你可以在採用Windows XP、2000和Server 2003操作系統的本地計算機上使用這些方法,或者在Server 2003和2000中的OU域名級上使用這些方法。爲了簡明扼要和提供最新的信息,我準備介紹一下如何設置基於Windows Server 2003的域名。請記住,這些只是你在你的域名中能夠設置的組策略對象中最有可能出現問題的。按照我的觀點,這些設置可以保持或者破壞Windows的安全。而且由於設置的不同,你的進展也不同。因此,我鼓勵你在使用每一個設置之前都進行深入的研究,以確保這些設置能夠兼容你的網絡。如果有可能的話,對這些設置進行試驗(如果你很幸運有一個測試環境的話)。
如果你沒有進行測試,我建議你下載和安裝微軟的組策略管理控制檯(GPMC)來做這些改變。這個程序能夠把組策略管理任務集中到一個單一的界面讓你更全面地查看你的域名。要開始這個編輯流程,你就上載GPMC,擴展你的域名,用鼠標右鍵點擊“缺省域名策略”,然後選擇“編輯”。這樣就裝載了組策略對象編輯器。如果你要以更快的速度或者“次企業級”的方式編輯你的域名組策略對象,你可以在“開始”菜單中運行“gpedit.msc”。
1.確定一個缺省的口令策略,使你的機構設置位於“計算機配置/Windows設置/安全設置/賬號策略/口令策略”之下。
2.爲了防止自動口令破解,在“計算機配置/Windows設置/安全設置/賬號策略/賬號關閉策略”中進行如下設置:
·賬號關閉持續時間(確定至少5-10分鐘)
·賬號關閉極限(確定最多允許5至10次非法登錄)
·隨後重新啓動關閉的賬號(確定至少10-15分鐘以後)
3.在“計算機配置/Windows設置/安全設置/本地策略/檢查策略”中啓用如下功能:
·檢查賬號管理
·檢查登錄事件
·檢查策略改變
·檢查權限使用
·檢查系統事件
理想的情況是,你要啓用記錄成功和失敗的登錄。但是,這取決於你要保留什麼類型的記錄以及你是否能夠管理這些記錄。Roberta Bragg在這裏介紹了一些普通的檢查記錄設置。要記住,啓用每一種類型的記錄都需要你的系統處理器和硬盤提供更多的資源。
4.作爲增強Windows安全的最佳做法和爲***者設置更多的障礙以減少對Windows的***,你可以在“計算機配置/Windows設置/安全設置/本地策略/安全選項”中進行如下設置:
·賬號:重新命名管理員賬號--不是要求更有效而是增加一個安全層(確定一個新名字)
·賬號:重新命名客戶賬號(確定一個新名字)
·交互式登錄:不要顯示最後一個用戶的名字(設置爲啓用)
·交互式登錄:不需要最後一個用戶的名字(設置爲關閉)
·交互式登錄: 爲企圖登錄的用戶提供一個消息文本(確定爲讓用戶閱讀banner text(旗幟文本),內容大致爲“這是專用和受控的系統。
如果你濫用本系統,你將受到制裁。--首先讓你的律師運行這個程序)
·交互式登錄: 爲企圖登錄的用戶提供的消息題目--在警告!!!後面寫的東西
·網絡接入:不允許SAM賬號和共享目錄(設置爲“啓用”)
·網絡接入:將“允許每一個人申請匿名用戶”設置爲關閉
·網絡安全:“不得存儲局域網管理員關於下一個口令變化的散列值”設置爲“啓用”
·關機:“允許系統在沒有登錄的情況下關閉”設置爲“關閉”
·關機:“清除虛擬內存的頁面文件”設置爲“啓用”
如果你沒有Windows Server 2003域名控制器,你在這裏可以找到有哪些Windows XP本地安全設置的細節,以及這裏有哪些詳細的Windows 2000 Server組策略的設置。要了解更多的有關Windows Server 2003組策略的信息,請查看微軟的專門網頁。
如果你沒有進行測試,我建議你下載和安裝微軟的組策略管理控制檯(GPMC)來做這些改變。這個程序能夠把組策略管理任務集中到一個單一的界面讓你更全面地查看你的域名。要開始這個編輯流程,你就上載GPMC,擴展你的域名,用鼠標右鍵點擊“缺省域名策略”,然後選擇“編輯”。這樣就裝載了組策略對象編輯器。如果你要以更快的速度或者“次企業級”的方式編輯你的域名組策略對象,你可以在“開始”菜單中運行“gpedit.msc”。
1.確定一個缺省的口令策略,使你的機構設置位於“計算機配置/Windows設置/安全設置/賬號策略/口令策略”之下。
2.爲了防止自動口令破解,在“計算機配置/Windows設置/安全設置/賬號策略/賬號關閉策略”中進行如下設置:
·賬號關閉持續時間(確定至少5-10分鐘)
·賬號關閉極限(確定最多允許5至10次非法登錄)
·隨後重新啓動關閉的賬號(確定至少10-15分鐘以後)
3.在“計算機配置/Windows設置/安全設置/本地策略/檢查策略”中啓用如下功能:
·檢查賬號管理
·檢查登錄事件
·檢查策略改變
·檢查權限使用
·檢查系統事件
理想的情況是,你要啓用記錄成功和失敗的登錄。但是,這取決於你要保留什麼類型的記錄以及你是否能夠管理這些記錄。Roberta Bragg在這裏介紹了一些普通的檢查記錄設置。要記住,啓用每一種類型的記錄都需要你的系統處理器和硬盤提供更多的資源。
4.作爲增強Windows安全的最佳做法和爲***者設置更多的障礙以減少對Windows的***,你可以在“計算機配置/Windows設置/安全設置/本地策略/安全選項”中進行如下設置:
·賬號:重新命名管理員賬號--不是要求更有效而是增加一個安全層(確定一個新名字)
·賬號:重新命名客戶賬號(確定一個新名字)
·交互式登錄:不要顯示最後一個用戶的名字(設置爲啓用)
·交互式登錄:不需要最後一個用戶的名字(設置爲關閉)
·交互式登錄: 爲企圖登錄的用戶提供一個消息文本(確定爲讓用戶閱讀banner text(旗幟文本),內容大致爲“這是專用和受控的系統。
如果你濫用本系統,你將受到制裁。--首先讓你的律師運行這個程序)
·交互式登錄: 爲企圖登錄的用戶提供的消息題目--在警告!!!後面寫的東西
·網絡接入:不允許SAM賬號和共享目錄(設置爲“啓用”)
·網絡接入:將“允許每一個人申請匿名用戶”設置爲關閉
·網絡安全:“不得存儲局域網管理員關於下一個口令變化的散列值”設置爲“啓用”
·關機:“允許系統在沒有登錄的情況下關閉”設置爲“關閉”
·關機:“清除虛擬內存的頁面文件”設置爲“啓用”
如果你沒有Windows Server 2003域名控制器,你在這裏可以找到有哪些Windows XP本地安全設置的細節,以及這裏有哪些詳細的Windows 2000 Server組策略的設置。要了解更多的有關Windows Server 2003組策略的信息,請查看微軟的專門網頁。