安全设置Windows组策略有效地防止黑客
在本技术指南中,您将概述如何修改最重要的组策略安全设置。你可以使用这些方法在使用Windows XP的本地计算机、2000和Server 2003操作系统,或使用这些方法在服务器OU和服务器2003和2000级域名。为了简洁,提供最新的信息,我将介绍如何构建一个基于Windows服务器2003域名。记住,这是最有可能出现的问题在组策略对象,你可以设置你的域名。在我看来,这些设置可以保持或破坏Windows的安全性,因为不同的设置,你的进步是不同的。所以,我鼓励你使用前的设置以确保这些设置你的网络兼容进行了深入研究。如果可能的话,测试这些设置(如果您有测试环境是幸运的)。
如果你没有测试它,我建议你下载并安装微软的组策略管理控制台(GPMC)来做这些改变。这个程序可以集中的组策略管理任务在一个单一的界面,让你看看你的域名更充分。开始编辑过程,你上传GPMC,扩展你的域名,单击鼠标右键,默认的域名政策,并选择编辑;。这样,组策略对象编辑器加载。如果你想编辑您的DNS策略对象以更快的速度或子,企业级,可以运行在gpedit.msc菜单。
1、确定默认密码策略,使您的组织位于计算机配置/ Windows设置/安全设置/帐户策略/密码策略中;
2。为了防止自动密码破解,在下面的设置中,配置Windows设置/安全设置/帐户策略/帐户关闭策略的计算机:
帐户关闭时间(至少5-10分钟)
关闭帐户的限制(确定最大允许5到10的非法登录)
然后重新启动关闭帐户(至少10-15分钟后)
三.在配置Windows设置/安全设置/本地策略/检查策略的计算机中,启用以下功能:
支票帐户管理
检查登录事件
检查策略的变化
检查当局的使用
检查系统事件
理想情况下,你将不得不记录成功和失败的登录启用。然而,这取决于什么类型的你要保持和你是否可以管理记录。Roberta Bragg介绍了一些常见的检查记录设置在这里。记住,使各类型的记录需要更多的资源从你的系统中的处理器和硬盘。
4、作为增强Windows安全性并为攻击者设置更多障碍的最佳方法,为了减少对Windows的攻击,您可以在计算机配置/ Windows设置/安全设置/本地策略/安全选项中设置以下设置。
帐户:重命名管理员帐户——不是更有效,而是添加一个安全层(确定一个新名称)
帐号:重命名客户帐户(确定新名称)
交互式登录:不显示最后一个用户的名称(设置为启用)
交互式登录:不需要最后一个用户的名称(设置为关闭)
交互式登录:为试图登录的用户提供消息文本。它决定允许用户读取横幅文本(横幅文本)。内容大致是。这是一个专用控制系统。
如果你滥用系统,你将受到惩罚。-让你的律师先运行程序。
交互式登录:试图登录的用户的消息主题——警告!!!
网络访问:山姆帐户和共享目录是不允许的(设置为;)
网络访问:允许每个人申请匿名用户设置关闭。
网络安全:不存储哈希值下一个密码由局域网管理员修改;设置为启用;
关机:允许系统关闭无需登录;设置为关闭;
关机:清除虚拟内存的页面文件;设置为启用;
如果您没有Windows Server 2003域控制器,您可以在这里找到Windows XP本地安全设置的详细信息,以及详细的Windows 2000服务器组策略设置。有关Windows Server 2003组策略的更多信息,请查看微软的特殊Web页面。