Windows2000本機安全原則初步

psac · 2004-05-17, 10:17 PM

說道Windows2000就不得不提到Windows2000的安全性。

與Windows98比起來，Windows2000的安全性要搞得多。

但是在預設的情況下Windows2000有時候不能滿足我們對安全性的要求，那麼怎麼修改這些安全性設定呢？

對於單機而言，安全性設定的核心就是本機安全原則，讓我們來看看怎麼對這些安全原則進行設定的。

點擊「開始｜控制台｜系統管理工具｜本機安全原則」，就進入了本機安全原則設定視窗。在視窗的右邊是一個樹狀目錄，包括「帳戶原則」、「本機原則」、「公鑰原則」和「IP安全原則」。

下面我們來逐一看看每一個項目中的常用設定的使用方法。

帳戶原則
在這個項中主要是對用戶的帳號的安全性進行設定，包括了「密碼原則」和「帳戶鎖定原則」兩項。在「密碼原則」中我們可以為密碼定義必須符合的規則。

如果我們要限制密碼的最小長度，可以在「密碼長度最小值」中設定密碼至少不少於的字串數。

如設定為8，那麼用戶所設定的密碼必須是8位以上的密碼，否則就無法生效。

而「密碼最長存留期」是定義修改密碼的時間，預設是42天，也就是說在新的密碼生效了42天過後就必須修改密碼，這可有效地防止密碼洩露。在帳戶鎖定原則中我們可以設定鎖定帳戶的方式。

在一個需要高度安全的環境中我們為了防止黑客以猜測密碼方式登入系統，通常要設定「帳戶鎖定閾值」。

這個值就是設定多少次無效登入（也就是密碼輸入錯誤）就鎖定帳戶，比如我們可以設定為3次密碼輸入錯誤就鎖定帳號。但是如果帳號鎖定了，正常的用戶怎麼才能登入呢？這就要設定「帳戶鎖定時間」，如設定為30分鐘，這就表明帳號鎖定了30分鐘以後就解除帳號鎖定。

本機原則

在這裡包含了「稽核原則」、「使用者權利指派」和「安全性選項」。在「稽核原則」中我們可以追蹤系統中的所有事件。如果我們懷疑有非法用戶可能登入到你的系統中，我們可以設定「稽核帳戶登入事件」。

點擊這一選項，我們可以在彈出的對話視窗中設定稽核成功的登入事件或者失敗的登入事件。

如果啟用「稽核對像訪問」就可以對用戶訪問系統中的對象進行稽核，包括文件、各種硬體設定、帳戶內容的修改等等的稽核。

比如啟用後，可以在存放重要資料的資料夾的內容中設定稽核，這樣任何用戶對這個資料夾中的文件的各種操作（複製、刪除、修改等等）都會記錄下來。

這些稽核記錄都可以在「系統管理工具」中的「事件檢視器」中檢視到。

「使用者權利指派」項中我們可以設定用戶的各種權限。

比如在預設情況下只有Power Users和Administrators組可以修改系統時間，如果我們需要其他用戶修改系統時間，就在「更改系統時間」項中將這個用戶加入進去就可以讓這個用戶修改系統時間了。

如果你不想讓某個用戶從網路訪問你，可以在「拒絕從網路訪問這台電腦」項中將這個用戶增加上去。

「安全性選項」中也包含了大量的安全性設定。你不想讓其他人通過網路訪問你的CD-ROM，就可以將「只有本機登入用戶才能訪問CD-ROM」啟用。

一般情況下，Windows2000登入的時候要同時按下CTRL+ALT+DEL才能進行登入設定，如果你嫌麻煩可以將「禁用按CTRL+ALT+DEL進行登入的設定」設定為啟用，這樣登入的時候就可以免去按CTRL+ALT+DEL。

同樣的，如果你不想儲存上次登入的用戶名（這樣可以防止用戶名洩漏），可以將「登入螢幕上不要顯示上次登入的用戶名」項啟用。

我們還可以使用「用戶試突登入時消息標題」和「用戶試突登入時消息文字」設定登入前顯示的提示文字框，這樣對非法入侵者有警示作用。

公鑰原則

在這裡主要是設定EFS（加密文件系統）的恢復代理。預設的情況下是Administrator。也就是說如果你在NTFS分區上用EFS方式加密了一個文件或者資料夾，如果密碼忘記了，Administrator可以說明你將加密文件開啟。

IP安全原則

我們看到在整個安全原則要設定的項目非常多，設定起來非常麻煩，怎麼才能簡化操作呢？

我們可以用Windows2000製作好的原則範本來簡化操作。用滑鼠右鍵點擊「安全性設定」，在彈出的表單中選項「匯入原則」，在WINNTsecuritytemplates中我們可以選項若干的安全原則的範本文件。

下表就是每一個範本文件所對應的安全特性

預設工作站　　　　　　　　　　basicwk.inf

預設伺服器　　　　　　　　　　basicsv.inf

預設域控制器　　　　　　　　　basicdc.inf

相容工作站或伺服器　　　　　　compatws.inf

安全工作站或伺服器　　　　　　securews.inf

高度安全工作站或伺服器　　　　hisecws.inf

專用域控制器　　　　　　　　　dedicadc.inf

安全域控制器　　　　　　　　　securedc.inf

高度安全域控制器　　　　　　　hisecdc.inf
不過應當注意的是某些軟體可能和安全範本中的設定衝突，這就要更具需要調
你可以根據自己的需要選項安全範本。

整，如果不是很清楚應該怎麼調整就可以直接選項compatws.inf範本，這個安全範本可以解決絕大部分的相容問題。

robert23 · 2004-05-17, 11:40 PM

謝謝psac大，
我正使用win2ksp4，
來檢查設定自己的設定。

yu jun · 2004-11-11, 11:34 PM

正需要..
感恩大大的分享!

2004-05-17, 10:17 PM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	Windows2000本機安全原則初步說道Windows2000就不得不提到Windows2000的安全性。與Windows98比起來，Windows2000的安全性要搞得多。但是在預設的情況下Windows2000有時候不能滿足我們對安全性的要求，那麼怎麼修改這些安全性設定呢？對於單機而言，安全性設定的核心就是本機安全原則，讓我們來看看怎麼對這些安全原則進行設定的。點擊「開始｜控制台｜系統管理工具｜本機安全原則」，就進入了本機安全原則設定視窗。在視窗的右邊是一個樹狀目錄，包括「帳戶原則」、「本機原則」、「公鑰原則」和「IP安全原則」。下面我們來逐一看看每一個項目中的常用設定的使用方法。帳戶原則在這個項中主要是對用戶的帳號的安全性進行設定，包括了「密碼原則」和「帳戶鎖定原則」兩項。在「密碼原則」中我們可以為密碼定義必須符合的規則。如果我們要限制密碼的最小長度，可以在「密碼長度最小值」中設定密碼至少不少於的字串數。如設定為8，那麼用戶所設定的密碼必須是8位以上的密碼，否則就無法生效。而「密碼最長存留期」是定義修改密碼的時間，預設是42天，也就是說在新的密碼生效了42天過後就必須修改密碼，這可有效地防止密碼洩露。在帳戶鎖定原則中我們可以設定鎖定帳戶的方式。在一個需要高度安全的環境中我們為了防止黑客以猜測密碼方式登入系統，通常要設定「帳戶鎖定閾值」。這個值就是設定多少次無效登入（也就是密碼輸入錯誤）就鎖定帳戶，比如我們可以設定為3次密碼輸入錯誤就鎖定帳號。但是如果帳號鎖定了，正常的用戶怎麼才能登入呢？這就要設定「帳戶鎖定時間」，如設定為30分鐘，這就表明帳號鎖定了30分鐘以後就解除帳號鎖定。本機原則在這裡包含了「稽核原則」、「使用者權利指派」和「安全性選項」。在「稽核原則」中我們可以追蹤系統中的所有事件。如果我們懷疑有非法用戶可能登入到你的系統中，我們可以設定「稽核帳戶登入事件」。點擊這一選項，我們可以在彈出的對話視窗中設定稽核成功的登入事件或者失敗的登入事件。如果啟用「稽核對像訪問」就可以對用戶訪問系統中的對象進行稽核，包括文件、各種硬體設定、帳戶內容的修改等等的稽核。比如啟用後，可以在存放重要資料的資料夾的內容中設定稽核，這樣任何用戶對這個資料夾中的文件的各種操作（複製、刪除、修改等等）都會記錄下來。這些稽核記錄都可以在「系統管理工具」中的「事件檢視器」中檢視到。「使用者權利指派」項中我們可以設定用戶的各種權限。比如在預設情況下只有Power Users和Administrators組可以修改系統時間，如果我們需要其他用戶修改系統時間，就在「更改系統時間」項中將這個用戶加入進去就可以讓這個用戶修改系統時間了。如果你不想讓某個用戶從網路訪問你，可以在「拒絕從網路訪問這台電腦」項中將這個用戶增加上去。「安全性選項」中也包含了大量的安全性設定。你不想讓其他人通過網路訪問你的CD-ROM，就可以將「只有本機登入用戶才能訪問CD-ROM」啟用。一般情況下，Windows2000登入的時候要同時按下CTRL+ALT+DEL才能進行登入設定，如果你嫌麻煩可以將「禁用按CTRL+ALT+DEL進行登入的設定」設定為啟用，這樣登入的時候就可以免去按CTRL+ALT+DEL。同樣的，如果你不想儲存上次登入的用戶名（這樣可以防止用戶名洩漏），可以將「登入螢幕上不要顯示上次登入的用戶名」項啟用。我們還可以使用「用戶試突登入時消息標題」和「用戶試突登入時消息文字」設定登入前顯示的提示文字框，這樣對非法入侵者有警示作用。公鑰原則在這裡主要是設定EFS（加密文件系統）的恢復代理。預設的情況下是Administrator。也就是說如果你在NTFS分區上用EFS方式加密了一個文件或者資料夾，如果密碼忘記了，Administrator可以說明你將加密文件開啟。 IP安全原則我們看到在整個安全原則要設定的項目非常多，設定起來非常麻煩，怎麼才能簡化操作呢？我們可以用Windows2000製作好的原則範本來簡化操作。用滑鼠右鍵點擊「安全性設定」，在彈出的表單中選項「匯入原則」，在WINNTsecuritytemplates中我們可以選項若干的安全原則的範本文件。下表就是每一個範本文件所對應的安全特性預設工作站　　　　　　　　　　basicwk.inf 預設伺服器　　　　　　　　　　basicsv.inf 預設域控制器　　　　　　　　　basicdc.inf 相容工作站或伺服器　　　　　　compatws.inf 安全工作站或伺服器　　　　　　securews.inf 高度安全工作站或伺服器　　　　hisecws.inf 專用域控制器　　　　　　　　　dedicadc.inf 安全域控制器　　　　　　　　　securedc.inf 高度安全域控制器　　　　　　　hisecdc.inf 不過應當注意的是某些軟體可能和安全範本中的設定衝突，這就要更具需要調你可以根據自己的需要選項安全範本。整，如果不是很清楚應該怎麼調整就可以直接選項compatws.inf範本，這個安全範本可以解決絕大部分的相容問題。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2004-05-17, 11:40 PM	#2 (permalink)
robert23 長老會員榮譽勳章勳章總數4 UID - 2199 在線等級: 註冊日期: 2002-12-06 住址: 山城文章: 1330 精華: 0 現金: 11573 金幣資產: 28691305 金幣	謝謝psac大，我正使用win2ksp4，來檢查設定自己的設定。
	__________________ CPU : Intel Core2 Duo E6550 MB : Gigabyte GA-P35-DS3 RAM : Transcend DDRII800 1GB 2 HD : WD 2500AAKS SATAII 250G 2 DVDRW: Pioneer A8 + LiteOn LH-20A1H VGA : ELSA 8600GT PH2 256M DDR3 POWER: SeaSonic S12II 430W
	送花文章: 2847, 收花文章: 14 篇, 收花: 19 次

2004-11-11, 11:34 PM	#3 (permalink)
yu jun 長老會員榮譽勳章勳章總數8 UID - 3708 在線等級: 註冊日期: 2002-12-07 住址: 很想要有個家文章: 4056 精華: 2 現金: 17880 金幣資產: 42162 金幣	正需要.. 感恩大大的分享!

	送花文章: 1832, 收花文章: 365 篇, 收花: 1966 次

Google 提供的廣告