《Windows安全配置 教学课件 ppt 作者 冯秀彦 吕秀鉴 褚云霞 第三章 账户设置安全》由会员分享,可在线阅读,更多相关《Windows安全配置 教学课件 ppt 作者 冯秀彦 吕秀鉴 褚云霞 第三章 账户设置安全(30页珍藏版)》请在金锄头文库上搜索。
1、第三章 账户设置安全,本章描述:所有的计算机用户登录计算机都需要一个许可的用户账户,这个账户的安全直接关系到windows 系统的安全。什么是用户账户?用户权限是如何分配的?我们怎样才能保证用户账户的安全呢?本章重点解决多用户操作系统的账户安全问题。,3.1账户设置安全标准,本章介绍了多个用户账户的安全设置策略和设置过程。通过5个子任务进行用户账户安全的相关设定,结合账户安全的相关策略,建立如下账户设置安全标准: 1、能够根据用户需要,修改密码设置策略和账户锁定策略 2、会为用户设置登录锁定策略 3、会在工作组和域模式下为用户指派不同的权限 4、设置管理员账户的安全策略 5、会利用系统账户数据
2、库加密和备份的方法,来保护数据安全。,3.2 设置账户策略,任务描述1:用户账户是否安全,取决于密码的复杂度密码和设定尝试密码的次数。如何进行密码策略的设置,加强密码的保护,从而加强系统的安全性呢? 技能要求:启用账户安全策略,掌握为用户配置密码策略的方法。,3.2.1密码策略,密码是用户登录Windows系统的钥匙,如果没有钥匙总是要费一番力气后,才能登录到目标操作系统。无论入侵者采用何种远程攻击,如果无法获得管理员或超级管理员的用户密码,就无法完全控制整个系统。若想访问系统,最简单也是必要的方法就是窃取用户的密码。因此,对系统管理员账户来说,最需要保护的就是密码,如果密码被盗,也就意味着灾
3、难的降临。,密码策略包含以下6个策略: 1、密码必须符合复杂性要求。 2、 密码长度最小值。 3、密码最短使用期限。 4、 密码最长使用期限 5、强制密码历史 6、用可还原的加密来储存密码。,在Windows系统的密码策略中,推荐的密码策略为: 1 .“密码必须符合复杂性要求“:启用。 2. “密码长度最小值“:14个字符或者更高。 3.密码最短使用期限:5天 4.密码最长使用期限:30天 5.强制密码历史:10个 6.用可还原的机密来储存密码:禁用。,3.2.2账户锁定策略,账户锁定策略用于域账户或本地用户账户,用来确定某个账户被系统锁定的情况和时间长短。账户锁定策略包含以下3个策略: 账户
4、锁定时间。 账户锁定阈值。 重置账户锁定计数器。,3. 推荐的账户锁定策略为: “账户锁定阀值“:3次(或者略高)无效登录。 “账户锁定时间“:30分钟(默认,可根据实际需要更改)。 “重置账户锁定计数器“:30分钟(默认,可根据实际需要更改)之后。,3.3 设置管理员账户,任务描述3:在网络攻击中,管理员一直是被攻击的对象。所以对管理员账户的设置就尤为重要。如何设置管理员账户的安全呢? 技能要求:创建系统除Administrator用户以外的管理员账户,并禁用Administrator账户,为管理员设置强密码等。,系统管理员账户拥有系统中最高的权限,拥有管理员权限,也就相当于拥有了整个网络和
5、系统的生杀大权。因此,管理员账户也成为入侵者的主要攻击目标。作为网络和计算机管理员,尤其应该做好管理员账户的安全管理,避免被破解或盗取。,3.3.1 更改管理员账户名,通过组策略编辑器虽然可以限制猜测口令的次数,但对系统管理员账号Administrator却无法限制,这就可能给非法用户攻击管理员账号口令带来机会。如果将管理员账号改名,使得非法用户无法得知管理员账户名称,从而可以有效地避免攻击。,3.3.2 禁用Administrator账户,可以使用管理员账户再重新创建一个账户,并赋予管理员权限,然后使用新的管理员账户登录,将Administrator账户禁用,而使用新管理员账户管理计算机。这
6、样,入侵者无法得知真正的管理员账号,更无从尝试并猜出该账户的密码。 尽量减少管理员组成员的数量,也是最大限度保证网络安全的重要措施。,3.3.3设置强密码,一般意义上的强密码则具有以下特征: 1.长度至少有7个字符。 2.不包含用户的生日、电话、用户名、真实姓名或公司名等。 3.不包含完整的字典词汇。 4. 包含以下4种类型字符中的3种字符:英文大写字母(从A到Z);英文小写字母(从a到z);10个基本数字(从0到9);非字母字符(如!、$、#、%),3.4用户管理与家长控制,任务描述4:在成员服务器和域控制器中,需要创建新用户和对旧用户进行清理,或者改变用户的权限,这些都属于用户管理的范围,
7、我们可以新建用户、禁用用户或者为特定用户指派更多的权限。如何对用户进行管理并进行相应的权限指派呢? 技能要求:掌握进行用户管理与权限指派的设置方法。,3.4.1用户管理,1、创建用户账户 2、更改本地计算机的用户密码。 3、删除本地用户账户 4、禁用本地计算机的用户,3.4.2家长控制,如何限制对于某些游戏只允许家长运行,而禁止孩子运行?,首先,需要为父母和孩子创建不同的账户,孩子的账户属于标准账户,父母的账户是管理员账户,同时要设置密码保护,以免孩子使用父母的账户登录来解除限制。,本系统设置了多个用户,用于测试的有两个用户,管理员帐户为AMY,孩子的账户名为BABY。AMY是管理员账户,BA
