一、设置安全强壮密码的原则

    操作系统的密码（口令）十分重要，它是抵抗攻击的第一道防线，我们必须把密码安全作为安全策略的第一步。如果攻击者未能窃取到系统密码，那么他就不能很好地和系统进行交互信息，对系统所能采取的入侵的方法也就不多了。因此，必须设置安全强壮的密码。所有安全强壮的密码至少要有下列四方面内容的三种：

    大写字母

    小写字母

    数字

    非字母数字的字符，如标点符号等

    安全的密码还要符合下列的规则

    不使用普通的名字或昵称

    不使用普通的个人信息，如生日日期

    密码里不含有重复的字母或数字

    至少使用八个字符

    另外，应该还要求用户42天必须修改一次密码。

    以下举例说明强壮密码的重要性：假设密码设置为6位（包括任意五个字母和一位数字或符号），则其可能性将近有163亿种。不过这只是是理论估算，实际上密码比这有规律得多。例如，英文常用词条约5000条，从5000个词中任取一个字母与一个字符合成口令，仅有688万种可能性，在一台赛扬600（CPU主频）的计算机上每秒可运算10万次，则破解时间仅需1分钟！即使采用穷举方法，也只需9个小时；因此6位密码十分不可靠。而对于8位密码（包括七个字母和一位数字或符号）来说，若完全破解，则需要将近三年的时间。因此，密码不要用全部数字，不要用自己的中英文名，不要用字典上的词，一定要数字和字母交替夹杂，并最好加入@#$%!&*?之类的字符。

二、如何强制使用安全强壮的密码

    WindowsNT/2000系统在默认配置下允许任何字符或字符串作为密码，包括空格，这是相当不安全的，下面我们通过修改注册表使得用户设定的密码中必须同时包含字母和数字，从而增强系统的安全性。具体设置如下：

    首先在“开始”“运行”菜单中输入regedit.exe程序，如下图：

   

    然后进入主键：

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

   

    新建Network子键（项）

   

   

    在右侧窗口中新建（右键选择“新建”）一个名为AlphanumPwds的双字节（操作系统的不同，出来的菜单可能有不同，Dword同样表示双字节）值，（右键选择”新建”）

     

   

    数值为1即可。

   

 

   

    （注：后面将会有大量操作注册表的描述，过程如上图大致类似，就不再采用图示。）注册表各项解释如下：

    名称： 指某个值的标示名，比如上图的AlphanumPwds 。

    类型： 指该名称的数据类型，共有三种：REG_SZ 字符串型，它的数据可以是字符串；REG_BINARY 二进制数据类型，它的数据就只能是0和1的组合； REG_DWORD 是双字节数据类型，它的数据可以是十六进制数据。

    数据： 表示该值的内容。

    我们还可以在密码策略中进行相关的设置。

    在”控制面板” “管理工具” “本地安全策略” “帐户策略”中的”密码策略”。

   

    双击想要更改的项目，比如修改密码长度最小值：

   

    点确定就可以了。

    按照上面的步骤作如下设置：

    密码复杂性要求    启用

    密码长度最小值    8位

    强制密码历史     5次

    强制密码历史      42天

    注：后两项会因操作系统的不同，设置名称等会不尽相同，但意义都一样。

    最后，请重新启动计算机生效。

三、如何设置安全的帐号策略

    对于Windows NT系统而言，帐号策略的设置是通过域用户管理器来实施的，从用户管理器的菜单中选择用户权限，可以设置密码使用时间，长度以及连续登录失败后的锁定机制等。具体方法是：

    在上面的本地安全策略编辑器里，打开”帐户策略”，配置如下图所示：

   

四、系统文件权限的分类

    当要给文件设置权限的时候，要首先保证该分区格式为NTFS（Windows NT的文件系统），当然你也可以使用文件分配表（FAT）格式，但是FAT文件系统没有对文件的访问权限加以任何限制，FAT只在那些相对来讲对安全要求较低的情况下使用。在NTFS文件系统中，可以使用权限对单个文件进行保护，并且可以把该权限应用到本地访问和网络访问中。在NTFS文件系统上，可以对文件设置文件权限，对目录设置目录权限，用于指定可以访问的组和用户以及允许的访问等级时。

    如果实施了NTFS的文件系统格式，可通过系统的资源管理器直接来管理文件的安全，设置目录或文件的权限。

    以regedit.exe文件为例，右键选择“属性”，

    在“安全”标签里面选择不同组的名称，就可以更改配置他们对该文件的操作权限。

   

    基于文件级的权限可以分配下面几种：读取（用户可以读取该文件的内容），写入（用户可以写入数据到该文件中），读取及执行（用户可以执行该程序），修改（用户可以修改该文件内容，包括删除），完全控制（以上所有权限都有）。因此，适当地为不同权限的帐号分配相应的访问权限（在”允许”，”拒绝”栏分别打勾，如下图）对于文件系统的安全是致关重要的。

   

五、如何保护注册表的安全

    Windows NT/2000中的注册表（Registry）是一系列的数据库文件，主要存储在 系统安装目录\ System32\Config下，有些注册表文件建立和存储在内存中，这些文件的备份也存储在 系统安装目录\Repair下。由于所有配置和控制系统数据最终都存在于注册表中，而且Registry的缺省权限设置是对“所有人”“完全控制”（FullControl）和“创建”（Create），这种设置可能会被恶意用户删除或者替换掉注册表（Registry）文件。所以，如果注册表权限没有设置好的话，整个 Windows NT/2000的系统就不安全，因此我们必须控制注册表的访问权。

    对于注册表（Registry），建议应严格限制只能在本地进行注册，不能被远程访问，限制对注册表（Registry）编辑工具的访问。具体可以利用文件管理器设置只允许网络管理员使用注册表编辑工具regedit.exe或regedt32.exe，其他任何用户不得使用；还可使用第三方工具软件，比如Enterprise Administrator （Mission Critical Software）来锁住注册表（Registry）。或者把对注册表缺省的所有用户都能“完全控制”的权利改成只能“读取”。

    在“开始”“运行”里面输入regedt32如下图：

   

   

    假设我们将HKEY_CURRENT_USER支更改成一般用户只能读，在菜单中选择“安全”“权限” 如下图：

   

   

    选择组用户users（在win2000系统中默认uers是一般用户，如果在上面列表中没有定义users组权限，可以选择”添加”按纽，将该组进行权限设置）

   

    同时，

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg这个键应该只允许Administrators组成员访问。修改方法参照上图。

    为了能识别用户，防止匿名登陆，应该在HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\LSA 下新建一个DWORD（双字节）类型的RestrictAnonymous项，并设置其值为1（具体操作请参考上面的图示）。

    实际上，如果把用户操作注册表的这种权利设置成“只读”，将会给一些应用软件带来许多潜在的功能性问题，比如Dlexpert（下载专家，一个下载软件），在下载的时候会将当前下载地址等信息写入到注册表里面，如果在设置了注册表权限的机器上运行该程序，会出现下载地址无法保存的现象，解决办法就是使用regedt32软件将用户权限更改回去，在这里，我们建议在重要服务器上不要安装和运行其他非系统的软件。

 

来源：巨灵鸟 欢迎分享本文