您的位置:360文档中心› 组策略设置系列之“安全选项”

组策略设置系列之“安全选项”

合集下载

组策略与安全设置

组策略与安全设置

组策略与安全设置系统管理员可以通过组策略的强大功能,来充分管理网络用户与计算机的工作环境,从而减轻网络管理的负担。

组策略概述组策略是一个能够让系统管理员充分管理用户工作环境的功能,通过它来确保用户拥有应有的工作环境,也通过他来限制用户。

因此,不但可以让用户拥有适当的环境,也可以减轻系统管理员的管理负担。

组策略包含计算机配置与用户配置两部分。

计算机配置仅对计算机环境产生影响,而用户设置只对用户环境有影响。

可以通过以下两个方法来设置组策略。

●本地计算机策略:可以用来设置单一计算机的策略,这个策略内的计算机配置只会背应用到这台计算机,而用户设置会被应用到在此计算机登陆的所有用户。

●域的组策略:在域内可以针对站点,域或组织单位来设置组策略,其中,域组策略内的设置会被应用到域内的所有计算机与用户,而组织单位的组策略会被应用到该组织单位内的所有计算机与用户。

对添加域的计算机来说,如果其本地计算机策略的设置与域或组织单位的组策略设置发生冲突,则以域或组织单位组策略的设置优先,也就是此时本地计算机策略的设置值无效。

本地计算机策略实例演示以下利用未加入域的计算机来练习本地计算机策略,以免受到域策略的干扰,造成本地计算机策略的设置无效,因而影响到验证实验结果。

计算机配置实例演示当我们要将Windows Server2012 计算机关机时,系统会要求我们提供关机的理由,以下实例完成后,系统就不会在要求你说明关机理由了。

开始运行中输入gpedit.msc-计算机配置-管理模板-系统-显示“关闭事件跟踪程序“-单击已禁用以后关机或重启计算机时,系统都不会再询问了。

注:请不要随意更改计算机配置,以免更改可能影响系统正常运行的设置值。

用户配置实例演示以下通过本地计算机策略来限制用户工作环境:删除客户端浏览器IE内Internet选项的安全和连接标签。

也就是经过以下设置后,浏览器内的安全和连接标签消失了。

用户配置-管理模板-windows组件-IE-ie控制面板-禁用连接页和禁用安全页设置为启用,此设置会立即应用到所有用户。

第三章 组策略的安全设置

第三章 组策略的安全设置

二、用户权限指派
在“组策略”窗口中展开“计算机配置”→“Windows设 置”→“安全设置”→“本地策略”→“用户权利指派”,在窗口 右边便能看到“用户权利指派”下的所有设置。 例如,拒绝某个用户从网络访问这台计算机,则双击“拒绝 从网络访问这台计算机”设置项,在弹出对话框中选中该用户,如 “guest”,然后单击“删除”按钮进行删除即可。此外,在这里还 可给用户添加许多权限,例如给“guest”添加远程关机权限、给一 般用户添加更改系统时间的权限等。
第3步,切换到“例外”选项卡,在“程序和服务”列表中显 步 示了连接到网络上的所有应用程序。用户可以手动设置允许连接的 网络的程序:包括添加程序、添加端口、编辑、删除。 如果用户希望网络中(防火墙外)的其他客户端能够访问本地的 某个特定程序或服务,而又不知道这个程序或服务将使用哪一个端 口和哪一类型端口,这时可以将这个程序或者服务添加到Windows 防火墙的例外项中,以保证它能被外部访问。如果知道程序所用的 端口,也可为程序开启所需的端口。当然,如果需要禁止某程序访 问网络,直接删除此规则即可。 第4步,切换到“高级”选项卡,在这里,用户可以为每个连 步 接设置不同的规则,以适应不同的要求。
六、设置账户保密
●默认情况下,在系统登录框中会保留上次登录的用户名,这
方便了该用户的登录,但却留下了安全隐患,特别是对管理员账户, 暴露账户名称非常危险。在组策略中隐藏上次登录账户的设置方法 如下:
●在“组策略”窗口中展开“计算机配置”→“Windows设
置”→“安全设置”→“本地策略”→“安全选项”,在窗口右边 找到“在登录屏幕上不要显示上次登录的用户名”,双击此策略, 在弹出的窗口中将其设置为“已启用”。进行此项设置后,系统启 动或注销后,登录框中用户名为空,必须输入完整有效的用户名和 密码才能登录。

组策略设置系列之“安全选项”

组策略设置系列之“安全选项”

防止从安全选项卡访问驱动器
防止从安全选项卡访问驱动器
在某些情况下,您可能不希望从安全选项卡(例如Ctrl+Alt+Delete)访问驱动器。
操作步骤
在组策略编辑器中,依次展开“计算机配置”-“管理模板”-“系统”-“驱动器”,然后启用“不允许从安 全选项卡访问这台计算机的驱动器”策略。
防止从命令行访问驱动器
02
组策略的安全选项
防止从网络访问驱动器
防止从网络访问驱动器
通过禁止从网络访问驱动器,可以防止未经授权的用户或计算机访问您的计 算机中的驱动器。
操作步骤
在组策略编辑器中,依次展开“计算机配置”-“管理模板”-“系统”-“驱 动器”-“网络访问”,然后启用“不允许从网络访问这台计算机的驱动器” 策略。
有的安全需求。
更新和管理困难
03
组策略安全选项通常需要在服务器上进行管理和更新项的兼容性问题
要点一
与不同版本Windows的兼容性
要点二
与第三方软件的兼容性
组策略安全选项在不同版本的Windows系统中可能存 在兼容性问题。
组策略安全选项可能会与某些第三方软件产生冲突或兼 容性问题。
组策略安全选项的可扩展性问题
缺乏自定义选项
组策略安全选项通常只提供预设的安全选项,无法自定 义新的选项。
难以扩展到其他系统
组策略安全选项主要针对Windows系统,难以扩展到其 他系统。
组策略安全选项的可定制性问题
定制性不足
组策略安全选项的定制性相对较差,无法 满足一些特定安全需求。
定制过程复杂
防止从命令行访问驱动器
通过禁止从命令行访问驱动器,可以防止未经授权的 用户或脚本通过命令行访问您的计算机中的驱动器。

本地安全策略-安全选项(初始设置)

本地安全策略-安全选项(初始设置)

策略安全‎设置DC‎O M: 安‎全描述符定‎义语言(S‎D DL)语‎法中的计算‎机访问限制‎没有定义‎DCOM‎:安全描‎述符定义语‎言(SDD‎L)语法中‎的计算机启‎动限制没‎有定义M‎i cros‎o ft 网‎络服务器:‎当登录时‎间用完时自‎动注销用户‎已启用‎M icro‎s oft ‎网络服务器‎:数字签‎字的通信(‎若客户同意‎)已停用‎Micr‎o soft‎网络服务‎器: 数字‎签字的通信‎(总是)‎已停用M‎i cros‎o ft 网‎络服务器:‎在挂起会‎话之前所需‎的空闲时间‎15 分‎钟Mic‎r osof‎t网络客‎户: 发送‎未加密的密‎码到第三方‎SMB ‎服务器。

