返回
组策略设置系列之“安全选项”.doc

组策略设置系列之“安全选项”.doc

ID:49894796

大小:57.00 KB

页数:42页

时间:2020-03-05

组策略设置系列之“安全选项”.doc_第1页
组策略设置系列之“安全选项”.doc_第2页
组策略设置系列之“安全选项”.doc_第3页
组策略设置系列之“安全选项”.doc_第4页
组策略设置系列之“安全选项”.doc_第5页
资源描述:

《组策略设置系列之“安全选项”.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、组策略设置系列篇之“安全选项”-1设置,选项组策略的“安全选项”部分启用或禁用数字数据签名、Administrator和Guest帐户名、软盘驱动器和CD-ROM驱动器的访问、驱动程序安装操作和登录提示的计算机安全设置。安全选项设置您能够在组策略对象编辑器的下列位置配置安全选项设置:计算机配置Windows设置安全设置本地策略安全选项帐户:治理员帐户状态42/42此策略设置启用或禁用Administrator帐户的正常操作条件。假如以安全模式启动计算机,Administrator帐户总是处于启用状态,而与如何配置此策略设置无关。“帐户:治理员帐户状态”设置的可能值为:•已启用•已

2、禁用•没有定义漏洞:在某些组织中,维持定期更改本地帐户的密码这项常规打算可能会是专门大的治理挑战。因此,您可能需要禁用内置的Administrator帐户,而不是依靠常规密码更改来爱护其免受攻击。需要禁用此内置帐户的另一个缘故确实是,不管通过多少次登录失败它都可不能被锁定,这使得它成为强力攻击(尝试推测密码)的要紧目标。另外,此帐户还有一个众所周知的安全标识符(SID),而且第三方工具同意使用SID而非帐户名来进行身份验证。此功能意味着,即使您重命名Administrator帐户,攻击者也可能使用该SID登录来发起强力攻击。42/42对策:将“帐户:治理员帐户状态”设置配置为“已禁用”,

3、以便在正常的系统启动中不能再使用内置的Administrator帐户。潜在阻碍:假如禁用Administrator帐户,在某些情况下可能会造成维护问题。例如,在域环境中,假如成员计算机和域操纵器间的安全通道因任何缘故而失败,而且没有其他本地Administrator帐户,则您必须以安全模式重新启动才能修复那个中断安全通道的问题。假如当前的Administrator密码不满足密码要求,则Administrator帐户被禁用之后,无法重新启用。假如出现这种情况,Administrators组的另一个成员必须使用“本地用户和组”工具来为该Administrator帐户设置密码。帐户:来宾帐户状

4、态此策略设置确定是启用依旧禁用来宾帐户。“帐户:来宾帐户状态”设置的可能值为:•已启用•已禁用•42/42没有定义漏洞:默认Guest帐户同意未经身份验证的网络用户以没有密码的Guest身份登录。这些未经授权的用户能够通过网络访问Guest帐户可访问的任何资源。此功能意味着任何具有同意Guest帐户、Guests组或Everyone组进行访问的权限的网络共享资源,都能够通过网络对其进行访问,这可能导致数据暴露或损坏。对策:将“帐户:来宾帐户状态”设置配置为“已禁用”,以便内置的Guest帐户不再可用。潜在阻碍:所有的网络用户都将必须先进行身份验证,才能访问共享资源。假如禁用Guest帐户

5、,同时“网络访问:共享和安全模式”选项设置为“仅来宾”,则那些由Microsoft网络服务器(SMB服务)执行的网络登录将失败。关于大多数组织来讲,此策略设置的阻碍应该会专门小,因为它是MicrosoftWindows®2000、WindowsXP和WindowsServer™2003中的默认设置。帐户:使用空白密码的本地帐户只同意进行操纵台登录42/42此策略设置确定是否同意使用空白密码的本地帐户通过网络服务(如终端服务、Telnet和文件传输协议(FTP))进行远程交互式登录。假如启用此策略设置,则本地帐户必须有一个非空密码,才能从远程客户端执行交互式或网络登录。“帐户:使用空白密码

6、的本地帐户只同意进行操纵台登录”设置的可能值为:•已启用•已禁用•没有定义注意:此策略设置不阻碍在操纵台上以物理方式执行的交互式登录,也不阻碍使用域帐户的登录。警告:使用远程交互式登录的第三方应用程序有可能跃过此策略设置。漏洞:空白密码会对计算机安全造成严峻威胁,应当通过组织的策略和适当的技术措施来禁止。实际上,WindowsServer200342/42ActiveDirectory®目录服务域的默认设置需要至少包含七个字符的复杂密码。然而,假如能够创建新帐户的用户跃过基于域的密码策略,则他们能够创建具有空白密码的帐户。例如,某个用户能够构建一个独立的计算机,创建一个或多个具有空白密码

7、的帐户,然后将该计算机加入到域中。具有空白密码的本地帐户仍将正常工作。任何人假如明白其中一个未受爱护的帐户的名称,都能够用它来登录。对策:启用“帐户:使用空白密码的本地帐户只同意进行操纵台登录”设置。潜在阻碍:无。这是默认配置。帐户:重命名系统治理员帐户此策略设置确定另一个帐户名是否与Administrator帐户的SID相关联。“帐户:重命名系统治理员帐户”设置的可能值为:•用户定义的文本•没有定义42/42漏洞:Administ

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。