|
|
| |
|
| |
| |
|
|
發布時間:2012-11-19 | 點擊次數:1286 |
|
|
|
注冊表是Windows系統中保存系統軟件和應用軟件配置的數據庫,而隨著Windows功能越來越豐富,注冊表里的配置項目也越來越多,很多配置都可以自定義設置,但這些配置分布在注冊表的各個角落,如果是手工配置,可以想像是多么困難和煩雜。而組策略則將系統重要的配置功能匯集成各種配置模塊,供用戶直接使用,從而達到方便管理計算機的目的。
其實簡單地說,組策略設置就是在修改注冊表中的配置。當然,組策略使用了更完善的管理組織方法,可以對各種對象中的設置進行管理和配置,遠比手工修改注冊表方便、靈活,功能也更加強大。
Windows組策略保障共享目錄安全
在日常的辦公應用中,為了使用的方便,我們習慣于將自己計算機上的一些文檔、目錄共享出來,以便于別人調用。
但是對于共享的文件夾常常無法做到在使用后即將其關閉,這樣網絡上一些別有用心的人則可能對我們的共享文件進行破壞,對于這種情況,我們可以借助組策略來保護共享內容。
一、禁止共享空密碼
Windows默認狀態下,允許遠程用戶可以使用空用戶連接方式獲得網絡上某一臺計算機的共享資源列表和所有帳戶名稱。這個功能的開放,則容易讓非未能用戶使用空密碼或暴力破譯得到共享的密碼,從而達到侵入共享目錄的目的。
對于這種情況,我們首先可以關閉SAM賬號和共享的匿名枚舉功能。打開開始菜單中的“運行”窗口,輸入“gpedit.msc”打開組策略編輯器,在左側依次找到“計算機配置”—“Windows設置”—“安全設置”—“本地策略”—“安全選項”,雙擊右側的“網絡訪問:不允許SAM賬號和共享的匿名枚舉”項,在彈出的窗口中選中“已啟用”選項,最后單擊“確定”按鈕保存設置。經過這樣的設置之后,非法用戶就無法直接獲得共享信息和賬戶列表了。
二、禁止匿名SID/名稱轉換
在前面我們已經禁止非法用戶直接獲得賬戶列表,但是非法用戶仍然可以使用管理員賬號的SID來獲取默認的administrator的真實名稱。對此,我們需要在組策略中打開“計算機配置”—“Windows設置”—“安全設置”—“本地策略”—“安全選項”,然后修改“網絡訪問:允許匿名SID/名稱轉換”為“已停用”。不過這樣一來,可能會造成網絡上低版本的用戶在訪問共享資源時出現 一些問題。因此網絡有多個版本的系統時須謹慎使用該項配置。
三、修改匿名訪問對象
從安全角度和實用角度來看,Windows XP很多默認設置并不符合用戶的需要,針對網絡訪問的匿名訪問設置包括共享、命名管道和注冊表路徑等。
對此,我們需要進入組策略編輯器,選擇“計算機配置”—“Windows設置”—“安全設置”—“本地策略”—“安全選項”,雙擊“網絡訪問:可匿名訪問的共享”,在打開的窗口中將所有的項目刪除,然后根據自己的實際使用需要,將一些確實需要讓所有用戶長期訪問的文件夾添加進來即可。注意,在添加這些共享文件夾時,必須提前做好其NTFS操作權限設置。在設置權限的時候,必須遵循權限的最小性原則。最小性原則包括不要對賬戶授予多余的權限,不要為多余賬戶授予權限。
同理,在修改好可匿名訪問的共享后,需要繼續雙擊打開“網絡訪問:可匿名訪問的命名管道”和“網絡訪問:可遠程訪問的注冊表路徑”,將多余的項目都刪除掉。
四、禁止非授權訪問
為了符合權限的最小性原則,我們可以對網絡訪問的賬戶作出嚴格限制。在打開的組策略編輯器中,依次選擇“計算機配置”—“Windows設置”—“安全設置”—“本地策略”—“用戶權利指派”,雙擊右側的“從網絡訪問此計算機”,然后將一些必須使用網絡訪問的賬戶添加進來,然后將例如Everyone、Guest之類的賬戶刪除。如果管理員不需要遠程登錄,同樣可以將其刪除,而只保留用于訪問共享目錄的授權帳戶;然后再打開“拒絕從網絡訪問這臺計算機”,同樣的道理只將用于訪問共享目錄的授權帳戶添加進來,將其它用戶全部刪除。
五、設置正確訪問模式
對于共享文件的訪問,Windows XP提供了經典和僅來賓兩種不同的模式。為了使用的方便,很多人選擇了“僅來賓”方式,這樣這樣所有的登錄將自動使用Guest賬戶訪問共享目錄,即所有人都可以自由訪問,這樣無法對共享資源提供精確的訪問控制。
因此,我們建議大家在“安全選項”列表右側雙擊“網絡訪問:本地賬戶的共享和安全模式”,將其設置為“經典-本地用戶以用戶的身份驗證”項即可。不過需要注意的是,使用經典模式,雖然需要知道本地帳戶名稱方可訪問,但由于很多用戶帳戶并沒有設置密碼,這樣仍然是不安全的,必須設置密碼以保護本地帳戶。 六、預防EveryOny組權限延伸
很多人都認為匿名用戶的權限和Everyone組的權限是一樣的,其實這種看法是極其錯誤的。雖然兩者之間的權限有部分是相同的,但并不是完全一致的。默認情況下Everyone組的權限要大于匿名用戶。但是在Windows XP中,卻允許將“Everyone”組權限應用于匿名用戶。
對此,我們需要禁止這種做法。在組策略中打開“安全選項”,然后在右側雙擊“網絡訪問:讓每個人權限應用于匿名用戶”,將其設置為“已停用”即可。不過,雖然我們將該項已設置為停用,但是我們仍然不建議用戶將過多的權限直接授予Everyone組,因為這不符合權限授予的最小性原則。
七、禁止非空密碼交互式登錄
為了防止管理員添加賬號時沒有設置密碼,并且對沒有密碼的本地賬戶進行了授權訪問。對此,我們可以禁止空白密碼的本地賬戶進行交互式登錄訪問共享目錄。
在“安全選項”下雙擊“賬戶:使用空白密碼的本地賬戶只允許進行控制臺登錄”,將其設置為“已啟用”。同時為了防止管理員設置過于簡單的密碼,還需要在組策略編輯器的“安全設置”下,選擇“帳戶策略”—“密碼策略”,然后設置“密碼長度最小值”和“密碼必須符合復雜性要求”選項。
八、做好訪問記錄
通過日志,可以記錄所有賬戶對共享目錄的訪問、操作情況。不過要想日志進行記錄,必須啟用審核對象訪問。打開組策略編輯器,在“本地策略”下選擇“審核策略”,然后雙擊右側的“審核對象訪問”,在打開的窗口中將“成功”和“失敗”項全部選中。
接下來再打開共享目錄的屬性窗口,在“安全”標簽中單擊“高級”按鈕,切換到“審核”標簽,單擊“添加”按鈕,將所有有權訪問共享目錄的賬戶都添加進來并保存設置。
經過這樣的設置后,我們就可以進入“控制面板”的“管理工具”文件夾,雙擊其中的“事件查看器”,然后查找ID號為560、562、564的事件,即可了解詳細的訪問情況了。
其實,安全問題并非我們想象中的那樣復雜,只要我們平時注意做好防范,能夠用好系統提供的保護措施,那么即可防范絕大部分的入侵破壞活動。
安全設置Windows組策略有效阻止黑客
如果你沒有進行測試,我建議你下載和安裝微軟的組策略管理控制臺(GPMC)來做這些改變。這個程序能夠把組策略管理任務集中到一個單一的界面讓你更全面地查看你的域名。要開始這個編輯流程,你就上載GPMC,擴展你的域名,用鼠標右鍵點擊“缺省域名策略”,然后選擇“編輯”。這樣就裝載了組策略對象編輯器。如果你要以更快的速度或者“次企業級”的方式編輯你的域名組策略對象,你可以在“開始”菜單中運行“gpedit.msc”。
1.確定一個缺省的口令策略,使你的機構設置位于“計算機配置/Windows設置/安全設置/賬號策略/口令策略”之下。
2.為了防止自動口令破解,在“計算機配置/Windows設置/安全設置/賬號策略/賬號關閉策略”中進行如下設置
·賬號關閉持續時間(確定至少5-10分鐘
·賬號關閉極限(確定最多允許5至10次非法登錄
·隨后重新啟動關閉的賬號(確定至少10-15分鐘以后)
3.在“計算機配置/Windows設置/安全設置/本地策略/檢查策略”中啟用如下功能
·檢查賬號管理
·檢查登錄事件
·檢查策略改變
·檢查權限使用
·檢查系統事件
理想的情況是,你要啟用記錄成功和失敗的登錄。但是,這取決于你要保留什么類型的記錄以及你是否能夠管理這些記錄。Roberta Bragg在這里介紹了一些普通的檢查記錄設置。要記住,啟用每一種類型的記錄都需要你的系統處理器和硬盤提供更多的資源。
