Windows 2000 預設安全性原則設定

Overview

發佈日期: 2004 年 11 月 17 日 | 更新日期: 2006 年 5 月 31

本頁內容

本單元內容
目標
適用於
如何使用本單元
Windows 2000 預設安全性原則設定

本單元內容

本單元定義了 Microsoft® Windows® 2000 作業系統的預設安全性原則設定。其中包含在 Windows 2000 Professional 與 Windows 2000™ Server™ 本機原則以及預設網域和網域控制站原則的預設安全性原則設定。

回到頁首

目標

透過本單元即可:

  • 識別 Windows 2000 本機原則的預設安全性原則設定。

  • 識別 Windows 2000 網域控制站的預設安全性原則設定。

  • 識別 Windows 2000 網域的預設安全性原則設定。

回到頁首

適用於

本單元適用於下列產品及技術:

  • Microsoft Windows 2000 作業系統

  • Microsoft Windows 2000 網域控制站

  • Microsoft Windows 2000 網域

  • 安全性範本

回到頁首

如何使用本單元

本單元會識別 Windows 2000 系統的預設安全性原則設定。您可使用此單元來識別 Windows 2000 的預設設定,並判斷如何進行變更以提高安全性。

若要充分瞭解本單元:

  • 請參閱< Windows 2000 安全性設定 >單元。此單元提供詳盡的安全性設定說明,可供您增進 Windows 2000 的安全性。

  • 請參閱< Windows 2000 安全性設定工具 >單元。此單元概述了可供套用安全設定的 Windows 2000 工具。

  • 請參閱< Windows 2000 使用者權利和權限設定 >單元。此單元詳述了 Windows 2000 系統中預設的使用者權限指派,並提供一份<Windows 2000 安全性設定>所建議的變更清單。

  • 使用檢查清單「 Windows 2000 安全性設定檢查清單 」。其中包含安全性檢查清單,可讓您用於評估系統安全性,以確保所有設定變更均已完成。

  • 使用隨附的 How To 文件:

    • 《如何安全地安裝 Windows 2000》

    • 《如何在 Windows 2000 中設定和套用安全性範本》

回到頁首

Windows 2000 預設安全性原則設定

[表 1]:Windows 2000 預設安全性原則設定

安全性設定 本機安全性原則 (Professional 和 Server/Adv.Server) 網域控制站安全性原則 網域安全性原則
帳戶原則
密碼原則
強制執行密碼歷程記錄 記憶 0 個密碼 尚未定義 記憶 1 個密碼
最長密碼期限 42 天 尚未定義 42 天
最短密碼期限 0 天 尚未定義 0 天
最短密碼長度 0 個字元 尚未定義 0 個字元
密碼必須符合複雜性需求 停用 尚未定義 停用
使用可還原的加密來存放網域中所有使用者的密碼 停用 尚未定義 停用
帳戶鎖定原則
帳戶鎖定時間 尚未定義 尚未定義 尚未定義
帳戶鎖定閾值 0 次不正確的登入嘗試 尚未定義 0 次不正確的登入嘗試
重設帳戶鎖定計數器的時間 尚未定義 尚未定義 尚未定義
Kerberos 原則
強制執行使用者登入限制 (無法使用)
(本機預設是 [啟用])
尚未定義 啟用
服務票證最長存留期 (無法使用)
(本機預設是 60 分鐘)
尚未定義 600 分鐘
使用者票證最長存留期 (無法使用)
(本機預設是 7 小時)
尚未定義 10 小時
使用者票證更新最長存留期 (無法使用)
(本機預設是 10 天)
尚未定義 7 天
電腦時鐘同步處理的最大容錯性 (無法使用)
(本機預設是 60 分鐘)
尚未定義 5 分鐘
本機原則
稽核原則
稽核帳戶登入事件 無稽核 無稽核 尚未定義
稽核帳戶管理 無稽核 無稽核 尚未定義
稽核目錄服務存取 無稽核 無稽核 尚未定義
稽核登入事件 無稽核 無稽核 尚未定義
稽核物件存取 無稽核 無稽核 尚未定義
稽核原則變更 無稽核 無稽核 尚未定義
稽核特殊權限使用 無稽核 無稽核 尚未定義
稽核程序追蹤 無稽核 無稽核 尚未定義
稽核系統事件 無稽核 無稽核 尚未定義
使用者權限指派
從網路存取這台電腦 Administrators
Backup Operators
Power Users
Users
Everyone
Administrators
Authenticated Users
Everyone
IUSR_W2K-
電腦名稱
IWAM_W2K-
電腦名稱
尚未定義
充當部分作業系統 (空白) (空白) 尚未定義
新增工作站到網域 (空白) Authenticated Users 尚未定義
備份檔案及目錄 Administrators
Backup Operators
Administrators
Backup Operators
Server Operators
尚未定義
略過周遊檢查 Administrators
Backup Operators
Power Users
Users
Everyone
Administrators
Authenticated Users
Everyone
尚未定義
變更系統時間 Administrators
Power Users
Administrators
Server Operators
尚未定義
建立分頁檔 Administrators Administrators 尚未定義
建立權杖物件 (空白) (空白) 尚未定義
建立永久共用物件 (空白) (空白) 尚未定義
偵錯程式 Administrators Administrators 尚未定義
拒絕從網路存取這台電腦 (空白) (空白) 尚未定義
拒絕以批次工作登入 (空白) (空白) 尚未定義
拒絕以服務方式登入 (空白) (空白) 尚未定義
拒絕本機登入 (空白) (空白) 尚未定義
讓電腦和使用者帳戶接受信任以執行委派 (空白) Administrators 尚未定義
強制從遠端系統關機 Administrators Administrators
Server Operators
尚未定義
產生安全性稽核 (空白) (空白) 尚未定義
增加配額 Administrators Administrators 尚未定義
增加安全性排程優先順序 Administrators Administrators 尚未定義
載入和卸載裝置驅動程式 Administrators Administrators 尚未定義
鎖定記憶體分頁 (空白) (空白) 尚未定義
以批次工作登入 (空白) IUSR_W2K-
電腦名稱
IWAM_W2K-
電腦名稱
尚未定義
以服務方式登入 (空白) (空白) 尚未定義
本機登入 Administrators
Backup Operators
Power Users
Users
Machinename/Guest
Machinename/TsInternetUser
(僅限 Server/Adv.Server)
Administrators
Authenticated Users
Backup Operators
IUSR_W2K-
machinename
Print Operators
Server Operators
TsInternetUser
尚未定義
管理稽核與安全性記錄檔 Administrators Administrators 尚未定義
修改韌體環境值 Administrators Administrators 尚未定義
設定檔單一處理序 Administrators
Backup Operators
Administrators 尚未定義
設定檔系統效能 Administrators Administrators 尚未定義
將電腦從銜接站移除 Administrators
Backup OperatorsUsers
Administrators 尚未定義
取代處理序層級權杖 (空白) (空白) 尚未定義
還原檔案及目錄 Administrators
Backup Operators
Administrators
Backup OperatorsServer Operators
尚未定義
電腦關機 Administrators
Backup Operators
Power Users
Users (僅限 Professional)
Account Operators
Administrators
Backup Operators
Print Operators
Server Operators
尚未定義
同步處理目錄服務資料 (空白) (空白) 尚未定義
取得檔案和其他物件的擁有權 Administrators Administrators 尚未定義
安全性選項
匿名連線的其他限制 無。視預設權限而定。 尚未定義 尚未定義
允許伺服器操作員排程工作 (僅限網域控制站) 尚未定義 尚未定義 尚未定義
允許不必登入就將系統關機 (僅限網域控制站) 啟用 (僅限 Professional)
停用 (僅限 Server/Adv.Server)。
尚未定義 尚未定義
允許不必登入就將系統關機 啟用 (僅限 Professional)
停用 (僅限 Server/Adv.Server)。
尚未定義 尚未定義
允許退出卸除式 NTFS 媒體 Administrators 尚未定義 尚未定義
中斷工作階段前,要求的閒置時間 15 分鐘 尚未定義 尚未定義
稽核通用系統物件的存取 停用 尚未定義 尚未定義
稽核備份和復原權限的使用 停用 尚未定義 尚未定義
登入時間到期時,自動登出使用者 (此選項不適用於
獨立的 Professional、
Server 或 Advanced Server)
尚未定義 停用
登入時間到期時 (本機),自動登出使用者 啟用 尚未定義 尚未定義
系統關閉時清除虛擬記憶體分頁檔 停用 尚未定義 尚未定義
數位簽章用戶端的通訊 (自動) 停用 尚未定義 尚未定義
數位簽章用戶端的通訊 (可能的話) 啟用 尚未定義 尚未定義
數位簽章伺服器的通訊 (自動) 停用 尚未定義 尚未定義
數位簽章伺服器的通訊 (可能的話) 停用 啟用 尚未定義
登入停用 CTRL+ALT+DEL 要求 尚未定義 (僅限 Professional)
停用 (僅限 Server/Adv.Server)
尚未定義 尚未定義
不要在登入畫面顯示使用者名稱 停用 尚未定義 尚未定義
LAN Manager 驗證層級 傳送 LM 和 NTLM 回應 尚未定義 尚未定義
給登入使用者的訊息本文 (空白) 尚未定義 尚未定義
給登入使用者的訊息本文 (空白) 尚未定義 尚未定義
先前網域控制站無法使用時,登入快取的次數 10 次登入 尚未定義 尚未定義
防止電腦帳戶密碼的系統維護 停用 尚未定義 尚未定義
防止使用者安裝印表機驅動程式 停用 (僅限 Professional)
啟用 (僅限 Server/Adv.Server)
尚未定義 尚未定義
在密碼過期前提示使用者變更密碼 14 天 尚未定義 尚未定義
修復主控台:允許自動系統管理登入 停用 尚未定義 尚未定義
修復主控台:允許軟碟複製以及存取所有磁碟和資料夾 停用 尚未定義 尚未定義
重新命名系統管理員帳戶 尚未定義 尚未定義 尚未定義
重新命名來賓帳戶 尚未定義 尚未定義 尚未定義
CD-ROM 存取只限於登入本機的使用者 停用 尚未定義 尚未定義
軟碟機存取只限於登入本機的使用者 停用 尚未定義 尚未定義
安全通道:安全通道資料加以數位加密或簽章 (自動) 停用 尚未定義 尚未定義
安全通道:安全通道資料加以數位加密 (可能的話) 啟用 尚未定義 尚未定義
安全通道:安全通道資料加以數位簽章 (可能的話) 啟用 尚未定義 尚未定義
安全通道:要求增強式 (Windows 2000 或更新) 工作階段索引鍵 停用 尚未定義 尚未定義
傳送未加密的密碼來連線到協力廠商的 SMB 伺服器 停用 尚未定義 尚未定義
當無法記錄安全性稽核時,立即關機系統 停用 尚未定義 尚未定義
智慧卡移除操作 無動作 尚未定義 尚未定義
加強通用系統物件的預設權限 (例如:符號連結) 啟用 尚未定義 尚未定義
未簽署的驅動程式安裝操作 尚未定義 尚未定義 尚未定義
未簽署的非驅動程式安裝操作 尚未定義 尚未定義 尚未定義
事件日誌
事件日誌檔設定值
應用程式記錄檔最大值 512 Kb 尚未定義 尚未定義
安全性記錄檔最大值 512 Kb 尚未定義 尚未定義
系統記錄檔最大值 512 Kb 尚未定義 尚未定義
限制來賓存取應用程式記錄檔 (無法使用) 尚未定義 尚未定義
限制來賓存取安全性記錄檔 (無法使用) 尚未定義 尚未定義
限制來賓存取系統記錄檔 (無法使用) 尚未定義 尚未定義
應用程式記錄保持天數 覆寫 7 天之前的事件 尚未定義 尚未定義
安全性記錄保持天數 覆寫 7 天之前的事件 尚未定義 尚未定義
系統記錄保持天數 覆寫 7 天之前的事件 尚未定義 尚未定義
應用程式記錄保持方法 覆寫 7 天之前的事件 尚未定義 尚未定義
安全性記錄保持方法 覆寫 7 天之前的事件 尚未定義 尚未定義
系統記錄保持方法 覆寫 7 天之前的事件 尚未定義 尚未定義
安全性稽核記錄檔已滿時關閉系統 (無法使用) 尚未定義 尚未定義

回到頁首