【正文】 密碼的使用最好遵循以下幾個主要原則： 1. 鼓勵用戶遵循最佳密碼保護策略 ?始終使用強密碼。 ?永遠不要與任何人共享密碼。 ?密碼一旦泄露，應(yīng)立即更改密碼。 2. 定義密碼策略，用強密碼保護所有用戶賬戶 ?定義 “ 強制密碼歷史 ” 策略設(shè)置，可以使系統(tǒng)記憶幾個以前用過的密碼。 ?定義 “ 最短密碼期限 ” 策略設(shè)置，可以使密碼在指定的天數(shù)內(nèi)無法更改。 ?啟用 “ 密碼必須符合復(fù)雜性要求 ” 策略設(shè)置。 ?如果合法用戶在一臺計算機上更改了密碼，但沒有同時更改另一臺計算機上的密碼，這時合法用戶將被鎖定。 域賬戶密碼策略的設(shè)置 密碼策略的設(shè)置方法同樣適用于域賬戶或本地用戶賬戶。 用戶賬戶的密碼信息存儲在工作站和成員服務(wù)器注冊表的安全賬戶管理器（ SAM）數(shù)據(jù)庫中。通常情況下，密碼破解軟件大都針對 SAM數(shù)據(jù)庫或目錄服務(wù)來獲取用戶賬戶的密碼。它使用強加密技術(shù)來保證存儲在 SAM數(shù)據(jù)庫或目錄服務(wù)中的賬戶密碼信息的安全。 創(chuàng)建或更新系統(tǒng)密鑰的具體步驟參見書中 P195頁介紹。如果將計算機加入域， Domain Admins組的成員可能也可以執(zhí)行這個過程。 ?如果創(chuàng)建或更新系統(tǒng)密鑰用于域控制器：若要執(zhí)行此過程，您必須是 Active Directory中 Domain Admins組或 Enterprise Admins組的成員，或者您必須被委派了適當?shù)臋?quán)限。 如果存儲系統(tǒng)密鑰的磁盤丟失，或在選擇了 “ 密碼啟動 ”方式后又忘記了系統(tǒng)密鑰密碼，您將無法啟動計算機，除非將注冊表還原到使用系統(tǒng)密鑰之前的狀態(tài)。 【 技巧 】 因為系統(tǒng)管理員賬戶 Administrator大家都知道，所以出于安全考慮，通常把系統(tǒng)管理員賬戶名稱進行更改（注意，包括賬戶說明）。如果當前是采用 administrator系統(tǒng)管理員賬戶登錄域控制器的，則在管理員賬戶名更改后系統(tǒng)要求注銷當前用戶，重新以新名稱登錄。這些策略設(shè)置有助于防止攻擊者猜測用戶密碼，并由此減少成功襲擊所在網(wǎng)絡(luò)的可能性。它們確定某個賬戶被系統(tǒng)鎖定的情況和時間長短。 Kerberos身份驗證策略配置 Kerberos V5身份驗證協(xié)議是用于確認用戶或主機身份的身份驗證機制，也是 Windows 2022和 Windows Server 2022系統(tǒng)默認的身份驗證服務(wù)。 對于在安裝過程中所有加入到 Windows Server 2022或Windows 2022域的計算機都默認啟用 Kerberos V5身份驗證協(xié)議?？赏ㄟ^那些作為賬戶策略一部分的Kerberos安全設(shè)置來控制 Kerberos配置的某些方面。作為管理員，可以使用默認的 kerberos策略，也可以更改它以適應(yīng)環(huán)境的需要。 如果客戶端系統(tǒng)嘗試向運行其他操作系統(tǒng)的服務(wù)器進行身份驗證，則使用 NTLM協(xié)議作為身份驗證機制。 使用 Kerberos進行身份驗證的計算機必須使其時間設(shè)置在5分鐘內(nèi)與常規(guī)時間服務(wù)同步，否則身份驗證將失敗。 Kerberos策略用于域用戶賬戶，同樣既可在 “ 默認域安全策略 ” 中配置，又可在域的組策略中配置。 域賬戶的 Kerberos策略既可以在 “ 默認域安全策略 ” 中設(shè)置，又可以在域組策略中設(shè)置，但它們的設(shè)置方法都是一樣的，不同的只是打開兩者窗口的方式不一樣。 封死黑客的 “ 后門 ” 一個操作系統(tǒng)，特別是一個服務(wù)器操作系統(tǒng)中，由于開放了許多網(wǎng)絡(luò)服務(wù)，所以可以作為黑客攻擊 “ 后門 ” 的有許多，在此僅以最主要幾種類型介紹。 Guest賬戶可以為我們用戶間文件共享提供方便，因為它可以使其他用戶以匿名方式訪問自己的共享文件，而無需輸入正確的用戶名和密碼。 禁用這個賬戶的方法很簡單，而且方法有多種，書中介紹一種同時適用于 Windows 2022/XP/Server 2022系統(tǒng)的方法， 參見書本 P202~P203頁。 系統(tǒng)管理員（ Administrator）賬戶擁有最高的系統(tǒng)權(quán)限，一旦該賬戶被人利用，后果不堪設(shè)想。首先是為 Administrator賬戶設(shè)置一個強大復(fù)雜的密碼，然后我們重命名 Administrator賬戶，再創(chuàng)建一個沒有管理員權(quán)限的 Administrator賬戶欺騙入侵者（注意，要對相應(yīng)賬戶的描述重新描述，以蒙騙那些非法用戶）。 至于管理員賬戶 Administrator的更改可以在該賬戶上單擊右鍵，在彈出菜單中選擇 “ 重命名 ” 選項，然后按平常所進行的重命名方法一樣重命名即可。方法很簡單，在 Windwos 2022/XP/Server 2022系統(tǒng)中的方法 參見書本 P203~P204頁介紹。如果安裝了其他協(xié)議，可以對那些定無用的協(xié)議徹底刪除。 用戶賬戶權(quán)限分配 用戶權(quán)限的分配主要是通過兩種方式進行的：系統(tǒng)默認用戶或組賬戶已具有相應(yīng)的權(quán)限（但不是所有默認組都有的）；其他新建用戶和組則是通過隸屬于系統(tǒng)默認組賬戶來獲取相應(yīng)權(quán)限。 Windows Server 2022域默認賬戶及權(quán)限 在圖 62所示的 “ Active Directory用戶和計算機 ” 管理工具中的 “ Users”容器中包含了系統(tǒng)默認的三個用戶賬戶，它們分別是 Administrator（系統(tǒng)管理員賬戶）、 Guest（來賓賬戶）和 HelpAssistant（遠程協(xié)助賬戶）。每個內(nèi)置賬戶均有不同的權(quán)利和權(quán)限組合。 圖 62 “Active Directory用戶和計算機 ” 管理工具窗口 這三個默認用戶賬戶的相應(yīng)權(quán)限參見書本 P206頁的表 63?？梢允褂眠@些預(yù)定義的組幫助您控制對共享資源的訪問，并委派特定的域范圍的管理角色 .許多默認