精华内容
下载资源
问答
  • 中小企业品牌创建策略研究论文.doc
  • 互联网时代下企业品牌创建策略研究.pdf
  • Firefox附加组件:企业策略生成器(WebExtension) 支持发展 请考虑以支持Enterprise Policy Generator的进一步发展。 非常感谢你! 描述 生成Firefox的企业策略。 在Firefox 60和Firefox ESR 60中,Mozilla引入了...
  • 根据您的企业标准和策略,使用角色组自动创建保险箱和许可。 OTFL Insider的网络研讨会 该脚本是作为Cyber​​Ark的“在线上(OTFL)内部人员”网络研讨会系列(称为Cyber​​Ark REST API:从头到尾完成)的一部分...
  • 通过对目前企业安全管理重要性的分析,从三个方面提出了具体的实施策略,分别是:加强企业各层次人员的安全教育和培训、创建良好的企业安全文化建设的氛围与环境、将现代企业安全管理工作纳入法制化范畴等。通过以上三...
  • 诊断设置策略的此初始配置是对企业规模诊断设置的修改。 企业策略仅针对诊断设置部署日志分析工作区配置。 这组“诊断设置”策略还配置了“诊断设置”,以将日志和指标存档到存储帐户。 要求 租户(至少一个管理...
  • 策略提示MMC无法创建管理单元的解决方法,打开组策略,提示MMC无法创建管理单元,本文档由思迅软件提供。
  • 提高企业内网安全的十大策略

    千次阅读 2020-05-27 10:11:33
    几乎所有企业对于网络安全的重视程度一下子提高了,纷纷采购防火墙等设备希望堵住来自Internet的不安全因素。然而,Intranet内部的攻击和入侵却依然猖狂。事实证明,公司内部的不安全因素远比外部的危害更恐怖。  ...

      几乎所有企业对于网络安全的重视程度一下子提高了,纷纷采购防火墙等设备希望堵住来自Internet的不安全因素。然而,Intranet内部的攻击和入侵却依然猖狂。事实证明,公司内部的不安全因素远比外部的危害更恐怖。

      

      大多企业重视提高企业网的边界安全,暂且不提它们在这方面的投资多少,但是大多数企业网络的核心内网还是非常脆弱的。企业也对内部网络实施了相应保护措施,如:安装动辄数万甚至数十万的网络防火墙、入侵检测软件等,并希望以此实现内网与Internet的安全隔离,然而,情况并非如此!企业中经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网,而这些机器通常又置于企业内网中,这种情况的存在给企业网络带来了巨大的潜在威胁,从某种意义来讲,企业耗费巨资配备的防火墙已失去意义。这种接入方式的存在,极有可能使得黑客绕过防火墙而在企业毫不知情的情况下侵入内部网络,从而造成敏感数据泄密、传播病毒等严重后果。实践证明,很多成功防范企业网边界安全的技术对保护企业内网却没有效用。于是网络维护者开始大规模致力于增强内网的防卫能力。

      

      下面给出了应对企业内网安全挑战的10种策略。这10种策略即是内网的防御策略,同时也是一个提高大型企业网络安全的策略。

      

      1、注意内网安全与网络边界安全的不同

      

      内网安全的威胁不同于网络边界的威胁。网络边界安全技术防范来自Internet上的攻击,主要是防范来自公共的网络服务器如HTTP或SMTP的攻击。网络边界防范(如边界防火墙系统等)减小了资深黑客仅仅只需接入互联网、写程序就可访问企业网的几率。内网安全威胁主要源于企业内部。恶性的黑客攻击事件一般都会先控制局域网络内部的一台Server,然后以此为基地,对Internet上其他主机发起恶性攻击。因此,应在边界展开黑客防护措施,同时建立并加强内网防范策略。

      

      2、限制VPN的访问

      

      虚拟专用网(VPN)用户的访问对内网的安全造成了巨大的威胁。因为它们将弱化的桌面操作系统置于企业防火墙的防护之外。很明显VPN用户是可以访问企业内网的。因此要避免给每一位VPN用户访问内网的全部权限。这样可以利用登录控制权限列表来限制VPN用户的登录权限的级别,即只需赋予他们所需要的访问权限级别即可,如访问邮件服务器或其他可选择的网络资源的权限。

      

      3、为合作企业网建立内网型的边界防护

      

      合作企业网也是造成内网安全问题的一大原因。例如安全管理员虽然知道怎样利用实际技术来完固防火墙,保护MS-SQL,但是Slammer蠕虫仍能侵入内网,这就是因为企业给了他们的合作伙伴进入内部资源的访问权限。由此,既然不能控制合作者的网络安全策略和活动,那么就应该为每一个合作企业创建一个DMZ,并将他们所需要访问的资源放置在相应的DMZ中,不允许他们对内网其他资源的访问。

      

      4、自动跟踪的安全策略

      

      智能的自动执行实时跟踪的安全策略是有效地实现网络安全实践的关键。它带来了商业活动中一大改革,极大的超过了手动安全策略的功效。商业活动的现状需要企业利用一种自动检测方法来探测商业活动中的各种变更,因此,安全策略也必须与相适应。例如实时跟踪企业员工的雇佣和解雇、实时跟踪网络利用情况并记录与该计算机对话的文件服务器。总之,要做到确保每天的所有的活动都遵循安全策略。

      

      5、关掉无用的网络服务器

      

      大型企业网可能同时支持四到五个服务器传送e-mail,有的企业网还会出现几十个其他服务器监视SMTP端口的情况。这些主机中很可能有潜在的邮件服务器的攻击点。因此要逐个中断网络服务器来进行审查。若一个程序(或程序中的逻辑单元)作为一个window文件服务器在运行但是又不具有文件服务器作用的,关掉该文件的共享协议。

      

      6、首先保护重要资源

      

      若一个内网上连了千万台(例如30000台)机子,那么要期望保持每一台主机都处于锁定状态和补丁状态是非常不现实的。大型企业网的安全考虑一般都有择优问题。这样,首先要对服务器做效益分析评估,然后对内网的每一台网络服务器进行检查、分类、修补和强化工作。必定找出重要的网络服务器(例如实时跟踪客户的服务器)并对他们进行限制管理。这样就能迅速准确地确定企业最重要的资产,并做好在内网的定位和权限限制工作。

      

      7、建立可靠的无线访问

      

      审查网络,为实现无线访问建立基础。排除无意义的无线访问点,确保无线网络访问的强制性和可利用性,并提供安全的无线访问接口。将访问点置于边界防火墙之外,并允许用户通过VPN技术进行访问。

      

      8、建立安全过客访问

      

      对于过客不必给予其公开访问内网的权限。许多安全技术人员执行的“内部无Internet访问”的策略,使得员工给客户一些非法的访问权限,导致了内网实时跟踪的困难。因此,须在边界防火墙之外建立过客访问网络块。

      

      9、创建虚拟边界防护

      

      主机是被攻击的主要对象。与其努力使所有主机不遭攻击(这是不可能的),还不如在如何使攻击者无法通过受攻击的主机来攻击内网方面努力。于是必须解决企业网络的使用和在企业经营范围建立虚拟边界防护这个问题。这样,如果一个市场用户的客户机被侵入了,攻击者也不会由此而进入到公司的R&D。因此要实现公司R&D与市场之间的访问权限控制。大家都知道怎样建立互联网与内网之间的边界防火墙防护,现在也应该意识到建立网上不同商业用户群之间的边界防护。

      

      10、可靠的安全决策

      

      网络用户也存在着安全隐患。有的用户或许对网络安全知识非常欠缺,例如不知道RADIUS和TACACS之间的不同,或不知道代理网关和分组过滤防火墙之间的不同等等,但是他们作为公司的合作者,也是网络的使用者。因此企业网就要让这些用户也容易使用,这样才能引导他们自动的响应网络安全策略。

      

      另外,在技术上,采用安全交换机、重要数据的备份、使用代理网关、确保操作系统的安全、使用主机防护系统和入侵检测系统等等措施也不可缺少。

     

    展开全文
  • 第三方应用提供给企业的是一个应用,但是应用必须在套件下创建,所以第一步是要创建套件。     注册成为应用提供商,必须输入以下信息: 信息项 要求及说明 企业Logo 应用提供商的企业Logo,小于...

    注:文中绿色部分为摘自微信官方文档

     

    第三方应用提供给企业的是一个应用,但是应用必须在套件下创建,所以第一步是要创建套件。

     

      

    注册成为应用提供商,必须输入以下信息:

    信息项要求及说明
    企业Logo应用提供商的企业Logo,小于2M,640*640,背景为白色
    企业简称使用对外宣传的企业简称,能代表企业的名字,2-16个字
    企业简介描述企业所提供的服务,4-120个字
    企业官网应用服务商的企业官网

    注册条件:a)拥有一个已经过认证的企业号 b)用系统管理员身份进行申请

    摘自http://qydev.weixin.qq.com/wiki/index.php?title=%E5%BA%94%E7%94%A8%E6%8F%90%E4%BE%9B%E5%95%86%E6%B3%A8%E5%86%8C%E5%BA%94%E7%94%A8 

     

    符合以上条件后,登录微信第三方应用官网,选择“服务商登录”

     

    创建应用套件

    开发者完成注册之后,即可创建应用套件。应用套件是第三方应用授权的主体,接口的开发都与应用套件息息相关,请开发者仔细阅读下方内容。

     

    基本信息:

    信息项要求及说明
    应用套件Logo应用套件的Logo,小于2M,640*640,在授权页会被用于展示。
    应用套件名称应用套件的名称,2-16个字
    介绍网站介绍该应用套件网站或者页面
    应用套件介绍描述该应用套件所提供的服务,4-120个字
    授权方式使用方式目前有两种:线上自助注册授权使用和服务商辅助授权使用。
    服务行业该应用套件所服务的行业对象,一个套件只能属于一个服务行业。
    套件标签套件提供的服务类型,如OA办公、CRM、HR、ERP等。一个套件只能拥有一个标签。

    注意:

    1)你应谨慎选择所填写的行业和标签,行业是指可使用该套件企业所属的行业。当应用套件达到一定的活跃度后(授权企业数和日活跃用户数),会自动在企业号第三方官网进行推荐,套件所在的分类将基于所设置的行业和标签。

    2)授权方式的作用在于区分应用套件是否可以直接从企业号第三方官网发起授权,线上自助注册授权使用是指该应用套件可以直接从企业号第三方官网发起授权,而不跳转服务商网站,该类型的应用套件还可以支持移动端发起应用套件授权;服务商辅助授权使用是指该应用套件必须跳转服务商网站,从服务商网站发起应用套件的授权,该类型的应用套件不支持移动端发起应用套件授权。

    3)你可以创建或者选择其他开发者已创建的标签。你应该谨慎选择套件标签,用户往往会在企业号中通过标签查找相关联的套件。

     

    开发信息:

    套件参数内容说明
    发起授权域名在该域名下发起的授权请求才可被通过,企业点击授权链接时,企业号会检查该域名是否已登记。
    授权完成回调域名在第三方应用授权流程中,授权成功后会回调该域名,返回临时code。你需用此code换取永久授权码,请尽量将此域名与发起授权域名保持一致。
    系统事件接收URL系统将会把此套件的授权变更事件以及ticket参数推送给此URL,ticket说明详见API接口说明。(填写URL时需要正确响应微信验证URL的请求,具体说明请阅读“回调模式”)
    Token可任意填写,用于生成签名,校验回调请求的合法性。后续所有托管的企业产生的回调消息都使用该值来解密。
    EncodingAESKey回调消息加解密参数,是AES密钥的Base64编码,用于解密回调消息内容对应的密文。后续所有托管的企业产生的回调消息都使用该值来解密。
    应用套件ID应用套件的编号,相关的接口调用需要使用,由系统生成,不可更改。
    应用套件secret应用套件的密钥,相关的接口调用需要使用。
    白名单IP列表应用套件调用企业号第三方应用API时的合法IP列表,只有白名单内的IP才能正常调用企业号API,后续IP若有修改,需要及时进行列表更新。

    创建完成之后,系统会告知开发者该应用套件的Suiteid和Suitesecret。(详见第三方应用接口说明)

    摘自http://qydev.weixin.qq.com/wiki/index.php?title=%E5%BA%94%E7%94%A8%E6%8F%90%E4%BE%9B%E5%95%86%E6%B3%A8%E5%86%8C%E5%BA%94%E7%94%A8

     

     登陆后界面如下,选择添加应用套件

     

    进入创建套件页面,填写基本资料

     

    点击下一步,填写开发资料

     

    验证URL有效性

    当你提交以上信息时,企业号将发送GET请求到填写的URL上,GET请求携带四个参数,企业在获取时需要做urldecode处理,否则会验证不成功。

    参数描述是否必带
    msg_signature微信加密签名,msg_signature结合了企业填写的token、请求中的timestamp、nonce参数、加密的消息体
    timestamp时间戳
    nonce随机数
    echostr加密的随机字符串,以msg_encrypt格式提供。需要解密并返回echostr明文,解密后有random、msg_len、msg、$CorpID四个字段,其中msg即为echostr明文首次校验时必带

    企业通过参数msg_signature对请求进行校验,如果确认此次GET请求来自企业号,那么企业应该对echostr参数解密并原样返回echostr明文(不能加引号,不能带bom头,不能带换行符),则接入验证生效,回调模式才能开启。

    摘自http://qydev.weixin.qq.com/wiki/index.php?title=%E5%9B%9E%E8%B0%83%E6%A8%A1%E5%BC%8F 

     

    "系统事件接收URL"响应的代码如下

    复制代码
    /**
         * 测试微信企业号第三方应用回调协议
         * @author:leap
         * @MethodName: testWXSaaSCallback 
         * @Description: 
         * @param req
         * @param res
         * @date:2016-8-9
         */
        @RequestMapping(value="testWXSaaSCallback")
        @ResponseBody
        public void testWXSaaSCallback( HttpServletRequest req, ServletResponse res){
            //常量值
            String CORP_ID = "wx9671de0651dbdxxx";    //CorpId, 企业号的普通管理组中可查看
            String SUITE_ID = "tja2312bedd5086xxx";    //套件ID,在套件信息中查看
            String SUITE_SECRET = "LGVT0BrN2DZ7VMTuIPOsudaWuXOE0iM67yHpIs1ofESS4l-jSC8LN9nOnmilhXXX";
            String SUITE_TOKEN = "ssI2AnbgOo40eb0kOxxx";
            String SUITE_ENCODING_AES_KEY = "Pmqgjzwt4yAEK9N6YZ34RKpy6onJD56r8mhCUFG9xxx";
            
            //获取参数
            String msgSignature = req.getParameter("msg_signature");
            String timestamp = req.getParameter("timestamp");
            String nonce = req.getParameter("nonce");
            String echostr = req.getParameter("echostr");    //创建套件时验证回调url时传入
    
            String result = "";
            try {
                if(!Utils.isBlank(echostr)){    //=======验证回调url有效性=======
                    WXBizMsgCrypt wxBizMsgCrypt = new WXBizMsgCrypt(SUITE_TOKEN, 
                            SUITE_ENCODING_AES_KEY, CORP_ID);//注意是CORP_ID
                    result = wxBizMsgCrypt.VerifyURL(msgSignature, timestamp, nonce, echostr);
                    System.out.println(result);
                    res.getWriter().write(result);    //对echostr参数解密并原样返回echostr明文(不能加引号,不能带bom头,不能带换行符)
                }else{
                    //其他操作
                    res.getWriter().write("false");    
                }
            } catch (Exception e) {
                e.printStackTrace();
            }
        }
    复制代码

     其中类WXBizMsgCrypt由官方提供

     

    java库(2014年9月24日更新,点击下载)

    注意事项:

    1.com\qq\weixin\mp\aes目录下是用户需要用到的接入企业微信的接口,其中WXBizMsgCrypt.java文件提供的WXBizMsgCrypt类封装了用户接入企业微信的三个接口,其它的类文件用户用于实现加解密,用户无须关心。sample.java文件提供了接口的使用示例。

    2.WXBizMsgCrypt封装了VerifyURL, DecryptMsg, EncryptMsg三个接口,分别用于开发者验证回调url、接收消息的解密以及开发者回复消息的加密过程。使用方法可以参考Sample.java文件。

    3.请开发者使用jdk1.6或以上的版本。针对org.apache.commons.codec.binary.Base64,需要导入jar包commons-codec-1.9(或commons-codec-1.8等其他版本),我们有提供,官方下载地址:

    http://commons.apache.org/proper/commons-codec/download_codec.cgi

    4.异常java.security.InvalidKeyException:illegal Key Size的解决方案:

    在官方网站下载JCE无限制权限策略文件(请到官网下载对应的版本, 例如JDK7的下载地址:http://www.oracle.com/technetwork/java/javase/downloads/jce-7-download-432124.html ):

    下载后解压,可以看到local_policy.jar和US_export_policy.jar以及readme.txt。如果安装了JRE,将两个jar文件放到%JRE_HOME% \lib\security目录下覆盖原来的文件,如果安装了JDK,将两个jar文件放到%JDK_HOME%\jre\lib\security目录下覆盖原来文件。

    摘自http://qydev.weixin.qq.com/wiki/index.php?title=%E5%8A%A0%E8%A7%A3%E5%AF%86%E5%BA%93%E4%B8%8B%E8%BD%BD%E4%B8%8E%E8%BF%94%E5%9B%9E%E7%A0%81

     

    红字部分是必要操作,不可忽略

    展开全文
  • 大话企业级移动应用的开发策略

    千次阅读 多人点赞 2011-11-22 12:31:38
    移动原生态应用和web应用  如今移动应用开发这块可以说三分天下: ...对于一家软件企业开发来讲,开发的产品就必须支持多种移动开发平台。移动应用程序开发可以分为两种形式:移动原生态应用和web应用,就藐视.net的

    移动原生态应用和web应用

        如今移动应用开发这块可以说三分天下: 苹果的iOS ,google 的 Android ,微软的Windows Phone,不像桌面操作系统,windows一家独大。对于众多的开发人员来说,大多任选其中一种平台进行学习。对于一家软件企业开发来讲,开发的产品就必须支持多种移动开发平台。移动应用程序开发可以分为两种形式:移动原生态应用和web应用,就藐视.net的windows form和asp.net。移动原生态用户体验好,运行在客户端,但需要支持多个手机系统平台,导致开发和维护成本高;而web应用为浏览器应用程序,程序运行在服务器上,这样开发和维护的成本就不那么高了。那么正确的确定何时使用原生态的移动应用开发,何时使用原生态的移动web开发,就能降低软件企业的开发成本。

        这篇文章先谈谈我自己的移动开发体会;然后具体谈谈何时使用原生态的移动应用开发,何时使用原生态的移动web开发;最后提出一种软件企业的移动开发策略,既满足现在,又能把控未来。当然自己是做企业级开发,这里所说的软件是指企业级软件,并非互联网软件。

    我与移动应用开发

         原生态的应用我自己选择了iOS学习了一段时间;随后学习了jquery mobile开发框架;服务端是使asp.net webservice。 这三者的结合就可以很完美的开发一个移动应用程序。在使用iOS开发应用程序的时候,自己思考最多的是未来如何快速的移植到Android ,Windows Phone上。后来发现jquery mobile这个web开发框架,隐隐感觉到这个才是未来,使用它开发出来的界面与iOS的界面并无二致,而且只需将jquery mobile开发的程序部署在服务器上,iOS 、Android 、Windows Phone上都可以使用。缺点是用户体检没有原生态应用那么完美,前面说到web应用主要是运行到服务端,解析之后发送到客户端的浏览器上,加上手机的带宽有限,响应速度就没那么快了。那么对于企业来说原生态应用和web应用如何抉择呢?

    如何抉择

        对于下面几种场景,建议使用原生态的开发方式。

      1、创建游戏:尽管你可以使用web的方式开发移动游戏,但是无论如何是不能跟原生态媲美的。

      2、需要精确地定位:浏览器也可以定位,但是不精确。

      3、使用摄像头

      4、使用加速计

      5、需要访问移动设备的本地文件系统

       6、离线用户

    除了上面等几种情况之外,建议都可以使用web 开发应用程序。

    企业的开发的策略

    乔布斯说Web是未来,虽然现阶段Native给了用户更好的体验。如果现在的开发者不有效的利用Web技术,那他就落伍了。但如果过分依赖Web,完全不用Native那也未必就是好事。

    那么企业现阶段到底如何进行移动应用的开发呢?个人觉得解决方案是使用webview。开发方式是原生态+web。

    webview是浏览器控件。可以使用在原生态的应用程序中内嵌一个浏览器控件。

    对于正在进行移动应用原生态的开发的企业来说,建议尽量多使用此控件。尽量让页面使用jquery mobile等web框架实现,然后用此控件去展示。对于上面提到的使用摄像头、加速计、访问本地文件可以使用原生态api去实现。这样做的原因很简单:用Jquery mobile实现的是共用的代码,未来可以运行在多个平台。

    web app还是未来。但由这种方式的原生态app转换到web app就不难了。

    展开全文
  • 配置密码策略

    千次阅读 2020-01-15 16:01:07
    密码策略介绍 密码策略是操作系统针对系统安全提供的...企业中做等级保护测评2级以上都是要求有密码策略的,之前我有过一次做等保测评师的经历,在企业里面几乎没有任何一个企业在使用这个密码策略,很郁闷不知道...

