计算机口令和策略设置方法

账号⼝令管理办法账户⼝令管理办法⽬录第⼀章总则 (4)1.1概述 (4)1.2⽬标 (5)1.3范围 (5)1.4要求 (5)第⼆章帐号、⼝令和权限管理的级别 (7) 2.1关于级别 (7)2.2如何确定级别 (7)2.3⼝令、帐号和权限管理级别的定义 (7) 2.3.1等级1 –最低保障 (8)2.3.2等级2－低保障级别 (8)2.3.3等级3 –坚固保障级别 (9)2.3.4等级4 –最⾼保障等级 (9)第三章帐号管理 (11)3.1职责定义 (11)3.2⼝令应该以⽤户⾓⾊定义 (11)3.2.1系统管理员/超级⽤户 (11)3.2.2普通帐号 (11)3.2.3第三⽅⽤户帐号 (12)3.2.4安全审计员帐号 (12)3.2.5对于各类帐号的要求 (12)3.3帐号管理基本要求 (13)3.3.1保障等级⼀需要遵守的规范 (13) 3.3.2保障等级⼆需要遵守的规范 (13) 3.3.3保障等级三需要遵守的规范 (13) 3.3.4保障等级四需要遵守的规范 (14) 3.4帐号管理流程 (14)3.4.1创建⽤户帐号 (14)3.4.2变更⽤户 (17)3.4.3撤销⽤户 (19)3.4.4定期复审 (20)第四章⼝令管理 (21)4.1通⽤策略 (21)4.2⼝令指南 (21)4.2.1⼝令⽣成指南 (21)4.2.2⼝令保护指南 (22)第五章权限管理 (24)5.1概述 (24)5.2根据⼯作需要确定最⼩权限 (24)5.3建⽴基于⾓⾊的权限体系 (24)5.4审计⼈员权限的界定 (25)5.5第三⽅⼈员权限设定 (26)第⼀章总则1.1 概述随着XXXX公司业务系统的迅速发展，各种⽀撑系统和⽤户数量的不断增加，⽹络规模迅速扩⼤，信息安全问题愈见突出，现有的信息安全管理措施已不能满⾜xxx⽬前及未来业务发展的要求。

主要表现在以下⽅⾯：1.xxxx的信息系统中有⼤量的⽹络设备、主机系统和应⽤系统，分别属于不同的部门和不同的业务系统，并且由相应的系统管理员负责维护和管理。

计算机终端安全配置手册（Windows 平台）目录1审核策略设置 (3)1.1开启密码策略 (3)1.2开启帐户锁定策略 (4)1.3开启审核策略 (4)2帐户设置 (5)2.1UAC（用户帐户控制）提醒 (5)2.2禁用Guest 帐户 (6)2.3取消“密码永不过期” (7)2.4修改密码 (8)3系统设置 (8)3.1设置计算机名 (8)3.2设置屏幕保护程序 (13)3.3防病毒软件设置 (16)3.4设置时钟同步 (19)3.5系统补丁自动更新 (20)3.6设置防火墙 (23)3.7日志文件设置 (24)4FAQ (25)附录 (27)1.常见的服务和功能说明 (27)2.常见端口说明 (30)1审核策略设置1.1开启密码策略计算机终端启用密码策略，设置帐户密码时会依据密码策略校验密码是否符合要求，以避免设置帐户密码为非强密码对计算机终端造成安全风险。

设置要求：必须设置方法：1、打开『控制面板』->『所有控制面板项』->『管理工具』，双击“本地安全策略” ，或在『运行』->输入secpol.msc，并确认。

2、在『安全设置』->『帐户策略』->『密码策略』下，进行密码策略的设置。

密码策略包括：∙密码必须符合复杂性要求：已启用∙密码长度最小值：8 位∙密码最长留存期：90 天∙强制密码历史：3 个记住的密码1.2开启帐户锁定策略计算机终端启用帐户锁定策略，可以有效防止攻击者使用暴力破解方式猜测用户密码。

设置要求：必须设置方法：1、打开『控制面板』->『所有控制面板项』->『管理工具』，双击“本地安全策略”，或在『运行』-> 输入secpol.msc，并确认。

2、在『安全设置』->『帐户策略』->『帐户锁定策略』下，进行帐户锁定策略的设置。

先修改“帐户锁定阈值”设置，其它两项会自动提示修改∙帐户锁定阈值：10 次无效登录∙帐户锁定时间：30 分钟∙重置帐户锁定计数器：30 分钟之后1.3开启审核策略审核策略是计算机终端最基本的入侵检测方法，当尝试对系统进行某些方式（如尝试用户密码、改变帐户策略、未经许可的文件访问等）入侵时审核策略会进行系统日志记录。

为什么我的两台电脑在一个路由器上却不能互相访问,通过这个步骤地设置：方法一：为什么我的两台电脑在一个路由器上却不能互相访问，通过这个步骤地设置：1:打开受访者的GUEST帐户(不缀诉,)2:在"开始"-- ”运行”里输入”gpedit.msc＜打开组策略＞3：依次展开”windows设置”－”本地策略”－”用户指派权利”在窗口右边栏里找到”拒绝从网络访问这能计算机”后，双击打开，把里面的guest帐户删除 4：依次展开”windows设置”－”本地策略”－”安全选项”在右边栏里找到”网络访问：本地帐户的共享和安全模式”双击打开，把它改成”经典：本地用户自己的身份验证”5：依次展开”windows设置”－”本地策略”－”安全选项”在右边栏里找到”帐户：使用空白密码的本地用户只允许进行控制台登录”并把它设置为”禁用”方法二（必须设置同一样的工作组名。

）1、启用guest来宾帐户，清除“帐户已停用”的选项。

2、控制面板→管理工具→本地安全策略→本地策略→用户权利指派里，“从网络访问此计算机”中加入guest帐户，而“拒绝从网络访问这台计算机”中删除guest帐户；3、我的电脑→工具→文件夹选项→查看→去掉“使用简单文件共享（推荐）”前的勾；4、控制面板→管理工具→本地安全策略→本地策略→安全选项里，把“网络访问：本地帐户的共享和安全模式”设为“ “经典-本地用户以自己的身份验证”）。

5：依次展开”windows设置”－”本地策略”－”安全选项”在右边栏里找到“帐户：使用空白密码的本地用户只允许进行控制台登录”并把它设置为”禁用”（不过我们可能还会遇到另外一个问题，当用户的口令为空时，访问还是会被拒绝。

原来在“安全选项”中有一个“账户：使用空白密码的本地账户只允许进行控制台登录”策略默认是启用的，根据Windows XP安全策略中拒绝优先的原则，密码为空的用户通过网络访问使用Windows XP的计算机时便会被禁止。

配置历史口令使用策略
口令是计算机系统中的重要安全要素之一，为了保障系统的安全性，
必须采取有效的口令使用策略。

配置历史口令使用策略是其中一项重
要措施。

历史口令使用策略是指在用户更改口令时，系统会检查新输入的口令
是否与该用户过去使用过的某些口令相同，如果相同，则不允许该用
户使用该口令。

这样可以防止用户反复使用相同的弱口令，从而增强
系统的安全性。

配置历史口令使用策略需要注意以下几点：
1. 口令历史记录数目：应根据实际情况设置合适的历史记录数目。

如
果设置过少，则无法防止用户反复使用相同的弱口令；如果设置过多，则会增加系统存储压力。

2. 口令有效期限制：应根据实际情况设置合适的有效期限制。

如果设
置过短，则会给用户带来不必要的麻烦；如果设置过长，则会增加系
统被攻击的风险。

3. 口令复杂度要求：应对用户输入密码进行限制，例如要求密码长度、
大小写字母、数字、特殊字符等多种组合方式，以增加口令的复杂度和安全性。

4. 口令修改频率：应根据实际情况设置合适的修改频率，过于频繁会增加用户负担，过于稀少则会增加系统被攻击的风险。

5. 口令锁定策略：当用户连续多次输入错误口令时，应采取相应的锁定策略，例如暂时禁止用户登录等。

通过配置历史口令使用策略，可以有效地提高系统的安全性，防止用户反复使用相同的弱口令。

同时需要注意，在配置历史口令使用策略时，要根据实际情况进行设置，以达到最佳效果。

志丹联社计算机系统用户口令（密码）安全管理规定第一章总则第一条为加强全县农村信用社计算机系统用户口令（密码）的安全管理，提高计算机系统用户口令（密码）安全管理规范化、制度化水平，完善信息安全管理体系，特制定本规定。

第二条省联社及各办事处、各行社的计算机系统用户口令（密码）的安全管理适用本规定。

本规定不包括应用系统客户口令管理和用于保护文件共享等非登录计算机系统用户的口令管理。

第三条本规定所称计算机系统用户口令（密码）是指在登录计算机系统过程中，用于验证用户身份的字符串，以下简称计算机系统用户口令。

计算机系统用户口令主要为静态口令、动态口令等。

静态口令一般是指在一段时间内有效，需要用户记忆保管的口令。

动态口令一般是指根据动态机制生成的、一次有效的口令。

计算机系统用户口令主要包括：主机系统（数据库系统）、网络设备、安全设备等系统用户口令；前端计算机系统用户口令；应用系统用户口令；桌面计算机系统用户口令。

第四条计算机系统用户口令的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。

第五条计算机系统用户口令持有人应保证口令的保密性，不应将口令记录在未妥善保管的笔记本以及其他纸质介质中（密码信封除外），严禁将口令放置在办公桌面或贴在计算机机箱、终端屏幕上，同时严禁将计算机系统用户口令借给他人使用，任何情况下不应泄漏计算机系统用户口令，一旦发现或怀疑计算机系统用户口令泄漏，应立即更换。

第六条计算机系统用户口令必须加密存储计算机系统中，严禁在网络上明文传输计算机系统用户口令，在用户输入口令时，严禁在屏幕上显示口令明文，严禁计算机信息系统输出口令明文（密码信封除外）。

第七条计算机系统用户口令持有人应保证口令具有较高安全性。

选择使用口令安全强度较高的口令，不应使用简单的代码和标记，禁止使用重复数字、生日、电话号码、字典单词等容易破译的计算机系统用户口令。

第八条任何人不得利用盗取、猜测、窥视、破解等非法手段获取他人计算机系统用户口令，盗用他人访问权限，威胁信息系统安全。

windows 2003 域密码策略设置在域控制器上的开始菜单中打开“运行”，输入DSA.MSC后回车，即打开活动目录的用户和计算机管理控制台。

在域节点右键，进入属性，打开组策略选项卡，在里边找到Default Domain policy这个GPO选中他，点击下面的编辑，现在就会打开组策略编辑器，在这个组策略编辑器中找到一下路径：计算机配置-WINDOWS设置-安全设置-帐户策略-密码策略。

在这个路径下找到“密码必须符合复杂性要求”设置为禁用，“密码长度最小值”设置为0。

这样你就可以创建空密码的用户帐户了（当然在这里你也可以为你的域设置你自己需要的密码策略），完成了以上设置后并没有完，还有最后一步，就是在开始菜单的运行中输入“GPUPDATE /FORCE”这个命令。

另：1、如何在WIN2003中添加用户？每次添加用户时总是提示我不符合密码策略，怎么办？问：如何在WIN2003中添加用户？我将公司的主域服务器改成win2003，但是win2003却不让我添加用户，每次添加用户是总是提示我不符合密码策略，怎么办？答：对于2003域，默认域的安全策略与2000域不同。

要求域用户的口令必须符合复杂性要求，且密码最小长度为7。

口令的复杂性包括三条：一是大写字母、小写字母、数字、符号四种中必须有3种，二是密码最小长度为6，三是口令中不得包括全部或部分用户名。

当然也可以重新设默认域的安全策略来解决。

操作如下：开始/程序/管理工具/域安全策略/帐户策略/密码策略：密码必须符合复杂性要求：由“已启用”改为“已禁用”；密码长度最小值：由“7个字符”改为“0个字符”。

使此策略修改生效有如下方法：1、等待系统自动刷新组策略，约5分钟~15分钟2、重启域控制器（若是修改的用户策略，注销即可）3、使用gpupdate命令。

（推荐使用这个）说明：2000中使用的刷新组策略命令secedit /refreshpolicy machine(或user)_policy /enforce 命令在03中已由gpupdate取代。

本地计算机策略本地计算机策略（Local Computer Policy）是提供给专业人员或使用者一种有效管理和控制计算机系统的方法，可以有效地进行计算机系统的维护和安全。

下面是本地计算机策略的详细内容：1. 使计算机系统可以正常运行；2. 提供计算机系统的安全防护，限制和控制未授权的访问；3. 防止违反规则的行为和违反使用政策的行为；4. 确保计算机系统的机密性、安全性；5. 监测网络环境，防止计算机系统遭到意外的破坏和攻击。

二、本地计算机策略设置1. 权限管理：根据本地策略设置用户组的权限；2. 安全设置：对计算机系统各种功能模块进行安全设置，以防止未被授权的登陆或使用；3. 本地策略管理：设置计算机安全策略管理，包括访问权限，口令安全，防病毒，系统审计；4. 报警功能：设置本地计算机系统的安全报警，当有异常行为出现时及时报警；5. 审计功能：设置本地计算机系统的审计功能，收集、分析并确保系统安全。

三、本地计算机策略的优点1. 能够有效地管理本地计算机系统；2. 避免信息外泄，有效地保护计算机系统的安全；3. 限制未授权的访问或操作；4. 提高系统管理者对系统的控制力度，提升工作效率；5. 减少计算机的维护和管理工作，节约维护资源；6. 可以根据需要进行必要的审计，降低风险。

四、本地计算机策略的弊端1. 高阶的权限需要特殊的管理方式，费时费力；2. 有些用户可能会对本地计算机策略的权限设定存在争议；3. 审计过程费时费力，需要专业知识；4. 配置文件可能会被未经授权的人员破坏；5. 受限于本地网络的覆盖，无法处理局域网外的风险。

本地计算机策略的正确使用，可以帮助用户简化系统维护，提升系统安全性。

但不论多么完善的本地策略都不免受因硬件或软件问题引起的各种故障带来损害。

因此，专业人员在设置本地计算机策略时，要根据计算机系统实际情况设定本地计算机策略，从而确保计算机系统正常运行，并能有效地保障计算机系统的安全可靠。

《网络安全》课程教学大纲课程编码： 4300131 课程总学时： 48 ，理论学时：24 ，实践（实验）学时：24 课程学分：2开课学期： 7 适用专业：计算机技科学与技术一、教学目标使学生掌握网络安全的基本知识，并为学生进一步从事网络安全工作，做好知识准备；使学生掌握网络安全及其防范技术的基本方法，并能自觉运用安全管理的技术与规范；使学生了解网络安全的标准和法律法规，自觉维护网络系统的安全。

二、课程性质与任务本课程是计算机科学与技术专业学生的一门网络方向学科专业课。

主要讲述计算机系统的安全技术及其方法。

内容包括计算机系统的环境安全、软件安全、数据加密技术、网络安全与防火墙技术、计算机病毒的诊断与消除等。

三、预修课程学习本课程之前，应先学习计算机文化、计算机网络、操作系统和数据库原理等课程。

四、学时分配本课程总学时48学时，其中课堂讲授24学时，实验教学24学时。

课堂讲授内容与学五、讲授内容第一章网络安全概述教学目的和要求：了解网络安全研究的体系、研究网络安全的必要性、研究网络安全社会意义以及目前计算机网络安全的相关法规。

如何评价一个系统或者应用软件的安全等级。

教学难点和重点：重点是网络安全相关的基本概念，网络安全研究的体系结构以及配置实验环境。

难点是网络安全防护体系。

教学内容：第一节网络安全基础知识1 网络安全的定义2 网络安全的特征3网络安全的重要性第二节网络安全的主要威胁因素1 协议安全问题2 操作系统与应用程序漏洞3 安全管理问题4 黑客攻击5 网络犯罪第三节常用的防范措施1 完善安全管理制度2 采用访问控制3 数据加密措施4 数据备份与恢复第四节网络安全策略1 我国评价标准2 国际评价标准第五节环境配置1 安装VMware虚拟机2 配置VMware虚拟机3 Sniffer工具的介绍和使用第二章远程攻击的一般步骤教学目的和要求：要求掌握网络攻击的过程及其分类。

