Windows 2000 安全性設定檢查清單

Overview

發佈日期: 2004 年 11 月 17 日 | 更新日期: 2006 年 5 月 31 日

本頁內容

本單元內容
目標
適用於
如何使用本單元
安全性設定檢查清單

本單元內容

本單元包含安全性檢查清單,可讓您用於評估系統的安全性,以確保所有必要的安全性設定變更均已完成。有關設定變更,請參閱<Windows 2000 安全性設定>單元及<Windows 2000 預設安全性原則設定>單元。

回到頁首

目標

透過本單元即可:

  • 檢查 Microsoft® Windows® 2000 作業系統設定。

  • 檢查系統安全性設定。

回到頁首

適用於

本單元適用於下列產品及技術:

  • Microsoft Windows 2000 Professional 作業系統

  • Microsoft Windows 2000 Server™ 作業系統

  • Microsoft Windows 2000 Advanced Server 作業系統

  • Microsoft Windows 2000 Data Center Server 作業系統

回到頁首

如何使用本單元

使用本單元來檢查 Windows 2000 系統的設定。本單元與 Windows 2000 的所有版本、各種角色相關。檢查清單會確認必要的安全性設定是否都適得其所。

若要充分瞭解本單元:

  • 請參閱<Windows 2000 安全性設定>單元。此單元提供詳盡的安全性設定說明文件,可供您增進 Windows 2000 的安全性。

  • 請參閱<Windows 2000 安全性設定工具>單元。此單元概述了可供套用安全設定的 Windows 2000 工具。

  • 請參閱<Windows 2000 預設安全性原則設定>單元。此單元詳述了可套用到各種 Windows 2000 系統角色的預設安全性原則設定。

  • 請參閱<Windows 2000 使用者權利和權限設定>單元。此單元詳述了 Windows 2000 系統中預設的使用者權限指派,並提供一份<Windows 2000 安全性設定>單元所建議的變更清單。

  • 使用隨附的 How To 文件:

    • 《如何在 Windows 2000 中設定和套用安全性範本》

回到頁首

安全性設定檢查清單

[表 1]:作業系統設定

作業系統設定
OS 版本: Windows 2000 Professional
Windows 2000 Server
Windows 2000 Advanced Server
Windows 2000 Data Center Server

網域控制站
Service Pack 等級: 其他 Service Pack 等級:__
後置 Service Pack Hotfix:
網路成員: 工作群組 名稱: __
網域 名稱: __
__
__
__
安裝日期: _

