Win 2003 Server 服务器安全设置(六)本地安全策略

Win 2003 Server 服务器安全设置 （七）服务器安全设置之--本地安全策略设置

安全策略自动更新命令：GPUpdate /force (应用组策略自动生效不需重新启动) 开始菜单—>管理工具—>本地安全策略

A、本地策略——>审核策略

审核策略更改 成功 失败 审核登录事件 成功 失败 审核对象访问 失败 审核过程跟踪 无审核

审核目录服务访问 失败 审核特权使用 失败 审核系统事件 成功 失败 审核账户登录事件 成功 失败 审核账户管理 成功 失败

B、本地策略——>用户权限分配

关闭系统：只有Administrators组、其它全部删除。 通过终端服务拒绝登陆：加入Guests、User组

通过终端服务允许登陆：只加入Administrators组，其他全部删除 C、本地策略——>安全选项

交互式登陆：不显示上次的用户名 网络访问：不允许SAM帐户和共享的匿名枚举 网络访问：不允许为网络身份验证储存凭证 网络访问：可匿名访问的共享 网络访问：可匿名访问的命 网络访问：可远程访问的注册表路径 网络访问：可远程访问的注册表路径和子路径 帐户：重命名来宾帐户 帐户：重命名系统管理员帐户

启用 启用 启用 全部删除 全部删除 全部删除 全部删除

重命名一个帐户 重命名一个帐户

UI 中的设置名企业客户端台企业客户端便高安全级台式称 式计算机 携式计算机 计算机 帐户: 使用空白密码的本地帐户已启用 已启用 已启用 只允许进行控制台登录 帐户: 重命名系推荐 推荐 推荐 统管理员帐户 帐户: 重命名来推荐 推荐 推荐 宾帐户 设备: 允许不登已禁用 已启用 已禁用 录移除 设备: 允许格式AdministratorAdministratorAdministrato化和弹出可移动s, Interactive s, Interactive rs 媒体 Users Users 设备: 防止用户安装打印机驱动已启用 已禁用 已启用 程序 设备: 只有本地登录的用户才能已禁用 已禁用 已启用 访问 CD-ROM 设备: 只有本地登录的用户才能已启用 已启用 已启用 访问软盘 设备: 未签名驱允许安装但发允许安装但发动程序的安装操禁止安装 出警告 出警告 作 域成员: 需要强 (Windows 2000 已启用 已启用 已启用 或以上版本) 会话密钥 交互式登录: 不显示上次的用户已启用 已启用 已启用 名 交互式登录: 不需要按 已禁用 已禁用 已禁用 CTRL+ALT+DEL 此系统限制为此系统限制为此系统限制为仅授权用户。交互式登录: 用仅授权用户。尝仅授权用户。尝尝试进行未经户试图登录时消试进行未经授试进行未经授授权访问的个息文字 权访问的个人权访问的个人人将受到起将受到起诉。 将受到起诉。 诉。 高安全级便携式计算机 已启用 推荐 推荐 已禁用 Administrators 已禁用 已启用 已启用 禁止安装 已启用 已启用 已禁用 此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。 继续在没有适交互式登录: 用当授权的情况户试图登录时消下使用是违法息标题 行为。 交互式登录: 可被缓存的前次登录个数 (在域控2 制器不可用的情况下) 交互式登录: 在密码到期前提示14 天 用户更改密码 交互式登录: 要求域控制器身份已禁用 验证以解锁工作站 交互式登录: 智锁定工作站 能卡移除操作 Microsoft 网络客户: 数字签名已启用 的通信（若服务器同意） Microsoft 网络客户: 发送未加已禁用 密的密码到第三方 SMB 服务器。 Microsoft 网络服务器: 在挂起15 分钟 会话之前所需的空闲时间 Microsoft 网络服务器: 数字签已启用 名的通信（总是） Microsoft 网络服务器: 数字签已启用 名的通信（若客户同意） Microsoft 网络服务器: 当登录已启用 时间用完时自动注销用户 网络访问: 允许已禁用 匿名 SID/名称 继续在没有适当授权的情况下使用是违法行为。 继续在没有适当授权的情况下使用是违法行为。 继续在没有适当授权的情况下使用是违法行为。 2 0 1 14 天 14 天 14 天 已禁用 已启用 已禁用 锁定工作站 锁定工作站 锁定工作站 已启用 已启用 已启用 已禁用 已禁用 已禁用 15 分钟 15 分钟 15 分钟 已启用 已启用 已启用 已启用 已启用 已启用 已禁用 已启用 已禁用 已禁用 已禁用 已禁用 转换 网络访问: 不允许 SAM 帐户和已启用 共享的匿名枚举 网络访问: 不允许 SAM 帐户和已启用 共享的匿名枚举 网络访问: 不允许为网络身份验证储存凭据已启用 或 .NET Passports 网络访问: 限制匿名访问命名管已启用 道和共享 网络访问: 本地经典 - 本地用帐户的共享和安户以自己的身全模式 份验证 网络安全: 不要在下次更改密码时存储 LAN 已启用 Manager 的哈希值 网络安全: 在超过登录时间后强已启用 制注销 已启用 已启用 已启用 已启用 已启用 已启用 已启用 已启用 已启用 已启用 已启用 已启用 经典 - 本地用经典 - 本地经典 - 本地户以自己的身用户以自己的用户以自己的份验证 身份验证 身份验证 已启用 已启用 已启用 已禁用 已启用 已禁用 仅发送 NTLMv2 响应\\拒绝 LM & NTLM 要求 NTLMv2 会话安全 要求 128-位加密 要求 NTLMv2 会话安全 要求 128-位加密 已禁用 已禁用 仅发送 网络安全: LAN 仅发送 NTLMv2 仅发送 NTLMv2 NTLMv2 响应\\Manager 身份验响应 响应 拒绝 LM & 证级别 NTLM 网络安全: 基于 要求 NTLMv2 NTLM SSP（包括会话安全 要没有最小 没有最小 安全 RPC）客户求 128-位加的最小会话安全 密 网络安全: 基于 要求 NTLMv2 NTLM SSP(包括安会话安全 要没有最小 没有最小 全 RPC)服务器求 128-位加的最小会话安全 密 故障恢复控制台: 允许自动系已禁用 已禁用 已禁用 统管理级登录 故障恢复控制已启用 已启用 已禁用 台: 允许对所有