组策略设置系列篇之“安全选项”-2
选项, 设置
交互式登录:不显示上次的用户名
此策略设置确定“登录到Windows”对话框是否显示上次登录到该计算机的用户的名称。如果启用此策略设置,不显示上次成功登录的用户的名称。如果禁用此策略设置,则显示上次登录的用户的名称。
“交互式登录:不显示上次的用户名”设置的可能值为:
?
已启用
?
已禁用
?
没有定义
漏洞:能够访问控制台的攻击者(例如,能够物理访问的人或者能够通过终端服务连接到服务器的人)可以查看上次登录到服务器的用户的名称。攻击者随后可能尝试猜测密码,使用字典或者依靠强力攻击以试图登录。
对策:将“不显示上次的用户名”设置配置为“已启用”。
潜在影响:用户在登录服务器时,必须始终键入其用户名。
交互式登录:不需要按CTRL+ALT+DEL
此策略设置确定用户在登录前是否必须按Ctrl+Alt+Del。如果启用此策略设置,用户登录时无需按此组合键。如果禁用此策略设置,用户在登录到Windows 之前必须按Ctrl+Alt+Del,除非他们使用智能卡进行Windows 登录。智能卡是一种用来存储安全信息的防篡改设备。
“交互式登录:不需要按CTRL+ALT+DEL”设置的可能值为:
?
已启用
?
已禁用
?
没有定义
漏洞:Microsoft 之所以开发此功能,是为了更便于身体有某种残疾的用户登录到运行Windows 的计算机。如果不要求用户按Ctrl+Alt+Del,他们容易受到尝试截获其密码的攻击。如果要求用户在登录之前按Ctrl+Alt+Del,用户密码则会通过受信任路径进行通信。
攻击者可能会安装看似标准Windows 登录对话框的特洛伊木马程序,并捕获用户的密码。攻击者随后将能够使用该用户具有的特权级别登录到被侵入的帐户。
对策:将“不需要按CTRL+ALT+DEL”设置配置为“已禁用”。
潜在影响:除非用户使用智能卡进行登录,否则他们必须同时按这三个键,才能显示登录对话框。
交互式登录:用户试图登录时消息文字
“交互式登录:用户试图登录时消息文字”和“交互式登录:用户试图登录时消息标题”设置密切相关。第一个策略设置指定用户登录时显示给他们的消息文字,而第二个策略设置指定显示在包含消息文字的窗口的标题栏中的标题。许多组织将这些文本用于法律目的,例如,警告用户误用公司信息的后果,或者警告用户他们的操作可能被审核。
警告:Windows XP Professional 添加了如下支持:长度可以超过512 个字符、而且还可以包含回车换行序列的登录标题。但是,Windows 2000 客户端不能理解和显示这些消息。您必须使用Windows 2000 计算机创建适用于Windows 2000 计算机的登录消息策略。如果您无意中在Windows XP Professional 计算机上创建了一个登录消息策略,但是发现它不能在Windows 2000 计算机上正确地显示,请执行下列操作:
?将该设置重新配置为“没有定义”。?使用Windows 2000 计算机重新配置该设置。如果只是在Windows 2000 计算机上更改由Windows XP Professional 定义的登录消息设置,将不会奏效。必须首先将该设置重新配置为“没有定义”。
这些策略设置的可能值为:
?
用户定义的文本
?
没有定义
漏洞:在登录之前显示警告消息,可能有助于在攻击发生之前警告攻击者他们的不正当行为,从而防止攻击。可能还有助于通过在登录过程中通知员工相应策略来加强公司策略。
对策:将“用户试图登录时消息文字”和“用户试图登录时消息标题”设置配置为适合组织的相应值。
注意:所显示的任何警告消息应先经您所在组织的法律代表和人力资源代表的许可。
潜在影响:用户在登录到服务器控制台之前将看到对话框中的一则消息。
交互式登录:可被缓存的前次登录个数(在域控制器不可用的情况下)
此策略设置确定多少位不同用户可以使用缓存的帐户信息登录到Windows 域。域帐户的登录信息可以被本地缓存,以便在无法就后续登录联系域控制器时,用户仍可以登录。此策略设置可以确定其登录信息在本地缓存的唯一用户的个数。
如果某个域控制器不可用,某个用户的登录信息被缓存,则该用户会被提示以下消息:
不能联系您的域中的域控制器。您已经使用缓存的帐户信息登录。由于您上次登录的域控制器可能不可用,因此请更改您的配置文件。
如果某个域控制器不可用,某个用户的登录信息未被缓存,则该用户会被提示此消息:
现在不能登录该系统,因为<域名> 域不可用。
“交互式登录:可被缓存的前次登录个数(在域控制器不可用的情况下)”设置的可能值为:?
用户定义的数值,在0 至50 之间
?
没有定义
漏洞:分配给此策略设置的数字指出服务器将在本地缓存多少个用户的登录信息。如果该数字被设置为10,则服务器缓存10 个用户的登录信息。当第11 个用户登录到该计算机时,服务器会覆盖最旧的缓存登录会话。
访问服务器控制台的用户会将其登录凭据缓存到该服务器上。能够访问服务器文件系统的攻击者可以查找这个缓存信息,并使用强力攻击试图确定用户密码。
为减轻这种类型的攻击,Windows 加密该信息并将其分散在多个物理位置。
对策:将“交互式登录:可被缓存的前次登录个数(在域控制器不可用的情况下)”设置配置为0,可禁用在本地缓存登录信息。其他对策包括强制使用强密码策略并对计算机的位置进行物理保护。
潜在影响:如果用户无法向任何域控制器验证其身份,他们将无法登录任何计算机。对于最终用户计算机(尤其是移动用户),组织可能希望将此值配置为2。如果将此值配置为2,则意味着用户的登录信息仍将位于缓存中,即使IT 部门的某个成员最近登录过用户的计算机以执行系统维护时也是如此。此方法允许用户在未连接到组织网络时登录到他们的计算机。
交互式登录:在密码到期前提示用户更改密码
此策略设置确定提前多少天提醒用户其密码即将到期。有了这个提前警告,用户就有时间创建足够强的密码。
“交互式登录:在密码到期前提示用户更改密码”设置的可能值为:
?
用户定义的天数,介于 1 和999 之间
?
没有定义
漏洞:Microsoft 建议将用户密码配置为定期过期。用户将需要被提醒其密码即将过期,否则在其密码到期时他们可能会被无意中锁定在计算机外。此情况可能会导致用户在本地访问网络时造成混乱,或者使用户不能通过拨号或虚拟专用网络(VPN) 连接访问组织网络。
对策:将“交互式登录:在密码到期前提示用户更改密码”设置配置为14 天。
潜在影响:当用户的密码过期日期配置为14 天或更短时,用户在每次登录到域时都将看到一个对话框,提示其更改密码。
交互式登录:要求域控制器身份验证以解锁工作站
对已锁定的计算机进行解锁时需要登录信息。对于域帐户来说,“交互式登录:要求域控制器身份验证以解锁工作站”设置确定为了解锁计算机是否有必要联系域控制器。如果启用此设置,域控制器必须验证用来解锁计算机的域帐户的身份。如果禁用此设置,用户解锁计算机时域控制器并不需要登录信息确认。但是,如果将“交互式登录:可被缓存的前次登录个数(在域控制器不可用的情况下)”设置配置为大于零的值,则用户的缓存凭据将被用于解锁计算机。
注意:此设置可以应用于Windows 2000 计算机,但不能通过这些计算机上的“安全配置管理器”工具来使用。
“交互式登录:要求域控制器身份验证以解锁工作站”设置的可能值为:
?
已启用
?
已禁用
?
没有定义
漏洞:默认情况下,计算机将已通过身份验证的任何用户的凭据缓存在本地内存中。计算机使用这些缓存凭据来对尝试解锁控制台的任何人进行身份验证。如果使用缓存凭据,将不考虑或应用在验证帐户身份之后对帐户进行的任何最新更改(如用户权限分配、帐户锁定或禁用帐户)。不更新用户特权,而且更重要的是,被禁用的帐户仍能够解锁计算机的控制台。对策:将“交互式登录:要求域控制器身份验证以解锁工作站”设置配置为“已启用”,并将“交互式登录:可被缓存的前次登录个数(在域控制器不可用的情况下)”设置配置为0。潜在影响:如果某台计算机上的控制台由某个用户锁定,或者因屏幕保护程序超时而自动被锁定时,则只有当该用户重新向域控制器验证自己的身份时,该控制台才能被解锁。如果没有可用的域控制器,则用户不能解锁他们的工作站。如果将“交互式登录:可被缓存的前次登录个数(在域控制器不可用的情况下)”设置配置为0,其域控制器不可用的用户(如移动或远程用户)将不能登录。
交互式登录:要求智能卡
此策略设置要求用户使用智能卡登录计算机。
注意:此设置可以应用于Windows 2000 计算机,但不能通过这些计算机上的“安全配置管理器”工具来使用。
“交互式登录:要求智能卡”设置的可能值为:
?
已启用
?
已禁用
?
没有定义
漏洞:要求使用又长又复杂的密码进行身份验证可增强网络安全性,当用户必须定期更改其密码时尤其如此。此方法会减少攻击者通过强力攻击猜出用户密码的机会。但是,用户难以选择强密码,如果攻击者有足够时间和计算资源,即使是强密码也容易受到强力攻击。使用智能卡(而非密码)来进行身份验证会大大增强安全性,这是由于,当今的技术使攻击者几乎不可能模拟另一个用户。需要个人识别码(PIN) 的智能卡提供双因素身份验证。换句话说,用户必须既拥有智能卡又知道它的PIN。捕获到用户计算机和域控制器之间身份验证通信的攻击者会发现很难对该通信进行解密,而且即使他们进行了解密,用户在下次登录网络时,也会生成一个新的会话密钥,用来加密用户和域控制器之间的通信。
对策:对于敏感帐户,向用户颁发智能卡,并将“交互式登录:要求智能卡”设置配置为“已启用”。
潜在影响:所有的用户将必须使用智能卡登录网络;这意味着组织将必需针对所有用户的可靠公钥基础结构(PKI)以及智能卡和智能卡读取器。这些要求会带来巨大的挑战,因为这些技术的规划和部署需要专业知识和资源。但是,Windows Server 2003 包括证书服务,一种用来实现和管理证书的非常高级的服务。当证书服务与Windows XP 结合使用时,将有诸如自动用户和计算机注册和续订等功能可用。
交互式登录:智能卡移除操作
此策略设置确定将已登录用户的智能卡从智能卡阅读器中移除时会发生的操作。
“交互式登录:智能卡移除操作”设置的可能值为:
?
无操作
?
锁定工作站
?
强制注销
?
没有定义
漏洞:如果使用智能卡进行身份验证,则在智能卡被移除时,计算机应当会自动地自行锁定。此方法将防止其他恶意用户在用户离开、忘了手动锁定其工作站时访问其计算机。
对策:将“智能卡移除操作”设置配置为“锁定工作站”。
如果在“属性”对话框中为此策略设置选择“锁定工作站”,工作站会在智能卡被移除时锁定。用户可以离开工作区,随身携带其智能卡,并仍维护受保护的会话。
如果在“属性”对话框中为此策略设置选择“强制注销”,则用户将在智能卡被移除时自动注销。
潜在影响:用户在返回其工作站时,必须重新插入其智能卡并重新输入其PIN。
Microsoft 网络客户端和服务器:数字签名的通信(四项相关设置)
共有四个不同的设置与服务器消息块(SMB) 通信的数字签名相关:
?Microsoft 网络客户端:数字签名的通信(总是)?Microsoft 网络服务器:数字签名的通信(总是)?Microsoft 网络客户端:数字签名的通信(若服务器同意)?Microsoft 网络服务器:数字签名的通信(若客户端同意)各个策略设置的可能值为:
?
已启用
?
已禁用
?
没有定义
漏洞:在高安全网络中实施数字签名有助于防止客户端和服务器被模拟。这种类型的模拟被称作会话劫持,并使用工具允许能够访问客户端或服务器所在网络的攻击者中断、终止或窃取进行中的会话。攻击者有可能会截获和修改未签名的SMB 数据包,然后修改通信并转发它,这样服务器可能会执行不需要的操作。或者,攻击者可能会在进行合法的身份验证之后冒充服务器或客户端,并获取对数据的未经授权的访问权限。
SMB 是许多Microsoft 操作系统支持的资源共享协议。它是NetBIOS 和其他许多协议的基础。SMB 签名既对用户又对承载数据的服务器进行身份验证。如果任意一端没有通过身份验证过程,就不会进行数据传输。
注意:另外一个可以保护所有网络通信的对策将是用IPsec 实施数字签名。使用用于IPsec 加密和签名的基于硬件的加速器可以降低对服务器CPU 的性能影响。对于SMB 签名没有类似的加速器。
对策:请按如下方式配置这些设置:
?
“Microsoft 网络客户端:数字签名的通信(总是)”配置为“已禁用”。
?
“Microsoft 网络服务器:数字签名的通信(总是)”配置为“已禁用”。
?
“Microsoft 网络客户端:数字签名的通信(若服务器同意)”配置为“已启用”。
?
“Microsoft 网络服务器:数字签名的通信(若客户端同意)”配置为“已启用”。
一些资源建议将所有这些设置都配置为“已启用”。但是,该配置可能会导致降低客户端计算机的性能,并禁止它们与旧SMB 应用程序和操作系统进行通信。
潜在影响:Windows 2000 Server、Windows 2000 Professional、Windows Server 2003 和Windows XP Professional 的SMB 文件实施和打印共享协议支持相互身份验证,这可以防止会话劫持攻击并支持消息身份验证以防止中间人攻击。SMB 签名通过向每个SMB 放入一个数字签名,然后由客户端和服务器进行验证,来提供身份验证。实施SMB 签名可能会对性能造成负面影响,因为每个数据包都需要经过签名和验证。如果将计算机配置为忽略所有未经签名的SMB 通信,则旧应用程序和操作系统将无法进行连接。如果完全禁用所有SMB 签名,计算机将容易受到会话劫持攻击。
Microsoft 网络客户端:发送未加密的密码到第三方SMB 服务器
此策略设置允许SMB 重定向器向身份验证期间不支持密码加密的非Microsoft SMB 服务器发送明文密码。
“Microsoft 网络客户端:发送未加密的密码到第三方SMB 服务器”设置的可能值为:
?
已启用
?
已禁用
?
没有定义
漏洞:如果启用此策略设置,服务器可以将纯文本密码通过网络传输到提供SMB 服务的其他计算机。这些其他计算机可能不使用Windows Server 2003 随附的任何SMB 安全机制。
对策:将“Microsoft 网络客户端:发送未加密的密码到第三方SMB 服务器”设置配置为“已禁用”。
潜在影响:一些非常旧的应用程序和操作系统(如MS-DOS、Windows for Workgroups 3.11 和Windows 95a)会无法使用SMB 协议与组织中的服务器进行通信。
Microsoft 网络服务器:在挂起会话之前所需的空闲时间
此策略设置确定在SMB 会话因不活动而被挂起之前,在此会话中必须经过的连续空闲时间。管理员可以使用此策略设置来控制计算机何时挂起不活动的SMB 会话。当客户端恢复活动时,会自动重新建立会话。值0 表示将尽快断开空闲会话。最大值是99999(即208 天);此值实际上会禁用该设置。
“Microsoft 网络服务器:在挂起会话之前所需的空闲时间”设置的可能值为:
?
用户定义的周期(用分钟表示)
?
