|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2004-05-17, 10:17 PM | #1 |
榮譽會員
|
Windows2000本機安全原則初步
說道Windows2000就不得不提到Windows2000的安全性。
與Windows98比起來,Windows2000的安全性要搞得多。 但是在預設的情況下Windows2000有時候不能滿足我們對安全性的要求,那麼怎麼修改這些安全性設定呢? 對於單機而言,安全性設定的核心就是本機安全原則,讓我們來看看怎麼對這些安全原則進行設定的。 點擊「開始|控制台|系統管理工具|本機安全原則」,就進入了本機安全原則設定視窗。在視窗的右邊是一個樹狀目錄,包括「帳戶原則」、「本機原則」、「公鑰原則」和「IP安全原則」。 下面我們來逐一看看每一個項目中的常用設定的使用方法。 帳戶原則 在這個項中主要是對用戶的帳號的安全性進行設定,包括了「密碼原則」和「帳戶鎖定原則」兩項。在「密碼原則」中我們可以為密碼定義必須符合的規則。 如果我們要限制密碼的最小長度,可以在「密碼長度最小值」中設定密碼至少不少於的字串數。 如設定為8,那麼用戶所設定的密碼必須是8位以上的密碼,否則就無法生效。 而「密碼最長存留期」是定義修改密碼的時間,預設是42天,也就是說在新的密碼生效了42天過後就必須修改密碼,這可有效地防止密碼洩露。在帳戶鎖定原則中我們可以設定鎖定帳戶的方式。 在一個需要高度安全的環境中我們為了防止黑客以猜測密碼方式登入系統,通常要設定「帳戶鎖定閾值」。 這個值就是設定多少次無效登入(也就是密碼輸入錯誤)就鎖定帳戶,比如我們可以設定為3次密碼輸入錯誤就鎖定帳號。但是如果帳號鎖定了,正常的用戶怎麼才能登入呢?這就要設定「帳戶鎖定時間」,如設定為30分鐘,這就表明帳號鎖定了30分鐘以後就解除帳號鎖定。 本機原則 在這裡包含了「稽核原則」、「使用者權利指派」和「安全性選項」。在「稽核原則」中我們可以追蹤系統中的所有事件。如果我們懷疑有非法用戶可能登入到你的系統中,我們可以設定「稽核帳戶登入事件」。 點擊這一選項,我們可以在彈出的對話視窗中設定稽核成功的登入事件或者失敗的登入事件。 如果啟用「稽核對像訪問」就可以對用戶訪問系統中的對象進行稽核,包括文件、各種硬體設定、帳戶內容的修改等等的稽核。 比如啟用後,可以在存放重要資料的資料夾的內容中設定稽核,這樣任何用戶對這個資料夾中的文件的各種操作(複製、刪除、修改等等)都會記錄下來。 這些稽核記錄都可以在「系統管理工具」中的「事件檢視器 」中檢視到。 「使用者權利指派」項中我們可以設定用戶的各種權限。 比如在預設情況下只有Power Users和Administrators組可以修改系統時間,如果我們需要其他用戶修改系統時間,就在「更改系統時間」項中將這個用戶加入進去就可以讓這個用戶修改系統時間了。 如果你不想讓某個用戶從網路訪問你,可以在「拒絕從網路訪問這台電腦」項中將這個用戶增加上去。 「安全性選項」中也包含了大量的安全性設定。你不想讓其他人通過網路訪問你的CD-ROM,就可以將「只有本機登入用戶才能訪問CD-ROM」啟用。 一般情況下,Windows2000登入的時候要同時按下CTRL+ALT+DEL才能進行登入設定,如果你嫌麻煩可以將「禁用按CTRL+ALT+DEL進行登入的設定」設定為啟用,這樣登入的時候就可以免去按CTRL+ALT+DEL。 同樣的,如果你不想儲存上次登入的用戶名(這樣可以防止用戶名洩漏),可以將「登入螢幕上不要顯示上次登入的用戶名」項啟用。 我們還可以使用「用戶試突登入時消息標題」和「用戶試突登入時消息文字」設定登入前顯示的提示文字框,這樣對非法入侵者有警示作用。 公鑰原則 在這裡主要是設定EFS(加密文件系統)的恢復代理。預設的情況下是Administrator。也就是說如果你在NTFS分區上用EFS方式加密了一個文件或者資料夾,如果密碼忘記了,Administrator可以說明 你將加密文件開啟。 IP安全原則 我們看到在整個安全原則要設定的項目非常多,設定起來非常麻煩,怎麼才能簡化操作呢? 我們可以用Windows2000製作好的原則範本來簡化操作。用滑鼠右鍵點擊「安全性設定」,在彈出的表單中選項「匯入原則」,在WINNTsecuritytemplates中我們可以選項若干的安全原則的範本文件。 下表就是每一個範本文件所對應的安全特性 預設工作站 basicwk.inf 預設伺服器 basicsv.inf 預設域控制器 basicdc.inf 相容工作站或伺服器 compatws.inf 安全工作站或伺服器 securews.inf 高度安全工作站或伺服器 hisecws.inf 專用域控制器 dedicadc.inf 安全域控制器 securedc.inf 高度安全域控制器 hisecdc.inf 不過應當注意的是某些軟體可能和安全範本中的設定衝突,這就要更具需要調 你可以根據自己的需要選項安全範本。 整,如果不是很清楚應該怎麼調整就可以直接選項compatws.inf範本,這個安全範本可以解決絕大部分的相容問題。 |
送花文章: 3,
|
2004-05-17, 11:40 PM | #2 (permalink) |
長老會員
|
謝謝psac大,
我正使用win2ksp4, 來檢查設定自己的設定。 |
__________________ CPU : Intel Core2 Duo E6550 MB : Gigabyte GA-P35-DS3 RAM : Transcend DDRII800 1GB *2 HD : WD 2500AAKS SATAII 250G *2 DVDRW: Pioneer A8 + LiteOn LH-20A1H VGA : ELSA 8600GT PH2 256M DDR3 POWER: SeaSonic S12II 430W |
|
送花文章: 2847,
|