安全設(shè)置Windows組策略有效阻止黑客
組策略設(shè)置就是在修改注冊(cè)表中的配置。當(dāng)然,組策略使用了更完善的管理組織方法,可以對(duì)各種對(duì)象中的設(shè)置進(jìn)行管理和配置,遠(yuǎn)比手工修改注冊(cè)表方便、靈活,功能也更加強(qiáng)大。
如果你沒有進(jìn)行測(cè)試,我建議你下載和安裝微軟的組策略管理控制臺(tái)(GPMC)來(lái)做這些改變。這個(gè)程序能夠把組策略管理任務(wù)集中到一個(gè)單一的界面讓你更全面地查看你的域名。要開始這個(gè)編輯流程,你就上載GPMC,擴(kuò)展你的域名,用鼠標(biāo)右鍵點(diǎn)擊“缺省域名策略”,然后選擇“編輯”。這樣就裝載了組策略對(duì)象編輯器。如果你要以更快的速度或者“次企業(yè)級(jí)”的方式編輯你的域名組策略對(duì)象,你可以在“開始”菜單中運(yùn)行“gpedit.msc”。
1.確定一個(gè)缺省的口令策略,使你的機(jī)構(gòu)設(shè)置位于“計(jì)算機(jī)配置/Windows設(shè)置/安全設(shè)置/賬號(hào)策略/口令策略”之下。
2.為了防止自動(dòng)口令破解,在“計(jì)算機(jī)配置/Windows設(shè)置/安全設(shè)置/賬號(hào)策略/賬號(hào)關(guān)閉策略”中進(jìn)行如下設(shè)置
·賬號(hào)關(guān)閉持續(xù)時(shí)間(確定至少5-10分鐘
·賬號(hào)關(guān)閉極限(確定最多允許5至10次非法登錄
·隨后重新啟動(dòng)關(guān)閉的賬號(hào)(確定至少10-15分鐘以后
3.在“計(jì)算機(jī)配置/Windows設(shè)置/安全設(shè)置/本地策略/檢查策略”中啟用如下功能
檢查賬號(hào)管理
檢查登錄事件
檢查策略改變
檢查權(quán)限使用
檢查系統(tǒng)事件
理想的情況是,你要啟用記錄成功和失敗的登錄。但是,這取決于你要保留什么類型的記錄以及你是否能夠管理這些記錄。Roberta Bragg在這里介紹了一些普通的檢查記錄設(shè)置。要記住,啟用每一種類型的記錄都需要你的系統(tǒng)處理器和硬盤提供更多的資源。
4.作為增強(qiáng)Windows安全的最佳做法和為攻擊者設(shè)置更多的障礙以減少對(duì)Windows的攻擊,你可以在“計(jì)算機(jī)配置/Windows設(shè)置/安全設(shè)置/本地策略/安全選項(xiàng)”中進(jìn)行如下設(shè)置
賬號(hào):重新命名管理員賬號(hào)--不是要求更有效而是增加一個(gè)安全層(確定一個(gè)新名字
賬號(hào):重新命名客戶賬號(hào)(確定一個(gè)新名字
交互式登錄:不要顯示最后一個(gè)用戶的名字(設(shè)置為啟用
交互式登錄:不需要最后一個(gè)用戶的名字(設(shè)置為關(guān)閉
交互式登錄: 為企圖登錄的用戶提供一個(gè)消息文本(確定為讓用戶閱讀banner text(旗幟文本),內(nèi)容大致為“這是專用和受控的系統(tǒng)。
如果你濫用本系統(tǒng),你將受到制裁。--首先讓你的律師運(yùn)行這個(gè)程序
交互式登錄: 為企圖登錄的用戶提供的消息題目--在警告!!!后面寫的東西
網(wǎng)絡(luò)接入:不允許SAM賬號(hào)和共享目錄(設(shè)置為“啟用”
網(wǎng)絡(luò)接入:將“允許每一個(gè)人申請(qǐng)匿名用戶”設(shè)置為關(guān)閉
網(wǎng)絡(luò)安全:“不得存儲(chǔ)局域網(wǎng)管理員關(guān)于下一個(gè)口令變化的散列值”設(shè)置為“啟用”
關(guān)機(jī):“允許系統(tǒng)在沒有登錄的情況下關(guān)閉”設(shè)置為“關(guān)閉”
關(guān)機(jī):“清除虛擬內(nèi)存的頁(yè)面文件”設(shè)置為“啟用”
如果你沒有Windows Server 2003域名控制器,你在這里可以找到有哪些Windows XP本地安全設(shè)置的細(xì)節(jié),以及這里有哪些詳細(xì)的Windows 2000 Server組策略的設(shè)置。要了解更多的有關(guān)Windows Server 2003組策略的信息,請(qǐng)查看微軟的專門網(wǎng)頁(yè)。
電腦組策略被禁用的修復(fù)問題
組策略被禁用后的修復(fù)問題某些機(jī)器做過(guò)什么優(yōu)化或者殺毒后,出現(xiàn)組策略被禁用了。
一、在注冊(cè)表鍵值HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC 將 RestrictToPermittedSnapins 的值設(shè)置為 0 或者刪除這個(gè)鍵。
二、在注冊(cè)表鍵值 HKEY_CURRENT_USER\Software\Policies\Microsoft\Mmc\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}\Restrict_Run 和HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{0F6B957E-509E-11D1-A7CC-0000F87571E3}\Restrict_Run 請(qǐng)將 Restrict_Run 的值設(shè)置為 0 或者直接刪除HKEY_CURRENT_USER\Software\Policies\Microsoft\Mmc鍵 修改完畢后重啟。
三、在注冊(cè)表鍵值HKEY_CLASSES_ROOT\CLSID\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}\InProcServer32 把其中的default改成:%SystemRoot%\System32\GPEdit.dll 修改完畢后重啟。
四、檢查環(huán)境變量: 右擊桌面我的電腦--屬性--高級(jí) 在“高級(jí)”標(biāo)簽頁(yè)中點(diǎn)擊“環(huán)境變量”按鈕 在“環(huán)境變量”中的“系統(tǒng)變量”框中的變量名為Path中修改變量值為: %Systemroot%\System32;%Systemroot%;%Systemroot%\system32\WBEM。
五、注冊(cè) filemgmt.dll 開始“運(yùn)行” 輸入"regsvr32 filemgmt.dll" --回車 如果組策略找不到 framedyn.dll,就可能會(huì)出現(xiàn)這種錯(cuò)誤。試著將將Framedyn.dll文件從\windows\system32\wbem目錄下拷貝到\windows\system32目錄下!移動(dòng)后在注冊(cè)一次這個(gè)dll文件。
組策略的內(nèi)容就向大家介紹完了,希望通過(guò)以上的闡述,大家已經(jīng)了解了并理解了。
【編輯推薦】
