Windows 2000 預設安全性原則設定

Overview

發佈日期: 2004 年 11 月 17 日 | 更新日期: 2006 年 5 月 31

本頁內容

本單元內容
目標
適用於
如何使用本單元
Windows 2000 預設安全性原則設定

本單元內容

本單元定義了 Microsoft® Windows® 2000 作業系統的預設安全性原則設定。其中包含在 Windows 2000 Professional 與 Windows 2000™ Server™ 本機原則以及預設網域和網域控制站原則的預設安全性原則設定。

目標

透過本單元即可:

  • 識別 Windows 2000 本機原則的預設安全性原則設定。

  • 識別 Windows 2000 網域控制站的預設安全性原則設定。

  • 識別 Windows 2000 網域的預設安全性原則設定。


適用於

本單元適用於下列產品及技術:

  • Microsoft Windows 2000 作業系統

  • Microsoft Windows 2000 網域控制站

  • Microsoft Windows 2000 網域

  • 安全性範本


如何使用本單元

本單元會識別 Windows 2000 系統的預設安全性原則設定。您可使用此單元來識別 Windows 2000 的預設設定,並判斷如何進行變更以提高安全性。

若要充分瞭解本單元:

  • 請參閱< Windows 2000 安全性設定 >單元。此單元提供詳盡的安全性設定說明,可供您增進 Windows 2000 的安全性。

  • 請參閱< Windows 2000 安全性設定工具 >單元。此單元概述了可供套用安全設定的 Windows 2000 工具。

  • 請參閱< Windows 2000 使用者權利和權限設定 >單元。此單元詳述了 Windows 2000 系統中預設的使用者權限指派,並提供一份<Windows 2000 安全性設定>所建議的變更清單。

  • 使用檢查清單「 Windows 2000 安全性設定檢查清單 」。其中包含安全性檢查清單,可讓您用於評估系統安全性,以確保所有設定變更均已完成。

  • 使用隨附的 How To 文件:

    • 《如何安全地安裝 Windows 2000》

    • 《如何在 Windows 2000 中設定和套用安全性範本》


Windows 2000 預設安全性原則設定

[表 1]:Windows 2000 預設安全性原則設定

  

安全性設定

本機安全性原則 (Professional 和 Server/Adv.Server)

網域控制站安全性原則

網域安全性原則

帳戶原則

  

  

  

  

  

密碼原則

  

  

  

  

強制執行密碼歷程記錄

記憶 0 個密碼

尚未定義

記憶 1 個密碼

  

最長密碼期限

42 天

尚未定義

42 天

  

最短密碼期限

0 天

尚未定義

0 天

  

最短密碼長度

0 個字元

尚未定義

0 個字元

  

密碼必須符合複雜性需求

停用

尚未定義

停用

  

使用可還原的加密來存放網域中所有使用者的密碼

停用

尚未定義

停用

  

帳戶鎖定原則

  

  

  

  

帳戶鎖定時間

尚未定義

尚未定義

尚未定義

  

帳戶鎖定閾值

0 次不正確的登入嘗試

尚未定義

0 次不正確的登入嘗試

  

重設帳戶鎖定計數器的時間

尚未定義

尚未定義

尚未定義

  

Kerberos 原則

  

  

  

  

強制執行使用者登入限制

(無法使用)
(本機預設是 [啟用])

尚未定義

啟用

  

服務票證最長存留期

(無法使用)
(本機預設是 60 分鐘)

尚未定義

600 分鐘

  

使用者票證最長存留期

(無法使用)
(本機預設是 7 小時)

尚未定義

10 小時

  

使用者票證更新最長存留期

(無法使用)
(本機預設是 10 天)

尚未定義

7 天

  

電腦時鐘同步處理的最大容錯性

(無法使用)
(本機預設是 60 分鐘)

尚未定義

5 分鐘

本機原則

  

  

  

  

  

稽核原則

  

  

  

  

稽核帳戶登入事件

無稽核

無稽核

尚未定義

  

稽核帳戶管理

無稽核

無稽核

尚未定義

  

稽核目錄服務存取

無稽核

無稽核

尚未定義

  

稽核登入事件

無稽核

無稽核

尚未定義

  

稽核物件存取

無稽核

無稽核

尚未定義

  

稽核原則變更

無稽核

無稽核

尚未定義

  

稽核特殊權限使用

無稽核

無稽核

尚未定義

  

稽核程序追蹤

無稽核

無稽核

尚未定義

  

