1 启用密码策略
密码策略的设置项目如图所示。
-
密码必须符合复杂性要求。复杂性要求是指用户账户使用的密码长度至少6位(最多127位),且必须是大写字母、小写字母、数字与符号4种字符中的任意3种以上的组合。
-
密码长度最小值。确定用户账户的密码可以包含的最少字符个数,设置范围0~14。
-
密码最长使用期限。指密码使用的最长时间,单位为天。设置范围0~999,默认设置为42天。如果设置为0天,则代表密码永不过期。
-
密码最短使用期限。指应用密码后,多长时间内不准修改,这项很少设置。
-
强制密码历史。指多少个最近使用过的密码不允许再使用。设置范围在0~24之间,默认值为0,代表可以随意使用过去使用的密码。
下面是为用户设置安全密码推荐的操作:
-
密码长度最小7个字符,而且包括大小写字母、数字及特殊符号。
-
密码中不要包括用户的账户名、姓名或公司以及部门的名称。
-
密码不使用完整的单词或词组,但可以是一些不规则的组合。
-
与过去使用的密码尽量不同。
-
推荐使用一句话密码,如将“床前明月光”设为一句话密码“ChuangQ1anM1ngYueGuang”。
2 启用账户锁定策略
账户锁定策略是指当用户输入错误密码的次数达到一个设定值时,就将此账户锁定。锁定的账户不能再登录,只有等超过指定时间自动解除锁定或由管理员手动解除锁定。注意,账户锁定策略对管理员账户administrator无效。
账户锁定策略包括下面3个设置,如图所示。
-
账户锁定阈值。指用户输入几次错误的密码后,将用户账户锁定。设置范围0~999之间,默认值为0,代表不锁定账户。
-
账户锁定时间。指当用户账户被锁定后,多少分钟后自动解锁。设置范围0分钟~99999分钟,0代表必须有管理员手动解锁。
-
复位账户锁定计数器。指用户由于输入密码错误开始计数时,计数器保持的时间,当时间过后,计数器将复位为0。如果定义了账户锁定阈值,则该复位时间必须小于或等于账户锁定时间。
推荐的账户锁定策略设置:
3 设置审核策略
审核策略可以用日志形式记录系统中已经被审核的事件,而系统管理员通过生成的日志文件,能轻易发现和跟踪发生在所管理区域内的可疑事件。比如:谁曾经访问过哪个文件、哪些非法程序入侵了你的电脑等。可以审核的事件如图所示。
在审核的事件中比较常用的是:
-
审核登录事件,审核所有用户的登录和注销事件。
-
审核对象访问,审核用户访问某个对象的事件,如文件、文件夹、注册表项等。
-
审核系统事件,审核用户重新启动或关闭计算机时或者对系统安全或安全日志有影响的事件。
-
审核账户管理,审核计算机上的每一个账户管理事件,包括:创建、更改或删除用户账户或组;命名、禁用或启用用户账户;设置或更改密码等。
审核策略的安全设置选项包括以下几个方面:
|
