网络操作系统中的安全体系
网络安全管理员题库(含参考答案)
网络安全管理员题库(含参考答案)一、单选题(共60题,每题1分,共60分)1、SQL Server默认的通讯端口为()A、1434B、1522C、1433D、1521正确答案:C2、标准STP模式下,下列非根交换机中的()端口会转发由根交换机产生的TC置位BPDU。
A、根端口B、备份端口C、预备端口D、指定端口正确答案:D3、以下哪些工具可以抓取HTTP报文()A、WireSharkB、AWVSC、MetasploitD、Behinder正确答案:A4、道德具有()等特点。
A、前瞻性、多层次性、稳定性和社会性B、规范性、多层次性、稳定性和社会性C、规范性、多层次性、强制性和社会性D、规范性、普遍性、稳定性和社会性正确答案:B5、下列有关LACP的配置,说法正确的是()。
A、一个Eth-Trunk中的物理接口编号必须连续B、一个Eth-Trunk中的所有物理接口必须都为Up状态C、一个物理接口能够加入多个Eth-Trunk中D、一个Eth-Trunk中的所有物理接口速率、双工必须相同正确答案:D6、制订安全策略的内容不包括( )。
A、确定网络信息的可用性B、确定数据资源不被计算机病毒破坏C、确定系统管理员的权利和责任D、确定用户的权利和责任正确答案:B7、下面不属于局域网的硬件组成的是()。
A、网卡B、服务器C、调制解调器D、工作站正确答案:C8、现在需要使用tar命令解压一个非常大的归档文件xxx.tar,解压时间会很久,但同时还紧急需要在此服务器上做其他操作,没有GUI的情况下该如何解决?A、tar -zxvf xxx.tarB、tar -xvf xxx.tarC、tar -cvf xxx.tar &D、tar -xvf xxx.tar &正确答案:D9、网络操作系统主要解决的问题是( )。
A、网络用户使用界面B、网络资源共享安全访问限制C、网络安全防范D、网络资源共享正确答案:B10、下面哪一个描术错误的A、TCP是面向连接可靠的传输控制协议B、UDP是无连接用户数据报协议C、UDP相比TCP的优点是速度快D、TCP/IP协议本身具有安全特性正确答案:D11、从网络设计者角度看,Internet是一种( )A、城域网B、互联网C、广域网D、局域网正确答案:B12、系统上线前,研发项目组应严格遵循《国家电网公司信息系统上下线管理规定》要求开展(),并增加代码安全检测内容。
网络操作系统的安全
计算机网络操作系统的安全摘要当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别从政策上和法律上建立起有中国自己特色的网络安全体系。
在信息时代,信息可以帮助团体或个人,使他们受益,同样,信息也可以用来对他们构成威胁,造成破坏。
因此网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。
关键词:网络操作系统安全;防火墙;防范目录中文摘要 (I)1 绪论 (1)2 计算机网络操作系统安全的概念 (1)2.1 网络安全的内容 (2)2.2 网络安全的目标 (2)3 计算机网络安全现状 (3)3.1 网络资源的共享性 (3)3.2 网络的开放性 (3)3.3 网络操作系统的漏洞 (3)3.4 网络系统设计的缺陷 (3)3.5 网络协议和软件的安全缺陷 (3)3.6 黑客攻击手段多样 (4)3.7 计算机病毒 (4)4 计算机网络安全的防范措施 (5)4.1 如何保护通用操作系统的安全 (5)4.1.1 使用强密码 (5)4.1.2 做好边界防御 (6)4.1.3 更新软件 (6)4.1.4 关闭没有使用的服务 (6)4.1.5 使用数据加密 (6)4.1.6 通过备份保护数据 (7)4.2 网络防火墙技术 (7)5 结论 (8)参考文献 (9)1 绪论21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。
它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。
当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。
网络操作系统论文
网络操作系统论文在当今数字化的时代,网络操作系统作为计算机网络的核心组件,发挥着至关重要的作用。
它不仅管理着网络资源,还为用户提供了便捷、高效的服务,使得计算机网络能够稳定、可靠地运行。
网络操作系统是一种具有网络功能的操作系统,其功能涵盖了对网络资源的管理、分配和控制,以及对网络通信的支持和协调。
它能够实现多用户的同时访问,保障用户之间的数据共享和信息交流。
与传统的单机操作系统相比,网络操作系统具有更强大的网络通信能力、资源共享能力和分布式处理能力。
常见的网络操作系统有 Windows Server、Linux、Unix 等。
Windows Server 凭借其易用性和广泛的软件支持,在企业级应用中占据了一定的市场份额。
Linux 则以其开源、稳定和高度可定制性受到许多技术爱好者和大型企业的青睐。
Unix 虽然在市场份额上相对较小,但在一些关键业务领域仍具有不可替代的地位。
网络操作系统的主要功能包括处理机管理、存储管理、设备管理、文件管理和作业管理等。
在处理机管理方面,它需要合理分配 CPU 资源,确保各个任务能够及时得到处理,提高系统的整体性能。
存储管理则负责对内存和外存进行有效的管理,包括内存分配、虚拟内存管理和存储保护等。
设备管理的任务是对各种硬件设备进行管理和驱动,使其能够正常工作,并为用户提供统一的设备访问接口。
文件管理用于对网络中的文件进行存储、检索、更新和共享等操作,保障文件的安全性和完整性。
作业管理则负责对用户提交的作业进行调度和控制,确保作业能够按照预定的规则和优先级执行。
网络操作系统的体系结构主要有两种:对等式网络操作系统和客户机/服务器网络操作系统。
对等式网络操作系统中,各个节点的地位平等,它们之间可以直接进行通信和资源共享。
这种结构简单、成本低,但在管理和安全性方面存在一定的局限性。
客户机/服务器网络操作系统则将网络分为客户机和服务器两部分,客户机向服务器请求服务,服务器为客户机提供服务。
网络操作系统中的安全体系
制定安全策略与规章制度
制定安全策略:根据网络操作系统的特点和需求,制定相应的安全策略 建立安全规章制度:建立完善的安全规章制度,确保安全策略的实施 定期评估安全策略:定期评估安全策略的有效性,并根据评估结果进行改进 加强员工安全意识:加强员工对网络安全的认识和意识,提高员工的安全防范能力
定期进行安全检查与评估
定期进行安全培训,提高员工 安全意识
Part Seven
网络操作系统的安 全发展趋势与挑战
云计算与大数据背景下的安全挑战
数据泄露:云计算和大数据环境下,数据泄露的风险增加
隐私保护:大数据分析可能导致用户隐私泄露
安全威胁:云计算和大数据环境下,安全威胁更加多样化和复杂化 安全策略:需要制定更加完善的安全策略来应对云计算和大数据环境下 的安全挑战
安全体系在网络操作系统中的作用
保护数据安全:防止数据被非法访问、篡改或泄露 保护系统安全:防止系统被非法入侵、破坏或瘫痪 保护用户安全:防止用户身份被冒用、信息被泄露 保护网络通信安全:防止网络通信被窃听、篡改或阻断
Part Three
网络操作系统的安 全体系结构
物理层安全
物理层安全是网络操作系统安全体系的基 础
认证结果:成功或失败,失 败时可能提示错误信息或锁
定账户
安全审计机制
审计策略:定义审计范围和 审计级别
审计日志:记录系统操作和 访问行为
审计分析:分析审计日志, 发现异常行为
审计报告:生成审计报告, 提供安全建议和改进措施
Part Five
网络操作系统的安 全技术
防火墙技术
防火墙的作用: 保护内部网络 不受外部网络 的攻击和威胁
物理层安全包括硬件和软件两个方面
硬件安全包括服务器、网络设备、存储设 备等硬件设备的安全
Windows系统安全机制
Windows系统安全机制1.前言多年来,黑客对计算机信息系统的攻击一直没有停止过,其手段也越来越高明,从最初的猜测用户口令、利用计算机软件缺陷,发展到现在的通过操作系统源代码分析操作系统漏洞。
同时网络的普及使得攻击工具和代码更容易被一般用户获得,这无疑给Windows 系统安全带来了更大的挑战。
解决Windows 系统安全问题,任重而道远。
2.Windows XP安全机制。
Windows XP采用Windows 2000/NT的内核,在用户管理上非常安全。
凡是增加的用户都可以在登录的时候看到,不像Windows 2000那样,被黑客增加了一个管理员组的用户都发现不了。
使用NTFS文件系统可以通过设置文件夹的安全选项来限制用户对文件夹的访问,如当某普通用户访问另一个用户的文档时会提出警告。
你还可以对某个文件(或者文件夹)启用审核功能,将用户对该文件(或者文件夹)的访问情况记录到安全日志文件里去,进一步加强对文件操作的监督。
Windows XP中的软件限制策略提供了一种隔离或防范那些不受信任且具有潜在危害性代码的透明方式,保护您免受通过电子邮件和Internet传播的各种病毒、特洛伊木马程序及蠕虫程序所造成的侵害。
这些策略允许您选择在系统上管理软件的方式:软件既可以被“严格管理”(可以决定何时、何地、以何种方式执行代码),也可以“不加管理”(禁止运行特定代码)。
软件限制策略能够保护系统免受那些受感染电子邮件附件的攻击。
这些附件包括存储在临时文件夹中的文件附件以及嵌入式对象与脚本。
同时,它还将保护您免受那些启动Internet Explorer或其它应用程序,并下载带有不受信任嵌入式脚本的Web页面的URL/UNC链接所造成的攻击。
在Windows 2000中,微软就采用了基于公共密钥加密技术的加密文件系统(EFS)。
在Windows XP中,对加密文件系统做了进一步改进,使其能够让多个用户同时访问加密的文档。
第6章 Windows Server 2003操作系统安全
RFC2408:密钥管理功能规范
12
6.2 Windows Server 2003的安全机制
IP安全体系结构
(3)安全联系
IP的认证机制和机密性机制中都包含一个关键的概念,即安全联盟 (Security Association,SA),安全联系是一个发送者和接收者之间的单向的 连接关系,该连接为其上传输的数据提供了安全服务。如果需要维护一 个对等关系,为了保证双向的安全交换,就需要建立两个安全联系。
8
6.2 Windows Server 2003的安全机制
Kerberos Kerberos V4
Kerberos 的V4版本中使用DES算法,在协议中提供了认证服务,通过安全认证来确 保Windows Server 2003的安全,具体协议内容如书中表6-1所示。
Kerberos域和多重Kerberos
– – – – Kerberos; IPSec; PKI; NT局域网管理器(NT LAN Manager,NTLM)。这是一个遗留协 议,Microsoft在Windows Server 2003中保留它是为了支持过去 的Windows客户端和服务器。
6
6.2 Windows Server 2003的安全机制
9
6.2 Windows Server 2003的安全机制
IPSec
IP安全概述
在现有的网络攻击方式中,最严重的攻击类型包括IP欺骗和各种形式 的报文窃听攻击。 (1)IPSec的应用 IPSec提供了跨保障局域网、跨私有/公共广域网以及跨Internet的安全通 信的能力,有很广泛的应用范围,如通过Internet 进行的企业部门之间 的安全连接、通过Internet进行安全的远程访问、合作伙伴之间外网和 内网的连接以及安全的电子商务等。 IPSec之所以能够应用于许多不同的应用领域,主要是因为IPSec可以 加密和/或认证IP层的所有数据流。因此,所有的分布式应用,包括远 程登录、客户/服务器系统、电子邮件、文件传输、Web访问等,都可 以通过应用IPSec机制来增强安全性。
03344《信息与网络安全管理》大纲(含实践)
苏州大学编(高纲号 0663)一、课程性质及其设置目的与要求(一)课程性质《信息与网络安全管理》课程是江苏省高等教育自学考试“电子政务”专业(本科段)的一门重要的专业必修课程,其任务是培养电子政务专业人才掌握信息安全技术的理论知识和实际技能。
《网络与信息安全教程》一书共分为12章,各章节的主要内容安排为:第一章为绪论;第2章是信息安全的基础理论;第3~7分别为:传统密码体系、序列密码、分级密码体系、公钥密码体系、现代网络高级密码体系;第8章为密钥管理技术;第9章介绍网络通信安全保密技术与实现;第10~12章依次为:计算机网络系统集成安全技术、网络安全测试工具与应用技术、电子商务协议与安全管理。
(二)设置本课程的目的面对严重的网络与信息安全威胁,加速培养电子政务领域的网络与信息安全人员的防范意识已经刻不容缓。
设置《网络与信息安全教程》课程的目的:使应考者比较全面、系统地掌握网络与信息安全的理论和实践知识,包括:网络信息安全的现状、规律和发展;信息安全基本理论、安全基础设施、安全技术与应用以及安全政策和管理。
(三)学习本课程和基本要求通过本课程的学习,能让应考者较好地认识和解决电子政务系统中的信息安全问题,具体要求为:1、需掌握相关的计算机知识,如计算机基础理论、操作系统、网络技术、密码学等。