没有定义
漏洞:每个SMB 会话都会消耗服务器资源,并且大量空会话将减慢服务器或者有可能导
致其失败。攻击者可能会重复建立SMB 会话,直到服务器的SMB 服务变得缓慢或无响应。
对策:将“Microsoft 网络服务器:在挂起会话之前所需的空闲时间”设置配置为“15 分钟”。潜在影响:影响将很小,因为SMB 会话将在客户端恢复活动时自动重新建立。Microsoft 网络服务器:当登录时间用完时自动注销用户
此策略设置确定在超过用户帐户的有效登录时间后,是否要断开连接到本地计算机的用户。此设置影响SMB 组件。如果启用此策略设置,会在客户端的登录时间用完时强制断开与SMB 服务的客户端会话。如果禁用此策略设置,已建立的客户端会话在超过客户端登录时间后继续进行。如果启用此策略设置,还应启用“网络安全:在超过登录时间后强制注销”。
“Microsoft 网络服务器:当登录时间用完时自动注销用户”设置的可能值为:
?
已启用
?
已禁用
?
没有定义
漏洞:如果组织为用户配置了登录时间,则很有必要启用此策略设置。否则,在超出登录时间后不应具有网络资源访问权限的用户,实际上可以继续使用在允许的时间中建立的会话的这些资源。
对策:启用“Microsoft 网络服务器:当登录时间用完时自动注销帐户”设置。
潜在影响:如果在组织中未使用登录时间,则此策略设置将没有影响。如果使用了登录时间,当超过现有用户的登录时间后将强制终止现有用户会话。
网络访问:允许匿名SID/名称转换
此策略设置确定匿名用户是否可以请求另一个用户的SID 属性。
“网络访问:允许匿名SID/名称转换”设置的可能值为:
?
已启用
?
已禁用
?
没有定义
漏洞:如果启用此策略设置,则拥有本地访问权限的用户可以使用众所周知的管理员的SID 获取内置Administrator 帐户的实际名称,即使该帐户已被重命名时也是如此。然后,此人可以使用帐户名发起密码猜测攻击。
对策:将“网络访问:允许匿名SID/名称转换”设置配置为“已禁用”。
潜在影响:在成员计算机上,“已禁用”是此策略设置的默认配置,因而此设置对成员计算机没什么影响。对于域控制器,默认配置为“已启用”。如果在域控制器上禁用此策略设置,
旧式计算机可能无法与基于Windows Server 2003 的域进行通信。例如,下列计算机可能不工作:?
基于Windows NT 4.0 的远程访问服务服务器。
?
在基于WindowsNT 3.x 或基于Windows NT 4.0 的计算机上运行的Microsoft SQL Server ?。
?
在位于Windows NT 3.x 域或Windows NT 4.0 域中的基于Windows 2000 的计算机上运行的远程访问服务或Microsoft SQL 服务器。
网络访问:不允许SAM 帐户的匿名枚举
此策略设置确定要授予连接到计算机的匿名连接哪些其他权限。Windows 允许匿名用户执行某些活动,如枚举域帐户和网络共享的名称。例如,当管理员希望向不维护双向信任的受信任域中的多个用户授予访问权限时,此功能会非常方便。但是,即使启用了此设置,匿名用户仍将能够访问具有某些权限(显然包括特殊的内置组ANONYMOUS LOGON)的任何资源。
在Windows 2000 中,名为“对匿名连接的额外限制”的类似策略设置管理一个名为RestrictAnonymous 的注册表值,此值位于HKLM\SYSTEM\CurrentControlSet\Control\LSA 注册表项中。在Windows Server 2003 中,“网络访问:不允许SAM 帐户的匿名枚举”和“网络访问:不允许SAM 帐户和共享的匿名枚举”策略设置代替了Windows 2000 中的此项策略设置。它们分别管理注册表值RestrictAnonymousSAM 和RestrictAnonymous,都位于HKLM\System\CurrentControlSet\Control\Lsa\ 注册表项中。
“网络访问:不允许SAM 帐户的匿名枚举”设置的可能值为:
?
已启用
?
已禁用
?
没有定义
漏洞:未经授权的用户可以匿名列出帐户名称,并使用此信息进行社会工程攻击或尝试猜测密码。(社会工程攻击试图以某种方式哄骗用户以获取密码或某种形式的安全信息。)
对策:将“网络访问:不允许SAM 帐户的匿名枚举”设置配置为“已启用”。
潜在影响:将不可能与基于Windows NT 4.0 的域建立信任。此外,当运行旧版本的Windows 操作系统(如Windows NT 3.51 和Windows 95)的客户端计算机尝试使用服务器上的资源时,他们将遇到问题。
网络访问:不允许SAM 帐户和共享的匿名枚举
此策略设置确定是否允许匿名枚举安全帐户管理器(SAM) 帐户和共享。如前面部分所述,Windows 允许匿名用户执行某些活动,如枚举域帐户和网络共享的名称。例如,当管理员希望向不维护双向信任的受信任域中的多个用户授予访问权限时,此功能会非常方便。如果您不希望允许匿名枚举SAM 帐户和共享,则启用此策略设置。但是,即使启用,匿名用
户仍将能够访问具有某些权限(显然包括特殊的内置组ANONYMOUS LOGON)的任何资源。
在Windows 2000 中,名为“对匿名连接的额外限制”的类似策略设置管理一个名为RestrictAnonymous 的注册表值,此值位于HKLM\SYSTEM\CurrentControlSet\Control\LSA 注册表项中。在Windows Server 2003 中,“网络访问:不允许SAM 帐户的匿名枚举”和“网络访问:不允许SAM 帐户和共享的匿名枚举”策略设置代替了Windows 2000 中的此项策略设置。它们分别管理注册表值RestrictAnonymousSAM 和RestrictAnonymous,这两个值均位于HKLM\System\CurrentControlSet\Control\Lsa\ 注册表项中。
“网络访问:不允许SAM 帐户和共享的匿名枚举”设置的可能值为:
?
已启用
?
已禁用
?
没有定义
漏洞:未经授权的用户可以匿名列出帐户名称和共享资源,并使用此信息尝试猜测密码或进行“社会工程学”攻击。
对策:将“网络访问:不允许SAM 帐户和共享的匿名枚举”设置配置为“已启用”。
潜在影响:通过单向信任不可能向另一个域的用户授予访问权限,因为信任域中的管理员将无法枚举另一个域中的帐户列表。匿名访问文件和打印服务器的用户将无法列出这些服务器上的共享网络资源;用户将必须先进行身份验证,然后才能查看共享文件夹和打印机的列表。
网络访问:不允许为网络身份验证储存凭据或.NET Passports
此策略设置确定在获得域身份验证后“存储用户名和密码”功能是否保存密码或凭据以备日后使用。如果启用此策略设置,Windows 的“存储用户名和密码”功能不存储密码和凭据。
“网络访问:不允许为网络身份验证储存凭据或.NET Passports”设置的可能值为:
?
已启用
?
已禁用
?
没有定义
漏洞:用户在登录到计算机时,可以访问缓存的密码。尽管此信息听起来或许很明显,但是当用户无意中执行了恶意代码,而这些恶意代码读取密码并将它们转发到另一个未经授权的用户时,就会出现问题。
注意:如果组织有效地实现和管理企业防病毒解决方案以及明智的软件限制策略,那么,此利用以及涉及到恶意代码的其他利用的成功机会将大大减小。有关软件限制策略的详细信息,请参阅第8 章“软件限制策略”。
对策:将“网络访问:不允许为网络身份验证储存凭据或.NET Passports”设置配置为“启
动”。
潜在影响:用户在登录到其Passport 帐户或无法通过其域帐户访问的其他网络资源时,将被迫输入密码。对于访问被配置为允许用基于Active Directory 的域帐户进行访问的网络资源的用户,此策略设置应当没有任何影响。
网络访问:让每个人(Everyone) 权限应用于匿名用户
此策略设置确定要授予连接到计算机的匿名连接哪些其他权限。如果启用此策略设置,匿名用户可以枚举域帐户和网络共享的名称,并执行其他某些活动。例如,当管理员希望向不维护双向信任的受信任域中的多个用户授予访问权限时,此功能会非常方便。
在默认情况下,为匿名连接创建的标记不包括Everyone SID。因此,分配给Everyone 组的权限不应用于匿名用户。如果启用此策略设置,Everyone SID 会被添加到为匿名连接创建的标记,并且匿名用户将能够访问Everyone 组已被分配权限的任何资源。
“网络访问:让每个人(Everyone) 权限应用于匿名用户”设置的可能值为:
?
