密碼政策的設定項目如圖所示。
<a href="http://yttitan.blog.51cto.com/attachment/201411/4/70821_14150624715Zg0.png" target="_blank"></a>
密碼必須符合複雜性要求。複雜性要求是指使用者賬戶使用的密碼長度至少6位(最多127位),且必須是大寫字母、小寫字母、數字與符号4種字元中的任意3種以上的組合。
密碼長度最小值。确定使用者賬戶的密碼可以包含的最少字元個數,設定範圍0~14。
密碼最長使用期限。指密碼使用的最長時間,機關為天。設定範圍0~999,預設設定為42天。如果設定為0天,則代表密碼永不過期。
密碼最短使用期限。指應用密碼後,多長時間内不準修改,這項很少設定。
強制密碼曆史。指多少個最近使用過的密碼不允許再使用。設定範圍在0~24之間,預設值為0,代表可以随意使用過去使用的密碼。
下面是為使用者設定安全密碼推薦的操作:
密碼長度最小7個字元,而且包括大小寫字母、數字及特殊符号。
密碼中不要包括使用者的賬戶名、姓名或公司以及部門的名稱。
密碼不使用完整的單詞或詞組,但可以是一些不規則的組合。
與過去使用的密碼盡量不同。
推薦使用一句話密碼,如将“床前明月光”設為一句話密碼“ChuangQ1anM1ngYueGuang”。
賬戶鎖定政策是指當使用者輸入錯誤密碼的次數達到一個設定值時,就将此賬戶鎖定。鎖定的賬戶不能再登入,隻有等超過指定時間自動解除鎖定或由管理者手動解除鎖定。注意,賬戶鎖定政策對管理者賬戶administrator無效。
賬戶鎖定政策包括下面3個設定,如圖所示。
<a href="http://yttitan.blog.51cto.com/attachment/201411/4/70821_14150624712dbS.png" target="_blank"></a>
賬戶鎖定門檻值。指使用者輸入幾次錯誤的密碼後,将使用者賬戶鎖定。設定範圍0~999之間,預設值為0,代表不鎖定賬戶。
賬戶鎖定時間。指當使用者賬戶被鎖定後,多少分鐘後自動解鎖。設定範圍0分鐘~99999分鐘,0代表必須有管理者手動解鎖。
複位賬戶鎖定計數器。指使用者由于輸入密碼錯誤開始計數時,計數器保持的時間,當時間過後,計數器将複位為0。如果定義了賬戶鎖定門檻值,則該複位時間必須小于或等于賬戶鎖定時間。
推薦的賬戶鎖定政策設定:
<a href="http://yttitan.blog.51cto.com/attachment/201411/4/70821_1415062472H6tN.png" target="_blank"></a>
稽核政策可以用日志形式記錄系統中已經被稽核的事件,而系統管理者通過生成的日志檔案,能輕易發現和跟蹤發生在所管理區域内的可疑事件。比如:誰曾經通路過哪個檔案、哪些非法程式入侵了你的電腦等。可以稽核的事件如圖所示。
<a href="http://yttitan.blog.51cto.com/attachment/201411/4/70821_1415062472BGw1.png" target="_blank"></a>
在稽核的事件中比較常用的是:
稽核登入事件,稽核所有使用者的登入和登出事件。
稽核對象通路,稽核使用者通路某個對象的事件,如檔案、檔案夾、系統資料庫項等。
稽核系統事件,稽核使用者重新啟動或關閉計算機時或者對系統安全或安全日志有影響的事件。
稽核賬戶管理,稽核計算機上的每一個賬戶管理事件,包括:建立、更改或删除使用者賬戶或組;命名、禁用或啟用使用者賬戶;設定或更改密碼等。
稽核政策的安全設定選項包括以下幾個方面:
成功:請求的操作成功執行時會生成一個稽核項。
失敗:請求的操作失敗時會生成一個稽核項。
無稽核:相關操作不會生成稽核。
例如要稽核對象通路類别成功和失敗的事件,首先需要輕按兩下稽核政策中的“稽核對象通路”政策,然後選擇“成功”和“失敗”。
<a href="http://yttitan.blog.51cto.com/attachment/201411/4/70821_1415062472WtI8.png" target="_blank"></a>
通常,失敗日志比成功日志更有意義,因為失敗通常說明有錯誤發生。例如,使用者成功登入到計算機通常被視為正常,但如果有人多次嘗試登入到計算機都未能成功,則說明可能有攻擊者在嘗試使用他人的賬戶侵入此計算機。
推薦按下圖設定稽核政策:
<a href="http://yttitan.blog.51cto.com/attachment/201411/4/70821_1415062473eOQs.png" target="_blank"></a>
4 不顯示上次登入的使用者名
<a href="http://yttitan.blog.51cto.com/attachment/201411/4/70821_1415062473U9Gn.png" target="_blank"></a>
<a href="http://yttitan.blog.51cto.com/attachment/201411/4/70821_1415062473lDt0.png" target="_blank"></a>
将guest賬号禁用。
将Administrator賬号改名,如改為testuser1。
然後再建立一個名為Administrator的賬号,為賬号設定超級複雜的密碼。
<a href="http://yttitan.blog.51cto.com/attachment/201411/4/70821_1415062474vH8t.png" target="_blank"></a>
并将賬号添加到guests組。
<a href="http://yttitan.blog.51cto.com/attachment/201411/4/70821_14150624743QZV.png" target="_blank"></a>
本文轉自 yttitan 51CTO部落格,原文連結:http://blog.51cto.com/yttitan/1571515
![(1)如何快速的在指定檔案夾打開指令行?(1)如何快速的在指定檔案夾打開指令行?[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)