理解本地入侵和远程入侵的区别。

涉密计算机安全策略配置一、物理安全防护1、安装防盗铁门2、安装红外报警器3、放置密码文件柜4、涉密电脑实行物理隔离二、硬件相关设置1、禁止使用无线设备（无线键盘、鼠标、网卡、红外、蓝牙、modem等）；2、未经许可不得使用视频、音频输入设备、读卡器设备、刻录设备;3、接入红黑电源隔离插座；4、与非密设备间隔一米以上。

三、主板BIOS相关设置1、设置BIOS系统密码，该密码由安全保密管理员掌握；2、设置BIOS开机密码，该密码由用户掌握；3、BIOS最优先启动设置为硬盘启动，其余优先启动全部关闭；四、操作系统1、禁止安装番茄花园、雨林木风等经处理的操作系统，禁止安装Ghost版操作系统；2、更改A d m i n i s t r a t o r用户名并设置密码，禁用Guest帐户，删除多余帐户；3、关闭操作系统的默认共享，同时禁止设置其它共享；4、设置屏保时间10分钟，屏保恢复需用密码；5、不得安装《软件白名单》外的软件；6、对操作系统与数据库进行补丁升级（每季度一次〉；7、定期输出安全审计记录报告（每月一次）8、清理一切私人信息：私人照片、mp3、电影等等。

9、根据规定设置系统策略，关闭非必要服务；〔见后）五、安全保密防护软件的部署1、安装正版杀毒软件，涉密计算机（瑞星杀毒软件），涉密中间机、非涉密中间机（瑞星杀毒软件)；杀毒软件每半个月更新一次病毒库并全盘扫描；2、安装主机监控审计软件与介质绑定系统；六、关闭计算机不必要的应用服务原则：在没有特殊情况下应当关闭不必要的服务。

如果有特殊需求，应当主动申请提出。

详细配置说明七、按以下要求配置操作系统策略。

电脑密码设置与解密（一）分类:论文集电脑开机密码设置(一) 设置开机密码、设置屏保密码、设置文件密码都是有益的一些保护措施，但也不能对密码的有效程度过分信赖，因为这些密码对于专业人员来说都是极易破解的。

但对于一般办公环境来说，设置开机密码还是有相当作用的。

下面我们来看一下在BIOS中如何设置开机密码。

开机后按键盘的Delete键进入BIOS界面。

找到User Password选项，其默认为关闭状态。

激活并输入用户密码（1～8位，英文或者数字）。

电脑提示请再输入一遍以确认密码无误，保存退出后重新启动机器，这时就会在开机时出现密码菜单。

一、系统级加密三、专业级加密四、写在最后本文从用户和攻击者两个角度探讨了常见的加密和解密操作，但是并没有涉及网络攻击等方面的内容。

同时还要知道，攻击者不会只使用上面讲到的软件来进行破解工作，写这篇文章的目的就是想让大家换位思考，了解一下攻击者的思路，做到知已知彼。

最后，笔者总结了十条电脑安全操作的原则和大家一起分享，也以此作为本文的结束。

1. 对自己的主机要格外留心。

让陌生人接触到主机就是最危险的开端。

2. 不断升级自己的操作系统和杀毒软件。

下载新版的SP包（Service Pack 软件补丁包）堵住已知的操作系统漏洞；升级最新的杀毒软件，防止病毒或木马进入电脑。

3. 对重要文件一定要在文件级别上进行加密。

这样无论将文件拷到任何一台电脑上都需要解密后才能使用，增加被攻击者截获的文件安全性。

4. 非常重要的文件应使用多种方法进行嵌套加密以提高安全性。

最简单的例子，可以用Word设置一个密码，再将这个已加密的Word文件使用ABI-Coder二次加密。

5. 千万不要使用自己的名字、生日、电话号码或常见英文单词等容易被外人猜到的序列做密码，因为这样的密码跟没有密码一样，太容易破解了，而且尽量要使用多个密码，切忌一个密码既可以收取邮件、又可以打开加密文件、还可以访问内部局域网。