本地策略.doc

本地策略（Local Policy）2.1. 摘要账号策略用于控制登陆过程，要控制用户登录之后的操作，需要使用本地策略。利用本地策略（Local policy） 可以实现审核，指定用户权利和设置安全选项。 （要使用本地策略，首先要把本地计算机策略（Local Computer Policy）管理单元添加到MMC中，步骤见本地用户和组（Local Users and Groups）管理单元的添加步骤） 本地策略有三个子文件夹：审核策略（Audit Policy）,用户权利策略（User Right Policy）,安全选项策略（Security Options Policy） 2.2. 审核策略(Audit Policy)通过使用审核策略，可以观察用户在干什么，可以审查与用户管理有关的事件，通过跟踪特定事件，可以创建特定任务的历史，如用户的创建以及登陆的成功与失败，还可以标识无权访问的用户访问系统管理任务时造成的安全破坏。 定义审核策略时，可以选择审核特定事件的成功或失败，事件成功表示任务顺利完成，任务失败表示任务没有顺利完成。默认情况下，审核并不启用，需要手动配置，配置审核后，可以通过Event Viewer工具的Security日志察看审核的结果。策略 说明 Audit Account Logon Events 观察用户何时登录，注销和建立网络连接 Audit Account Management 跟踪用户和组账号的创建，删除和管理活动 Audit Directory Service Access 跟踪目录服务访问 Audit Logon Events 审核与登陆有关的事件，如运行登录脚本或访问漫游配置文件 Audit Object Access 启用对文件，文件夹，打印机访问的审核 Audit Policy Change 跟踪审核策略的任何改变 Audit Privilege Use 跟踪能够或不能够定义审核的人员，或者能够或不能够显示审核结果的人员变化 Audit Process Tracking 跟踪事件，例如激活程序，访问对象，退出程序等 Audit System Events 跟踪系统事件（如计算机关闭或重新启动等）以及与Event Viewer中的Security日志有关的事件 2.3. 用户权利策略（User Right Policies）用户权利策略（User Right Policies）确定用户和组队计算机的权利。用户权利被应用到系统，它们不同于权限，权限应用于特定对象。 用户权利的一个例子是备份文件和目录（Back Up Files and Directories）权利。即使用户没有该文件系统的权限，这个权利也能够使用备份文件和文件夹。其他用户权利也类似，因为它们处理的是系统访问而不是资源访问。 权利 说明 Access This Computer from the network 允许用户从网路访问计算机 Act as part of the operating system 允许低级身份验证服务，以验证用户 Add workstation to domain 允许用户在域中创建计算机账号 Adjust memory quotas for a process 允许用户配置特定进程可以使用的内存 Allow logon through terminal services 为用户提供通过终端服务（Terminal Services）登录的权限 Back up files and directories 允许用户备份所有文件和目录，不管文件和目录的权限设置如何 Bypass traverse checking 允许用户通过和便历目录结构，即使用户没有权限列出目录内容 Change the system time 允许用户改变计算机内部时间 Create a pagefile 允许用户创建或更改页文件长度 Create a token object 允许使用NtCreate Token API 的进程创建令牌 Create permanent shared object 允许进程通过Windows XP Object Management创建目录对象 Debug programs 允许用户将调试程序连接到任何进程 Deny access to this computer from the network 允许拒绝特定用户或组从网络上访问这台计算机 Deny logon as a batch file 允许特定用户或组作为批处理文件登录 Deny logon as a service 允许拒绝特定用户或组作为服务登录 Deny logon locally 允许拒绝特定用户或组本地访问这台计算机 Deny logon through terminal services 指定用户不能通过Terminal Services登录 Enable computer and user accounts to be trusted for delegation 允许用户或组对用户或计算机对象设置受信任以便委派（Trusted for delegation）设置 Force shutdown from a remote system 允许用户在网络上的远程位置关闭系统 Generate security audits 允许用户，组或进程在Security日志中建立项目 Increase scheduling priority 指定一个进程可以增加或减少另一个进程的优先级 Load and unload device drivers 允许用户动态加载或卸载即插即用设备驱动程序 Loc k pages in memory Windows XP中不再使用（原先用于强迫数据保存在物理内存中，不让数据分页岛页文件中） Logon as a batch job 允许进程登录到系统并运行包含一个或几个操作系统命令的文件 Log on as a service 允许作为服务登录，以便运行特定的服务 Log on locally 允许用户登录在机器内定义了用户账号的计算机 Manage auditing and security log 允许用户管理Security日志 Modify firmware environment variables 允许用户或进程修改系统环紧变量 Perform volume maintenance tasks 允许用户指定容量维护任务，例如运行Disk Cleanup和Dish Defragmenter Profile single