    密码策略介绍


    密码策略是操作系统针对系统安全提供的一种安全机制,就好像linux操作系统不提供超级用户登录一样,密码策略包括:密码最小长度、密码使用期限、历史密码、密码复杂度等,在企业里面都是要求对操作系统进行密码策略进行配置的,而且要求密码复杂度。企业中做等级保护测评2级以上都是要求有密码策略的,之前我有过一次做等保测评师的经历,在企业里面几乎没有任何一个企业在使用这个密码策略,很郁闷不知道是工程师们不知道还是什么原因,在这里我就为大家简单介绍一下如何设置密码策略

    根据相关要求密码需要满足以下几点要求:

    • 用户有责任和义务妥善保管其个人帐号和密码,不得在任何场合随意公开自己的帐号和密码,不得泄漏他人。由于密码泄漏造成的不良后果由帐号拥有人承担相关责任
    • 密码长度不得少于6位
    • 密码由数字、标点、大小写字母和特殊符号组成,并具有必要的组合复杂度,禁止使用连续或相同的数字、字母组合(如123456等)和其他易于破译的组合作为密码。
    • 密码不得以任何形式的明文存放在主机电子文档中,不得以明文形式在电子邮件、传真中传播。
    • 系统管理人员在建立帐号时,对所分配帐号的初始密码设置为第一次登录强制修改。对于不能强制修改密码的系统,系统管理员创建帐号后立即通知用户修改密码,用户在第一次登录系统并修改密码之后反馈系统管理员,并由系统管理员进行复核。
    • 用户应定期(至少每季度一次)进行密码的修改,并且同一密码不能反复使用。

        。。。。。。。。。。。。。。等,具体要求可以查看等保2.0密码技术应用分析


     windows设置密码策略 


    windows密码策略有以下这些设置:

    • 密码必须符合复杂性要求
    • 密码长度最小值
    •  密码最短使用期限
    • 密码最长使用期限
    • 强制密码历史
    • 用可还原的加密存储密码

    接下来对这些配置进行修改

    打开管理工具


    打开本地安全策略-账户策略-密码策略



    然后就可以根据自己的需求去进行调整,下面是我推荐大家进行设置的,仅供参考


    Linux系统设置密码策略

    对于linux可能大家都很少知道有密码策略这回事吧,好多人都认为linux安全机制已经很强大了,而且大多数linux采用可插拔密码认证来加强密码的安全策略,下面就来说说linux的密码策略,linux密码策略要比windows密码策略要强大许多

    linux密码策略有以下设置:

    • 密码的最大有效期
    • 密码最长使用时间
    • 密码最小长度
    • 密码失效前提前多少天进行提醒
    • 密码大小写以及数字、特殊字符等限制
    • 新旧密码不能相同
    • 新旧密码长度不能相同
    • 账号锁定时间
    • 账号自动解锁时间

    密码策略配置文件路径:

    • 在centos/redhat等系统中路径:/etc/pam.d/system-auth
    • ubuntu等系统中路径:/etc/pam.d/common-password

    文件内容如下:(版本不同,内容有一些差别)

    # /etc/pam.d/common-password - password-related modules common to all services
    # This file is included from other service-specific PAM config files,
    # and should contain a list of modules that define the services to be
    # used to change user passwords.  The default is pam_unix.

    # Explanation of pam_unix options:
    # The "sha512" option enables salted SHA512 passwords.  Without this option,
    # the default is Unix crypt.  Prior releases used the option "md5".
    # The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in
    # login.defs.
    # See the pam_unix manpage for other options.

    # As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
    # To take advantage of this, it is recommended that you configure any
    # local modules either before or after the default block, and use
    # pam-auth-update to manage selection of other modules.  See
    # pam-auth-update(8) for details.

    # here are the per-package modules (the "Primary" block)
    password        [success=1 default=ignore]      pam_unix.so obscure sha512
    # here's the fallback if no module succeeds
    password        requisite                       pam_deny.so
    # prime the stack with a positive return value if there isn't one already;
    # this avoids us returning an error just because nothing sets a success code
    # since the modules above will each just jump around
    password        required                        pam_permit.so
    # and here are more per-package modules (the "Additional" block)
    # end of pam-auth-update config

    密码过期时间以及有效期等配置文件:/etc/login.defs,文件部分内容:

    PASS_MAX_DAYS:一个密码可使用的最大天数。

    PASS_MIN_DAYS:两次密码修改之间最小的间隔天数。

    PASS_MIN_LEN:密码最小长度。

    PASS_WARN_AGE:密码过期前给出警告的天数

    下面为大家举例说明linux用户密码策略:

    • 设置密码最大使用时间(PASS_MAX_DAYS)

