接 在運(yùn)行內(nèi)輸入 regedit，在注冊(cè)表中找到 ： HKEY－ LOCAL_MACHINESYSTEMCurrentControSetControlLSA 項(xiàng)里數(shù)值名稱 RestrictAnonymous 的數(shù)值數(shù)據(jù)由 0 改為 1。 (3) 防止 RPC 漏洞，如 圖 防止 RPC 漏洞 打開管理工具 ——服務(wù) ——找到 RPC(Remote Procedure Call (RPC) Locator) 39 服務(wù) ——將故障恢復(fù)中的第一次失敗，第二次失敗，后續(xù)失敗，都設(shè)置為不操作。XP SP2 和 2022 pro sp4，均不存在該漏洞。 圖 防止 RPC 漏洞 3． 應(yīng)用安全策略設(shè)置 （ 1）禁用服務(wù) 打開控制面板，進(jìn)入管理工具 ——服務(wù)，如 圖 服務(wù) 。 圖 服務(wù) 關(guān)閉以下服務(wù)： Ａ .Alerter[通知選定的用戶和計(jì)算機(jī)管理警報(bào) ] Ｂ .ClipBook[啟用 ―剪貼簿查看器 ‖儲(chǔ)存信息并與遠(yuǎn)程計(jì)算機(jī)共享 ] Ｃ .Distributed File System[將分散的文件共享合并成一個(gè)邏輯名稱，共享出去，關(guān)閉后遠(yuǎn)程計(jì)算機(jī)無法訪問共享 Ｄ .Distributed Link Tracking Server[適用局域網(wǎng)分布式鏈接 ] 40 Ｅ .Indexing Service[提供本地或遠(yuǎn)程計(jì)算機(jī)上文件的索引內(nèi)容和屬性，泄露信息 ] Ｆ .Messenger[警報(bào) ] Ｇ .NetMeeting Remote Desktop Sharing[meeting 公司留下的客戶信息收集 ] Ｈ .Network DDE[為在同一臺(tái)計(jì)算機(jī)或不同計(jì)算機(jī)上運(yùn)行的程序提供動(dòng)態(tài)數(shù)據(jù)交換 ] Ｉ .Network DDE DSDM[管理動(dòng)態(tài)數(shù)據(jù)交換 (DDE) 網(wǎng)絡(luò)共享 ] Ｊ .Remote Desktop Help Session Manager[管理并控制遠(yuǎn)程協(xié)助 ] Ｋ .Remote Registry[使遠(yuǎn)程計(jì)算機(jī)用戶修改本地注冊(cè)表 ] Ｌ .Routing and Remote Access[在局域網(wǎng)和廣域往提供路由服務(wù) .黑客理由路由服務(wù)刺探注冊(cè)信息 ] Ｍ .Server[支持此計(jì)算機(jī)通過網(wǎng)絡(luò)的文件、打印、和命名管道共享 ] Ｎ .TCP/IPNetBIOS Helper[提供 TCP/IP 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件、打印和登錄到網(wǎng)絡(luò) ] Ｏ .Tel[允許遠(yuǎn)程用戶登錄到此計(jì)算機(jī)并運(yùn)行程序 ] Ｐ .Terminal Services[允許用戶以交互方式連接到遠(yuǎn)程計(jì)算機(jī) ] Ｑ .Window s Image Acquisition (WIA)[照相服務(wù)，應(yīng)用與數(shù)碼攝象機(jī) ] 如果發(fā)現(xiàn)機(jī)器開啟了一些很奇怪的服務(wù)，必須馬上停止該服務(wù)，因?yàn)檫@完全有可能是黑客使用控制程序的服務(wù)端。 （ 2）本地策略 打開管理工具找到本地安全設(shè)置 —》本地策略 —》審核策略，如 圖 。 圖 審核策略 41 Ａ .審核策略更改 成功失敗 此安全設(shè)置確定是否審核用戶權(quán)限分配策略、審核策略或信任策略的每一個(gè)更改事件。 如果定 義此策略設(shè)置，可以指定是否審核成功、審核失敗或者根本不審核該事件類型。成功審核在成功更改用戶權(quán)限分配策略、審核策略或信任策略時(shí)生成審核項(xiàng)。失敗審核在更改用戶權(quán)限分配策略、審核策略或信任策略失敗時(shí)生成審核項(xiàng)。 若要將該值設(shè)置為 ―無審核 ‖，請(qǐng)?jiān)诖瞬呗栽O(shè)置的 ―屬性 ‖對(duì)話框中選擇 ―定義這些策略設(shè)置 ‖復(fù)選框，清除 ―成功 ‖和 ―失敗 ‖復(fù)選框。 默認(rèn)值 : 在域控制器上為 ―成功 ‖。 在成員服務(wù)器上為 ―無審核 ‖。 Ｂ .審核登陸事件 成功失敗 此安全設(shè)置確定是否審核用戶登錄或注銷計(jì)算機(jī)的每個(gè)實(shí)例。 對(duì)于域帳戶活動(dòng)，在域控制器 上生成帳戶登錄事件；對(duì)于本地帳戶活動(dòng)，在本地計(jì)算機(jī)上生成帳戶登錄事件。如果同時(shí)啟用帳戶登錄和登錄審核策略類別，使用域帳戶的登錄在工作站或服務(wù)器上生成登錄或注銷事件，并且在域控制器上生成帳戶登錄事件。此外，在成員服務(wù)器或工作站上使用域帳戶的交互式登錄將在域控制器上生成登錄事件，與此同時(shí)在用戶登錄時(shí)還檢索登錄腳本和策略。有關(guān)帳戶登錄事件的詳細(xì)信息，請(qǐng)參閱 ―審核帳戶登錄事件 ‖。 如果定義此策略設(shè)置，可以指定是否審核成功、審核失敗或者根本不審核事件類型。成功審核在登錄嘗試成功時(shí)生成審核項(xiàng)。失敗審核在登錄嘗試失敗時(shí)生成審核項(xiàng)。 若要將該值設(shè)置為 ―無審核 ‖，請(qǐng)?jiān)诖瞬呗栽O(shè)置的 ―屬性 ‖對(duì)話框中，選擇 ―定義這些策略設(shè)置 ‖復(fù)選框，清除 ―成功 ‖和 ―失敗 ‖復(fù)選框。 默認(rèn)值 : 成功。 Ｃ .審核對(duì)象訪問 失敗 此安全設(shè)置確定是否審核用戶訪問指定了它自己的系統(tǒng)訪問控制列表(SACL)的對(duì)象 (例如文件、文件夾、注冊(cè)表項(xiàng)、打印機(jī)等等 )的事件。 如果定義此策略設(shè)置，可以指定是否審核成功、審核失敗或者根本不審核該事件類型。成功審核在用戶成功訪問指定了相應(yīng) SACL 的對(duì)象時(shí)生成審核項(xiàng)。失敗審核在用戶嘗試訪問指定了 SACL 的對(duì)象失敗時(shí)生成審核項(xiàng) 。 若要將該值設(shè)置為 ―無審核 ‖，請(qǐng)?jiān)诖瞬呗栽O(shè)置的 ―屬性 ‖對(duì)話框中選擇 ―定義這些策略設(shè)置 ‖復(fù)選框，清除 ―成功 ‖和 ―失敗 ‖復(fù)選框。 42 請(qǐng)注意，使用文件系統(tǒng)對(duì)象 ―屬性 ‖對(duì)話框中的 ―安全 ‖選項(xiàng)卡，可以在該對(duì)象上設(shè)置 SACL。 默認(rèn)值 : 無審核。 Ｄ .審核跟蹤過程 無審核 此安全設(shè)置確定是否審核事件的詳細(xì)跟蹤信息，例如程序激活、進(jìn)程退出、句柄復(fù)制以及間接對(duì)象訪問。 如果定義此策略設(shè)置，可以指定是否審核成功、審核失敗或者根本不審核該事件類型。成功審核在被跟蹤的進(jìn)程成功時(shí)生成審核項(xiàng)。失敗審核在被跟蹤的進(jìn)程失敗時(shí)生成審核項(xiàng) 。 若要將該值設(shè)置為 ―無審核 ‖，請(qǐng)?jiān)诖瞬呗栽O(shè)置的 ―屬性 ‖對(duì)話框中選擇 ―定義這些策略設(shè)置 ‖復(fù)選框，清除 ―成功 ‖和 ―失敗 ‖復(fù)選框。 默認(rèn)值 : 無審核 Ｅ .審核目錄服務(wù)訪問 失敗 此安全設(shè)置確定是否審核用戶訪問指定了它自己的系統(tǒng)訪問控制列表(SACL)的 Active Directory 對(duì)象的事件。 默認(rèn)情況下，此值在默認(rèn)域控制器組策略對(duì)象 (GPO)中設(shè)置為 ―無審核 ‖，并且對(duì)于其不具意義的工作站和服務(wù)器保持為 ―未定義 ‖。 如果定義此策略設(shè)置，可以指定是否審核成功、審核失敗或者根本不審核事件類型。成功審核在用戶成 功訪問指定了 SACL 的 Active Directory 對(duì)象時(shí)生成審核項(xiàng)。失敗審核在用戶嘗試訪問指定了 SACL 的 Active Directory 對(duì)象失敗時(shí)生成審核項(xiàng)。若要將該值設(shè)置為 ―無審核 ‖，請(qǐng)?jiān)诖瞬呗栽O(shè)置的 ―屬性 ‖對(duì)話框中，選擇 ―定義這些策略設(shè)置 ‖復(fù)選框，清除 ―成功 ‖和 ―失敗 ‖復(fù)選框。 請(qǐng)注意，使用 Active Directory 對(duì)象 ―屬性 ‖對(duì)話框中 ―安全 ‖選項(xiàng)卡，可以在該對(duì)象上設(shè)置一個(gè) SACL。這與 ―審核 ‖對(duì)象訪問是相同的，只不過它只適用于 Active Directory 對(duì)象， 對(duì)于文件系統(tǒng)和注冊(cè)表對(duì)象不適用。 默認(rèn)值 : 在域控制器上為 ―成功 ‖。 Ｆ .審核特權(quán)使用 失敗 此安全設(shè)置確定是否審核執(zhí)行用戶權(quán)限的用戶的每個(gè)實(shí)例。 如果定義此策略設(shè)置，可以指定是否審核成功、審核失敗或者根本不審核此類型的事件。成功審核在用戶權(quán)限執(zhí)行成功時(shí)生成審核項(xiàng)。失敗審核在用戶權(quán)限執(zhí)行失敗時(shí)生成審核項(xiàng)。 若要將該值設(shè)置為 ―無審核 ‖，請(qǐng)?jiān)诖瞬呗栽O(shè)置的 ―屬性 ‖對(duì)話框中選擇 ―定義這些策略設(shè)置 ‖復(fù)選框，清除 ―成功 ‖和 ―失敗 ‖復(fù)選框。 43 默認(rèn)值 : 無審核。 使用下列用戶權(quán)限時(shí)不生成審核，即使為 ―審核權(quán)限使用 ‖指定了 成功審核或失敗審核。啟用對(duì)這些用戶權(quán)限的審核往往會(huì)在安全日志中生成許多事件，這會(huì)影響計(jì)算機(jī)的性能。若要審核下列用戶權(quán)限，請(qǐng)啟用 FullPrivilegeAuditing 注冊(cè)表項(xiàng)。 繞過遍歷檢查 調(diào)試程序 創(chuàng)建令牌對(duì)象 替換進(jìn)程級(jí)令牌 生成安全審核 備份文件和目錄 還原文件和目錄 警告 : 錯(cuò)誤地編輯注冊(cè)表可能嚴(yán)重?fù)p壞系統(tǒng)。在更改注冊(cè)表之前，應(yīng)當(dāng)備份計(jì)算機(jī)上的所有重要數(shù)據(jù)。 Ｇ .審核系統(tǒng)事件 成功失敗 此安全設(shè)置確定在用戶重新啟動(dòng)或關(guān)閉計(jì)算機(jī)時(shí)或者在發(fā)生影響系統(tǒng)安全或安全日志的事件時(shí)是否審核。 如果定義此 策略設(shè)置，可以指定是否審核成功、審核失敗或者根本不審核該事件類型。成功審核在系統(tǒng)事件執(zhí)行成功時(shí)生成審核項(xiàng)。失敗審核在系統(tǒng)事件嘗試失敗時(shí)生成審核項(xiàng)。 若要將該值設(shè)置為 ―無審核 ‖，請(qǐng)?jiān)诖瞬呗栽O(shè)置的