Windows 2000 預設安全性原則設定
Overview
發佈日期: 2004 年 11 月 17 日 | 更新日期: 2006 年 5 月 31
本頁內容
本單元內容
目標
適用於
如何使用本單元
Windows 2000 預設安全性原則設定
本單元內容
本單元定義了 Microsoft® Windows® 2000 作業系統的預設安全性原則設定。其中包含在 Windows 2000 Professional 與 Windows 2000™ Server™ 本機原則以及預設網域和網域控制站原則的預設安全性原則設定。
目標
透過本單元即可:
識別 Windows 2000 本機原則的預設安全性原則設定。
識別 Windows 2000 網域控制站的預設安全性原則設定。
識別 Windows 2000 網域的預設安全性原則設定。
適用於
本單元適用於下列產品及技術:
Microsoft Windows 2000 作業系統
Microsoft Windows 2000 網域控制站
Microsoft Windows 2000 網域
安全性範本
如何使用本單元
本單元會識別 Windows 2000 系統的預設安全性原則設定。您可使用此單元來識別 Windows 2000 的預設設定,並判斷如何進行變更以提高安全性。
若要充分瞭解本單元:
請參閱< Windows 2000 安全性設定 >單元。此單元提供詳盡的安全性設定說明,可供您增進 Windows 2000 的安全性。
請參閱< Windows 2000 安全性設定工具 >單元。此單元概述了可供套用安全設定的 Windows 2000 工具。
請參閱< Windows 2000 使用者權利和權限設定 >單元。此單元詳述了 Windows 2000 系統中預設的使用者權限指派,並提供一份<Windows 2000 安全性設定>所建議的變更清單。
使用檢查清單「 Windows 2000 安全性設定檢查清單 」。其中包含安全性檢查清單,可讓您用於評估系統安全性,以確保所有設定變更均已完成。
使用隨附的 How To 文件:
《如何安全地安裝 Windows 2000》
《如何在 Windows 2000 中設定和套用安全性範本》
Windows 2000 預設安全性原則設定
[表 1]:Windows 2000 預設安全性原則設定
| 安全性設定 | 本機安全性原則 (Professional 和 Server/Adv.Server) | 網域控制站安全性原則 | 網域安全性原則 | |
|---|---|---|---|---|
| 帳戶原則 | ||||
| 密碼原則 | ||||
| 強制執行密碼歷程記錄 | 記憶 0 個密碼 | 尚未定義 | 記憶 1 個密碼 | |
| 最長密碼期限 | 42 天 | 尚未定義 | 42 天 | |
| 最短密碼期限 | 0 天 | 尚未定義 | 0 天 | |
| 最短密碼長度 | 0 個字元 | 尚未定義 | 0 個字元 | |
| 密碼必須符合複雜性需求 | 停用 | 尚未定義 | 停用 | |
| 使用可還原的加密來存放網域中所有使用者的密碼 | 停用 | 尚未定義 | 停用 | |
| 帳戶鎖定原則 | ||||
| 帳戶鎖定時間 | 尚未定義 | 尚未定義 | 尚未定義 | |
| 帳戶鎖定閾值 | 0 次不正確的登入嘗試 | 尚未定義 | 0 次不正確的登入嘗試 | |
| 重設帳戶鎖定計數器的時間 | 尚未定義 | 尚未定義 | 尚未定義 | |
| Kerberos 原則 | ||||
| 強制執行使用者登入限制 | (無法使用) (本機預設是 [啟用]) |
尚未定義 | 啟用 | |
| 服務票證最長存留期 | (無法使用) (本機預設是 60 分鐘) |
尚未定義 | 600 分鐘 | |
| 使用者票證最長存留期 | (無法使用) (本機預設是 7 小時) |
尚未定義 | 10 小時 | |
| 使用者票證更新最長存留期 | (無法使用) (本機預設是 10 天) |
尚未定義 | 7 天 | |
| 電腦時鐘同步處理的最大容錯性 | (無法使用) (本機預設是 60 分鐘) |
尚未定義 | 5 分鐘 | |
| 本機原則 | ||||
| 稽核原則 | ||||
| 稽核帳戶登入事件 | 無稽核 | 無稽核 | 尚未定義 | |
| 稽核帳戶管理 | 無稽核 | 無稽核 | 尚未定義 | |
| 稽核目錄服務存取 | 無稽核 | 無稽核 | 尚未定義 | |
| 稽核登入事件 | 無稽核 | 無稽核 | 尚未定義 | |
| 稽核物件存取 | 無稽核 | 無稽核 | 尚未定義 | |
| 稽核原則變更 | 無稽核 | 無稽核 | 尚未定義 | |
| 稽核特殊權限使用 | 無稽核 | 無稽核 | 尚未定義 | |
| 稽核程序追蹤 | 無稽核 | 無稽核 | 尚未定義 | |
| 稽核系統事件 | 無稽核 | 無稽核 | 尚未定義 | |
| 使用者權限指派 | ||||
| 從網路存取這台電腦 | Administrators Backup Operators Power Users Users Everyone |
Administrators Authenticated Users Everyone IUSR_W2K- 電腦名稱 IWAM_W2K- 電腦名稱 |
尚未定義 | |
| 充當部分作業系統 | (空白) | (空白) | 尚未定義 | |