2、理论与实践相结合,即将所学的相关信息安全知识与实际的电子政务系统信息安全相结合。
3、由于密码学中的加密算法是基于复杂的数学理论,对于电子政务专业的应考者只要求大概理解,不作深入学习。
二、课程内容与考核目标第1章绪论(一)课程内容本章从最基本的信息与网络安全概念出发,侧重围绕信息安全基本概念、网络信息安全体系以及网络信息安全发展等问题进行介绍。
(二)学习目的与要求通过本章的学习,掌握网络信息安全的基本概念。
(三)考核知识点与考核要求1、领会:密码理论、加密技术、消息鉴别与身份认证、安全协议、密钥管理、操作系统安全、数据库安全、病毒防护、电子商务安全。
网络安全五层体系
网络安全五层体系龙勤19808058一引言网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。
其重要性,正随着全球信息化步伐的加快而变到越来越重要。
“家门就是国门”,安全问题刻不容缓。
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
它主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
网络安全从其本质上来讲就是网络上的信息安全。
从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。
信息网络涉及到国家的政府、军事、文教等诸多领域。
其中存贮、传输和处理的信息有许多是重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息。
有很多是敏感信息,甚至是国家机密。
所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。
同时,网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。
近年来,计算机犯罪案件也急剧上升,计算机犯罪已经成为普遍的国际性问题。
计算机犯罪大都具有瞬时性、广域性、专业性、时空分离性等特点。
通常计算机罪犯很难留下犯罪证据,这大大刺激了计算机高技术犯罪案件的发生。
计算机犯罪案率的迅速增加,使各国的计算机系统特别是网络系统面临着很大的威胁,并成为严重的社会问题之一。
二不同环境的网络安全及网络安全的特点不同环境和应用中的网络安全:运行系统安全,即保证信息处理和传输系统的安全。
它侧重于保证系统正常运行,避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失,避免由于电磁泄漏,产生信息泄露,干扰他人,受他人干扰。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
15.1网络操作系统中的安全体系为了实现网络安全特性的要求,计算机网络中常用的安全技术有:主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术和安全管理技术。
在实现网络安全系统时,通常需要先对保护的网络进行深入的分析,然后,选择和使用适合该网络的一种或几种安全技术。
每一种网络操作系统,一般是按一定的安全目标进行设计,因此,都采用了一些安全策略,并使用了一些常用的安全技术。
下面以Windows NT为例进行简单地讨论,由于,这些讨论具有普遍性,因此,也适用于其他的网络操作系统。
15.1.1Windows NT 4.0的安全概述1.Windows NT中的对象对象是NT操作系统中的基本元素。
对象可以是文件、目录、存储器、驱动器、系统程序或Windows 中的桌面等。
2.Windows NT 4.0的安全性设计目标在设计Windows NT结构的时候,微软把目标定位于一个具有各种内在安全功能的强大而坚实的网络操作系统。
3.使用Windows NT的实现网络安全策略Windows NT 4.0的安全结构由3个基本安全子系统的模块组成,即身份认证、信任确定和审计跟踪。
对于每一个机构,任何操作系统的安全机制都不是自动生成的,因此,在使用Windows NT之前必须先制定它们的安全策略。
这些策略需要进行详细地说明,在明确了该机构对访问控制信息的保护及审核方面的具体要求之后,还需要对所制定的安全策略进行正确地配置,并实现了对象的访问控制之后,才能说用NT构建一个高度安全地系统。
由此可见,只有将企业的安全策略和Windows NT底层的安全机制有机地结合起来,才能充分发挥Windows NT的各项安全特性。
4.Windows NT的安全机制微软的Windows NT Server提供了安全管理的功能,以及在企业级网络中实现和管理这些功能的工具。
①Windows NT的安全子系统有:本地安全权威、安全账户管理、安全访问监督等。
②Windows NT提供的安全机制有:登录过程控制、存取控制、存取标识和存取控制列表等。
5.Windows NT的安全模型Windows NT的安全模型影响着整个操作系统,由于,对象的访问必须经过一个核心区域的验证,因此,在NT中未经授权的申请者和用户是不能访问对象的。
Windows NT的安全模型由本地安全权限、安全账户管理器和安全参考监视器等几个主要部分组成,并且包括登录入网处理、访问控制和对象安全服务等部分。
上述这些部分构成了NT的安全基础,也称为安全层次。
15.1.2Windows NT网络安全子系统的实现Windows NT的安全系统应当由3个策略环节构成:即身份识别系统、资源访问权限控制系统和安全审计系统。
(1)满足C2安全等级的NT必须做到的几项工作①拥有对系统的非网络访问权限。
②去除或禁止使用软盘驱动器。
③更加严格地控制对标准系统文件的访问。
(2)Windows NT中C2安全等级的标准特征①可自由决定的访问控制。
允许管理员或用户定义自己所拥有的对象的访问控制。
②禁止对象的重用。
主要表现在两个方面。
第一,当内存被一个程序释放后,不再允许对它的读访问。
第二,当对象被删除,即对象所在的磁盘空间已被重新分配时,也不允许用户对对象进行再次的访问。
③身份的确认和验证。
在系统进行任何访问之前,用户必须先确认自己的身份,包括输入用户名、口令、域和组等信息的验证。
④审核。
应当创建并维护用户对对象的访问记录,并防止他人更改此记录。
必须严格地规定,只有管理员才能够访问系统的审核信息。
15.1.2.1Windows NT网络的登录和身份认证机制Windows NT处理各种服务请求,是建立在授权许可的基础上,因此,必须先通过用户的登录和访问权限的验证,此后还需要对用户的访问权限进行限制。
其验证过程分为以下几个部分。
1.Windows NT网络的登录机制和账户管理Windows NT网络登录时,要求用户使用唯一的用户名和口令登录到计算机上,这种登录过程是不能关闭的,因此,称为强制性的登录。
(1)登录机制①登录过程任何一台NT计算机都使用“Ctrl+Alt+Del”三个健的组合进行强制登录,登录过程包括输入的用户名和密码的登录验证过程。
②登录的类型登录的类型分为交互登录和远程登录两种。
●交互登录:使用本地的安全账户管理(SAM,Security Reference Monitor)进行身份认证。
当用户选择了本地SAM,则登录时,不会发生域内的身份验证,所有的身份认证均在本地,并可以针对本地资源进行访问。
●远程登录:当用户在一个域中的计算机上登录到一个服务器时,就会发生远程登录,也叫做“域SAM”,此时,用户的身份认证会传递到“域”的控制器上去完成。
(2)身份识别系统Windows NT中的身份识别系统是网络安全系统的第一层保护,它除了进行账户和口令的检测以外,还可以由管理员限制用户的上网时间、非法使用者锁定和密码更改等。
用户账户的设置是由系统管理员来确定的,它不但是用户惟一的身份识别标志,还被分配了到域中访问资源的权限。
当然,用户可以选择本地的SAM或域SAM方式进行交互式登录或者是远程登录。
不同的登录方式,对资源的使用权限也不同。
每一个需要使用网络的用户都应该拥有一个账户。
①账户管理的最高权限账户—Administrator账户每一台NT计算机在安装过程中都会建立一个系统默认的Administrator账户。
该账户不能删除,但可以被更改名称。
在域控制器上,此账户是一个全局账户,在其他计算机上,它只是一个本地账户。
系统管理员可以使用Administrator账户进行登录,并定义用户对资源的使用权限,用户账户的管理,还可以从网上任何站点进行远程登录,并行使各种管理权。
使用域的Administrator账户登录时的系统管理员可以完成以下任务。
●可以对文件和目录的安全访问权限进行设置和控制。
●可以对注册表进行操作。
例如:修改注册表。
●可以对用户的账号进行集中管理。
设置用户登录网络的账户和口令,指定登录时间,确定账户的期限及口令的使用限定等。
●可以审计各种事件。
例如:用户的登录尝试设置,就是指当用户登录失败的次数超过指定的次数,系统可以将用户账号锁定。
由于,域的Administrator账户具有很高的权限,因此,为了保证网络的安全,对该账户及其他具有同等特权的账户的账号必须采取严格地安全措施。
②账户管理。
账户管理的内容包括:用户口令控制、本地和全局账户、用户宿主目录的指定、网络登录脚本、用户强制性配置文件,以及将用户分配到默认的组等多项账户属性的操作。
(3)账户的安全策略建立用户账户的方法在第8章中已作介绍,本节仅介绍账户安全的设置策略和步骤。
Windows NT的缺省和默认账户策略是为了便于用户方便而设计的。
例如:允许用户使用空口令和选择任意长度的口令。
而这些设置可以使得非法入侵者可以轻易地入侵网络。
因此,出于安全性考虑,应当修改上述的设计策略。
表15-2说明了建议网络管理员在各种情况下可以采取的账户策略。
表15-2 推荐的Windows NT中的账户策略功能推荐设置优点最小口令长度6~8个字符使得所设置的口令不易被猜出口令期限30~90天强迫用户定期更换口令,使系统更安全口令唯一性5个口令防止用户总是使用同一口令账户锁定5次登录企图后锁定,30分钟后恢复防止黑客猜出口令的企图最短口令的使用期限(寿命)3天(允许用户立即修改口令)防止用户立即将口令改为原有的值锁定时间30分钟强迫用户等待,防止黑客猜出口令的企图当登录时间到期时,中断远程客户与服务器的连接应使用登录时间的限制支持移动工作及无超时的策略用户必须登录才能修改口令禁止防止用户更新已经过期的口令注意:NT操作系统可以自动锁定账户,管理员不能采用手动锁定账户,但是,可以进行禁止账户或解锁的操作。
(4)账户安全策略的实施步骤①依次选择“开始→程序→管理工具→域用户管理工具”命令选项,激活如图15-7所示的窗口。
图15-7 “域用户管理器”窗口②在图15-7所示的“域用户管理器”窗口中,选择“规则(策略)→账户”命令选项,即可激活如图15-8所示的窗口。
注:有些NT版本中的“规则”命令显示为“策略”。
图15-8 “域用户管理器”中的“账号规则”窗口③在图15-8所示的窗口中,可以设置:密码限制、账号锁定和锁定时间等,用户应当根据安全策略的需要酌情进行选择。
例如:可以通过“登录失败”选项进行设定。
用户允许的最多登录企图的次数的取值范围为:1~999。
如果设定的值为5次,就表示用户在连续5次的错误登录之后,系统就会锁定该账户。
④对于锁定时间可以在“复位账号前锁定”选项处进行设置,通过设定用户账户,在锁定前的最大登录时间间隔,其取范围为1~99999分钟。
例如:如果将此时间设定为30分钟,就表示用户在30分钟之内,连续进行了允许的错误登录次数后,其账户将被自动锁定。
⑤在“锁定时间”处,设定对锁定账户的处理方式。
如果选择了“永久”单选项,将使得被锁定的账户在管理员解锁它们之前,保持锁定状态。
如果选择了“时间”单选项,则要求设定锁定时间,即被锁定的用户账户将在该时间之后自动解锁,从而恢复该账户的使用权。
⑥在图15-8所示的窗口中,如果选择了“账号不锁定”的单选项,则系统对于登录失败将不进行任何的处理。
注意:为了防止他人不断地登录而猜出用户的密码,最好不要选择此项,而应按照上面所介绍的方法进行必要的设置。
⑦为了防止用户非法访问域,每一个用户账户都要设置一个密码。
Windows NT的身份验证系统,要求用户在登录NT网络时,提供正确的密码,否则用户的入网请求将被拒绝。
Windows NT密码的策略如表15-2所述,这里仅介绍用户密码的保护方法和操作步骤。
●依次选择“开始→程序→管理工具→域用户管理工具”命令选项,激活如图15-7所示的窗口。
●在图15-7所示的窗口中,选择“规则(策略)→账户”命令选项。
●在激活的窗口中,选择“密码最长期限”选项,可以设置用户口令可以使用的时间,其取值范围为1~999天。
之后,用户将被要求改变口令。
为安全起见,应当要求用户经常更换他们的口令。
在中等安全性的网络中,要求用户每45~90天更换一次口令。
在高等安全性的网络中,要求用户每14~45天更换一次口令。
当然,也可以将其设置为“密码永久有效”,为了避免密码失窃,建议尽量不要这样设置。
●“最短密码期限”选项,用来设置口令在被用户改变之前,必须要保持的时间,其取值范围为1~999天。
值得注意的是:本项设置的时间一定要小于“③”中所设置的密码最长期限值。
●“最短密码长度”选项,用来设置口令的最小长度,由于口令越长越难被破译,因此,在中等安全性的网络中,要求用户的口令长度为6~8个字符。