Windows中最需要監聽的五項安全設置

本文中，我們將仔細研究windows系統中的5種比較重要的安全設置。監聽這些設置能夠保證你的系統處在最高安全級別。

Windows系統環境的安全性經常在變化，不管你的電腦是新組裝的還是已經運行了數年的，它很有可能不符合你所在機構要求的安全標准。你需要對電腦進行內部的或者外部的監聽才能找到那些不正確的安全設置。如果時間緊迫的話，你可以主要監聽對WindowsActiveDirectory目錄服務器來說最為關鍵的幾個安全設置。我們將在下面的文章中詳細介紹這5個比較重要的安全設置。

WindowsActiveDirectory目錄服務的安全性

我可以說出選擇這些安全設置的數個理由。第一，正確設置這些安全設置，它可以幫助windows抵抗一些對系統的常規攻擊。第二，Windows系統核心中有些默認的安全設置歷來都是不安全的。如果不是從一開始就設置好或者定期地檢查他們，你可能一直在操作一個又一個帶著這些不安全的默認設置的電腦。最後一點，，根據我的經驗，通常這些設置都被用戶忽略，並沒有配置正確。即使是那些所謂的安全的，老練的網絡也是如此。

＃1密碼策略

ActiveDirectory域的初始密碼策略是在默認域策略組策略對象（GPO）中配置的。該欄目下有多項設置，應該把這些設置至少設在標准安全級別。你需要對照你的服務器安全策略來決定該設哪些值。如果你們自己的安全策略中沒有這些值，你可以參考下表中的推薦值：

---密碼策略|推薦值---Enforcepasswordhistory|12到24位Maximumpasswordage|30到90天Minimumpasswordage|1到3天Minimumpasswordlength|7到14個字母Passwordmustmeetcomplexityrequirements|EnabledStorepasswordusingreversibleencryption|Disabled---ccidnet

缺省情況下，這些設置儲存在默認域策略GPO中，但不應從那裡監聽，你應該分析諸如DUMPSEC或者域控制器的本地安全策略（在域控制器上運行GPEDIT.MSC）這樣的工具。DUMPSEC將不收集密碼的復雜要求，它通過其他途徑來收集該信息。本地安全策略能夠提供監聽這些設置的所有信息。

＃2帳戶拒絕登陸策略

該策略在用戶忘記密碼的時候起作用。當然，為了阻止入侵者猜密碼或者強制攻擊這些密碼，最好確保該設置與你的其他安全策略一起使用。如果你的安全策略中沒有定義這些設置，下表給出了對這些設置來說最實用的值。

----帳戶拒絕策略設置|推薦值---Accountlockoutduration|9999(也可設小一點的數字，比如5，但不能是0)Accountlockoutthreshold|3到5Resetaccountlockoutcounterafter|9999---ccidnet

默認情況下，這些設置儲存在默認域策略GPO中，但不是在那裡監聽，應該分析諸如DUMPSEC或者域控制器的本地安全策略（在域控制器上運行GPEDIT.MSC）這樣的工具。

＃3服務器管理員組成員權限

服務器管理員組的成員是ActiveDirectory目錄服務器的一個重要的組。該組成員可以對“服務器”的功能類型進行整體變換，包括修改ActiveDirectory站點，服務器DFS配置等等類似方面。他們還能夠管理在整個域中的所有用戶的帳戶，組帳戶，以及電腦帳戶。

這個組只存在於根域中（ActiveDirectorforest中的第一個域）。因此，你只需檢查ActiveDirectoryforest中的一個域就可以監聽該組。該組成員數量應該控制在有限的幾個以內。鑒於域管理組中的成員可以添加或者刪除該組成員，所以我建議日常情況下該組沒有任何成員比較好。

DUMPSEC非常適合用來監聽該組。你也可以就用ActiveDirectoryUsersandComputers項來浏覽有該組成員權限的組和用戶。

＃4計劃管理組成員權限

該組的權限跟服務器管理組差不多大，但是針對ActiveDirectory的另一不同的方面的。該組成員能夠修改ActiveDirectory的計劃，該計劃將影響到Forest中所有的域。對該計劃的錯誤修改將使整個服務器癱瘓和崩潰。

該組也只存在於根域中。同樣，鑒於計劃很少需要變更並且很受限制，日常情況下該組可以沒有任何成員。限制該組成員數量或者干脆刪去他們，你才能夠更好的管理和控制計劃變更。

DUMPSEC非常適合用來監聽該組。你也可以就用ActiveDirectoryUsersandComputers來浏覽有該組成員權限的組和用戶。

＃5域管理組成員權限

該組可以全權管理單獨域中的所有用戶、組以及電腦。該組的權限很大，並且每天都會用到。該組成員數也要控制數量，但是不要讓這個組是空的。如果需要某些域功能，你應該使用ActiveDirectory委任，而不是向這個組添加用戶。該委任對所有的ActiveDirectory進行粗略的管理，它不會像域管理組那樣分發出太多的權限。該組在所有的ActiveDirectory域中都存在，所以你需要監聽所有這些域。

DUMPSEC非常適合用來監聽該組。你也可以就用ActiveDirectoryUsersandComputers來浏覽有該組成員權限的組和用戶。

總結

對ActiveDirectory進行基本管理至關重要。如果用戶的帳戶密碼太簡單，能夠輕易被破解，不經常更換或者根本沒有設置密碼，那麼網絡和服務器就很容易被攻擊。務必正確設置這些密碼值以及帳戶拒絕登陸策略。那些最實用的值能夠幫助你阻擋針對密碼的種種攻擊。同樣的，以上ActiveDirectory服務器三個組的用戶權限應當妥善管理並經常監聽。如果普通用戶擁有服務器，計劃或者域管理組的此類權限，那將很可能引發重大損失或嚴重問題。

關於DerekMelber

Derek是DesktopStandard靈活解決方案的總監。他編寫了的書庫中關於監聽windows安全的所有書籍。他還為MSPress編寫了“組策略指南”，該書是微軟針對組策略出版的唯一的一本書。如果你有問題要問Derek，請發郵件至[email protected]