2.设置本地策略
本地策略包括审核策略、用户权限分配和安全选项三项安全设置 , 其中 , 审核策略确定了是否将安全事件记录到计算机上的安全日志中;用户权利指派确定了哪些用户或组具有登录计算机的权利或特权;安全选项确定启用或禁用计算机的安全设置 。
(1)审核策略
审核被启用后 , 系统就会在审核日志中收集审核对象所发生的一切事件 , 如应用程序、系统以及安全的相关信息 , 因此审核对于保证域的安全是非常重要的 。审核策略下的各项值可分为成功、失败和不审核三种 , 默认是不审核 , 若要启用审核 , 可在某项上双击鼠标 , 就会弹出"属性"窗口 , 首先选中"在模板中定义这些策略设置" , 然后按需求选择"成功"或"失败"即可 。
审核策略包括审核账户登录事件、审核策略更改、审核账户管理、审核登录事件、审核系统事件等 , 下面分别进行介绍 。
①审核策略更改:主要用于确定是否对用户权限分配策略、审核策略或信任策略作出更改的每一个事件进行审核 。建议设置为"成功"和"失败";
②审核登录事件:用于确定是否审核用户登录到该计算机、从该计算机注销或建立与该计算机的网络连接的每一个实例 。如果设定为审核成功 , 则可用来确定哪个用户成功登录到哪台计算机;如果设为审核失败 , 则可以用来检测入侵 , 但攻击者生成的庞大的登录失败日志 , 会造成拒绝服务(Dos)状态 。建议设置为"成功";
③审核对象访问:确定是否审核用户访问某个对象 , 例如文件、文件夹、注册表项、打印机等 , 它们都指定了自己的系统访问控制列表(SACL)的事件 。建议设置为"失败";
④审核过程跟踪:确定是否审核事件的详细跟踪信息 , 如程序激活、进程退出、间接对象访问等 。如果你怀疑系统被攻击 , 可启用该项 , 但启用后会生成大量事件 , 正常情况下建议将其设置为"无审核";
⑤审核目录服务访问:确定是否审核用户访问那些指定有自己的系统访问控制列表(SACL)的ActiveDirectory对象的事件 。启用后会在域控制器的安全日志中生成大量审核项 , 因此仅在确实要使用所创建的信息时才应启用 。建议设置为"无审核";
⑥审核特权使用:该项用于确定是否对用户行使用户权限的每个实例进行审核 , 但除跳过遍历检查、调试程序、创建标记对象、替换进程级别标记、生成安全审核、备份文件和目录、还原文件和目录等权限 。建议设置为"不审核";
⑦审核系统事件:用于确定当用户重新启动或关闭计算机时 , 或者对系统安全或安全日志有影响的事件发生时 , 是否予以审核 。这些事件信息是非常重要的 , 所以建议设置为"成功"和"失败";
⑧审核账户登录事件:该设置用于确定当用户登录到其他计算机(该计算机用于验证其他计算机中的账户)或从中注销时 , 是否进行审核 。建议设置为"成功"和"失败";
⑨审核账户管理:用于确定是否对计算机上的每个账户管理事件 , 如重命名、禁用或启用用户账户、创建、修改或删除用户账户或管理事件进行审核 。建议设置为"成功"和"失败" 。
(2)用户权利指派
用户权利指派主要是确定哪些用户或组被允许做哪些事情 。具体设置方法是:
①双击某项策略 , 在弹出"属性"窗口中 , 首先选中"在模板中定义这些策略设置";
②点击"添加用户或组"按钮就会出现"选择用户或组"窗口 , 先点击"对象类型"选择对象的类型 , 再点击"位置"选择查找的位置 , 最后在"输入对象名称来选择"下的空白栏中输入用户或组的名称 , 输完后可点击"检查名称"按钮来检查名称是否正确;
推荐阅读
- XP系统的超级管理员安全忠告
- 一氧化碳的安全常识
- XP安全模板快速配置安全选项
- 教你定制Windows硬件驱动安装目录列表
- WindowsXP下快速查看文件的具体位置
- Windows误操作易造成硬盘故障
- 探究Windows操作系统内核工作原理
- Windows 2003与 XP x64 SP2最新消息
- Windows快速启动栏拓宽改造记
- Windows XP中打印机自定义纸张设置