Windows 2000 安全性設定檢查清單

Overview

發佈日期: 2004 年 11 月 17 日 | 更新日期: 2006 年 5 月 31 日


本頁內容

本單元內容
目標
適用於
如何使用本單元
安全性設定檢查清單

本單元內容

本單元包含安全性檢查清單,可讓您用於評估系統的安全性,以確保所有必要的安全性設定變更均已完成。有關設定變更,請參閱<Windows 2000 安全性設定>單元及<Windows 2000 預設安全性原則設定>單元。

目標

透過本單元即可:

  • 檢查 Microsoft® Windows® 2000 作業系統設定。

  • 檢查系統安全性設定。


適用於

本單元適用於下列產品及技術:

  • Microsoft Windows 2000 Professional 作業系統

  • Microsoft Windows 2000 Server™ 作業系統

  • Microsoft Windows 2000 Advanced Server 作業系統

  • Microsoft Windows 2000 Data Center Server 作業系統


如何使用本單元

使用本單元來檢查 Windows 2000 系統的設定。本單元與 Windows 2000 的所有版本、各種角色相關。檢查清單會確認必要的安全性設定是否都適得其所。

若要充分瞭解本單元:

  • 請參閱< Windows 2000 安全性設定 >單元。此單元提供詳盡的安全性設定說明文件,可供您增進 Windows 2000 的安全性。

  • 請參閱< Windows 2000 安全性設定工具 >單元。此單元概述了可供套用安全設定的 Windows 2000 工具。

  • 請參閱< Windows 2000 預設安全性原則設定 >單元。此單元詳述了可套用到各種 Windows 2000 系統角色的預設安全性原則設定。

  • 請參閱< Windows 2000 使用者權利和權限設定 >單元。此單元詳述了 Windows 2000 系統中預設的使用者權限指派,並提供一份<Windows 2000 安全性設定>單元所建議的變更清單。

  • 使用隨附的 How To 文件:

    • 《如何在 Windows 2000 中設定和套用安全性範本》


安全性設定檢查清單

[表 1]:作業系統設定

  

作業系統設定

  

OS 版本:

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif Windows 2000 Professional
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif Windows 2000 Server
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif Windows 2000 Advanced Server
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif Windows 2000 Data Center Server

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 網域控制站

Service Pack 等級:

  

其他 Service Pack 等級:________
後置 Service Pack Hotfix:

網路成員:

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 工作群組  名稱: ______
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 網域      名稱: ______

____________________
____________________
____________________

安裝日期:

___________________

  


[表 2]:Windows 2000 安全性設定檢查清單

完成及確認項目

「WINDOWS 2000 安全性設定檢查清單」請使用此檢查清單來追查特定系統的設定

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

檔案系統設定
安全性目標:允許安全性機制的設定和支援安全性原則的一致性。請注意,如果檔案系統不是 NTFS,則必須轉換檔案系統。轉換後必須套用 "Setup Security.inf" 範本中的預設 ACL,因為進行轉換作業時並未設定 ACL。
檔案系統類型:NTFS

帳戶原則

 

 

密碼原則

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

強制執行密碼歷程記錄
安全性目標:設定重複使用密碼的頻率限制。
電腦設定:記憶 _____ 個密碼

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

密碼最長使用期限
安全性目標:設定使用者必須變更密碼之前能夠持有密碼的時間長度。
電腦設定:_____ 天

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

密碼最短使用期限
安全性目標:設定使用者變更密碼之前必須持有密碼的時間長度。
電腦設定:_____ 天

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

密碼長度下限
安全性目標:設定使用者密碼必須使用的最小字元數。
電腦設定:_____ 個字元

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

密碼必須符合複雜性需求
安全性目標:要求使用複雜 (增強式) 密碼。
電腦設定: Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

使用可還原的加密來存放網域中所有使用者的密碼
安全性目標:不要啟用。密碼使用弱加密 (Weak Encryption)。
電腦設定: Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

帳戶鎖定原則

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

帳戶鎖定時間
安全性目標:嘗試輸入無效密碼後,在一段指定時間內鎖定帳戶。
電腦設定:_____ 分鐘

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

帳戶鎖定閾值
安全性目標:設定在帳戶鎖定之前允許不正確登入嘗試的次數。
電腦設定:_____ 次不正確的登入嘗試

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

重設帳戶鎖定計數器的時間
安全性目標:設定鎖定閾值在重設之前維持的時間長度。
電腦設定:_____ 分鐘

 

Kerberos 原則

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

強制執行使用者登入限制
安全性目標:檢查使用者權限原則來驗證每個登入請求。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

服務票證最長存留期
安全性目標:設定服務票證的最長有效期間。
電腦設定:_____ 分鐘

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

使用者票證最長存留期
安全性目標:設定使用者票證的最長有效期間。
電腦設定:_____ 小時

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

使用者票證更新最長存留期
安全性目標:設定過期票證的更新間隔。
電腦設定:_____ 天

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

電腦時鐘同步處理的最大容錯性
安全性目標:設定網域中多台電腦間的同步處理最大容錯性。
電腦設定:_____ 分鐘

本機原則

 

 

稽核原則

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

稽核帳戶登入事件
安全性目標:稽核來自另一台電腦的帳戶登入/登出事件,此時是使用這台電腦來驗證該帳戶。"Account logon events" are generated where the account resides.
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 成功 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 失敗

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

稽核帳戶管理
安全性目標:稽核帳戶管理活動。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 成功 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 失敗

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

稽核目錄服務存取
安全性目標:稽核本身具有指定系統存取控制清單的 Microsoft Active Directory® 物件存取。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 成功 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 失敗

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

稽核登入事件
安全性目標:稽核這台電腦的本機或網路登入/登出事件。嘗試登入時便會產生「登入事件」。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 成功 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 失敗

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

稽核物件存取
安全性目標:稽核本身具有指定系統存取控制清單的物件 (例如:檔案、資料夾、登錄機碼、或印表機) 存取。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 成功 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 失敗

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

稽核原則變更
安全性目標:稽核使用者權限指派原則、稽核原則或信任原則的變更。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 成功 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 失敗

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

稽核特殊權限使用
安全性目標:稽核使用者行使使用者權限的每個例項。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 成功 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 失敗

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

稽核程序追蹤
安全性目標:稽核事件的詳細追蹤資訊,這些事件包括程式啟用、處理序結束、控制碼複製、及間接物件存取。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 成功 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 失敗

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

稽核系統事件
安全性目標:在使用者重新啟動或關閉電腦時,或是當影響系統安全性或安全性記錄檔的事件出現時進行稽核。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 成功 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 失敗

 

使用者權限指派

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

從網路存取這台電腦
安全性目標:決定允許哪些使用者經由網路連接到電腦。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

充當部分作業系統
安全性目標:允許使用者以作業系統的方式來執行程式碼,然後再以其他系統使用者的身份工作。注意:此權限的風險極大,因此不應指派給系統管理員以外的使用者。具有此權限的使用者能夠規避作業系統中的所有安全性功能。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

備份檔案及目錄
安全性目標:允許使用者避開檔案及目錄權限來備份系統。注意:具有此權限的使用者能夠讀取電腦上的任何檔案,包括使用者沒有其存取權的檔案。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

略過周遊檢查
安全性目標:允許使用者通過沒有存取權限的資料夾。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

變更系統時間
安全性目標:允許使用者設定電腦內部時鐘的時間。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

建立分頁檔
安全性目標:允許使用者建立和變更分頁檔大小。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

建立權杖物件
安全性目標:允許處理序建立存取權杖。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

建立永久共用物件
安全性目標:允許處理序在 Windows 2000 物件管理員中建立目錄物件。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

偵錯程式
安全性目標:允許使用者將偵錯工具附加到在其他使用者環境中執行的處理序。注意:此權限可讓使用者將程式碼插入任何使用者環境下的執行中處理序。因此,具有此權限的使用者能夠以其他系統使用者 (包括作業系統本身) 的身份來執行程式碼。此權限的風險極大,因此不應指派給系統管理員以外的使用者。此權限能讓使用者有效地規避系統上的所有安全性設定。大家常誤以為開發人員必須具有此權限才能偵錯程式。這是錯誤的觀念。使用者不需要此權限即可偵錯自己的程式。只有當開發人員需要以其他使用者的身份來偵錯執行程式時,才需要具備此權限。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

拒絕從網路存取這台電腦
安全性目標:禁止使用者或群組從網路連接到電腦。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

拒絕以批次工作登入
安全性目標:禁止使用者或群組經由批次佇列設備登入。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

拒絕以服務方式登入
安全性目標:禁止使用者或群組以服務方式登入。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

拒絕本機登入
安全性目標:禁止使用者或群組使用鍵盤在本機登入。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

讓電腦和使用者帳戶接受信任以執行委派
安全性目標:允許使用者變更在 Active Directory 中使用者或電腦的 [受信任可以委派] 設定。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

強制從遠端系統關機
安全性目標:允許使用者從網路上的遠端位置關閉電腦。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

產生安全性稽核
安全性目標:允許處理序在安全性記錄檔中產生項目。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

增加配額
安全性目標:允許對其他處理序具有「寫入屬性」存取權的處理序,能夠增加指派給其他處理序的處理器資源配額。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

增加排程優先順序
安全性目標:允許對其他處理序具有「寫入屬性」存取權的處理序能夠變更其處理優先順序。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

載入和卸載裝置驅動程式
安全性目標:允許使用者安裝和解除安裝隨插即用裝置驅動程式。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

鎖定記憶體分頁
安全性目標:允許處理序將資料保存在實體記憶體中,以免系統將資料分頁至磁碟上的虛擬記憶體。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

以批次工作登入
安全性目標:允許使用者使用批次佇列設備來登入。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

以服務方式登入
安全性目標:允許安全性主體以服務方式登入。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

本機登入
安全性目標:允許使用者在本機登入電腦。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

新增工作站到網域 (網域控制站)
安全性目標:允許使用者將電腦新增到特定的網域中。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

管理稽核和安全性記錄
安全性目標:允許使用者針對個別資源 (例如檔案、Active Directory 物件和登錄機碼) 指定物件存取稽核選項。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

修改韌體環境值
安全性目標:允許經由 API 的處理序或經由 [系統內容] 對話方塊的使用者來修改系統環境變數。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

設定檔單一處理序
安全性目標:允許使用者執行 Microsoft Windows NT® 與 Windows 2000 效能監視工具來監控非系統的處理序效能。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

設定檔系統效能
安全性目標:允許使用者執行 Microsoft Windows NT 與 Windows 2000 效能監視工具來監控系統的處理序效能。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

將電腦從銜接站移除
安全性目標:允許可攜式電腦的使用者利用按一下 [開始] 功能表上的 [退出 PC] 來解除鎖定電腦。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

取代處理序層級權杖
安全性目標:允許父處理序取代與子處理序相關的存取權杖。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

還原檔案及目錄
安全性目標:允許使用者在還原已備份檔案和目錄時避開檔案及目錄權限,並允許使用者將有效的安全性主體設為物件擁有者。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

關閉系統
安全性目標:允許使用者關閉本機電腦。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

同步處理目錄服務資料
安全性目標:允許服務提供目錄同步處理服務。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

取得檔案或其他物件的擁有權
安全性目標:允許使用者取得系統中任何安全物件的擁有權。
電腦設定:指派給:
________________ ________________ ________________
________________ ________________ ________________

 

安全性選項

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

匿名連線的其他限制
安全性目標:設定匿名連線到電腦的限制。
電腦設定:選取的選項: __________________________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

允許伺服器操作員排程工作 (僅限網域控制站)
安全性目標:決定是否允許伺服器操作員利用 AT 排程設備來提交工作。
電腦設定: Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

允許不登入就將系統關機
安全性目標:將電腦設為允許使用者不登入即關機。
電腦設定: Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

稽核通用系統物件的存取
安全性目標:允許稽核通用系統物件的存取。
電腦設定: Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

稽核備份和復原權限的使用
安全性目標:允許進行備份和復原使用者權限的稽核作業。
電腦設定: Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

允許退出卸除式 NTFS 媒體
安全性目標:將帳戶設為允許從電腦退出卸除式 NTFS 媒體。
電腦設定:原則中定義的帳戶: ___________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

中斷工作階段前,要求的閒置時間
安全性目標:設定「伺服器訊息區」(SMB) 工作階段因沒有動作而中斷連線之前,必須經過的連續閒置時間量。
電腦設定:_____ 分鐘

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

登入時間到期時,自動登出使用者
安全性目標:此設定啟用後,當連線到本機電腦的使用者超過其使用者帳戶的有效登入時數時,系統將會中斷其連線。只能在 DC 上設定。
電腦設定: Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

登入時間到期時,自動登出使用者 (本機)
安全性目標:此設定啟用後,當連線到本機電腦的使用者超過其使用者帳戶的有效登入時數時,系統將會中斷其連線。
電腦設定: Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

系統關閉時清除虛擬記憶體分頁檔
安全性目標:決定系統關機時是否應清除虛擬記憶體分頁檔。
電腦設定: Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

數位簽章用戶端的通訊 (自動)
安全性目標:決定電腦是否永遠會以數位方式簽署用戶端通訊。
電腦設定: Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

數位簽章用戶端的通訊 (可能的話)
安全性目標:啟用此設定後,SMB 用戶端只會在有啟用或需要執行 SMB 封包簽章的 SMB 通訊時,才會執行 SMB 封包簽署。
電腦設定: Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

數位簽章伺服器的通訊 (自動)
安全性目標:啟用此設定後,SMB 伺服器就必須執行 SMB 封包簽署。
電腦設定: Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

數位簽章伺服器的通訊 (可能的話)
安全性目標:啟用此設定後,SMB 伺服器在必要時必須執行 SMB 封包簽署。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

登入停用 CTRL+ALT+DEL 要求
安全性目標:決定使用者登入前是否必須按下 CTRL+ALT+DEL。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

不要在登入畫面顯示上次登入的使用者名稱
安全性目標:決定 Windows 登入畫面中是否要顯示上次登入電腦的使用者名稱。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

LAN Manager 驗證層級
安全性目標:決定網路登入所使用的挑戰/回應驗證通訊協定。
電腦設定:選取的選項: ________________________________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

給登入使用者的訊息本文
安全性目標:指定在使用者登入時,畫面顯示的文字訊息。
電腦設定:訊息本文: _____________________________________________
_________________________________________________________________________
_________________________________________________________________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

給登入使用者的訊息標題
安全性目標:指定向企圖登入使用者顯示的標題,此標題位於訊息本文視窗的標題列上。
電腦設定:訊息標題: ____________________________________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

先前網域控制站無法使用時的登入快取次數
安全性目標:決定使用者可以使用快取帳戶資訊來登入 Windows 網域的次數。
電腦設定:快取:_____ 次登入

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

防止電腦帳戶密碼的系統維護
安全性目標:決定是否要禁止每週重設電腦帳戶密碼。如果啟用此原則,便可防止電腦每週要求變更密碼。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

防止使用者安裝印表機驅動程式
安全性目標:決定是否要禁止使用者群組的成員安裝印表機驅動程式。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

在密碼過期前提示使用者變更密碼
安全性目標:決定 Windows 2000 要在多久之前警告使用者其密碼即將過期。
電腦設定:_____ 天

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

修復主控台:允許自動系統管理登入
安全性目標:如果設定此原則,「修復主控台」便不會要求提供密碼,並且將自動登入系統。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

修復主控台:允許軟碟複製以及存取所有磁碟和所有資料夾
安全性目標:啟用此選項將會啟動「修復主控台」SET 命令。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

重新命名系統管理員帳戶
安全性目標:將其他帳戶名稱關聯到「系統管理員」帳戶的安全性識別元 (SID)。
電腦設定:新帳戶名稱: ______________________________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

重新命名來賓 (Guest) 帳戶
安全性目標:將其他帳戶名稱關聯到「來賓」帳戶的安全性識別元 (SID)。電腦設定:新帳戶名稱: ______________________________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

CD-ROM 存取只限於登入本機的使用者
安全性目標:啟用此原則後,只有互動式登入的使用者允許存取卸除式 CD-ROM 媒體。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

軟碟機存取只限於登入本機的使用者
安全性目標:啟用此原則後,只有互動式登入的使用者允許存取卸除式軟碟機媒體。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

安全通道:安全通道資料加以數位加密或簽章 (自動)
安全性目標:如果啟用此原則,所有傳出的安全通道流量都必須予以簽署或加密。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

安全通道:安全通道資料加以數位加密或簽章 (可能的話)
安全性目標:如果啟用此原則,所有傳出的安全通道流量都應予以加密。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

安全通道:安全通道資料加以數位簽章 (可能的話)
安全性目標:如果啟用此原則,所有傳出的安全通道流量都應予以簽署。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

安全通道:要求增強式 (Windows 2000 或更新) 工作階段索引鍵
安全性目標:如果啟用此原則,所有傳出的安全通道流量都將要求增強式 (Windows 2000 或更新) 加密金鑰。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

傳送未加密的密碼以連接到協力廠商的 SMB 伺服器
安全性目標:啟用後,即可允許 SMB 重新導向程式將純文字密碼傳送到在驗證過程中不支援密碼加密的非 Microsoft SMB 伺服器。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

當無法記錄安全性稽核時,系統立即關機
安全性目標:決定當系統無法記錄安全性事件時,是否應立即關機。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

智慧卡移除操作
安全性目標:決定當登入使用者的智慧卡從智慧卡讀取裝置移除時,發生的後續動作。電腦設定: __________________________________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

加強通用系統物件的預設權限 (例如:符號連結)
安全性目標:啟用此原則可加強預設 DACL,使非系統管理員使用者能夠讀取共用物件,但無法修改不是自己建立的共用物件。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

未簽署的驅動程式安裝操作
安全性目標:決定當嘗試安裝未經 Windows 硬體品質實驗室認證的裝置驅動程式時發生的後續動作。
電腦設定: __________________________________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

未簽署的非驅動程式安裝操作
安全性目標:決定當嘗試安裝未經認證的非裝置驅動程式軟體時的後續動作。
電腦設定: __________________________________________

事件日誌

 

 

事件日誌的設定

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

應用程式記錄檔大小最大值
安全性目標:指定應用程式記錄的大小上限。
電腦設定:______________ KB

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

安全性記錄檔大小最大值
安全性目標:指定安全性事件日誌的大小上限。
電腦設定:______________ KB

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

系統記錄檔大小最大值
安全性目標:指定系統事件日誌的大小上限。
電腦設定:______________ KB

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

限制來賓存取應用程式記錄檔
安全性目標:啟動後將禁止匿名使用者存取應用程式事件日誌。此原則選項不適用於獨立 Windows 2000 Professional 與 Server 作業系統。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

限制來賓存取安全性記錄檔
安全性目標:啟動後將禁止匿名使用者存取安全性事件日誌。此原則選項不適用於獨立 Windows 2000 Professional 與 Server 作業系統。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

限制來賓存取系統記錄檔
安全性目標:啟動後將禁止匿名使用者存取系統事件日誌。此原則選項不適用於獨立 Windows 2000 Professional 與 Server 作業系統。
電腦設定:Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 啟用 Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 停用

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

應用程式記錄保留天數
安全性目標:當應用程式記錄檔的保留方式是「以天數計」時,此選項可決定應用程式記錄檔保留事件的天數。
電腦設定:_____ 天

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

安全性記錄保留天數
安全性目標:當安全性記錄檔的保留方式是「以天數計」時,此選項可決定安全性記錄檔保留事件的天數。
電腦設定:_____ 天

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

系統記錄保留天數
安全性目標:當系統記錄檔的保留方式是「以天數計」時,此選項可決定系統記錄檔保留事件的天數。
電腦設定:_____ 天

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

應用程式記錄保持方法
安全性目標:決定應用程式記錄檔的「包裝」方式。
電腦設定: _____________________________________________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

安全性記錄保持方法
安全性目標:決定安全性記錄檔的「包裝」方式。
電腦設定: _____________________________________________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

系統記錄保持方法
安全性目標:決定系統記錄檔的「包裝」方式。
電腦設定: _____________________________________________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

安全性稽核記錄檔已滿時關閉電腦
安全性目標:使用「當無法記錄安全性稽核時,系統立即關機」來取代此原則設定。
電腦設定: _____________________________________________________

系統服務

 

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

啟用的服務

安全性目標:只提出必要的服務。

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 警訊器服務Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 網路連線
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 自動更新Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif NTLM 安全性支援提供者
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 幕後智慧型傳送服務Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 隨插即用
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif COM+ 事件系統Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 列印多工緩衝處理器
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 電腦瀏覽器Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 受保護的存放裝置
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif DHCP 用戶端Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 遠端程序呼叫 (RPC)
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif DHCP 伺服器Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 遠端登錄服務
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 分散式檔案系統 (DFS)Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 卸除式存放裝置
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 散佈式連結追蹤用戶端Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif RunAs 服務
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 散佈式連結追蹤伺服器Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 安全性帳戶管理員
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif DNS 用戶端Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 伺服器服務
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif DNS 伺服器Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 系統事件通知
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 事件日誌Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 工作排程器
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 檔案複寫服務Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif TCP/IP NetBIOS Helper Service
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif Internet Information Services (IIS) 系統管理服務(僅在 Web 伺服器上) Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 電話語音
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 索引服務(僅在需要檔案索引的系統上)Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif Windows Management Instrumentation
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 站台間訊息處理Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif Windows Management Instrumentation 驅動程式延伸
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif IPSec 原則代理程式Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif Windows 時間
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif Kerberos 金鑰發佈中心Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 工作站
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 使用權記錄Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif World Wide Web 發行服務、Simple Mail Transport 服務、NNTP 服務及 FTP 服務「只能」在真正的 IIS 伺服器上啟用。請務必在所有其他電腦上停用或解除安裝這些服務。
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 邏輯磁碟管理員
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 邏輯磁碟管理員系統管理服務
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 信差
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif Net Logon
 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

停用的服務

安全性目標:下列預設服務可以停用。

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 應用程式管理Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 遠端存取自動連線管理員
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 剪貼簿Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 遠端存取連線管理員
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif Distributed Transaction CoordinatorDd548226.mnp_checkbox(zh-tw,TechNet.10).gif 遠端程序呼叫 (RPC) 定位程式
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 傳真服務Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 路由及遠端存取
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif FTP 發行服務Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif RunAs 服務
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif IIS 管理服務Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif Simple Mail Transport Protocol (SMTP)
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 索引服務Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 智慧卡
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 網際網路連線共用(支援 NAT)Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif智慧卡協助程式
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif Microsoft NetMeeting® 遠端桌面共用Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif SNMP 服務
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 網路 DDEDd548226.mnp_checkbox(zh-tw,TechNet.10).gif SNMP 設陷服務
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 網路 DDE DSDMDd548226.mnp_checkbox(zh-tw,TechNet.10).gif SMTP
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 效能記錄及警示Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif Telnet
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif QoS RSVPDd548226.mnp_checkbox(zh-tw,TechNet.10).gif 終端機服務
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 不斷電供應系統
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif 公用程式管理員
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif Windows Installer
Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif World Wide Web 發行服務

其他登錄設定

 

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

選擇性的子系統

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager格式
機碼:SubSystems
值名稱: Optional
REG_MULTI_SZ  

安全性目標:限制電腦上安裝的子系統。
電腦設定: _____________________________________________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

限制 Null 工作階段存取

HKLM\SYSTEM\ CurrentControlSet\Services\LanmanServer格式
機碼:Parameters
值名稱: RestrictNullSessAccess
REG_DWORD  

安全性目標:限制經由 Null 工作階段的具名管道與共用的存取。
電腦設定: _____________________________________________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

Null 工作階段可存取具名管道

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer格式
機碼:Parameters
值名稱: NullSessionPipes
REG_MULTI_SZ  

安全性目標:允許經由 Null 工作階段來存取特定的具名管道結束點。
注意:除非 Null 工作階段存取受限,否則此設定沒有任何影響。電腦設定: _____________________________________________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

Null 工作階段可存取共用

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer格式
機碼:Parameters
值名稱: NullSessionPipes
REG_MULTI_SZ  

安全性目標:允許經由 Null 工作階段來存取特定共用。
注意:除非 Null 工作階段存取受限,否則此設定沒有任何影響。電腦設定: _____________________________________________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

從瀏覽清單中隱藏電腦

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer格式
機碼:Parameters
值名稱: hidden
REG_DWORD  

安全性目標:從電腦瀏覽清單隱藏電腦。
注意:此設定無法禁止攻擊者取得網路資源清單,除非 Null 工作階段存取受限。
電腦設定: _____________________________________________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

移除預設的 IPSEC 豁免事項

HKLM\SYSTEM\CurrentControlSet\Services格式
機碼: IPSEC
值名稱: NoDefaultExempt
REG_DWORD  

安全性目標:防止攻擊者利用移植攻擊來源的方法來規避 IPSEC 原則。
電腦設定: _____________________________________________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

變更 DLL 搜尋順序

HKLM\SYSTEM\CurrentControlSet\Control格式
機碼:Session Manager
值名稱: SafeDllSearchMode
REG_DWORD  

安全性目標:避免發生系統 DLL 的詐騙。
電腦設定: _____________________________________________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

防止來自應用程式產生之輸入的工作階段鎖定干擾

HKCU\Software\Policies\Microsoft\Windows\ Control Panel格式
機碼:Desktop
值名稱: BlockSendInputResets
REG_SZ  

注意:必須配合此機碼來設定適當的螢幕保護程式設定,之後才能發揮效用,這點很重要。必要的螢幕保護程式設定如下:
選取螢幕保護程式
密碼保護
螢幕保護程式逾時期間
若未正確設定螢幕保護程式,則基本上此功能無法對電腦的整體安全性產生功效。電腦設定

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

當稽核記錄檔的閾值百分比已滿時,產生稽核事件

HKLM\SYSTEM\CurrentControlSet\Services\ Eventlog格式
機碼:Security
值名稱: WarningLevel
REG_DWORD  

(此值可能會加以編輯以符合本機需求)。

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

鞏固 TCP/IP 堆疊以對抗拒絕服務攻擊

HKLM\SYSTEM\CurrentControlSet\Services\ Tcpip格式
機碼:Parameters
值名稱: DisableIPSourceRouting
REG_DWORD  
機碼:Parameters
值名稱: EnableDeadGWDetect
REG_DWORD  
機碼:Parameters
值名稱: EnableICMPRedirect
REG_DWORD  
機碼:Parameters
值名稱: EnablePMTUDiscovery
REG_DWORD  
機碼:Parameters
值名稱: EnableSecurityFilters
REG_DWORD  
機碼:Parameters
值名稱: KeepAliveTime
REG_DWORD  
機碼:Parameters
值名稱: NoNameReleaseOnDemand
REG_DWORD  
機碼:Parameters
值名稱: PerformRouterDiscovery
REG_DWORD  
機碼:Parameters
值名稱: SynAttackProtect
REG_DWORD  
機碼:Parameters
值名稱: TcpMaxConnectResponseRetransmissions
REG_DWORD  
機碼:Parameters
值名稱: TcpMaxConnectRetransmissions
REG_DWORD  
機碼:Parameters
值名稱: TcpMaxDataRetransmissions
REG_DWORD  
機碼:Parameters
值名稱:TCPMaxPortsExhausted
REG_DWORD  
 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

檢閱時間服務驗證

HKLM\SYSTEM\CurrentControlSet\Services\W32Time格式
機碼:Parameters
值名稱: type
REG_SZ  

安全性目標:確定系統是使用通過驗證的時間服務來執行作業。
電腦設定: _____________________________________________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

停用建立 LMHash

HKLM\SYSTEM\CurrentControlSet\Control格式
機碼:Lsa\NoLM Hash
值名稱:不拘 (此設定為機碼而非值)。
不適用  

安全性目標:防止產生孱弱 LM 雜湊,從而增強系統對密碼破解的抵抗力。
電腦設定: _____________________________________________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

停用自動執行

HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Policies格式
機碼: Explorer
值名稱: NoDriveTypeAutoRun
REG_DWORD  
 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

LDAP BIND 命令要求的 LDAP 伺服器處理

HKLM\System\CurrentControlSet\Services\ NTDS格式
機碼: Parameters
值名稱: LdapServerIntegrity
REG_DWORD  
 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

稽核記錄檔已滿時產生系統管理警告

HKLM\SYSTEM\CurrentControlSet\Services\ Alerter格式
機碼:Parameters
值名稱: AlertNames
REG_MULTI_SZ  

注意:系統管理警告需依賴「警訊器」和「信差」服務。請確定來源電腦上有執行「警訊器」服務,且接收電腦上有執行「信差」服務

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

加強 NTLM SSP

HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA格式
機碼:Advanced
值名稱:WebView
REG_DWORD  

安全性目標:禁止惡意的本機內容自動執行。
電腦設定: _____________________________________________________

 

Dd548226.mnp_checkbox(zh-tw,TechNet.10).gif

加強 NTLM SSP

HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA格式
機碼:MSV1_0
值名稱: NtlmMinClientSec & NtlmMinServerSec
REG_DWORD  

安全性目標:禁止惡意的本機內容自動執行。
電腦設定: _____________________________________________________


顯示: