利用Windows server 2003的策略增强系统安全
开启密码复杂性策略
1.“开始”-à“运行”命令,输入“gpedit.msc”,调出系统组策略。
2.“计算机配置”---à“windows设置”---à“安全设置”---à“账户策略”----à“密码策略”--à“密码必须符合复杂性要求”,设置为“已启用”。
3. 在“密码策略”---à“密码长度最小值”中,设置密码最少为8个字符。“密码最长存留期”中,设置为7天。
开启账户策略
“运行”→“gpedit,msc” →“计算机配置”→“windows设置”-à“安全设置”→“账户策略”→“账户锁定策略”,设置账户锁定阈值为3次,是无效登陆3次后就锁定该账户。
开启账户审核策略
“运行”→“gpedit,msc” →“计算机配置”→“windows设置”→“安全设置”→“本地策略”→“审核策略”设置“审核对象访问”和“审核登陆事件”为成功和失败
开启安全选项
“运行”→“gpedit,msc” →“计算机配置”→“windows设置”→“安全设置”→“本地策略”→“安全选项”,设置“交互式登录:“不显示上次登录的用户名”为启用。并且设置账户:“重命名系统管理员账户”为administration重新命名。
关闭潜在危险的服务
1.“开始”→“运行”→“services.msc”,调出系统服务控制台。
2.展开控制台,查看相关服务,找到“Remote Registry”,在“启动类型”中选择“已禁用”,单击“确定”按钮。
找到“Telnet”,在“启动类型”中选择“已禁用”,单击“确定”按钮。
设置TCP/IP过滤
1. 桌面,右键单击“网上邻居”,选择“属性”→“服务”
2. “本地连接”→“属性”→“Internet协议(TCP/IP)” →“属性”→“高级”。
打开“选项”→“TCP/IP筛选” →“属性”,选择“TCP/IP筛选”。
3.选择“启用TCP/IP筛选”, “TCP/IP端口”选项选“只允许”,单击“添加端口”,输入端口号20和21,这样就只允许其他机器访问本地的FTP服务。系统只允许打开20和21端口。要开放其他端口,继续添加即可。
