伺服器安全設定之--本地安全性原則設定
安全性原則自動更新命令:GPUpdate /force (應用組策略自動生效不需重新啟動)
開始菜單—>管理工具—>本地安全性原則
A、本地策略——>稽核原則
稽核原則更改 成功 失敗
審核登入事件 成功 失敗
審核對象訪問 失敗
審核過程跟蹤 無審核
審核目錄服務訪問 失敗
審核特權使用 失敗
審核系統事件 成功 失敗
審核賬戶登入事件 成功 失敗
審核賬戶管理 成功 失敗
B、本地策略——>使用者權限分配
關閉系統:只有Administrators組、其它全部刪除。
通過終端服務拒絕登陸:加入Guests、User組
通過終端服務允許登陸:只加入Administrators組,其他全部刪除
C、本地策略——>安全選項
互動式登陸:不顯示上次的使用者名稱 啟用
網路訪問:不允許SAM帳戶和共用的匿名枚舉 啟用
網路訪問:不允許為網路身分識別驗證儲存憑證 啟用
網路訪問:可匿名訪問的共用 全部刪除
網路訪問:可匿名訪問的命 全部刪除
網路訪問:可遠端存取的註冊表路徑 全部刪除
網路訪問:可遠端存取的註冊表路徑和子路徑 全部刪除
帳戶:重新命名來賓帳戶 重新命名一個帳戶
帳戶:重新命名系統管理員帳戶 重新命名一個帳戶
| UI 中的設定名稱 |
企業用戶端台式電腦 |
企業用戶端攜帶型電腦 |
高安全級台式電腦 |
高安全級攜帶型電腦 |
帳戶: 使用空白密碼的本地帳戶只允許進行控制台登入 |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
帳戶: 重新命名系統管理員帳戶 |
推薦 |
推薦 |
推薦 |
推薦 |
帳戶: 重新命名來賓帳戶 |
推薦 |
推薦 |
推薦 |
推薦 |
裝置: 允許不登入移除 |
已禁用 |
已啟用 |
已禁用 |
已禁用 |
裝置: 允許格式化和彈出抽取式媒體 |
Administrators, Interactive Users |
Administrators, Interactive Users |
Administrators |
Administrators |
裝置: 防止使用者安裝印表機驅動程式 |
已啟用 |
已禁用 |
已啟用 |
已禁用 |
裝置: 只有本地登入的使用者才能訪問 CD-ROM |
已禁用 |
已禁用 |
已啟用 |
已啟用 |
裝置: 只有本地登入的使用者才能訪問磁碟片 |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
裝置: 未簽署的驅動程式的安裝操作 |
允許安裝但發出警告 |
允許安裝但發出警告 |
禁止安裝 |
禁止安裝 |
域成員: 需要強 (Windows 2000 或以上版本) 工作階段金鑰 |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
互動式登入: 不顯示上次的使用者名稱 |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
互動式登入: 不需要按 CTRL+ALT+DEL |
已禁用 |
已禁用 |
已禁用 |
已禁用 |
互動式登入: 使用者試圖登入時訊息文字 |
此系統限制為僅授權使用者。嘗試進行未經授權訪問的個人將受到起訴。 |
此系統限制為僅授權使用者。嘗試進行未經授權訪問的個人將受到起訴。 |
此系統限制為僅授權使用者。嘗試進行未經授權訪問的個人將受到起訴。 |
此系統限制為僅授權使用者。嘗試進行未經授權訪問的個人將受到起訴。 |
互動式登入: 使用者試圖登入時訊息標題 |
繼續在沒有適當授權的情況下使用是違法行為。 |
繼續在沒有適當授權的情況下使用是違法行為。 |
繼續在沒有適當授權的情況下使用是違法行為。 |
繼續在沒有適當授權的情況下使用是違法行為。 |
互動式登入: 可被緩衝的前次登入個數 (在網域控制站停用情況下) |
2 |
2 |
0 |
1 |
互動式登入: 在密碼到期前提示使用者更改密碼 |
14 天 |
14 天 |
14 天 |
14 天 |
互動式登入: 要求網域控制站身分識別驗證以解鎖工作站 |
已禁用 |
已禁用 |
已啟用 |
已禁用 |
互動式登入: 智慧卡移除操作 |
鎖定工作站 |
鎖定工作站 |
鎖定工作站 |
鎖定工作站 |
Microsoft 網路客戶: 數位簽章的通訊(若伺服器同意) |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
Microsoft 網路客戶: 發送未加密的密碼到第三方 SMB 伺服器。 |
已禁用 |
已禁用 |
已禁用 |
已禁用 |
Microsoft 網路伺服器: 在掛起會話之前所需的空閑時間 |
15 分鐘 |
15 分鐘 |
15 分鐘 |
15 分鐘 |
Microsoft 網路伺服器: 數位簽章的通訊(總是) |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
Microsoft 網路伺服器: 數位簽章的通訊(若客戶同意) |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
Microsoft 網路伺服器: 當登入時間用完時自動登出使用者 |
已啟用 |
已禁用 |
已啟用 |
已禁用 |
網路訪問: 允許匿名 SID/名稱 轉換 |
已禁用 |
已禁用 |
已禁用 |
已禁用 |
網路訪問: 不允許 SAM 帳戶和共用的匿名枚舉 |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
網路訪問: 不允許 SAM 帳戶和共用的匿名枚舉 |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
網路訪問: 不允許為網路身分識別驗證儲存憑據或 .NET Passports |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
網路訪問: 限制匿名訪問具名管道和共用 |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
網路訪問: 本地帳戶的共用和安全模式 |
經典 - 本機使用者以自己的身分識別驗證 |
經典 - 本機使用者以自己的身分識別驗證 |
經典 - 本機使用者以自己的身分識別驗證 |
經典 - 本機使用者以自己的身分識別驗證 |
網路安全: 不要在下次更改密碼時儲存 LAN Manager 的雜湊值 |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
網路安全: 在超過登入時間後強制登出 |
已啟用 |
已禁用 |
已啟用 |
已禁用 |
網路安全: LAN Manager 身分識別驗證層級 |
僅發送 NTLMv2 響應 |
僅發送 NTLMv2 響應 |
僅發送 NTLMv2 響應/拒絕 LM & NTLM |
僅發送 NTLMv2 響應/拒絕 LM & NTLM |
網路安全: 基於 NTLM SSP(包括安全 RPC)客戶的最小會話安全 |
沒有最小 |
沒有最小 |
要求 NTLMv2 會話安全 要求 128-位加密 |
要求 NTLMv2 會話安全 要求 128-位加密 |
網路安全: 基於 NTLM SSP(包括安全 RPC)伺服器的最小會話安全 |
沒有最小 |
沒有最小 |
要求 NTLMv2 會話安全 要求 128-位加密 |
要求 NTLMv2 會話安全 要求 128-位加密 |
故障修復主控台: 允許自動系統管理級登入 |
已禁用 |
已禁用 |
已禁用 |
已禁用 |
故障修復主控台: 允許對所有磁碟機和檔案夾進行磁碟片複製和訪問 |
已啟用 |
已啟用 |
已禁用 |
已禁用 |
關機: 允許在未登入前關機 |
已禁用 |
已禁用 |
已禁用 |
已禁用 |
關機: 清理虛擬記憶體分頁檔 |
已禁用 |
已禁用 |
已啟用 |
已啟用 |
系統加密: 使用 FIPS 相容的演算法來加密,雜湊和簽名 |
已禁用 |
已禁用 |
已禁用 |
已禁用 |
系統對象: 由管理員 (Administrators) 群組成員所建立的對象預設所有者 |
對象建立者 |
對象建立者 |
對象建立者 |
對象建立者 |
系統設定: 為軟體限制策略對 Windows 可執行檔使用認證規則 |
已禁用 |
已禁用 |
已禁用 |