4.作為增強Windows安全的最佳做法和為攻擊者設置更多的障礙以減少對Windows的攻擊,你可以在“計算機配置/Windows設置/安全設置/本地策略/安全選項”中進行如下設置。
·賬號:重新命名管理員賬號--不是要求更有效而是增加一個安全層(確定一個新名字
·賬號:重新命名客戶賬號(確定一個新名字 ·交互式登錄:不要顯示最后一個用戶的名字(設置為啟用
·交互式登錄:不需要最后一個用戶的名字(設置為關閉
·交互式登錄: 為企圖登錄的用戶提供一個消息文本(確定為讓用戶閱讀banner text(旗幟文本),內容大致為“這是專用和受控的系統。
如果你濫用本系統,你將受到制裁。--首先讓你的律師運行這個程序
·交互式登錄: 為企圖登錄的用戶提供的消息題目--在警告!!!后面寫的東西
·網絡接入:不允許SAM賬號和共享目錄(設置為“啟用”
·網絡接入:將“允許每一個人申請匿名用戶”設置為關閉
·網絡安全:“不得存儲局域網管理員關于下一個口令變化的散列值”設置為“啟用”
·關機:“允許系統在沒有登錄的情況下關閉”設置為“關閉”
·關機:“清除虛擬內存的頁面文件”設置為“啟用”
如果你沒有Windows Server 2003域名控制器,你在這里可以找到有哪些Windows XP本地安全設置的細節,以及這里有哪些詳細的Windows 2000 Server組策略的設置。要了解更多的有關Windows Server 2003組策略的信息,請查看微軟的專門網頁。
電腦組策略被禁用的修復問題
組策略被禁用后的修復問題某些機器做過什么優化或者殺毒后,出現組策略被禁用了。
一、在注冊表鍵值HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC 將 RestrictToPermittedSnapins 的值設置為 0 或者刪除這個鍵。
二、在注冊表鍵值 HKEY_CURRENT_USER\Software\Policies\Microsoft\Mmc\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}\Restrict_Run 和HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{0F6B957E-509E-11D1-A7CC-0000F87571E3}\Restrict_Run 請將 Restrict_Run 的值設置為 0 或者直接刪除HKEY_CURRENT_USER\Software\Policies\Microsoft\Mmc鍵 修改完畢后重啟。
三、在注冊表鍵值HKEY_CLASSES_ROOT\CLSID\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}\InProcServer32 把其中的default改成:%SystemRoot%\System32\GPEdit.dll 修改完畢后重啟。
四、檢查環境變量: 右擊桌面我的電腦--屬性--高級 在“高級”標簽頁中點擊“環境變量”按鈕 在“環境變量”中的“系統變量”框中的變量名為Path中修改變量值為: %Systemroot%\System32;%Systemroot%;%Systemroot%\system32\WBEM。
五、注冊 filemgmt.dll 開始“運行” 輸入"regsvr32 filemgmt.dll" --回車 如果組策略找不到 framedyn.dll,就可能會出現這種錯誤。試著將將Framedyn.dll文件從\windows\system32\wbem目錄下拷貝到\windows\system32目錄下!移動后在注冊一次這個dll文件。
編輯:北京信誠IT保姆IT外包部 http:// www.aboverow.cn www.xcit.com.cn |
|
| |
|
|
|
|
|
|
當前位置:
