2024Windows7安全加固指導手冊

Windows7安全加固指導手冊

此參考側重于視為安全設置的設置。

配置安全策略設置

介紹了在本地設備上、加入域的設備上和域控制器上配置安全策略設置的步

驟。

你必須在本地設備上具有管理員權限，或者必須具有在域控制器上更新組策略

對象（GPO）的相應權限才能執(zhí)行這些過程。

當無法訪問本地設置時，士指示GPO當前控制該設置，

使用本地安全策略控制臺配置設置

1.若要打開本地安全策略，請在“開始”屏幕上，鍵入secpol.msc,然后

按Entero

2.在控制臺樹的“安全設置”下，執(zhí)行下列操作之一：

o單擊“帳戶策略”來編輯“密碼策略”或“帳戶鎖定策略”。

o單擊“本地策略”來編輯“審核策略”、“用戶權限分配”或

“安全選項”。

3.當你在詳細信息窗格中找到策略設置時，請雙擊你希望修改的安全策

略。

4.修改安全策略設置，然后單擊“確定”。

注意

o一些安全策略設置需要重新啟動設備才能使設置生效。

o對帳戶的用戶權限分配進行的任何更改將在帳戶的所有者下次登

錄時生效。

使用本地組策略編輯器控制臺配置安全策略設置

你必須具有相應的權限才能安裝和使用Microsoft管理控制臺（MMC）并在域

控制器上更新組策略對象（GP0）來執(zhí)行這些過程。

1.打開本地組策略編輯器(gpedit.msc)。

2.在控制臺樹中，依次單擊“計算機配置"、"Windows設置”他**和

“安全設置”。

3.執(zhí)行下列操作之一：

o單擊“帳戶策略”來編輯“密碼策略”或“帳戶鎖定策略”。

o單擊“本地策略”來編輯“審核策略”、“用戶權限分配”或

“安全選項”。

4.在詳細信息窗格中，雙擊你希望修改的安全策略設置。

注意

如果尚未定義此安全策略，請選中“定義這些策略設置”復選框。

5.修改安全策略設置.，然后單擊“確定”****。

注意如果你想要在網絡上為多臺設備配置安全設置，則可以使用組策略管

理控制臺。

為域控制器配置設置

以下過程介紹如何僅為域控制器配置安全策略設置(從域控制器)。

1.若要打開域控制器安全策略，請在控制臺樹中，找到

GroupPo1icyObJect[ComputerName]策略，然后依次單擊“計算機配

置”、“Windows設置”****和“安全設置”。

2.執(zhí)行以下操作之一：

o雙擊“帳戶策略”****來編輯“密碼策略”、“帳戶鎖定策

略”****或Kerberos策略”。

o單擊“本地策略”****來編輯“審核策略”、“用戶權限分

配”****或“安全選項”。

3.在詳細信息窗格中，雙擊你希望修改的安全策略。

注意

如果尚未定義此安全策略，請選中“定義這些策略設置”復選框。

4.修改安全策略設置，然后單擊“確定”****。

要點

?始終在測試組織單位中測試新創(chuàng)建的策略，然后冉將其應用到你的網

絡。

?當你通過GPO更改安全設置并單擊“確定”時，該設置將在你下次刷新

設置時生效。

配置本地安全策略

方法一：運行,'gpedit.msc"進入本地組策略編輯器，選擇"計算機配置”下的“windows

設置”下的“安全設置”，然后分別對“帳戶策略”和“本地策略”進行設置

方法二：運行“control”進入控制面板，選擇“管理工具”中的“本地安全策略”即可進行

安全設置。

下圖左邊是方法一，右邊是方法二。

文件(F)瑾作(A)直看(V)超助(H)

卓嶺I國昌I日同

目本地計算機策略

/2計算機配置文件(F)理作(A)查看(V)普助(H)

t>二軟件設置*呂IEI江

」jWindows設置

式安全設置

>□域名區(qū)析策略

帳戶策略

因腳本(啟動/關機)0L4

t>「4本地策略

t>呻已部署的打印機

,房安全設置>:高級安全Windows防火墻

□網箔列表管理器策略

—單帳戶策略

□公銅策略

>壁南碼策略?