    这个用来限制密码最大可以使用的天数。时间到了会强制进行密码锁定。如果忘记修改,那么就无法登录系统。需要使用管理员账户进行解锁后才能继续使用。这个可以在 /etc/login.defs 文件中的PASS_MAX_DAYS参数设置。在企业中一般把这个值设置为30天,也就是一个月修改一次密码。

    root@test:/etc#  vim login.defs

    PASS_MAX_DAYS  30         //单位为天数

    • 设置密码最小天数(PASS_MIN_DAYS)

    这个是限制多长时间无法进行密码修改。当值为15时,表示15天内无法修改密码,也就是两次密码修改中间最少隔15天,这个可以在 /etc/login.defs 文件中PASS_MIN_DAYS参数设置。企业中一般不对此项进行控制,这个根据自己需求进行修改,我这里设置10天。

    root@test:/etc#  vim login.defs

    PASS_MIN_DAYS    10            //单位为天数

    • 设置密码过期前警告(PASS_WARN_AGE

    这个用来提醒用户该进行密码修改了,也就是在密码即将过期的时候,会给用户一个警告提示,在未到最大密码使用时间,会每天进行提醒,这可以提醒用户在密码过期前修改他们的密码,否则我们就需要联系管理员来解锁密码。这个可以在 /etc/login.defs 文件中PASS_WARN_AGE参数设置。 这个企业中一般设置为3天,我这里就设置为3天

    root@test:/etc#  vim login.defs

    PASS_WARN_AGE     3           //单位为天数

    • 避免重复使用旧密码

    这个用来防止更改密码时设置为旧密码,寻找同时包含“password”和"pam_unix.so"的行,然后再这行后面加上“remember=天数”。这将防止N个最近使用过的密码被用来设置为新密码,这个配置文件是在 /ect/pam.d/common-password 文件中(主要,centos/redhat需要修改:/etc/pam.d/system-auth文件),这个在企业中一般设置为5,我这里就设置5

    ubuntu:

    root@test/etc# vim pam.d/common-password

    password        [success=1 default=ignore]      pam_unix.so obscure sha512   remember=5

    centos/redhat:

    root@test/etc# vim  pam.d/common-password

    password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5

    • 设置密码复杂度

    这个用来控制密码的复杂程度的,应安全性要求,企业里面要求大小写、特殊字符、数字等最受三个进行组合并且长度最少为8。寻找同时包含“password”和“pam_cracklib.so”的一行,并在后面加上“ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1”。这将迫使你在密码中至少包括一个大写字母、两个小写字母、一个数字和一个符号。

    ubuntu:

    root@test/etc# vim pam.d/common-password

    password        requisite     pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1

    centos/redhat:

    root@test/etc# vim pam.d/system-auth

    password        requisite     pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1

    展开全文
  • 为个人或企业用户创建 iOS 描述文件

    千次阅读 2015-09-06 18:38:55
    配置描述文件是 XML 文件,包含以下内容:设备的安全策略和限制、** 配置信息、无线局域网设置、电子邮件帐户和日历帐户以及可允许 iPhone、iPod touch 和 iPad 配合您的企业系统使用的鉴定凭证。配置描述文件能快速...
  • 策略统一锁屏壁纸

    千次阅读 2020-10-31 09:36:56
    3.右键编辑新创建的GPO 4.找到计算机配置-策略-管理模板-控制面板-个性化-强制显示特定的默认锁屏界面图像和登录图像 5.启用,设置壁纸路径 6.接着把“阻止更改锁屏图像和登录图像”启用 7.强制刷新策略...
  • 当我们内部企业有多个域名的时候,我们就需要为用户创建多个域名实现多域名邮件收发,这个时候我们必须先建立接收域,接收域建立的命令也比较简单,采用的是new-acceptdomain 进行创建,而接下来我们需要为用户创建...
  • 做品牌难,做领先品牌更难,中小企业做领先品牌难上加难! 然而,市场在变化,消费在升级,由不得你不做品牌。中小企业要做百年老企,要基业长青,要实现可持续发展,就必须毫无条件的走品牌化道路。近年来,中国中...
  • 华为策略路由原理与实验

    千次阅读 2021-01-20 18:32:37
    在满足业务服务质量的前提下,选择费用较低的链路传输业务数据,从而降低企业数据服务的成本。 其他特点: 策略路由优先性高于查路由表。 本地或者接口策略路由一般是使用ACL进行匹配,不能通过其
  • Windows Server 2016 组策略管理

    千人学习 2017-09-24 13:22:37
    全网第一的 Windows Server 2016 组策略管理课程,为大家深入和详尽的介绍 Windows 2016 平台之上,组策略的发展历史,组件、原理和架构和优化,组策略创建,筛选,使用组策略完成 Windows 的认证,授权,审计,...
  • Windows 08 R2_组策略

    千次阅读 2016-05-05 11:57:28
    策略策略对象GPO 实验一组策略的计算机配置 实验二组策略的用户配置 实验三首选设置 实验四组策略更改计算机桌面 常用的组策略管理模块策略 限制用户运行指定的Windows程序 隐藏或显示在控制面板内指定的项目 ...
  • 华为策略路由,实现双线选路上网

    千次阅读 2020-06-22 14:22:26
    创建策略 接口应用流策略 拓扑图 组网需求: 某企业互联网出口有电信和联通两个运营商(ISP),组网如图; 要求PC1走电信出口上网 PC2走联通出口上网 首先配置连通性: PC1配置: PC2配置: SW...
  • 文章目录前言控制网络流量可达性路由策略路由策略的应用方式ACL应用IP-Prefix List应用Filter-Policy工具介绍Route-Policy工具介绍策略路由 前言   在企业网络的设备通信中,常面临一些非法流量访问的安全性及...
  • 阿里云 RAM 用户及 权限策略介绍

    千次阅读 2018-11-27 00:57:09
    之前,需要将阿里云的某个oss bucket仓库分享给其他人,昨天研究了下阿里云的子用户策略,也就是所谓的ram系统。 基本操作 在阿里云后端控制台开通ram系统,并且新建一个用户。 设置新用户的登录策略和登录...
  • 企业家的角度, 分析不同类型的企业家对于创建初期的企业融资策略和融资契约安排的影响. 证明了自我实现型企业家倾向于选择比较冒险的立即执行策略, 而追求利润最大化型和持续创业型企业家则偏好比较保守的等待...
  • 策略给全公司统一桌面壁纸

    千次阅读 2020-10-29 16:33:55
    2.在域上右键创建GPO并在此处链接 3.命名名称随意,只要能区分即可 4.可以看见域下面多了个“公司统一壁纸”,右键编辑 5.找到用户配置-策略-管理模板-桌面-桌面-桌面壁纸 6.启用桌面壁纸,设置壁纸路径(本地和...
  • 路由策略策略路由配置与管理-2

    万次阅读 多人点赞 2017-03-05 20:18:34
    策略路由基础 “路由策略”(Routing Policy,RP)与“策略路由”(Policy-BasedRouting,PBR)有着本质上的区别。“路由策略”中的“路由”是名词,而“策略”是动词,操作对象是路由信息。“路由策略”主要用来...
  • 在2018年10月份发布的Nexus 3.14版中提供了CleanUp功能,这对于使用Nexus的用户是一个原本早就该提供的功能,在这个功能中提供了对于长时间不使用的二进制制品的清除策略。这篇文章主要就此项功能的使用方式进行整理...
  • 防火墙安全策略

    万次阅读 多人点赞 2018-05-17 13:13:56
    但是财务部是企业重要数据所在的部门,需要防止内部员工对服务器、PC等的恶意攻击。所以在域内应用安全策略进行IPS检测,阻断恶意员工的非法访问。 接口包过滤 当接口未加入安全区域的情况下,通过接口包...
  • 使用组策略更改本地管理员密码

    千次阅读 2020-01-11 21:20:44
    如何使用组策略GPO / GPP一次重置整个企业范围内的本地管理员密码。 作为系统管理员,您希望限制实际走动到每台计算机的时间,以便在执行其他任务时可以提高工作效率。 通过使用组策略首选项,可以非常快速,轻松...
  • 企业级架构是什么?

    万次阅读 2017-05-15 11:35:04
    关于企业级架构的定义,在主流企业级架构师当中至今仍存在争议。企业级架构是一个新兴领域,至今还在经历着很大变化。企业级架构的定义一个合理的定义是:企业级架构是一...2. 业务和 IT 策略 3. 该组织所期望的 IT 路
  • 如何创建GPO并将其链接到域

    千次阅读 2020-01-15 14:27:46
    先决条件:只有域管理员,企业管理员或组策略创建者所有者组中的成员才能创建新的组策略对象(GPO)并编辑现有的对象。 创建GPO并将其链接到域 单击开始–管理工具–组策略管理 组策略管理程序将打开。导航到要...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 131,962
精华内容 52,784
关键字:

创建企业的策略