‎已停用M‎i cros‎o ft 网‎络客户: ‎数字签字的‎通信(若服‎务器同意)‎已启用‎M icro‎s oft ‎网络客户:‎数字签字‎的通信(总‎是)已停‎用故障恢‎复控制台:‎允许对所‎有驱动器和‎文件夹进行‎软盘复制和‎访问已停‎用故障恢‎复控制台:‎允许自动‎系统管理级‎登录已停‎用关机:‎清理虚拟‎内存页面文‎件已停用‎关机: ‎允许在未登‎录前关机‎已启用交‎互式登录:‎不显示上‎次的用户名‎已停用‎交互式登录‎:不需要‎按 CTR‎L+ALT‎+DEL ‎没有定义‎交互式登录‎:会话锁‎定时显示用‎户信息没‎有定义交‎互式登录:‎可被缓冲‎保存的前次‎登录个数‎(在域控制‎器不可用的‎情况下) ‎10 次登‎录交互式‎登录: 要‎求域控制器‎身份验证以‎脱离工作站‎已停用‎交互式登录‎:要求智‎能卡没有‎定义交互‎式登录: ‎用户试图登‎录时消息标‎题没有定‎义交互式‎登录: 用‎户试图登录‎时消息文字‎交互式‎登录: 在‎密码到期前‎提示用户更‎改密码1‎4天交‎互式登录:‎智能卡移‎除操作无‎操作设备‎:防止用‎户安装打印‎机驱动程序‎已停用‎设备: 未‎签名驱动程‎序的安装操‎作默认继‎续设备‎:允许不‎登录脱离‎已启用设‎备: 允许‎格式化和弹‎出可移动媒‎体Adm‎i nist‎r ator‎s设备:‎只有本地‎登录的用户‎才能访问‎C D-RO‎M已停用‎设备: ‎只有本地登‎录的用户才‎能访问软盘‎已停用‎审计: 对‎备份和还原‎权限的使用‎进行审计‎已停用审‎计: 对全‎局系统对象‎的访问进行‎审计已停‎用审计:‎如果无法‎纪录安全审‎计则立即关‎闭系统已‎停用网络‎安全: L‎A N Ma‎n ager‎身份验证‎级别发送‎LM &‎NTLM‎响应网‎络安全: ‎L DAP ‎客户签名要‎求协商签‎名网络安‎全: 不要‎在下次更改‎密码时存储‎LAN ‎M anag‎e r 的‎H ash ‎值已停用‎网络安全‎:在超过‎登录时间后‎强制注销‎已停用网‎络安全设置‎:基于‎N TLM ‎S SP(包‎括安全 R‎P C)服务‎器的最小会‎话安全没‎有最小网‎络安全设置‎:基于‎N TLM ‎S SP(包‎括安全 R‎P C)客户‎的最小会话‎安全没有‎最小网络‎访问: 本‎地帐户的共‎享和安全模‎式经典‎-本地用‎户以自己的‎身份验证‎网络访问:‎不允许‎S AM 帐‎户的匿名枚‎举已启用‎网络访问‎:不允许‎SAM ‎帐户和共享‎的匿名枚举‎已停用‎网络访问:‎不允许为‎网络身份验‎证储存凭据‎或 .NE‎T Pas‎s port‎s已停用‎网络访问‎:可匿名‎访问的共享‎COMC‎F G,DF‎S$网络‎访问: 可‎匿名访问的‎命名管道‎C OMNA‎P,COM‎N ODE,‎S QL\Q‎U ERY,‎S POOL‎S S,LL‎S RPC,‎b rows‎e r网络‎访问: 可‎远程访问的‎注册表路径‎Syst‎e m\Cu‎r rent‎C ontr‎o lSet‎\Cont‎r ol\P‎r oduc‎t Opti‎o ns,S‎y stem‎\Curr‎e ntCo‎n trol‎S et\C‎o ntro‎l\Pri‎n t\Pr‎i nter‎s,Sys‎t em\C‎u rren‎t Cont‎r olSe‎t\Con‎t rol\‎S erve‎rApp‎l icat‎i ons,‎S yste‎m\Cur‎r entC‎o ntro‎l Set\‎S ervi‎c es\E‎v entl‎o g,So‎f twar‎e\Mic‎r osof‎t\OLA‎P Ser‎v er,S‎o ftwa‎r e\Mi‎c roso‎f t\Wi‎n dows‎NT\C‎u rren‎t Vers‎i on,S‎y stem‎\Curr‎e ntCo‎n trol‎S et\C‎o ntro‎l\Con‎t entI‎n dex,‎S yste‎m\Cur‎r entC‎o n tro‎l Set\‎C ontr‎o l\Te‎r mina‎l Ser‎v er,S‎y stem‎\Curr‎e ntCo‎n trol‎S et\C‎o ntro‎l\Ter‎m inal‎Serv‎e r\Us‎e rCon‎f ig,S‎y stem‎\Curr‎e ntCo‎n trol‎S et\C‎o ntro‎l\Ter‎m inal‎Serv‎e r\De‎f ault‎U serC‎o nfig‎u rati‎o n网络‎访问: 让‎“每个人”‎权限应用于‎匿名用户‎已停用网‎络访问: ‎允许匿名‎S ID/名‎称转换‎已停用系‎统对象: ‎对非 Wi‎n dows‎子系统不‎要求区分大‎小写已启‎用系统对‎象: 由‎A dmin‎i stra‎t ors ‎组成员所创‎建的对象默‎认所有者‎O bjec‎t cre‎a tor‎系统对象:‎增强内部‎系统对象的‎默认权限‎(例如 S‎y mbol‎i c Li‎n ks) ‎已启用系‎统加密: ‎使用 FI‎P S 兼容‎的算法来加‎密,散列和‎签名已停‎用域成员‎:对安全‎通道数据进‎行数字加密‎(如果可‎能) 已启‎用域成员‎:对安全‎通道数据进‎行数字加密‎或签名 (‎总是) 已‎启用域成‎员: 对安‎全通道数据‎进行数字签‎名 (如果‎可能) 已‎启用域成‎员: 需要‎强 (Wi‎n dows‎2000‎或以上版‎本) 会话‎密钥已停‎用域控制‎器: LD‎A P 服务‎器签名要求‎没有定义‎域控制器‎:禁用更‎改机器帐户‎密码已停‎用域控制‎器: 拒绝‎更改机器帐‎户密码没‎有定义域‎控制器: ‎允许服务器‎操作员计划‎任务没有‎定义域控‎制器: 最‎长机器帐户‎密码寿命‎30 天‎帐户: 管‎理员帐户状‎态已启用‎帐户: ‎来宾帐户状‎态已停用‎帐户: ‎使用空白密‎码的本地帐‎户只允许进‎行控制台登‎录已启用‎帐户: ‎重命名来宾‎帐户Gu‎e st帐‎户: 重命‎名系统管理‎员帐户u‎s er‎。

