组策略设置系列篇之“安全选项”2
组策略设置系列之“安全选项”
防止从安全选项卡访问驱动器
防止从安全选项卡访问驱动器
在某些情况下,您可能不希望从安全选项卡(例如Ctrl+Alt+Delete)访问驱动器。
操作步骤
在组策略编辑器中,依次展开“计算机配置”-“管理模板”-“系统”-“驱动器”,然后启用“不允许从安 全选项卡访问这台计算机的驱动器”策略。
防止从命令行访问驱动器
02
组策略的安全选项
防止从网络访问驱动器
防止从网络访问驱动器
通过禁止从网络访问驱动器,可以防止未经授权的用户或计算机访问您的计 算机中的驱动器。
操作步骤
在组策略编辑器中,依次展开“计算机配置”-“管理模板”-“系统”-“驱 动器”-“网络访问”,然后启用“不允许从网络访问这台计算机的驱动器” 策略。
有的安全需求。
更新和管理困难
03
组策略安全选项通常需要在服务器上进行管理和更新项的兼容性问题
要点一
与不同版本Windows的兼容性
要点二
与第三方软件的兼容性
组策略安全选项在不同版本的Windows系统中可能存 在兼容性问题。
组策略安全选项可能会与某些第三方软件产生冲突或兼 容性问题。
组策略安全选项的可扩展性问题
缺乏自定义选项
组策略安全选项通常只提供预设的安全选项,无法自定 义新的选项。
难以扩展到其他系统
组策略安全选项主要针对Windows系统,难以扩展到其 他系统。
组策略安全选项的可定制性问题
定制性不足
组策略安全选项的定制性相对较差,无法 满足一些特定安全需求。
定制过程复杂
防止从命令行访问驱动器
通过禁止从命令行访问驱动器,可以防止未经授权的 用户或脚本通过命令行访问您的计算机中的驱动器。
组策略与安全设置
组策略与安全设置系统管理员可以通过组策略的强大功能,来充分管理网络用户与计算机的工作环境,从而减轻网络管理的负担。
组策略概述组策略是一个能够让系统管理员充分管理用户工作环境的功能,通过它来确保用户拥有应有的工作环境,也通过他来限制用户。
因此,不但可以让用户拥有适当的环境,也可以减轻系统管理员的管理负担。
组策略包含计算机配置与用户配置两部分。
计算机配置仅对计算机环境产生影响,而用户设置只对用户环境有影响。
可以通过以下两个方法来设置组策略。
●本地计算机策略:可以用来设置单一计算机的策略,这个策略内的计算机配置只会背应用到这台计算机,而用户设置会被应用到在此计算机登陆的所有用户。
●域的组策略:在域内可以针对站点,域或组织单位来设置组策略,其中,域组策略内的设置会被应用到域内的所有计算机与用户,而组织单位的组策略会被应用到该组织单位内的所有计算机与用户。
对添加域的计算机来说,如果其本地计算机策略的设置与域或组织单位的组策略设置发生冲突,则以域或组织单位组策略的设置优先,也就是此时本地计算机策略的设置值无效。
本地计算机策略实例演示以下利用未加入域的计算机来练习本地计算机策略,以免受到域策略的干扰,造成本地计算机策略的设置无效,因而影响到验证实验结果。
计算机配置实例演示当我们要将Windows Server2012 计算机关机时,系统会要求我们提供关机的理由,以下实例完成后,系统就不会在要求你说明关机理由了。
开始运行中输入gpedit.msc-计算机配置-管理模板-系统-显示“关闭事件跟踪程序“-单击已禁用以后关机或重启计算机时,系统都不会再询问了。
注:请不要随意更改计算机配置,以免更改可能影响系统正常运行的设置值。
用户配置实例演示以下通过本地计算机策略来限制用户工作环境:删除客户端浏览器IE内Internet选项的安全和连接标签。
也就是经过以下设置后,浏览器内的安全和连接标签消失了。
用户配置-管理模板-windows组件-IE-ie控制面板-禁用连接页和禁用安全页设置为启用,此设置会立即应用到所有用户。
Windows 7 组策略安全使用全攻略
组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。
通过使用组策略可以设置各种软件、计算机和用户策略。
考虑到安全方面的原因,Windows 7已经开发了许多新的和增强的组策略功能和服务,帮助您更好地保护计算机上驻留的数据、功能和服务。
这些功能的配置取决于您的具体要求和使用环境,本文将主要介绍Windows 7组策略的安全使用技巧,介绍如何配置组策略功能和服务来更好地满足您的系统安全、网络安全、数据保护及个性化需求。
一、系统设置安全篇1. 禁止运行指定程序系统启动时一些程序会在后台启动,这些程序通过“系统配置实用程序”(msconfig)的启动项无法阻止,操作起来非常不便,通过组策略则非常方便,这对减少系统资源占用非常有效。
通过启用该策略并添加相应的应用程序,就可以限制用户运行这些应用程序。
具体步骤如下:(1)打开「开始」菜单,在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车,打开组策略对象编辑器。
(2)在左边的窗格依次单击“用户配置→管理模板→系统”,然后在右边的窗格双击“不要运行指定的Windows应用程序”(如图1所示)。
图1 双击“不要运行指定的Windows应用程序”(3)选中“已启用”,单击“显示”按钮(如图2所示),添加要阻止的程序如“Wgatray.exe”即可。
图2 添加要阻止的程序当用户试图运行包含在不允许运行程序列表中的应用程序时,系统会提示警告信息。
把不允许运行的应用程序复制到其他的目录和分区中,仍然是不能运行的。
要恢复指定的受限程序的运行能力,可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”,或者将指定的应用程序从不允许运行列表中删除(这要求删除后列表不会成为空白的)。
这种方式只阻止用户运行从Windows资源管理器中启动的程序,对于由系统过程或其他过程启动的程序并不能禁止其运行。
该方式禁止应用程序的运行,其用户对象的作用范围是所有的用户,不仅仅是受限用户,Administrators组中的账户甚至是内建的administrator帐户都将受到限制,因此给管理员带来了一定的不便。
组策略设置系列之“安全选项”(doc 16页)
帐户:使用空白密码的本地帐户只允许进行控制台登录此策略设置确定是否允许使用空白密码的本地帐户通过网络服务(如终端服务、Telnet 和文件传输协议(FTP))进行远程交互式登录。
如果启用此策略设置,则本地帐户必须有一个非空密码,才能从远程客户端执行交互式或网络登录。
“帐户:使用空白密码的本地帐户只允许进行控制台登录”设置的可能值为:•已启用•已禁用•没有定义注意:此策略设置不影响在控制台上以物理方式执行的交互式登录,也不影响使用域帐户的登录。
警告:使用远程交互式登录的第三方应用程序有可能跳过此策略设置。
漏洞:空白密码会对计算机安全造成严重威胁,应当通过组织的策略和适当的技术措施来禁止。
实际上,Windows Server 2003 Active Directory® 目录服务域的默认设置需要至少包含七个字符的复杂密码。
但是,如果能够创建新帐户的用户跳过基于域的密码策略,则他们可以创建具有空白密码的帐户。
例如,某个用户可以构建一个独立的计算机,创建一个或多个具有空白密码的帐户,然后将该计算机加入到域中。
具有空白密码的本地帐户仍将正常工作。
任何人如果知道其中一个未受保护的帐户的名称,都可以用它来登录。
对策:启用“帐户:使用空白密码的本地帐户只允许进行控制台登录”设置。
潜在影响:无。
这是默认配置。
帐户:重命名系统管理员帐户此策略设置确定另一个帐户名是否与Administrator 帐户的SID 相关联。
“帐户:重命名系统管理员帐户”设置的可能值为:•用户定义的文本•没有定义漏洞:Administrator 帐户存在于运行Windows 2000、Windows Server 2003 或Windows XP Professional 操作系统的所有计算机上。
如果重命名此帐户,会使未经授权的人员更难猜测这个具有特权的用户名和密码组合。
