详述Windows Server 2008安全部署的六个方面

核心提示： 上面这些注意点都是很显然的，但是，详述Windows Server 2008安全部署的六个方面(4)，如果我们非要使用密码的话，那么最好采用一个强壮的密码策略：密码至少8个字符那么长，选择”属性”，这样我们就可以禁用这些账户，包括英文大写字母、数字和非字母数字字符：

上面这些注意点都是很显然的。但是，如果我们非要使用密码的话，那么最好采用一个强壮的密码策略：密码至少8个字符那么长。包括英文大写字母、数字和非字母数字字符：此外，我们最好定期改变密码并在特定的时期内不使用相同的密码。一个强壮的密码策略加上多重验证(Multifactor Authentication)，这也仅仅只是一个开始。多亏了NTFS提供的ACL功能，使得一个服务器的各个方面，每个用户都可以被指派不同级别的访问权限。文件访问控制打印共享权限的设置应当基于组(Group)而不是“每个人(Everyone)”。这在服务器上是可以做到的，或者通过Active Directory。确保只有一个经过合法身份验证的用户能访问和编辑注册表，这也很重要。这样做的目的是限制访问这些关键服务和应用的用户人数。

4、基于账户、端口、服务等限制

(1).账户安全控制

在安装过程中，三个本地用户帐户被自动创建管理员(Administrator)、来宾(Guest)、远程协助账户(Help—Assistant，随着远程协助会话一起安装的)。管理员帐户拥有访问系统的最高权限。它能指定用户权限和访问控制。虽然这个主帐户不能被删除，但是我们应该禁用或给它重新命名，以防被轻易就被黑客盗用而侵入系统。正确的做法是，我们应该为某个用户或一个组对象指派管理员权限。这就使得黑客更难判断究竟哪个用户拥有管理员权限。这对于审计过程也是至关蓖要的。想象一下，如果一个部门的每一个人都可以使用同一个管理员账户和密码登录并访问服务器，这是一个多么重大的安全隐患啊。因此，笔者建议最好不要使用管理员帐户。同样地，来宾账户和远程协助账户为那些攻击Windows Server 2008的黑客提供了一个更为简单的目标。进入”控制面板”→”管理工具”→”计算机管理”，右键单击我们想要改变的用户帐户，选择”属性”，这样我们就可以禁用这些账户。务必确保这些账户在网络和本地都是禁用的。