在本篇技术指南中
将概要介绍你如何修改最重要
组策略安全设置
你可以在采用Windows XP、2000和Server 2003操作系统
本地计算机上使用这些思路方法或者在Server 2003和2000中OU域名级上使用这些思路方法为了简明扼要和提供最新信息我准备介绍
下如何设置基于Windows Server 2003域名请记住这些只是你在你域名中能够设置组策略对象中最有可能出现问题按照我观点这些设置可以保持或者破坏Windows安全而且由于设置区别你进展也区别因此我鼓励你在使用每个设置的前都进行深入研究以确保这些设置能够兼容你网络如果有可能话对这些设置进行试验(如果你很幸运有个测试环境话)如果你没有进行测试
我建议你下载和安装微软组策略管理控制台(GPMC)来做这些改变这个
能够把组策略管理任务集中到个单界面让你更全面地查看你域名要开始这个编辑流程你就上载GPMC扩展你域名用鼠标右键点击“缺省域名策略”然后选择“编辑”这样就装载了组策略对象编辑器如果你要以更快速度或者“次企业级”方式编辑你域名组策略对象你可以在“开始”菜单中运行“gpedit.msc”1.确定
个缺省口令策略使你机构设置位于“计算机配置/Windows设置/安全设置/账号策略/口令策略”的下2.为了防止自动口令破解
在“计算机配置/Windows设置/安全设置/账号策略/账号关闭策略”中进行如下设置:· 账号关闭持续时间(确定至少5-10分钟)
· 账号关闭极限(确定最多允许5至10次非法登录)
· 随后重新启动关闭
账号(确定至少10-15分钟以后)3.在“计算机配置/Windows设置/安全设置/本地策略/检查策略”中启用如下功能:
· 检查账号管理
· 检查策略改变
· 检查权限使用
· 检查系统事件
理想
情况是你要启用记录成功和失败登录但是这取决于你要保留什么类型记录以及你是否能够管理这些记录Roberta Bragg在这里介绍了些普通检查记录设置要记住启用每种类型记录都需要你系统处理器和硬盘提供更多资源4.作为增强Windows安全
最佳做法和为攻击者设置更多障碍以减少对Windows攻击你可以在“计算机配置/Windows设置/安全设置/本地策略/安全选项”中进行如下设置:· 账号:重新命名管理员账号--不是要求更有效而是增加
个安全层(确定个新名字)· 账号:重新命名客户账号(确定
个新名字)· 交互式登录:不要显示最后
个用户名字(设置为启用)· 交互式登录:不需要最后
个用户名字(设置为关闭)·交互式登录: 为企图登录
用户提供个消息文本(确定为让用户阅读bann
最新评论