伺服器安全設定之-本地安全性原則設定_win伺服器

也可以運行中輸入gpedit.msc進入 電腦配置→windows設定→安全設定→本地策略

安全性原則自動更新命令：GPUpdate /force (應用組策略自動生效不需重新啟動)


　　 開始菜單—>管理工具—>本地安全性原則

　　 A、本地策略——>稽核原則

　　 稽核原則更改　　　成功　失敗　　
　　 審核登入事件　　　成功　失敗
　　 審核對象訪問　　　　　　失敗
　　 審核過程跟蹤　　　無審核
　　 審核目錄服務訪問　　　　失敗
　　 審核特權使用　　　　　　失敗
　　 審核系統事件　　　成功　失敗
　　 審核賬戶登入事件　成功　失敗
　　 審核賬戶管理　　　成功　失敗
　　B、本地策略——>使用者權限分配

　　 關閉系統：只有Administrators組、其它全部刪除。
　　 通過終端服務拒絕登陸：加入Guests、User組
　　 通過終端服務允許登陸：只加入Administrators組，其他全部刪除

　　C、本地策略——>安全選項

　　 互動式登陸：不顯示上次的使用者名稱　　　　　　　啟用
　　 網路訪問：不允許SAM帳戶和共用的匿名枚舉　　 啟用
　　 網路訪問：不允許為網路身分識別驗證儲存憑證　　　啟用
　　 網路訪問：可匿名訪問的共用　　　　　　　　　全部刪除
　　 網路訪問：可匿名訪問的命　　　　　　　　　　全部刪除
　　 網路訪問：可遠端存取的註冊表路徑　　　　　　全部刪除
　　 網路訪問：可遠端存取的註冊表路徑和子路徑　　全部刪除
　　 帳戶：重新命名來賓帳戶　　　　　　　　　　　　重新命名一個帳戶
　　 帳戶：重新命名系統管理員帳戶　　　　　　　　　重新命名一個帳戶

UI 中的設定名稱	企業用戶端台式電腦	企業用戶端攜帶型電腦	高安全級台式電腦	高安全級攜帶型電腦
帳戶: 使用空白密碼的本地帳戶只允許進行控制台登入	已啟用	已啟用	已啟用	已啟用
帳戶: 重新命名系統管理員帳戶	推薦	推薦	推薦	推薦
帳戶: 重新命名來賓帳戶	推薦	推薦	推薦	推薦
裝置: 允許不登入移除	已禁用	已啟用	已禁用	已禁用
裝置: 允許格式化和彈出抽取式媒體	Administrators, Interactive Users	Administrators, Interactive Users	Administrators	Administrators
裝置: 防止使用者安裝印表機驅動程式	已啟用	已禁用	已啟用	已禁用
裝置: 只有本地登入的使用者才能訪問 CD-ROM	已禁用	已禁用	已啟用	已啟用
裝置: 只有本地登入的使用者才能訪問磁碟片	已啟用	已啟用	已啟用	已啟用
裝置: 未簽署的驅動程式的安裝操作	允許安裝但發出警告	允許安裝但發出警告	禁止安裝	禁止安裝
域成員: 需要強 (Windows 2000 或以上版本) 工作階段金鑰	已啟用	已啟用	已啟用	已啟用
互動式登入: 不顯示上次的使用者名稱	已啟用	已啟用	已啟用	已啟用
互動式登入: 不需要按 CTRL+ALT+DEL	已禁用	已禁用	已禁用	已禁用
互動式登入: 使用者試圖登入時訊息文字	此系統限制為僅授權使用者。嘗試進行未經授權訪問的個人將受到起訴。	此系統限制為僅授權使用者。嘗試進行未經授權訪問的個人將受到起訴。	此系統限制為僅授權使用者。嘗試進行未經授權訪問的個人將受到起訴。	此系統限制為僅授權使用者。嘗試進行未經授權訪問的個人將受到起訴。
互動式登入: 使用者試圖登入時訊息標題	繼續在沒有適當授權的情況下使用是違法行為。	繼續在沒有適當授權的情況下使用是違法行為。	繼續在沒有適當授權的情況下使用是違法行為。	繼續在沒有適當授權的情況下使用是違法行為。
互動式登入: 可被緩衝的前次登入個數 (在網域控制站停用情況下)	2	2	0	1
互動式登入: 在密碼到期前提示使用者更改密碼	14 天	14 天	14 天	14 天
互動式登入: 要求網域控制站身分識別驗證以解鎖工作站	已禁用	已禁用	已啟用	已禁用
互動式登入: 智慧卡移除操作	鎖定工作站	鎖定工作站	鎖定工作站	鎖定工作站
Microsoft 網路客戶: 數位簽章的通訊（若伺服器同意）	已啟用	已啟用	已啟用	已啟用
Microsoft 網路客戶: 發送未加密的密碼到第三方 SMB 伺服器。	已禁用	已禁用	已禁用	已禁用
Microsoft 網路伺服器: 在掛起會話之前所需的空閑時間	15 分鐘	15 分鐘	15 分鐘	15 分鐘
Microsoft 網路伺服器: 數位簽章的通訊（總是）	已啟用	已啟用	已啟用	已啟用
Microsoft 網路伺服器: 數位簽章的通訊（若客戶同意）	已啟用	已啟用	已啟用	已啟用
Microsoft 網路伺服器: 當登入時間用完時自動登出使用者	已啟用	已禁用	已啟用	已禁用
網路訪問: 允許匿名 SID/名稱 轉換	已禁用	已禁用	已禁用	已禁用
網路訪問: 不允許 SAM 帳戶和共用的匿名枚舉	已啟用	已啟用	已啟用	已啟用
網路訪問: 不允許 SAM 帳戶和共用的匿名枚舉	已啟用	已啟用	已啟用	已啟用
網路訪問: 不允許為網路身分識別驗證儲存憑據或 .NET Passports	已啟用	已啟用	已啟用	已啟用
網路訪問: 限制匿名訪問具名管道和共用	已啟用	已啟用	已啟用	已啟用
網路訪問: 本地帳戶的共用和安全模式	經典 - 本機使用者以自己的身分識別驗證	經典 - 本機使用者以自己的身分識別驗證	經典 - 本機使用者以自己的身分識別驗證	經典 - 本機使用者以自己的身分識別驗證
網路安全: 不要在下次更改密碼時儲存 LAN Manager 的雜湊值	已啟用	已啟用	已啟用	已啟用
網路安全: 在超過登入時間後強制登出	已啟用	已禁用	已啟用	已禁用
網路安全: LAN Manager 身分識別驗證層級	僅發送 NTLMv2 響應	僅發送 NTLMv2 響應	僅發送 NTLMv2 響應\拒絕 LM & NTLM	僅發送 NTLMv2 響應\拒絕 LM & NTLM
網路安全: 基於 NTLM SSP（包括安全 RPC）客戶的最小會話安全	沒有最小	沒有最小	要求 NTLMv2 會話安全 要求 128-位加密	要求 NTLMv2 會話安全 要求 128-位加密
網路安全: 基於 NTLM SSP(包括安全 RPC)伺服器的最小會話安全	沒有最小	沒有最小	要求 NTLMv2 會話安全 要求 128-位加密	要求 NTLMv2 會話安全 要求 128-位加密
故障修復主控台: 允許自動系統管理級登入	已禁用	已禁用	已禁用	已禁用
故障修復主控台: 允許對所有磁碟機和檔案夾進行磁碟片複製和訪問	已啟用	已啟用	已禁用	已禁用
關機: 允許在未登入前關機	已禁用	已禁用	已禁用	已禁用
關機: 清理虛擬記憶體分頁檔	已禁用	已禁用	已啟用	已啟用
系統加密: 使用 FIPS 相容的演算法來加密，雜湊和簽名	已禁用	已禁用	已禁用	已禁用
系統對象: 由管理員 (Administrators) 群組成員所建立的對象預設所有者	對象建立者	對象建立者	對象建立者	對象建立者
系統設定: 為軟體限制策略對 Windows 可執行檔使用認證規則	已禁用	已禁用	已禁用	已禁用

一、加固系統賬戶

1.禁止枚舉帳號

我們知道，某些具有駭客行為的蠕蟲，可以通過掃描Windows 2000/XP系統的指定連接埠，然後通過共用工作階段猜測管理員系統口令。因此，我們需要通過在“本地安全性原則”中設定禁止枚舉帳號，從而抵禦此類入侵行為，操作步驟如下：
在“本地安全性原則”左側列表的“安全設定”分類樹中，逐層展開“本地策略→安全選項”。查看右側的相關策略列表，在此找到“網路訪問：不允許SAM賬戶和共用的匿名枚舉”，用滑鼠右鍵單擊，在快顯功能表中選擇“屬性”，而後會彈出一個對話方塊，在此啟用“已啟用”選項，最後點擊“應用”按鈕使設定生效。

2.賬戶管理

為了防止入侵者利用漏洞登入機器，我們要在此設定重新命名系統管理員賬戶名稱及禁用來賓賬戶。設定方法為：在“本地策略→安全選項”分支中，找到“賬戶：來賓賬戶狀態”策略，點右鍵快顯功能表中選擇“屬性”，而後在彈出的屬性對話方塊中設定其狀態為“已停用”，最後“確定”退出。

二、加強密碼安全

在“安全設定”中，先定位於“賬戶策略→密碼原則”，在其右側設定視圖中，可酌情進行相應的設定，以使我們的系統密碼相對安全，不易破解。如防破解的一個重要手段就是定期更新密碼，大家可據此進行如下設定：滑鼠右鍵單擊“密碼最長存留期”，在快顯功能表中選擇“屬性”，在彈出的對話方塊中，大家可自訂一個密碼設定後能夠使用的時間長短(限定於1至999之間)。

此外，通過“本地安全設定”，還可以進行通過設定“審核對象訪問”，跟蹤用於訪問檔案或其他對象的使用者賬戶、登入嘗試、系統關閉或重新啟動以及類似的事件。諸如此類的安全設定，不一而足。大家在實際應用中會逐漸發覺“本地安全設定”的確是一個不可或缺的系統安全工具