2023年12月12日發(fā)(作者:校園安全)
-
域安全策略
在域安全策略中的“安全設(shè)置”包含了:
1��、 賬戶策略
2�����、 本地策略
3�����、 事件日志
4、 受限制的組
5�����、 系統(tǒng)服務(wù)
6����、 注冊(cè)表
7、 文件系統(tǒng)
8、 無(wú)線網(wǎng)絡(luò)(IEEE 802.11)策略
9����、 公鑰策略
10����、 軟件限制策略
11、 IP安全策略���,在Active Directory。
以下我將介紹比較常用的
一�����、 賬戶策略
(一)密碼策略
1�、密碼必須符合復(fù)雜性要求 |2、密碼長(zhǎng)度最小值
3����、密碼最長(zhǎng)使用期限 4、密碼最短使用期限
5�����、強(qiáng)制密碼歷史 6��、 用可還原的加密來(lái)存儲(chǔ)密碼
(二)賬戶多頂策略
1��、復(fù)位賬戶鎖定計(jì)數(shù)器 2、賬戶鎖定時(shí)間
3、 賬戶鎖定閾值 (三)Kerberos策略
1、服務(wù)票證最長(zhǎng)壽命
2����、計(jì)算機(jī)時(shí)鐘同步的最大容差 3����、強(qiáng)制用戶登錄限制
4��、用戶票證續(xù)訂最長(zhǎng)壽命 5���、用戶票證最長(zhǎng)壽命
二���、 本地策略�����、
(一) 審核策略
1、 審核策略更改 2、 審核登錄事件
3����、 審核對(duì)象訪問(wèn) 4����、 審核過(guò)程跟蹤
5�、 審核目錄服務(wù)訪問(wèn) 6�����、 審核特權(quán)使用
7����、 審核系統(tǒng)事件 8���、 審核賬戶登錄事件
9���、 審核賬戶管理 (二)用戶權(quán)限分配
1����、 備份文件和目錄
2、 創(chuàng)建標(biāo)記對(duì)象 3�、 創(chuàng)建全局對(duì)象
4����、 創(chuàng)建頁(yè)面文件
5��、 創(chuàng)建永久共享文件
6�、 從擴(kuò)展塢中取出計(jì)算機(jī)
7、 從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī) 8���、 從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī) 9、 調(diào)試程序
10����、 調(diào)整進(jìn)程的內(nèi)存配額
11�、 更改系統(tǒng)時(shí)間
12�、 關(guān)閉系統(tǒng) 13、 管理審核和安全日志
14、 還原文件和目錄
15、 拒絕本地登錄 16����、 拒絕從網(wǎng)絡(luò)訪問(wèn)這臺(tái)計(jì)算機(jī)
17、 拒絕作為服務(wù)登錄
18�����、 拒絕作為批處理作業(yè)登錄
19��、 內(nèi)存中鎖定頁(yè)面
20����、 配置單一進(jìn)程
21���、 配置系統(tǒng)性能
22���、 取得文件或其他對(duì)象的所有權(quán)
23����、 身份驗(yàn)證后模擬客戶端
24、 生成安全審核
25�、 替換進(jìn)程級(jí)別標(biāo)記
26�、 跳過(guò)遍歷檢查 27�����、 通過(guò)終端服務(wù)拒絕登錄
28�����、 通過(guò)終端服務(wù)允許登錄
29、 同步目錄服務(wù)數(shù)據(jù)
30�����、 修改固件環(huán)境值
31�����、 以操作系統(tǒng)方式操作
32、 域中添加工作站
33、 允許計(jì)算機(jī)和用戶賬戶被信任以便用于委任
34�、 允許在本地登錄
35���、 增加計(jì)劃優(yōu)先級(jí)
36��、 執(zhí)行卷維護(hù)任務(wù)
37、 裝載和卸載設(shè)備驅(qū)動(dòng)程序 38、 作為服務(wù)登錄
39�����、 作為批處理作業(yè)登錄
(三)安全選項(xiàng)
1�����、DCOM在安全描述符定義語(yǔ)言(SDDL)語(yǔ)法中的計(jì)算機(jī)訪問(wèn)限制
2���、DCOM:在安全描述符定義語(yǔ)言(SDDL)語(yǔ)法中的計(jì)算機(jī)啟動(dòng)限制
3�����、Microsoft 網(wǎng)絡(luò)服務(wù)器:當(dāng)?shù)卿洉r(shí)間用完時(shí)自動(dòng)注銷用戶
4、Microsoft 網(wǎng)絡(luò)服務(wù)器:數(shù)字簽名的通信(若客戶端同意)
5��、Microsoft 網(wǎng)絡(luò)服務(wù)器:數(shù)字簽名的通信(總是)
6��、Microsoft 網(wǎng)絡(luò)服務(wù)器:在掛起回話之前所需的空閑時(shí)間
7�、Microsoft 網(wǎng)絡(luò)客戶端:發(fā)送未加密的密碼到第三方SMB服務(wù)器
8、Microsoft 網(wǎng)絡(luò)客戶端:數(shù)字簽名的通信(若服務(wù)器同意)
9�����、Microsoft 網(wǎng)絡(luò)客戶端:數(shù)字簽名的通信(總是)
10�����、故障恢復(fù)控制臺(tái):允許對(duì)所有驅(qū)動(dòng)器和文件夾進(jìn)行軟盤復(fù)制和訪問(wèn)
11、故障恢復(fù)控制臺(tái):允許自動(dòng)系統(tǒng)管理級(jí)登錄
12、關(guān)機(jī):清除虛擬內(nèi)存頁(yè)面文件
13��、關(guān)機(jī):允許系統(tǒng)在未登錄前關(guān)機(jī)
14��、交互式登錄:不顯示上次的用戶名
15���、交互式登錄:不需要按 ctrl+alt+del
16��、交互式登錄:會(huì)話鎖定時(shí)顯示用戶信息 17、交互式登錄:可被緩存的前次登錄個(gè)數(shù)(在域控制器不可用的情況下)
18、交互式登錄:要求域控制器身份驗(yàn)證以解鎖工作站
19、交互式登錄:要求智能卡
20、交互式登錄:用戶試圖登錄時(shí)消息標(biāo)題
21���、交互式登錄:用戶試圖登錄時(shí)消息文字
22、交互式登錄:在密碼到期前提示用戶更改密碼
23、交互式登錄:智能卡移除操作
24�、設(shè)備:防止用戶安裝打印機(jī)驅(qū)動(dòng)程序
25�、設(shè)備:未簽名驅(qū)動(dòng)程序的安裝操作
26���、允許不登錄移除
27�、設(shè)備:允許格式化和彈出可移動(dòng)媒體
28、設(shè)備:只有本地登錄的用戶才能訪問(wèn)CD-ROM
29、設(shè)備:只有本地登錄的用戶才能訪問(wèn)軟盤
30�����、審核:對(duì)設(shè)備和還原權(quán)限的使用進(jìn)行審核
31���、審核:對(duì)全局系統(tǒng)對(duì)象的訪問(wèn)進(jìn)行審核 32�、審核:如果無(wú)法記錄安全審核則立即關(guān)閉系統(tǒng)
33、網(wǎng)絡(luò)安全:LAN Manager 身份驗(yàn)證級(jí)別
34、網(wǎng)絡(luò)安全:LDAP客戶端簽名要求
35�、網(wǎng)絡(luò)安全:不要在下次更改密碼時(shí)存儲(chǔ)LAN
Manager的哈希值
36����、網(wǎng)絡(luò)安全:基于NTLM SSP(包括安全 RPC)服務(wù)器的最小會(huì)話安全
37�����、網(wǎng)絡(luò)安全:基于NTLM SSP(包括安全 RPC)客戶端會(huì)話安全
38、網(wǎng)絡(luò)安全:在超過(guò)登錄時(shí)間后強(qiáng)制注銷
39����、網(wǎng)絡(luò)訪問(wèn):本地賬戶的共享和安全模式
40��、網(wǎng)絡(luò)訪問(wèn):不允許SAM賬戶的匿名枚舉
41、網(wǎng)絡(luò)訪問(wèn):不允許SAM賬戶和共享的匿名枚舉
42��、網(wǎng)絡(luò)訪問(wèn):不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑據(jù)或.NET Passports
43�����、網(wǎng)絡(luò)訪問(wèn):可匿名訪問(wèn)的共享
44��、網(wǎng)絡(luò)訪問(wèn):可匿名訪問(wèn)的命名管道 45、網(wǎng)絡(luò)訪問(wèn):可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑
46�����、網(wǎng)絡(luò)訪問(wèn):遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑
47�����、網(wǎng)絡(luò)訪問(wèn):讓每個(gè)人(Everyone)權(quán)限應(yīng)用域匿名用戶
48���、網(wǎng)絡(luò)訪問(wèn):限制匿名訪問(wèn)命名管道和共享
49���、網(wǎng)絡(luò)訪問(wèn):允許匿名SID/名稱轉(zhuǎn)換
50��、系統(tǒng)對(duì)象:對(duì)非windows子系統(tǒng)不要求區(qū)分大小寫
51、系統(tǒng)對(duì)象:由管理員(Administrator)組成員所創(chuàng)建的對(duì)象默認(rèn)所有者
52�����、系統(tǒng)對(duì)象:增強(qiáng)內(nèi)部系統(tǒng)對(duì)象的默認(rèn)權(quán)限
53�����、系統(tǒng)加密:存儲(chǔ)在計(jì)算機(jī)上的用戶密鑰強(qiáng)制使用強(qiáng)密鑰保護(hù)
54����、系統(tǒng)加密:使用FIPS兼容的算法來(lái)加密�、哈希和簽名
55、系統(tǒng)設(shè)置:可選子系統(tǒng)
56����、系統(tǒng)設(shè)置:為軟件限制策略對(duì)windows可執(zhí)行文件使用證書(shū)規(guī)則 57���、域成員:對(duì)安全通道數(shù)據(jù)進(jìn)行數(shù)字加密(如果可能)
58��、域成員:對(duì)安全通道數(shù)據(jù)進(jìn)行數(shù)字加密或簽名(總是)
59、域成員:對(duì)安全通道數(shù)據(jù)進(jìn)行數(shù)字簽名(如果可能)
60�����、域成員:禁用更改機(jī)器帳號(hào)密碼
61���、域成員:需要強(qiáng)(windows 2000 或以上版本)會(huì)話密鑰
62��、域成員:最長(zhǎng)機(jī)器賬戶密碼壽命
63�����、域控制器:LDAP服務(wù)器簽名要求
64、域控制器:拒絕更改機(jī)器賬戶密碼 65�、域控制器:允許服務(wù)器操作員計(jì)劃任務(wù)
66��、賬戶:管理員賬戶狀態(tài)
67��、賬戶:來(lái)賓賬戶狀態(tài)
68����、賬戶:使用空白密碼的本地賬戶只允許進(jìn)行控制臺(tái)登錄
69�、賬戶:重命名來(lái)賓賬戶
70、賬戶:重命名系統(tǒng)管理員賬戶
三、 事件日志
1、 安全日志保留天數(shù)
2�����、 安全日志的保留方法(可以根據(jù)自己的需求來(lái)選擇該策略的設(shè)置)
3�����、 安全日志最大值 4�����、 系統(tǒng)日志保留方法
5、 系統(tǒng)日志保留天數(shù)
6、 系統(tǒng)日志大小最大值
7�����、 限制本地來(lái)賓組訪問(wèn)安全日志
8��、 限制本地來(lái)賓組訪問(wèn)應(yīng)用程序日志
9���、 限制本地來(lái)賓組訪問(wèn)應(yīng)用程序日志
10���、 應(yīng)用程序日志保留方法 11��、 應(yīng)用程序日志保留天數(shù)
12、 應(yīng)用程序日志大小最大值
四、 IP安全策略
1��、 Server (Request Security)
2��、 Client (Respond Only)
3、 Secure Server (Require Security)
-
