涉密计算机如何设置口令?

电脑教程05

涉密计算机如何设置口令?,第1张

以win10为例,设置方法如下:

1、首先我们打开电脑,点击“开始”菜单,找到“设置”。

2、接着我们在“设置”菜单里找到“账户”,点击进入。

3、接着点击“账户”,选择页面右侧的“登录选项”。

4、在“登录选项”里添加密码。下面还有关于电脑的其他密码设置,需要的话进行设置即可。

5、最后在弹出的创建密码页面,输入自己习惯的密码即可。

你可以在采用Windows XP、2000和Server 2003操作系统的本地计算机上使用这些方法,或者在Server 2003和2000中的OU域名级上使用这些方法。为了简明扼要和提供最新的信息,我准备介绍一下如何设置基于Windows Server 2003的域名。请记住,这些只是你在你的域名中能够设置的组策略对象中最有可能出现问题的。按照我的观点,这些设置可以保持或者破坏Windows的安全。而且由于设置的不同,你的进展也不同。因此,我鼓励你在使用每一个设置之前都进行深入的研究,以确保这些设置能够兼容你的网络。如果有可能的话,对这些设置进行试验(如果你很幸运有一个测试环境的话)。

如果你没有进行测试,我建议你下载和安装微软的组策略管理控制台(GPMC)来做这些改变。这个程序能够把组策略管理任务集中到一个单一的界面让你更全面地查看你的域名。要开始这个编辑流程,你就上载GPMC,扩展你的域名,用鼠标右键点击“缺省域名策略”,然后选择“编辑”。这样就装载了组策略对象编辑器。如果你要以更快的速度或者“次企业级”的方式编辑你的域名组策略对象,你可以在“开始”菜单中运行“gpedit.msc”。

1.确定一个缺省的口令策略,使你的机构设置位于“计算机配置/Windows设置/安全设置/账号策略/口令策略”之下。

2.为了防止自动口令破解,在“计算机配置/Windows设置/安全设置/账号策略/账号关闭策略”中进行如下设置:

·账号关闭持续时间(确定至少5-10分钟)

·账号关闭极限(确定最多允许5至10次非法登录)

·随后重新启动关闭的账号(确定至少10-15分钟以后)

3.在“计算机配置/Windows设置/安全设置/本地策略/检查策略”中启用如下功能:

·检查账号管理

·检查登录事件

·检查策略改变

·检查权限使用

·检查系统事件

理想的情况是,你要启用记录成功和失败的登录。但是,这取决于你要保留什么类型的记录以及你是否能够管理这些记录。Roberta Bragg在这里介绍了一些普通的检查记录设置。要记住,启用每一种类型的记录都需要你的系统处理器和硬盘提供更多的资源。

4.作为增强Windows安全的最佳做法和为攻击者设置更多的障碍以减少对Windows的攻击,你可以在“计算机配置/Windows设置/安全设置/本地策略/安全选项”中进行如下设置:

·账号:重新命名管理员账号--不是要求更有效而是增加一个安全层(确定一个新名字)

·账号:重新命名客户账号(确定一个新名字)

·交互式登录:不要显示最后一个用户的名字(设置为启用)

·交互式登录:不需要最后一个用户的名字(设置为关闭)

·交互式登录: 为企图登录的用户提供一个消息文本(确定为让用户阅读banner text(旗帜文本),内容大致为“这是专用和受控的系统。

如果你滥用本系统,你将受到制裁。--首先让你的律师运行这个程序)

·交互式登录: 为企图登录的用户提供的消息题目--在警告!!!后面写的东西

·网络接入:不允许SAM账号和共享目录(设置为“启用”)

·网络接入:将“允许每一个人申请匿名用户”设置为关闭

·网络安全:“不得存储局域网管理员关于下一个口令变化的散列值”设置为“启用”

·关机:“允许系统在没有登录的情况下关闭”设置为“关闭”

·关机:“清除虚拟内存的页面文件”设置为“启用”

如果你没有Windows Server 2003域名控制器,你在这里可以找到有哪些Windows XP本地安全设置的细节,以及这里有哪些详细的Windows 2000 Server组策略的设置。要了解更多的有关Windows Server 2003组策略的信息,请查看微软的专门网页。

组策略从Windows 2000就已经存在了,它不仅允许你从中央控制台集中管理多台计算机和用户的配置,还允许你简单地从活动目录域对配置进行更改。

每一次Windows Server新版本发布,组策略都有改进,包括重要的和不重要的。但Windows Server 2012 R2有所不同,其中的组策略鲜有改进或新的功能。

先来看看Windows Server 2012 R2本身发生的改变:

IPv6支持(改进):现在包括打印机、项目级别导向和VPN网络支持。

缓存策略(新的):该功能支持将域控制器的最新策略写入到本地的系统存储。这样运行组策略的系统可以在同步模式下从本地存储阅读策略,而不需要从网上下载。这反过来提供了同步模式下更快的启动时间和较短的处理时间——这对WAN中的域控制器或DirectAccess非常有意义。

事件日志(改进):组策略的新日志包括需要多长时间下载和处理客户的政策。

但是组策略MVP和GPanswers.com的创始人Jeremy Moskowitz指出Windows 8.1中引入了额外的变化:

Windows 8.1其中的一个改进——当Windows Server 2012 R2作为客户端——是登录脚本延迟。目的是最小化磁盘访问提高登录和启动时间。在Windows 8.1和Windows Server 2012 R2中新的默认设置是登录脚本在用户登录五分钟后启动。如果你不知道这个,可能会感到很困惑!注意,这个可以使用策略设置(配置登录脚本延迟)关闭。

Moskowitz指出,组策略还有一个新功能,当Windows Server 2012 R2或Windows 8.1作为客户端使用时提供一个“固定的”开始屏幕。因此IT可以获得一个一致的和锁定的体验。如果有需要的话,你可以对不同的用户配置不同的布局。

对于Internet Explorer,Windows Server 2012的组策略允许IT配置SPDY/3网络协议,配置是否不得对网站和其他内容进行背景加载,配置防病毒程序是否违反ActiveX控件以及关掉电话号码检测。

组策略有着悠久的历史,是它将配置调整发展到了顶点,而不是让配置调整适应它的发展。但是谨记,不要以为组策略成熟了,你就可以完全忽略它。