t>,軟件限制策略

>4帳戶鎖定策略

)二一應用程序控制凌略

-3本畸略

"同IP安全策略，E本地計其機

>4市核策略

>4用戶權限分配：>1.高堀畝核簧略函置

>4安全選項

?二高級安全Windows防頭

□網絡列表言理器策略

t>Z5公鑰策略

t>□軟件限制策略

>.-應用程序控制策略

t>$IP安全第B§,在本地計1

0.一高或畝核策略配置

0JW基于策略的QoS

t>J1言理模板

■a用戶配置

>o炊件設置

0ZjWindows設置

t>一省理模板

安全設置帳戶策略

Windows中的帳戶策略的概述，并提供指向策略說明的鏈接。

使用組策略應用的所有帳戶策略設置都在域級別上應用。默認值存在于密碼策略設置、帳戶

鎖定策略設置和Kerberos策略設置的內置默認域控制器策略中。域帳戶策略變?yōu)槿魏螌儆?/p>

該域的設備的默認本地帳戶策略。如果在ActiveDirectory域服務(ADDS)中在域級別下

的任何級別設置這些策略，它們將僅影響成員服務器上的本地帳戶。

殖

每個域只能有一個帳戶策略。帳戶策略必須在默認域策略中或在鏈接到域的根并且優(yōu)先于默

認域策略的新策略中定義，此帳戶策略由域中的域控制器強制執(zhí)行。這些域范圍的帳戶策略

設置(密碼策略、帳戶鎖定策略和Kerberos策略)由域中的域控制器強制執(zhí)行；因此域控

制器始終從默認的域策略組策略對象(GPO)中檢索這些帳戶策略設置的值。

唯一的例外是當為組織單位(0U)定義其他帳戶策略時00U的帳戶策略設置會影響包含在

該0U中的任何計算機上的不地策略。例如，如果0U策略定義不同于域級別帳戶策略的

密碼最長使用期限，將僅在用戶登錄本地計算機時應用和強制執(zhí)行OU策略。默認本地計

算機策略僅適用于既不適用0U帳戶策略也不適用域策略的工作組或域中的計算機。

密碼策略

在許多操作系統(tǒng)中，對用戶身份進行驗證的最常用方法是使用密碼。安全的網絡環(huán)境要求所

有用戶使用強密碼，它至少擁有八個字符并包括字母、數字和符號的組合。這類密碼可以防

止未經授權的用戶通過使用手動方法或自動工具猜測弱密碼來強害用戶帳戶和管理帳戶。定

期更改強密碼可以減少成功攻擊密碼的可能性。

Windows在WindowsServer2008R2和WindowsServer2008中引入對細化密碼策略的

支持。此功能向組織提供了為域中不同組的用戶定義不同密碼和帳戶鎖定策略的方法。細化

密碼策略僅適用于用戶對象(在未使用用戶對象的情況下則為使用的inetOrgPerson對象)

和全局安全組。

若要將細化密碼策略應用到0U中的用戶，可以使用卷影組，卷影組是邏輯上映射到OU

以強制執(zhí)行細化策略的一個全局安全組。將OU的用戶添加為新創(chuàng)建的卷影組的成員、然

后將細化密碼策略應用于此卷影組。可以根據需要為其他OU創(chuàng)建其他卷影組。如果將某

個用戶從個OU移動到另個OU,則必須更新相應卷影組的成員身份。

除帳戶鎖定設置以外，細化密碼策略還包括可以在默認域策略(Kerberos設置除外)中定

義的所有設置的屬性。在指定細化密碼策略時，必須指定所有這些設置,，默認情況下，僅域

管理員組成員可以設置細化密碼策略。但是，也可以將設置這些策略的功能委派給其他用戶。

域必須運行WindowsServer2008R2或WindowsServer2008及以上版本的系統(tǒng)才能使

用細化密碼策略。細化密碼策略無法直接應用到組織單位(OU)o

文件(F)城作(A)查看(V)總助(H)

??I左國IXSSIBS

去安全沒置策咯安全￡置

，4帳戶策咯密碼必須符合星宗性要求已啟用

4宣布策略

定帚長度最小值8個字后

4帳Q領走第咯

U定制最短使用期限。天

t>3基也策略

喜色最長使用明跟90天

高吸安全Windows防火埴

.強制定毛歷史5個記住的定碼

,阿密列表整建器第晅

id用可還原的加密來轉存密西已禁用

t>□公尋策略

t>..改件限制策略

>應用程序拄制策略

aIP安全質酩，5本地計算機

t>:高蛆畝核第86配苴

將“強制密碼歷史”****設置為240這將有助于緩解由于密碼重復使用導致的漏洞。

設置密碼最長使用期限，以使密碼的到期日期介于60天到90天之間。嘗試使密碼在

重要業(yè)務周期之間到期以防止工作損失。將“密碼最長使用期限”天數設置為60到90

之間的值，具體取決于你的環(huán)境。這樣，攻擊者用于破解用戶密碼并有權訪問你的網絡資源

的時間量將非常有限。

配置密碼最短使用期限，以便不允許你立即更改密碼。將“密碼最短使用期限"****設

置為2天的值。通過將天數設置為0,可立即更改密碼(不建議)。

如果你為用戶設置密碼，并希望該用戶更改管理員定義的密碼，必須選中"用戶下次登

錄時須更改密碼”復選框。否則，用戶將不能更改密碼，直到"密碼最短使用期限"****指

定的天數到期。

將最短密碼長度設置為至少為8的值。如果字符數設置為0,則不需要使用密碼。在

大多數環(huán)境中，建議使用8個字符的密碼；因為其長度足以提供適當的安全性并且其長度

仍短到可供用戶輕松記住。此值將幫助針對暴力攻擊提供適當防御。添加復雜性要求將有助

于減少字典攻擊的可能性。

允許使用短密碼會降低安全性，因為使用針對密碼執(zhí)行字典攻擊或暴力攻擊的工具就可

以很容易地破解短密碼。要求使用非常長的密碼可能導致密碼錯誤輸入，這可能導致帳戶鎖

定，隨后將增加技術人員的呼叫量。

此外，要求使用極長的密碼實際上會降低組織的安全性，因為用戶可能更傾向于寫下其

密碼以免忘記它們。

將“密碼必須符合復雜性要求”設置為“啟用”。此策略設置結合8位的最短

密碼長度可確保一個密碼具有至少218340105584896種不同的可能性。這使得

進行暴力攻擊變得困難，但仍非不可能。

使用ALT鍵字符組合可以極大地增強密碼復雜性。但是，要求組織中的所有用

戶遵循此類嚴格的密碼要求可能會使得用戶不滿意，也會使技術支持極其忙

碌。請考慮在組織中實現此要求：將0128到0159范圍內的ALT字符用作所

有管理員密碼的一部分。(此范圍之外的ALT字符可以表示不讓密碼變得更加

復雜的標準字母數字字符.)

僅包含字母數字字符的密碼很容易通過公共可用的工具遭到泄露。為避免此間

題，密碼應包含其他字符，并滿足復雜性要求。

將“使用可逆加密儲存密碼”****的值設置為“已禁用”。如果你通過遠程訪

問或IAS使用CHAP,或者使用IIS中的摘要式身份驗證，則必須將此值設置

為“已啟用”。當你針對不同的用戶使用組策略應用此設置時，這將帶來安全

風險，因為它需要在ActiveDirectory用戶和計算機中打開相應的用戶帳戶

對象。注意不要啟用此策略設置,除非業(yè)務需求比保護密碼信息更為重要。

帳戶鎖定策略

某些在嘗試登錄你的系統(tǒng)時嘗試使用較多不成功密碼的人員可能是嘗試通過反復試驗確定

帳戶密碼的惡意用戶。Windows域控制器跟蹤登錄嘗試，并且可以將域控制器配置為響應

此類型的潛在攻擊，方法是在預設時間段內禁用該帳戶。帳戶鎖定策略設置控制此響應的閾

值和達到該閾值后要執(zhí)行的操作。

去本地安全第三~I。語

文件(F)最作(A)查看(V)ttftj(H)

力圜"ST日F

擊安全設置策導安全長宣

,4帳戶策略帳戶鎖定時間不適用

密桓策略

4帳戶鈾定函值0次無效登錄

帳戶運策晤

9里亙帳戶鎖定計數不適用

安全設置本地策略

審核策略

用戶權限分配

用戶權限管理用戶登錄系統(tǒng)的方法。用戶權限在本地設備級別二應用，并且允許用戶在設備

或域中執(zhí)行任務。用戶權限包括登錄權限“登錄權限控制有權登錄設備的用戶及登錄方式。

用戶權限控制對計算機和域樊源的訪問權限，并且它們可以替代已在特定對象上設置的權

限。除非有特別的要求和設置，否則默認的用戶權限不能隨便修改。

ee?a

AdmratfratoeiftKkxpCp??alcrt

A*kwiOrMO??

10CM?tVK€/l€TWO?XS€KVKLA<l^b?Hrx(€?VKe

Adm?MrMo?i

-W欠

上?丁一?仁

(**QCr?M*MVtrMcriUwr\BAcUpOp*r?Kr?

一

1001褪tVKLMrI?*r?.5<r.

IOCA1UKVKtM~ctrMC<?

-?a?MOp***H*?

三e

AdmrettrMorvftacki41Op??alort

jwntfrit*w

.ifeexeMGaMl

一~50a血匕i?MGwM

Adv?rntratD?t

AdMOraqMURVCr.Wd&*vk?Mo?

€?^e<w.lOCMiMVCtB?rwO?X裝《VKf5QU?Y?v?2OO5MSMXUw4c的TK$<X￡l>*￡”>av^?t>vteo.UMoS?cto?pOperas

IOCA1UKVKK5ITW0?XUR￥KX>dM<trMnfKtS.aJBUMKVKK

-5受士*”10CM?<VKFMTWO?MRVK5.K3MXX9H??U?^?

