制定Windows 2003安全策略

Windows Server 2003作为Microsoft 最新推出的服务器操作系统，不仅继承了Windows 2000/XP的易用性和稳定性，而且还提供了更高的硬件支持和更加强大的安全功能，无疑是中小型网络应用服务器的当然之选。本文就Windows 2003在企业网络应用中企业帐户和系统监控方面的安全策略制定作出一些说明，希望能对大家起到抛砖引玉的效果，最终的目标是确保我们的网络服务器的正常运行。

　　一、企业账户保护安全策略

　　用户账户的保护一般 主要围绕着密码的保护来进行。为了避免用户身份由于密码被破解而被夺取或盗用，通常可采取诸如提高密码的破解难度、启用账户锁定策略、限制用户登录、限制外部连接以及防范网络嗅探等措施。

　　1、提高密码的破解难度

　　提高密码的破解难度主要是通过采用提高密码复杂性、增大密码长度、提高更换频率等措施来实现，但这常常是用户很难做到的，对于企业网络中的一些安全敏感用户就必须采取一些相关的措施，以强制改变不安全的密码使用习惯。

　　在Windows系统中可以通过一系列的安全设置，并同时制定相应的安全策略来实现。在Windows Server 2003系统中，可以通过在安全策略中设定“密码策略”来进行。Window Server 2003系统的安全策略可以根据网络的情况，针对不同的场合和范围进行有针对性地设定。例如可以针对本地计算机、域及相应的组织单元来进行设定，这将取决于该策略要影响的范围。

　　以域安全策略为例，其作用范围是企业网中所指定域的所有成员。在域管理工具中运行“域安全策略”工具，然后就可以针对密码策略进行相应的设定。

　　密码策略也可以在指定的计算机上用“本地安全策略”来设定，同时也可在网络中特定的组织单元通过组策略进行设定。

　　2、启用账户锁定策略

　　账户锁定是指在某些情况下(例如账户受到采用密码词典或暴力猜解方式的在线自动登录攻击)，为保护该账户的安全而将此账户进行锁定。使其在一定的时间内不能再次使用，从而挫败连续的猜解尝试。

　　Windows2003系统在默认情况下，为方便用户起见，这种锁定策略并没有进行设定，此时，对黑客的攻击没有任何限制。只要有耐心，通过自动登录工具和密码猜解字典进行攻击，甚至可以进行暴力模式的攻击，那么破解密码只是一个时间和运气上的问题。账户锁定策略设定的第一步就是指定账户锁定的阈值，即锁定前该账户无效登录的次数。一般来说，由于操作失误造成的登录失败的次数是有限的。在这里设置锁定阈值为3次，这样只允许3次登录尝试。如果3次登录全部失败，就会锁定该账户。

　　但是，……

（本课程正式学员可登录学习系统，进入对应课程，在窗口左边的“课程资料室”内进行在线浏览。）