在本篇技術(shù)指南中���,將概要介紹你如何修改最重要的組策略安全設(shè)置。
你可以在采用Windows XP����、2000和Server 2003操作系統(tǒng)的本地計(jì)算機(jī)上使用這些方法,或者在Server 2003和2000中的OU域名級(jí)上使用這些方法����。為了簡(jiǎn)明扼要和提供最新的信息,我準(zhǔn)備介紹一下如何設(shè)置基于Windows Server 2003的域名����。請(qǐng)記住,這些只是你在你的域名中能夠設(shè)置的組策略對(duì)象中最有可能出現(xiàn)問(wèn)題的���。按照我的觀點(diǎn)����,這些設(shè)置可以保持或者破壞Windows的安全。而且由于設(shè)置的不同�����,你的進(jìn)展也不同�����。因此��,我鼓勵(lì)你在使用每一個(gè)設(shè)置之前都進(jìn)行深入的研究�����,以確保這些設(shè)置能夠兼容你的網(wǎng)絡(luò)�。如果有可能的話����,對(duì)這些設(shè)置進(jìn)行試驗(yàn)(如果你很幸運(yùn)有一個(gè)測(cè)試環(huán)境的話)。
如果你沒(méi)有進(jìn)行測(cè)試����,我建議你下載和安裝微軟的組策略管理控制臺(tái)(GPMC)來(lái)做這些改變。這個(gè)程序能夠把組策略管理任務(wù)集中到一個(gè)單一的界面讓你更全面地查看你的域名����。要開(kāi)始這個(gè)編輯流程�,你就上載GPMC�,擴(kuò)展你的域名,用鼠標(biāo)右鍵點(diǎn)擊"缺省域名策略"����,然后選擇"編輯"。這樣就裝載了組策略對(duì)象編輯器����。如果你要以更快的速度或者"次企業(yè)級(jí)"的方式編輯你的域名組策略對(duì)象,你可以在"開(kāi)始"菜單中運(yùn)行"gpedit.msc"�����。
1.確定一個(gè)缺省的口令策略����,使你的機(jī)構(gòu)設(shè)置位于"計(jì)算機(jī)配置/Windows設(shè)置/安全設(shè)置/賬號(hào)策略/口令策略"之下。
2.為了防止自動(dòng)口令破解����,在"計(jì)算機(jī)配置/Windows設(shè)置/安全設(shè)置/賬號(hào)策略/賬號(hào)關(guān)閉策略"中進(jìn)行如下設(shè)置:
· 賬號(hào)關(guān)閉持續(xù)時(shí)間(確定至少5-10分鐘)
· 賬號(hào)關(guān)閉極限(確定最多允許5至10次非法登錄)
· 隨后重新啟動(dòng)關(guān)閉的賬號(hào)(確定至少10-15分鐘以后)
3.在"計(jì)算機(jī)配置/Windows設(shè)置/安全設(shè)置/本地策略/檢查策略"中啟用如下功能:
· 檢查賬號(hào)管理
· 檢查策略改變
· 檢查權(quán)限使用
· 檢查系統(tǒng)事件
理想的情況是,你要啟用記錄成功和失敗的登錄���。但是�,這取決于你要保留什么類(lèi)型的記錄以及你是否能夠管理這些記錄。Roberta Bragg在這里介紹了一些普通的檢查記錄設(shè)置�����。要記住�����,啟用每一種類(lèi)型的記錄都需要你的系統(tǒng)處理器和硬盤(pán)提供更多的資源���。
4.作為增強(qiáng)Windows安全的最佳做法和為攻擊者設(shè)置更多的障礙以減少對(duì)Windows的攻擊��,你可以在"計(jì)算機(jī)配置/Windows設(shè)置/安全設(shè)置/本地策略/安全選項(xiàng)"中進(jìn)行如下設(shè)置:
· 賬號(hào):重新命名管理員賬號(hào)--不是要求更有效而是增加一個(gè)安全層(確定一個(gè)新名字)
· 賬號(hào):重新命名客戶賬號(hào)(確定一個(gè)新名字)
· 交互式登錄:不要顯示最后一個(gè)用戶的名字(設(shè)置為啟用)
· 交互式登錄:不需要最后一個(gè)用戶的名字(設(shè)置為關(guān)閉)
·交互式登錄: 為企圖登錄的用戶提供一個(gè)消息文本(確定為讓用戶閱讀banner text(旗幟文本)���,內(nèi)容大致為"這是專(zhuān)用和受控的系統(tǒng)。如果你濫用本系統(tǒng)����,你將受到制裁����。--首先讓你的律師運(yùn)行這個(gè)程序")
· 交互式登錄: 為企圖登錄的用戶提供的消息題目--在警告!!!后面寫(xiě)的東西
· 網(wǎng)絡(luò)接入:不允許SAM賬號(hào)和共享目錄(設(shè)置為"啟用")
· 網(wǎng)絡(luò)接入:將"允許每一個(gè)人申請(qǐng)匿名用戶"設(shè)置為關(guān)閉
· 網(wǎng)絡(luò)安全:"不得存儲(chǔ)局域網(wǎng)管理員關(guān)于下一個(gè)口令變化的散列值"設(shè)置為"啟用"
· 關(guān)機(jī):"允許系統(tǒng)在沒(méi)有登錄的情況下關(guān)閉"設(shè)置為"關(guān)閉"
· 關(guān)機(jī):"清除虛擬內(nèi)存的頁(yè)面文件"設(shè)置為"啟用"
如果你沒(méi)有Windows Server 2003域名控制器�����,你在這里可以找到有哪些Windows XP本地安全設(shè)置的細(xì)節(jié)�����,以及這里有哪些詳細(xì)的Windows 2000 Server組策略的設(shè)置�����。要了解更多的有關(guān)Windows Server 2003組策略的信息���,請(qǐng)查看微軟的專(zhuān)門(mén)網(wǎng)頁(yè)。
關(guān)鍵詞標(biāo)簽:Windows組策略,黑客
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程
虛擬主機(jī)中ASPX一些安全設(shè)置
“和諧”內(nèi)網(wǎng)保護(hù)神——ProVisa內(nèi)網(wǎng)安全管理
Discuz!配置文件中的安全設(shè)置