无论攻击者可能使用多少次错误密码,内置的Administrator 帐户都不能被锁定。
学会设置电脑的防火墙和安全策略
学会设置电脑的防火墙和安全策略电脑的安全问题关乎我们的隐私和信息安全,学会设置电脑的防火墙和安全策略势在必行。
电脑防火墙和安全策略是保护我们电脑和个人信息安全的重要手段,它们可以防止恶意软件的入侵和黑客的攻击,为我们提供一个安全可靠的网络环境。
在这篇文章中,我将向大家介绍如何设置电脑的防火墙和安全策略,让我们的电脑远离威胁,保护个人信息的安全。
首先,我们要了解电脑的防火墙。
防火墙是电脑系统安全的第一道防线,它能够监控和控制进出电脑的网络流量,阻止恶意软件的入侵。
在Windows系统中,我们可以通过以下步骤来设置防火墙:1. 打开控制面板,在搜索框中输入“防火墙”,点击“Windows Defender 防火墙”选项。
2. 点击“打开 Windows Defender 防火墙”。
3. 在防火墙设置界面,我们可以选择打开或关闭防火墙,以及配置进出规则。
4. 点击“启用或关闭 Windows Defender 防火墙”,选择相应的选项。
5. 点击“高级设置”,我们可以设置防火墙的高级规则,包括允许或禁止特定程序、端口或IP地址等。
设置完防火墙后,我们还可以通过设置安全策略提高电脑的安全性。
安全策略可以限制用户权限、阻止未经授权的访问和修改等,有效地保护电脑和个人信息的安全。
在Windows系统中,我们可以按照以下步骤设置安全策略:1. 打开“组策略编辑器”,方法是按下Win + R键,运行窗口中输入“gpedit.msc”并点击“确定”按钮。
2. 在组策略编辑器窗口中,依次展开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”、“安全选项”。
3. 在右侧窗口中,可以看到一系列的安全设置选项,我们可以根据需要进行设置。
例如,设置账户密码策略、网络安全策略等。
除了上述的防火墙和安全策略设置,我们还可以通过以下方法提高电脑的安全性:1. 及时更新操作系统和软件补丁,保持系统和软件的最新版本。
组策略设置系列篇之“安全选项”
“网络安全:在超过登录时间后强制注销”设置的可能值为:
“网络安全:LAN Manager身份验证级别”设置的可能值为
:•发送LM和NTLM响应•发送LM和NTLM -若协商使用NTLMv2会话安全•仅发送NTLM响应•仅发送NTLMv2响应•仅发送NTLMv2响应\拒绝LM•仅发送NTLMv2响应\拒绝LM和NTLM•没有定义“网络安全:LAN Manager身份验证级别”设置确定将哪些质询/响应身份验证协议用于网络登录。此选项影响客户端使用的身份验证协议级别、计算机所协商的会话安全级别以及服务器所接受的身份验证级别,如下所示:•发送LM和NTLM响应。客户端使用LM和NTLM身份验证,从不使用NTLMv2会话安全性。域控制器接受LM、NTLM和NTLMv2身份验证。•发送LM和NTLM -若协商使用NTLMv2会话安全。客户端使用LM和NTLM身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器接受LM、NTLM和NTLMv2身份验证。•仅发送NTLM响应。客户端只使用NTLM身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器接受LM、NTLM和NTLMv2身份验证。•仅发送NTLMv2响应。客户端仅使用NTLMv2身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器接受LM、NTLM和NTLMv2身份验证。•仅发送NTLMv2响应\拒绝LM。客户端仅使用NTLMv2身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器拒绝LM(只接受NTLM和NTLMv2身份验证)。•仅发送NTLMv2响应\拒绝LM和NTLM。