[表 2]:Windows 2000 安全性設定檢查清單

完成及確認項目 「WINDOWS 2000 安全性設定檢查清單」請使用此檢查清單來追查特定系統的設定
檔案系統設定
安全性目標:允許安全性機制的設定和支援安全性原則的一致性。請注意,如果檔案系統不是 NTFS,則必須轉換檔案系統。轉換後必須套用 "Setup Security.inf" 範本中的預設 ACL,因為進行轉換作業時並未設定 ACL。
檔案系統類型:NTFS
帳戶原則
密碼原則
強制執行密碼歷程記錄
安全性目標:設定重複使用密碼的頻率限制。
電腦設定:記憶 _ 個密碼
密碼最長使用期限
安全性目標:設定使用者必須變更密碼之前能夠持有密碼的時間長度。
電腦設定:_
密碼最短使用期限
安全性目標:設定使用者變更密碼之前必須持有密碼的時間長度。
電腦設定:_
密碼長度下限
安全性目標:設定使用者密碼必須使用的最小字元數。
電腦設定:_ 個字元
密碼必須符合複雜性需求
安全性目標:要求使用複雜 (增強式) 密碼。
電腦設定: 啟用 停用
使用可還原的加密來存放網域中所有使用者的密碼
安全性目標:不要啟用。密碼使用弱加密 (Weak Encryption)。
電腦設定: 啟用 停用
帳戶鎖定原則
帳戶鎖定時間
安全性目標:嘗試輸入無效密碼後,在一段指定時間內鎖定帳戶。
電腦設定:_ 分鐘
帳戶鎖定閾值
安全性目標:設定在帳戶鎖定之前允許不正確登入嘗試的次數。
電腦設定:_ 次不正確的登入嘗試
重設帳戶鎖定計數器的時間
安全性目標:設定鎖定閾值在重設之前維持的時間長度。
電腦設定:_ 分鐘
Kerberos 原則
強制執行使用者登入限制
安全性目標:檢查使用者權限原則來驗證每個登入請求。
電腦設定: 啟用 停用
服務票證最長存留期
安全性目標:設定服務票證的最長有效期間。
電腦設定:_ 分鐘
使用者票證最長存留期
安全性目標:設定使用者票證的最長有效期間。
電腦設定:_ 小時
使用者票證更新最長存留期
安全性目標:設定過期票證的更新間隔。
電腦設定:_
電腦時鐘同步處理的最大容錯性
安全性目標:設定網域中多台電腦間的同步處理最大容錯性。
電腦設定:_ 分鐘
本機原則
稽核原則
稽核帳戶登入事件
安全性目標:稽核來自另一台電腦的帳戶登入/登出事件,此時是使用這台電腦來驗證該帳戶。"Account logon events" are generated where the account resides.
電腦設定: 成功 失敗
稽核帳戶管理
安全性目標:稽核帳戶管理活動。
電腦設定: 成功 失敗
稽核目錄服務存取
安全性目標:稽核本身具有指定系統存取控制清單的 Microsoft Active Directory® 物件存取。
電腦設定: 成功 失敗
稽核登入事件
安全性目標:稽核這台電腦的本機或網路登入/登出事件。嘗試登入時便會產生「登入事件」。
電腦設定: 成功 失敗
稽核物件存取
安全性目標:稽核本身具有指定系統存取控制清單的物件 (例如:檔案、資料夾、登錄機碼、或印表機) 存取。
電腦設定: 成功 失敗
稽核原則變更
安全性目標:稽核使用者權限指派原則、稽核原則或信任原則的變更。
電腦設定: 成功 失敗
稽核特殊權限使用
安全性目標:稽核使用者行使使用者權限的每個例項。
電腦設定: 成功 失敗
稽核程序追蹤
安全性目標:稽核事件的詳細追蹤資訊,這些事件包括程式啟用、處理序結束、控制碼複製、及間接物件存取。
電腦設定: 成功 失敗
稽核系統事件
安全性目標:在使用者重新啟動或關閉電腦時,或是當影響系統安全性或安全性記錄檔的事件出現時進行稽核。
電腦設定: 成功 失敗
使用者權限指派
從網路存取這台電腦
安全性目標:決定允許哪些使用者經由網路連接到電腦。
電腦設定:指派給:
__ __ __
__ __ __
充當部分作業系統
安全性目標:允許使用者以作業系統的方式來執行程式碼,然後再以其他系統使用者的身份工作。注意:此權限的風險極大,因此不應指派給系統管理員以外的使用者。具有此權限的使用者能夠規避作業系統中的所有安全性功能。
電腦設定:指派給:
__ __ __
__ __ __
備份檔案及目錄
安全性目標:允許使用者避開檔案及目錄權限來備份系統。注意:具有此權限的使用者能夠讀取電腦上的任何檔案,包括使用者沒有其存取權的檔案。
電腦設定:指派給:
__ __ __
__ __ __
略過周遊檢查
安全性目標:允許使用者通過沒有存取權限的資料夾。
電腦設定:指派給:
__ __ __
__ __ __
變更系統時間
安全性目標:允許使用者設定電腦內部時鐘的時間。
電腦設定:指派給:
__ __ __
__ __ __
建立分頁檔
安全性目標:允許使用者建立和變更分頁檔大小。
電腦設定:指派給:
__ __ __
__ __ __
建立權杖物件
安全性目標:允許處理序建立存取權杖。
電腦設定:指派給:
__ __ __
__ __ __
建立永久共用物件
安全性目標:允許處理序在 Windows 2000 物件管理員中建立目錄物件。
電腦設定:指派給:
__ __ __
__ __ __
偵錯程式
安全性目標:允許使用者將偵錯工具附加到在其他使用者環境中執行的處理序。注意:此權限可讓使用者將程式碼插入任何使用者環境下的執行中處理序。因此,具有此權限的使用者能夠以其他系統使用者 (包括作業系統本身) 的身份來執行程式碼。此權限的風險極大,因此不應指派給系統管理員以外的使用者。此權限能讓使用者有效地規避系統上的所有安全性設定。大家常誤以為開發人員必須具有此權限才能偵錯程式。這是錯誤的觀念。使用者不需要此權限即可偵錯自己的程式。只有當開發人員需要以其他使用者的身份來偵錯執行程式時,才需要具備此權限。
電腦設定:指派給:
__ __ __
__ __ __
拒絕從網路存取這台電腦
安全性目標:禁止使用者或群組從網路連接到電腦。
電腦設定:指派給:
__ __ __
__ __ __
拒絕以批次工作登入
安全性目標:禁止使用者或群組經由批次佇列設備登入。
電腦設定:指派給:
__ __ __
__ __ __
拒絕以服務方式登入
安全性目標:禁止使用者或群組以服務方式登入。
電腦設定:指派給:
__ __ __
__ __ __
拒絕本機登入
安全性目標:禁止使用者或群組使用鍵盤在本機登入。
電腦設定:指派給:
__ __ __
__ __ __
讓電腦和使用者帳戶接受信任以執行委派
安全性目標:允許使用者變更在 Active Directory 中使用者或電腦的 [受信任可以委派] 設定。
電腦設定:指派給:
__ __ __
__ __ __
強制從遠端系統關機
安全性目標:允許使用者從網路上的遠端位置關閉電腦。
電腦設定:指派給:
__ __ __
__ __ __
產生安全性稽核
安全性目標:允許處理序在安全性記錄檔中產生項目。
電腦設定:指派給:
__ __ __
__ __ __
增加配額
安全性目標:允許對其他處理序具有「寫入屬性」存取權的處理序,能夠增加指派給其他處理序的處理器資源配額。
電腦設定:指派給:
__ __ __
__ __ __
增加排程優先順序
安全性目標:允許對其他處理序具有「寫入屬性」存取權的處理序能夠變更其處理優先順序。
電腦設定:指派給:
__ __ __
__ __ __
載入和卸載裝置驅動程式
安全性目標:允許使用者安裝和解除安裝隨插即用裝置驅動程式。
電腦設定:指派給:
__ __ __
__ __ __
鎖定記憶體分頁
安全性目標:允許處理序將資料保存在實體記憶體中,以免系統將資料分頁至磁碟上的虛擬記憶體。
電腦設定:指派給:
__ __ __
__ __ __
以批次工作登入
安全性目標:允許使用者使用批次佇列設備來登入。
電腦設定:指派給:
__ __ __
__ __ __
以服務方式登入
安全性目標:允許安全性主體以服務方式登入。
電腦設定:指派給:
__ __ __
__ __ __
本機登入
安全性目標:允許使用者在本機登入電腦。
電腦設定:指派給:
__ __ __
__ __ __
新增工作站到網域 (網域控制站)
安全性目標:允許使用者將電腦新增到特定的網域中。
電腦設定:指派給:
__ __ __
__ __ __
管理稽核和安全性記錄
安全性目標:允許使用者針對個別資源 (例如檔案、Active Directory 物件和登錄機碼) 指定物件存取稽核選項。
電腦設定:指派給:
__ __ __
__ __ __
修改韌體環境值
安全性目標:允許經由 API 的處理序或經由 [系統內容] 對話方塊的使用者來修改系統環境變數。
電腦設定:指派給:
__ __ __
__ __ __
設定檔單一處理序
安全性目標:允許使用者執行 Microsoft Windows NT® 與 Windows 2000 效能監視工具來監控非系統的處理序效能。
電腦設定:指派給:
__ __ __
__ __ __
設定檔系統效能
安全性目標:允許使用者執行 Microsoft Windows NT 與 Windows 2000 效能監視工具來監控系統的處理序效能。
電腦設定:指派給:
__ __ __
__ __ __
將電腦從銜接站移除
安全性目標:允許可攜式電腦的使用者利用按一下 [開始] 功能表上的 [退出 PC] 來解除鎖定電腦。
電腦設定:指派給:
__ __ __
__ __ __
取代處理序層級權杖
安全性目標:允許父處理序取代與子處理序相關的存取權杖。
電腦設定:指派給:
__ __ __
__ __ __
還原檔案及目錄
安全性目標:允許使用者在還原已備份檔案和目錄時避開檔案及目錄權限,並允許使用者將有效的安全性主體設為物件擁有者。
電腦設定:指派給:
__ __ __
__ __ __
關閉系統
安全性目標:允許使用者關閉本機電腦。
電腦設定:指派給:
__ __ __
__ __ __
同步處理目錄服務資料
安全性目標:允許服務提供目錄同步處理服務。
電腦設定:指派給:
__ __ __
__ __ __
取得檔案或其他物件的擁有權
安全性目標:允許使用者取得系統中任何安全物件的擁有權。
電腦設定:指派給:
__ __ __
__ __ __
安全性選項
匿名連線的其他限制
安全性目標:設定匿名連線到電腦的限制。
電腦設定:選取的選項: __
允許伺服器操作員排程工作 (僅限網域控制站)
安全性目標:決定是否允許伺服器操作員利用 AT 排程設備來提交工作。
電腦設定: 啟用 停用
允許不登入就將系統關機
安全性目標:將電腦設為允許使用者不登入即關機。
電腦設定: 啟用 停用
稽核通用系統物件的存取
安全性目標:允許稽核通用系統物件的存取。
電腦設定: 啟用 停用
稽核備份和復原權限的使用
安全性目標:允許進行備份和復原使用者權限的稽核作業。
電腦設定: 啟用 停用
允許退出卸除式 NTFS 媒體
安全性目標:將帳戶設為允許從電腦退出卸除式 NTFS 媒體。
電腦設定:原則中定義的帳戶: _
中斷工作階段前,要求的閒置時間
安全性目標:設定「伺服器訊息區」(SMB) 工作階段因沒有動作而中斷連線之前,必須經過的連續閒置時間量。
電腦設定:_ 分鐘
登入時間到期時,自動登出使用者
安全性目標:此設定啟用後,當連線到本機電腦的使用者超過其使用者帳戶的有效登入時數時,系統將會中斷其連線。只能在 DC 上設定。
電腦設定: 啟用 停用
登入時間到期時,自動登出使用者 (本機)
安全性目標:此設定啟用後,當連線到本機電腦的使用者超過其使用者帳戶的有效登入時數時,系統將會中斷其連線。
電腦設定: 啟用 停用
系統關閉時清除虛擬記憶體分頁檔
安全性目標:決定系統關機時是否應清除虛擬記憶體分頁檔。
電腦設定: 啟用 停用
數位簽章用戶端的通訊 (自動)
安全性目標:決定電腦是否永遠會以數位方式簽署用戶端通訊。
電腦設定: 啟用 停用
數位簽章用戶端的通訊 (可能的話)
安全性目標:啟用此設定後,SMB 用戶端只會在有啟用或需要執行 SMB 封包簽章的 SMB 通訊時,才會執行 SMB 封包簽署。
電腦設定: 啟用 停用
數位簽章伺服器的通訊 (自動)
安全性目標:啟用此設定後,SMB 伺服器就必須執行 SMB 封包簽署。
電腦設定: 啟用 停用
數位簽章伺服器的通訊 (可能的話)
安全性目標:啟用此設定後,SMB 伺服器在必要時必須執行 SMB 封包簽署。
電腦設定: 啟用 停用
登入停用 CTRL+ALT+DEL 要求
安全性目標:決定使用者登入前是否必須按下 CTRL+ALT+DEL。
電腦設定: 啟用 停用
不要在登入畫面顯示上次登入的使用者名稱
安全性目標:決定 Windows 登入畫面中是否要顯示上次登入電腦的使用者名稱。
電腦設定: 啟用 停用
LAN Manager 驗證層級
安全性目標:決定網路登入所使用的挑戰/回應驗證通訊協定。
電腦設定:選取的選項: __
給登入使用者的訊息本文
安全性目標:指定在使用者登入時,畫面顯示的文字訊息。
電腦設定:訊息本文: _
_
_
給登入使用者的訊息標題
安全性目標:指定向企圖登入使用者顯示的標題,此標題位於訊息本文視窗的標題列上。
電腦設定:訊息標題: __
先前網域控制站無法使用時的登入快取次數
安全性目標:決定使用者可以使用快取帳戶資訊來登入 Windows 網域的次數。
電腦設定:快取:_ 次登入
防止電腦帳戶密碼的系統維護
安全性目標:決定是否要禁止每週重設電腦帳戶密碼。如果啟用此原則,便可防止電腦每週要求變更密碼。
電腦設定: 啟用 停用
防止使用者安裝印表機驅動程式
安全性目標:決定是否要禁止使用者群組的成員安裝印表機驅動程式。
電腦設定: 啟用 停用
在密碼過期前提示使用者變更密碼
安全性目標:決定 Windows 2000 要在多久之前警告使用者其密碼即將過期。
電腦設定:_
修復主控台:允許自動系統管理登入
安全性目標:如果設定此原則,「修復主控台」便不會要求提供密碼,並且將自動登入系統。
電腦設定: 啟用 停用
修復主控台:允許軟碟複製以及存取所有磁碟和所有資料夾
安全性目標:啟用此選項將會啟動「修復主控台」SET 命令。
電腦設定: 啟用 停用
重新命名系統管理員帳戶
安全性目標:將其他帳戶名稱關聯到「系統管理員」帳戶的安全性識別元 (SID)。
電腦設定:新帳戶名稱: __
重新命名來賓 (Guest) 帳戶
安全性目標:將其他帳戶名稱關聯到「來賓」帳戶的安全性識別元 (SID)。電腦設定:新帳戶名稱: __
CD-ROM 存取只限於登入本機的使用者
安全性目標:啟用此原則後,只有互動式登入的使用者允許存取卸除式 CD-ROM 媒體。
電腦設定: 啟用 停用
軟碟機存取只限於登入本機的使用者
安全性目標:啟用此原則後,只有互動式登入的使用者允許存取卸除式軟碟機媒體。
電腦設定: 啟用 停用
安全通道:安全通道資料加以數位加密或簽章 (自動)
安全性目標:如果啟用此原則,所有傳出的安全通道流量都必須予以簽署或加密。
電腦設定: 啟用 停用
安全通道:安全通道資料加以數位加密或簽章 (可能的話)
安全性目標:如果啟用此原則,所有傳出的安全通道流量都應予以加密。
電腦設定: 啟用 停用
安全通道:安全通道資料加以數位簽章 (可能的話)
安全性目標:如果啟用此原則,所有傳出的安全通道流量都應予以簽署。
電腦設定: 啟用 停用
安全通道:要求增強式 (Windows 2000 或更新) 工作階段索引鍵
安全性目標:如果啟用此原則,所有傳出的安全通道流量都將要求增強式 (Windows 2000 或更新) 加密金鑰。
電腦設定: 啟用 停用
傳送未加密的密碼以連接到協力廠商的 SMB 伺服器
安全性目標:啟用後,即可允許 SMB 重新導向程式將純文字密碼傳送到在驗證過程中不支援密碼加密的非 Microsoft SMB 伺服器。
電腦設定: 啟用 停用
當無法記錄安全性稽核時,系統立即關機
安全性目標:決定當系統無法記錄安全性事件時,是否應立即關機。
電腦設定: 啟用 停用
智慧卡移除操作
安全性目標:決定當登入使用者的智慧卡從智慧卡讀取裝置移除時,發生的後續動作。電腦設定: __
加強通用系統物件的預設權限 (例如:符號連結)
安全性目標:啟用此原則可加強預設 DACL,使非系統管理員使用者能夠讀取共用物件,但無法修改不是自己建立的共用物件。
電腦設定: 啟用 停用
未簽署的驅動程式安裝操作
安全性目標:決定當嘗試安裝未經 Windows 硬體品質實驗室認證的裝置驅動程式時發生的後續動作。
電腦設定: __
未簽署的非驅動程式安裝操作
安全性目標:決定當嘗試安裝未經認證的非裝置驅動程式軟體時的後續動作。
電腦設定: __
事件日誌
事件日誌的設定
應用程式記錄檔大小最大值
安全性目標:指定應用程式記錄的大小上限。
電腦設定:__ KB
安全性記錄檔大小最大值
安全性目標:指定安全性事件日誌的大小上限。
電腦設定:__ KB
系統記錄檔大小最大值
安全性目標:指定系統事件日誌的大小上限。
電腦設定:__ KB
限制來賓存取應用程式記錄檔
安全性目標:啟動後將禁止匿名使用者存取應用程式事件日誌。此原則選項不適用於獨立 Windows 2000 Professional 與 Server 作業系統。
電腦設定: 啟用 停用
限制來賓存取安全性記錄檔
安全性目標:啟動後將禁止匿名使用者存取安全性事件日誌。此原則選項不適用於獨立 Windows 2000 Professional 與 Server 作業系統。
電腦設定: 啟用 停用
限制來賓存取系統記錄檔
安全性目標:啟動後將禁止匿名使用者存取系統事件日誌。此原則選項不適用於獨立 Windows 2000 Professional 與 Server 作業系統。
電腦設定: 啟用 停用
應用程式記錄保留天數
安全性目標:當應用程式記錄檔的保留方式是「以天數計」時,此選項可決定應用程式記錄檔保留事件的天數。
電腦設定:_
安全性記錄保留天數
安全性目標:當安全性記錄檔的保留方式是「以天數計」時,此選項可決定安全性記錄檔保留事件的天數。
電腦設定:_
系統記錄保留天數
安全性目標:當系統記錄檔的保留方式是「以天數計」時,此選項可決定系統記錄檔保留事件的天數。
電腦設定:_
應用程式記錄保持方法
安全性目標:決定應用程式記錄檔的「包裝」方式。
電腦設定: _
安全性記錄保持方法
安全性目標:決定安全性記錄檔的「包裝」方式。
電腦設定: _
系統記錄保持方法
安全性目標:決定系統記錄檔的「包裝」方式。
電腦設定: _
安全性稽核記錄檔已滿時關閉電腦
安全性目標:使用「當無法記錄安全性稽核時,系統立即關機」來取代此原則設定。
電腦設定: _
系統服務
啟用的服務 安全性目標:只提出必要的服務。
警訊器服務 網路連線
自動更新 NTLM 安全性支援提供者
幕後智慧型傳送服務 隨插即用
COM+ 事件系統 列印多工緩衝處理器
電腦瀏覽器 受保護的存放裝置
DHCP 用戶端 遠端程序呼叫 (RPC)
DHCP 伺服器 遠端登錄服務
分散式檔案系統 (DFS) 卸除式存放裝置
散佈式連結追蹤用戶端 RunAs 服務
散佈式連結追蹤伺服器 安全性帳戶管理員
DNS 用戶端 伺服器服務
DNS 伺服器 系統事件通知
事件日誌 工作排程器
檔案複寫服務 TCP/IP NetBIOS Helper Service
Internet Information Services (IIS) 系統管理服務(僅在 Web 伺服器上) 電話語音
索引服務(僅在需要檔案索引的系統上) Windows Management Instrumentation
站台間訊息處理 Windows Management Instrumentation 驅動程式延伸
IPSec 原則代理程式 Windows 時間
Kerberos 金鑰發佈中心 工作站
使用權記錄 World Wide Web 發行服務、Simple Mail Transport 服務、NNTP 服務及 FTP 服務「只能」在真正的 IIS 伺服器上啟用。請務必在所有其他電腦上停用或解除安裝這些服務。
邏輯磁碟管理員
邏輯磁碟管理員系統管理服務
信差
Net Logon
停用的服務 安全性目標:下列預設服務可以停用。
應用程式管理 遠端存取自動連線管理員
剪貼簿 遠端存取連線管理員
Distributed Transaction Coordinator 遠端程序呼叫 (RPC) 定位程式
傳真服務 路由及遠端存取
FTP 發行服務 RunAs 服務
IIS 管理服務 Simple Mail Transport Protocol (SMTP)
