功能介绍:
检查 启用该策略的话,你可能忘记删除可移动媒体(如 CD 或软盘)和敏感数据,或者恶意用户可能会窃取的应用程序。 或者,在使用恢复控制台后,可能会意外地将启动磁盘留在计算机中。 如果出于任何原因重新启动设备,并且 BIOS 已配置为在硬盘驱动器之前从可移动媒体启动,则服务器会从可移动磁盘启动。 这会导致服务器的网络服务不可用。
在运行界面输入gpedit.msc,打开组策略编辑器——浏览路径“本地计算机策略计算机配置Windows设置安全设置本地策略安全选项“——将“恢复控制台:允许软盘复制并访问所有驱动器和所有文件夹”配置为”已禁止“
修复若配置为”已启用“,则需要将其配置为”已禁止“。
2. 启用“域成员:对安全通道数据进行数字加密”策略
功能介绍:
检查 此设置确定由域成员启动的所有安全通道流量是否满足最低安全要求。 具体而言,它确定是否必须加密由域成员启动的所有安全通道通信。 通过安全通道传输的登录信息始终加密,而不管是否协商了所有其他安全通道通信的加密。
在运行界面输入gpedit.msc,打开组策略编辑器——浏览路径“本地计算机策略计算机配置Windows设置安全设置本地策略安全选项“——将“域成员: 对安全通道数据进行数字加密”配置为”已启用“
修复若配置为”已禁止“,则需要将其配置为”已启用“。
3. 禁止将Everyone权限应用于匿名用户
功能介绍:
检查 everyone权限是最高的用户权限,可以管理电脑内所有的文件。该权限被禁用后,该用户对计算机的一些操作会因为没有权限而被拒绝。
在运行界面输入gpedit.msc,打开组策略编辑器——浏览路径“本地计算机策略计算机配置Windows设置安全设置本地策略安全选项“——将“网络访问:将Everyone权限应用于匿名用户”配置为”已禁止“
修复若配置为”已启用“,则需要将其配置为”已禁止“。
4. 禁用“登录时无须按 Ctrl+Alt+Del”策略
功能介绍:
检查 有些系统开机时需要按Ctrl+Alt+Del才能进行登录,虽然这项操作会让登录过程更加安全,但是感觉稍微有些麻烦,因此需要禁用掉。
在运行界面输入gpedit.msc,打开组策略编辑器——浏览路径“本地计算机策略计算机配置Windows设置安全设置本地策略安全选项“——将“交互式登录: 无须(不需要)按 Ctrl+Alt+Del”或“禁用按CTRL+ALT+DEL进行登录的设置”(适用于Windows2000)配置为”已禁止“
修复若配置为”已启用“,则需要将其配置为”已禁止“。
5. 启用“当登录时间用完时自动注销用户”策略
功能介绍:
检查 该设置影响“服务器消息块 (SMB)”组件。如果启用了该策略,则在客户登录时间超时后会强行断开与“SMB 服务”的客户会话。如果禁用了该策略,则在客户登录时间过期后仍然可以保持已建立的客户会话。
在运行界面输入gpedit.msc,打开组策略编辑器——浏览路径“本地计算机策略计算机配置Windows设置安全设置本地策略安全选项“——将“Microsoft 网络服务器: 登录时间过期后断开与客户端的连接”或“Microsoft 网络服务器: 当登录时间用完时自动注销用户”(适用于Windows2000、WindowsXP、Windows2003、Windows2003R2、Windows server 2012)配置为”已启用“
修复若配置为”已禁止“,则需要将其配置为”已启用“。
6. 禁用“恢复控制台:允许自动管理登录”策略
功能介绍:
检查 此策略设置确定是否必须在授予对设备的访问权限之前提供内置管理员帐户密码。 如果启用此设置,则内置管理员帐户将自动登录到恢复控制台的计算机;无需密码。
在运行界面输入gpedit.msc,打开组策略编辑器——浏览路径“本地计算机策略计算机配置Windows设置安全设置本地策略安全选项“——将“恢复控制台:允许自动管理登录”配置为**”已禁止**“
修复若配置为”已启用“,则需要将其配置为”已禁止“。
7. 使用空密码的本地账户只允许进行控制台登录
功能介绍:
检查 此策略设置不会影响在控制台上实际执行的交互式登录或使用域帐户的登录。 使用远程交互式登出的非 Microsoft 应用程序可以绕过此策略设置。 空白密码是一种对计算机安全性的安全威胁,应该通过公司策略和适当的技术措施来禁止它们。
在运行界面输入gpedit.msc,打开组策略编辑器——浏览路径“本地计算机策略计算机配置Windows设置安全设置本地策略安全选项“——将“使用空密码的本地账户只允许进行控制台登录”配置为”已启用“
修复若配置为”已禁止“,则需要将其配置为”已启用“。
8. 更改密码时不存储LAN管理器哈希值
功能介绍:
检查 此策略设置确定是否阻止 LAN 管理器在下次更改密码时存储新密码的哈希值。 哈希值是应用加密算法后密码的表示形式,与算法指定的格式相对应。 若要解密哈希值,必须确定加密算法,然后进行反向处理。 与加密性更强的 NTLM 哈希相比,LAN 管理器哈希相对较弱且易于攻击。
通过攻击 SAM 文件,攻击者可能会获取对用户名和密码哈希的访问权限。 攻击者可以使用密码破解工具来确定密码是什么。 在用户有权访问此信息后,他们可以通过模拟用户来使用该信息获取对网络资源的访问权限。 启用此策略设置不会阻止这些类型的攻击,但会使其更加困难。
在运行界面输入gpedit.msc,打开组策略编辑器——浏览路径“本地计算机策略计算机配置Windows设置安全设置本地策略安全选项“——将“网络安全:在下一更改密码时不存储LAN管理器哈希值”配置为”已启用“
修复若配置为”已禁止“,则需要将其配置为”已启用“。
9. 不显示上次登录的用户名
功能介绍:
检查 此安全策略设置确定是否在安全桌面上显示最后一个登录到设备的用户的名称。
如果启用此策略,则安全桌面上不会显示最后一个成功登录的用户的全名,也不会显示用户的登录磁贴。 此外,如果使用 "切换用户"功能,则不显示全名和登录磁贴。 登录屏幕请求限定的域名 (或本地) 和密码。
在运行界面输入gpedit.msc,打开组策略编辑器——浏览路径“本地计算机策略计算机配置Windows设置安全设置本地策略安全选项“——将“交互式登录: 不显示最后的用户名”或“登录屏幕上不要显示上次登录的用户名”(适用于Windows2000)配置为”已启用“
修复若配置为”已禁止“,则需要将其配置为”已启用“。
10. 启用“域成员:需要强会话密钥”策略
功能介绍:
检查 启用此策略设置可确保所有传出安全通道通信都需要强加密密钥。 禁用此策略设置需要协商关键强度。 只有在所有受信任域中的域控制器都支持强密钥时,才启用此选项。
在运行界面输入gpedit.msc,打开组策略编辑器——浏览路径“本地计算机策略计算机配置Windows设置安全设置本地策略安全选项“——将“域成员:需要强会话密钥”配置为”已启用“
修复若配置为”已禁止“,则需要将其配置为”已启用“。
11. 密码到期前提示用户更改密码
功能介绍:
检查 此策略设置确定何时警告用户其密码即将过期。 此警告为用户提供了在当前密码过期之前选择强密码的时间,以避免丢失系统访问权限。
在运行界面输入gpedit.msc,打开组策略编辑器——浏览路径“本地计算机策略计算机配置Windows设置安全设置本地策略安全选项“——将“交互式登陆: 提示用户在过期前更改密码”配置为”14天“
修复若配置为其他属性,则需要将其配置为”14天“。
12. 禁用“Microsoft网络客户端:将未加密的密码发送到第三方SMB服务器”策略
名词解释:
- 服务器信息块(SMB,Server Message Block)是一个协议名,它能被用于Web连接和客户端与服务器之间的信息沟通。
功能介绍:
检查 SMB 协议为文件和打印共享以及许多其他网络操作(如远程Windows管理)提供了基础。 此策略设置允许或阻止 SMB 重定向程序将纯文本密码发送到身份验证期间不支持密码加密的非 Microsoft 服务器服务。
启用该策略的话,SMB 允许向身份验证期间不支持密码加密的非 Microsoft 服务器服务发送纯文本密码。因此这里需要禁用该策略。
在运行界面输入gpedit.msc,打开组策略编辑器——浏览路径“本地计算机策略计算机配置Windows设置安全设置本地策略安全选项“——将“Microsoft网络客户端:将未加密的密码发送到第三方SMB服务器”配置为**”已禁用**“
修复若配置为”已启用“,则需要将其配置为”已禁用“。
13. 启用“域成员:对安全通道数据进行数字签名(如果可能)”策略
功能介绍:
检查 此设置确定由域成员启动的所有安全通道流量是否满足最低安全要求。 具体来说,它确定是否必须签署由域成员启动的所有安全通道流量。 通过安全通道传输的登录信息始终加密,而不管是否协商了所有其他安全通道通信的加密。
启用的话,域成员将请求所有安全通道流量的签名。 如果域控制器支持对所有安全通道流量进行签名,则所有安全通道流量都会进行签名,以确保在传输过程中不能篡改它。
在运行界面输入gpedit.msc,打开组策略编辑器——浏览路径“本地计算机策略计算机配置Windows设置安全设置本地策略安全选项“——将“域成员:对安全通道数据进行数字签名(如果可能)”配置为”已启用“
修复若配置为”已禁止“,则需要将其配置为”已启用“。
14. 启用“域成员:对安全通道数据进行数字加密或签名”策略
功能介绍:
检查 此设置确定由域成员启动的所有安全通道流量是否满足最低安全要求。 具体来说,它确定由域成员启动的所有安全通道通信都必须经过签名还是加密。 通过安全通道传输的登录信息始终加密,而不管是否协商了所有其他安全通道通信的加密。
启用的话,尽可能对安全通道数据 (进行数字签名) 假定无论当前设置如何,都将启用安全通道数据。 这将确保域成员尝试协商至少对安全通道流量进行签名。
在运行界面输入gpedit.msc,打开组策略编辑器——浏览路径“本地计算机策略计算机配置Windows设置安全设置本地策略安全选项“——将“域成员:对安全通道数据进行数字签名(如果可能)”配置为”已启用“
修复若配置为”已禁止“,则需要将其配置为”已启用“。