客户端仅使用NTLMv2身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器拒绝LM和NTLM(只接受NTLMv2身份验证)。这些设置与其他Microsoft文档中讨论的级别相对应,如下所示:•级别0–发送LM和NTLM响应;从不使用NTLMv2会话安全。客户端使用LM和NTLM身份验证,从不使用NTLMv2会话安全。域控制器接受LM、NTLM和NTLMv2身份验证。•级别1–若协商使用NTLMv2会话安全。客户端使用LM和NTLM身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器接受LM、NTLM和NTLMv2身份验证。•级别2–仅发送NTLM响应。客户端只使用NTLM身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器接受LM、NTLM和NTLMv2身份验证。•级别3–仅发送NTLMv2响应。客户端使用NTLMv2身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器接受LM、NTLM和NTLMv2身份验证。•级别4–域控制器拒绝LM响应。客户端使用NTLM身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器拒绝LM身份验证,即,它们接受NTLM和NTLMv2。•级别5–域控制器拒绝LM和NTLM响应(只接受NTLMv2)。客户端使用NTLMv2身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器拒绝NTLM和LM身份验证(它们只接受NTLMv2)。漏洞:Windows 2000、Windows Server 2003和Windows XP客户端在默认情况下均配置为发送LM和NTLM身份验证响应(Windows 9x客户端只发送LM)。服务器的默认设置允许所有的客户端都向服务器验证身份并使用服务器上的资源。但是,这意味着LM响应(一种最弱的身份验证响应)通过网络进行发送,而且攻击者有可能嗅探该通信,以便更容易地再现用户的密码。
组策略设置系列之“安全选项”
包括审计、系统访问控制和安全选项等设置,用于控 制对资源的访问和系统安全。
事件日志
用于配置日志记录的详细程度和日志文件的存储位置 。
安全设置的应用范围
01
安全设置可以应用于计算机或用户组,根据需要选 择相应的应用范围。
02
在组策略编辑器中,可以选择“计算机配置”或“ 用户配置”来应用相应的安全设置。
软件限制策略的应用场景
控制用户安装未知来源的 软件
通过配置软件限制策略,管理员可以阻止用 户安装来自不受信任的来源的软件,从而提 高系统的安全性。
防止恶意软件的传播
通过阻止恶意软件的安装和运行,软件限制策略有 助于防止恶意软件对系统的侵害。
保护企业数据的安全
在企业环境中,管理员可以配置软件限制策 略来限制员工安装和使用某些可能威胁企业 数据安全的软件。
密码策略
密码长度和复杂性要求
为了增强帐户安全性,可以设置密码的最小长度和必须包含的字 符类型(例如大写字母、小写字母、数字和特殊字符)。
密码过期策略
可以设置密码的有效期限,到期后要求用户更改密码。
密码重用限制
限制用户不能使用以前用过的密码,以减少密码猜测的尝试。
账户策略的配置步骤
打开组策略编辑器:在“运行”对话框 中输入“gpedit.msc”,打开组策略编 辑器。
组策略在Windows系统中的作用
• 组策略在Windows系统中扮演着至关重要 的作用,它提供了集中化的管理和配置功 能,使得管理员可以更加高效地维护和保 护网络中的计算机。通过组策略,管理员 可以实施安全策略、软件安装和配置、桌 面环境定制等,从而确保系统的安全性和 稳定性。
02
组策略安全设置概述
教育机构
组策略设置系列之“安全选项”
02
组策略安全选项
帐户策略
密码必须符合复杂性要求
强制要求密码包含特殊字符、大写 字母、小写字母和数字,以增加密 码的安全性。