已启用
?
已禁用
?
没有定义
漏洞:未经授权的用户可以匿名列出帐户名称和共享资源,并使用该信息尝试猜测密码、进行社会工程攻击或发起DoS 攻击。
对策:将“网络访问:让每个人(Everyone) 权限应用于匿名用户”设置配置为“已禁用”。潜在影响:无。这是默认配置。
网络访问:可匿名访问的命名管道
此策略设置确定哪些通信会话或管道将具有允许匿名访问的属性和权限。
“网络访问:可匿名访问的命名管道”设置的可能值为:
?
用户定义的共享列表
?
没有定义
为使此策略设置生效,还必须启用“网络访问:限制匿名访问命名管道和共享”设置。
漏洞:可以限制通过命名管道(如COMNAP 和LOCATOR)进行访问以帮助防止对网络进行未经授权的访问。下表提供了命名管道及其用途的默认列表。
表5.1:可匿名访问的默认命名管道命名管道用途
COMNAP
SNABase 命名管道。系统网络体系结构(SNA) 是一组最初为IBM 主机计算机开发的网络协议。
COMNODE
SNA Server 命名管道。
SQL\QUERY
SQL Server 默认的命名管道。
SPOOLSS
后台打印程序服务的命名管道。
EPMAPPER 终结点映射程序的命名管道。
LOCATOR 远程过程调用定位器服务的命名管道。
TrkWks 分布式链接跟踪客户端的命名管道。
TrkSvr 分布式链接跟踪服务器的命名管道。
对策:将“网络访问:可匿名访问的命名管道”设置配置为空值(启用此设置,但是不在文本框中输入命名管道)。
潜在影响:此配置将禁用通过命名管道进行空会话访问,依赖此功能或者依赖对命名管道进行未经身份验证访问的应用程序将不再工作。例如,使用Microsoft Commercial Internet System 1.0,Internet 邮件服务将在Inetinfo 进程下运行。Inetinfo 在系统帐户的上下文中启动。当Internet 邮件服务需要查询Microsoft SQL Server 数据库时,它使用系统帐户,该帐户使用空凭据来访问运行SQL Server 的计算机上的SQL 管道。
网络访问:可远程访问的注册表路径
此策略设置确定当某个应用程序或进程引用WinReg 项时哪些注册表路径将可以访问,从而确定访问权限。
“网络访问:可远程访问的注册表路径”设置的可能值为:
?
用户定义的路径列表
?
没有定义
漏洞:注册表是包含计算机配置信息的数据库,其中的许多信息都是敏感信息。攻击者可以使用此信息来帮助执行未经授权的活动。为了降低出现这种攻击的风险,可为整个注册表分配适当的ACL,以便帮助它禁止未经授权的用户进行访问。
对策:将“网络访问:可远程访问的注册表路径”设置配置为空值(启用此设置,但是不在文本框中输入任何路径)。
潜在影响:远程管理工具(如Microsoft 基准安全分析器和Microsoft 系统管理服务器)需要远程访问注册表,以正确地监视和管理这些计算机。如果将默认的注册表路径从可访问列表中删除,这些远程管理工具可能会失败。
注意:如果您希望允许进行远程访问,还必须启用Remote Registry 服务。
网络访问:可远程访问的注册表路径和子路径
此策略设置确定当某个应用程序或进程引用WinReg 项时哪些注册表路径和子路径将可以访问,从而确定访问权限。
“网络访问:可远程访问的注册表路径和子路径”设置的可能值为:
?
用户定义的路径列表
?
没有定义
漏洞:如前所述,注册表包含敏感的计算机配置信息,攻击者可能会利用这些信息以便于执行未经授权的活动。事实上,通过注册表分配默认ACL 非常严格,并有助于防止未经授权的用户访问注册表,从而减少了这类攻击的风险。
对策:将“网络访问:可远程访问的注册表路径和子路径”设置配置为空值(启用此设置,但是不在文本框中输入任何路径)。
潜在影响:远程管理工具(如Microsoft 基准安全分析器和Microsoft 系统管理服务器)需要远程访问注册表,以正确地监视和管理这些计算机。如果将默认的注册表路径从可访问列表中删除,这些远程管理工具可能会失败。
注意:如果您希望允许进行远程访问,还必须启用Remote Registry 服务。
网络访问:限制匿名访问命名管道和共享
启用此策略设置时,限制仅可匿名访问“网络访问:可匿名访问的命名管道”和“网络访问:可匿名访问的共享”设置中的那些共享和命名管道。此策略设置可通过在注册表项HKLM\System\CurrentControlSet\Services\LanManServer\Parameters 内添加RestrictNullSessAccess 并将值设为1,来控制对计算机中共享的空会话访问。切换此注册表值可打开或关闭空会话共享,以控制服务器服务是否限制对命名资源进行未经身份验证的客户端访问。
“网络访问:限制匿名访问命名管道和共享”设置的可能值为:
?
已启用
?
已禁用
没有定义
漏洞:空会话是一种缺陷,通过环境中计算机上的共享(包括默认共享)可以利用这种缺陷。对策:将“网络访问:限制匿名访问命名管道和共享”设置配置为“已启用”。
潜在影响:您可以启用此策略设置以限制未经身份验证的用户对服务器管道和共享进行空会话访问,除NullSessionPipes 和NullSessionShares 项中列出的那些。
网络访问:可匿名访问的共享
此策略设置确定匿名用户可以访问哪些网络共享。
“网络访问:可匿名访问的共享”设置的可能值为:
?
用户定义的共享列表
?
没有定义
漏洞:启用此设置会非常危险。任何网络用户都可以访问列出的任何共享,这可能导致敏感数据暴露或损坏。
对策:将“网络访问:可匿名访问的共享”设置配置为空值。
潜在影响:影响应当很小,因为这是默认配置。只有经过身份验证的用户才能访问服务器上的共享资源。
“网络访问:本地帐户的共享和安全模式
此策略设置确定如何对使用本地帐户的网络登录进行身份验证。如果将此策略设置配置为“经典”,则使用本地帐户凭据的网络登录将使用这些凭据进行身份验证。如果将此策略设置配置为“仅来宾”,则使用本地帐户的网络登录将自动映射到Guest 帐户。“经典”模式提供对资源访问的精确控制,并允许针对同一资源为不同用户授予不同类型的访问权限。反之,“仅来宾”模式将所有用户均作为Guest 用户帐户同等对待,他们都将收到对给定资源的相同级别的访问权限(可以是“只读”,也可以是“修改”)。
独立Windows XP Professional 的默认配置是“仅来宾”。加入到域的Windows XP 计算机以及Windows Server 2003 计算机的默认配置是“经典”。
注意:此策略设置不影响使用域帐户的网络登录。此策略设置也不影响通过服务(如Telnet 或终端服务)在远程执行的交互式登录。
如果计算机未加入到域中,此策略设置还调整Windows 资源管理器中的“共享”和“安全”选项卡,使其与所使用的共享和安全模式相对应。
此设置对于Windows 2000 计算机没有任何影响。
“网络访问:本地帐户的共享和安全模式”设置的可能值为:
?
经典。本地用户以自己的身份验证。
仅来宾。本地用户以来宾的身份验证。
?
没有定义
漏洞:使用“仅来宾”模式,任何能够通过网络进行身份验证以访问您的计算机的用户都可以使用来宾特权来进行访问,这可能意味着他们不具有对计算机上的共享资源进行写入的权限。尽管此限制并未增加安全性,但却使授权用户访问这些计算机上的共享资源变得更加困难,因为这些资源上的ACL 必须包括Guest 帐户的访问控制项(ACE)。使用”经典“模式,本地帐户必须使用密码进行保护。否则,如果启用Guest 访问权限,任何人都可以使用这些用户帐户来访问共享的系统资源。
对策:对于网络服务器,将“网络访问:本地帐户的共享和安全模式”设置为“经典–本地用户以自己的身份验证”。在最终用户计算机上,将此策略设置配置为“仅来宾–本地用户以来宾的身份验证”。
潜在影响:无。这是默认配置。
组策略应用案例 实验环境 BENET公司利用域环境来实现企业网络管理,公司要求企业员工在使用企业计算机的相关设置需统一管理,要求企业管理员按如下要求完成设置 1所有域用户不能随便修改背景,保证公司使用带有公司LOGO的统一背景。 2. 所有域用户不能运行管理员已经限制的程序,比如计算器,画图等。 3 配置域用户所有IE的默认设定为本企业网站,保证员工打开IE可以直接访问到公司网站。且用户不能自行更改主页 4 禁止域用户使用运行,管理员除外。防止打开注册表等修改系统配置。只有管理员处于管理方便目的,可以使用运行。 5保证域用户有关机权限,保证员工下班可以自行关机,节省公司资源。 6 关闭2003的事件跟踪,公司使用其他手段监控用户计算机。 7 隐藏所有用户的C盘,防止用户误删除系统文件,造成系统崩溃。 8 控制面板中隐藏”添加删除windows组件”,防止用户随意添加windows组件,造成系统问题。 9取消自动播放,以防止插入U盘有病毒,自动运行病毒 10 除管理员外的任何域帐号都不可以更改计算机的IP地址设置,防止由于IP地址冲突造成网络混乱。
实验目的 1所有域用户不能随便修改背景 2所有域用户只能运行规定的程序 3 所有域用户帐号打开IE默认主页为 4所有域用户帐号无法使用运行,管理员可以使用运行 5 域用户帐号可以关机 6 域用户帐号关机时没有事件跟踪提示 7 域用户帐号看不到C盘 8 域用户帐号在控制面板中看不到”添加删除windows组件” 9 取消自动播放 10 管理员可以使用本地连接-属性,任何域用户帐号不可使用. 实验准备 1 一人一组 2 准备两台Windows Server2003虚拟机(一台DC,一台成员主机) 3 实验网络环境192.168.8.0/24
综合性实验项目名称:使用windows组策略对计算机进行安全配置 一、实验目的及要求: 1.组策略是管理员为用户和计算机定义并控制程序,网络资源及操作系统行为的主要工具, 通过使用组策略可以设置各种软件,计算机和用户策略。 2.我们通过实验,学会使用组策略对计算机进行安全配置。 二、实验基本原理: 组策略是管理员为用户和计算机定义并控制程序,网络资源及操作系统行为的主要工具通过使用组策略可以设置各种软件,计算机和用户策略。 三、主要仪器设备及实验耗材: PC机一台,Windows2000系统,具有管理员权限账户登录 四、注意事项 必须以管理员或管理员组成员的身份登录win2000系统 计算机配置中设置的组策略级别要高于用户配置中的级别策略 五、实验内容与步骤 1.在”开始”菜单中,单击”运行”命令项,输入gpedit.msc并确定,即可运行程序。 依次进行以下实验: (1)隐藏驱动器 平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项。 1.使用策略前,查看”我的电脑”的驱动器,如图6-1所示 图6-1 使用策略前,“我的电脑” 2.选择“用户配置—>管理模板—>windows组件—>windows资源管理器”,如图6-2所示。
图6-2 隐藏驱动器 3.使用策略后,查看”我的电脑”的驱动器,如图6-3所示 图6-3 使用策略后,“我的电脑” (2).禁止来宾账户本机登录 使用电脑时,我们有时要离开座位一段时间,如果有很多正在打开的文档还没有处理完成或者正在使用隐私内容时,为了避免有人动用电脑,我们一般会把电脑锁定。但是在局域网中,为了方便网络登录,我们有时候会建立一些来宾账户,如果对方利用这些账户来注销当前账户并登录到别的账户,就会给正常工作带来影响。我们可以通过“组策略”来禁止一些账户在本机上的登录,让对方只能通过网络登录。 在“组策略”窗口中依次打开“计算机配置—>windows设置—>安全设置—>本地策略—>用户权限分配”,然后双击右侧窗格的”拒绝本地登录”项,在弹出的窗口中添加要禁止的用户或组即可实现,如图6-4所示
(完整)域组策略--+域控中组策略基本设置 编辑整理: 尊敬的读者朋友们: 这里是精品文档编辑中心,本文档内容是由我和我的同事精心编辑整理后发布的,发布之前我们对文中内容进行仔细校对,但是难免会有疏漏的地方,但是任然希望((完整)域组策略--+域控中组策略基本设置)的内容能够给您的工作和学习带来便利。同时也真诚的希望收到您的建议和反馈,这将是我们进步的源泉,前进的动力。 本文可编辑可修改,如果觉得对您有帮助请收藏以便随时查阅,最后祝您生活愉快业绩进步,以下为(完整)域组策略--+域控中组策略基本设置的全部内容。
域控中组策略基本设置 计算机配置:要重启生效用户配置:注销生效 策略配置后要刷新:gpupdate /force 组策略编辑工具!—-—-—gpmc.msi (工具) 使用:运行---〉gpmc。msc 如下键面: 文件夹重定向: 1。在域控建立一共享文件夹,权限放到最大(完全控制,无安全隐患!)
2.域账户用户登录任一台机器都能看到我的文档里的自己的东西! 禁止用户安装软件: 1.给域用户基本权限(Domain user),但有时基本应用软件也不能运行! 2.把域用户加入到本地power user 组可以运行软件! 域用户添加Power user组
3.用本地用户登录机器查看! 禁止卸载: 1。权限domain user + 管理模板(相当于改动注册表!!)
2.再把控制面板里的“添加删除程序"禁用
禁止使用USB: 1.工具(程序模板usb.adm),拷到C:\WINDOWS\inf\usb。adm 2. 3。 4。
用组策略从十大方面保护Windows安全 Windows操作系统中组策略的应用无处不在,如何让系统更安全,也是一个常论不休的话题,下面就让我们一起来看看通过组策略如何给Windows系统练就一身金钟罩。 一、给我们的IP添加安全策略? 在“计算机配置”→“Windows设置”→“安全设置”→“IP 安全策略,在本地计算机”下与有与网络有关的几个设置项目(如图1)。如果大家对Internet较为熟悉,那也可以通过它来添加或修改更多的网络安全设置,这样在Windows上运行网络程序或者畅游Internet时将会更加安全。? 图 1 小提示由于此项较为专业,其间会涉及到很多的专业概念,一般用户用不到,在这里只是给网络管理员们提个醒,因此在此略过。 二、隐藏驱动器 平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项:选择“用户配置→管理模板→Windows组件→Windows 资源管理器”(如图2)。
图 2 三、禁用指定的文件类型 在“组策略”中,我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型,而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件,不让系统运行 REG文件,具体操作方法如下: 1.打开组策略,点击“计算机配置→Windows设置→安全设置→软件限制策略”,在弹出的右键菜单上选择“创建软件限制策略”,即生成“安全级别”、“其他规则”及“强制”、“指
派的文件类型”、“受信任的出版商”项(图3)。 图 3 2.双击“指派的文件类型”打开“指派的文件类型属性”窗口,只留下REG文件类型,将其他的文件全部删除,如果还有其他的文件类型要禁用,可以再次打开这个窗口,在“文件扩展名”空白栏里输入要禁用的文件类型,将它添加上去。 3.双击“安全级别→不允许的”项,点击“设为默认”按钮。然后注销系统或者重新启动系统,此策略即生效,运行REG文件时,会提示“由于一个软件限制策略的阻止,Windows 无法打开此程序”。 4.要取消此软件限制策略的话,双击“安全级别→不受限的”,打开“不受限的?属性”窗口,按“设为默认值”即可。 如果你鼠标右键点击“计算机配置→Windows设置→安全设置→软件限制策略→其他规则”,你会看到它可以建立哈希规则、Internet?区域规则、路径规则等策略,利用这些规则我们可以让系统更加安全,比如利用“路径规则”可以为电子邮件程序用来运行附件的
组策略管理在windows域管理中占有重要地位,本身也不是新的内容了。但微软在Windows2008中终于集成了一个非常好用的组策略管理工具——组策略管理控制台。并 且为原有的组策略添加了新的元素。本文从介绍组策略管理控制台入手,力求通过比较通俗的语言,为组策略新手开启一扇进入Windows域高级管理的大门。由于本人水平所限,如有不妥之处,请方家不吝赐教。 在08以前的Windows Server中要想配置组策略,是件麻烦事。后来微软推出了一个 小工具——gpmc,才解决了问题,但这个工具需要下载和安装,许多人不知道有这个工 具的存在。在Windows 2008中,微软将它集成了进来,大大方便了管理员对于组策略的 管理和配置。首先,让我们看看它的庐山真面目吧!点击“开始”,导航到“管理工具”,选 择“Group Policy Management”命令,打开组策略管理控制台。(见图一) 图一 正如各位所见,在此管理控制台的根节点,是一个叫做“https://www.doczj.com/doc/0e15913040.html,”的森林根节点。展 开后,可见如下几个主要节点:域,默认情况下是与森林同名的域;组策略对象(Group Policy Objects——GPO),是存放所有组策略的节点,包括用户创建的和默认域策略以及 默认域控制器策略;Starter GPOS(初级使用者GPO),它衍生自一个GPO,并且具有将一组管理模板策略集成在一个对象中的能力(Starter Group Policy objects derive from a Group Policy object (GPO), and provide the ability to store a collection of Administrative
