当前位置: 首页 > 图文教程 > 操作系统 > Windows > 安全设置组策略有效阻止黑客攻击

Windows
Windows7 用msinfo32查看版本号
系统技巧 制作闪存启动盘的思路
Windows7 不能打开.hlp文件问题解决
win7 以system帐户身份登录系统删除文件
Windows7 不能正常运行程序的解决方法
Windows7 快捷键大全 提高您的工作效率
安装Windows7 系统大硬盘分区方案
让你的windows7 系统更加完美的12种设置技巧
Windows7 系统应用Ghost软件注意事项
Windows7 新特性 Jump List
揭秘Win7 Vista下WinSXS超大文件夹.
Win7 判断自己的电脑是否被别人用过
Windows7 自动登录设置方法
Windows7 正版安装错误代码 0XC004F061
卸载双系统下面的Windows7的方法
解决Windows7 播放影音的锯齿问题
确保安全 Windows7十大禁忌服务
禁用Windows7的光盘刻录功能及去除快捷方式箭头
Windows7 无法删除文件的删除方法
Win7与winXP的双系统安装及Ghost注意事项

Windows 中的 安全设置组策略有效阻止黑客攻击


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-01   浏览: 35 ::
收藏到网摘: n/a

  在本篇技术指南中,将概要介绍你如何修改最重要的组策略安全设置。

  你可以在采用Windows XP、2000和Server 2003操作系统的本地计算机上使用这些方法,或者在Server 2003和2000中的OU域名级上使用这些方法。为了简明扼要和提供最新的信息,我准备介绍一下如何设置基于Windows Server 2003的域名。请记住,这些只是你在你的域名中能够设置的组策略对象中最有可能出现问题的。按照我的观点,这些设置可以保持或者破坏Windows的安全。而且由于设置的不同,你的进展也不同。因此,我鼓励你在使用每一个设置之前都进行深入的研究,以确保这些设置能够兼容你的网络。如果有可能的话,对这些设置进行试验(如果你很幸运有一个测试环境的话)。

  如果你没有进行测试,我建议你下载和安装微软的组策略管理控制台(GPMC)来做这些改变。这个程序能够把组策略管理任务集中到一个单一的界面让你更全面地查看你的域名。要开始这个编辑流程,你就上载GPMC,扩展你的域名,用鼠标右键点击“缺省域名策略”,然后选择“编辑”。这样就装载了组策略对象编辑器。如果你要以更快的速度或者“次企业级”的方式编辑你的域名组策略对象,你可以在“开始”菜单中运行“gpedit.msc”。

  1.确定一个缺省的口令策略,使你的机构设置位于“计算机配置/Windows设置/安全设置/账号策略/口令策略”之下。

  2.为了防止自动口令破解,在“计算机配置/Windows设置/安全设置/账号策略/账号关闭策略”中进行如下设置:

  ·账号关闭持续时间(确定至少5-10分钟)

  ·账号关闭极限(确定最多允许5至10次非法登录)

  ·随后重新启动关闭的账号(确定至少10-15分钟以后)

  3.在“计算机配置/Windows设置/安全设置/本地策略/检查策略”中启用如下功能:

  ·检查账号管理

  ·检查登录事件

  ·检查策略改变

  ·检查权限使用

  ·检查系统事件

  理想的情况是,你要启用记录成功和失败的登录。但是,这取决于你要保留什么类型的记录以及你是否能够管理这些记录。Roberta Bragg在这里介绍了一些普通的检查记录设置。要记住,启用每一种类型的记录都需要你的系统处理器和硬盘提供更多的资源。

  4.作为增强Windows安全的最佳做法和为攻击者设置更多的障碍以减少对Windows的攻击,你可以在“计算机配置/Windows设置/安全设置/本地策略/安全选项”中进行如下设置:

  ·账号:重新命名管理员账号--不是要求更有效而是增加一个安全层(确定一个新名字)

  ·账号:重新命名客户账号(确定一个新名字)

  ·交互式登录:不要显示最后一个用户的名字(设置为启用)

  ·交互式登录:不需要最后一个用户的名字(设置为关闭)

  ·交互式登录: 为企图登录的用户提供一个消息文本(确定为让用户阅读banner text(旗帜文本),内容大致为“这是专用和受控的系统。

  如果你滥用本系统,你将受到制裁。--首先让你的律师运行这个程序)

  ·交互式登录: 为企图登录的用户提供的消息题目--在警告!!!后面写的东西

  ·网络接入:不允许SAM账号和共享目录(设置为“启用”)

  ·网络接入:将“允许每一个人申请匿名用户”设置为关闭

  ·网络安全:“不得存储局域网管理员关于下一个口令变化的散列值”设置为“启用”

  ·关机:“允许系统在没有登录的情况下关闭”设置为“关闭”

  ·关机:“清除虚拟内存的页面文件”设置为“启用”

  如果你没有Windows Server 2003域名控制器,你在这里可以找到有哪些Windows XP本地安全设置的细节,以及这里有哪些详细的Windows 2000 Server组策略的设置。要了解更多的有关Windows Server 2003组策略的信息,请查看微软的专门网页。