8、BY是标准用户。下面以限制baby 用户的权限来说明家长控制功能及其具体实现过程。,首先单击开始按钮,打开控制面板,在弹出的窗口中点击“用户账户和家庭安全如图3-11所示。再单击家长控制按钮,在家长控制对话框里,点击创建新用户账户。然后在弹出的窗口中,输入新用户的名称BABY,如果需要给这个账户设置密码,勾选下面的用户下次登录时必须设置密码选项。,这里我们通过设置BABY用户的权限来说明用户权限指派。设置用户可以在周一到周五的每天晚上16 : 00点至18 : 00点可以登录,在周六、日的下午13:00-18:00都可以登录。,首先单击BABY账户,在弹出的窗口中选择启动,应用当前设置,然后单
9、击下面的时间限制按钮,这时会显示一个周一至周日每天24小时的表格,点击表格中禁止上网的时段,表格的颜色就会变成蓝色,蓝色表示要阻止的时段,设置完成后点击确定按钮就大功告成了。 选择所有时间,然后单击“拒绝登录“单选按钮,设置为所有时间都拒绝登录,再选择星期一到星期五的16 : 00点至18 : 00点的范围,单击“允许登录“单选按钮,还有周六日的下午13:00-18:00为允许登录的时间,使该时间段变为白色,单击“确定“按钮即可(如图3-27所示)。这样,该用户只能在所设定的固定时间段内登录。,选择BABY用户的windows设置中的游戏设置,出现如图所示的控制BABY可以玩的分级游戏列表,选
10、择适合儿童和青少年的游戏,如图3-14所示,点击确定。也可以通过设定游戏的内容来阻止某些游戏如图3-15所示,也可以直接指定游戏的名称来组织某个游戏,如图3-16。还可以通过设定BABY可以使用的程序来限制BABY用户对计算机程序的使用情况,如图3-17。设置完毕后,我们使用BABY用户登录计算机,如果是在非设定的登录时间内,则会出现如图3-18 的提示,如果试图访问已经设定的程序或者游戏,也会出现如图3-19和3-20 所示的拒绝提示。,3.5 系统账户数据库管理和保护,任务描述5:系统账户数据库存储了各种用户非常重要的信息,怎样保护用户合理使用自己的权限,从而保证系统数据库的安全呢? 技能
11、要求:掌握系统账户数据库的加密和备份。,1启用加密 2删除系统账户数据库备份,实训:用户帐号和管理员账号的设置管理实训,一、 实训题目:设置账户密码策略,实训目的:通过设定密码策略和账户锁定策略,设置相对安全的WINDOWS 账户 实训准备: Windows 7环境 实训内容: 1、设置密码策略: (1).“密码必须符合复杂性要求“:启用。 (2).“密码长度最小值“:14个字符或者更高。 (3).密码最短使用期限:5天 (4).密码最长使用期限:30天 (5).强制密码历史:10个 (6).用可还原的机密来储存密码:禁用。 2、设置账户策略: “账户锁定阀值“:3次(或者略高)无效登录。 “
12、账户锁定时间“:30分钟(默认,可根据实际需要更改)。 “重置账户锁定计数器“:30分钟(默认,可根据实际需要更改)之后 3、新建用户并验证上述策略。 实训过程:参照实训内容进行 实训总结:对本次课的实验内容进行总结,并做记录。,二、实训题目:设置强密码,实训目的:通过设定密码策略,要求用户必须输入满足一定复杂度的密码 实训准备: Windows 7环境 实训题目:设置账户安全密码 实训内容:1、设置密码策略: (1)长度至少有7个字符。 (2)不包含用户的生日、电话、用户名、真实姓名或公司名等。 (3)不包含完整的字典词汇。 (4)包含全部4种类型的字符。 2设置强密码:根据策略约定设置强密
13、码. 3、新建用户并验证强密码策略 实训过程:参照实训内容进行 实训总结:对本次课的实验内容进行总结,并做记录。,三、实训题目:管理员账户安全设置,实训目的:通过设置管理员账户,保证系统相对安全。 实训准备: Windows 7环境 实训内容: 新建用户zs,并将其添加到管理员组。 禁用administrator 账户 验证zs用户的权限。 实训过程:参照实训内容进行 实训总结:对本次课的实验内容进行总结,并做记录。,四、实训题目:用户管理与权限指派,实训目的:通过家长控制来实现对用户的控制 实训准备: Windows 7环境 实训内容: 新建用户,并设置用户信息 练习用户的禁用和启用并验证 添加新用户,设置家长控制 新建用户1,设置用户允许登录时间. 新建用户2,设置用户可以使用的程序. 新建用户3,设置用户不能访问的游戏. 用用户1,2,3登录系统,测试设置的功能。 实训过程:参照实训内容进行 实训总结:对本次课的实验内容进行总结,并做记录。,五、实训题目:系统账户数据库的保护,实训目的:通过使用Syskey 命令,保证Windows账户数据库安全 实训准备: Windows 7环境 实训内容: 1、启用系统加密 2、设置账户加密密码 3、系统测试 实训过程:参照实训内容进行 实训总结:对本次课的实验内容进行总结,并做记录。,
