Windows操作系统安全(一)（大全）

第一篇：Windows操作系统安全(一)（大全）

一、实验项目名称

Windows操作系统安全

（一）二、实验目的通过实验掌握Windows账户与密码的安全设置、文件系统的保护和加密、安全策略与安全模板的使用、审核和日志的启用、本机漏洞检测软件MBSA的使用，建立一个Windows操作系统的基本安全框架。根据Windows操作系统的各项安全性实验要求，详细观察并记录设置前后系统的变化，给出分析报告。

三、实验内容与实验步骤

(1)．账户与密码的安全设置

(2)．启用安全策略与安全模板

(3)．用加密软件EFS加密硬盘数据

(4)．NTFS文件系统的权限设置和管理

四、实验环境

1台安装Windows2000/XP操作系统的计算机，磁盘格式配置为NTFS，预装MBSA(Microsoft Baseline Security Analyzer)工具。

五、实验过程与分析

任务一账户和密码的安全设置

1．删除不再使用的账户，禁用guest账户

⑴ 检查和删除不必要的账户，用户列表如下

⑵ 禁用guest账户

1）操作前用guest用户登录，可以登录，表示guest用户可以用。在其他用户登录下禁止guest用户的使用。

2）之后再次注销，试图登陆guest，发现无法登陆，证明被禁止了。

２．启用账户策略

⑴ 设置密码策略

1）对密码策略设置如图

2）对长度最小值的改变进行测试：设置只有一个字符的密码，不成功就代表了长度最小值策略设置成功。

⑵ 设置账户锁定策略

1）对账户锁定策略设置如图

2）对账户锁定阀值进行测试：

连续输入三次错误密码，账户被关闭。证明账户锁定阀值为3。

2）对账户锁定时间进行测试

两分钟之后账户又重新开放，所以账户锁定时间可以为2。

３．开机时设置为“不自动显示上次登陆账户”

设置后注销重新登录，发现账户不显示。

４．禁止枚举账户名

任务二 启用安全策略与安全模块

1．启用安全模板

（1）打开系统控制台，为控制台添加安全膜拜和安全配置分析项，并且查看模板配置信息

（2）建立安全数据库，选择一个安全模板将其导入。

（3）按照模板，选择“立即分析计算机”。分析结果如下。

（4）记录当前安全配置，以密码策略为例。

（5）选择“立即配置计算机”，对计算机配置。之后再对计算机分析，可以看到计算机设置发生了改变，密码长度最小值，密码最长保存期两个不符合模板的项按照模板进行了配置。

2．建安全模板

（1）打开控制台，添加“安全模板”、“安全设置和分析”，查看其相关配置。建立安全数据库，导入安全模板。

（2）新加自设模板mytem，并且定义安全策略。如图是对密码长度最小值设置。

任务三 利用加密软件EFS加密硬盘数据

（1）建立名为MYUSER的新用户。

（2）打开硬盘格式为NTFS的磁盘，选择要进行加密的文件夹在属性窗口对其设置将其

加密。

（3）加密完成后，保存当前用户下的文件注销当前用户,以刚才新建的MYUSER用户登

陆系统，再次访问加密文件夹，发现其拒绝访问。

（4）以原来加密文件夹的管理员用户登陆系统，打开系统控制台添加证书，为当前的加密文件系统EFS设置证书。在控制台窗口左侧的目录树中选择“证书”“个人“证书”。可以看到用于加密文件系统的证书显示在右侧的窗口中。双击此证

书，单击详细信息，则可以看到此证书包含的详细信息。

（5）选中用于EFS的证书,导出证书，并设置保护私钥的密码，然后将导出的证书文件

保存。

（6）以新建的MYUSER登陆系统导入该证书。

（7）再次双击加密文件击中的文件，发现可以进行访问。

任务四NTFS文件系统的权限设置和管理

1.为学生创建一个私有的用户文件夹：在NTFS磁盘分区上为用户stu01建立一个用户文

件夹StuData01,用户文件夹只允许用户本人完全控制，用户tutor读取访问，其他人拒绝访问。用其他用户访问，无法访问。

2.创建一个学生组公用文件夹

为学生组Students在windows 2000服务器的NTFS磁盘分区上建立一个公用文件夹，该文件夹允许students成员读取及运行，tutor完全控制，Administrator只有列出文件夹，创建文件夹，删除文件夹和文件的权限。并且此文件夹对Administrator的NTFS权限设置不传播到子文件夹。

