【正文】 而在工作站中，如 Windows 2022 Professional/XP系統(tǒng)中，都可以在 “ 控制面板 ” 中的 “ 管理工具 ” 中找到 “ 本地安全策略 ” 選項，這些用戶權(quán)限的配置就是在這里配置的。在 Windows Server 2022系統(tǒng)中，可以給用戶配置的權(quán)限比較多，總的來說可以分為大類：特權(quán)和用戶登錄權(quán)利。 域用戶權(quán)限分配 域用戶和組的權(quán)限可以在服務(wù)器和各工作站計算機中分別設(shè)置，當(dāng)然并不一定要求對以下介紹的選項進行全面設(shè)置，只是對有需要的進行設(shè)置就可以了?？蓪⑦@些容器中的組移動到域中的其他組或組織單位，但不能將它們移動到其他域。默認組位于 “ Builtin”容器和 “ Users”容器中。當(dāng)您將用戶添加到組中時，用戶將接受指派給該組的所有用戶權(quán)利以及指派給該組的有關(guān)任何共享資源的所有權(quán)限。 域默認組賬戶 默認組 是當(dāng)創(chuàng)建 Active Directory域時自動創(chuàng)建的安全組。 Administrator賬戶具有最廣泛的權(quán)利和權(quán)限，而 Guest賬戶的權(quán)利和權(quán)限則有限。 Administrator、 Guest和 HelpAssistant三個用戶賬戶是系統(tǒng)安裝并創(chuàng)建域時自動創(chuàng)建的，其他用戶賬戶是在安裝一些服務(wù)器服務(wù)和應(yīng)用程序后自動創(chuàng)建的。所以，我們在為用分配權(quán)限時先要清楚系統(tǒng)默認的用戶和組賬戶，以及它們各自的權(quán)限。具體方法參見書本 P204~P205頁介紹。 刪掉不必要的協(xié)議 對于服務(wù)器和主機來說，一般只安裝 TCP/IP協(xié)議就夠了，因為現(xiàn)在主流的操作系統(tǒng)都是采用TCP/IP協(xié)議進行網(wǎng)絡(luò)通信的。 關(guān)閉 “ 文件和打印共享 ” 功能 文件和打印共享是一個非常有用的功能，但在不需要它的時候，也是黑客入侵的很好的安全漏洞，所以在沒有必要共享的情況下，最好也將它們禁用。這樣一來，入侵者就很難搞清哪個賬戶真正擁有管理員權(quán)限，也就在一定程度上減少了危險性。黑客入侵的常用手段之一就是試圖獲得 Administrator賬戶的密碼，所以我們要重新配置 Administrator帳號。 從用戶列表中刪除這個賬戶即可，或者把 Guest賬戶訪問此文件夾的權(quán)限僅設(shè)置為 “ 列出文件夾目錄 ” 或 “ 讀取 ”之類較低的權(quán)限，這樣就安全多了。也正因如此，它給我留下了相當(dāng)大的安全隱患，有些黑客可以通過這個賬戶先登錄系統(tǒng)，然后通過賬戶復(fù)制功能，把管理員權(quán)限復(fù)制到這個來賓賬戶上，這樣黑客們就可以為所欲為了。 Guest賬戶和更改管理員賬戶名 有很多入侵都是通過 Guest（來賓）賬戶進一步獲得管理員密碼或者權(quán)限，進而實現(xiàn)他們攻擊的目的。 Kerberos策略的具體設(shè)置方法參見書本 P200~P202頁介紹。 Kerberos策略選項包括：強制用戶登錄限制、服務(wù)票證最長壽命、用戶票證最長壽命、用戶票證續(xù)訂最長壽命、計算機時鐘同步的最大容差。運行 Windows Server 2022家族成員、 Windows XP Professional或 Windows 2022的計算機將自動更新當(dāng)前時間，并將域控制器用作網(wǎng)絡(luò)時間服務(wù)。 NTLM身份驗證協(xié)議 是用來處理兩臺計算機（其中至少有一臺計算機運行 Windows NT ）之間事務(wù)的協(xié)議。 使用 Kerberos V5進行成功的身份驗證需要兩個客戶端系統(tǒng)都必須運行 Windows 202 Windows Server 2022家族或Windows XP Professional操作系統(tǒng)。例如，可設(shè)置用戶的 Kerberos 5票證生存周期。 Kerberos可對域內(nèi)的資源和駐留在受信任的域中的資源提供單一登錄。 Inter協(xié)議安全性（ IPSec）可以使用 Kerberos協(xié)議進行身份驗證。這部分包含以下三個方面： ?賬戶鎖定時間 ?賬戶鎖定閾值 ?復(fù)位賬戶鎖定計數(shù)器 以上策略的具體設(shè)置方法參見書本 P197~P199頁介紹。 賬戶鎖定策略用于域賬戶或本地用戶賬戶。 賬戶鎖定策略配置 賬戶鎖定策略就是讓在指定的時間段內(nèi)，輸入不正確的密碼達到了指定的次數(shù)，將禁用用戶賬戶。而為了欺騙那些非法用戶，通常把一個具有較低權(quán)限的用戶名改為 administrator。 對于密碼策略的設(shè)置和應(yīng)用還可以在組策略中進行，具體方法是在 “ Active Directory用戶和計算機 ” 管理工具中，在域控制器上單擊右鍵，在彈出菜單中選擇 “ 屬性 ” 選項，然后在打開的對話框中選擇 “ 組策略 ” 選項卡， 具體配置方法參見書本 P196頁介紹。作為安全性的最佳操作，可以考慮使用運行方式來執(zhí)行這個過程。作為安全性的最佳操作，可以考慮使用運行方式來執(zhí)行這個過程。但執(zhí)行該過程時需要視環(huán)境的不同而使用不同的管理憑據(jù)： ?如果創(chuàng)建或更新系統(tǒng)密鑰用于本地計算機：要執(zhí)行該過程，您必須是本地計算機 Administrators組的成員，或者您必須被委派適當(dāng)?shù)臋?quán)限。破解經(jīng)過加密的賬戶密碼會變得更加困難，更為耗時。系統(tǒng)密鑰實用程序（ Syskey）為對抗密碼破解軟件建立了另一道防線。在域控制器上，密碼信息存儲在目錄服務(wù)中。這部分設(shè)置項目包括： ?強制密碼歷史 ?密碼最長使用期限 ?密碼最短使用期限 ?密碼長度最小值 ?密碼必須符合復(fù)雜性要求 ?用可還原的加密來存儲密碼 本節(jié)詳細內(nèi)容參見書本的 P192~P194頁。 本節(jié)詳細內(nèi)容參見書本的 P191~P192頁。 3. 謹慎定義賬戶鎖定策略 ?不要隨意使用賬戶鎖定策略 ?如果決定采用賬戶鎖定策略，應(yīng)設(shè)置足夠高的 “ 賬戶鎖定閾值 ” 策略設(shè)置，使合法用戶不至于僅因敲錯了密碼而被鎖定。 ?定義 “ 最短密碼長度 ” 策略設(shè)置，可以使密碼必須至少包含