稽核系統事件

無稽核

無稽核

尚未定義

  

使用者權限指派

  

  

  

  

從網路存取這台電腦

Administrators
Backup Operators
Power Users
Users
Everyone

Administrators
Authenticated Users
Everyone
IUSR_W2K-
電腦名稱
IWAM_W2K-
電腦名稱

尚未定義

  

充當部分作業系統

(空白)

(空白)

尚未定義

  

新增工作站到網域

(空白)

Authenticated Users

尚未定義

  

備份檔案及目錄

Administrators
Backup Operators

Administrators
Backup Operators
Server Operators

尚未定義

  

略過周遊檢查

Administrators
Backup Operators
Power Users
Users
Everyone

Administrators
Authenticated Users
Everyone

尚未定義

  

變更系統時間

Administrators
Power Users

Administrators
Server Operators

尚未定義

  

建立分頁檔

Administrators

Administrators

尚未定義

  

建立權杖物件

(空白)

(空白)

尚未定義

  

建立永久共用物件

(空白)

(空白)

尚未定義

  

偵錯程式

Administrators

Administrators

尚未定義

  

拒絕從網路存取這台電腦

(空白)

(空白)

尚未定義

  

拒絕以批次工作登入

(空白)

(空白)

尚未定義

  

拒絕以服務方式登入

(空白)

(空白)

尚未定義

  

拒絕本機登入

(空白)

(空白)

尚未定義

  

讓電腦和使用者帳戶接受信任以執行委派

(空白)

Administrators

尚未定義

  

強制從遠端系統關機

Administrators

Administrators
Server Operators

尚未定義

  

產生安全性稽核

(空白)

(空白)

尚未定義

  

增加配額

Administrators

Administrators

尚未定義

  

增加安全性排程優先順序

Administrators

Administrators

尚未定義

  

載入和卸載裝置驅動程式

Administrators

Administrators

尚未定義

  

鎖定記憶體分頁

(空白)

(空白)

尚未定義

  

以批次工作登入

(空白)

IUSR_W2K-
電腦名稱
IWAM_W2K-
電腦名稱

尚未定義

  

以服務方式登入

(空白)

(空白)

尚未定義

  

本機登入

Administrators
Backup Operators
Power Users
Users
Machinename/Guest
Machinename/TsInternetUser
(僅限 Server/Adv.Server)

Administrators
Authenticated Users
Backup Operators
IUSR_W2K-
machinename
Print Operators
Server Operators
TsInternetUser

尚未定義

  

管理稽核與安全性記錄檔

Administrators

Administrators

尚未定義

  

修改韌體環境值

Administrators

Administrators

尚未定義

  

設定檔單一處理序

Administrators
Backup Operators

Administrators

尚未定義

  

設定檔系統效能

Administrators

Administrators

尚未定義

  

將電腦從銜接站移除

Administrators
Backup OperatorsUsers

Administrators

尚未定義

  

取代處理序層級權杖

(空白)

(空白)

尚未定義

  

還原檔案及目錄

Administrators
Backup Operators

Administrators
Backup OperatorsServer Operators

尚未定義

  

電腦關機

Administrators
Backup Operators
Power Users
Users (僅限 Professional)

Account Operators
Administrators
Backup Operators
Print Operators
Server Operators

尚未定義

  

同步處理目錄服務資料

(空白)

(空白)

尚未定義

  

取得檔案和其他物件的擁有權

Administrators

Administrators

尚未定義

  

安全性選項

  

  

  

  

匿名連線的其他限制

無。視預設權限而定。

尚未定義

尚未定義

  

允許伺服器操作員排程工作 (僅限網域控制站)

尚未定義

尚未定義

尚未定義

  

允許不必登入就將系統關機 (僅限網域控制站)

啟用 (僅限 Professional)
停用 (僅限 Server/Adv.Server)。

尚未定義

尚未定義

  

允許不必登入就將系統關機

啟用 (僅限 Professional)
停用 (僅限 Server/Adv.Server)。

尚未定義

尚未定義

  

允許退出卸除式 NTFS 媒體

Administrators

尚未定義

尚未定義

  

中斷工作階段前,要求的閒置時間

15 分鐘

尚未定義

尚未定義

  

稽核通用系統物件的存取

停用

尚未定義

尚未定義

  

稽核備份和復原權限的使用

停用

尚未定義

尚未定義

  

登入時間到期時,自動登出使用者

(此選項不適用於
獨立的 Professional、
Server 或 Advanced Server)

尚未定義

停用

  

登入時間到期時 (本機),自動登出使用者

啟用

尚未定義

尚未定義

  

系統關閉時清除虛擬記憶體分頁檔

停用

尚未定義

尚未定義

  

數位簽章用戶端的通訊 (自動)

停用

尚未定義

尚未定義

  

數位簽章用戶端的通訊 (可能的話)

啟用

尚未定義

尚未定義

  

數位簽章伺服器的通訊 (自動)

停用

尚未定義

尚未定義

  

數位簽章伺服器的通訊 (可能的話)

停用

啟用

尚未定義

  

登入停用 CTRL+ALT+DEL 要求

尚未定義 (僅限 Professional)
停用 (僅限 Server/Adv.Server)

尚未定義

尚未定義

  

不要在登入畫面顯示使用者名稱

停用

尚未定義

尚未定義

  

LAN Manager 驗證層級

傳送 LM 和 NTLM 回應

尚未定義

尚未定義

  

給登入使用者的訊息本文

(空白)

尚未定義

尚未定義

  

給登入使用者的訊息本文

(空白)

尚未定義

尚未定義

  

先前網域控制站無法使用時,登入快取的次數

10 次登入

尚未定義

尚未定義

  

防止電腦帳戶密碼的系統維護

停用

尚未定義

尚未定義

  

防止使用者安裝印表機驅動程式

停用 (僅限 Professional)
啟用 (僅限 Server/Adv.Server)

尚未定義

尚未定義

  

在密碼過期前提示使用者變更密碼

14 天

尚未定義

尚未定義

  

修復主控台:允許自動系統管理登入

停用

尚未定義

尚未定義

  

修復主控台:允許軟碟複製以及存取所有磁碟和資料夾

停用

尚未定義

尚未定義

  

重新命名系統管理員帳戶

尚未定義

尚未定義

尚未定義

  

重新命名來賓帳戶

尚未定義

尚未定義

尚未定義

  

CD-ROM 存取只限於登入本機的使用者

停用

尚未定義

尚未定義

  

軟碟機存取只限於登入本機的使用者

停用

尚未定義

尚未定義

  

安全通道:安全通道資料加以數位加密或簽章 (自動)

停用

尚未定義

尚未定義

  

安全通道:安全通道資料加以數位加密 (可能的話)

啟用

尚未定義

尚未定義

  

安全通道:安全通道資料加以數位簽章 (可能的話)

啟用

尚未定義

尚未定義

  

安全通道:要求增強式 (Windows 2000 或更新) 工作階段索引鍵

停用

尚未定義

尚未定義

  

傳送未加密的密碼來連線到協力廠商的 SMB 伺服器

停用

尚未定義

尚未定義

  

當無法記錄安全性稽核時,立即關機系統

停用

尚未定義

尚未定義

  

智慧卡移除操作

無動作

尚未定義

尚未定義

  

加強通用系統物件的預設權限 (例如:符號連結)

啟用

尚未定義

尚未定義

  

未簽署的驅動程式安裝操作

尚未定義

尚未定義

尚未定義

  

未簽署的非驅動程式安裝操作

尚未定義

尚未定義

尚未定義

事件日誌

  

  

  

  

  

事件日誌檔設定值

  

  

  

  

應用程式記錄檔最大值

512 Kb

尚未定義

尚未定義

  

安全性記錄檔最大值

512 Kb

尚未定義

尚未定義

  

系統記錄檔最大值

512 Kb

尚未定義

尚未定義

  

限制來賓存取應用程式記錄檔

(無法使用)

尚未定義

尚未定義

  

限制來賓存取安全性記錄檔

(無法使用)

尚未定義

尚未定義

  

限制來賓存取系統記錄檔

(無法使用)

尚未定義

尚未定義

  

應用程式記錄保持天數

覆寫 7 天之前的事件

尚未定義

尚未定義

  

安全性記錄保持天數

覆寫 7 天之前的事件

尚未定義

尚未定義

  

系統記錄保持天數

覆寫 7 天之前的事件

尚未定義

尚未定義

  

應用程式記錄保持方法

覆寫 7 天之前的事件

尚未定義

尚未定義

  

安全性記錄保持方法

覆寫 7 天之前的事件

尚未定義

尚未定義

  

系統記錄保持方法

覆寫 7 天之前的事件

尚未定義

尚未定義

  

安全性稽核記錄檔已滿時關閉系統

(無法使用)

尚未定義

尚未定義


顯示: