1 启用密码策略

密码策略的设置项目如图所示。

网络安全系列之二十二 Windows用户账号加固_第1张图片

  • 密码必须符合复杂性要求。复杂性要求是指用户账户使用的密码长度至少6位(最多127位),且必须是大写字母、小写字母、数字与符号4种字符中的任意3种以上的组合。

  • 密码长度最小值。确定用户账户的密码可以包含的最少字符个数,设置范围0~14。

  • 密码最长使用期限。指密码使用的最长时间,单位为天。设置范围0~999,默认设置为42天。如果设置为0天,则代表密码永不过期。

  • 密码最短使用期限。指应用密码后,多长时间内不准修改,这项很少设置。

  • 强制密码历史。指多少个最近使用过的密码不允许再使用。设置范围在0~24之间,默认值为0,代表可以随意使用过去使用的密码。

下面是为用户设置安全密码推荐的操作:

  • 密码长度最小7个字符,而且包括大小写字母、数字及特殊符号。

  • 密码中不要包括用户的账户名、姓名或公司以及部门的名称。

  • 密码不使用完整的单词或词组,但可以是一些不规则的组合。

  • 与过去使用的密码尽量不同。

  • 推荐使用一句话密码,如将“床前明月光”设为一句话密码“ChuangQ1anM1ngYueGuang”。

 
2 启用账户锁定策略

账户锁定策略是指当用户输入错误密码的次数达到一个设定值时,就将此账户锁定。锁定的账户不能再登录,只有等超过指定时间自动解除锁定或由管理员手动解除锁定。注意,账户锁定策略对管理员账户administrator无效。

账户锁定策略包括下面3个设置,如图所示。

网络安全系列之二十二 Windows用户账号加固_第2张图片

  • 账户锁定阈值。指用户输入几次错误的密码后,将用户账户锁定。设置范围0~999之间,默认值为0,代表不锁定账户。

  • 账户锁定时间。指当用户账户被锁定后,多少分钟后自动解锁。设置范围0分钟~99999分钟,0代表必须有管理员手动解锁。

  • 复位账户锁定计数器。指用户由于输入密码错误开始计数时,计数器保持的时间,当时间过后,计数器将复位为0。如果定义了账户锁定阈值,则该复位时间必须小于或等于账户锁定时间。

推荐的账户锁定策略设置:

网络安全系列之二十二 Windows用户账号加固_第3张图片

 
3 设置审核策略

审核策略可以用日志形式记录系统中已经被审核的事件,而系统管理员通过生成的日志文件,能轻易发现和跟踪发生在所管理区域内的可疑事件。比如:谁曾经访问过哪个文件、哪些非法程序***了你的电脑等。可以审核的事件如图所示。

网络安全系列之二十二 Windows用户账号加固_第4张图片

在审核的事件中比较常用的是:

  • 审核登录事件,审核所有用户的登录和注销事件。

  • 审核对象访问,审核用户访问某个对象的事件,如文件、文件夹、注册表项等。

  • 审核系统事件,审核用户重新启动或关闭计算机时或者对系统安全或安全日志有影响的事件。

  • 审核账户管理,审核计算机上的每一个账户管理事件,包括:创建、更改或删除用户账户或组;命名、禁用或启用用户账户;设置或更改密码等。

审核策略的安全设置选项包括以下几个方面:

  • 成功:请求的操作成功执行时会生成一个审核项。

  • 失败:请求的操作失败时会生成一个审核项。

  • 无审核:相关操作不会生成审核。

例如要审核对象访问类别成功和失败的事件,首先需要双击审核策略中的“审核对象访问”策略,然后选择“成功”和“失败”。

网络安全系列之二十二 Windows用户账号加固_第5张图片

通常,失败日志比成功日志更有意义,因为失败通常说明有错误发生。例如,用户成功登录到计算机通常被视为正常,但如果有人多次尝试登录到计算机都未能成功,则说明可能有***者在尝试使用他人的账户侵入此计算机。

推荐按下图设置审核策略:

网络安全系列之二十二 Windows用户账号加固_第6张图片

 

4 不显示上次登录的用户名

网络安全系列之二十二 Windows用户账号加固_第7张图片

 
5 不允许SAM账户和共享的匿名枚举

网络安全系列之二十二 Windows用户账号加固_第8张图片

 
6 修改系统默认账号

将guest账号禁用。

将Administrator账号改名,如改为testuser1。

然后再创建一个名为Administrator的账号,为账号设置超级复杂的密码。

网络安全系列之二十二 Windows用户账号加固_第9张图片

并将账号添加到guests组。 

网络安全系列之二十二 Windows用户账号加固_第10张图片