windows系统加固我们使用2003虚拟机来进行演示。
**
组策略与防火墙:
**
什么是组策略?
注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是 可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
如何在windows中打开组策略?
运行—>gpedit.msc
修改组策略实际上就是修改注册表。**如何打开注册表?**regedit。我们在win上的设置都存放在注册表。注册表本质上是数据库。
在这里我们只谈一谈组策略中的密码和账户策略。他们都是对账户和密码进行防范措施。
密码策略:
1)什么是密码复杂性要求?
我们查看一下这个策略的内容(在默认情况下,此策略是被禁用的):
我们在win上设置一下密码,可以看到我们设置简单的密码是成功的(因为我们没有启用此密码策略):
如果我们启用在输入简单密码就不好使了(在win10以上的系统中此策略是默认启用的):
2)第二个策略是密码的最小长度,如果我们在第二个策略中设置最小长度为8的话,是否与第一个策略相悖?答案是肯定的,这里我们以密码设置要求最严格的为准即第一个。
3)如果第三个策略被设置成0代表,账户的密码永不过期。
4)最短使用期限为0的话,代表密码随时可以更改
5)强制密码历史是什么?
就是说之前用过的账号密码不许用多次。
账户锁定策略:
如果密码输入多次而且不正确,该账号会被锁定。
最重要的是第三项:他会规定用户输入错误的密码的次数。超过次数会被默认锁定账户30分钟。
本地策略里面的安全选项:
这个策略是啥呢??
在win上用户的密码使用哈希值加密的。我们看一下两种加密形式:
很显然2003系统采用两种加密形式,采用两种加密形式不安全。
这里补充一下,密码加密之后存放在SAM文件中,
我们为什么要启用这个文件?
因为如果采用两种加密方式,我们提权的时候找到了账户密码,我们可以到相应的网站上进行破解,如果只用一种加密方式,相应的网站不会破解出来。