【正文】 設(shè)置為介于 0 和 998 之間的任何值。 如果希望 ―強制密碼歷史 ‖有效，則需要將密碼最短使用期限設(shè)置為大于0 的值。如果沒有設(shè)置密碼最短使用期限，用戶則可以循環(huán)選擇密碼，直到獲得期望的舊密碼。默認(rèn)設(shè)置沒有遵從此建議，以便管理員能夠為用戶指定 35 密碼，然后要求用戶在登錄時更改管理員定義的密碼。如果將密碼歷史設(shè)置為 0，用戶將不必選擇新密碼。因此，默認(rèn)情況下將 ―強制密碼歷史 ‖設(shè)置為 1。 默認(rèn)值 : ? 在域控制器上為 1。 ? 在獨立服務(wù)器上設(shè)置為 0。 注意 : 默認(rèn)情況下，成員計算機沿用各自域控制器的配置。 ? 強制密碼歷史 5 個 此安全設(shè)置確定再次使用某個舊密碼之前必須與某個用戶帳戶關(guān)聯(lián)的唯一新密碼數(shù)。該值必須介于 0 個和 24 個密碼之間。 此策略使管理員能夠通過確保舊密碼不被連續(xù)重新使用來增強安全性。 默認(rèn)值 : ? 在域控制器上為 24。 ? 在獨立服務(wù)器上為 0。 注意 : 默認(rèn)情況下，成員計算機沿用各自域控制器的配置。 若要維護密碼歷史的有效性，還要同時啟用密碼最短使用期限安全策略設(shè)置，不允許在密碼更改之后立即再次更改密碼。有關(guān)密碼最短使用期限安全策略設(shè)置的 信息，請參閱 ―密碼最短使用期限 ‖。 ? 用可還原的加密來儲存密碼 使用此安全設(shè)置確定操作系統(tǒng)是否使用可還原的加密來儲存密碼。 此策略為某些應(yīng)用程序提供支持，這些應(yīng)用程序使用的協(xié)議需要用戶密碼來進(jìn)行身份驗證。使用可還原的加密儲存密碼與儲存純文本密碼在本質(zhì)上是相同的。因此，除非應(yīng)用程序需求比保護密碼信息更重要，否則絕不要啟用此策略。 通過遠(yuǎn)程訪問或 Inter 身份驗證服務(wù) (IAS)使用質(zhì)詢握手身份驗證協(xié)議 (CHAP)驗證時需要設(shè)置此策略。在 Inter 信息服務(wù) (IIS)中使用摘要式身份驗證時也需要設(shè) 置此策略。 默認(rèn)值 : 禁用。 36 圖 設(shè)置密碼策略 2． 網(wǎng)絡(luò) 安全策略 （ 1）關(guān)閉不必要的端口 關(guān)閉端口意味著減少功能，在安全和功能上面需要你做一點決策。 具體方法為：打開 ― 網(wǎng)上鄰居 /屬性 /本地連接 /屬性 /inter 協(xié)議 (TCP/IP)/屬性 /高級 /選項 /TCP/IP 篩選 /屬性 ‖ 打開 ―TCP/IP 篩選 ‖，添加需要的 TCP、 UDP 協(xié)議即可。 1）關(guān)閉自己的 139 端口， ipc 和 RPC 漏洞存在于此。如 圖 關(guān)閉 139 端口 。 關(guān)閉 139 端口的方法是在 ―網(wǎng)絡(luò)和撥號連接 ‖中 ―本地連接 ‖中選取 ―Inter 協(xié)議 (TCP/IP)‖屬性，進(jìn)入 ―高級 TCP/IP 設(shè)置 ‖―WinS 設(shè)置 ‖里面有一項 ―禁用 TCP/IP的 NETBIOS‖，打勾重啟后就關(guān)閉了 139 端口。 圖 關(guān)閉 139 端口 37 2） 445 端口的關(guān)閉 修改注冊表，添加一個鍵值 ： HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetBTParameters在右面的窗口建立一個 SMBDeviceEnabled 為 REG_DWORD 類型鍵值為 0 這樣就 ok 了。 3） 3389 的關(guān)閉，如 圖 關(guān)閉 3389 端口 。 “ 我的電腦 ” 上點右鍵選屬性 —》遠(yuǎn)程，將里面的遠(yuǎn)程協(xié)助和遠(yuǎn)程桌面兩個選項框里的勾去掉。 圖 關(guān)閉 3389 端口 設(shè)置完成后，可以運行 CMD 輸入 stat –na，查看這些端口是否已經(jīng)關(guān)閉。 （ 2）刪除本地共享資源 1） 查看本地共享資源，如 圖 本地共享資源 。 運行 CMD 輸入 share，如果看到有異常的共享，那么應(yīng)該關(guān)閉。但是有時你關(guān)閉共享下次開機的時候又出現(xiàn)了，那么你應(yīng)該考慮一下，你的機器是否已經(jīng)被黑客所控制了，或者中了病毒。 38 圖 本地共享資源 2） 刪除共享，如 圖 。 在 圖 中顯示 C、 D、 E、 ADMIN 是默認(rèn)共享，可以通過如下命令進(jìn)行刪除默認(rèn)共 享。 ? share admin$ /delete 圖 刪除默認(rèn)共享 ADMIN$ ? share c$ /delete ? share d$ /delete（如果有 e， f， …… 可以繼續(xù)刪除） 3） 刪除 ipc$空連接 在運行內(nèi)輸入 regedit，在注冊表中找到 ： HKEY－ LOCAL_MACHINESYSTEMCurrentControSetControlLSA 項里數(shù)值名稱 RestrictAnonymous 的數(shù)值數(shù)據(jù)由 0 改為 1。 (3) 防止 RPC 漏洞，如 圖 防止 RPC 漏洞 打開管理工具 ——服務(wù) ——找到 RPC(Remote Procedure Call (RPC) Locator) 39 服務(wù) ——將故障恢復(fù)中的第一次失敗，第二次失敗，后續(xù)失敗，都設(shè)置為不操作。XP SP2 和 2022 pro sp4，均不存在該漏洞。 圖 防止 RPC 漏洞 3． 應(yīng)用安全策略設(shè)置 （ 1）禁用服務(wù) 打開控制面板，進(jìn)入管理工具 ——服務(wù)，如 圖 服務(wù) 。 圖 服務(wù) 關(guān)閉以下服務(wù)： Ａ .Alerter[通知選定的用戶和計算機管理警報 ] Ｂ .ClipBook[啟用 ―剪貼簿查看器 ‖儲存信息并與遠(yuǎn)程計算機共享 ] Ｃ .Distributed File System[將分散的文件共享合并成一個邏輯名稱，共享出去，關(guān)閉后遠(yuǎn)程計算機無法訪問共享 Ｄ .Distributed Link Tracking Server[適用局域網(wǎng)分布式鏈接 ] 40 Ｅ .Indexing Service[提供本地或遠(yuǎn)程計算機上文件的索引內(nèi)容和屬性，泄露信息 ] Ｆ .Messenger[警報 ] Ｇ .NetMeeting Remote Desktop Sharing[meeting 公司留下的客戶信息收集 ] Ｈ .Network DDE[為在同一臺計算機或不同計算機上運行的程序提供動態(tài)數(shù)據(jù)交換 ] Ｉ .Network DDE DSDM[管理動態(tài)數(shù)據(jù)交換 (DDE) 網(wǎng)絡(luò)共享 ] Ｊ .Remote Desktop Help Session Manager[管理并控制遠(yuǎn)程協(xié)助 ] Ｋ .Remote Registry[使遠(yuǎn)程計算機用戶修改本地注冊表 ] Ｌ .Routing and Remote Access[在局域網(wǎng)和廣域往提供路由服務(wù) .