网络管理员须熟知的十项windows组策略设置

所属分类: 网络 / 网络其他 阅读数: 430
收藏 0 赞 0 分享

在企业当中,最常见的微软Windows计算机配置方案就是采用组策略,利用组策略来设定并配置安全设置的能力一直都是Windows计算机的一大优势所在。只要配置得当,这十项Windows组策略将让你的办公平台拥有更出色的安全表现。这十项设置全部位于Computer Configuration\Windows Setting\Security Settings之下。

  对本地管理员账户进行重新命名:如果恶意人士不知道管理员账户的名称,则很可能需要花掉大量时间才能找到攻击突破口。

  禁用访客账户:我们所作出的最糟糕的安全决定之一就是启用访客账户。它能够对Windows计算机进行相当程度的访问,同时又不设密码——说到这里,相信大家已经明白我的意思了。

  禁用LM与NTLM v1:LM(即局域网管理器)与NTLMv1认证协议存在漏洞。请务必使用NTLMv2与Kerberos。在默认情况下,大部分Windows系统都会接收全部四种协议。除非大家仍然在使用陈旧不堪而且没有安装更新补丁的老爷系统(也就是超过十年的系统版本),否则我们真的没什么理由非要使用早期协议版本。

  禁用LM散列存储:LM密码散列极易被转换成明文密码内容,因此绝对不要允许Windows系统将其储存在磁盘上——黑客转储工具会轻松地将其找出来。

  最低密码长度值:我们应该将密码的最低长度值设置在12位或者更高。不要满足于区区8位的系统密码(这也是我最常见到的密码长度)。Windows密码即使达到12位长度,其安全效果其实也不容乐观——真正的安全性要到15位才有保障。在Windows验证领域,15位是个魔术般的临界点。只要能够达到这样的长度,所有形式的后门都会被紧紧关闭。而低于15位的任何密码长度设置都等于是在增加不必要的风险。

  最长密码使用期限:大部分密码的使用周期都不应该超过九十天。不过如果大家选择了15位乃至更长的密码内容,那么一年的使用周期也是可以接受的。已经有很多公共以及私人研究证实,长度在12个字符乃至以上的密码的破解时耗更长,因此在以九十天为基准的密码轮换机制下安全性也相对更好。

  事件日志:启用事件日志,利用它来记录所有成功以及失败的操作流程。正如我之前多次提到,如果坚持关注事件日志内容,大部分计算机犯罪活动的受害者本应该更早发现端倪、进而防止严重违规事件的发生。

  禁用匿名SID枚举:SID(即安全标识符)是针对Windows系统或者Active Directory之下每一个用户、群组以及其它安全主体所分配的数字。在早期系统版本当中,未通过身份验证的用户可以通过查询这些数字来判断用户(例如管理员)及群组的重要性,而这一特性也使其成为黑客们的最爱。

  不要让匿名账户驻留在每个群组当中:这两种设置一旦出现失误,就会导致匿名(或者为空)黑客以远超权限范围的方式访问系统。自2000年以来,这些设置就已经被默认禁用——大家要做的就是确认自己没有对默认方案作出改动。

  启用用户账户控制:最后,自从Windows Vista开始,UAC机制就成了保护网络浏览者们的头号工具。我发现很多客户会将这项功能关闭,仅仅是为了能让某些陈旧应用的兼容性问题不再每次都进行询问。目前大部分这类问题已经得到解决,剩下尚未解决的部分在微软提供的免费应用兼容性故障排查工具面前也不再令人头痛。总之,如果大家禁用了UAC,那么相当于远离现代操作系统而重新回到Windows NT时代——这可不太明智。

  再来告诉大家一个好消息:前面提到的所有设置在Windows Vista/Server 2008以及更新版本当中都会以默认状态调整到位。大部分Windows安全指南资料都希望指导大家如何在现有基础之上进一步提升安全保护效果。但根据我个人的感受,目前各位最好别去轻易改动这些设置。每一次发现问题,都是因为用户改变了其初始运作方式、从而导致安全效果遭到削弱——这绝对不是什么好事。

  在大家着手梳理组策略之前,还有其它一些重要事项值得关注,例如完善补丁安装以及预防用户安装木马程序等。不过在搞定了这些工作之后,确保组策略配置的正确有效就是迈向下一个辉煌成功的起点。

  如果各位想利用最少的资源实现最具性价比的安全保护效果,那么请抛开那3700多种设置——只需以上十项,大家的业务环境就将拥有相当可靠的运行状态。

更多精彩内容其他人还在看

怎么开通联通免费WLAN?联通WLAN免费开通的详细教程

怎么开通联通免费WLAN?相比移动电信的收费WLAN,联通提供免费的WLAN,测试带宽4M左右,下面小编就给大家演示一下怎么开通和使用,需要的朋友可以参考下
收藏 0 赞 0 分享

公共网络无法连接 显示黄色叹号的解决方法

很多时候我们在上着网的时候会突然断线,然后再也无法连接上,并且电脑右下角的本地连接图标上会出现一个叹号,提示网络连接受限制或无连接,下面小编就为大家介绍公共网络无法连接,显示黄色叹号的解决方法介绍,希望能对大家有所帮助
收藏 0 赞 0 分享

宽带网络怎么设置?宽带网络设置方法

宽带路由怎么设置一直困扰着很多初次配置路由的朋友们,那么宽带网络怎么设置?下面小编就为大家介绍宽带网络设置方法,希望能对大家有所帮助
收藏 0 赞 0 分享

DNSPod DNS(119.29.29.29)无劫持怎么样?解析速度对比评测

很多朋友终于都忍受不了国内疯狂的电信运营商DNS劫持现象,旗下的DNSPod推出DNSPod公共DNS服务,主打安全无劫持,那速度怎么样呢?解析准确率又如何呢?下面小编来为大家简单测试一下
收藏 0 赞 0 分享

电脑网络连接失败 网卡只有发送没有接收该怎么办?

电脑网络连接失败 网卡只有发送没有接收该怎么办?电脑没法上网,网线和网络都没有问题,就是测试发现有发送包但接收包为0,该怎么办呢?下面分享解决办法,需要的朋友可以参考下
收藏 0 赞 0 分享

怎么查看自己的Wifi是否被盗用 怎么查看wifi有几个人用

在使用wifi上网的时候,如果使用的人多会影响网速,所以一般都会设置密码,但是现在有很多能破解密码的软件,那么如何查看自己的wifi有没有被盗用?到底有多少个人用呢?下面脚本之家小编教大家怎么查看自己的Wifi是否被盗用,需要的朋友可以参考下
收藏 0 赞 0 分享

Wifi密码怎么看?常用Wifi密码排名大全

如今Wifi无线网络已经非常流行,有时候如果需要临时上网,打算连接这些搜索到的Wifi,但没有密码怎么办?下面小编位大家介绍Wifi密码怎么看以及常用的WiFi密码吧
收藏 0 赞 0 分享

路由器与无线网卡连接故障详细分析

在使用路由器时,会顺便使用同一品牌的无线网卡,这样对兼容性是最好的,可以有效的提升无线网的传输速度,但在使用过程中,也会出现各种不同的故障。
收藏 0 赞 0 分享

电信流量不清零是真的吗 10月1日起中国电信流量不清零

运营商流量不清零终于要开始无门槛实施了,至少中国电信是这样。从网友@看啊就是這只貓曝光的图片来看,中国电信已经引发了“关于套餐内流量单月不清零实施方案的通知”,通知中明确表示,从10月1日开始,中国电信所有手机上网按流量计费的月套餐用户
收藏 0 赞 0 分享

无线网传输变慢的解决办法

无线局域网是越来越多用户采用的组网方式,也被称为WLAN(WirelessLAN),安装十分方便,不需要重新布线、不会破坏家庭原有装修,相比有线网络,无线网络要灵活得多。
收藏 0 赞 0 分享
查看更多