3.文件夹共享

（1）创建一个文件夹share共享它。

（2）为这个文件夹分配共享权限，安全权限

（3）从网络上访问这个文件夹。尝试用不同账号访问权限

假设：share共享权限是everyone完全控制，完全权限是everyone只读，那么用户从网络上的访问权限是什么？

回答：只读权限

假设：share共享权限是everyone只读，完全权限是everyone完全控制，那么用户从网络上的访问权限是什么？

回答:只读权限

六、实验结果总结

1．如何检查系统是否允许guest账户登陆？

回答：打开控制面板中的管理工具，选择计算机管理中本地用户和组，打开用户，若

guest用户前有叉号，则已经被禁用。

2.如果一个用户（非管理员）创建一个文件夹，内有文件，他设置安全权限，禁止除他以外的用户访问，请问管理员有权限访问吗？可以的话，如何操作？

回答：有的，管理员可以更改文件的所有者，可以把所有者改成自己，就可以访问了。总结：本实验内容包括对于windows账户密码的安全进行设置，启用了安全策略和安全模板，用加密软件EFS加密硬盘数据，设置和管理NTFS文件系统四个方面。通过以上的手段，建立了windows操作系统的基本安全框架。

第二篇：Windows系统安全技巧

Window系统安全技巧

系统光盘个人比较喜欢使用雨林木风安装版或者GHOST版，纯净无插件，破解和优化得都比较好。使用电脑公司装机版也可以，番茄花园以前做得不错，现在的版本插件比较多，且界面不是很喜欢。

（1）系统安装完后，做个纯净版的ghost备份，可以使用MaxDos或者矮人DOS工具箱。以备以后系统出问题可以快速恢复到纯净系统，节省安装系统时间，（使用安装版安装系统需要时间大约45分钟，恢复系统时间只需10分钟左右）。

（2）在连接网络之前先安装杀毒软件，连接网络后将杀毒软件更新到最新。个人比较喜欢NOD32（占用系统资源小，杀毒速度快，防护能力强）或者卡巴斯基（主动 防御很强，杀毒能力强，但是杀毒速度很慢，占用系统资源较大）；感觉江民还可以，尤其不喜欢瑞星和金山，并非不支持国产，瑞星我觉得除了界面还可以之外，其他的优点没有什么感觉，金山感觉能力平平。

（3）打上最新的系统补丁，建议用手动安装版，安装速度快。将IE升级到IE7.0。将系统更新方式更改为“手动”，防止安装windows正版验证程序。

（4）安装好常用的软件。个人比较喜欢雨林木风下载，无插件，破解比较完美。建议使用魔法兔子或者优化大师，方便以后对系统进行维护。

（5）修改注册表启动项（run、runonce等），删除不必要的随系统启动的程序，以节省系统开机时间、系统资源、系统关机时间。并关闭run项的设置权限，可以使大部分木马程序失去作用。（必做）

（6）删除不必要的服务。以节省系统资源及开机时间。（必做）

（7）设置系统组策略。如无局域网可以关闭网络访问；关闭自动播放功能。（必做）

（8）屏蔽TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口。减少给黑客入侵的机会。（推荐）

（9）最后做个ghost备份镜像，用于以后万一系统出问题时恢复系统，可以免去安装软件，设置系统麻烦，所需时间大约是10分钟。

第三篇：windows基本操作

38(1)在“考生文件夹83win2”中新建文件夹“笔记备份”；

(2)将“考生文件夹83win2今天的工作参考文章”中的“任务驱模式.doc”更名为“任务驱动模

式.doc”；

(3)删除“考生文件夹83win2”中的文件“喜欢的学习网站.txt”；

(4)将“考生文件夹83win2”中的“PPT课件”文件夹复制到“素材收集”中。

39(1)在“考生文件夹76考核”文件夹中建立名称为“学科”的文件夹；

(2)将文本文件“考生文件夹76考核学科知识点.txt”移动到“学科”文件夹中；

(3)删除文件“考生文件夹76考核图片.jpg”；

(4)将“考生文件夹76考核”文件夹中的“娱乐”文件夹改名为“我的音乐”文件夹。

分类整理文件和文件夹，完成以下操作。

(1)在“考生文件夹75荷塘月色”文件夹中新建“图片”文件夹；

(2)将“考生文件夹75荷塘月色”文件夹中的图片文件移动到“图片”文件夹中。

将文件“考生文件夹246Test表格.rar”复制到“考生文件夹246资产管理”中，并将“资产管理”文

件夹中的文件“旧表格.xls”改名为“新表格.xls”。

44(1)在“考生文件夹85”文件夹中新建文件夹“bak”；

(2)将文件“考生文件夹85TypeEasy.tmp”复制到“bak”文件夹中；

(3)将“考生文件夹85”文件夹中的“TypeEasy.txt”文件改名为“Easy.txt”。

46(1)将“考生文件夹81win1”文件夹中的“00-01届”文件夹更名为“00-02届”；

(2)删除文件“考生文件夹81win180-89届tmp.mdb”；

(3)将“考生文件夹81win1”文件夹中的文件“校庆邀请函.doc”复制到“校庆准备”文件夹中。

打开“考生文件夹73考核”文件夹，在其中的“多媒体”文件夹中新建“动画”、“声音”、“视频”子文件

夹，将“考生文件夹73考核”中的所有文件按类别移动到相应的文件夹中。

利用Windows资源管理器，完成以下操作：

(1)将“考生文件夹79Test”文件夹中的“朱自清”文件夹复制到“现代文学家”文件夹中；

(2)在“考生文件夹79Test”文件夹中新建文本文件“春.txt”；

(3)将“考生文件夹79Test”文件夹中的文件“背影.doc”改名为“荷塘月色.doc”；

(4)删除文件“考生文件夹79Test再别康桥.doc”。

第四篇：Windows系统安全分析-病毒篇

病毒是如何进入我们的系统的?

有一点可以肯定计算机病毒不会在自己的硬盘里“生”出来。它一定是从其它储存介质复制到我们的硬盘，通常有许多途径都可以让病毒有被复制在我们硬盘的可能性。下载就是其中被病毒传播者用得比较多的一种途径。我们在下载时，不管是电影、压缩包、游戏、文档、或是邮件都有可能被置放病毒。因而下载回来一定要记住:先扫描后使用。

由于闪盘价格的大幅度下降，拥有U盘等闪盘的用户越来越多。闪盘被病毒盯上，这种传播方式需要在U盘根目录下新建一个名为autorun.inf的文件和复制病毒本身。事前在根目录下新建名为autorun.inf的文件夹能防止这种方式的传播此外

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExploer]主键下，在右窗格中找到“NoDriveTypeAutoRun”，就是这个键决定了是否执行各类盘的AutoRun功能。其中DRIVE_REMOVABLE 2 1 04H 表示可移动驱动器。也就是说可以利用这个键来防止各类盘的自动播放，预防中毒。[1]

光盘有时也有可能会被病毒感染，成为病毒传播的途径之一。另外系统本身存在的漏洞也是病毒利用的途径之一。

因而预防病毒要做到，外来的文件要先经过扫描后才使用，系统的漏洞要及时补上。

病毒是如何激活运行的?

计算机病毒是一个程序，一段可执行码，一个可执行文件。如何它不运行它就不会对系统造成威胁。最多只是占着硬盘空间。但是一旦激运行了病毒程序，它会对系统造成怎么样的损害依病毒的破坏性强弱和计算机系统本身的自我保护能力而定。因而不给病毒运行的机会，就是病毒存在于硬盘中也不会对系统造成严重破坏。那如何防止病毒的激活呢?一般情况下，病毒会有好几种启动方式。病毒用的比较多的是注册表和系统服务。注册表环境复杂，大多数计算机用户对其望而生畏。病毒很喜欢将其启动的资料放在这里面。而系统服务会在系统启动的过程中被自动启动，因而病毒也很喜欢躲在这里面混水摸鱼。[2]

除了这两种启动方式外，还有捆绑文件，各类盘的自动播放，文件关联，程序映射等方法也能让病毒有被激活运行的可能性。

保证计算机病毒不被激活是计算机病毒预防工作的重点之一。所以对注册表用启动程序的关键键值要加以注意。定时查看系统服务是不是正常。利用一些小工具查看文件关联是否正常，有没有程序已经被映射了。对外来文件要先经过扫描后先可以使用。

除了以上方法外，给系统装上一个合适的杀病软件和防火墙也是非常必要的。它们对已经出名的病毒的查杀能力是很强的。这样可以帮计算机管理员省去不少工作。

如果病毒已经激活了。及时发现病毒的存在能保证系统受到的破坏最小。那病毒有哪些症状呢?

从目前发现的病毒来看，主要症状有：

（1）由于病毒程序把自己或操作系统的一部分用坏簇隐起来，磁盘坏簇莫名其妙地增多。

（2）由于病毒程序附加在可执行程序头尾或插在中间，使可执行程序容量增。

（3）由于病毒程序把自己的某个特殊标志作为标签，使接触到的磁盘出现特别标签。

（4）由于病毒本身或其复制品不断侵占系统空间，使可用系统空间变小。

（5）由于病毒程序的异常活动，造成异常的磁盘访问。

（6）由于病毒程序附加或占用引导部分，使系统导引变慢。

（7）丢失数据和程序。

（8）中断向量发生变化。

（9）打印出现问题。

（10）死机现象增多。

（11）生成不可见的表格文件或特定文件。

（12）系统出现异常动作，例如：突然死机，又在无任何外界介入下，自行起动。

（13）出现一些无意义的画面问候语等显示。

（14）程序运行出现异常现象或不合理的结果。

（15）磁盘的卷标名发生变化。

（16）系统不认识磁盘或硬盘不能引导系统等。

（17）在系统内装有汉字库且汉字库正常的情况下不能调用汉字库或不能打印汉字。

（18）在使用写保护的软盘时屏幕上出现软盘写保护的提示。

（19）异常要求用户输入口令

当出现这些情况时请及时检查系统。或许病毒正运行在系统上，破坏着系统！

鬼片网 http:// 整理

第五篇：操作系统安全 复习资料

第三章 windows server 2003 用户账号安全

一、密码安全设置原则

1．不可让账号与密码相同

2．不可使用自己的姓名

3．不可使用英文词组

4．不可使用特定意义的日期

5．不可使用简单的密码

二、要保证密码的安全，应当遵循以下规则：

1．用户密码应包含英文字母的大小写、数字、可打印字符，甚至是非打印字符。建议将这些符号排列组合使用，以期达到最好的保密效果。

2．用户密码不要太规则，不要使用用户姓名、生日、电话号码以及常用单词作为密码。

3．根据Windows系统密码的散列算法原理，密码长度设置应超过7位，最好为14位。

4．密码不得以明文方式存放在系统中，确保密码以加密的形式写在硬盘上并包含密码的文件是只读的。

5．密码应定期修改，应避免重复使用旧密码，应采用多套密码的命名规则。

6．建立账号锁定机制。一旦同一账号密码校验错误若干次，即断开连接并锁定该账号，经过一段时间才解锁。

三、在Windows Server 2003系统中，如果在“密码策略”中启用了“密码必须符合复杂性要求”设置的话，则对用户的密码设置有如下要求：

1．不包含全部或部分的用户账户名。

2．长度至少为7个字符。

3．包含以下4种类型字符中的3种字符。

(1)英文大写字母（从A到Z）

(2)英文小写字母（从a到z）

(3)10个基本数字（从0到9）

(4)非字母字符（如!、$、#、%）

四、强密码则具有以下特征：

1．长度至少有7个字符。

2．不包含用户的生日、电话、用户名、真实姓名或公司名等。

3．不包含完整的字典词汇。

4．包含全部4种类型的字符。

除此之外，管理员账户的密码应当定期修改，尤其是当发现有不良攻击时，更应及时修改复杂密码，以免被破解。为避免密码因过于复杂而忘记，可用笔记录下来，并保存在安全的地方，或随身携带避免丢失。

五、账户策略包含两个子集：密码策略和账户锁定策略

六、密码策略包含以下6个策略：

1．密码必须符合复杂性要求。

2．密码长度最小值。

3．密码最长使用期限。

4．密码最短使用期限。

5．强制密码历史。

6．用可还原的加密来储存密码。

七、“强制密码历史”策略

该策略通过确保旧密码不能继续使用，从而使管理员能够增强安全性。重新使用旧密码之前，该安全设置确定与某个用户账户相关的唯一新密码的数量。该值必须为0～24之间的一个数值，推荐值为8

八、双击“密码最长使用期限”，选中“定义这个策略设置”复选框

该安全设置要求用户更改密码之前可以使用该密码的时间（单位为天）。可将密码的过期天数设置在1～999天之间，或将天数设置为0，可指定密码永不过期。如果密码最长使用期限在1～999天之间，那么密码最短使用期限必须小于密码最长使用期限。如果密码最长使用期限设置为0，则密码最短使用期限可以是1～998天之间的任意值。

九、双击“密码最短使用期限”，选中“定义这个策略设置”复选框

该安全策略设置确定用户可以更改密码之前必须使用该密码的时间（单位为天）。可以设置1～998天之间的某个值，或者通过将天数设置为0，允许立即更改密码。

十、双击“最小密码长度”，选中“定义这个策略设置”复选框

将“密码必须至少是”的值设置为 8, 然后双击“确定”。通过将字符数设置为0，可设置不需要密码。

十一、账户锁定阈值

该安全设置确定造成用户账户被锁定的登录失败尝试的次数。在锁定时间内，无法使用锁定的账户，除非管理员进行了重新设置或该账户的锁定时间已过期。登录尝试失败的范围可设置为0～999之间，建议值为3～5，既允许用户输或记忆错误，又避免恶意用户反复尝试用不同密码登录系统。如果将锁定阈值设为0，将无法锁定账户。对于使用Ctrl+Alt+Delete组合键或带有密码保护的屏幕保护程序锁定的计算机上，失败的密码尝试计入失败的登录尝试次数中。

十二、账户锁定时间

该安全设置确定锁定的账户在自动解锁前保持锁定状态的分钟数。有效范围从0～99，999分钟。如果将账户锁定时间设置为0，那么在管理员明确将其解锁前，该账户将一直被锁定。如果定义了账户锁定阈值，则账户锁定时间必须大于或等于重置时间。

十三、复位账户锁定计数器

确定在登录尝试失败计数器被复位为0（即0次失败登录尝试）之前，尝试登录失败之后所需的分钟数。有效范围为1～99，999分钟之间。如果定义了账户锁定阈值，则该复位时间必须小于或等于账户锁定时间

十四、系统管理员设置原则

1．更改管理员账户名

2．禁用Administrator账户

3．强密码设置

十五、除非有特殊应用，否则Guest账户应当被禁用。事实上，许多网络攻击就是借助Guest用户来实现的。即使启用Guest账户，也应当为其指定最低的访问权限

十六、共享文件夹权限

当将文件夹设置为共享资源时，除了必须为文件和文件夹指定NTFS访问权限以外，还应当为共享文件夹指定相应的访问权限。共享文件夹权限比NTFS权限简单一些，而且NTFS权限的优先级要高于共享文件夹权限。因此，共享文件夹的权限可以粗略设置，而NTFS权限则必须详细划分

十七、为用户组指定权限时，有以下两点需要注意

1．权限是叠加的用户可以同时属于多个用户组，用户所拥有的权限，是其所属组权限的总和。对组指派的用户权限应用到该组的所有成员（在它们还是成员的时候）。如果用户是多个组的成员，则用户权限是累积的，这意味着用户有多组权限。

2．拒绝权限优先

无论用户在其他组拥有怎样大的权限，只要其所属组中有一个明确设置了“拒绝”权限，那么该权限及其包含的权限也都将被拒绝。

第四章 文件访问安全

一、多重NTFS权限

1)权限的积累

用户对资源的有效权限是分配给该个人用户帐户和用户所属的组的所有权限的总和。如果用户对文件具有“读取”权限，该用户所属的组又对该文件具有“写入”的权限，那么该用户就对该文件同时具有“读取”和“写入”的权限，举例如下：

假设情况如下所示：有一个文件叫FILE。USER1用户属于GROUP1组

2)文件权限高于文件夹权限

意思就是说NTFS文件权限对于NTFS文件夹权限具有优先权，假设用户能够访问一个文件，那么即使该文件位于用户不具有访问权限的文件夹中，也可以进行访问（前提是该文件没有继承它所属的文件夹的权限）。

举例说明如下：假设用户对文件夹FOLDER没有访问权限，但是该文件夹下的文件FILE.TXT没有继承FOLDER的权限，也就是说用户对FILE.TXT文件是有权限访问的，只不过无法用资源管理器之类的东西来打开FOLDER文件夹，无法看到文件FILE而已（因为对FOLDER没有访问权限），但是可以通过输入它的完整的路径来访问该文件。比如可以用 c:folderfile.txt来访问FILE文件（假设在C盘）。

