本页内容
 |
本模块内容 |
|
目标 |
|
适用范围 |
|
如何使用本模块 |
|
Windows 2000 默认安全策略设置 |
本模块内容
本模块定义 Microsoft® Windows® 2000 操作系统的默认安全策略设置。其中包括 Windows 2000 Professional 和 Windows 2000 Server™ 本地策略中的默认安全策略设置以及默认的域和域控制器策略。
目标
使用本模块可以实现:
| • |
识别 Windows 2000 本地策略的默认安全策略设置。 |
| • |
识别 Windows 2000 域控制器的默认安全策略设置。 |
| • |
识别 Windows 2000 域的默认安全策略设置。 |
适用范围
本模块适用于下列产品和技术:
| • |
Microsoft Windows 2000 操作系统 |
| • |
Microsoft Windows 2000 域控制器 |
| • |
Microsoft Windows 2000 域 |
| • |
安全模板 |
如何使用本模块
本模块识别 Windows 2000 系统的默认安全策略设置。使用本模块可以识别 Windows 2000 的默认设置,并确定必须更改哪些设置来提高安全性。
为了充分理解本模块内容,请
| • |
阅读模块 Windows 2000 安全配置。本模块详细介绍了可用于提高 Windows 2000 安全的安全设置。 | ||||
| • |
阅读模块 Windows 2000 安全配置工具。本模块对可用于应用安全配置的 Windows 2000 工具进行了概述。 | ||||
| • |
阅读模块 Windows 2000 用户权限和特权配置。本模块对 Windows 2000 系统上的默认用户权限分配进行了详细描述,并提供了 Windows 2000 安全配置中所建议的更改的列表。 | ||||
| • |
使用检查表 Windows 2000 安全配置检查表。本模块中包含可在评估系统时使用的安全检查表,以确保完成了所有配置更改。 | ||||
| • |
使用附带的“如何”模块:
|
Windows 2000 默认安全策略设置
表 1:Windows 2000 默认安全策略设置
| 安全设置 | 本地安全策略(Professional 和 Server/Adv.Server) | 域控制器安全策略 | 域安全策略 | |
|
帐户策略 |
|
|
|
|
|
|
密码策略 |
|
|
|
|
|
强制密码历史 |
无需记住密码 |
没有定义 |
记住 1 个密码 |
|
|
密码最长使用期限 |
42 天 |
没有定义 |
42 天 |
|
|
密码最短使用期限 |
0 天 |
没有定义 |
0 天 |
|
|
最短密码长度 |
0 个字符 |
没有定义 |
0 个字符 |
|
|
密码必须符合复杂性要求 |
禁用 |
没有定义 |
禁用 |
|
|
使用可逆加密来储存密码(针对域中的所有用户) |
禁用 |
没有定义 |
禁用 |
|
|
帐户锁定策略 |
|
|
|
|
|
帐户锁定时间 |
没有定义 |
没有定义 |
没有定义 |
|
|
帐户锁定阈值 |
0 次无效登录 |
没有定义 |
0 次无效登录 |
|
|
复位帐户锁定计数器 |
没有定义 |
没有定义 |
没有定义 |
|
|
Kerberos 策略 |
|
|
|
|
|
强制实施用户登录限制 |
(不可用) |
没有定义 |
启用 |
|
|
服务票证的最长有效期 |
(不可用) |
没有定义 |
600 分钟 |
|
|
用户票证的最长有效期 |
(不可用) |
没有定义 |
10 小时 |
|
|
用户票证续订的最长有效期 |
(不可用) |
没有定义 |
7 天 |
|
|
计算机时钟同步的最大容差 |
(不可用) |
没有定义 |
5 分钟 |
|
本地策略 |
|
|
|
|
|
|
审核策略 |
|
|
|
|
|
审核帐户登录事件 |
无审核 |
无审核 |
没有定义 |
|
|
审核帐户管理 |
无审核 |
无审核 |
没有定义 |
|
|
审核目录服务访问 |
无审核 |
无审核 |
没有定义 |
|
|
审核登录事件 |
无审核 |
无审核 |
没有定义 |
|
|
审核对象访问 |
无审核 |
无审核 |
没有定义 |
|
|
审核策略更改 |
无审核 |
无审核 |
没有定义 |
|
|
审核特权使用 |
无审核 |
无审核 |
没有定义 |
|
|
审核过程跟踪 |
无审核 |
无审核 |
没有定义 |
|
|
审核系统事件 |
无审核 |
无审核 |
没有定义 |
|
|
用户权限分配 |
|
|
|
|
|
从网络访问此计算机 |
Administrators |
