快捷導(dǎo)航

服務(wù)器安全設(shè)置之-本地安全策略設(shè)置

更新時(shí)間：2012年07月18日 10:45:19 作者：

單擊控制面板→管理工具→本地安全策略后，會進(jìn)入本地安全策略的主界面。在此可通過菜單欄上的命令設(shè)置各種安全策略，并可選擇查看方式，導(dǎo)出列表及導(dǎo)入策略等操作

也可以運(yùn)行中輸入gpedit.msc進(jìn)入計(jì)算機(jī)配置→windows設(shè)置→安全設(shè)置→本地策略

安全策略自動更新命令：GPUpdate /force (應(yīng)用組策略自動生效不需重新啟動)

　　開始菜單—>管理工具—>本地安全策略

　　 A、本地策略——>審核策略

　　審核策略更改　　　成功　失敗　　
　　審核登錄事件　　　成功　失敗
　　審核對象訪問　　　　　　失敗
　　審核過程跟蹤　　　無審核
　　審核目錄服務(wù)訪問　　　　失敗
　　審核特權(quán)使用　　　　　　失敗
　　審核系統(tǒng)事件　　　成功　失敗
　　審核賬戶登錄事件　成功　失敗
　　審核賬戶管理　　　成功　失敗
　　B、本地策略——>用戶權(quán)限分配

　　關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。
　　通過終端服務(wù)拒絕登陸：加入Guests、User組
　　通過終端服務(wù)允許登陸：只加入Administrators組，其他全部刪除

　　C、本地策略——>安全選項(xiàng)

　　交互式登陸：不顯示上次的用戶名　　　　　　　啟用
　　網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉　　啟用
　　網(wǎng)絡(luò)訪問：不允許為網(wǎng)絡(luò)身份驗(yàn)證儲存憑證　　　啟用
　　網(wǎng)絡(luò)訪問：可匿名訪問的共享　　　　　　　　　全部刪除
　　網(wǎng)絡(luò)訪問：可匿名訪問的命　　　　　　　　　　全部刪除
　　網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑　　　　　　全部刪除
　　網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑和子路徑　　全部刪除
　　帳戶：重命名來賓帳戶　　　　　　　　　　　　重命名一個(gè)帳戶
　　帳戶：重命名系統(tǒng)管理員帳戶　　　　　　　　　重命名一個(gè)帳戶

