Windows Server 2003 安全性指南

附錄 B:應考量的金鑰設定

更新日期: 2006 年 7 月 17 日

雖然本指南討論多種安全性因應措施和安全性設定,但您應該瞭解的是其中有幾點是特別重要的。 本附錄將加強說明那些設定;您可能需要參閱說明該設定之功能及其重要性的相關章節。

哪些設定應該納入本清單會是一個極具爭議的議題。 事實上,Microsoft 內有一組安全性專家已經針對此主題進行了很長一段時間的討論。 您可能會覺得我們遺漏了某些設定,或著覺得有些設定沒必要出現在此清單上。 由於每個組織的環境和企業需求各不相同,因此在安全性議題上有不同意見應是意料中事。 儘管如此,本清單還是可以幫助您將強化 Microsoft® Windows® 電腦的相關工作列為優先任務。

非屬安全性設定的重要因應對策包括:

  • 利用自動化工具進行測試及部署,藉此確保電腦使用最新的 Service Pack 及 Hotfix。

  • 安裝和設定分散式防火牆軟體或組織的 IPsec 原則。

  • 部署和維護防毒軟體。

  • 在用於瀏覽網站的電腦上部署並維護反間諜軟體。

  • 在日常工作中使用非系統管理員帳號。 只有在進行需要提高權限的工作時,才使用具有系統管理員權限的帳戶。

Microsoft Windows 中可使用的主要安全性設定包括:

  • 在第 3 章<網域原則>中討論到的密碼原則。

    • 強制執行密碼歷程記錄

    • 密碼最長有效期

    • 最小密碼長度

    • 密碼必須符合複雜性需求

    • 使用可還原的加密來存放網域中所有使用者的密碼

  • 在第 4 章<成員伺服器基準線原則>中討論到的使用者權利。

    • 從網路存取這台電腦

    • 作為作業系統的一部分

    • 允許本機登入

    • 允許透過終端機服務登入

  • 在第 4 章<成員伺服器基準線原則>中討論到的安全性選項。

    • 帳戶: 限制使用空白密碼的本機帳戶僅能登入到主控台

    • 網域成員: 安全通道資料加以數位加密或簽章 (自動)

    • 網域成員: 安全通道資料加以數位加密 (可能的話)

    • 網域成員: 安全通道資料加以數位簽章 (可能的話)

    • 網域成員: 要求增強式 (Windows 2000 或更新) 工作階段索引鍵

    • 網路存取: 允許匿名 SID/名稱轉譯

    • 網路存取: 不允許 SAM 帳戶的匿名列舉

    • 網路存取: 不允許 SAM 帳戶和共用的匿名列舉

    • 網路存取: 讓 Everyone 權限套用到匿名使用者

    • 網路存取: 可遠端存取的登錄路徑

    • 網路存取: 限制匿名存以命名的管線和共用

    • 網路存取: 可以匿名存取的共用

    • 網路存取: 共用和安全性模式用於本機帳戶

    • 網路安全性: 下次密碼變更時不儲存 LAN Manager 雜湊數值

    • 網路安全性: LAN Manager 驗證層級

  • 在第 4 章<成員伺服器基準線原則>中討論到的其他登錄設定。

    • 安全 DLL 搜尋模式


下載

取得 Windows Serve 2003 安全性指南

更新通知

註冊以瞭解更新和新版本

意見

請將您的意見或建議傳送給我們


顯示: