- 1、本文档共5页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
PAGE 1
PAGE 1
Windows安全配置关键要素
为了确保这些账户在本地管理员组中,在每个服务器和桌面中,你都可以适用组策略。你需要访问组策略参数选择(GroupPolicyPreferences),然后打开组策略对象到以下节点:ComputerConfiguration\Preferences\ControlPanelSettings\LocalUsersandGroups\New\LocalGroup,如图3所示。 图3:确保本地管理员的组员是安全的 为了确保这些账户在本地管理员组中,在每个服务器和桌面中,你都可以适用组策略。你需要访问组策略参数选择(GroupPolicyPreferences),然后打开组策略对象到以下节点:ComputerConfiguration\Preferences\ControlPanelSettings\LocalUsersandGroups\New\LocalGroup,如图3所示。 图3:确保本地管理员的组员是安全的 本文中我们将重点探讨十大安全配置要素,这些要素都是管理员简单忽视的安全问题。 4.重新设置本地管理员密码 现在我最喜欢的问题就是“上次你重新设置每台计算机的本地管理员密码是什么时候?”,每次几乎都得到相同的答案,“安装过程中”,“三年前”,“从没有设置”,这些都是不能接受的。这是很关键的配置,企业应当至少一到三个月设置一次密码。假如没有定期重新设置本地管理员密码的话,蠕虫病毒和攻击者将有机可乘。现在只需使用组策略参数设置就可以简洁设置密码重置。 要配置此设置,你需要设置一个符合组策略参数的组策略对象。 留意: 和上一个设置一样,这个设置必需在运行WindowsSever2008或者VistaSP1的计算机上进行,不过也向后兼容WindowsXPSP2和WindowsServer2003SP1。 假如你打开编辑器中的GPO到Configuration\Preferences\ControlPanelSettings\LocalUsersandGroups\New\LocalUser,如图4所示。 图4:你可以从GPO未每台计算机重新设置本地管理员密码 5.为管理员启用UAC 我知道许多人不喜欢UAC,然而对于大多数企业而言,最好启用UAC来保障最高的安全水平,在这里就不再阐述UAC的重要性问题,但是UAC肯定是管理员保障企业安全的不二选择。 要配置这个设置,你需要进入组策略对象的编辑模式,然后你需要打开以下节点:ComputerConfiguration|WindowsSettings|SecuritySettings|LocalPolicies|SecurityOptions|UserAccountControl:内置管理员账户的管理员批准模式以及用户账号掌握。在管理员批准模式中的行为提示信息如下图所示。 图5:UAC有两个设置可以掌握管理员使用功能的方式 许多IT部门都会埋怨微软公司产品担心全,但是只要管理员肯花时间来配置,系统将变得特别安全。 第二个LM保护设置也是在相同的GPO路径,该设置在大多数版本的Windows和ActiveDirectory中都没有配置,它可以帮助保护位于服务器和计算机的ActiveDirectory数据库或者本地安全账户管理器(SAM)中的LMhash。该设置如下图所示,可以防止LMhash被存储在账户数据库中。 图8:LMhash的存储可以被组策略所掌握 该设置只有两个选项:启用或者禁用。抱负状况下,你需要选择启用。这样的话,当用户下次修改密码时,就不会将LMhash值存储在数据库中。 本文中我们将重点探讨十大安全配置要素,这些要素都是管理员简单忽视的安全问题。 7.为管理员设置粒化密码 可能许多读者都在期盼这一部分。我知道有超过90%的Windows管理员都期望这项技术早日面市,这项技术被称为“粒化密码政策(FGPP)”,它允许在相同AD域中设置多个密码政策。这也就意味着IT管理员至少可以有20字符长度的密码。财务用户至少可以使用15个字符长度的密码,而行政人员可以使用至少2字符长度的密码。 这里有个技巧,这不是使用组策略配置的!没错,你在原始AD数据库中配置FGPP,最好的方法就是使用ADSIEdit.msc,不过有些供应商供应的解决方案可以为你供应更简洁的设置方法。 在这里,我供应一些基本的设置要求: 1.全部域掌握器
您可能关注的文档
最近下载
- 2023年《关于进一步加强矿山安全生产工作的意见》PPT课件.pptx
- 高中数学-椭圆-知识题型总结.pdf VIP
- 我的第二个图书馆Usborne Young Reading Series One -- Rumpelstiltskin.docx VIP
- 苏教版小学数学五年级下册期末测试卷(含答案).pdf VIP
- 养老机构 · 员工薪酬管理制度.doc VIP
- 肛周脓肿护理查房ppt课件.pptx VIP
- “垃圾分类,德法共治”教学设计.doc
- 部编版四年级语文下册第七单元知识点汇总.pdf
- 2022-2023学年浙江省宁波市江北区七年级(上)期末数学试卷(附答案详解).pdf VIP
- 我的第二个图书馆Usborne Young Reading Series One -- The elves and the shoemaker.docx VIP
文档评论(0)