UI 中的設(shè)置名稱	企業(yè)客戶端臺式計(jì)算機(jī)	企業(yè)客戶端便攜式計(jì)算機(jī)	高安全級臺式計(jì)算機(jī)	高安全級便攜式計(jì)算機(jī)
帳戶: 使用空白密碼的本地帳戶只允許進(jìn)行控制臺登錄	已啟用	已啟用	已啟用	已啟用
帳戶: 重命名系統(tǒng)管理員帳戶	推薦	推薦	推薦	推薦
帳戶: 重命名來賓帳戶	推薦	推薦	推薦	推薦
設(shè)備: 允許不登錄移除	已禁用	已啟用	已禁用	已禁用
設(shè)備: 允許格式化和彈出可移動媒體	Administrators, Interactive Users	Administrators, Interactive Users	Administrators	Administrators
設(shè)備: 防止用戶安裝打印機(jī)驅(qū)動程序	已啟用	已禁用	已啟用	已禁用
設(shè)備: 只有本地登錄的用戶才能訪問 CD-ROM	已禁用	已禁用	已啟用	已啟用
設(shè)備: 只有本地登錄的用戶才能訪問軟盤	已啟用	已啟用	已啟用	已啟用
設(shè)備: 未簽名驅(qū)動程序的安裝操作	允許安裝但發(fā)出警告	允許安裝但發(fā)出警告	禁止安裝	禁止安裝
域成員: 需要強(qiáng) (Windows 2000 或以上版本) 會話密鑰	已啟用	已啟用	已啟用	已啟用
交互式登錄: 不顯示上次的用戶名	已啟用	已啟用	已啟用	已啟用
交互式登錄: 不需要按 CTRL+ALT+DEL	已禁用	已禁用	已禁用	已禁用
交互式登錄: 用戶試圖登錄時(shí)消息文字	此系統(tǒng)限制為僅授權(quán)用戶。嘗試進(jìn)行未經(jīng)授權(quán)訪問的個(gè)人將受到起訴。	此系統(tǒng)限制為僅授權(quán)用戶。嘗試進(jìn)行未經(jīng)授權(quán)訪問的個(gè)人將受到起訴。	此系統(tǒng)限制為僅授權(quán)用戶。嘗試進(jìn)行未經(jīng)授權(quán)訪問的個(gè)人將受到起訴。	此系統(tǒng)限制為僅授權(quán)用戶。嘗試進(jìn)行未經(jīng)授權(quán)訪問的個(gè)人將受到起訴。
交互式登錄: 用戶試圖登錄時(shí)消息標(biāo)題	繼續(xù)在沒有適當(dāng)授權(quán)的情況下使用是違法行為。	繼續(xù)在沒有適當(dāng)授權(quán)的情況下使用是違法行為。	繼續(xù)在沒有適當(dāng)授權(quán)的情況下使用是違法行為。	繼續(xù)在沒有適當(dāng)授權(quán)的情況下使用是違法行為。
交互式登錄: 可被緩存的前次登錄個(gè)數(shù) (在域控制器不可用的情況下)	2	2	0	1
交互式登錄: 在密碼到期前提示用戶更改密碼	14 天	14 天	14 天	14 天
交互式登錄: 要求域控制器身份驗(yàn)證以解鎖工作站	已禁用	已禁用	已啟用	已禁用
交互式登錄: 智能卡移除操作	鎖定工作站	鎖定工作站	鎖定工作站	鎖定工作站
Microsoft 網(wǎng)絡(luò)客戶: 數(shù)字簽名的通信（若服務(wù)器同意）	已啟用	已啟用	已啟用	已啟用
Microsoft 網(wǎng)絡(luò)客戶: 發(fā)送未加密的密碼到第三方 SMB 服務(wù)器。	已禁用	已禁用	已禁用	已禁用
Microsoft 網(wǎng)絡(luò)服務(wù)器: 在掛起會話之前所需的空閑時(shí)間	15 分鐘	15 分鐘	15 分鐘	15 分鐘
Microsoft 網(wǎng)絡(luò)服務(wù)器: 數(shù)字簽名的通信（總是）	已啟用	已啟用	已啟用	已啟用
Microsoft 網(wǎng)絡(luò)服務(wù)器: 數(shù)字簽名的通信（若客戶同意）	已啟用	已啟用	已啟用	已啟用
Microsoft 網(wǎng)絡(luò)服務(wù)器: 當(dāng)?shù)卿洉r(shí)間用完時(shí)自動注銷用戶	已啟用	已禁用	已啟用	已禁用
網(wǎng)絡(luò)訪問: 允許匿名 SID/名稱轉(zhuǎn)換	已禁用	已禁用	已禁用	已禁用
網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶和共享的匿名枚舉	已啟用	已啟用	已啟用	已啟用
網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶和共享的匿名枚舉	已啟用	已啟用	已啟用	已啟用
網(wǎng)絡(luò)訪問: 不允許為網(wǎng)絡(luò)身份驗(yàn)證儲存憑據(jù)或 .NET Passports	已啟用	已啟用	已啟用	已啟用
網(wǎng)絡(luò)訪問: 限制匿名訪問命名管道和共享	已啟用	已啟用	已啟用	已啟用
網(wǎng)絡(luò)訪問: 本地帳戶的共享和安全模式	經(jīng)典 - 本地用戶以自己的身份驗(yàn)證	經(jīng)典 - 本地用戶以自己的身份驗(yàn)證	經(jīng)典 - 本地用戶以自己的身份驗(yàn)證	經(jīng)典 - 本地用戶以自己的身份驗(yàn)證
網(wǎng)絡(luò)安全: 不要在下次更改密碼時(shí)存儲 LAN Manager 的哈希值	已啟用	已啟用	已啟用	已啟用
網(wǎng)絡(luò)安全: 在超過登錄時(shí)間后強(qiáng)制注銷	已啟用	已禁用	已啟用	已禁用
網(wǎng)絡(luò)安全: LAN Manager 身份驗(yàn)證級別	僅發(fā)送 NTLMv2 響應(yīng)	僅發(fā)送 NTLMv2 響應(yīng)	僅發(fā)送 NTLMv2 響應(yīng)\拒絕 LM & NTLM	僅發(fā)送 NTLMv2 響應(yīng)\拒絕 LM & NTLM
網(wǎng)絡(luò)安全: 基于 NTLM SSP（包括安全 RPC）客戶的最小會話安全	沒有最小	沒有最小	要求 NTLMv2 會話安全要求 128-位加密	要求 NTLMv2 會話安全要求 128-位加密
網(wǎng)絡(luò)安全: 基于 NTLM SSP(包括安全 RPC)服務(wù)器的最小會話安全	沒有最小	沒有最小	要求 NTLMv2 會話安全要求 128-位加密	要求 NTLMv2 會話安全要求 128-位加密
故障恢復(fù)控制臺: 允許自動系統(tǒng)管理級登錄	已禁用	已禁用	已禁用	已禁用
故障恢復(fù)控制臺: 允許對所有驅(qū)動器和文件夾進(jìn)行軟盤復(fù)制和訪問	已啟用	已啟用	已禁用	已禁用
關(guān)機(jī): 允許在未登錄前關(guān)機(jī)	已禁用	已禁用	已禁用	已禁用
關(guān)機(jī): 清理虛擬內(nèi)存頁面文件	已禁用	已禁用	已啟用	已啟用
系統(tǒng)加密: 使用 FIPS 兼容的算法來加密，哈希和簽名	已禁用	已禁用	已禁用	已禁用
系統(tǒng)對象: 由管理員 (Administrators) 組成員所創(chuàng)建的對象默認(rèn)所有者	對象創(chuàng)建者	對象創(chuàng)建者	對象創(chuàng)建者	對象創(chuàng)建者
系統(tǒng)設(shè)置: 為軟件限制策略對 Windows 可執(zhí)行文件使用證書規(guī)則	已禁用	已禁用	已禁用	已禁用

一、加固系統(tǒng)賬戶

1.禁止枚舉賬號

我們知道，某些具有黑客行為的蠕蟲病毒，可以通過掃描Windows 2000/XP系統(tǒng)的指定端口，然后通過共享會話猜測管理員系統(tǒng)口令。因此，我們需要通過在“本地安全策略”中設(shè)置禁止枚舉賬號，從而抵御此類入侵行為，操作步驟如下：
在“本地安全策略”左側(cè)列表的“安全設(shè)置”目錄樹中，逐層展開“本地策略→安全選項(xiàng)”。查看右側(cè)的相關(guān)策略列表，在此找到“網(wǎng)絡(luò)訪問：不允許SAM賬戶和共享的匿名枚舉”，用鼠標(biāo)右鍵單擊，在彈出菜單中選擇“屬性”，而后會彈出一個(gè)對話框，在此激活“已啟用”選項(xiàng)，最后點(diǎn)擊“應(yīng)用”按鈕使設(shè)置生效。

2.賬戶管理

為了防止入侵者利用漏洞登錄機(jī)器，我們要在此設(shè)置重命名系統(tǒng)管理員賬戶名稱及禁用來賓賬戶。設(shè)置方法為：在“本地策略→安全選項(xiàng)”分支中，找到“賬戶：來賓賬戶狀態(tài)”策略，點(diǎn)右鍵彈出菜單中選擇“屬性”，而后在彈出的屬性對話框中設(shè)置其狀態(tài)為“已停用”，最后“確定”退出。

二、加強(qiáng)密碼安全

在“安全設(shè)置”中，先定位于“賬戶策略→密碼策略”，在其右側(cè)設(shè)置視圖中，可酌情進(jìn)行相應(yīng)的設(shè)置，以使我們的系統(tǒng)密碼相對安全，不易破解。如防破解的一個(gè)重要手段就是定期更新密碼，大家可據(jù)此進(jìn)行如下設(shè)置：鼠標(biāo)右鍵單擊“密碼最長存留期”，在彈出菜單中選擇“屬性”，在彈出的對話框中，大家可自定義一個(gè)密碼設(shè)置后能夠使用的時(shí)間長短(限定于1至999之間)。

此外，通過“本地安全設(shè)置”，還可以進(jìn)行通過設(shè)置“審核對象訪問”，跟蹤用于訪問文件或其他對象的用戶賬戶、登錄嘗試、系統(tǒng)關(guān)閉或重新啟動以及類似的事件。諸如此類的安全設(shè)置，不一而足。大家在實(shí)際應(yīng)用中會逐漸發(fā)覺“本地安全設(shè)置”的確是一個(gè)不可或缺的系統(tǒng)安全工具

您可能感興趣的文章: