- 1、本文档共119页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
本机原则
Windows 伺服器安全問題 Windows 伺服器安全問題 本機安全原則設定(Local Security Policy Settings) 系統組態設定(System Configuration Settings)之中。 Windows 2003特殊的設定問題 本機安全原則設定 Windows 是採用圖形化介面(GUI)的本機原則編輯器。 點選『控制台』/『系統管理工具』/『本機安全原則』(詳見圖15-1),即可開啟本機原則編輯器視窗。 工具程式除了允許管理員設定帳戶原則之外,也允許設定本機安全性原則。 本機安全性原則GUI其實就是登錄檔(Registry)的前台編輯工具。 不需要使用登錄檔編輯器(regedit或regedit32)來修改登錄檔的設定值。 一般而言,最好使用這個工具來變更這些安全性原則的設定值,而不是直接使用登錄檔編輯器來修改。 登入訊息 Windows提供兩種對使用者顯示登入訊息的方式: 使用者嘗試登入的訊息文字。 使用者嘗試登入的訊息標題。 關機時清除虛擬記憶體分頁檔 在系統執行的過程中,虛擬記憶體分頁檔包含了許多重要的系統資訊,這些資訊可能包括加密金鑰或密碼雜湊。 只要啟用『當關機時清除虛擬記憶體分頁檔』選項,即可強迫Windows 2000關機時清除分頁檔。 允許不登入就將系統關機 如果一般使用者無法登入時,也不能允許他們關閉系統。 應該停用『允許不登入就將系統關機』。 LAN Manager驗證層級 LAN Manageer驗證是讓Windows 2000伺服器接受Windows 95或98用戶端的驗證系統(以及Windows工作群組)。 LAN Manager驗證機制比Windows NT或Windows 2000驗證系統(稱為NTLM v2)更不安全,因此可能讓入侵者較容易暴力攻擊加密過的密碼。 如果要強制使用NTLM v2驗證,請依照下列方式設定: 1.選擇LAN Manager驗證層級設定。 2.從下拉式選單選取合適的層級 層級的數值應該依據使用環境的需求加以設定。六種層級設定的內容如下: 傳送LM和NTLM回應:預設都會回應LM和NTLM。設定之後,系統將不會使用NTLM v2工作階段安全性。 傳送LM和NTLM回應:如有交涉,使用NTLMv2工作階段安全性。 只傳送NTLM回應。 只傳送NTLM v2回應。 只傳送NTLM v2回應,拒絕LM。 只傳送NTLM v2回應,拒絕LM與NTLM。 匿名使用者連線的其他限制 這個原則設定允許管理員定義匿名連線可以執行的項目。三個選項如下: 無。依賴預設權限, 不允許SAM帳戶與共同的列舉 沒有明確宣告的匿名權限則不能存取 Windows 2003額外的本機安全原則設定 Windows 2003伺服器和Windows 2000的本機安全原則設定的為一不同之處,就是軟體限制原則(Software Restriction Policies,SRP)(詳見圖15-3)。 SRP允許控制可以在本機電腦系統執行的軟體。 管理員可以利用這個選項,設定電腦系統是否允許執行某些特定類型的軟體,而且也可以用來防止執行不信任的軟體。 軟體限制原則 軟體限制原則 管理員可以定義預設的安全性層級(允許可以執行軟體)或是拒絕執行軟體(允許執行軟體的決策相當模糊)。 雖然後者的成效較好,但是也可能造成限制性過高的結果。 在這些軟體影響任何系統運作之前,多花點時間詳加測試與設定。 在設定軟體限制原則的預設值之後,即可針對特定軟體建立軟體限制原則規則,並做為預設的例外安全性層級。 軟體限制原則 可以做為例外軟體的依據如下: 雜湊 憑證 路徑(包含登錄資訊的路徑) 網際網路區域 使用軟體限制原則可以達成下列目標: 限制某些在電子郵件程式附件目錄之下執行的檔案類型。 限制某些使用者可以在終端機伺服器執行的程式。 系統設定 檔案系統 網路設定 帳戶設定 Service pack和修補 檔案系統 Windows 2000系統上的所有檔案系統,都應該轉換成NTFS檔案系統。 FAT檔案系統並不允許設定檔案許可權限,因此採用NTFS會比較好。 如果系統含有FAT擋案系統,也可以執行CONVERT程式將它轉換成NTFS。 程式執行完畢將會重新開機,但是不曾影響檔案系統上的現有資料。 Windows 2000 採用新版的NTFS檔案系統 一 NTFS-5。NTFS-5新增許多個人許可權的設定項目: 跨資料夾/執行檔案 列出資料夾/讀取資料 讀取屬性 讀取擴充屬性 建立檔案/寫入資料 建立資料夾/附加資料 寫入屬性 寫入擴充屬性 刪除子資料夾及檔案 刪除 讀取許可權 變更許可權 取得擁有權 在Woindows 2000正式運作之前,管理員和安全幕僚應
您可能关注的文档
- 方案化疗所致神经毒性的随机 - 中国临床试验注册中心.doc
- 方文山中国风作品之研析 - 中学生网站.pdf
- 无创正压通气临床应用进展.pdf
- 无锡口腔医院坐落在太湖之滨、江苏省无锡市城区中心,与无锡历史 .doc
- 无锡智能自控工程股份有限公司2017 年第二次临时股东大会决议公告.pdf
- 无菸校园最健康扫除烟味多芬芳.ppt
- 无管化经皮肾镜和输尿管镜碎石术处理最大径线 - 北京大学学报(医学版).pdf
- 无锡智能自控工程股份有限公司关于使用暂时闲置募集资金进行现金 .pdf
- 无锡智能自控工程股份有限公司关于签订募集资金三方监管协议的公告.pdf
- 无锡智能自控工程股份有限公司股票交易异常波动公告 - 巨潮资讯.pdf
- 人教版九年级英语全一册单元速记•巧练Unit13【速记清单】(原卷版+解析).docx
- 人教版九年级英语全一册单元速记•巧练Unit9【速记清单】(原卷版+解析).docx
- 人教版九年级英语全一册单元速记•巧练Unit11【速记清单】(原卷版+解析).docx
- 人教版九年级英语全一册单元速记•巧练Unit14【单元测试·提升卷】(原卷版+解析).docx
- 人教版九年级英语全一册单元速记•巧练Unit8【速记清单】(原卷版+解析).docx
- 人教版九年级英语全一册单元速记•巧练Unit4【单元测试·提升卷】(原卷版+解析).docx
- 人教版九年级英语全一册单元速记•巧练Unit13【单元测试·基础卷】(原卷版+解析).docx
- 人教版九年级英语全一册单元速记•巧练Unit7【速记清单】(原卷版+解析).docx
- 苏教版五年级上册数学分层作业设计 2.2 三角形的面积(附答案).docx
- 人教版九年级英语全一册单元速记•巧练Unit12【单元测试·基础卷】(原卷版+解析).docx
文档评论(0)