组策略选项详解.doc

审核策略选项建议的设置审核账户登录事件用来审核每一个登录和注销本机的用户实例。成功、失败审核账户管理审核安全账户数据库的变动（例如账户的创建、改变和删除）。成功、失败审核目录服务访问审核用户访问那些指定自己的SACL （system access control list，系统访问控制列表）的活动目录对象的事件。这个选项跟审核对象访问类似，只不过本策略只对活动目录对象起作用而不对一般文件或者注册表项目生效。既然这个选项仅对活动目录对象生效，对于工作站和成员服务器来说就没必要启用了。无审核审核登录事件 跟踪用户的登录和注销以及打开的网络连接，同时记录登录请求的类型（交互式登录、网络登录或者服务）。这个策略跟审核账户登录事件策略不同，因为本策略仅记录发生的登录的类型以及登录用户的所在位置。该策略还会跟踪所有无法通过验证的失败登陆。注意：对登录成功或失败的审核会生成大量数据，因为网络、服务以及用户的登录全部被记录下来了。对成功事件的审核也是很重要的，这样就可以在系统被攻击时了解用户的登录情况。因此如果日志文件可以占据较多硬盘空间，那么最好把煤粉中登录的信息无论成功或失败都能记录下来。成功审核对象访问追踪对对象（例如目录、文件、打印机）的失败访问，其中个别对象的审核不是自动的，需要在对象的属性中打开。失败审核策略更改跟踪用户权限分配、审核策略以及信任策略等安全策略的更改。注意：审核策略的成功更改时存在一个问题，其中的一个问题就是在启用了安全选项中的“审核：如果无法记录安全审核则立即关闭系统”（CrashOnAuditFail）这一策略后重启动时发生的，然而重启动时，系统将会蓝屏或者崩溃。显然，在向审核日志中写入策略改变的事件时发生了问题，正因为如此，系统才会崩溃。不过再次重启动将会成功，但是根据设计只有Administrator才可以登录。为了使其他用户可以访问系统，Administrator在登录后必须把注册表的CrashOnAuditFail键的键值由2改为0或者1。如果“审核策略更改”这个策略没有启用就不会发生这种情况。成功、失败审核特权使用审核使用特权失败的事件以及给用户指派特权的事件。本策略会审核用户的所有权限，除了跳过遍历检查、调试程序、创建标记对象、替换进程级别标记、生成安全审核、备份文件和目录、还原文件和目录。注意：在安全选项中对用户的所有权限包括备份和还原都设置了审核的话将会使系统审核所有用户的执行情况，这将会在很短的时间内产生大量的审核日志，因此不建议启用。失败审核过程跟踪审核例如程序激活和退出等事件，如果你怀疑你的系统被攻击，那么这个选项的记录就会很有用?/span无审核审核系统事件跟踪所有影响到整个系统或者审核日志的事件，记录例如冲启动或者关机之类的事件。成功、失败用户权限建议的设置从网络访问此计算机允许一个用户通过网络连接到这台计算机AdministratorsUsers以操作系统方式操作允许一个进程作为一个安全的、被信任的操作系统的一部分。某些子系统就具有这样的权限。空白域中添加工作站允许用户添加工作站到特定的域，这个权限设置仅在域控制器上有效。Administrators组和Account Operators组本身就具有添加工作站到域的权限，因此不需要在这里再次指派。空白调整进程的内存配额决定哪个用户可以更改进程消耗的最大内存AdministratorsNETWORK SERVICELOCAL SERVICE允许通过终端服务登录决定哪些用户或者用户组具有作为终端服务客户端登录的权限。远程用户需要这个权限，但如果同时远程协助被打开，就只有administrators组成员有权限使用这个新特性。空白备份文件和目录允许用户备份文件和目录。这个权限可以跳过文件和文件夹的访问权限。注意：如果网络中使用了BackupOperators组或者其他类似组，又同时把这个权限指派给了这些组，那一定要小心一点。因为具有这个权限的用户可以越过ACL接触到所有文件，除非FullPrivilegeAuditing审核策略被启用，否则他们对文件的访问是不会留下任何记录的。Administrators跳过遍历检查允许用户遍历目录并且访问文件和子文件夹，即使用户本没有遍历文件夹的权限。Users更改系统时间允许用户修改计算机的系统时钟。Administrators创建页面文件允许用户为虚拟内存创建新的页面文件并且改变页面文件的大小。Administrators创建标记对象允许进程创建可被用来访问本地资源的访问令牌。只有本地特权用户才应该具有这个权限。空白创建永久共享对象允许用户在Windows XP对象管理器中创建特殊的永久目录对象，例如 Device。空白调试程序允许用户调试各种低层对象，例如线程。注意：软件开发人员可能为了以其他用户身份调试程序的需要而需要这个权限，因此只在需要的时候把这个权限指派给开发人员使用的用户和用户组。空白拒绝从网络访问这台计算机阻止特定的用户和/或用户组通过网络访问这台计算机，这个设置会制约“从网络股访问此计算机”这一策略，如果一个用户或组同时被这两个策略设定。注意：默认情况下，Guest和SUPPORT_388945a0用户都被这个权限拒绝。无指定拒绝作为批处理作业登录拒绝用户和/或用户组作为批处理作业登录。这个设置会制约“作为批处理作业登录”策略，如果一个账户同时被这这两个策略设定。空白拒绝作为服务登录拒绝服务账户将进程作为服务进行注册，这个设置会制约“作为服务登录”策略，如果一个账户同时被这两个策略设定。空白拒绝本地登录拒绝特定的用户和/或组直接从本地登录计算机。这个设置会制约“允许在本地登录”策略，如果一个账户同时被这两个策略设定。注意：默认情况下，Guest和SUPPORT_388945a0已经被拒绝了这个权限。无指定拒绝通过终端服务登录决定哪些用户和用户组被拒绝作为终端客户服务端登录，这个权限是为远程桌面用户准备的。注意：若系统中启用了终端服务，这个拒绝选项中的Everyone组会被自动删除。Everyone允许计算机和用户账户被信任以便用于委任允许用户对用户或计算机对象的“受信任委派”进行设置，被授予此权限的用户必须能够对用户或计算机对象上的账户控制标志进行写访问。无指定从远程系统强制关机允许用户通过网络从远程登录的计算机上强制关闭Windows XP计算机。Administrators生成安全审核允许进程将审核记录添加到安全日志。LOCAL SERVICENETWORK SERVICE增加计划优先级允许用户提高一个进程的执行优先级，这个操作可以通过任务管理器的用户界面完成。Administrators装载和卸载设备驱动程序允许用户安装和删除设备驱动程序，这个权限对即插即用硬件的驱动程序的安装是很有必要的。Administrators内存中锁定页面允许用户将页面文件锁定在物理内存中，这样它们就不会被保存到硬盘上的分页文件中了。无指定作为批处理作业登录允许用户通过批处理队列工具登录，在Windows XP中，如果必要的话计划任务会自动获得此权限。无指定作为服务登录允许将进程作为服务进行注册。注意：某些应用程序例如Microsoft Exchange需要一个具有此权限的服务账户，为了判断哪些权限是必要的，需要在应用安全模板之前查看系统中所有被指派了这个权限的用户和用户组。警告：我们所提供的安全模板会从本策略中删除所有的用户和用户组（除了NETWORK SERVICE），除非你自己修改了这里的设置。NETWORK SERVICE允许在本地登录允许用户登录到系统控制台。注意：如果网络中使用了BackupOperators或者其他类似的组，给这些组也指派这个权限。AdministratorsUsers管理审核和安全日志允许用户查看和清空安全日志，以及指定需要审核的访问对象（例如对文件和注册表键的访问）的类型。具有此权限的用户可以通过目标对象属性窗口的安全选项卡的审核选项启用和编辑对特定对象的审核。Administrators组成员已经具有了查看和清空安全日志的权限。注意：此权限并不能使用户起用文件和对象访问审核，对象审核是通过设置审核策略中的“审核对象访问”策略启用的。Administrators修改固件环境值允许用户修改系统中支持这种配置的，保存在非永久性RAM中的系统环境变量。Administrators执行卷维护任务允许用户执行卷维护任务，例如磁盘清理和磁盘碎片整理。Administrators配置单一进程允许用户使用系统监视工具监视非系统进程的性能。注意：工作在此系统上的软件开发人员可能需要这个权限，在需要的时候可以给开发人员所使用的帐户和用户组指派该权限。Administrators配置系统性能允许用户使用系统监视工具监视系统进程的性能。Administrators从扩展坞中取出计算机允许用户从扩展坞中取出便携式计算机。AdministratorsUsers替换进程级别标记允许用户修改进程的安全访问标记，这是系统使用的很有效的权限。LOCAL SERVICENETWORK SERVICE还原文件和目录允许用户还原备份的文件和目录，这个设置会跳过文件和目录的访问权限。注意：如果网络