【正文】 就會(huì)出現(xiàn)如下提示： ? 您已經(jīng)指定的管理員帳戶的密碼不符合密碼的條件，建議使用的密碼應(yīng)符合下列條件之中的前二個(gè)及至少三個(gè)： 至少 6個(gè)字符 不包含 Administrator或 Admin 包含大寫字母（ A、 B、 C等等） 包含小寫字母（ a、 b、 c等等） 包含數(shù)字（ 0、 2等等） 包含非字母數(shù)字字符（ 、 amp。、 ~等等） 您確定要繼續(xù)使用當(dāng)前密碼嗎？ （ 1）安裝過程中的安全問題 3) 在完全配置完成后 不要把機(jī)器立即接到網(wǎng)絡(luò)中（包括局域網(wǎng)），因?yàn)檫@時(shí)候你的存在漏洞的系統(tǒng)隨時(shí)等候別人的“照顧”，只要有人連接上來(lái)，就是Admin權(quán)限。這一點(diǎn)相信了解安全的朋友都知道。 （ 2）初級(jí)安全配置 1) 關(guān)閉默認(rèn)的磁盤共享，修改組或用戶對(duì)磁盤的控制權(quán)限 ? 安裝完成后，默認(rèn)是共享了所有硬盤分區(qū)的，還包括提供遠(yuǎn)程 IPC（ Inter Process Connection）和遠(yuǎn)程管理的兩個(gè)共享： IPC$和 ADMIN$，這就為以后的系統(tǒng)安全埋下了隱患。 ? 解決這個(gè)問題有很多辦法，一種簡(jiǎn)單可行的解決方案，禁用 Server服務(wù)。 （ 2）初級(jí)安全配置 2) 修改組或用戶的訪問權(quán)限，達(dá)到需要的安全要求 ? 由于在安裝時(shí)使用了 NTFS系統(tǒng)，我們可以對(duì)任何文件及文件夾進(jìn)行權(quán)限設(shè)置，使得各組和用戶對(duì)某一文件或文件夾的控制權(quán)不同。 ? 通過這樣的配置就能達(dá)到一定的安全要求。 （ 2）初級(jí)安全配置 3) 利用加密文件系統(tǒng)（ EFS），加密文件或文件夾 ? Windows Server 2021支持利用 EFS技術(shù)對(duì)任意文件或文件夾進(jìn)行加密，這是一種核心的文件加密技術(shù)，基于 NTFS系統(tǒng)，只有 NTFS系統(tǒng)的磁盤才能使用此技術(shù)。 ? 加密后的文件或文件夾就不可被除此用戶以外的任何用戶訪問，而無(wú)論你的身份有多高。這樣就能更好的保護(hù)自己的敏感數(shù)據(jù)和重要文件。 （ 2）初級(jí)安全配置 4) 通過“軟件限制策略”限制任意程序的使用 ? 在計(jì)算機(jī)的日常使用中，我們總是需要限制某些用戶執(zhí)行所有或部分程序，通過設(shè)置合理的規(guī)則可以鎖定系統(tǒng)所有或部分程序的運(yùn)行。 ? “軟件限制策略”控制未知或不信任的軟件的運(yùn)行需求，從而從一定程度上達(dá)到預(yù)防病毒和木馬的功效，為營(yíng)造一個(gè)安全的環(huán)境提供了條件。 ? “軟件限制策略”和權(quán)限沒有關(guān)系，如果限制了某個(gè)程序不能執(zhí)行，無(wú)論你以何身份來(lái)運(yùn)行都會(huì)提示不能運(yùn)行。經(jīng)過處理后的程序?qū)h(yuǎn)程登錄的用戶一樣適用。 （ 3）高級(jí)安全設(shè)置 1) 禁止不必要的服務(wù)，杜絕隱患 ? 服務(wù)從本質(zhì)上說(shuō)也只是一個(gè)程序而已，它與其他程序所不同的地方在于它提供一種特殊的功能來(lái)支持系統(tǒng)完成特定的工作。 ? Windows Server 2021安裝完后默認(rèn)有 84項(xiàng)服務(wù)，默認(rèn)隨系統(tǒng)啟動(dòng)的有 36項(xiàng)。這里面每一項(xiàng)服務(wù)是否安全，特別是那些隨系統(tǒng)啟動(dòng)的服務(wù)是否有被利用的可能性，這對(duì)安全來(lái)說(shuō)了非常重要的。 （ 3）高級(jí)安全設(shè)置 2) 改變遠(yuǎn)程控制的默認(rèn)模式 ? 對(duì)于個(gè)人用戶來(lái)說(shuō)，終端服務(wù)一般來(lái)說(shuō)是不適用的，它的危險(xiǎn)性遠(yuǎn)大于它帶來(lái)的幫助，它允許從網(wǎng)絡(luò)中的任何虛擬計(jì)算機(jī)上管理你的機(jī)器。 ? 看看微軟的說(shuō)明：可使用運(yùn)行 Windows Server 2021家族操作系統(tǒng)的任何計(jì)算機(jī)，通過“管理遠(yuǎn)程桌面”，來(lái)遠(yuǎn)程管理服務(wù)器。 ? 使用系統(tǒng)自帶的“遠(yuǎn)程桌面連接”即可完成連接和控制，所以，對(duì)于普通用戶來(lái)說(shuō)，必須禁止終端服務(wù)。 （ 3）高級(jí)安全設(shè)置 3) 配置本地安全設(shè)置 ? 雖然微軟聲稱 Windows Server 2021按默認(rèn)安裝后其安全性很強(qiáng)，但也有很多地方需要經(jīng)過細(xì)心配置才能達(dá)到所需要的安全性。“本地安全設(shè)置”就是需要好好配置的一塊地方。 ? 從“管理工具”里打開“本地安全設(shè)置”。其中的密碼策略、帳戶鎖定策略、審核策略、擁護(hù)權(quán)限分配、安全選項(xiàng)等都需要仔細(xì)配置。具體要設(shè)置那些行為的權(quán)限，要看用戶的具體情況。 ? 雖然這需要有較大的耐心一項(xiàng)一項(xiàng)的配置，但它卻是一勞永逸的做法。每一項(xiàng)策略，都需要具體配置，這樣才能打造出一道堅(jiān)不可摧的系統(tǒng)防線。 （ 4）一些安全常識(shí)和注意事項(xiàng) 1) 杜絕基于 Guest帳戶的系統(tǒng)入侵 ? Guest用戶作為一個(gè)來(lái)賓帳戶，他的權(quán)限是很低的，而且默認(rèn)密碼為空，這就使得入侵者可以利用種種途徑，通過 Guest登錄并最終拿到 Admin權(quán)限。 ? 通過對(duì)入侵者行為的分析，發(fā)現(xiàn)禁用或徹底刪除 Guest帳戶是最好最根本的辦法。 ? 但在某些必須使用到 Guest帳戶的情況下，就需要通過其他途徑來(lái)做好防御工作了。首先是要給 Guest加一個(gè)強(qiáng)的密碼，然后，按照初級(jí)安全配置里面介紹的方法，詳細(xì)設(shè)置 Guest帳戶對(duì)物理路徑的訪問權(quán)限。 （ 4）一些安全常識(shí)和注意事項(xiàng) 2) 為 Administrator用戶改名，并設(shè)置復(fù)雜密碼 ? Administrator帳戶擁有最高的系統(tǒng)權(quán)限，一旦此帳戶被人利用，后果不堪設(shè)想。這就使得必須加強(qiáng)此帳戶的管理。 ? 首先，重命名系統(tǒng)管理員帳戶；其次，當(dāng)然也是為其設(shè)置一個(gè)強(qiáng)大復(fù)雜的密碼。 （ 4）一些安全常識(shí)和注意事項(xiàng) 3) 其他需要注意的地方 ? 隨時(shí)警惕系統(tǒng)、安全、應(yīng)用程序的日志，警惕注冊(cè)表啟動(dòng)項(xiàng)的變化，警惕用戶帳戶等敏感的地方是保證系統(tǒng)安全的必要條件。 ? 經(jīng)常備份數(shù)據(jù)以應(yīng)付災(zāi)難性事故。 ? 用戶和權(quán)限的分配應(yīng)當(dāng)本著最小權(quán)限原則，即在不影響用戶正常使用的情況下，為其分配最小的權(quán)限。 ? 系統(tǒng)安全是個(gè)長(zhǎng)期性的工作，就算配置的系統(tǒng)再好，也可能被人利用新的漏洞攻破，這就使得管理員必須隨時(shí)學(xué)習(xí)。 UNIX系統(tǒng)的安全 1． Unix系統(tǒng)的安全特征 （ 1） 訪問控制： 系統(tǒng)通過訪問控制列表 ACL， 使用戶可以自行改變文件的安全級(jí)別和訪問權(quán)限 。 （ 2） 對(duì)象的可用性： 當(dāng)一個(gè)對(duì)象不再使用時(shí) ， 在它回到自由對(duì)象之前 ， TCB（ Trusted Computer Base） 將會(huì)清除它 ， 以備下次需要時(shí)使用 。 1． Unix系統(tǒng)的安全特征 （ 3） 身份標(biāo)識(shí)與認(rèn)證 在用戶登錄時(shí) ， 采用一個(gè)基于 DES的 hash算法 ， 對(duì)輸入的口令進(jìn)行加密 ， 然后與存放的密文進(jìn)行比較 ， 保證身份的安全性 。 （ 4） 審計(jì)記錄 Unix系統(tǒng)能夠?qū)κ录M(jìn)行記錄 ， 如文件的操作 、 系統(tǒng)管理等與安全有關(guān)的事件 ， 以便對(duì)安全問題進(jìn)行跟蹤 。 （ 5） 操作的可靠性 Unix系統(tǒng)通過對(duì)用戶的分級(jí)管理 、 對(duì)運(yùn)行級(jí)別的劃分以及訪問控制機(jī)制 ， 能很好地保證操作系統(tǒng)的可靠性 。 2． Unix的安全模型 ? Unix系統(tǒng)把認(rèn)證建立在用戶名和密碼上。系統(tǒng)保留了一個(gè)密碼數(shù)據(jù)庫(kù)（通常保留在文件或者 /etc/passwd中 )，數(shù)據(jù)庫(kù)中并沒有存儲(chǔ)真正的密碼而是由 hash函數(shù)計(jì)算出的對(duì)應(yīng)密碼的密文。 (1)hashing 密碼 ? 當(dāng)一個(gè)用戶想進(jìn)行密碼認(rèn)證進(jìn)入一臺(tái)機(jī)器時(shí)，用戶所輸入的密碼進(jìn)行一次與貯存密碼時(shí)同樣的 hash運(yùn)算，如果兩個(gè) hash值相匹配，系統(tǒng)通過了該用戶的認(rèn)證并允許其進(jìn)入。 (1)hashing 密碼 ? Unix系統(tǒng)傳統(tǒng)上使用一個(gè)基于美國(guó)政府的 Data Encryption Standard（ DES）的 hash運(yùn)算法則。這種運(yùn)算法則，它只考慮密碼中的前八位字符，而將其它字符遺棄了。這樣，理論上攻擊者可以在嘗試一本包括所有的八個(gè)字符的密碼的字典后，對(duì)系統(tǒng)進(jìn)行一次暴力破解攻擊。 ? 這種看似不可能的攻擊，在如今硬件速度越來(lái)越快并且計(jì)算過程分散的條件下，只要攻擊者有足夠的資源是非常可行的。這就表明我們需要一個(gè)不能忽視額外信息的密碼保護(hù)方案。 ? 事實(shí)上，最近一些的 Unix系統(tǒng)已經(jīng)開始轉(zhuǎn)向 MD5 hash的功能了，這種功能允許使用任意長(zhǎng)度的密碼。 (2)存儲(chǔ)密碼 ? 一些安全問題與存儲(chǔ)密碼的數(shù)據(jù)庫(kù)有關(guān)。當(dāng)一種系統(tǒng)使用 Unix的標(biāo)準(zhǔn)網(wǎng)絡(luò)文件系統(tǒng)（ NFS）來(lái)維持其密碼數(shù)據(jù)庫(kù)時(shí)，圍繞認(rèn)證而借此通過控制網(wǎng)絡(luò)的準(zhǔn)入而獲得進(jìn)入個(gè)人電腦的許可是困難的，但也是可能的。這是由于當(dāng)密碼信息經(jīng)過網(wǎng)絡(luò)時(shí)， NFS 協(xié)議不能提供足夠的保護(hù)。一個(gè)聰明的攻擊者可以從 NFS服務(wù)器中復(fù)制回應(yīng)的信息，即使使用一個(gè)無(wú)效的密碼也能夠進(jìn)入電腦。 ? Unix的額外安全措施避免攻擊者取得通用密碼的目錄，使得他們不能查出經(jīng)過 hash運(yùn)算的密碼。這種機(jī)制被稱為 salt。在密碼進(jìn)行 hash運(yùn)算之前，系統(tǒng)隨便選擇一些數(shù)據(jù)把其添加在密碼的前面（即“ salt” 密碼）。 (2)存儲(chǔ)密碼 ? 因此，即使兩個(gè)人擁有同樣的密碼，由于他們的“ salts” 很可能是不同的，所以他們的 hash值也是不同的。 ? 這個(gè)方案有一個(gè)缺陷： Unix的系統(tǒng)會(huì)沿著密碼來(lái)存儲(chǔ)salt。如果攻擊者擁有密碼數(shù)據(jù)庫(kù)，他們可以嘗試用任何一個(gè)特殊的 salt 去 hash通用密碼字典中的任何一個(gè)密碼。然后，他們還可以與存儲(chǔ)的 hash一一對(duì)照。這種猜測(cè)是另一種暴力攻擊，而且在破解真正的密碼時(shí)有顯著的效果，往往只需要幾天甚至幾小時(shí)。 ? Unix的訪問控制中， Unix通過分配給用戶一個(gè)獨(dú)有的整數(shù) UID(用戶身份標(biāo)識(shí) )來(lái)區(qū)分不同的用戶，用戶也可以屬于一個(gè)組。 ? 所謂組就是把一些用戶組合在一起，同樣，每個(gè)組都有自己的（ GID）組身份標(biāo)識(shí)。 UID0是一個(gè)特殊的整數(shù)，是用來(lái)識(shí)別系統(tǒng)管理員的。這個(gè)特殊的標(biāo)識(shí)能夠?yàn)橹劳ㄐ琶艽a的用戶提供對(duì)機(jī)器的完全訪問權(quán)。 ? 系統(tǒng)在一個(gè) UID或者 GID中分配所有的對(duì)象（包括了文件和目錄）；這些標(biāo)識(shí)定義了誰(shuí)擁有了對(duì)象。與此同時(shí)，這些整數(shù)定義了對(duì)象的所屬權(quán)。系統(tǒng)將每一個(gè)訪問許可都與對(duì)象所屬權(quán)聯(lián)系起來(lái)，這些許可指示了誰(shuí)能從中讀出、寫入和執(zhí)行對(duì)象（如果它是一個(gè)程序）。 （ 1） 防止緩沖區(qū)溢出：利用 UNIX系統(tǒng)具有把用戶堆棧設(shè)成不可執(zhí)行的功能 ， 就可以防御緩沖區(qū)溢出攻擊 。 （ 2） 關(guān)閉不用的服務(wù)：由于 UNIX中許多用不著的服務(wù)自動(dòng)處于激活狀態(tài) ， 帶來(lái)安全漏洞 ， 因此 ， 應(yīng)該關(guān)閉不用的服務(wù) ， 限制文件的訪問權(quán)限 。 （ 3） 給系統(tǒng)打補(bǔ)?。?UNIX系統(tǒng)的漏洞都有了相應(yīng)的補(bǔ)丁程序 ， 因此 ， 要及時(shí)給系統(tǒng)打補(bǔ)丁 。 （ 4） 重要主機(jī)單獨(dú)設(shè)立網(wǎng)段：重要主機(jī)應(yīng)該單獨(dú)設(shè)立網(wǎng)段 ， 以免被攻破時(shí)造成全部信息的暴露 。 （ 5） 定期檢查日志：定期檢查日志 ， 并及時(shí)備份 。 5． Unix安全的措施