密码长度最小值
强制要求密码长度至少为多少个字 符,以增加密码的安全性。
密码过期时间
设置密码过期时间,要求用户定期 更换密码,以增加密码的安全性。
密码历史记录
记录用户过去使用过的密码,以防 止用户重复使用旧密码,增加密码 的安全性。
本地策略
允许在未经授权的情况 下访问计算机
限制未经授权的用户对计算机的访问,提高 计算机的安全性。
禁止在未经授权的情况 下访问账户
限制未经授权的用户对账户的访问,提高账 户的安全性。
帐户锁定策略
非法登录尝试后的帐户锁定
在一定时间内,如果用户连续多次尝试登录失败,该帐户将被锁定,以防止 暴力破解攻击。
凭据过期后的帐户锁定
如果用户的凭据(如密码)过期,该帐户将被锁定,直到用户重新设置新的 凭据。
密码最长使用期限
• 强制用户定期更换密码:设置密码的最长使用期限,超过该 期限后,用户必须更改密码,以防止密码被破解或泄露。
等机制,确保加密密钥的安全存储和分发。
数据保护代理
选择数据保护代理
可以选择适合的数据保护代理,如Symantec、McAfee等,以 提供更全面的数据保护服务。
配置代理设置
可以根据需要配置代理设置,如加密、解密、审计等,以确保数 据的机密性和完整性。
测试代理功能
可以通过测试代理功能,确保数据保护代理能够正常工作,并提 供预期的保护效果。
选择适当的通信协议,以确保数据在传输过程中 的机密性和完整性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
组策略设置系列篇之“安全选项”-2选项, 设置交互式登录:不显示上次的用户名此策略设置确定“登录到Windows”对话框是否显示上次登录到该计算机的用户的名称。
如果启用此策略设置,不显示上次成功登录的用户的名称。
如果禁用此策略设置,则显示上次登录的用户的名称。
“交互式登录:不显示上次的用户名”设置的可能值为:•已启用•已禁用•没有定义漏洞:能够访问控制台的攻击者(例如,能够物理访问的人或者能够通过终端服务连接到服务器的人)可以查看上次登录到服务器的用户的名称。
攻击者随后可能尝试猜测密码,使用字典或者依靠强力攻击以试图登录。
对策:将“不显示上次的用户名”设置配置为“已启用”。
潜在影响:用户在登录服务器时,必须始终键入其用户名。
交互式登录:不需要按CTRL+ALT+DEL此策略设置确定用户在登录前是否必须按Ctrl+Alt+Del。
如果启用此策略设置,用户登录时无需按此组合键。
如果禁用此策略设置,用户在登录到Windows 之前必须按Ctrl+Alt+Del,除非他们使用智能卡进行Windows 登录。
智能卡是一种用来存储安全信息的防篡改设备。
“交互式登录:不需要按CTRL+ALT+DEL”设置的可能值为:•已启用•已禁用•没有定义漏洞:Microsoft 之所以开发此功能,是为了更便于身体有某种残疾的用户登录到运行Windows 的计算机。
如果不要求用户按Ctrl+Alt+Del,他们容易受到尝试截获其密码的攻击。
如果要求用户在登录之前按Ctrl+Alt+Del,用户密码则会通过受信任路径进行通信。
攻击者可能会安装看似标准Windows 登录对话框的特洛伊木马程序,并捕获用户的密码。
攻击者随后将能够使用该用户具有的特权级别登录到被侵入的帐户。
对策:将“不需要按CTRL+ALT+DEL”设置配置为“已禁用”。
潜在影响:除非用户使用智能卡进行登录,否则他们必须同时按这三个键,才能显示登录对话框。
交互式登录:用户试图登录时消息文字“交互式登录:用户试图登录时消息文字”和“交互式登录:用户试图登录时消息标题”设置密切相关。
第一个策略设置指定用户登录时显示给他们的消息文字,而第二个策略设置指定显示在包含消息文字的窗口的标题栏中的标题。
许多组织将这些文本用于法律目的,例如,警告用户误用公司信息的后果,或者警告用户他们的操作可能被审核。
警告:Windows XP Professional 添加了如下支持:长度可以超过512 个字符、而且还可以包含回车换行序列的登录标题。
但是,Windows 2000 客户端不能理解和显示这些消息。
您必须使用Windows 2000 计算机创建适用于Windows 2000 计算机的登录消息策略。
如果您无意中在Windows XP Professional 计算机上创建了一个登录消息策略,但是发现它不能在Windows 2000 计算机上正确地显示,请执行下列操作:•将该设置重新配置为“没有定义”。
•使用Windows 2000 计算机重新配置该设置。
如果只是在Windows 2000 计算机上更改由Windows XP Professional 定义的登录消息设置,将不会奏效。
必须首先将该设置重新配置为“没有定义”。
这些策略设置的可能值为:•用户定义的文本•没有定义漏洞:在登录之前显示警告消息,可能有助于在攻击发生之前警告攻击者他们的不正当行为,从而防止攻击。
可能还有助于通过在登录过程中通知员工相应策略来加强公司策略。
对策:将“用户试图登录时消息文字”和“用户试图登录时消息标题”设置配置为适合组织的相应值。
注意:所显示的任何警告消息应先经您所在组织的法律代表和人力资源代表的许可。
潜在影响:用户在登录到服务器控制台之前将看到对话框中的一则消息。
交互式登录:可被缓存的前次登录个数(在域控制器不可用的情况下)此策略设置确定多少位不同用户可以使用缓存的帐户信息登录到Windows 域。
域帐户的登录信息可以被本地缓存,以便在无法就后续登录联系域控制器时,用户仍可以登录。
此策略设置可以确定其登录信息在本地缓存的唯一用户的个数。
如果某个域控制器不可用,某个用户的登录信息被缓存,则该用户会被提示以下消息:不能联系您的域中的域控制器。
您已经使用缓存的帐户信息登录。
由于您上次登录的域控制器可能不可用,因此请更改您的配置文件。
如果某个域控制器不可用,某个用户的登录信息未被缓存,则该用户会被提示此消息:现在不能登录该系统,因为<域名> 域不可用。
“交互式登录:可被缓存的前次登录个数(在域控制器不可用的情况下)”设置的可能值为:•用户定义的数值,在0 至50 之间•没有定义漏洞:分配给此策略设置的数字指出服务器将在本地缓存多少个用户的登录信息。
如果该数字被设置为10,则服务器缓存10 个用户的登录信息。
当第11 个用户登录到该计算机时,服务器会覆盖最旧的缓存登录会话。
访问服务器控制台的用户会将其登录凭据缓存到该服务器上。
能够访问服务器文件系统的攻击者可以查找这个缓存信息,并使用强力攻击试图确定用户密码。
为减轻这种类型的攻击,Windows 加密该信息并将其分散在多个物理位置。
对策:将“交互式登录:可被缓存的前次登录个数(在域控制器不可用的情况下)”设置配置为0,可禁用在本地缓存登录信息。
其他对策包括强制使用强密码策略并对计算机的位置进行物理保护。
潜在影响:如果用户无法向任何域控制器验证其身份,他们将无法登录任何计算机。
对于最终用户计算机(尤其是移动用户),组织可能希望将此值配置为2。
如果将此值配置为2,则意味着用户的登录信息仍将位于缓存中,即使IT 部门的某个成员最近登录过用户的计算机以执行系统维护时也是如此。
此方法允许用户在未连接到组织网络时登录到他们的计算机。
交互式登录:在密码到期前提示用户更改密码此策略设置确定提前多少天提醒用户其密码即将到期。
有了这个提前警告,用户就有时间创建足够强的密码。
“交互式登录:在密码到期前提示用户更改密码”设置的可能值为:•用户定义的天数,介于 1 和999 之间•没有定义漏洞:Microsoft 建议将用户密码配置为定期过期。
用户将需要被提醒其密码即将过期,否则在其密码到期时他们可能会被无意中锁定在计算机外。
此情况可能会导致用户在本地访问网络时造成混乱,或者使用户不能通过拨号或虚拟专用网络(VPN) 连接访问组织网络。
对策:将“交互式登录:在密码到期前提示用户更改密码”设置配置为14 天。
潜在影响:当用户的密码过期日期配置为14 天或更短时,用户在每次登录到域时都将看到一个对话框,提示其更改密码。
交互式登录:要求域控制器身份验证以解锁工作站对已锁定的计算机进行解锁时需要登录信息。
对于域帐户来说,“交互式登录:要求域控制器身份验证以解锁工作站”设置确定为了解锁计算机是否有必要联系域控制器。
如果启用此设置,域控制器必须验证用来解锁计算机的域帐户的身份。
如果禁用此设置,用户解锁计算机时域控制器并不需要登录信息确认。
但是,如果将“交互式登录:可被缓存的前次登录个数(在域控制器不可用的情况下)”设置配置为大于零的值,则用户的缓存凭据将被用于解锁计算机。
注意:此设置可以应用于Windows 2000 计算机,但不能通过这些计算机上的“安全配置管理器”工具来使用。
“交互式登录:要求域控制器身份验证以解锁工作站”设置的可能值为:•已启用•已禁用•没有定义漏洞:默认情况下,计算机将已通过身份验证的任何用户的凭据缓存在本地内存中。
计算机使用这些缓存凭据来对尝试解锁控制台的任何人进行身份验证。
如果使用缓存凭据,将不考虑或应用在验证帐户身份之后对帐户进行的任何最新更改(如用户权限分配、帐户锁定或禁用帐户)。
不更新用户特权,而且更重要的是,被禁用的帐户仍能够解锁计算机的控制台。
对策:将“交互式登录:要求域控制器身份验证以解锁工作站”设置配置为“已启用”,并将“交互式登录:可被缓存的前次登录个数(在域控制器不可用的情况下)”设置配置为0。
潜在影响:如果某台计算机上的控制台由某个用户锁定,或者因屏幕保护程序超时而自动被锁定时,则只有当该用户重新向域控制器验证自己的身份时,该控制台才能被解锁。
如果没有可用的域控制器,则用户不能解锁他们的工作站。
如果将“交互式登录:可被缓存的前次登录个数(在域控制器不可用的情况下)”设置配置为0,其域控制器不可用的用户(如移动或远程用户)将不能登录。
交互式登录:要求智能卡此策略设置要求用户使用智能卡登录计算机。
注意:此设置可以应用于Windows 2000 计算机,但不能通过这些计算机上的“安全配置管理器”工具来使用。
“交互式登录:要求智能卡”设置的可能值为:•已启用•已禁用•没有定义漏洞:要求使用又长又复杂的密码进行身份验证可增强网络安全性,当用户必须定期更改其密码时尤其如此。
此方法会减少攻击者通过强力攻击猜出用户密码的机会。
但是,用户难以选择强密码,如果攻击者有足够时间和计算资源,即使是强密码也容易受到强力攻击。
使用智能卡(而非密码)来进行身份验证会大大增强安全性,这是由于,当今的技术使攻击者几乎不可能模拟另一个用户。
需要个人识别码(PIN) 的智能卡提供双因素身份验证。
换句话说,用户必须既拥有智能卡又知道它的PIN。
捕获到用户计算机和域控制器之间身份验证通信的攻击者会发现很难对该通信进行解密,而且即使他们进行了解密,用户在下次登录网络时,也会生成一个新的会话密钥,用来加密用户和域控制器之间的通信。
对策:对于敏感帐户,向用户颁发智能卡,并将“交互式登录:要求智能卡”设置配置为“已启用”。
潜在影响:所有的用户将必须使用智能卡登录网络;这意味着组织将必需针对所有用户的可靠公钥基础结构(PKI)以及智能卡和智能卡读取器。
这些要求会带来巨大的挑战,因为这些技术的规划和部署需要专业知识和资源。
但是,Windows Server 2003 包括证书服务,一种用来实现和管理证书的非常高级的服务。
当证书服务与Windows XP 结合使用时,将有诸如自动用户和计算机注册和续订等功能可用。
交互式登录:智能卡移除操作此策略设置确定将已登录用户的智能卡从智能卡阅读器中移除时会发生的操作。
“交互式登录:智能卡移除操作”设置的可能值为:•无操作•锁定工作站•强制注销•没有定义漏洞:如果使用智能卡进行身份验证,则在智能卡被移除时,计算机应当会自动地自行锁定。
此方法将防止其他恶意用户在用户离开、忘了手动锁定其工作站时访问其计算机。
对策:将“智能卡移除操作”设置配置为“锁定工作站”。
如果在“属性”对话框中为此策略设置选择“锁定工作站”,工作站会在智能卡被移除时锁定。
用户可以离开工作区,随身携带其智能卡,并仍维护受保护的会话。