审核策略:每当用户执行了指定的某些操作,审核日志就会记录一个审核项。例如,修改文件或策略可以触发一个审核项。审核项显示了所执行的操作、相关的用户帐户以及该操作的日期和时间。您可以审核操作中的成功尝试和失败尝试 .密码策略用于域帐户或本地用户帐户。它们确定密码设置,例如强制执行和有效期限.所有安全策略都是基于计算机的策略。虽然帐户策略在计算机上定义,却可以影响用户帐户与计算机或域交互作用的方式。帐户策略包含三个子集:密码策略,帐户锁定策略,Kerberos策略。
1.停掉Guest 帐号
在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去。
2.限制不必要的用户数量
去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机,如果系统帐户超过10个,一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。
3.创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理。
4.把系统administrator帐号改名
大家都知道,windows 2000 的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone 。
5.创建一个陷阱帐号
什么是陷阱帐号? Look!>创建一个名为” Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了,并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿,够损!
6.把共享文件的权限从”everyone”组改成“授权用户”
“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的,一定不要忘了改。
注 密码和帐户策略只可以在域级别设置。如果这些策略在组织单位级别或在活动目录的其他任何地方设置,则它们会被域策略忽略。
在构建域时,Windows 2000 会创建一个默认域策略;以后可以在默认策略中更改特定的要求。默认策略可以被链接到域策略之上的新策略所覆盖,新策略会指出旧参数、更改的参数和新参数。只有在链接的策略中定义的参数才覆盖默认域策略,而且新设置将被发送到所有域服务器和工作站。使用覆盖域策略代替对默认策略进行修改的优势在于,如果出现问题,择可以禁用覆盖策略,让默认策略恢复控制。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024