服务器账户的安全配置

由于其固有的权限和权利，windows xp操作系统中的管理员账户是计算机中最有用、同时可能是最危险的账户。任何被授予管理员特权同等权限的其他账户将面临同样高的风险。因此，本节介绍账户的安全配置主要从管理员级别谈起。

　　(1)账户的安全操作准则—般来说，要保证Windows系统中的账户具有最好的安全性，用户应该遵循如下的操作准则：

　　•只在管理计算机的时候，才以Administrators账户组成员的身份登录。一般的应用操作，最好不要以Administrators组的成员身份登录。

　　•在以Administrators账户组成员身份管理计算机的时候，不要进行一些比较危险的操作，替如不要连接Internet和访问Web站点，也不要执行来历不明的应用程序，以免被特洛伊木马或病毒感染，导致系统损坏。

　　•除管理之外的其他时候，以Users组成员的身份访问Internet将会是比较安全的，这时候即便存在木马或病毒等不可预知的问题，系统也通常不会被感染，因为当前的用户身份没有感染系统的权利。

　　•在计算机上只安装经过WindowsXP认证过的应用程序，这样可以确保Users组成员身份也可以正确运行它们。

　　•任何权限的账户的密码都最好定期进行更换，且不要在系统中以txt等文件保存任何的密码。

　　•尽量使用Administrators组成员的身份

　　安装应用程序，然后使用Users组成员的身份下运行安装的应用程序。

　　(2)账户密码的管理

　　密码设置的强度直接影响到账户的安全性，在Windows中，密码被分为弱密码和强密码两种。弱密码通常具有如下特征：

　　•根本不能算是密码，如空密码。

　　•包含用户名、真实姓名或公司名称。

　　•包含完整的字典中的词汇。例如，Password就属于弱密码。

　　强密码通常具有如下特征：

　　•长度至少为七个字符。

　　•不包含用户名、真实姓名或公司名称。

　　•不是完整的字典中的词汇。

　　•多个密码之间没有明显的相同，如递增密码(Password1、Password2、Password3……)就不能算作强密码。

　　—个典型的强密码可以是“J*p2le4>F”或“sHz@*(tt&”。有的密码虽然具备一个强密码应具备的绝大多数条件，但仍然较弱。例如，Hello2U!就是一个相对较弱的密码，即使它能够满足成为强密码的多数条件，也能够满足密码策略的复杂性要求。

　　要改进密码的安全性，密码应当包含大写字母、小写字母和数字这些元素中的至少两个。字符序列的随机性越大,其安全性就越高。

　　在Windows中，可以在“组策略”中对账户的密码规则进行设置。其中，常用的几个安全策略有：

　　一是设置密码的最小长度。如果将密码的位数保持在6位以上，就会大大增强账户及系统的整体安全性。默认状态下，WindowsXP中允许设置密码为空或在256个字符长度之间进行选择。

　　如果希望xp中任何账户的密码都不能小于指定的位数(如6位)，可以在“组策略”中进行相关设置。具体方法是：

　　步骤1：在“运行”栏中使用命令“Gpedit.msc”打开“组策略”编辑器窗口。

　　步骤2：依次展开到“计算机配置”一“Windows设置”一“安全设置”—“账户策略”一“密码策略”节点。

　　步骤3：双击右侧窗格中的“密码长度最小值”项，打开此项的属性窗口，如图所示。

　　步骤4：在密码长度框中可以输入长度从1到14个字符的值(如数字“6”)，默认值为数字0，这表示可以设置不需要密码。

　　步骤5：输入完毕后，单击“确定”按钮应用密码长度的设置。

　　在应用了此项设置后，当在系统中进行账户的创建时，就不能将密码设置为空密码或是少于6位的密码了。否则，会出现如图所示的错误。

　　二是设置密码的复杂性要求。前面已经说过密码具有弱密码和强密码之分，默认状态下，WindowsXP中可以使用空口令这类典型的弱密码。如果希望在WindowsXP中强制账户使用的密码使用强密码，可以在组策略中进行如下设置。

　　步骤1：在“运行”栏中使用命令“Gpedit.msc”打开“组策略”编辑器窗口。

　　步骤2：依次展开到“计算机配置”一“Windows设置”一“安全设置”一“账户策略”一“密码策略”。

　　步骤3：双击右侧窗格中的“密码必须符合复杂性要求”项，在弹出的如图所示的属性窗口中，选中“已启用”项并单击“确定”按钮应用此密码设置。

　　在单击提示框中的“安全设置描述”项后，在弹出的帮助文件窗口中打开“密码必须符合复杂性要求”项的帮助内容页面(可以在“运行”栏中直接输入此页面的网址“ms-its:D:/WINDOWS/Help/spolsconcepts.chm::/504.htm”，使用旧浏览器浏览相应的帮助信息。)，可以看到如下内容：

　　启用“密码必须符合复杂性要求”策略后,密码必须满足以下最低要求：

　　•不包含全部或部分的用户账户名。

　　•长度至少为六个字符。

　　•包含来自以下四个类别中的三个的字符，即：英文大写字母(从A到Z)、英文小写字母(从a到z)、10个基本数字(从0到9)、非字母字符(例如，!、$、#、%)。

　　此安全策略只有在更改或创建账户的密码时，才会生效并会强制执行复杂需求。

　　三是设置密码最短存留期。假设，管理员为新创建的账户设置了一个复杂的密码。但是，使用这个账户的用户却不愿意使用这个复杂的密码，而希望使用一个简单的密码。基于安全因素考虑，这个要求将会被拒绝。为了强化这个安全管理，可以设置复杂的密码最低使用期限(如60天)，在这个指定的期限日期内，用户将不能擅自更改管理员创建的密码。在组策略窗口中，进行此项设置的方法是：

　　步骤1：在“运行”栏中使用命令“Gpedit.msc”打开“组策略”编辑器窗口。

　　步骤2：依次展开到“计算机配置”一“Windows设置”一“安全设置”一“账户策略”一“密码策略”。

　　步骤3：双击右侧窗格中的“密码最短存留期”项，打开此项的属性窗口，如图所示。

　　步骤4：在“在以下天数后可以更改密码”项下方的文本框中输入数字1～999天之间的任一个数字(如60>。如果将密码更改为数字0的话，则允许账户立即可以更改密码。

　　步骤5：在单击“确定”按钮应用此密码设置后，只有当账户新建密码后，在更改密码时此设置才会生效。比方说，账户111在创建一个密码后，使用“用户账户”工具修改密码时就会弹出如图所示的错误提示信息。

　　如果在“本地用户和组”窗口中进行111账户的密码修改，则会弹出“拒绝访问”的提示框。

　　四是强制不能再使用曾用过的密码。如果不希望账户在修改密码时，使用以前曾使用过的密码，需要在“组策略”编辑器中进行如下操作：

　　步骤1：在“运行”栏中使用命令“Gpedit.msc”打开“组策略”编辑器窗口。

　　步骤2：依次展开到“计算机配置”一“Windows设置”一“安全设置”一“账户策略”一“密码策略”节点。

　　步骤3：双击右侧窗格中的“强制密码历史”项，打开此项的属性窗口，如图所示。

　　步骤4：此策略可以通过确保旧密码不能继续使用，从而使管理员能够增强安全性。在“保留密码历史”框中，可以输入数字0～24之间的任意值，这个值是指系统中能记住曾使用过的密码的个数，如输入数字2，就意味可以记住第一次和第二次设置的密码。此后的密码修改中，将不能再使用这两次使用过的密码。