就现在的微软系统而言,WIN7和VISTA已经越来越成为主流,但是就一些不想升级换代系统的用户而言,现在的系统还是很实用。如何更安全的用好现在现有的系统呢,像XP、2000和Server 2003等等这些微软以前出的。
这里呢,我们简单的介绍一下什么是微软的组策略管理控制台GPMC。这个程序能够把组策略管理任务集中到一个单一的界面让你更全面地查看你的域名。下面简单给大家讲解一下这个东西的好处和如何去用。
要开始这个编辑流程,你就上载GPMC,扩展你的域名,用鼠标右键点击“缺省域名策略”,然后选择“编辑”。这样就装载了组策略对象编辑器。如果你要以更快的速度或者“次企业级”的方式编辑你的域名组策略对象,你可以在“开始”菜单中运行“gpedit.msc”。
1.确定一个缺省的口令策略,使你的机构设置位于“计算机配置/Windows设置/安全设置/账号策略/口令策略”之下。
2.为了防止自动口令破解,在“计算机配置/Windows设置/安全设置/账号策略/账号关闭策略”中进行如下设置:
账号关闭持续时间(确定至少5-10分钟)
账号关闭极限(确定最多允许5至10次非法登录)
随后重新启动关闭的账号(确定至少10-15分钟以后)
3.在“计算机配置/Windows设置/安全设置/本地策略/检查策略”中启用如下功能:
检查账号管理
检查策略改变
检查权限使用
检查系统事件
理想的情况是,你要启用记录成功和失败的登录。但是,这取决于你要保留什么类型的记录以及你是否能够管理这些记录。Roberta Bragg在这里介绍了一些普通的检查记录设置。要记住,启用每一种类型的记录都需要你的系统处理器和硬盘提供更多的资源。
4.作为增强Windows安全的最佳做法和为攻击者设置更多的障碍以减少对Windows的攻击,你可以在“计算机配置/Windows设置/安全设置/本地策略/安全选项”中进行如下设置:
账号:重新命名管理员账号--不是要求更有效而是增加一个安全层(确定一个新名字)
账号:重新命名客户账号(确定一个新名字)
交互式登录:不要显示最后一个用户的名字(设置为启用)
交互式登录:不需要最后一个用户的名字(设置为关闭)
交互式登录: 为企图登录的用户提供一个消息文本(确定为让用户阅读banner text(旗帜文本),内容大致为“这是专用和受控的系统。如果你滥用本系统,你将受到制裁。--首先让你的律师运行这个程序”)
交互式登录: 为企图登录的用户提供的消息题目
网络接入:不允许SAM账号和共享目录(设置为“启用”)
网络接入:将“允许每一个人申请匿名用户”设置为关闭
网络安全:“不得存储局域网管理员关于下一个口令变化的散列值”设置为“启用”
关机:“允许系统在没有登录的情况下关闭”设置为“关闭”
关机:“清除虚拟内存的页面文件”设置为“启用”
如果你没有Windows Server 2003域名控制器,你在这里可以找到有哪些Windows XP本地安全设置的细节,以及这里有哪些详细的Windows 2000 Server组策略的设置。
最后,以上是针对微软以前的系统的组策略的一些设置方法,如果您有什么更好的方法也欢迎到我们论坛发帖讨论和交流。
【编辑推荐】