组策略设置系列篇之“安全选项”-2 选项, 设置 交互式登录:不显示上次的用户名 此策略设置确定“登录到Windows”对话框是否显示上次登录到该计算机的用户的名称。如果启用此策略设置,不显示上次成功登录的用户的名称。如果禁用此策略设置,则显示上次登录的用户的名称。 “交互式登录:不显示上次的用户名”设置的可能值为: ? 已启用 ? 已禁用 ? 没有定义 漏洞:能够访问控制台的攻击者(例如,能够物理访问的人或者能够通过终端服务连接到服务器的人)可以查看上次登录到服务器的用户的名称。攻击者随后可能尝试猜测密码,使用字典或者依靠强力攻击以试图登录。 对策:将“不显示上次的用户名”设置配置为“已启用”。 潜在影响:用户在登录服务器时,必须始终键入其用户名。 交互式登录:不需要按CTRL+ALT+DEL 此策略设置确定用户在登录前是否必须按Ctrl+Alt+Del。如果启用此策略设置,用户登录时无需按此组合键。如果禁用此策略设置,用户在登录到Windows 之前必须按Ctrl+Alt+Del,除非他们使用智能卡进行Windows 登录。智能卡是一种用来存储安全信息的防篡改设备。 “交互式登录:不需要按CTRL+ALT+DEL”设置的可能值为: ? 已启用 ? 已禁用 ? 没有定义 漏洞:Microsoft 之所以开发此功能,是为了更便于身体有某种残疾的用户登录到运行Windows 的计算机。如果不要求用户按Ctrl+Alt+Del,他们容易受到尝试截获其密码的攻击。如果要求用户在登录之前按Ctrl+Alt+Del,用户密码则会通过受信任路径进行通信。 攻击者可能会安装看似标准Windows 登录对话框的特洛伊木马程序,并捕获用户的密码。攻击者随后将能够使用该用户具有的特权级别登录到被侵入的帐户。 对策:将“不需要按CTRL+ALT+DEL”设置配置为“已禁用”。
AD域控及组策略管理 目录一、Active Directory(AD)活动目录简介2 1、工作组与域的区别 (2) 2、公司采用域管理的好处 (2) 3、Active Directory(AD)活动目录的功能 (4) 二、AD域控(DC)基本操作 (4) 1、登陆AD域控 (4) 2、新建组织单位(OU) (6) 3、新建用户 (8) 4、调整用户 (9) 5、调整计算机 (12) 三、AD域控常用命令 (13) 1、创建组织单位:(dsadd) (13) 2、创建域用户帐户(dsadd) (13) 3、创建计算机帐户(dsadd) (13) 4、创建联系人(dsadd) (14) 5、修改活动目录对象(dsmod) (14) 6、其他命令(dsquery、dsmove、dsrm) (15) 四、组策略管理 (17) 1、打开组策略管理器 (17) 2、受信任的根证书办法机构组策略设置 (18) 3、IE安全及隐私组策略设置 (23) 4、注册表项推送 (28) 五、设置DNS转发 (31)
一、Active Directory(AD)活动目录简介 1、工作组与域的区别 域管理与工作组管理的主要区别在于: 1)、工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。这就是两者最大的不同。 2)、在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。 3)、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 2、公司采用域管理的好处 1)、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2)、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3)、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4)、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。
组策略安全选项对应注册表项汇总 在组策略中的位置:计算机设置->Windows设置->安全设置->本地策略->安全选项 详细列表: [MACHINE\System\CurrentControlSet\Control\Lsa] : : ::值名:含义:类型:数据:值名:含义:类型:数 据:0=停用1=启用值名:含义:类型:数据:值 名:RestrictAnonymous含义:对匿名连接的额外限制(通常用于限制IPC$空连接)类型:REG_DWORD数据:0=无.依赖于默认许可权限1=不允许枚举SAM账号和共享2=没有显式匿名权限就无法访问值名ubmitControl含义:允许服务器操作员计划任务(仅用于域控制器)类型:REG_DWORD数据:0=停用1=启用[MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers]值名:AddPrinterDrivers含义:防止用户安装打印机驱动程序类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management]值名:ClearPageFileAtShutdown含义:在关机时清理虚拟内存页面交换文件类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Control\Session Manager]值名
rotectionMode含义:增强全局系统对象的默认权限(例如Symbolic Links) 类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters]值 名:EnableSecuritySignature含义:对服务器通讯进行数字签名(如果可能)类型:REG_DWORD数据:0=停用1=启用值名:RequireSecuritySignature 含义:对服务器通讯进行数字签名(总是)类型:REG_DWORD数据:0=停用 1=启用值名:EnableForcedLogOff含义:当登录时间用完时自动注销用户 (本地)类型:REG_DWORD数据:0=停用1=启用值名:AutoDisconnect 含义:在断开会话产所需要的空闲时间类型:REG_DWORD数据:分钟数[MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters]值 名:EnableSecuritySignature含义:对客户端通讯进行数字签名(如果可能)类型:REG_DWORD数据:0=停用1=启用值名:RequireSecuritySignature 含义:对客户端通讯进行数字签名(总是)类型:REG_DWORD数据:0=停用 1=启用值名:EnablePlainTextPassword含义:发送未加密的密码以连接到第三方SMB服务器类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters]值名isablePasswordChange含义:防止计算机帐户密码的系统维护类型:REG_DWORD 数据:0=停用1=启用值名ignSecureChannel含义:安全通道: 对安全通道数据进行数字签名(如果可能)类型:REG_DWORD数据:0=停用 1=启用值名ealSecureChannel含义:安全通道: 对安全通道数据进行数字加密(如果可能)类型:REG_DWORD数据:0=停用1=启用值 名:RequireSignOrSeal含义:安全通道: 对安全通道数据进行数字加密或签名(总是)类型:REG_DWORD数据:0=停用1=启用值名:RequireStrongKey 含义:安全通道: 需要强(Windows 2000 或以上版本)会话密钥类 型:REG_DWORD数据:0=停用1=启用[MACHINE\Software\[M$]\Driver Signing]值名olicy含义:未签名驱动程序的安装操作类型:REG_BINARY数据:0=默认安装1=允许安装但发出警告2=禁止安装 [MACHINE\Software\[M$]\Non-Driver Signing]值名olicy含义:未签名非驱动程序的安装操作类型:REG_BINARY 数据:0=默认安装1=允许安装但发出警告2=禁止安装 [MACHINE\Software\[M$]\Windows\CurrentVersion\Policies\System]值名isableCAD 含义:禁用按CTRL ALT DEL进行登录的设置类型:REG_DWORD数据:0=停用1=启用值名ontDisplayLastUserName含义:登录屏幕上不要显示上次登录的用户名类型:REG_DWORD数据:0=停用1=启用值名:LegalNoticeCaption含义:用户试图登录时消息标题类型:REG_SZ数据:标题文本值名:LegalNoticeText含义:用户试图登录时消息文字类型:REG_SZ数据:消息文字值名hutdownWithoutLogon含义:登录屏幕上不要显示上次登录的用户名类型:REG_DWORD数据:0=停用1=启用 [MACHINE\Software\[M$]\Windows NT\CurrentVersion\Setup\RecoveryConsole] 值名ecurityLevel含义:故障恢复控制台:允许自动系统管理级登录类 型:REG_DWORD数据:0=停用1=启用值名etCommand含义:故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问类型:REG_DWORD 数据:0=停用1=启用[MACHINE\Software\[M$]\Windows NT\CurrentVersion\Winlogon]值名:AllocateCDRoms含义:只有本地登录的用户才能访
