一、設(shè)置可靠的密碼
在“開始”→“運行”窗口中輸入“secpol.msc”并回車就可以打開“本地安全設(shè)置窗口”。或者通過“控制面板”→“管理工具”→“本地安全策略”來打開這個設(shè)置界面。
在“本地安全設(shè)置”窗口的左側(cè)展開“賬戶策略”→“密碼策略”,在右邊窗格中就會出現(xiàn)一系列的密碼設(shè)置項,經(jīng)過這里的配置,可以建立一個完備的密碼策略,使密碼得到最大限度的保護。
圖一
●強制密碼歷史 這個設(shè)置決定了保存用戶曾經(jīng)用過的密碼個數(shù)。很多人知道經(jīng)常更換密碼是個好方法,這樣可以提高密碼的安全性,但由于個人習(xí)慣,常常換來換去就是有限的幾個密碼。配置這個策略就可以讓系統(tǒng)記住用戶曾經(jīng)使用過的密碼,如果更換的新密碼與系統(tǒng)“記憶”中的重復(fù),系統(tǒng)就會給出提示。默認情況下,這個策略不保存用戶的密碼,可以根據(jù)自己的習(xí)慣進行設(shè)置,建議保存5個以上(最多可以保存24個)。
●密碼最長存留期 這個策略決定了一個密碼可以使用多久,之后就會過期,密碼過期時系統(tǒng)就會要求用戶更換密碼。如果設(shè)置為0,則密碼永不過期。一般情況下可設(shè)置為30到60天左右,具體的過期時間要看你的系統(tǒng)對安全的要求有多嚴格。最長可以設(shè)置999天。
●密碼最短存留期 這個策略決定了一個密碼要在使用多久之后才能被修改。設(shè)置為0表示一個密碼可以被無限制地重復(fù)使用,最大值為999。這個策略與“強制密碼歷史”結(jié)合起來就可以得知新的密碼是否是以前使用過的,如果是,則不能繼續(xù)使用這個密碼。如果“密碼最短存留期”為0天,即密碼永不過期,這時設(shè)置“強制密碼歷史”是沒有作用的,因為沒有密碼會過期,系統(tǒng)就不會記住任何一個密碼。因此,如果要使“強制密碼歷史”有效,應(yīng)該將“密碼最短存留期”的值設(shè)為大于0。
●密碼長度最小值 這個策略決定了一個密碼的長度,有效值在0到14之間。如果設(shè)置為0,則表示不需要密碼,這是系統(tǒng)的默認值,而從安全角度來考慮,允許不需要密碼的用戶存在是非常危險的。建議密碼長度不小于6位。
●密碼必須符合復(fù)雜性要求 如果啟用了這個策略,則在設(shè)置和更改一個密碼時,系統(tǒng)將會按照下面的規(guī)則檢查密碼是否有效:
◇密碼不能包含全部或者部分的用戶名。
◇最少包括6個字符。
◇密碼必須包含以下四個類別中的三個類別:
大寫英文字母A~Z。
小寫英文字母a~z。
基本的10個數(shù)字,0~9。
特殊字符,例如“!”,“$”,“#”,“%”等。
啟用了這個策略,相信你的密碼就會比較安全了,因為系統(tǒng)會強制你使用這種安全性高的密碼。如果你在創(chuàng)建或修改密碼時沒有達到這個要求,系統(tǒng)會給出提示并要求重新輸入符合要求的安全密碼。
從上面這些設(shè)置項中我們不難得到一個最簡單有效的密碼安全方案,即首先啟用“密碼必須符合復(fù)雜性要求”策略,然后設(shè)置“密碼最短存留期”,最后開啟“強制密碼歷史”。設(shè)置好后,在“控制面板”中重新設(shè)置管理員的密碼,這時的密碼不僅本身是安全的(不低于6位且包含不同類別的字符),而且以后修改密碼時也不易出現(xiàn)與以前重復(fù)的情況了。這樣的系統(tǒng)密碼安全性非常高。
注意:由于密碼本身復(fù)雜,且不允許重復(fù)使用,用戶可能會使用一些自己也不容易記憶的密碼,這就造成了容易忘記密碼的情況。這樣的密碼雖然安全,但一旦忘記密碼可能自己也再也進不了系統(tǒng)了。因此,在設(shè)置密碼時一定要重視“密碼提示”的設(shè)置,要讓自己一看就能回憶起是使用的什么密碼。
二、重命名和禁用默認的賬戶
安裝好Windows后,系統(tǒng)會自動建立兩個賬戶:Administrator和Guest,其中Administrator擁有最高的權(quán)限,Guest則只有基本的權(quán)限并且默認是禁用的。這樣的賬戶設(shè)置雖然方便,但卻嚴重危害到了系統(tǒng)的安全。如果有黑客入侵或者遭遇其他惡意破壞,系統(tǒng)的超級用戶名會立刻暴露出來,破壞者會馬上有針對性地尋找密碼。我們前面也說到了,絕對安全的密碼是不存在的,因此,為系統(tǒng)安全起見,可以把Administrator賬戶的名稱改掉,然后建立一個幾乎沒有任何權(quán)限的假Administrator賬戶。具體的方法如下。
打開“本地安全設(shè)置”對話框,依次展開“本地策略”→“安全選項”,在右邊窗格中有一個“賬戶:重命名系統(tǒng)管理員賬戶”的策略,雙擊打開它,給Administrator重新設(shè)置一個平淡的用戶名。然后新建一個名稱為Administrator的受限制用戶,用以迷惑入侵者。
注意:Windows XP Home版本對使用基于MMC的安全管理方式進行了很大的限制,并且默認的Administrator用戶是隱藏的,在“用戶賬戶”里根本看不到這個用戶名,也就無法更改Administrator用戶的屬性。惟一的解決方法是進入安全模式,這時隱藏的Administrator用戶就會出現(xiàn)在用戶選擇列表中,默認的密碼為空,怎么樣?夠危險吧!用Administrator用戶登錄后,雖然沒有辦法刪除這個用戶,也不能更改用戶名,但是可以加上一個復(fù)雜的密碼,12位以上的不規(guī)則密碼幾乎是無法破解的,趕快加上吧。