组策略与安全设置

组策略与安全设置

组策略与安全设置系统管理员可以通过组策略的强大功能,来充分管理网络用户与计算机的工作环境,从而减轻网络管理的负担。

组策略概述组策略是一个能够让系统管理员充分管理用户工作环境的功能,通过它来确保用户拥有应有的工作环境,也通过他来限制用户。

因此,不但可以让用户拥有适当的环境,也可以减轻系统管理员的管理负担。

组策略包含计算机配置与用户配置两部分。

计算机配置仅对计算机环境产生影响,而用户设置只对用户环境有影响。

可以通过以下两个方法来设置组策略。

●本地计算机策略:可以用来设置单一计算机的策略,这个策略内的计算机配置只会背应用到这台计算机,而用户设置会被应用到在此计算机登陆的所有用户。

●域的组策略:在域内可以针对站点,域或组织单位来设置组策略,其中,域组策略内的设置会被应用到域内的所有计算机与用户,而组织单位的组策略会被应用到该组织单位内的所有计算机与用户。

对添加域的计算机来说,如果其本地计算机策略的设置与域或组织单位的组策略设置发生冲突,则以域或组织单位组策略的设置优先,也就是此时本地计算机策略的设置值无效。

本地计算机策略实例演示以下利用未加入域的计算机来练习本地计算机策略,以免受到域策略的干扰,造成本地计算机策略的设置无效,因而影响到验证实验结果。

计算机配置实例演示当我们要将Windows Server2012 计算机关机时,系统会要求我们提供关机的理由,以下实例完成后,系统就不会在要求你说明关机理由了。

开始运行中输入gpedit.msc-计算机配置-管理模板-系统-显示“关闭事件跟踪程序“-单击已禁用以后关机或重启计算机时,系统都不会再询问了。

注:请不要随意更改计算机配置,以免更改可能影响系统正常运行的设置值。

用户配置实例演示以下通过本地计算机策略来限制用户工作环境:删除客户端浏览器IE内Internet选项的安全和连接标签。

也就是经过以下设置后,浏览器内的安全和连接标签消失了。

用户配置-管理模板-windows组件-IE-ie控制面板-禁用连接页和禁用安全页设置为启用,此设置会立即应用到所有用户。

用户权限分配、安全选项、本地组策略设置

用户权限分配、安全选项、本地组策略设置

1、用户权限分配
通过用户权限分配,可以为某些用户和组授予或拒绝一些特殊的权限,如更改系统时间,拒
绝本地登录等
下列表中列出了一些常用的用户权限分配中的安全策略
策略
说明 从网络访问计算机
拒绝从网络访问这台
计算机
默认情况下任何用户都可以从网络访问计算机,可以根据实际需要撤销某用户或某组账户从网络访问计算机的权限 如果某些用户只在本地使用,不允许其通过网络访问此计算机,就可以再此策略的设置中加入该用户
2、安全选项
通过本地策略中的安全选项,可以控制一些和操作系统安全相关的设置,安全选项如下图所示:
注意:要使本地安全策略生效,需要运行“gpupdate"命令或者重启计算机2、本地组策略
在“开始”菜单-运行“gpedit.msc”命令打开本地组策略编辑器
注意:针对计算机设置的策略,只对计算机生效,需要重启计算机针对用户做的策略,只对用户生效!。

组策略设置系列篇之“安全选项”

组策略设置系列篇之“安全选项”
此策略设置确定在超过用户帐户的有效登录时间后,是否要断开连接到本地计算机的用户。此设置影响SMB组件。如果启用此策略设置,会在客户端的登录时间用完时断开与SMB服务器的客户端会话。如果禁用此策略设置,已建立的客户端会话在超过客户端登录时间后继续进行。
“网络安全:在超过登录时间后强制注销”设置的可能值为:
“网络安全:LAN Manager身份验证级别”设置的可能值为
:•发送LM和NTLM响应•发送LM和NTLM -若协商使用NTLMv2会话安全•仅发送NTLM响应•仅发送NTLMv2响应•仅发送NTLMv2响应\拒绝LM•仅发送NTLMv2响应\拒绝LM和NTLM•没有定义“网络安全:LAN Manager身份验证级别”设置确定将哪些质询/响应身份验证协议用于网络登录。此选项影响客户端使用的身份验证协议级别、计算机所协商的会话安全级别以及服务器所接受的身份验证级别,如下所示:•发送LM和NTLM响应。客户端使用LM和NTLM身份验证,从不使用NTLMv2会话安全性。域控制器接受LM、NTLM和NTLMv2身份验证。•发送LM和NTLM -若协商使用NTLMv2会话安全。客户端使用LM和NTLM身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器接受LM、NTLM和NTLMv2身份验证。•仅发送NTLM响应。客户端只使用NTLM身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器接受LM、NTLM和NTLMv2身份验证。•仅发送NTLMv2响应。客户端仅使用NTLMv2身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器接受LM、NTLM和NTLMv2身份验证。•仅发送NTLMv2响应\拒绝LM。客户端仅使用NTLMv2身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器拒绝LM(只接受NTLM和NTLMv2身份验证)。•仅发送NTLMv2响应\拒绝LM和NTLM。客户端仅使用NTLMv2身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器拒绝LM和NTLM(只接受NTLMv2身份验证)。这些设置与其他Microsoft文档中讨论的级别相对应,如下所示:•级别0–发送LM和NTLM响应;从不使用NTLMv2会话安全。客户端使用LM和NTLM身份验证,从不使用NTLMv2会话安全。域控制器接受LM、NTLM和NTLMv2身份验证。•级别1–若协商使用NTLMv2会话安全。客户端使用LM和NTLM身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器接受LM、NTLM和NTLMv2身份验证。•级别2–仅发送NTLM响应。客户端只使用NTLM身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器接受LM、NTLM和NTLMv2身份验证。•级别3–仅发送NTLMv2响应。客户端使用NTLMv2身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器接受LM、NTLM和NTLMv2身份验证。•级别4–域控制器拒绝LM响应。客户端使用NTLM身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器拒绝LM身份验证,即,它们接受NTLM和NTLMv2。•级别5–域控制器拒绝LM和NTLM响应(只接受NTLMv2)。客户端使用NTLMv2身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器拒绝NTLM和LM身份验证(它们只接受NTLMv2)。漏洞:Windows 2000、Windows Server 2003和Windows XP客户端在默认情况下均配置为发送LM和NTLM身份验证响应(Windows 9x客户端只发送LM)。服务器的默认设置允许所有的客户端都向服务器验证身份并使用服务器上的资源。但是,这意味着LM响应(一种最弱的身份验证响应)通过网络进行发送,而且攻击者有可能嗅探该通信,以便更容易地再现用户的密码。

组策略设置系列之“安全选项”

组策略设置系列之“安全选项”
本地策略
包括审计、系统访问控制和安全选项等设置,用于控 制对资源的访问和系统安全。
事件日志
用于配置日志记录的详细程度和日志文件的存储位置 。
安全设置的应用范围
01
安全设置可以应用于计算机或用户组,根据需要选 择相应的应用范围。
02
在组策略编辑器中,可以选择“计算机配置”或“ 用户配置”来应用相应的安全设置。
软件限制策略的应用场景
控制用户安装未知来源的 软件
通过配置软件限制策略,管理员可以阻止用 户安装来自不受信任的来源的软件,从而提 高系统的安全性。
防止恶意软件的传播
通过阻止恶意软件的安装和运行,软件限制策略有 助于防止恶意软件对系统的侵害。
保护企业数据的安全
在企业环境中,管理员可以配置软件限制策 略来限制员工安装和使用某些可能威胁企业 数据安全的软件。
密码策略
密码长度和复杂性要求
为了增强帐户安全性,可以设置密码的最小长度和必须包含的字 符类型(例如大写字母、小写字母、数字和特殊字符)。
密码过期策略
可以设置密码的有效期限,到期后要求用户更改密码。
密码重用限制
限制用户不能使用以前用过的密码,以减少密码猜测的尝试。
账户策略的配置步骤
打开组策略编辑器:在“运行”对话框 中输入“gpedit.msc”,打开组策略编 辑器。
组策略在Windows系统中的作用
• 组策略在Windows系统中扮演着至关重要 的作用,它提供了集中化的管理和配置功 能,使得管理员可以更加高效地维护和保 护网络中的计算机。通过组策略,管理员 可以实施安全策略、软件安装和配置、桌 面环境定制等,从而确保系统的安全性和 稳定性。
02
组策略安全设置概述
教育机构
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

组策略设置系列篇之“安全选项”-1
设置, 选项
组策略的“安全选项”部分启用或禁用数字数据签名、Administrator 和 Guest 帐户名、软盘驱动器和 CD-ROM 驱动器的访问、驱动程序安装操作和登录提示的计算机安全设置。

安全选项设置
您能够在组策略对象编辑器的下列位置配置安全选项设置:计算机配置\Windows 设置\安全设置\
本地策略\安全选项
帐户:治理员帐户状态
此策略设置启用或禁用 Administrator 帐户的正常操作条件。

假如以安全模式启动计算机,Administrator 帐户总是处于启用状态,而与如何配置此策略设置无关。

“帐户:治理员帐户状态”设置的可能值为:•
已启用

已禁用

没有定义
漏洞:在某些组织中,维持定期更改本地帐户的密码这项常规打算可能会是专门大的治理挑战。

因此,您可能需要禁用内置的Administrator 帐户,而不是依靠常规密码更改来爱护其免受攻击。

需要禁用此内置帐户的另一个缘故确实是,不管通过多少次登录失败它都可不能被锁定,这使得它成为强力攻击(尝试推测密码)的要紧目标。

另外,此帐户还有一个众所周知的安全标识符 (SID),而且第三方工具同意使用 SID 而非帐户名来进行身份验证。

此功能意味着,即使您重命名 Administrator 帐户,攻击者也可能使用该 SID 登录来发起强力攻击。

对策:将“帐户:治理员帐户状态”设置配置为“已禁用”,以便在正常的系统启动中不能再使用内置的 Administrator 帐户。

潜在阻碍:假如禁用 Administrator 帐户,在某些情况下可能会造成维护问题。

例如,在域环境中,假如成员计算机和域操纵器间的安全通道因任何缘故而失败,而且没有其他本地Administrator 帐户,则您必须以安全模式重新启动才能修复那个中断安全通道的问题。

假如当前的Administrator 密码不满足密码要求,则Administrator 帐户被禁用之后,无法重新启用。

假如出现这种情况,Administrators 组的另一个成员必须使用“本地用户和组”工具来为该 Administrator 帐户设置密码。

帐户:来宾帐户状态
此策略设置确定是启用依旧禁用来宾帐户。

“帐户:来宾帐户状态”设置的可能值为:•
已启用

已禁用

没有定义
漏洞:默认 Guest 帐户同意未经身份验证的网络用户以没有密码的 Guest 身份登录。

这些未经授权的用户能够通过网络访问Guest 帐户可访问的任何资源。

此功能意味着任何具有同意Guest 帐户、Guests 组或 Everyone 组进行访问的权限的网络共享资源,都能够通过网络对其进行访问,这可能导致数据暴露或损坏。

对策:将“帐户:来宾帐户状态”设置配置为“已禁用”,以便内置的 Guest 帐户不再可用。

潜在阻碍:所有的网络用户都将必须先进行身份验证,才能访问共享资源。

假如禁用 Guest 帐户,同时“网络访问:共享和安全模式”选项设置为“仅来宾”,则那些由 Microsoft 网络服务器(SMB 服务)执行的网络登录将失败。

关于大多数组织来讲,此策略设置的阻碍应该会专门小,因为它是Microsoft Windows® 2000、Windows XP 和 Windows Server™ 2003 中的默认设置。

帐户:使用空白密码的本地帐户只同意进行操纵台登录
此策略设置确定是否同意使用空白密码的本地帐户通过网络服务(如终端服务、Telnet 和文件传输协议 (FTP))进行远程交互式登录。

假如启用此策略设置,则本地帐户必须有一个非空密码,才能从远程客户端执行交互式或网络登录。

“帐户:使用空白密码的本地帐户只同意进行操纵台登录”设置的可能值为:

已启用

已禁用

没有定义
注意:此策略设置不阻碍在操纵台上以物理方式执行的交互式登录,也不阻碍使用域帐户的登录。

警告:使用远程交互式登录的第三方应用程序有可能跃过此策略设置。

漏洞:空白密码会对计算机安全造成严峻威胁,应当通过组织的策略和适当的技术措施来禁止。

实际上,Windows Server 2003 Active Directory®目录服务域的默认设置需要至少包含七个字符的复杂密码。

然而,假如能够创建新帐户的用户跃过基于域的密码策略,则他们能够创建具有空白密码的帐户。

例如,某个用户能够构建一个独立的计算机,创建一个或多个具有空白密码的帐户,然后将该计算机加入到域中。

具有空白密码的本地帐户仍将正常工作。

任何人假如明白其中一个未受爱护的帐户的名称,都能够用它来登录。

对策:启用“帐户:使用空白密码的本地帐户只同意进行操纵台登录”设置。

潜在阻碍:无。

这是默认配置。

帐户:重命名系统治理员帐户
此策略设置确定另一个帐户名是否与 Administrator 帐户的SID 相关联。

“帐户:重命名系统治理员帐户”设置的可能值为:

用户定义的文本

没有定义
漏洞:Administrator 帐户存在于运行 Windows 2000、Windows Server 2003 或 Windows XP Professional 操作系统的所有计算机上。

假如重命名此帐户,会使未经授权的人员更难推测那个具有特权的用户名和密码组合。

不管攻击者可能使用多少次错误密码,内置的 Administrator 帐户都不能被锁定。

此功能使得 Administrator 帐户成为强力攻击(尝试推测密码)的常见目标。

那个对策的价值之因此减少,是因为此帐户有一个众所周知的 SID,而且第三方工具同意使用SID 而非帐户名来进行身份验证。

因此,即使您重命名Administrator 帐户,攻击者也可能会使用该 SID 来登录以发起强力攻击。

对策:在“帐户:重命名系统治理员帐户”设置中指定一个新名称,以重命名 Administrator 帐户。

注意:在后面的章节中,此策略设置既未在安全模板中进行配置,
也不是本指南所建议帐户的新用户名。

模板中忽略了这项策略设置,如此做是为了让使用本指南的众多组织将不在其环境中实现同样的新用户名。

潜在阻碍:您必须将那个新帐户名通知给授权使用此帐户的用户。

(有关此设置的指导假定 Administrator 帐户没有被禁用,这是本章前面建议的设置。


帐户:重命名来宾帐户
“帐户:重命名来宾帐户”设置确定另一个帐户名是否与 Guest 帐户的 SID 相关联。

此组策略设置的可能值为:

用户定义的文本

没有定义
漏洞:Guest 帐户存在于运行 Windows 2000、Windows Server 2003 或 Windows XP Professional 操作系统的所有计算机上。

相关文档
最新文档