坚固Windows组策略 有效禁止黑客

核心提示：你可以在采取Windows XP、2000和Server 2003操纵系统的本地计算机上使用这些方法，或在Server 2003和2000中的OU域名级上使用这些方法。

你可以在采取Windows XP、2000和Server 2003操纵系统的本地计算机上使用这些方法，或在Server 2003和2000中的OU域名级上使用这些方法。为了简明扼要和提供最新的信息，我豫备先容1下如何设置基于Windows Server 2003的域名。请记住，这些只是你在你的域名中能够设置的组策略对象中最有可能出现题目的。依照我的观点，这些设置可以保持或破坏Windows的安全。而且由于设置的不同，你的进展也不同。因此，我鼓励你在使用每1个设置之前都进行深进的研究，以确保这些设置能够兼容你的网络。假设有可能的话，对这些设置进行实验(假设你很荣幸有1个测试环境的话)。

假设你没有进行测试，我建议你下载和安装微软的组策略治理控制台(GPMC)来做这些改变。这个程序能够把组策略治理任务集中到1个单1的界面让你更全面地查看你的域名。要开始这个编辑流程，你就上载GPMC，扩大你的域名，用鼠标右键点击“缺省域名策略”，然后选择“编辑”。这样就装载了组策略对象编辑器。假设你要以更快的速度或“次企业级”的方式编辑你的域名组策略对象，你可以在“开始”菜单中运行“gpedit.msc”。

1.肯定1个缺省的口令策略，使你的机构设置位于“计算机配置/Windows设置/安全设置/账号策略/口令策略”之下。

2.为了避免自动口令破解，在“计算机配置/Windows设置/安全设置/账号策略/账号封闭策略”中进行以下设置：

账号封闭延续时间(肯定最少5⑴0分钟)

账号封闭极限(肯定最多答应5至10次非法登录)

随后重新启动封闭的账号(肯定最少10⑴5分钟以后)

3.在“计算机配置/Windows设置/安全设置/本地策略/检查策略”中启用以下功能：

检查账号治理

检查策略改变

检查权限使用

检查系统事件

理想的情况是，你要启用记录成功和失败的登录。但是，这取决于你要保存甚么类型的记录和你是否是能够治理这些记录。Roberta Bragg在这里先容了1些普通的检查记录设置。要记住，启用每1种类型的记录都需要你的系统处理器和硬盘提供更多的资源。

4.作为增强Windows安全的最好做法和为攻击者设置更多的障碍以减少对Windows的攻击，你可以在“计算机配置/Windows设置/安全设置/本地策略/安全选项”中进行以下设置：

账号：重新命名治理员账号--不是要求更有效而是增加1个安全层(肯定1个新名字)

账号：重新命名客户账号(肯定1个新名字)

交互式登录：不要显示最后1个用户的名字(设置为启用)

交互式登录：不需要最后1个用户的名字(设置为封闭)

交互式登录： 为企图登录的用户提供1个消息文本(肯定为让用户浏览banner text(旗帜文本)，内容大致为“这是专用和受控的系统。假设你滥用本系统，你将遭到制裁。--首先让你的律师运行这个程序”)

交互式登录： 为企图登录的用户提供的消息题目--在正告!!!后面写的东西

网络接进：不答应SAM账号和共享目录(设置为“启用”)

网络接进：将“答应每1个人申请匿名用户”设置为封闭

网络安全：“不得存储局域网治理员关于下1个口令变化的散列值”设置为“启用”

关机：“答应系统在没有登录的情况下封闭”设置为“封闭”

关机：“清除虚拟内存的页面文件”设置为“启用”

假设你没有Windows Server 2003域名控制器，你在这里可以找到有哪些Windows XP本地安全设置的细节，和这里有哪些具体的Windows 2000 Server组策略的设置。要了解更多的有关Windows Server 2003组策略的信息，请查看微软的专门网页。

评论加载中... 内容： 评论者： 验证码：