域安全策略.docx
《域安全策略.docx》由会员分享,可在线阅读,更多相关《域安全策略.docx(26页珍藏版)》请在冰豆网上搜索。
域安全策略
域安全策略
在域安全策略中的“安全设置”包含了:
1、账户策略
2、本地策略
3、事件日志
4、受限制的组
5、系统服务
6、注册表
7、文件系统
8、无线网络(IEEE802.11)策略
9、公钥策略
10、软件限制策略
11、IP安全策略,在ActiveDirectory。
以下我将介绍比较常用的
一、账户策略
(一)密码策略
1、密码必须符合复杂性要求
|
2、密码长度最小值
3、密码最长使用期限
4、密码最短使用期限
5、强制密码历史
6、用可还原的加密来存储密码
(二)账户多顶策略
1、复位账户锁定计数器
2、账户锁定时间
3、账户锁定阈值
(三)Kerberos策略
1、服务票证最长寿命
2、计算机时钟同步的最大容差
3、强制用户登录限制
4、用户票证续订最长寿命
5、用户票证最长寿命
二、本地策略、
(一)审核策略
1、审核策略更改
2、审核登录事件
3、审核对象访问
4、审核过程跟踪
5、审核目录服务访问
6、审核特权使用
7、审核系统事件
8、审核账户登录事件
9、审核账户管理
(二)用户权限分配
1、备份文件和目录
2、创建标记对象
3、创建全局对象
4、创建页面文件
5、创建永久共享文件
6、从扩展坞中取出计算机
7、从网络访问此计算机
8、从远程系统强制关机
9、调试程序
10、调整进程的内存配额
11、更改系统时间
12、关闭系统
13、管理审核和安全日志
14、还原文件和目录
15、拒绝本地登录
16、拒绝从网络访问这台计算机
17、拒绝作为服务登录
18、拒绝作为批处理作业登录
19、内存中锁定页面
20、配置单一进程
21、配置系统性能
22、取得文件或其他对象的所有权
23、身份验证后模拟客户端
24、生成安全审核
25、替换进程级别标记
26、跳过遍历检查
27、通过终端服务拒绝登录
28、通过终端服务允许登录
29、同步目录服务数据
30、修改固件环境值
31、以操作系统方式操作
32、域中添加工作站
33、允许计算机和用户账户被信任以便用于委任
34、允许在本地登录
35、增加计划优先级
36、执行卷维护任务
37、装载和卸载设备驱动程序
38、作为服务登录
39、作为批处理作业登录
(三)安全选项
1、DCOM在安全描述符定义语言(SDDL)语法中的计算机访问限制
2、DCOM:
在安全描述符定义语言(SDDL)语法中的计算机启动限制
3、Microsoft网络服务器:
当登录时间用完时自动注销用户
4、Microsoft网络服务器:
数字签名的通信(若客户端同意)
5、Microsoft网络服务器:
数字签名的通信(总是)
6、Microsoft网络服务器:
在挂起回话之前所需的空闲时间
7、Microsoft网络客户端:
发送未加密的密码到第三方SMB服务器
8、Microsoft网络客户端:
数字签名的通信(若服务器同意)
9、Microsoft网络客户端:
数字签名的通信(总是)
10、故障恢复控制台:
允许对所有驱动器和文件夹进行软盘复制和访问
11、故障恢复控制台:
允许自动系统管理级登录
12、关机:
清除虚拟内存页面文件
13、关机:
允许系统在未登录前关机
14、交互式登录:
不显示上次的用户名
15、交互式登录:
不需要按ctrl+alt+del
16、交互式登录:
会话锁定时显示用户信息
17、交互式登录:
可被缓存的前次登录个数(在域控制器不可用的情况下)
18、交互式登录:
要求域控制器身份验证以解锁工作站
19、交互式登录:
要求智能卡
20、交互式登录:
用户试图登录时消息标题
21、交互式登录:
用户试图登录时消息文字
22、交互式登录:
在密码到期前提示用户更改密码
23、交互式登录:
智能卡移除操作
24、设备:
防止用户安装打印机驱动程序
25、设备:
未签名驱动程序的安装操作
26、允许不登录移除
27、设备:
允许格式化和弹出可移动媒体
28、设备:
只有本地登录的用户才能访问CD-ROM
29、设备:
只有本地登录的用户才能访问软盘
30、审核:
对设备和还原权限的使用进行审核
31、审核:
对全局系统对象的访问进行审核
32、审核:
如果无法记录安全审核则立即关闭系统
33、网络安全:
LANManager身份验证级别
34、网络安全:
LDAP客户端签名要求
35、网络安全:
不要在下次更改密码时存储LANManager的哈希值
36、网络安全:
基于NTLMSSP(包括安全RPC)服务器的最小会话安全
37、网络安全:
基于NTLMSSP(包括安全RPC)客户端会话安全
38、网络安全:
在超过登录时间后强制注销
39、网络访问:
本地账户的共享和安全模式
40、网络访问:
不允许SAM账户的匿名枚举
41、网络访问:
不允许SAM账户和共享的匿名枚举
42、网络访问:
不允许为网络身份验证储存凭据或.NETPassports
43、网络访问:
可匿名访问的共享
44、网络访问:
可匿名访问的命名管道
45、网络访问:
可远程访问的注册表路径
46、网络访问:
远程访问的注册表路径和子路径
47、网络访问:
让每个人(Everyone)权限应用域匿名用户
48、网络访问:
限制匿名访问命名管道和共享
49、网络访问:
允许匿名SID/名称转换
50、系统对象:
对非windows子系统不要求区分大小写
51、系统对象:
由管理员(Administrator)组成员所创建的对象默认所有者
52、系统对象:
增强内部系统对象的默认权限
53、系统加密:
存储在计算机上的用户密钥强制使用强密钥保护
54、系统加密:
使用FIPS兼容的算法来加密、哈希和签名
55、系统设置:
可选子系统
56、系统设置:
为软件限制策略对windows可执行文件使用证书规则
57、域成员:
对安全通道数据进行数字加密(如果可能)
58、域成员:
对安全通道数据进行数字加密或签名(总是)
59、域成员:
对安全通道数据进行数字签名(如果可能)
60、域成员:
禁用更改机器帐号密码
61、域成员:
需要强(windows2000或以上版本)会话密钥
62、域成员:
最长机器账户密码寿命
63、域控制器:
LDAP服务器签名要求
64、域控制器:
拒绝更改机器账户密码
65、域控制器:
允许服务器操作员计划任务
66、账户:
管理员账户状态
67、账户:
来宾账户状态
68、账户:
使用空白密码的本地账户只允许进行控制台登录
69、账户:
重命名来宾账户
70、账户:
重命名系统管理员账户
三、事件日志
1、安全日志保留天数
2、安全日志的保留方法(可以根据自己的需求来选择该策略的设置)
3、安全日志最大值
4、系统日志保留方法
5、系统日志保留天数
6、系统日志大小最大值
7、限制本地来宾组访问安全日志
8、限制本地来宾组访问应用程序日志
9、限制本地来宾组访问应用程序日志
10、应用程序日志保留方法
11、应用程序日志保留天数
12、应用程序日志大小最大值
四、IP安全策略
1、Server(RequestSecurity)
2、Client (Respond Only)
3、Secure Server (Require Security)