您现在的位置:主页 > 服务器 > Win服务器 >

Windows2003服务器安装及设置教程——本地安全策略篇

来源:建站吧 责任编辑:Jzq8 发表时间:2011-12-13 点击:

Windows2003服务器安装及设置教程——安全策略篇

  1. 安全策略自动更新命令:GPUpdate /force(应用组策略自动生效不需要重新启动)
  2. 禁用GUEST用户
  3. 本地安全策略-->审核策略
    审核策略更改   成功 失败
    审核登陆事件   成功 失败
    审核对象访问      失败
    审核过程跟踪   无审核
    审核目录服务访问    失败
    审核特权使用      失败
    审核系统事件   成功 失败
    审核帐户登陆事件 成功 失败
    审核帐户管理   成功 失败
  4. 本地策略-->用户权限分配
    关闭系统:只有Administrators组、其它全部删除。
     通过终端服务拒绝登陆:加入Guests组(网上很多教程说要加入Users组,实践证明加入Users组后远程桌面就无法运行)
     通过终端服务允许登陆:只加入Administrators组,其他全部删除
  5. 本地策略-->安全选项
    交互式登陆:不显示上次的用户名       启用
    网络访问:不允许SAM帐户和共享的匿名枚举  启用
    网络访问:不允许为网络身份验证储存凭证   启用
    网络访问:可匿名访问的共享         全部删除
    网络访问:可匿名访问的命          全部删除
    网络访问:可远程访问的注册表路径      全部删除 
    网络访问:可远程访问的注册表路径和子路径  全部删除 
    帐户:重命名来宾帐户            重命名一个帐户 
    帐户:重命名系统管理员帐户         重命名一个帐户
  6. 帐户策略-->帐户锁定策略
    复位用户锁定计数器时间为20分钟
    用户锁定时间为20分钟
    用户锁定阈值为3次
  7. 帐户策略-->密码策略
    密码必须符合复杂性要求  启用
    密码长度最小值      6位
    强制密码历史       5次
    密码最长使用期限     42天
     
  8. IP安全策略
    协议 IP协议端口 源地址 目标地址 描述 方式
    ICMP -- -- -- ICMP 阻止
    UDP 135 任何IP地址 我的IP地址 135-UDP 阻止
    UDP 136 任何IP地址 我的IP地址 136-UDP 阻止
    UDP 137 任何IP地址 我的IP地址 137-UDP 阻止
    UDP 138 任何IP地址 我的IP地址 138-UDP 阻止
    UDP 139 任何IP地址 我的IP地址 139-UDP 阻止
    TCP 445 任何IP地址-从任意端口 我的IP地址-445 445-TCP 阻止
    UDP 445 任何IP地址-从任意端口 我的IP地址-445 445-UDP 阻止
    UDP 69 任何IP地址-从任意端口 我的IP地址-69 69-入 阻止
    UDP 69 我的IP地址-69 任何IP地址-任意端口 69-出 阻止
    TCP 4444 任何IP地址-从任意端口 我的IP地址-4444 4444-TCP 阻止
    TCP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止
    TCP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止
    TCP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止
    UDP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止
    UDP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止
    UDP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止
    TCP 21 我的IP地址-从任意端口 任何IP地址-到21端口 阻止tftp出站 阻止
    TCP 99 我的IP地址-99 任何IP地址-任意端口 阻止99shell 阻止
    TCP 4899 任何IP地址-4899 我的IP地址 影子Radmin默认端口 阻止
    UDP 4899 任何IP地址-4899 我的IP地址 影子Radmin默认端口 阻止
    UDP 123 任何IP地址-123 我的IP地址 容易被提权工具利用 阻止
    TCP 1720 任何IP地址-1720 我的IP地址 NetMeeting 阻止
    TCP 636 任何IP地址-636 我的IP地址 安全轻型目录访问协议(SSL 上的 LDAP)通信 阻止
    TCP 593 任何IP地址-593 我的IP地址 DCOM 阻止

 

UI 中的设置名称 企业客户端台式计算机 企业客户端便携式计算机 高安全级台式计算机 高安全级便携式计算机

帐户: 使用空白密码的本地帐户只允许进行控制台登录

已启用

已启用

已启用

已启用

帐户: 重命名系统管理员帐户

推荐

推荐

推荐

推荐

帐户: 重命名来宾帐户

推荐

推荐

推荐

推荐

设备: 允许不登录移除

已禁用

已启用

已禁用

已禁用

设备: 允许格式化和弹出可移动媒体

Administrators, Interactive Users

Administrators, Interactive Users

Administrators

Administrators

设备: 防止用户安装打印机驱动程序

已启用

已禁用

已启用

已禁用

设备: 只有本地登录的用户才能访问 CD-ROM

已禁用

已禁用

已启用

已启用

设备: 只有本地登录的用户才能访问软盘

已启用

已启用

已启用

已启用

设备: 未签名驱动程序的安装操作

允许安装但发出警告

允许安装但发出警告

禁止安装

禁止安装

域成员: 需要强 (Windows 2000 或以上版本) 会话密钥

已启用

已启用

已启用

已启用

交互式登录: 不显示上次的用户名

已启用

已启用

已启用

已启用

交互式登录: 不需要按 CTRL+ALT+DEL

已禁用

已禁用

已禁用

已禁用

交互式登录: 用户试图登录时消息文字

此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

交互式登录: 用户试图登录时消息标题

继续在没有适当授权的情况下使用是违法行为。

继续在没有适当授权的情况下使用是违法行为。

继续在没有适当授权的情况下使用是违法行为。

继续在没有适当授权的情况下使用是违法行为。

交互式登录: 可被缓存的前次登录个数 (在域控制器不可用的情况下)

2

2

0

1

交互式登录: 在密码到期前提示用户更改密码

14 天

14 天

14 天

14 天

交互式登录: 要求域控制器身份验证以解锁工作站

已禁用

已禁用

已启用

已禁用

交互式登录: 智能卡移除操作

锁定工作站

锁定工作站

锁定工作站

锁定工作站

Microsoft 网络客户: 数字签名的通信(若服务器同意)

已启用

已启用

已启用

已启用

Microsoft 网络客户: 发送未加密的密码到第三方 SMB 服务器。

已禁用

已禁用

已禁用

已禁用

Microsoft 网络服务器: 在挂起会话之前所需的空闲时间

15 分钟

15 分钟

15 分钟

15 分钟

Microsoft 网络服务器: 数字签名的通信(总是)

已启用

已启用

已启用

已启用

Microsoft 网络服务器: 数字签名的通信(若客户同意)

已启用

已启用

已启用

已启用

Microsoft 网络服务器: 当登录时间用完时自动注销用户

已启用

已禁用

已启用

已禁用

网络访问: 允许匿名 SID/名称 转换

已禁用

已禁用

已禁用

已禁用

网络访问: 不允许 SAM 帐户和共享的匿名枚举

已启用

已启用

已启用

已启用

网络访问: 不允许 SAM 帐户和共享的匿名枚举

已启用

已启用

已启用

已启用

网络访问: 不允许为网络身份验证储存凭据或 .NET Passports

已启用

已启用

已启用

已启用

网络访问: 限制匿名访问命名管道和共享

已启用

已启用

已启用

已启用

网络访问: 本地帐户的共享和安全模式

经典 - 本地用户以自己的身份验证

经典 - 本地用户以自己的身份验证

经典 - 本地用户以自己的身份验证

经典 - 本地用户以自己的身份验证

网络安全: 不要在下次更改密码时存储 LAN Manager 的哈希值

已启用

已启用

已启用

已启用

网络安全: 在超过登录时间后强制注销

已启用

已禁用

已启用

已禁用

网络安全: LAN Manager 身份验证级别

仅发送 NTLMv2 响应

仅发送 NTLMv2 响应

仅发送 NTLMv2 响应\拒绝 LM & NTLM

仅发送 NTLMv2 响应\拒绝 LM & NTLM

网络安全: 基于 NTLM SSP(包括安全 RPC)客户的最小会话安全

没有最小

没有最小

要求 NTLMv2 会话安全 要求 128-位加密

要求 NTLMv2 会话安全 要求 128-位加密

网络安全: 基于 NTLM SSP(包括安全 RPC)服务器的最小会话安全

没有最小

没有最小

要求 NTLMv2 会话安全 要求 128-位加密

要求 NTLMv2 会话安全 要求 128-位加密

故障恢复控制台: 允许自动系统管理级登录

已禁用

已禁用

已禁用

已禁用

故障恢复控制台: 允许对所有驱动器和文件夹进行软盘复制和访问

已启用

已启用

已禁用

已禁用

关机: 允许在未登录前关机

已禁用

已禁用

已禁用

已禁用

关机: 清理虚拟内存页面文件

已禁用

已禁用

已启用

已启用

系统加密: 使用 FIPS 兼容的算法来加密,哈希和签名

已禁用

已禁用

已禁用

已禁用

系统对象: 由管理员 (Administrators) 组成员所创建的对象默认所有者

对象创建者

对象创建者

对象创建者

对象创建者

系统设置: 为软件限制策略对 Windows 可执行文件使用证书规则

已禁用

已禁用

已禁用

已禁用

    发表评论
    请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
    评价:
    表情:
    验证码:点击我更换图片

    今日头条

    更多>>

    推荐图文

    • WinXP下IIS服务没有及时响应启动或控制请求错误解决方法
    • 通过设置IIS主机头建立虚拟主机教程
    • IIS6中ASP的启用及父路径的设置
    • IIS的安装
    • Windows Server 2008下IIS 7配置ASP+AC
    • Windows 2003系统安全+IIS下Web与FTP的完美结合
    • WIN主机配置PHP的若干问题解决方案总结+failed to ope
    • XP配置IIS+ASP详解(新手本机调试ASP必读)
    • IIS如何在Windows 2000系统上安全构建指南
    Alexa - 客户服务 - 联系方法 - 招聘信息 - 友情链接 - 网站地图 - TAG标签 - RSS订阅
    Copyright © 2010-2012 JZQ8.COM. 建站吧|建站去吧 版权所有
    冀ICP备09002514号
    冀ICP备09002514号 网络报警 企业法人营业执照 中国互联网协会 支付宝付款 网银在线付款