Windows安全配置关键要素.docxVIP

PAGE 1 PAGE 1 Windows安全配置关键要素 为了确保这些账户在本地管理员组中，在每个服务器和桌面中，你都可以适用组策略。你需要访问组策略参数选择(GroupPolicyPreferences)，然后打开组策略对象到以下节点：ComputerConfiguration\Preferences\ControlPanelSettings\LocalUsersandGroups\New\LocalGroup，如图3所示。  图3：确保本地管理员的组员是安全的  为了确保这些账户在本地管理员组中，在每个服务器和桌面中，你都可以适用组策略。你需要访问组策略参数选择(GroupPolicyPreferences)，然后打开组策略对象到以下节点：ComputerConfiguration\Preferences\ControlPanelSettings\LocalUsersandGroups\New\LocalGroup，如图3所示。  图3：确保本地管理员的组员是安全的   本文中我们将重点探讨十大安全配置要素，这些要素都是管理员简单忽视的安全问题。  4.重新设置本地管理员密码  现在我最喜欢的问题就是“上次你重新设置每台计算机的本地管理员密码是什么时候?”，每次几乎都得到相同的答案，“安装过程中”，“三年前”，“从没有设置”，这些都是不能接受的。这是很关键的配置，企业应当至少一到三个月设置一次密码。假如没有定期重新设置本地管理员密码的话，蠕虫病毒和攻击者将有机可乘。现在只需使用组策略参数设置就可以简洁设置密码重置。  要配置此设置，你需要设置一个符合组策略参数的组策略对象。  留意：  和上一个设置一样，这个设置必需在运行WindowsSever2008或者VistaSP1的计算机上进行，不过也向后兼容WindowsXPSP2和WindowsServer2003SP1。  假如你打开编辑器中的GPO到Configuration\Preferences\ControlPanelSettings\LocalUsersandGroups\New\LocalUser，如图4所示。  图4：你可以从GPO未每台计算机重新设置本地管理员密码  5.为管理员启用UAC  我知道许多人不喜欢UAC，然而对于大多数企业而言，最好启用UAC来保障最高的安全水平，在这里就不再阐述UAC的重要性问题，但是UAC肯定是管理员保障企业安全的不二选择。  要配置这个设置，你需要进入组策略对象的编辑模式，然后你需要打开以下节点：ComputerConfiguration|WindowsSettings|SecuritySettings|LocalPolicies|SecurityOptions|UserAccountControl：内置管理员账户的管理员批准模式以及用户账号掌握。在管理员批准模式中的行为提示信息如下图所示。  图5：UAC有两个设置可以掌握管理员使用功能的方式  许多IT部门都会埋怨微软公司产品担心全，但是只要管理员肯花时间来配置，系统将变得特别安全。  第二个LM保护设置也是在相同的GPO路径，该设置在大多数版本的Windows和ActiveDirectory中都没有配置，它可以帮助保护位于服务器和计算机的ActiveDirectory数据库或者本地安全账户管理器(SAM)中的LMhash。该设置如下图所示，可以防止LMhash被存储在账户数据库中。  图8：LMhash的存储可以被组策略所掌握  该设置只有两个选项：启用或者禁用。抱负状况下，你需要选择启用。这样的话，当用户下次修改密码时，就不会将LMhash值存储在数据库中。   本文中我们将重点探讨十大安全配置要素，这些要素都是管理员简单忽视的安全问题。  7.为管理员设置粒化密码  可能许多读者都在期盼这一部分。我知道有超过90%的Windows管理员都期望这项技术早日面市，这项技术被称为“粒化密码政策(FGPP)”，它允许在相同AD域中设置多个密码政策。这也就意味着IT管理员至少可以有20字符长度的密码。财务用户至少可以使用15个字符长度的密码，而行政人员可以使用至少2字符长度的密码。  这里有个技巧，这不是使用组策略配置的!没错，你在原始AD数据库中配置FGPP，最好的方法就是使用ADSIEdit.msc，不过有些供应商供应的解决方案可以为你供应更简洁的设置方法。  在这里，我供应一些基本的设置要求：  1.全部域掌握器