Administrators |
没有定义 |
|
|
作为操作系统的一部分工作 |
(空白) |
(空白) |
没有定义 |
|
|
将工作站添加到域中 |
(空白) |
Authenticated Users |
没有定义 |
|
|
备份文件和目录 |
Administrators |
Administrators |
没有定义 |
|
|
跳过遍历检查 |
Administrators |
Administrators |
没有定义 |
|
|
更改系统时间 |
Administrators |
Administrators |
没有定义 |
|
|
创建页面文件 |
Administrators |
Administrators |
没有定义 |
|
|
创建令牌对象 |
(空白) |
(空白) |
没有定义 |
|
|
创建永久共享对象 |
(空白) |
(空白) |
没有定义 |
|
|
调试程序 |
Administrators |
Administrators |
没有定义 |
|
|
拒绝从网络访问此计算机 |
(空白) |
(空白) |
没有定义 |
|
|
拒绝作为批处理作业登录 |
(空白) |
(空白) |
没有定义 |
|
|
拒绝作为服务登录 |
(空白) |
(空白) |
没有定义 |
|
|
拒绝本地登录 |
(空白) |
(空白) |
没有定义 |
|
|
使计算机和用户帐户受信任以进行委派 |
(空白) |
Administrators |
没有定义 |
|
|
从远程系统强制关机 |
Administrators |
AdministratorsServer Operators |
没有定义 |
|
|
生成安全审核 |
(空白) |
(空白) |
没有定义 |
|
|
增加配额 |
Administrators |
Administrators |
没有定义 |
|
|
增加调度优先级 |
Administrators |
Administrators |
没有定义 |
|
|
加载和卸载设备驱动程序 |
Administrators |
Administrators |
没有定义 |
|
|
将页锁定在内存中 |
(空白) |
(空白) |
没有定义 |
|
|
作为批处理作业登录 |
(空白) |
IUSR_W2K- |
没有定义 |
|
|
作为服务登录 |
(空白) |
(空白) |
没有定义 |
|
|
在本地登录 |
Administrators |
Administrators |
没有定义 |
|
|
管理审核和安全日志 |
Administrators |
Administrators |
没有定义 |
|
|
修改固件环境值 |
Administrators |
Administrators |
没有定义 |
|
|
配置单一进程 |
Administrators |
Administrators |
没有定义 |
|
|
配置系统性能 |
Administrators |
Administrators |
没有定义 |
|
|
从扩展坞删除计算机 |
Administrators |
Administrators |
没有定义 |
|
|
替换进程级令牌 |
(空白) |
(空白) |
没有定义 |
|
|
还原文件和目录 |
Administrators |
Administrators |
没有定义 |
|
|
关闭计算机 |
Administrators |
Account Operators |
没有定义 |
|
|
同步目录服务数据 |
(空白) |
(空白) |
没有定义 |
|
|
取得文件和其他对象的所有权 |
Administrators |
Administrators |
没有定义 |
|
|
安全选项 |
|
|
|
|
|
匿名连接的其他限制 |
无。依赖于默认权限。 |
没有定义 |
没有定义 |
|
|
允许服务器操作员计划任务(仅用于域控制器) |
没有定义。 |
没有定义 |
没有定义 |
|
|
允许在未登录时关闭系统(仅用于域控制器) |
启用(仅用于 Professional) |
没有定义 |
没有定义 |
|
|
允许在未登录时关机 |
启用(仅用于 Professional) |
没有定义 |
没有定义 |
|
|
允许弹出可移动媒体 |
Administrators |
没有定义 |
没有定义 |
|
|
在断开会话前所需的空闲时间 |
15 分钟 |
没有定义 |
没有定义 |
|
|
对全局系统对象的访问进行审核 |
禁用 |
没有定义 |
没有定义 |
|
|
对备份和还原特权的使用进行审核 |
禁用 |
没有定义 |
没有定义 |
|
|
登录时间到期时自动注销用户 |
(该选项在独立 |
没有定义 |
禁用 |
|
|
登录时间到期时自动注销用户(本地) |
启用 |
没有定义 |
没有定义 |
|
|
关闭系统时清除虚拟内存页面文件 |
禁用 |
没有定义 |
没有定义 |
|
|
数字签名的客户端通信(总是) |
禁用 |
没有定义 |
没有定义 |
|
|
数字签名的客户端通信(如果可能) |
启用 |
没有定义 |
没有定义 |
|
|
数字签名的服务器通信(总是) |
禁用 |
没有定义 |
没有定义 |
|
|
数字签名的服务器通信(如果可能) |
禁用 |
启用 |
没有定义 |
|
|
无需按 Ctrl+Alt+Del 即可登录 |
没有定义(仅用于 Professional)禁用(仅用于 Server/Adv.Server) |
没有定义 |
没有定义 |
|
|
在登录屏幕上不显示用户名 |
禁用 |
没有定义 |
没有定义 |
|
|
LAN Manager 身份验证级别 |
发送 LM & NTLM 响应 |
没有定义 |
没有定义 |
|
|
用户试图登录时的消息文字 |
(空白) |
没有定义 |
没有定义 |
|
|
用户试图登录时的消息文字 |
(空白) |
没有定义 |
没有定义 |
|
|
可被缓存的以前登录的次数 (在域控制器不可用的情况下) |
10 次登录 |
没有定义 |
没有定义 |
|
|
防止系统维护计算机帐户密码 |
禁用 |
没有定义 |
没有定义 |
|
|
防止用户安装打印驱动程序 |
禁用(仅用于 Professional) |
没有定义 |
没有定义 |
|
|
在密码到期前提示用户更改密码 |
14 天 |
没有定义 |
没有定义 |
|
|
故障恢复控制台:允许自动系统管理级登录 |
禁用 |
没有定义 |
没有定义 |
|
|
故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问 |
禁用 |
没有定义 |
没有定义 |
|
|
重命名系统管理员帐户 |
没有定义 |
没有定义 |
没有定义 |
|
|
重命名来宾帐户 |
没有定义 |
没有定义 |
没有定义 |
|
|
只有本地登录的用户才能访问 CD-ROM |
禁用 |
没有定义 |
没有定义 |
|
|
只有本地登录的用户才能访问软盘 |
禁用 |
没有定义 |
没有定义 |
|
|
安全通道:对安全通道数据进行数字加密或签名(总是) |
禁用 |
没有定义 |
没有定义 |
|
|
安全通道:对安全通道数据进行数字加密(如果可能) |
启用 |
没有定义 |
没有定义 |
|
|
安全通道:对安全通道数据进行数字签名(如果可能) |
启用 |
没有定义 |
没有定义 |
|
|
安全通道:需要强 (Windows 2000 或以上版本) 会话密钥 |
禁用 |
没有定义 |
没有定义 |
|
|
发送未加密的密码以连接到第三方 SMB 服务器 |
禁用 |
没有定义 |
没有定义 |
|
|
如果无法记录安全审核则立即关闭系统 |
禁用 |
没有定义 |
没有定义 |
|
|
智能卡移除操作 |
无操作 |
没有定义 |
没有定义 |
|
|
增强全局系统对象的默认权限(例如 Symbolic Links) |
启用 |
没有定义 |
没有定义 |
|
|
未签名驱动程序的安装操作 |
没有定义 |
没有定义 |
没有定义 |
|
|
未签名非驱动程序的安装操作 |
没有定义 |
没有定义 |
没有定义 |
|
事件日志 |
|
|
|
|
|
|
事件日志设置 |
|
|
|
|
|
应用程序日志大小最大值 |
512 KB |
没有定义 |
没有定义 |
|
|
安全日志最大值 |
512 KB |
没有定义 |
没有定义 |
|
|
系统日志大小最大值 |
512 KB |
没有定义 |
没有定义 |
|
|
限制对应用程序日志的来宾访问 |
(不可用) |
没有定义 |
没有定义 |
|
|
限制对安全日志的来宾访问 |
(不可用) |
没有定义 |
没有定义 |
|
|
限制对系统日志的来宾访问 |
(不可用) |
没有定义 |
没有定义 |
|
|
保留应用程序日志 |
覆盖 7 天前的事件 |
没有定义 |
没有定义 |
|
|
安全日志保留天数 |
覆盖 7 天前的事件 |
没有定义 |
没有定义 |
|
|
保留系统日志 |
覆盖 7 天前的事件 |
没有定义 |
没有定义 |
|
|
应用程序日志保留方法 |
覆盖 7 天前的事件 |
没有定义 |
没有定义 |
|
|
安全日志的保留方法 |
覆盖 7 天前的事件 |
没有定义 |
没有定义 |
|
|
系统日志保留方法 |
覆盖 7 天前的事件 |
没有定义 |
没有定义 |
|
|
安全审核日志已满时关闭计算机 |
(不可用) |
没有定义 |
没有定义 |