返回
Windows系统安全策略分析

Windows系统安全策略分析

ID:43985283

大小:30.50 KB

页数:7页

时间:2019-10-17

Windows系统安全策略分析_第1页
Windows系统安全策略分析_第2页
Windows系统安全策略分析_第3页
Windows系统安全策略分析_第4页
Windows系统安全策略分析_第5页
资源描述:

《Windows系统安全策略分析》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、Windows系统安全策略分析摘要:操作系统安全策略的基本设置是信息安全等级保护的基础。木文从信息安全等级保护的角度出发,分析和阐述了Windows操作系统安全策略的现状和设置等方法,从用户账号策略设置、设备管理策略设置、审核策略设置、安全选项策略设置等四个方面阐述了进行windows操作系统基本的安全策略设置方法,表述了对操作系统基线策略设置的实施。关键词:Windows系统;系统安全;安全策略操作系统安全涉及各个方向,其中安全策略[1]起到了至关重要的作用,因此,Windows系统的安全策略设置

2、方法也层出不穷,本文从用户账号策略、设备管理策略、安全选项策略等几方面分别分析阐述了Windows系统安全策略的现状和设置等方法。1Windows系统安全策略安全设置1.1用户账号策略用户权限分配用于确定哪些用户或组拥有在组织机构内部计算机上进行登录的权利或特权。登录权限与特权控制着用户在H标系统上所拥有的权限。它们用以授予执行特定操作(例如在网络或本地进行登录)或管理任务(例如生成新的登录令牌)所需的权限。来宾(Guests)组及Guest用户帐号和Support_388945a0在不同域间拥有唯

3、一的SIDo因此,这种面向用户权限分配的组策略可能需要在那些只存在特定冃标组的系统上予以修改。或者,也可对策略模板进行单独编辑,以便在・inf文件中包含适当的组。举例來说,应当在测试环境中的某台域控制器上创建一个域控制器组策略。通过网络[2]访问此计算机用户权限决定了允许哪些用户和组通过网络与计算机建立连接。在WindowsServer2003操作系统中,尽管授予Everyone安全组的权限将不再为匿名用户提供访问权限,Guests组和Guest帐号仍将通过Everyone安全组被授予访问权限。因此

4、,在高安全性运行环境中从网络访问此计算机用户权限中删除Everyone安全组,以便进一步抵御通过来宾访问方式对域发动的攻击。强制通过远程系统关机用户权限允许用户通过网络从远程位置上关闭计算机。所有能够关闭计算机的用户均可发动拒绝服务(DoS)攻击,因此,这种权限的分配应受到严格限制。通过身份验证后对特定客户端进行模拟的权限允许代表某个用户运行应用程序,以便对特定客戸端进行模拟。针对此类模拟方式设置这种用户权限将有效防止未经授权的用户欺骗指定客户端与某种他(她)所创建的服务建立连接,进而将自身权限提升

5、至管理或系统级别。1.2设备管理策略装载与卸载设备驱动程序权限决定了哪些用户可以动态装载并卸载设备驱动程序。具备装载与卸载设备驱动程序权限的用户可以随意安装那些伪装成设备驱动程序的恶意代码。因此,管理员应加倍小心,并且仅仅安装那些经过数?签署认证的驱动程序。在高安全性运行环境中,这种用户权限则应用以加强缺省管理员组。在内存中锁定页面:作为批处理作业登录用户权限允许用户通过诸如任务计划程序服务之类的批处理队列机制进行登录。由于遭受攻击的风险较低,因此,缺省设置即可。这种拒绝作为批处理作业登录用户权限设

6、置将覆盖作为批处理作业登录用户权限设置。具备这种登录权限的帐号可用于对消耗过多系统资源以至于可能导致DoS现象的作业进行调度。因此,请不要将拒绝作为批处理作业登录用户权限分配给那些可能对安全性造成威胁的帐号。恢复文件与日录用户权限决定了哪些用户在恢复备份文件与目录时可以绕过文件、目录、注册表及其它永久对象权限。同时,这种用户权限还决定了哪些用户可以将合法安全主体设置为对象所有者。在企业级或高安全性运行环境中,只有管理员组成员有权对文件与目录进行恢复。文件恢复作业通常由管理员组或其它指定委托安全组成员

7、來完成,这种方式尤其适用于具有高度敏感性的服务器和域控制器。关闭系统用户权限决怎了哪些本地登录用户能够通过关机命令关闭操作系统。滥用这种用户权限可能造成DoS攻击。关闭域控制器的能力应被限制在少数深受信赖的管理员范围内。虽然关闭系统还需具备登录到服务器的能力,但是,仍需谨慎对待哪些允许关闭域控制器的帐号和组。在高安全性运行环境中,只有管理员组应被授予关闭系统用户权限。同步目录服务数据用户权限允许进程读取目录屮的所冇对象和属性,而不必关心这些对象和属性是否存在保护措施。LDAP目录同步服务需要使用这种

8、权限。这种用户权限的缺省设置并未指定任何帐号,在高安全性运行环境中,必须将其配置为吊销所有安全组和帐号。获取文件或其它対象的所有权用户权限允许用户获取系统中任意安全对象的所有权,其中包括ActiveDirectory对象、NTFS文件系统(NTFS)文件与文件夹、打印机、注册表键、服务、进程以及线程等。请确保只有本地管理员组拥有获取文件或其它对象所冇权用户权限。更改系统时间用户权限决定了哪些用户和组能够更改计算机内部时钟的时间与H期。山于事件日志将反映调整后的新时间,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。