3)拒绝高于其他权限

拒绝权限可以覆盖所有其他的权限。甚至作为一个组的成员有权访问文件夹或文件，但是该组被拒绝访问，那么该用户本来具有的所有权限都会被锁定而导致无法访问该文件夹或文件。也就是说上面第一点的权限累积原则将失效。举例说明如下：

假设情况如下：有一个文件叫FILE。USER1用户属于GROUP1组

有一个文件叫FILE。

USER1用户属于GROUP1组，同时也属于GROUP2组，二、NTFS 权限继承

1．在同一NTFS分区间复制或移动

2．在不同NTFS分区间复制或移动

3．从NTFS分区复制或移动到FAT格式分区

三、创建配额

可以创建两种方式的配额：

普通配额：普通配额只是应用到某个卷或文件夹，并限制整个文件夹树（此文件夹本身和它的所有子文件夹）所使用的磁盘空间；比如可以使用普通配额来限制用户在某个文件夹中存储的数据大小；

自动配额：自动配额允许用户为某个卷或文件夹指派一个配额模板，FSRM将基于此配额模板自动为现有子文件夹或任何将来创建的新子文件夹生成普通配额，但是FSRM并不会针对此文件夹本身创建普通配额。自动配额通常使用在以下场景：用户数据分别按子目录存放在一个公用的文件夹中，那么可以针对公用文件夹启用自动配额。

第五章 网络通信安全

一、在网络技术中，端口（Port）大致有两种意思：一是物理意义上的端口，比如，ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口，如RJ-45端口、SC端口等等。二是逻辑意义上的端口，一般是指TCP/IP协议中的端口，端口号的范围从0到65535，比如用于浏览网页服务的80端口，用于FTP服务的21端口等等

二、端口分类

1.按端口号分布划分

（1）知名端口（Well-Known Ports）

知名端口即众所周知的端口号，范围从0到1023，这些端口号一般固定分配给一些服务。比如21端口分配给FTP服务，25端口分配给SMTP（简单邮件传输协议）服务，80端口分配给HTTP服务，135端口分配给RPC（远程过程调用）服务等等。

（2）动态端口（Dynamic Ports）

动态端口的范围从1024到65535，这些端口号一般不固定分配给某个服务，也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请，那么系统就可以从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后，就会释放所占用的端口号。

2.按协议类型划分

按协议类型划分，可以分为TCP、UDP、IP和ICMP（Internet控制消息协议）等端口。下面主要介绍TCP和UDP端口：

（1）TCP端口

TCP端口，即传输控制协议端口，需要在客户端和服务器之间建立连接，这样可以提供可靠的数据传输。常见的包括FTP服务的21端口，Telnet服务的23端口，SMTP服务的25端口，以及HTTP服务的80端口等等。

（2）UDP端口

UDP端口，即用户数据包协议端口，无需在客户端和服务器之间建立连接，安全性得不到保障。常见的有DNS服务的53端口，SNMP（简单网络管理协议）服务的161端口，QQ使用的8000和4000端口等等。

第六章 应用程序和服务安全

一、IIS 6.0版本支持以下6种身份验证方法，使用这些方法可以确认任何请求访问网站的用

户的身份，以及授予访问站点公共区域的权限，同时又可防止未经授权的用户访问专用文件和目录。

匿名身份验证。允许网络中的任意用户进行访问，不需要使用用户名和密码登录。

基本身份验证。需要用户键入用户名和密码，然后通过网络“非加密”将这些信息传送到服务器，经过验证后方可允许用户访问。

摘要式身份验证。与“基本身份验证”非常类似，所不同的是将密码作为“哈希”值发送。摘要式身份验证仅用于Windows域控制器的域。

高级摘要式身份验证。与“摘要式身份验证”基本相同，所不同的是，“高级摘要式身份验证”将客户端凭据作为MD5哈希存储在Windows Server 2003域控制器的Active Directory（活动目录）服务中，从而提高了安全性。

集成Windows身份验证。使用哈希技术来标识用户，而不通过网络实际发送密码。证书。可以用来建立安全套接字层（SSL）连接的数字凭据，也可以用于验证。

当不允许用户匿名访问时，就应当为IIS用户账户设置强密码以实现IIS的访问安全。