凝HWnWHAdrarMtrtfiXKMaMo*War^Q^Gap

10QUSUVKSFTWOW“RVKf.<Xi??&*iqUw?1C<38，MMAQ$3K8U由"63#OOVX3^^

..UtMMrwwHretp^

IOCA1UtVKIMTWOOC“RVKSgJw?R?WtfaU?MlC?38，M心*SMKgaRXUWkf^W*^，

AdftfratDe1

OMV>d??riitraeD*xUw?xfieckipCp-tton

Ad?wMrMO?iKamoto0?<idD^U?*?

GVXMI”

-w:—rgAd^mtratoi

?ftMIHMMXS?<VW2OMK|.B^*M?VM?1C<UTO0WM?U11,MXS?wr2005MUQlUMrK?teo?-VKWMAJ1SUTTICtQLIXPUU,WUIMOXAUttKVKI^BSA>MOOl\D^wUpfAx>i

J力*u*?g?

從遠程系統(tǒng)強制關機

此安全設置確定允許哪些用戶從網絡上的遠程位置關閉計算機。誤用此用戶權限會導致拒絕

服務。

此用戶權限是在默認域控制器組策略對象(GPO)以及工作站和服務器的本地安全策略中進

行定義的。

默認值：

在工作站和服務器上:Administratorso

在域控制器上：Administrators.ServerOperators?

注意:一般administrators成員只有administrator一個,要確認組里面的用戶都是合法用戶，

靛終端是否允許遠程，允許遠程的情況下可以只包含admimstrator組或更多自定義用戶

和組，改成單獨的一個administrator也是可以的；不允許遠程的條件下，可忽略本加固選

項。

從遠程莪8s制關機Administrators

安全選項

常用的安全選項如下所示，在安全加固的時候需要對終端所在網絡環(huán)境有所了解,并對

于安全選項的默認值有所認知，在實際情景當中是否發(fā)生變化，以及是否需要變化。

關機：清除虛擬內存頁面文件

此安全設置確定關閉系統(tǒng)時是否清除虛擬內存頁面文件。

虛擬內存支持在內存頁面未使用時使用系統(tǒng)頁面文件將其交換到磁盤。在正在運行的系統(tǒng)

上，此頁面文件由操作系統(tǒng)以獨占方式打開，并且受到很好的保護。但是，配置為允許啟動

到其他操作系統(tǒng)的系統(tǒng)可能要確保在此系統(tǒng)關閉時清除系統(tǒng)頁面文件。這可確?？赡軙M入

頁面文件的進程內存中的敏感信息不會被設法通過直接訪問頁面文件的未經授權用戶使用。

啟用此策略會在干凈關機時清除系統(tǒng)頁面文件。啟用此安全選項時，如果禁用休眠，休眠文

件(hiberfil.sys)也會被清零。

默認值：禁用。

注意:一般的終端只有一個操作系統(tǒng),啟用后會提高系統(tǒng)的運行速度，也可以不啟用，可根據

電腦的性能來決定是否啟用，若是終端硬盤上安裝了多個操作系統(tǒng)，則是一定要開啟的，確

?？赡軙M入頁面文件的進程內存中的敏感信息不會被設法通過直接訪問頁面文件的未經

授權用戶使用；一般選擇啟用這個選項。

關機:清除慮擬內存頁面文件屬性?

關機：允許系統(tǒng)在未登錄的情況下關閉

此安全設置確定是否可以在無需登錄Windows的情況下關閉計算機。

如果啟用了此策略，Windows登錄屏幕上的11關機”命令可用。

如果禁用了此策略，Windows登錄屏幕上不會顯示關閉計算機的選項。在這種情況下，用

戶必須能夠成功登錄到計算機并具有關閉系統(tǒng)的用戶權限，然后才可以執(zhí)行系統(tǒng)關閉。

在工作站上的默認設置：已啟用。

在服務器上的默認設置：已禁用。

謂：一個陌生人試圖打開你的電腦猜測你的登錄密碼進入你的系統(tǒng)，如果他沒有成功，你

是希望他關機了不被你發(fā)現，還是留下最直接的罪證一他動了你的電腦。所以在這里要選

擇禁用在未登錄的情況下關機。

關機:允許系統(tǒng)在未登錄的情況下關閉厘性

交互式登錄：登錄時不顯示用戶名

該安全設置確定在輸入憑據后和顯示電腦桌面前是否在Windows登錄屏幕顯示正在登錄

該臺電腦的人員的用戶名。

如果啟用該策略，將不顯示用戶名。

如果禁用該策略，將顯示用戶名。

默認：禁用“

建意：同上，不顯示終端的用戶名更不利于陌生人試圖動你的終端。

交互式登錄：鎖定會話時顯示用戶信息

此設置控制諸如電子郵件地址或域'用戶名等詳細信息是否隨用戶一起顯示在登錄屏幕上。

對于運行Windows10版本1511和1507(RTM)的客戶端，此設置的作用與之前版本的

Windows相似。由于Windows10版本1607中有新的隱私設置，因此此設置對于這些客

戶端有不同影響。

此設置具有以下可能值：

-用戶顯示名稱、域和用戶名：對于本地登錄，顯示用戶的全名。如果用戶使用Microsoft

帳戶登錄，將顯示用戶的電子郵件地址。對于域登錄，顯示域'，用戶名。

-僅用戶顯示名稱：顯示鎖定會話的用戶的命名。

-不顯示用戶信息：不顯示名稱，但對于Windows10以前的所有版本，將在切換用戶桌面

顯示用戶命名。

-空白：默認設置。這將被解讀為“未定義”，但將以與選項"僅用戶顯示名稱”相同的方

式顯示用戶的命名。

注意:最佳做法

對此策略的實施取決于你對顯示的登錄信息的安全要求。如果你運行的計算機存儲了敏感數

據，顯示器在不安全的位置顯示，或者你的計算機上有需要遠程訪問的敏感數據，泄漏登錄

用戶的全名或域帳戶名可能違反了你的整個安全策略“

根據你的安全策略，你可能需要啟用“交互式登錄：不顯示上次登錄信息”策略。

'交互式登錄:鎖定會話時顯示用戶信息屬性[PlirtM

交互式登錄：提示用戶在密碼過期之前更改密碼

確定提前多長時間（以天為單位）向用戶發(fā)出其密碼即將過期的警告。借助該提前警告，用戶

有時間構造足夠強大的密碼。

默認:5天。

注意:按需更改

交互式登錄：無需按CTRL+ALT+DEL

此安全設置確定在用戶登錄之前是否需要按CTRL+ALT+DEL。

如果在計算機上啟用了此黃略，則用戶無需按CTRL+ALT+DEL即可登錄。不必按

CTRL+ALT+DEL,用戶就容易受到試圖攔截用戶密碼的攻擊,如果用戶在登錄前需要按

CTRL+ALT+DEL則可確保用戶在輸入其密碼時通過可信路徑進行通信。

如果禁用此策略，則任何用戶在登錄到Windows前都必須按CTRL+ALT+DEL。

域計算機上的默認值：已啟用：至少Windows8/已禁用Windows7或更早版本。

獨立計算機上的默認值：已啟用。

設備：防止用戶在連接共享打印機時安裝打印機驅動程序

對于要使用共享打印機進行打印的計算機.該本地計算機上必須安裝有該共享打印機的驅動

程序。此安全設置確定允詫哪些人可以在連接共享打印機時安裝打印機驅動程序。如果啟用

該設置，則只有管理員可以在連接共享打印機時安裝打印機驅動程序。如果禁用該設置，則

任何用戶都可以在連接共享打印機時安裝打印機驅動程序。

服務器上的默認值：啟用。

工作站上的默認值：禁用。

注意

該設置不影響添加本地打印機的能力。

該設置不影響管理員。

設備：將CD-ROM的訪問權限僅限于本地登錄的用戶

該安全設置確定本地用戶和遠程用戶是否可以同時訪問CD-R0Mo

如果啟用該策略，將僅允許交互式登錄的用戶訪問可移動CD-ROM介質。如果啟用該策略

但沒有用戶以交互方式登錄，則可以通過網絡訪問CD-ROM。

默認值：未定義此策略，且沒限制本地登錄用戶對CD-ROM的訪問權限。

設備：允許在未登錄的情況下移除

此安全設置確定是否不必登錄就可以移除筆記本電腦。如果啟用此策略.則不需要登錄，且

某個外部硬件彈出按鈕可以用于移除計算機。如果禁用此策略，則用戶必須登錄且具有從方

展塢移除計算機的權限時才能移除計算機。

默認：啟用。

警告

禁用此策略可能會誘使用戶嘗試使用除外部硬件彈出按鈕之外的方法從擴展塢物理移除筆

記本電腦。由于這會導致損壞硬件，一般情況下，僅應在物理上安全的筆記本電腦配置上禁

用此設置C

as-適用于筆記本終端

設備允許在未登錄的情況下彈出感性[9li-a—I

審核：對備份和還原權限的使用進行審核

此安全設置確定當審核權限使用策略生效時是否審核包括備份和還原在內的所有用戶權限

的使用。啟用審核權限使用策略的同時啟用此選項，會為備份或還原的每個義件生成一個審

核事件。

如果禁用此策略，則即使啟用了審核權限使用，也不會審核備吩或還原權限的使用。

注意:在WindowsVista之前的Windows版本上配置此安全設置時，只有重新啟動

Windows,更改才會生效。啟用此設置可能會導致大量事件，在備份操作過程中有時每秒會

產生數百個事件，

默認值：禁用。

at-硬盤剩余空間足夠大的情況下可以選擇啟用，不然不建設選擇啟用

審核:對備份和還原權限的使用進行畝核屬性[Q

審核：對全局系統(tǒng)對象的訪問權限進行審核

此安全設置確定是否要審核全局系統(tǒng)對象的訪問權限。

如果啟用此策略，則它會導致使用默認的系統(tǒng)訪問控制列表(SACL)創(chuàng)建系統(tǒng)對象，如互斥、

事件、信號和DOS設備。僅會為具有名稱的對象提供SACL；不會為沒有名稱的對象提供

SACLo如果還啟用了審核對象訪問權限審核策略，則會審核對這些系統(tǒng)對象的訪問。

注意配置此安全設置時，只有重新啟動Windows,更改才會生效。

默認值：禁用。

謂：全局系統(tǒng)對象(也稱為“基本系統(tǒng)對象”或“基本命名對象”)是臨時的內核對象，

具有按創(chuàng)建它們的應用程序或系統(tǒng)組件分配給它們的名稱。這些對象通常用于同步多個應用

程序或復雜應用程序的多個部分。由于它們具有名稱，因此這些對象的范圍為全局，從而對

設備上的所有進程可見。這些對象全都具有安全描述符；但通常情況下，它們沒有NULL

SACL。如果你啟用此策略設置并且它在啟動時生效，內核會在創(chuàng)建對象時將一個SACL分

配給這些對象。

存在一個威脅，即如果未正確保護全局可見的命名對象，知道該對象名稱的惡意程序可能會

對其執(zhí)行操作。例如，如果互斥等同步對象具有構造不佳的自定義訪問控制列表(DACL).

惡意程序可按名稱訪問該互斥，并導致創(chuàng)建它的程序無法正常工作。但是，發(fā)生這種情況的

風險很低。

啟用此策略設置可能會生成大量安全事件，在繁忙的域控制器和應用程序服務器上尤其如

此。這可能導致服務器響應速度緩慢，并強制安全日志記錄大量無關緊要的事件。審核對全

局系統(tǒng)對象的訪問是一項非此即彼的事務；無法篩選記錄哪些事件，不記錄哪些事件。即使

組織具有用于分析在啟用此策略設置時生成的事件的資源，它不太可能具有源代碼或有關每

個命名對象的用途的說明；因此，不可能有很多組織從啟用此策略設置中受益。

如果你啟用“審核：對全局系統(tǒng)對象的訪問進行審核“****設置,可能會生成大量安全事件，

在繁忙的域控制器和應用程序服務器上尤其如此。此類情況可能會導致服務器響應速度緩

慢、并強制安全日志記錄大量無關緊要的事件。只能啟用或禁月此策略設置.無法從此設置

中選擇記錄哪些事件。即使組織有用于分析此策略設置生成的事件的資源，但他們也不可能

具有源代碼或有關每個命名對象的用途的說明。因此，大多數組織不可能通過啟用此策略設

置受益。若要減少生成的審核事件的數量，請使用高級審核策略。使用"高級安全審核策略

設置”\“對象訪問”中的高級安全審核策略選項“審核內核對象”來減少你生成的不相關

審核事件的數量二

網絡安全：在超過登錄時間后強制注銷

此安全設置確定在連接到本地計算機的用戶超出其用戶帳戶的有效登錄時間時是否斷開與

其的連接。此設置會影響服務器消息塊(SMB)組件。

啟用此策略時，一旦客戶端的登錄時間過期，該策略便會強制斷開與SMB服務器建立的客

戶端會話。

如果禁用此策略，即便在客戶端登錄時間過期后，仍允許維持已建立的客戶端會話。

默認設置：啟用。

注意:此安全設置與帳戶策略的工作方式相同。域帳戶只能有一個帳戶策略。該帳戶策略必

須在默認域策略中定義，并且由組成域的域控制器來強制實施。域控制器始終使用默認域策

略組策略對象(GPO)中的該帳戶策略，即使存在一個應用于包含該域控制器的組織單位的其

他帳戶策略。默認情況下，加入域的工作站和服務器(例如，成員計算機)也會得到與它們的

本地帳戶相同的帳戶策略。但是，通過為包含成員計算機的組織單位定義一個帳戶策略，用

于成員計算機的本地帳戶策略可以與域帳戶策略不同。Kerberos設置不會應用于成員計算

yio

‘扁絡安全藁過登錄時間后覆制注銷層性;[3

本地安全設置說明

?網絡安全：在超過登錄時間后強制注俏

。已啟用(E)

。已禁用(S)

4要影響到域帳戶，必z頁在默認域策略定義此設置。

確定I取消應用㈤

網絡訪問：本地帳戶的共享和安全模型

此安全設置確定如何對使用本地帳戶的網絡登錄進行身份驗證。如果將此設置設為“經典”，

使用本地帳戶憑據的網絡登錄通過這些憑據進行身份驗證?！敖浀洹蹦Ｐ湍軌驅Y源的訪問

權限進行精細的控制。通過使用“經典”模型，你可以針對同一個資源為不同用戶授予不同

類型的訪問權限。

如果將此設置設為“僅來賓”，使用本地帳戶的網絡登錄會自動映射到來賓帳戶。使用“僅

來賓"模型，所有用戶都可得到平等對待。所有用戶都以來賓身份進行聆證，并且都獲得相

同的訪問權限級別來訪問指定的資源，這些權限可以為只讀或修改。

在域計算機上的默認值：經典，

在獨立計算機上的默認值：僅來賓。

重要信息

使用“僅來賓”模型時，所有可以通過網絡訪問計算機的用戶（包括匿名Internet用戶）都可

以訪問共享資源。你必須使用Windows防火墻或其他類似設備來防止對計算機進行未經授

權的訪問。同樣，使用“經典’模型時，本地帳戶必須受密碼保護；否則，這些用戶帳戶可

以被任何人用來訪問共享的系統(tǒng)資源。

注意:

此設置不會影響通過使用如Telnet或遠程桌面服務等服務遠程執(zhí)行的交互式登錄。

在以前版本的WindowsServer中，遠程桌面服務稱為終端服務。

此策略將不會影響運行Windows2000的計算機。

計算機未加入域時,此設置也會將文件資源管理器中的“共享和安全”選項卡修改為與正在

使用的共享和安全模型對應的設置。

網絡訪問:本地帳戶的共享和安全模型屬性?[al—Haal

網絡訪問：可遠程訪問的注冊表路徑

此安全設置確定哪些注冊表項可以通過網絡進行訪問，而不管Winreg注冊表項的訪問控

制列表(ACL)中列出的用戶或組是什么。

默認值：

System\CurrentControlSet\Control\ProductOptions

System\CurrentControlSet\Control\ServerApplications

Software\Microsoft\WindowsNTXCurrentVersion

警告

編輯注冊表不當可能會嚴重損壞你的系統(tǒng)。在更改注冊表之前，應在計算機上備份任何有價

值的數據。

注意:此安全設置在Windows的早期版本上不可用。運行WindowsXP的計算機上出現

的該安全設置為“網絡訪問：可遠程訪問的注冊表路徑”，它對應于在WindowsServer

2003家族的成員計算機上顯示的“網絡訪問：可遠程訪問的注冊表路徑和子路徑“安全選

嘰

注意:將此策略設置為null值；即啟用該策略設置，但未在文本框中輸入任何路徑。

網絡訪問：可遠程訪問的注冊表路徑和子路徑

此安全設置確定哪些注冊表路徑和子路徑可以通過網絡進行訪問，而不管Winreg注冊表

項的訪問控制列表(ACL)中列出的用戶或組是什么。

默認設置：

System\CurrentControlSet\Control\Print\Printers

System\CurrentControlSet\Sen/ices\Eventlog

Software\Microsoft\OLAPServer

Software\Microsoft\WindowsNT\CurrentVersion\Print

Software\Microsoft\WindowsNT\CurrentVersion\Windows

System\CurrentControlSet\Control\Contentlndex

System\CurrentControlSet\Control\TerminalServer

System\CurrentControlSet\Control\TerminalServer\UserConfig

System\CurrentControlSet\Control\TerminalServer\DefaultUserConfiguration

Software\Microsoft\WindowsNT\CurrentVersion\Perflib

System\CurrentControlSet\Sefvices\SysmonLog

System\CurrentControlSet\Services\CertSvc

System\CurrentControlSet\Services\Wins

警告

編輯注冊表不當可能會嚴重損壞你的系統(tǒng)。在更改注冊表之前，應在計算機上備份任何有價

值的數據，

注意在WindowsXP上，此安全設置稱為“網絡訪問：可遠程訪問的注冊表路徑”o如果

在加入域的WindowsServer2003家族的成員計算機上配置此設置，此設置會被運行

WindowsXP的計算機繼承，但是它將顯示為“網絡訪問：可遠程訪問的注冊表路徑"安全

選項。

^?ri用㈤)

用戶帳戶控制：標準用戶的提升提示行為

此策略設置控制標準用戶的提升提示行為.

選項為:

?提示憑據:（默認設置）當某個操作需要提升權限時，將提示用戶輸入管理用戶名和密碼。如

果用戶輸入有效憑據，則該操作將使用適用的權限繼續(xù)進行。

?自動拒絕提升請求：當某個操作需要提升權限時.顯示訪問被拒絕的錯誤消息。作為標準

用戶運行桌面的企業(yè)可以選擇該設置來減少技術支持呼叫次數。

?在安全桌面上提示憑據：當某個操作需要提升權限時，將在安全桌面上提示用戶輸入另一

個用戶名和密碼，如果用戶輸入有效憑據，則該操作將使用適，書的權限繼續(xù)進行0

用戶帳戶控制：在管理審批模式下管理員的提升提示行為

此策略設置控制管理員的提升提示行為。

選項為：

?無提示提升：允許有權限的張戶執(zhí)行需要提升權限的操作，而無需同意或憑據。注意：僅

在大多數受限制的環(huán)境中使用該選項。

?在安全桌面上提示憑據：當某個操作需要提升權限時，將在安全桌面上提示用戶輸入有權

限的用戶名和密碼。如果用戶輸入有效憑據,則該操作將使用用戶的最高可用權限繼續(xù)進行。

?在安全桌面上同意提示：當某個操作需要提升權限時，將在安全桌面上提示用戶選擇“允

許”或“拒絕”。如果用戶選擇“允許"，則該操作將使用用戶的最高可用權限繼續(xù)進行。

?提示憑據：當某個操作需要提升權限時，將提示用戶輸入管理用戶名和密碼。如果用戶輸

入有效憑據，則該操作將使用適用的權限繼續(xù)進行。。

-同意提示：當某個操作需要提升權限時，將提示用戶選擇“允許”或“拒絕”。如果用戶

選擇“允許”，則該操作將使用用戶的最高可用權限繼續(xù)進行。

?非Windows二進制文件的同意提示：（默認設置）當非Micrcsoft應用程序的某個操作需

要提升權限時，將在安全桌面上提示用戶選擇“允許”或“拒絕”。如果用戶選擇“允許”，

則該操作將使用用戶的最高可用權限繼續(xù)進行。

用金G絲目?學刊邑坐*巴式F器工商巴，里陋上二的桁IQ2^1

用戶帳戶控制：檢測應用程序安裝和提示提升

此策略設置控制計算機的應用程序安裝檢測行為。

選項為:

?啟用:（默認）當檢測到某個應用程序安裝程序包需要提升權限時，將提示用戶輸入管理用戶

名和密碼。如果用戶輸入有效憑據.則該操作將使用適用的權限繼續(xù)進行。

?禁用：未檢測到應用程序安裝程序包并且提示提升權限。運行標準用戶桌面以及使用委派

安裝技術［組策略軟件安裝或系統(tǒng)管理服務器（SMS）］的企業(yè)應該禁用此策略設置。在這種

情況下，不必檢測安裝程序,,

注意:

1.在企業(yè)運行利用委派的安裝技術（例如組策略軟件安裝（G逞I）或配置管理器）的標

準用戶桌面時，安裝程序檢測就已不再需要。因此，你可以將此安全策略設置為“已禁用"。

2.啟用“用戶帳戶控制：檢測應用程序安裝并提示提升權限”****設置，因此標準用戶必

須在軟件安裝前提供管理憑據。

用戶株戶控制:險冽應用程序安裝并提示提升晨性@

本地安全設置說明

。已啟用（E）

已禁用（3）

確^~）［取消］；應用a）

用戶帳戶控制；提示提升時切換到安全桌面

此策略設置控制提升請求是在交互式用戶桌面上提示還是在安全桌面上提示。

選項為:

?啟用:（默認設置）無論管理員和標準用戶的提示行為策略設置如何，所有提升請求都將轉至

安全桌面。

?禁用：所有提升請求都將轉至交互式用戶桌面。使用管理員和標準用戶的提示行為策略設

置。

用戶帳戶控制：啟用管理審批模式

此策略設置控制計算機的所有用戶帳戶控制（UAC）策略設置行為。如果更改此策略設置，則

必須重新啟動計算機。

選項為：

?啟用：（默認設置）啟用管理審批模式。必須啟用該策略并且相關的UAC策略設置還必須設

置正確以允許內置管理員帳戶以及是管理員組成員的所有其他用戶在管理審批模式下運行。

?禁用：禁用管理審批模式以及所有相關UAC策略設置。楚：如果禁用此策略設置，則

安全中心將通知你操作系統(tǒng)的總體安全性已降低。

用戶帳戶控制:以省建員批準模式運行所有首理員星性I卜

本地安全設置說明

用戶帳戶控制：以窗里員批準模式運行所有管理員

。已啟用CE)

O已禁用CS)

I碓]I取消]I應用

用戶帳戶控制：僅提升已簽名和驗證的可執(zhí)行文件

此策略設置將強制對請求提升權限的任何交互式應用程序執(zhí)行公鑰基礎結構(PKI)簽名檢查。

企業(yè)管理員可以通過向本地計算機上的受信任的發(fā)布者證書存儲中添加證書控制允許運行

的應用程序。

選項為：

?啟用：在允許運行給定的可執(zhí)行文件之前，強制對其執(zhí)行PKI證書路徑