process 允许用户通过工具（如Performance Logs and Alerts）监视非系统进程 Profile system performance 允许用户使用Performance Logs and Alerts之类的工具监视系统进程 Remove computer from docking station 允许用户通过Windows XP用户界面将便携式计算机从插接站脱离 Replace a process level token 允许进程将 子进程创建的默认令牌替换成进程指定的令牌 Restore files and directories 允许用户恢复文件和目录，不管文件和目录的权限是什么 Shun down the system 允许用户关闭本地Windows XP计算机 Synchronize directory service data 允许用户同步与目录服务相关联的数据 Take ownership of files or other objects 允许用户取得系统对象的所有权 2.4. 安全选项策略（Security Options Policies）安全选项策略（Security Options Policies）用户对计算机配置安全措施，与用户权利策略不同的是，用户 权利应用于用户或组，而安全选项策略应用于计算机。选项 说明 默认值 Accounts: Administrator 指在正常操作下，Administartor账号是启用还是禁用，不管设置如何，当在安全模式下启动时，Administrator账号将被启用 已启用 Account status 决定Guest账号是否被启用 已禁用 Accounts: limit local account use of blank passwords to console logon only 如果一个用户的密码是空的，并且这个选项被启用，用户将无法适用空的密码从网络登录，这个设置并不应用到域登录账号 已启用 Accounts: rename administrator account 允许Administrator账号被重命名 没有定义 Accounts: rename guest accounts 允许Guest账号被重命名 没有定义 Audit: audit the access of global system objects 允许对全局系统对象的访问进行审核 已禁用 Audit: shutdown system immediately if unable to log security audits 如果无法登录安全审核，指定系统立即关闭 已禁用 Devices: allow undock without having to log on 允许在不登录的情况下，通过按下便携式计算机的退出按钮，将计算机从插接站上脱离 已启用 Devices: allowed to format and eject removable media 指定谁能够格式化和退出可移动NTFS媒介 Administrators Devices: prevent users from installing printer drivers 如果启用，只有Administrator和Power User可以安装网络打印机 在工作站上禁用在服务器上启用 Devices: restrict CD-ROM access to locally logged-on user only 指定本地用户和网络用户是否能够访问CD-ROM 已禁用 Devices: restrict floopy access to locally logged-on user only 指定本地用户和网络用户是否可以访问软盘 已禁用 Devices: unsigned driver installation behavior 控制未签名的驱动程序的安装行为 警告但允许安装 Domain controller: allow server operators to schedule tasks 允许服务器操作员在特定的时间或以特定的时间间隔计划执行特定的任务。此安全选项仅仅影响AT计划功能，Task Scheduler功能不受影响 没有定义 Domain controller: LDAP server signing requirements 指定域控制器对于服务器签名应当使用Lightweight directory access protocol 没有定义 Domain controller: refuse machine account password 指定域控制器是否接受计算机账号密码的更改 已禁用 Domain member: digitally encrypt or sign secure channel date(always) 指定在安全通道通信产生前，安全通道是否必须和域控制器一起被创建 已禁用 Domain member: digitally encrypt secure channel data ( when possible) 指定在域控制器和伙伴域控制器之间是否能够创建安全通道 已启用 Domain member: digitally sign secure channel data（when possible） 如果传输数据的伙伴域控制器都能够接受签名的加密数据，则指定所有的安全通道通信被签名 已启用 Domain member: disable machine account password changes 指定域成员是否必须定期更改它在Domain Member: maximum machine account password age中定义的计算机账号密码 已禁用 Domain member: maximum machine account password age 指定计算机账号密码最长的存留期 30天 Domain member: require strong( Windows 2000 or later)session key 如果启用，域控制器必须使用128位的会话密匙加密数据；如果未启用，可以使用64位的会话密匙 已禁用 Interactive logon: do not display last user name 防止登录屏幕的上一个用户名被显示 已禁用 Interactive logon: do not require CTRL+ALT+DEL 在登录时不需要按CTRL+ALT+DEL 在单独的工作站上启用在加入到域的工作站和服务器上禁用 Interactive text: message text for users attempting to log on 对尝试登录的用户显示消息文字，适用该文本通常是出于合法的理由 文字空间 Interactive text: message title for users attempting to log on 对尝试登录的用户显示消息标题 标题空间为可空 Interactive logon: number of previous logon attempts to cache ( in case domain controller is not available) 指定在缓存中存储的以前登录尝试的次数。如果域控制器不可用，这个选项就很有用 10次 Interactive logon: prompt user to change password before expiration 提示用户在密码过期前更改密码 密码过期前14天 Interactive logon: require domain controller authentication to unlock 指定需要适用用户名和密码来解除锁定的计算机。当这项被禁用，用户可以使用缓存的票凭据。当它被起用，用户必须使用域控制器进行验证才能解锁计算机 已禁用 Interactive logon: smart card removal behavior 指定如果智能卡登录的用户移除了智能卡，将发生什么情况 没有操作 Microsoft network client: digitally sign communications (always) 指定服务器总是对客户端通信进行数字签名 已禁用 Microsoft network client: digitally sign client communications （if server agrees） 指定在可能的时候，服务器要对客户端通信进行数字签名 已启用 Microsoft network client: send unencrypted password to connect to third-party SMB servers 允许第三方 服务器消息块（Server message block）服务器使用未加密的密码进行身份验证 已禁用 Microsoft network client: amount of idle time required before idle before suspending session 当会话闲置时允许会话断开 服务器为15分钟工作站未定义 Microsoft network server: digitally sign communication （always） 确保数字服务器通信总是被数字签名 已禁用 Microsoft network server: digitally sign communication ( if client agrees) 指定在可能的时候，服务器通信应当被签名 在工作站上禁用在服务器上启用 Microsoft network server: disconnect clients when logon hours expire 如果用户登录并且他们的登陆拾间超时，指定现有的连接是保持还是断开 没有定义 Network access: allow anonymous SID/Name translation 指定匿名用户能够请求另一用户的安全标识属性 在工作站上禁用在服务器上启用 Network access: do not allow anonymous enumeration of SAM accounts 如果起用，则阻止匿名连接列举SAM 安全账号管理器(security account manager) 在工作站上禁用在服务器上启用 Network access: do not allow anonymous enumeration of SAM accounts and shares 如果起用，则阻止匿名连接列举SAM 安全账号管理器账号和共享 已禁用 Network access: do not allow stored user names and passwords to save passwords or credentials for network authentication 指定用户名和密码是否可以被存储，以便将来进行域身份验证 已禁用 Network access: force network logons using local accounts to authenticate as guest 确定如何对使用本地账号的网络登陆进行身份验证，可以要求本地用户作为有效用户和作为来宾用户 在XP Professional上只能是Guest Network access: let everyone permission apply to anonymous users 指定是否将Everyone权限应用到匿名用户 已禁用 Network access: named pipes that can be accessed anonymously 指定匿名访问将使用哪种通信会话 没有定义 Network access: remotely accessible registry paths 当winreg键被访问，要求进行远程注册表访问时，决定可以访问的注册表路径 没有定义 Network access: shares that can be accessed anonymously 指定匿名用户可以访问哪些网络共享 没有定义 Network access: do not store LAN manager hash value on next password change 指定LAN管理器是否从密码更改中存储散列值 已禁用 Network security: force logoff when logon hours expires 指定当前连接的用户登录时间超时后，是否强制注销 已启用 Network security: LAN manager authentication level 指定LAN管理器验证级别 在服务器上发送LAN Manager和NTLM响应在工作站上不指定 Network security: minimum session security for NTLM SSP based (i