| 新增工作站到網域 | (空白) | Authenticated Users | 尚未定義 | |
| 備份檔案及目錄 | Administrators Backup Operators |
Administrators Backup Operators Server Operators |
尚未定義 | |
| 略過周遊檢查 | Administrators Backup Operators Power Users Users Everyone |
Administrators Authenticated Users Everyone |
尚未定義 | |
| 變更系統時間 | Administrators Power Users |
Administrators Server Operators |
尚未定義 | |
| 建立分頁檔 | Administrators | Administrators | 尚未定義 | |
| 建立權杖物件 | (空白) | (空白) | 尚未定義 | |
| 建立永久共用物件 | (空白) | (空白) | 尚未定義 | |
| 偵錯程式 | Administrators | Administrators | 尚未定義 | |
| 拒絕從網路存取這台電腦 | (空白) | (空白) | 尚未定義 | |
| 拒絕以批次工作登入 | (空白) | (空白) | 尚未定義 | |
| 拒絕以服務方式登入 | (空白) | (空白) | 尚未定義 | |
| 拒絕本機登入 | (空白) | (空白) | 尚未定義 | |
| 讓電腦和使用者帳戶接受信任以執行委派 | (空白) | Administrators | 尚未定義 | |
| 強制從遠端系統關機 | Administrators | Administrators Server Operators |
尚未定義 | |
| 產生安全性稽核 | (空白) | (空白) | 尚未定義 | |
| 增加配額 | Administrators | Administrators | 尚未定義 | |
| 增加安全性排程優先順序 | Administrators | Administrators | 尚未定義 | |
| 載入和卸載裝置驅動程式 | Administrators | Administrators | 尚未定義 | |
| 鎖定記憶體分頁 | (空白) | (空白) | 尚未定義 | |
| 以批次工作登入 | (空白) | IUSR_W2K- 電腦名稱 IWAM_W2K- 電腦名稱 |
尚未定義 | |
| 以服務方式登入 | (空白) | (空白) | 尚未定義 | |
| 本機登入 | Administrators Backup Operators Power Users Users Machinename/Guest Machinename/TsInternetUser (僅限 Server/Adv.Server) |
Administrators Authenticated Users Backup Operators IUSR_W2K- machinename Print Operators Server Operators TsInternetUser |
尚未定義 | |
| 管理稽核與安全性記錄檔 | Administrators | Administrators | 尚未定義 | |
| 修改韌體環境值 | Administrators | Administrators | 尚未定義 | |
| 設定檔單一處理序 | Administrators Backup Operators |
Administrators | 尚未定義 | |
| 設定檔系統效能 | Administrators | Administrators | 尚未定義 | |
| 將電腦從銜接站移除 | Administrators Backup OperatorsUsers |
Administrators | 尚未定義 | |
| 取代處理序層級權杖 | (空白) | (空白) | 尚未定義 | |
| 還原檔案及目錄 | Administrators Backup Operators |
Administrators Backup OperatorsServer Operators |
尚未定義 | |
| 電腦關機 | Administrators Backup Operators Power Users Users (僅限 Professional) |
Account Operators Administrators Backup Operators Print Operators Server Operators |
尚未定義 | |
| 同步處理目錄服務資料 | (空白) | (空白) | 尚未定義 | |
| 取得檔案和其他物件的擁有權 | Administrators | Administrators | 尚未定義 | |
| 安全性選項 | ||||
| 匿名連線的其他限制 | 無。視預設權限而定。 | 尚未定義 | 尚未定義 | |
| 允許伺服器操作員排程工作 (僅限網域控制站) | 尚未定義 | 尚未定義 | 尚未定義 | |
| 允許不必登入就將系統關機 (僅限網域控制站) | 啟用 (僅限 Professional) 停用 (僅限 Server/Adv.Server)。 |
尚未定義 | 尚未定義 | |
