Windows XP 安全性指南

附錄 A:應考量的金鑰設定

更新日期: 2006 年 7 月 26 日


雖然本指南討論多種安全性因應措施和安全性設定,但您應該瞭解的是其中有幾點是特別重要的。本附錄將加強說明那些設定;您可能需要參閱說明該設定之功能及其重要性的相關章節。

應納入本清單的設定可能會引起廣泛的爭論。事實上,Microsoft 內有一組安全性專家已經針對此主題進行了很長一段時間的討論。您可能會覺得我們遺漏了某些設定,或著覺得有些設定沒必要出現在此清單上。由於每個組織的環境和企業需求各不相同,因此在安全性議題上有不同意見應是意料中事。儘管如此,本清單還是可以幫助您將強化 Microsoft® Windows® 電腦的相關工作列為優先任務。

本頁內容

重要因應對策
主要安全性設定

重要因應對策

與安全性設定無關的重要因應對策包括:

  • 利用自動化工具進行測試及部署,藉此確保電腦使用最新的 Service Pack 及 Hotfix。

  • 安裝和設定分散式防火牆軟體或組織的 IPsec 原則。

  • 部署和維護防毒軟體。

  • 部署和維護反間諜軟體。

  • 在日常工作中使用無權限帳戶。只有在進行需要提高權限的工作時,才使用具有系統管理員權限的帳戶。


主要安全性設定

Microsoft Windows 中可使用的主要安全性設定包括:

  • 在第 2 章<設定 Active Directory 網域基礎結構>中所討論到的密碼原則設定:

    • 強制執行密碼歷程記錄

    • 密碼最長有效期

    • 最小密碼長度

    • 密碼必須符合複雜性需求

    • 使用可還原的加密來存放網域中所有使用者的密碼

  • 在第 3 章<Windows XP 用戶端的安全性設定>中討論到的使用者權限指派設定:

    • 從網路存取這台電腦

    • 作為作業系統的一部分

    • 本機登入

    • 允許透過終端機服務登入

  • 在第 3 章<Windows XP 用戶端的安全性設定>中討論到的安全性選項設定:

    • 帳戶:限制使用空白密碼的本機帳戶僅能登入到主控台

    • 網域成員:安全通道資料加以數位加密或簽章 (自動)

    • 網域成員:安全通道資料加以數位加密 (可能的話)

    • 網域成員:安全通道資料加以數位簽章 (可能的話)

    • 網域成員:要求增強式 (Windows 2000 或更新) 工作階段索引鍵

    • 網路存取:允許匿名 SID/名稱轉譯

    • 網路存取:不允許 SAM 帳戶的匿名列舉

    • 網路存取:不允許 SAM 帳戶和共用的匿名列舉

    • 網路存取:讓 Everyone 權限套用到匿名使用者

    • 網路存取:可遠端存取的登錄路徑

    • 網路存取:限制匿名存取已命名的管線和共用

    • 網路存取:可以匿名存取的共用

    • 網路存取:共用和安全性模式用於本機帳戶

    • 網路安全性:下次密碼變更時不儲存 Lan Manager 雜湊數值

    • 網路安全性:LAN Manager 驗證層級

  • 在第 3 章<Windows XP 用戶端的安全性設定>中提到的其他登錄設定,特別是下列設定:

    • 安全 DLL 搜尋模式


下載

Cc163065.icon_exe(zh-tw,TechNet.10).gif下載 Windows XP 安全性指南 (英文)


顯示: