本机原则－稽核原则.PPT

Windows 伺服器安全問題 Windows 伺服器安全問題 本機安全原則設定（Local Security Policy Settings） 系統組態設定（System Configuration Settings）之中。 Windows 2003特殊的設定問題 本機安全原則設定 Windows 是採用圖形化介面（GUI）的本機原則編輯器。 點選『控制台』／『系統管理工具』／『本機安全原則』（詳見圖15-1），即可開啟本機原則編輯器視窗。 工具程式除了允許管理員設定帳戶原則之外，也允許設定本機安全性原則。 本機安全性原則GUI其實就是登錄檔（Registry）的前台編輯工具。 不需要使用登錄檔編輯器（regedit或regedit32）來修改登錄檔的設定值。 一般而言，最好使用這個工具來變更這些安全性原則的設定值，而不是直接使用登錄檔編輯器來修改。 登入訊息 Windows提供兩種對使用者顯示登入訊息的方式： 使用者嘗試登入的訊息文字。 使用者嘗試登入的訊息標題。 關機時清除虛擬記憶體分頁檔 在系統執行的過程中，虛擬記憶體分頁檔包含了許多重要的系統資訊，這些資訊可能包括加密金鑰或密碼雜湊。 只要啟用『當關機時清除虛擬記憶體分頁檔』選項，即可強迫Windows 2000關機時清除分頁檔。 允許不登入就將系統關機 如果一般使用者無法登入時，也不能允許他們關閉系統。 應該停用『允許不登入就將系統關機』。 LAN Manager驗證層級 LAN Manageer驗證是讓Windows 2000伺服器接受Windows 95或98用戶端的驗證系統（以及Windows工作群組）。 LAN Manager驗證機制比Windows NT或Windows 2000驗證系統（稱為NTLM v2）更不安全，因此可能讓入侵者較容易暴力攻擊加密過的密碼。 如果要強制使用NTLM v2驗證，請依照下列方式設定： 1.選擇LAN Manager驗證層級設定。 2.從下拉式選單選取合適的層級 層級的數值應該依據使用環境的需求加以設定。六種層級設定的內容如下： 傳送LM和NTLM回應：預設都會回應LM和NTLM。設定之後，系統將不會使用NTLM v2工作階段安全性。 傳送LM和NTLM回應：如有交涉，使用NTLMv2工作階段安全性。 只傳送NTLM回應。 只傳送NTLM v2回應。 只傳送NTLM v2回應，拒絕LM。 只傳送NTLM v2回應，拒絕LM與NTLM。 匿名使用者連線的其他限制 這個原則設定允許管理員定義匿名連線可以執行的項目。三個選項如下： 無。依賴預設權限， 不允許SAM帳戶與共同的列舉 沒有明確宣告的匿名權限則不能存取 Windows 2003額外的本機安全原則設定 Windows 2003伺服器和Windows 2000的本機安全原則設定的為一不同之處，就是軟體限制原則（Software Restriction Policies，SRP）（詳見圖15-3）。 SRP允許控制可以在本機電腦系統執行的軟體。 管理員可以利用這個選項，設定電腦系統是否允許執行某些特定類型的軟體，而且也可以用來防止執行不信任的軟體。 軟體限制原則 軟體限制原則 管理員可以定義預設的安全性層級（允許可以執行軟體）或是拒絕執行軟體（允許執行軟體的決策相當模糊）。 雖然後者的成效較好，但是也可能造成限制性過高的結果。 在這些軟體影響任何系統運作之前，多花點時間詳加測試與設定。 在設定軟體限制原則的預設值之後，即可針對特定軟體建立軟體限制原則規則，並做為預設的例外安全性層級。 軟體限制原則 可以做為例外軟體的依據如下： 雜湊 憑證 路徑（包含登錄資訊的路徑） 網際網路區域 使用軟體限制原則可以達成下列目標： 限制某些在電子郵件程式附件目錄之下執行的檔案類型。 限制某些使用者可以在終端機伺服器執行的程式。 系統設定 檔案系統 網路設定 帳戶設定 Service pack和修補 檔案系統 Windows 2000系統上的所有檔案系統，都應該轉換成NTFS檔案系統。 FAT檔案系統並不允許設定檔案許可權限，因此採用NTFS會比較好。 如果系統含有FAT擋案系統，也可以執行CONVERT程式將它轉換成NTFS。 程式執行完畢將會重新開機，但是不曾影響檔案系統上的現有資料。 Windows 2000 採用新版的NTFS檔案系統 一 NTFS-5。NTFS-5新增許多個人許可權的設定項目： 跨資料夾／執行檔案 列出資料夾／讀取資料 讀取屬性 讀取擴充屬性 建立檔案／寫入資料 建立資料夾／附加資料 寫入屬性 寫入擴充屬性 刪除子資料夾及檔案 刪除 讀取許可權 變更許可權 取得擁有權 在Woindows 2000正式運作之前，管理員和安全幕僚應