组策略对windows7的安全性设置 陈琪 (重庆市商务学校重庆市大渡口区400080) 【摘要】:现在Win7系统已成为电脑市场的主流,大量企业和家庭个人都选择使用Win7系统,主要是Win7系统设计具有人性化、操作非常的简单,更重要的是Win7安全性非常高。同时针对Win7的安全性设置方法也层出不穷,用户往往是通过第三方软件来实现,但是这些方法往往不具有个性化的设置,而且这些方法效果到底如何也无从知晓。其实利用Win7的系统组策略功能,就可以简单轻松的实现Win7的系统的安全性设置。 【关键词】:组策略点击用户配置驱动器木马权限哈希值【引言】:在我们使用电脑的过程中系统、用户的数据都是保存在电脑的驱动器中的。因此,限制驱动器的使用可以有效防止重要和机密的信息外泄。而且现在的电脑大多数时间都是联网的,有效的阻击病毒和木马的入侵是确保电脑安全稳定运行的必要措施。 【正文】: 1.驱动器访问权限的设置 驱动器主要包括硬盘、光驱和移动设备等。驱动器不同限制方法也不同,而且同一种驱动器也有不同的限制级别。就说硬盘吧,一般有隐藏和禁止访问两种级别。隐藏级别比较初级,只是让驱动器不可见,一般用于防范小孩和初级用户,而禁止访问则可彻底阻止驱动器的访问。对于移动设备,可以选择设置读、写和执行权限,不过病毒和木马一般通过执行恶意程序来传播,因此禁止执行权限才最有效。
1.1隐藏驱动器 那么我们首先来实现如何让初级普通用户看不到驱动器:点击“开始”,在搜索框中输入“gpedit.msc”,确认后即打开了组策略编辑器,依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”,在右边设置窗口中,进入“隐藏‘我的电脑’中这些指定的驱动器”,选择“已启用”,在下面的下拉列表中选择需要隐藏的驱动器,然后确定。再进入“计算机”,刚才选择的驱动器图标就不见了。提示:这个方法只是隐藏驱动器图标,用户仍可使用其他方法访问驱动器的内容,如在地址栏中直接键入驱动器上的目录路径。 1.2移动存储设备读写权限的设置 移动设备(例如闪存、移动硬盘等)已经成为不少用户的标准配置,使用也最为广泛。正因如此,它也成了病毒和木马传播的主要途径。而普通的限制读写权限并不能阻止病毒和木马入侵,因为病毒传播都是通过执行病毒和木马程序来实现的,因此禁用执行权限就能切断病毒传播途径。依次展开“计算机配置→管理模板→系统→可移动存储访问”,进入“可移动磁盘:拒绝执行权限”,选择“已启用”,确定后设置生效。移动设备上的可执行文件将不能执行,计算机也就不会再被病毒感染。而如果需要执行,只需要拷贝到硬盘当中即可。 2.网络安全性设置 电脑最重要的用途之一就是上网,可是说实话,现在上网一点也不省心,病毒、木马和流氓软件横行,连不少大网站都会被挂一些别有用心的软件,用户真是防不胜防。所以网络安全性的设置相当重要。
常用AD组策略设置 利用Windows活动目录(AD)组策略,可以比较方便的对域中所有Windows客户端的桌面、屏幕保护、本地管理员密码、可信站点等等诸多元素,进行统一设置。 根据需要,有些组策略可以在整个域里实施,有的可以在域内不同的组织单位(OU)中单独实施。相应的操作也就是在域或OU的属性页中,增加、编辑和应用组策略。 下面是实际操作演示: ?AD域控制器:Windows Server 2003/2008 ?以域管理员权限运行“Active Directory 用户和计算机” 1. 设置屏保程序 打开“https://www.doczj.com/doc/0e15913040.html,”域下组织单位“北京”的属性(如下图): 可看到已经启用了一个名为“bjboshi”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。在“计算机配置”-“Windows设置”-“脚本”中,打开“启动”的属性(如下图),增加一个名为setscr.bat的脚本。
脚本存放路径为域控制器的 C:\Windows\SYSVOL\sysvol\https://www.doczj.com/doc/0e15913040.html,\Policies\{5F158A23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup 该setscr.bat脚本的内容是: copy bssec.scr c:\windows\system32 即每次系统启动时,将域控制器上的屏保文件bssec.scr复制到客户端电脑的c:\windows\system32路径下。作用就是分发和同步所有客户端电脑的屏保文件。
下面进行关于客户端屏保的策略设置。打开“https://www.doczj.com/doc/0e15913040.html,”域的属性(如下图): 可看到已经启用了一个名为“Default Domain Policy”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。
组策略应用大全集团档案编码:[YTTR-YTPT28-YTNTL98-UYTYNN08]
组策略应用大全专题 先给初学的扫扫盲:说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 运行组策略的方法:在“开始”菜单中,单击“运行”命令项,输入并确定,即可运行组策略。先看看组策略的全貌,如图。 安全设置包括:,,,,。 :在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面,而其中的“帐户策略”又包括:密码策略、帐户锁定策略和Kerberos策略三个方面;另外的“本地策略”也包括:审核策略、用户权限分配和安全选项三部分。 : 倘若在Win98工作站中通过“网上邻居”窗口,来访问WinXP操作系统的话,你会发现WinXP工作站会拒绝你的共享请求,这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的,那么是不是将WinXP系统下的guest帐号“激活”,就能让WinXP工作站被随意共享了呢其实不然,除了要将guest帐号启用起来,还需要指定guest帐号可以通过网络访
组策略与安全设置 系统管理员可以通过组策略的强大功能,来充分管理网络用户与计算机的工作环境,从而减轻网络管理的负担。 组策略概述 组策略是一个能够让系统管理员充分管理用户工作环境的功能,通过它来确保用户拥有应有的工作环境,也通过他来限制用户。因此,不但可以让用户拥有适当的环境,也可以减轻系统管理员的管理负担。 组策略包含计算机配置与用户配置两部分。计算机配置仅对计算机环境产生影响,而用户设置只对用户环境有影响。可以通过以下两个方法来设置组策略。 ●本地计算机策略:可以用来设置单一计算机的策略,这个策略内的计算机配置只会背 应用到这台计算机,而用户设置会被应用到在此计算机登陆的所有用户。 ●域的组策略:在域内可以针对站点,域或组织单位来设置组策略,其中,域组策略内 的设置会被应用到域内的所有计算机与用户,而组织单位的组策略会被应用到该组织单位内的所有计算机与用户。 对添加域的计算机来说,如果其本地计算机策略的设置与域或组织单位的组策略设置发生冲突,则以域或组织单位组策略的设置优先,也就是此时本地计算机策略的设置值无效。 本地计算机策略实例演示 以下利用未加入域的计算机来练习本地计算机策略,以免受到域策略的干扰,造成本地计算机策略的设置无效,因而影响到验证实验结果。 计算机配置实例演示 当我们要将Windows Server2012计算机关机时,系统会要求我们提供关机的理由,以下实例完成后,系统就不会在要求你说明关机理由了。
开始运行中输入gpedit.msc-计算机配置-管理模板-系统-显示“关闭事件跟踪程序“-单击已禁用 以后关机或重启计算机时,系统都不会再询问了。 注:请不要随意更改计算机配置,以免更改可能影响系统正常运行的设置值。 用户配置实例演示 以下通过本地计算机策略来限制用户工作环境:删除客户端浏览器IE内Internet选项的安全和连接标签。也就是经过以下设置后,浏览器内的安全和连接标签消失了。 用户配置-管理模板-windows组件-IE-ie控制面板-禁用连接页和禁用安全页设置为启用,此设置会立即应用到所有用户。
如何设置常用组策略 故障现象: 组策略应用设置大全一、桌面项目设置 1. 隐藏不必要的桌面图标 2. 禁止对桌面的改动 3. 启用或禁止活动桌面 4. 给开始菜单减肥5. 保护好任务栏和开始菜单的设置二、隐藏或禁止控制面板项目 1. 禁止访问控制面板 2. 隐藏或禁止添加/删除程序项 3. 隐藏或禁止显示项三、系统项目设置 1. 登录时不显示欢迎屏幕界面 2. 禁用注册表编辑器 3. 关闭系统自动播放功能 4. 关闭Windows自动更新 5. 删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目 1. 删除文件夹选项 2. 隐藏管理菜单项 五、IE浏览器项目设置 1. 限制IE浏览器的保存功能 2. 给工具栏减肥 3. 在IE工具栏添加快捷方式 4. 让IE插件不再骚扰你 5. 保护好你的个人隐私 6. 禁止修改IE浏览器的主页 7. 禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1. 密码策略 2. 用户权利指派 3. 文件和文件夹设置审核 4. Windows 98访问Windows XP共享目录被拒绝的问题解决 5. 阻止访问命令提示符 6. 阻止访问注册表编辑工具 解决方案: 一、桌面项目设置 在组策略的左窗口依次展开用户配置---管理模板---桌面节点,便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1. 隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除,但要删除我的电脑、回收站、网上邻居等默认图标,就需要依靠组策略了。例如要删除我的文档,只需在删除桌面上的‘我的文档’图标一项中设置即可。若要隐藏桌面上的网上邻居和Internet Explorer图标,只要在右侧窗格中将隐藏桌面上‘网上邻居’图标和隐藏桌面上的Internet Explorer图标两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将隐藏
Active Directory 环境中使用组策略管理控制 台9468915501 该逐步式指南提供了在Active Directory 环境中使用组策略治理操纵台(GPMC) 来支持组策略对象(GPO) 的一样性指导。该指南并不提供G PO 实施指导。 本页内容 简介 逐步式指南 Windows Server 2003 部署逐步式指南提供了专门多常见操作系统配置的实际操作体会。本指南第一介绍通过以下过程来建立通用网络结构:安装Windows Server 2003;配置Active Directory?;安装Windows XP Professional 工作站并最后将此工作站添加到域中。后续逐步式指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构,则需要在使用这些指南时进行适当的修改。 通用网络结构要求完成以下指南。 ? ?
在配置通用网络结构后,能够使用任何其他的逐步式指南。注意,某些逐步式指南除具备通用网络结构要求外,可能还需要满足额外的先决条件。任何额外的要求都将列在特定的逐步式指南中。 Microsoft Virtual PC 能够在物理实验室环境中或通过虚拟化技术(如Microsoft Virtual PC 2004 或Microsoft Virtual Server 2005)来实施Windows Server 2003 部署逐步式指南。借助于虚拟机技术,客户能够同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和Virtual Server 2005 确实是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提升工作效率而设计的。 Windows Server 2003 部署逐步式指南假定所有配置差不多上在物理实验室环境中完成的,但大多数配置不经修改就能够应用于虚拟环境。 将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范畴。 重要讲明 此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构,决不意指,也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。 此通用基础结构是为在专用网络上使用而设计的。此通用结构中使用的虚拟公司名称和域名系统(DNS) 名称并未注册以便在Internet 上使用。您不应在公共网络或Internet 上使用此名称。 此通用结构的Active Directory 服务结构用于讲明“Windows Server 2003 更换和配置治理”如何与Active Directory 配合使用。不能将其作为任何组织进行Active Directory 配置的模型。 概述 Microsoft 组策略治理操纵台(GPMC) 是一个用于组策略治理的新工具,它通过改进易治理性和提升效率关心治理员更经济有效地治理企业。它包含一个新的Microsoft 治理操纵台(MMC) 治理单元和一组可编程接口。
组策略的管理(账户锁定策略) 2. 账户锁定策略 账户锁定策略用于域账户或本地用户账户,用来确定某个账户被系统锁定的情况和时间长短。要设置“账户锁定策略”,可打开组策略控制台,依次展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“账户锁定策略”。 (1)账户锁定阈值 该安全设置确定造成用户账户被锁定的登录失败尝试的次数。无法使用锁定的账户,除非管理员进行了重新设置或该账户的锁定时间已过期。登录尝试失败的范围可设置为0~999之间。如果将此值设为0,则将无法锁定账户。 对于使用Ctrl+Alt+Delete或带有密码保护的屏幕保护程序锁定的计算机上,失败的密码尝试计入失败的登录尝试次数中。 在组策略窗口中,双击“账户锁定阈值”选项,显示“账户锁定阈值属性”对话框,选中“定义这个策略设置”复选框,在“账户不锁定”文本框中输入无效登录的次数,例如3,则表示3次无效登录后,锁定登录所使用的账户。 建议启用该策略,并设置为至少3次,以避免非法用户登录。 (2)账户锁定时间 该安全设置确定锁定的账户在自动解锁前保持锁定状态的分钟数。有效范围从0~ 99 999分钟。如果将账户锁定时间设置为0,那么在管理员明确将其解锁前,该账户将被锁定。
如果定义了账户锁定阈值,则账户锁定时间必须大于或等于重置时间。 打开“账户锁定时间”的属性对话框,选中“定义这个策略设置”复选框,在“账户锁定时间”文本框中输入账户锁定时间,例如30,则表示账户被锁定的时间为30分钟,30分钟后方可使用再次使用被锁定的账户。 默认值为无,因为只有当指定了账户锁定阈值时,该策略设置才有意义。 (3)复位账户锁定计数器 该安全设置确定在登录尝试失败计数器被复位为0(即0次失败登录尝试)之前,尝试登录失败之后所需的分钟数,有效范围为1~99 999分钟之间。 如果定义了账户锁定阈值,则该复位时间必须小于或等于账户锁定时间。 打开“复位账户锁定计数器”的属性对话框,选中“定义这个策略设置”复选框,在“复位账户锁定计数器”文本框中输入账户锁定复位的时间,例如30,表示30分钟后复位被锁定的账户。 只有当指定了账户锁定阈值时,该策略设置才有意义。
W i n d o w s操作系统组策略应用全攻略 公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也
支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中,默认的管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为: 1):默认情况下安装在“组策略”中,用于系统设置。 2):默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3):用于Windows Media Player 设置。 4):用于NetMeeting 设置。
Windows组策略应用大全.txt9母爱是一滴甘露,亲吻干涸的泥土,它用细雨的温情,用钻石的坚毅,期待着闪着碎光的泥土的肥沃;母爱不是人生中的一个凝固点,而是一条流动的河,这条河造就了我们生命中美丽的情感之景。Windows组策略应用大全 一、什么是组策略? (一)组策略有什么用? 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是?可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 (二)组策略的版本 大部分Windows?9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows?9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows?2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是Config.pol)文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows?2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active?Directory?对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows?2000/XP/2003目录中包含了几个?.adm?文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows?9X系统中,默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows?2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为: 1)System.adm:默认情况下安装在“组策略”中,用于系统设置。 2)Inetres.adm:默认情况下安装在“组策略”中;用于Internet?Explorer策略设置。 3)Wmplayer.adm:用于Windows?Media?Player?设置。 4)Conf.adm:用于NetMeeting?设置。 在Windows?2000/XP/2003的组策略控制台中,可以多次添加“策略模板”,而在Windows?9X下,则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Windows?2000/XP/2003组策略控制台中使用如下:首先运行“组策略”程序,然后选择“计算机配置”或者“用户配置”下的“管理模板”,按下鼠标右键,在弹出的菜单中选择“添加/删除模板”.然后单击“添加”按钮,在弹出的对话框中选择相应的.adm文件。单击“打开”按钮,则在系统策略编辑器中打开选定的脚本文件,并等待用户执行。