- 1、本文档共119页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
本机原则-稽核原则
Windows 伺服器安全問題 Windows 伺服器安全問題 本機安全原則設定(Local Security Policy Settings) 系統組態設定(System Configuration Settings)之中。 Windows 2003特殊的設定問題 本機安全原則設定 Windows 是採用圖形化介面(GUI)的本機原則編輯器。 點選『控制台』/『系統管理工具』/『本機安全原則』(詳見圖15-1),即可開啟本機原則編輯器視窗。 工具程式除了允許管理員設定帳戶原則之外,也允許設定本機安全性原則。 本機安全性原則GUI其實就是登錄檔(Registry)的前台編輯工具。 不需要使用登錄檔編輯器(regedit或regedit32)來修改登錄檔的設定值。 一般而言,最好使用這個工具來變更這些安全性原則的設定值,而不是直接使用登錄檔編輯器來修改。 登入訊息 Windows提供兩種對使用者顯示登入訊息的方式: 使用者嘗試登入的訊息文字。 使用者嘗試登入的訊息標題。 關機時清除虛擬記憶體分頁檔 在系統執行的過程中,虛擬記憶體分頁檔包含了許多重要的系統資訊,這些資訊可能包括加密金鑰或密碼雜湊。 只要啟用『當關機時清除虛擬記憶體分頁檔』選項,即可強迫Windows 2000關機時清除分頁檔。 允許不登入就將系統關機 如果一般使用者無法登入時,也不能允許他們關閉系統。 應該停用『允許不登入就將系統關機』。 LAN Manager驗證層級 LAN Manageer驗證是讓Windows 2000伺服器接受Windows 95或98用戶端的驗證系統(以及Windows工作群組)。 LAN Manager驗證機制比Windows NT或Windows 2000驗證系統(稱為NTLM v2)更不安全,因此可能讓入侵者較容易暴力攻擊加密過的密碼。 如果要強制使用NTLM v2驗證,請依照下列方式設定: 1.選擇LAN Manager驗證層級設定。 2.從下拉式選單選取合適的層級 層級的數值應該依據使用環境的需求加以設定。六種層級設定的內容如下: 傳送LM和NTLM回應:預設都會回應LM和NTLM。設定之後,系統將不會使用NTLM v2工作階段安全性。 傳送LM和NTLM回應:如有交涉,使用NTLMv2工作階段安全性。 只傳送NTLM回應。 只傳送NTLM v2回應。 只傳送NTLM v2回應,拒絕LM。 只傳送NTLM v2回應,拒絕LM與NTLM。 匿名使用者連線的其他限制 這個原則設定允許管理員定義匿名連線可以執行的項目。三個選項如下: 無。依賴預設權限, 不允許SAM帳戶與共同的列舉 沒有明確宣告的匿名權限則不能存取 Windows 2003額外的本機安全原則設定 Windows 2003伺服器和Windows 2000的本機安全原則設定的為一不同之處,就是軟體限制原則(Software Restriction Policies,SRP)(詳見圖15-3)。 SRP允許控制可以在本機電腦系統執行的軟體。 管理員可以利用這個選項,設定電腦系統是否允許執行某些特定類型的軟體,而且也可以用來防止執行不信任的軟體。 軟體限制原則 軟體限制原則 管理員可以定義預設的安全性層級(允許可以執行軟體)或是拒絕執行軟體(允許執行軟體的決策相當模糊)。 雖然後者的成效較好,但是也可能造成限制性過高的結果。 在這些軟體影響任何系統運作之前,多花點時間詳加測試與設定。 在設定軟體限制原則的預設值之後,即可針對特定軟體建立軟體限制原則規則,並做為預設的例外安全性層級。 軟體限制原則 可以做為例外軟體的依據如下: 雜湊 憑證 路徑(包含登錄資訊的路徑) 網際網路區域 使用軟體限制原則可以達成下列目標: 限制某些在電子郵件程式附件目錄之下執行的檔案類型。 限制某些使用者可以在終端機伺服器執行的程式。 系統設定 檔案系統 網路設定 帳戶設定 Service pack和修補 檔案系統 Windows 2000系統上的所有檔案系統,都應該轉換成NTFS檔案系統。 FAT檔案系統並不允許設定檔案許可權限,因此採用NTFS會比較好。 如果系統含有FAT擋案系統,也可以執行CONVERT程式將它轉換成NTFS。 程式執行完畢將會重新開機,但是不曾影響檔案系統上的現有資料。 Windows 2000 採用新版的NTFS檔案系統 一 NTFS-5。NTFS-5新增許多個人許可權的設定項目: 跨資料夾/執行檔案 列出資料夾/讀取資料 讀取屬性 讀取擴充屬性 建立檔案/寫入資料 建立資料夾/附加資料 寫入屬性 寫入擴充屬性 刪除子資料夾及檔案 刪除 讀取許可權 變更許可權 取得擁有權 在Woindows 2000正式運作之前,管理員和安全幕僚應
您可能关注的文档
- 方同轴线TM色散特性曲线及电磁场分布图研究.PDF
- 方案物流产业大数据平台.PPT
- 施工技术-液压顶管机.DOC
- 施工期污染防治对策-浙江环保厅.DOC
- 施工期环保实施规程-Worldbankuments.DOC
- 施工期环境影响评价评价分析.DOC
- 施用磷肥对马尾松种源生长和木材基本密度的影响-浙江农林大学.PDF
- 施工期环境影响评价评价评价与防治措施-Worldbankuments.DOC
- 无参数加权特征萃取对遥测影像目标侦测的应用.PDF
- 无机组合抑制剂对黄铁矿浮选行为及机理研究-江西理工大学学报.PDF
- 中国国家标准 GB/T 18233.4-2024信息技术 用户建筑群通用布缆 第4部分:住宅.pdf
- GB/T 18233.4-2024信息技术 用户建筑群通用布缆 第4部分:住宅.pdf
- GB/T 18978.210-2024人-系统交互工效学 第210部分:以人为中心的交互系统设计.pdf
- 《GB/T 18978.210-2024人-系统交互工效学 第210部分:以人为中心的交互系统设计》.pdf
- 中国国家标准 GB/T 18978.210-2024人-系统交互工效学 第210部分:以人为中心的交互系统设计.pdf
- GB/T 16649.2-2024识别卡 集成电路卡 第2部分:带触点的卡 触点的尺寸和位置.pdf
- 《GB/T 16649.2-2024识别卡 集成电路卡 第2部分:带触点的卡 触点的尺寸和位置》.pdf
- 中国国家标准 GB/T 16649.2-2024识别卡 集成电路卡 第2部分:带触点的卡 触点的尺寸和位置.pdf
- GB/T 17889.4-2024梯子 第4部分:铰链梯.pdf
- 《GB/T 17889.4-2024梯子 第4部分:铰链梯》.pdf
最近下载
- 百日咳试题附有答案.docx VIP
- 2024年广东省深圳市光明区人大常委会办公室招聘一般类岗位专干12人历年【综合基础知识500题】高频考点模拟试题及参考答案解析.docx VIP
- 高中语文任务驱动型材料作文:枯燥与热闹审题指导(含解析).docx VIP
- 某镇卫生院污水设计方案.pdf VIP
- 2024年广东深圳市光明区人大常委会办公室招聘一般类岗位专干3人历年【综合基础知识500题】高频考点模拟试题及参考答案解析.docx VIP
- 中考数学经验交流会发言稿.pdf
- 2024年7月广东省深圳市光明区人大常委会办公室招聘10人历年【高频考点汇总500题】模拟卷及参考答案详解.docx VIP
- 《溜冰圆舞曲和雷鸣电闪波尔卡》精品课件2023.pptx
- 水利项目安全评价报告.docx
- 2024年7月广东省深圳市光明区人大常委会办公室招聘10人历年【综合基础知识500题】高频考点模拟试题及参考答案解析.docx VIP
文档评论(0)