| 允許不必登入就將系統關機 | 啟用 (僅限 Professional) 停用 (僅限 Server/Adv.Server)。 |
尚未定義 | 尚未定義 | |
| 允許退出卸除式 NTFS 媒體 | Administrators | 尚未定義 | 尚未定義 | |
| 中斷工作階段前,要求的閒置時間 | 15 分鐘 | 尚未定義 | 尚未定義 | |
| 稽核通用系統物件的存取 | 停用 | 尚未定義 | 尚未定義 | |
| 稽核備份和復原權限的使用 | 停用 | 尚未定義 | 尚未定義 | |
| 登入時間到期時,自動登出使用者 | (此選項不適用於 獨立的 Professional、 Server 或 Advanced Server) |
尚未定義 | 停用 | |
| 登入時間到期時 (本機),自動登出使用者 | 啟用 | 尚未定義 | 尚未定義 | |
| 系統關閉時清除虛擬記憶體分頁檔 | 停用 | 尚未定義 | 尚未定義 | |
| 數位簽章用戶端的通訊 (自動) | 停用 | 尚未定義 | 尚未定義 | |
| 數位簽章用戶端的通訊 (可能的話) | 啟用 | 尚未定義 | 尚未定義 | |
| 數位簽章伺服器的通訊 (自動) | 停用 | 尚未定義 | 尚未定義 | |
| 數位簽章伺服器的通訊 (可能的話) | 停用 | 啟用 | 尚未定義 | |
| 登入停用 CTRL+ALT+DEL 要求 | 尚未定義 (僅限 Professional) 停用 (僅限 Server/Adv.Server) |
尚未定義 | 尚未定義 | |
| 不要在登入畫面顯示使用者名稱 | 停用 | 尚未定義 | 尚未定義 | |
| LAN Manager 驗證層級 | 傳送 LM 和 NTLM 回應 | 尚未定義 | 尚未定義 | |
| 給登入使用者的訊息本文 | (空白) | 尚未定義 | 尚未定義 | |
| 給登入使用者的訊息本文 | (空白) | 尚未定義 | 尚未定義 | |
| 先前網域控制站無法使用時,登入快取的次數 | 10 次登入 | 尚未定義 | 尚未定義 | |
| 防止電腦帳戶密碼的系統維護 | 停用 | 尚未定義 | 尚未定義 | |
| 防止使用者安裝印表機驅動程式 | 停用 (僅限 Professional) 啟用 (僅限 Server/Adv.Server) |
尚未定義 | 尚未定義 | |
| 在密碼過期前提示使用者變更密碼 | 14 天 | 尚未定義 | 尚未定義 | |
| 修復主控台:允許自動系統管理登入 | 停用 | 尚未定義 | 尚未定義 | |
| 修復主控台:允許軟碟複製以及存取所有磁碟和資料夾 | 停用 | 尚未定義 | 尚未定義 | |
| 重新命名系統管理員帳戶 | 尚未定義 | 尚未定義 | 尚未定義 | |
| 重新命名來賓帳戶 | 尚未定義 | 尚未定義 | 尚未定義 | |
| CD-ROM 存取只限於登入本機的使用者 | 停用 | 尚未定義 | 尚未定義 | |
| 軟碟機存取只限於登入本機的使用者 | 停用 | 尚未定義 | 尚未定義 | |
| 安全通道:安全通道資料加以數位加密或簽章 (自動) | 停用 | 尚未定義 | 尚未定義 | |
| 安全通道:安全通道資料加以數位加密 (可能的話) | 啟用 | 尚未定義 | 尚未定義 | |
| 安全通道:安全通道資料加以數位簽章 (可能的話) | 啟用 | 尚未定義 | 尚未定義 | |
| 安全通道:要求增強式 (Windows 2000 或更新) 工作階段索引鍵 | 停用 | 尚未定義 | 尚未定義 | |
| 傳送未加密的密碼來連線到協力廠商的 SMB 伺服器 | 停用 | 尚未定義 | 尚未定義 | |
| 當無法記錄安全性稽核時,立即關機系統 | 停用 | 尚未定義 | 尚未定義 | |
| 智慧卡移除操作 | 無動作 | 尚未定義 | 尚未定義 | |
| 加強通用系統物件的預設權限 (例如:符號連結) | 啟用 | 尚未定義 | 尚未定義 | |
| 未簽署的驅動程式安裝操作 | 尚未定義 | 尚未定義 | 尚未定義 | |
| 未簽署的非驅動程式安裝操作 | 尚未定義 | 尚未定義 | 尚未定義 | |
| 事件日誌 | ||||
| 事件日誌檔設定值 | ||||
| 應用程式記錄檔最大值 | 512 Kb | 尚未定義 | 尚未定義 | |
| 安全性記錄檔最大值 | 512 Kb | 尚未定義 | 尚未定義 | |
| 系統記錄檔最大值 | 512 Kb | 尚未定義 | 尚未定義 | |
| 限制來賓存取應用程式記錄檔 | (無法使用) | 尚未定義 | 尚未定義 | |
| 限制來賓存取安全性記錄檔 | (無法使用) | 尚未定義 | 尚未定義 | |
| 限制來賓存取系統記錄檔 | (無法使用) | 尚未定義 | 尚未定義 | |
| 應用程式記錄保持天數 | 覆寫 7 天之前的事件 | 尚未定義 | 尚未定義 | |
| 安全性記錄保持天數 | 覆寫 7 天之前的事件 | 尚未定義 | 尚未定義 | |
| 系統記錄保持天數 | 覆寫 7 天之前的事件 | 尚未定義 | 尚未定義 | |
| 應用程式記錄保持方法 | 覆寫 7 天之前的事件 | 尚未定義 | 尚未定義 | |
| 安全性記錄保持方法 | 覆寫 7 天之前的事件 | 尚未定義 | 尚未定義 | |
| 系統記錄保持方法 | 覆寫 7 天之前的事件 | 尚未定義 | 尚未定義 | |
| 安全性稽核記錄檔已滿時關閉系統 | (無法使用) | 尚未定義 | 尚未定義 |