安全設定Windows組策略 有效阻止駭客

本篇技術指南中，將概要介紹你如何修改最重要的組策略安全設定。

　　你可以在採用Windows XP、2000和Server 2003作業系統的本地計算機上使用這些方法，或者在Server 2003和2000中的OU域名級上使用這些方法。為了簡明扼要和提供最新的資訊，我準備介紹一下如何設定基於Windows Server 2003的域名。請記住，這些只是你在你的域名中能夠設定的組策略物件中最有可能出現問題的。按照我的觀點，這些設定可以保持或者破壞Windows的安全。而且由於設定的不同，你的進展也不同。因此，我鼓勵你在使用每一個設定之前都進行深入的研究，以確保這些設定能夠相容你的網路。如果有可能的話，對這些設定進行試驗(如果你很幸運有一個測試環境的話)。

　　如果你沒有進行測試，我建議你下載和安裝微軟的組策略管理控制檯(GPMC)來做這些改變。這個程式能夠把組策略管理任務集中到一個單一的介面讓你更全面地檢視你的域名。要開始這個編輯流程，你就上載GPMC，擴充套件你的域名，用滑鼠右鍵點選“預設域名策略”，然後選擇“編輯”。這樣就裝載了組策略物件編輯器。如果你要以更快的速度或者“次企業級”的方式編輯你的域名組策略物件，你可以在“開始”選單中執行“gpedit.msc”。

　　1.確定一個預設的口令策略，使你的機構設定位於“計算機配置/Windows設定/安全設定/賬號策略/口令策略”之下。

　　2.為了防止自動口令破解，在“計算機配置/Windows設定/安全設定/賬號策略/賬號關閉策略”中進行如下設定:

　　·賬號關閉持續時間(確定至少5-10分鐘)

　　·賬號關閉極限(確定最多允許5至10次非法登入)

　　·隨後重新啟動關閉的賬號(確定至少10-15分鐘以後)

　　3.在“計算機配置/Windows設定/安全設定/本地策略/檢查策略”中啟用如下功能:

　　·檢查賬號管理

　　·檢查登入事件

　　·檢查策略改變

　　·檢查許可權使用

　　·檢查系統事件

　　理想的情況是，你要啟用記錄成功和失敗的登入。但是，這取決於你要保留什麼型別的記錄以及你是否能夠管理這些記錄。Roberta Bragg在這裡介紹了一些普通的檢查記錄設定。要記住，啟用每一種型別的記錄都需要你的系統處理器和硬碟提供更多的資源。

　　4.作為增強Windows安全的最佳做法和為攻擊者設定更多的障礙以減少對Windows的攻擊，你可以在“計算機配置/Windows設定/安全設定/本地策略/安全選項”中進行如下設定:

　　·賬號:重新命名管理員賬號--不是要求更有效而是增加一個安全層(確定一個新名字)

　　·賬號:重新命名客戶賬號(確定一個新名字)

　　·互動式登入:不要顯示最後一個使用者的名字(設定為啟用)

　　·互動式登入:不需要最後一個使用者的名字(設定為關閉)

　　·互動式登入: 為企圖登入的使用者提供一個訊息文字(確定為讓使用者閱讀banner text(旗幟文字)，內容大致為“這是專用和受控的系統。

　　如果你濫用本系統，你將受到制裁。--首先讓你的律師執行這個程式)

　　·互動式登入: 為企圖登入的使用者提供的訊息題目--在警告!!!後面寫的東西

　　·網路接入:不允許SAM賬號和共享目錄(設定為“啟用”)

　　·網路接入:將“允許每一個人申請匿名使用者”設定為關閉

　　·網路安全:“不得儲存區域網管理員關於下一個口令變化的雜湊值”設定為“啟用”

　　·關機:“允許系統在沒有登入的情況下關閉”設定為“關閉”

　　·關機:“清除虛擬記憶體的頁面檔案”設定為“啟用”

　　如果你沒有Windows Server 2003域名控制器，你在這裡可以找到有哪些Windows XP本地安全設定的細節，以及這裡有哪些詳細的Windows 2000 Server組策略的設定。要了解更多的有關Windows Server 2003組策略的資訊，請檢視微軟的專門網頁。

[@more@]