黑客理由路由服務(wù)刺探注冊信息 ] Ｍ .Server[支持此計算機通過網(wǎng)絡(luò)的文件、打印、和命名管道共享 ] Ｎ .TCP/IPNetBIOS Helper[提供 TCP/IP 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件、打印和登錄到網(wǎng)絡(luò) ] Ｏ .Tel[允許遠(yuǎn)程用戶登錄到此計算機并運行程序 ] Ｐ .Terminal Services[允許用戶以交互方式連接到遠(yuǎn)程計算機 ] Ｑ .Window s Image Acquisition (WIA)[照相服務(wù)，應(yīng)用與數(shù)碼攝象機 ] 如果發(fā)現(xiàn)機器開啟了一些很奇怪的服務(wù)，必須馬上停止該服務(wù)，因為這完全有可能是黑客使用控制程序的服務(wù)端。 （ 2）本地策略 打開管理工具找到本地安全設(shè)置 —》本地策略 —》審核策略，如 圖 。 圖 審核策略 41 Ａ .審核策略更改 成功失敗 此安全設(shè)置確定是否審核用戶權(quán)限分配策略、審核策略或信任策略的每一個更改事件。 如果定 義此策略設(shè)置，可以指定是否審核成功、審核失敗或者根本不審核該事件類型。成功審核在成功更改用戶權(quán)限分配策略、審核策略或信任策略時生成審核項。失敗審核在更改用戶權(quán)限分配策略、審核策略或信任策略失敗時生成審核項。 若要將該值設(shè)置為 ―無審核 ‖，請在此策略設(shè)置的 ―屬性 ‖對話框中選擇 ―定義這些策略設(shè)置 ‖復(fù)選框，清除 ―成功 ‖和 ―失敗 ‖復(fù)選框。 默認(rèn)值 : 在域控制器上為 ―成功 ‖。 在成員服務(wù)器上為 ―無審核 ‖。 Ｂ .審核登陸事件 成功失敗 此安全設(shè)置確定是否審核用戶登錄或注銷計算機的每個實例。 對于域帳戶活動，在域控制器 上生成帳戶登錄事件；對于本地帳戶活動，在本地計算機上生成帳戶登錄事件。如果同時啟用帳戶登錄和登錄審核策略類別，使用域帳戶的登錄在工作站或服務(wù)器上生成登錄或注銷事件，并且在域控制器上生成帳戶登錄事件。此外，在成員服務(wù)器或工作站上使用域帳戶的交互式登錄將在域控制器上生成登錄事件，與此同時在用戶登錄時還檢索登錄腳本和策略。有關(guān)帳戶登錄事件的詳細(xì)信息，請參閱 ―審核帳戶登錄事件 ‖。 如果定義此策略設(shè)置，可以指定是否審核成功、審核失敗或者根本不審核事件類型。成功審核在登錄嘗試成功時生成審核項。失敗審核在登錄嘗試失敗時生成審核項。 若要將該值設(shè)置為 ―無審核 ‖，請在此策略設(shè)置的 ―屬性 ‖對話框中，選擇 ―定義這些策略設(shè)置 ‖復(fù)選框，清除 ―成功 ‖和 ―失敗 ‖復(fù)選框。 默認(rèn)值 : 成功。 Ｃ .審核對象訪問 失敗 此安全設(shè)置確定是否審核用戶訪問指定了它自己的系統(tǒng)訪問控制列表(SACL)的對象 (例如文件、文件夾、注冊表項、打印機等等 )的事件。 如果定義此策略設(shè)置，可以指定是否審核成功、審核失敗或者根本不審核該事件類型。成功審核在用戶成功訪問指定了相應(yīng) SACL 的對象時生成審核項。失敗審核在用戶嘗試訪問指定了 SACL 的對象失敗時生成審核項 。 若要將該值設(shè)置為 ―無審核 ‖，請在此策略設(shè)置的 ―屬性 ‖對話框中選擇 ―定義這些策略設(shè)置 ‖復(fù)選框，清除 ―成功 ‖和 ―失敗 ‖復(fù)選框。 42 請注意，使用文件系統(tǒng)對象 ―屬性 ‖對話框中的 ―安全 ‖選項卡，可以在該對象上設(shè)置 SACL。 默認(rèn)值 : 無審核。 Ｄ .審核跟蹤過程 無審核 此安全設(shè)置確定是否審核事件的詳細(xì)跟蹤信息，例如程序激活、進(jìn)程退出、句柄復(fù)制以及間接對象訪問。 如果定義此策略設(shè)置，可以指定是否審核成功、審核失敗或者根本不審核該事件類型。成功審核在被跟蹤的進(jìn)程成功時生成審核項。失敗審核在被跟蹤的進(jìn)程失敗時生成審核項 。 若要將該值設(shè)置為 ―無審核 ‖，請在此策略設(shè)置的 ―屬性 ‖對話框中選擇 ―定義這些策略設(shè)置 ‖復(fù)選框，清除 ―成功 ‖和 ―失敗 ‖復(fù)選框。 默認(rèn)值 : 無審核 Ｅ .審核目錄服務(wù)訪問 失敗 此安全設(shè)置確定是否審核用戶訪問指定了它自己的系統(tǒng)訪問控制列表(SACL)的 Active Directory 對象的事件。 默認(rèn)情況下，此值在默認(rèn)域控制器組策略對象 (GPO)中設(shè)置為 ―無審核 ‖，并且對于其不具意義的工作站和服務(wù)器保持為 ―未定義 ‖。 如果定義此策略設(shè)置，可以指定是否審核成功、審核失敗或者根本不審核事件類型。成功審核在用戶成 功訪問指定了 SACL 的 Active Directory 對象時生成審核項。失敗審核在用戶嘗試訪問指定了 SACL 的 Active Directory 對象失敗時生成審核項。若要將該值設(shè)置為 ―無審核 ‖，請在此策略設(shè)置的 ―屬性 ‖對話框中，選擇 ―定義這些策略設(shè)置 ‖復(fù)選框，清除 ―成功 ‖和 ―失敗 ‖復(fù)選框。 請注意，使用 Active Directory 對象 ―屬性 ‖對話框中 ―安全 ‖選項卡，可以在該對象上設(shè)置一個 SACL。這與 ―審核 ‖對象訪問是相同的，只不過它只適用于 Active Directory 對象， 對于文件系統(tǒng)和注冊表對象不適用。 默認(rèn)值 : 在域控制器上為 ―成功 ‖。 Ｆ .審核特權(quán)使用 失敗 此安全設(shè)置確定是否審核執(zhí)行用戶權(quán)限的用戶的每個實例。 如果定義此策略設(shè)置，可以指定是否審核成功、審核失敗或者根本不審核此類型的事件。成功審核在用戶權(quán)限執(zhí)行成功時生成審核項。失敗審核在用戶權(quán)限執(zhí)行失敗時生成審核項。 若要將該值設(shè)置為 ―無審核 ‖，請在此策略設(shè)置的 ―屬性 ‖對話框中選擇 ―定義這些策略設(shè)置 ‖復(fù)選框，清除 ―成功 ‖和 ―失敗 ‖復(fù)選框。 43 默認(rèn)值 : 無審核。 使用下列用戶權(quán)限時不生成審核，即使為 ―審核權(quán)限使用 ‖指定了 成功審核或失敗審核。啟用對這些用戶權(quán)限的審核往往會在安全日志中生成許多事件，這會影響計算機的性能。若要審核下列用戶權(quán)限，請啟用 FullPrivilegeAuditing 注冊表項。 繞過遍歷檢查 調(diào)試程序 創(chuàng)建令牌對象 替換進(jìn)程級令牌 生成安全審核 備份文件和目錄 還原文件和目錄 警告 : 錯誤地編輯注冊表可能嚴(yán)重?fù)p壞系統(tǒng)。在更改注冊表之前，應(yīng)當(dāng)備份計算機上的所有重要數(shù)據(jù)。 Ｇ .審核系統(tǒng)事件 成功失敗 此安全設(shè)置確定在用戶重新啟動或關(guān)閉計算機時或者在發(fā)生影響系統(tǒng)安全或安全日志的事件時是否審核。 如果定義此 策略設(shè)置，可以指定是否審核成功、審核失敗或者根本不審核該事件類型。成功審核在系統(tǒng)事件執(zhí)行成功時生成審核項。失敗審核在系統(tǒng)事件嘗試失敗時生成審核項。 若要將該值設(shè)置為 ―無審核 ‖，請在此策略設(shè)置的