设置安全策略
设置适当的安全策略是强化 Windows 服务器的下一步。这并不是指组织可能拥有的有关安全标准和程序的书面政策。在这种情况下,术语安全策略是指各个计算机的策略。当您选择“开始”、“设置”、“控制面板”、“管理工具”时,还会注意到“本地安全策略”。双击该选项并选择“账户策略”,您将进入如图 5所示的屏幕。展开图5所示对话框中的各个子文件夹。通常,当您打开此实用程序时,它们不会出现。请注意,在 Windows 10 中,可以通过转至“运行”菜单并键入来访问同一屏幕gpedit(本地组策略编辑器实用程序)。还可以通过输入“本地安全策略”进入此屏幕。
图 5本地安全策略
首先关心的问题是设置安全密码策略。Windows 密码的默认设置并不安全。表 1显示默认密码策略。密码最长期限是指在用户被迫更改密码之前密码的有效期限。强制密码历史记录是指系统记住多少个以前的密码,从而防止用户重复使用密码。最小密码长度定义密码中允许的最小字符数。密码复杂性意味着用户必须使用包含数字、字母和其他字符的密码。这些是从 Windows NT 4.0 开始的所有 Windows 版本的默认安全设置。如果您的系统在业务环境中受到保护,本地安全中的设置将呈灰色,表示无权进行更改。
表1-默认 Windows 密码策略
|
策略 |
推荐 |
|
强制执行密码历史记录 |
记住 1 个密码 |
|
密码最长使用期限 |
42天 |
|
密码最短使用期限 |
0 天 |
|
最小密码长度 |
0 个字符 |
|
密码必须满足复杂性要求 |
残疾人 |
|
使用可逆加密存储域中所有用户的密码 |
残疾人 |
默认密码策略不够安全,但您应该使用什么策略呢?不同的专家对这个问题的回答不同。表 2显示了Microsoft、国家安全局的建议以及作者的个人建议(当这些建议与 Microsoft 或 NSA 的建议显着不同时还附有解释)。
表 2-密码设置建议
|
政策 |
微软 |
美国国家安全局 |
本文 |
|
强制执行密码历史记录 |
3个密码 |
5个密码 |
3个密码 |
|
密码最长使用期限 |
42天 |
42天 |
60天 |
|
密码最短使用期限 |
2天 |
2天 |
2天 |
|
最小密码长度 |
14个字符 |
12个字符 |
至少14个字符。较长的密码或密码短语是最好的。 |
|
密码必须满足复杂性要求 |
没有推荐(留给用户自行决定) |
是的 |
是的 |
|
用可还原的加密来储存密码 |
没有推荐(留给用户自行决定) |
无推荐 |
没有推荐(留给用户自行决定) |
制定适当的密码策略很大程度上取决于网络环境的要求。如果网络存储和处理高度敏感的数据并且对黑客来说是一个有吸引力的目标,那么必须始终将您的策略和设置转向更高的安全性。
但是,请记住,如果安全措施过于复杂,用户会发现很难遵守。例如,非常长、复杂的密码(例如$%Tbx38T@_FgR$$)使网络非常安全,但用户实际上不可能记住这样的密码。许多用户只是将密码写在便条上,并将其保存在方便但不安全的位置,例如办公桌最上面的抽屉,这是一个主要的安全问题。
原文始发于微信公众号(河南等级保护测评):网络安全等级保护:设置Windows安全策略
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论