域安全策略

2024年1月9日發(作者：相遇作文)

域安全策略

在域安全策略中的“安全設置”包含了：

1、 賬戶策略

2、 本地策略

3、 事件日志

4、 受限制的組

5、 系統服務

6、 注冊表

7、 文件系統

8、 無線網絡（IEEE 802.11）策略

9、 公鑰策略

10、 軟件限制策略

11、 IP安全策略，在Active Directory。

以下我將介紹比較常用的

一、 賬戶策略

（一）密碼策略

1、密碼必須符合復雜性要求

｜2、密碼長度最小值

3、密碼最長使用期限

4、密碼最短使用期限

5、強制密碼歷史

6、 用可還原的加密來存儲密碼

（二）賬戶多頂策略

1、復位賬戶鎖定計數器

2、賬戶鎖定時間

3、 賬戶鎖定閾值

（三）Kerberos策略

1、服務票證最長壽命

2、計算機時鐘同步的最大容差

3、強制用戶登錄限制

4、用戶票證續訂最長壽命

5、用戶票證最長壽命

二、 本地策略、

(一) 審核策略

1、 審核策略更改

2、 審核登錄事件

3、 審核對象訪問

4、 審核過程跟蹤

5、 審核目錄服務訪問

6、 審核特權使用

7、 審核系統事件

8、 審核賬戶登錄事件

9、 審核賬戶管理

（二）用戶權限分配

1、 備份文件和目錄

2、 創建標記對象

3、 創建全局對象

4、 創建頁面文件

5、 創建永久共享文件

6、 從擴展塢中取出計算機

7、 從網絡訪問此計算機

8、 從遠程系統強制關機

9、 調試程序

10、 調整進程的內存配額

11、 更改系統時間

12、 關閉系統

13、 管理審核和安全日志

14、 還原文件和目錄

15、 拒絕本地登錄

16、 拒絕從網絡訪問這臺計算機

17、 拒絕作為服務登錄

18、 拒絕作為批處理作業登錄

19、 內存中鎖定頁面

20、 配置單一進程

21、 配置系統性能

22、 取得文件或其他對象的所有權

23、 身份驗證后模擬客戶端

24、 生成安全審核

25、 替換進程級別標記

26、 跳過遍歷檢查

27、 通過終端服務拒絕登錄

28、 通過終端服務允許登錄

29、 同步目錄服務數據

30、 修改固件環境值

31、 以操作系統方式操作

32、 域中添加工作站

33、 允許計算機和用戶賬戶被信任以便用于委任

34、 允許在本地登錄

35、 增加計劃優先級

36、 執行卷維護任務

37、 裝載和卸載設備驅動程序

38、 作為服務登錄

39、 作為批處理作業登錄

（三）安全選項

1、DCOM在安全描述符定義語言（SDDL）語法中的計算機訪問限制

2、DCOM：在安全描述符定義語言（SDDL）語法中的計算機啟動限制

3、Microsoft 網絡服務器：當登錄時間用完時自動注銷用戶

4、Microsoft 網絡服務器：數字簽名的通信（若客戶端同意）

5、Microsoft 網絡服務器：數字簽名的通信（總是）

6、Microsoft 網絡服務器：在掛起回話之前所需的空閑時間

7、Microsoft 網絡客戶端：發送未加密的密碼到第

三方SMB服務器

8、Microsoft 網絡客戶端：數字簽名的通信（若服務器同意）

9、Microsoft 網絡客戶端：數字簽名的通信（總是）

10、故障恢復控制臺：允許對所有驅動器和文件夾進行軟盤復制和訪問

11、故障恢復控制臺：允許自動系統管理級登錄

12、關機：清除虛擬內存頁面文件

13、關機：允許系統在未登錄前關機

14、交互式登錄：不顯示上次的用戶名

15、交互式登錄：不需要按 ctrl+alt+del

16、交互式登錄：會話鎖定時顯示用戶信息

17、交互式登錄：可被緩存的前次登錄個數（在域控制器不可用的情況下）

18、交互式登錄：要求域控制器身份驗證以解鎖工作站

19、交互式登錄：要求智能卡

20、交互式登錄：用戶試圖登錄時消息標題

21、交互式登錄：用戶試圖登錄時消息文字

22、交互式登錄：在密碼到期前提示用戶更改密碼

23、交互式登錄：智能卡移除操作

24、設備：防止用戶安裝打印機驅動程序

25、設備：未簽名驅動程序的安裝操作

26、允許不登錄移除

27、設備：允許格式化和彈出可移動媒體

28、設備：只有本地登錄的用戶才能訪問CD-ROM

29、設備：只有本地登錄的用戶才能訪問軟盤

30、審核：對設備和還原權限的使用進行審核

31、審核：對全局系統對象的訪問進行審核

32、審核：如果無法記錄安全審核則立即關閉系統

33、網絡安全：LAN Manager 身份驗證級別

34、網絡安全：LDAP客戶端簽名要求

35、網絡安全：不要在下次更改密碼時存儲LAN

Manager的哈希值

36、網絡安全：基于NTLM SSP（包括安全 RPC）服務器的最小會話安全

37、網絡安全：基于NTLM SSP（包括安全 RPC）客戶端會話安全

38、網絡安全：在超過登錄時間后強制注銷

39、網絡訪問：本地賬戶的共享和安全模式

40、網絡訪問：不允許SAM賬戶的匿名枚舉

41、網絡訪問：不允許SAM賬戶和共享的匿名枚舉

42、網絡訪問：不允許為網絡身份驗證儲存憑據或.NET Passports

43、網絡訪問：可匿名訪問的共享

44、網絡訪問：可匿名訪問的命名管道

45、網絡訪問：可遠程訪問的注冊表路徑

46、網絡訪問：遠程訪問的注冊表路徑和子路徑

47、網絡訪問：讓每個人（Everyone）權限應用域匿名用戶

48、網絡訪問：限制匿名訪問命名管道和共享

49、網絡訪問：允許匿名SID/名稱轉換

50、系統對象：對非windows子系統不要求區分大小寫

51、系統對象：由管理員（Administrator）組成員所創建的對象默認所有者

52、系統對象：增強內部系統對象的默認權限

53、系統加密：存儲在計算機上的用戶密鑰強制使用強密鑰保護

54、系統加密：使用FIPS兼容的算法來加密、哈希和簽名

55、系統設置：可選子系統

56、系統設置：為軟件限制策略對windows可執行文件使用證書規則

57、域成員：對安全通道數據進行數字加密（如果可能）

58、域成員：對安全通道數據進行數字加密或簽名（總是）

59、域成員：對安全通道數據進行數字簽名（如果可能）

60、域成員：禁用更改機器帳號密碼

61、域成員：需要強（windows 2000 或以上版本）會話密鑰

62、域成員：最長機器賬戶密碼壽命

63、域控制器：LDAP服務器簽名要求

64、域控制器：拒絕更改機器賬戶密碼

65、域控制器：允許服務器操作員計劃任務

66、賬戶：管理員賬戶狀態

67、賬戶：來賓賬戶狀態

68、賬戶：使用空白密碼的本地賬戶只允許進行控制臺登錄

69、賬戶：重命名來賓賬戶

70、賬戶：重命名系統管理員賬戶

三、 事件日志

1、 安全日志保留天數

2、 安全日志的保留方法（可以根據自己的需求來選擇該策略的設置）

3、 安全日志最大值

4、 系統日志保留方法

5、 系統日志保留天數

6、 系統日志大小最大值

7、 限制本地來賓組訪問安全日志

8、 限制本地來賓組訪問應用程序日志

9、 限制本地來賓組訪問應用程序日志

10、 應用程序日志保留方法

11、 應用程序日志保留天數

12、 應用程序日志大小最大值

四、 IP安全策略

1、 Server （Request Security）

2、 Client （Respond Only）

3、 Secure Server （Require Security）