索引服務 智慧卡
網際網路連線共用(支援 NAT)智慧卡協助程式
Microsoft NetMeeting® 遠端桌面共用 SNMP 服務
網路 DDE SNMP 設陷服務
網路 DDE DSDM SMTP
效能記錄及警示 Telnet
QoS RSVP 終端機服務
不斷電供應系統
公用程式管理員
Windows Installer
World Wide Web 發行服務
其他登錄設定
選擇性的子系統
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager格式值
機碼:SubSystems
值名稱: Optional REG_MULTI_SZ
安全性目標:限制電腦上安裝的子系統。
電腦設定: _
限制 Null 工作階段存取
HKLM\SYSTEM\ CurrentControlSet\Services\LanmanServer格式值
機碼:Parameters
值名稱: RestrictNullSessAccess REG_DWORD
安全性目標:限制經由 Null 工作階段的具名管道與共用的存取。
電腦設定: _
Null 工作階段可存取具名管道
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer格式值
機碼:Parameters
值名稱: NullSessionPipes REG_MULTI_SZ
安全性目標:允許經由 Null 工作階段來存取特定的具名管道結束點。
注意:除非 Null 工作階段存取受限,否則此設定沒有任何影響。電腦設定: _
Null 工作階段可存取共用
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer格式值
機碼:Parameters
值名稱: NullSessionPipes REG_MULTI_SZ
安全性目標:允許經由 Null 工作階段來存取特定共用。
注意:除非 Null 工作階段存取受限,否則此設定沒有任何影響。電腦設定: _
從瀏覽清單中隱藏電腦
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer格式值
機碼:Parameters
值名稱: hidden REG_DWORD
安全性目標:從電腦瀏覽清單隱藏電腦。
注意:此設定無法禁止攻擊者取得網路資源清單,除非 Null 工作階段存取受限。
電腦設定: _
移除預設的 IPSEC 豁免事項
HKLM\SYSTEM\CurrentControlSet\Services格式值
機碼: IPSEC
值名稱: NoDefaultExempt REG_DWORD
安全性目標:防止攻擊者利用移植攻擊來源的方法來規避 IPSEC 原則。
電腦設定: _
變更 DLL 搜尋順序
HKLM\SYSTEM\CurrentControlSet\Control格式值
機碼:Session Manager
值名稱: SafeDllSearchMode REG_DWORD
安全性目標:避免發生系統 DLL 的詐騙。
電腦設定: _
防止來自應用程式產生之輸入的工作階段鎖定干擾
HKCU\Software\Policies\Microsoft\Windows\ Control Panel格式值
機碼:Desktop
值名稱: BlockSendInputResetsREG_SZ
注意:必須配合此機碼來設定適當的螢幕保護程式設定,之後才能發揮效用,這點很重要。必要的螢幕保護程式設定如下:
選取螢幕保護程式
密碼保護
螢幕保護程式逾時期間
若未正確設定螢幕保護程式,則基本上此功能無法對電腦的整體安全性產生功效。電腦設定
當稽核記錄檔的閾值百分比已滿時,產生稽核事件
HKLM\SYSTEM\CurrentControlSet\Services\ Eventlog格式值
機碼:Security
值名稱: WarningLevelREG_DWORD
(此值可能會加以編輯以符合本機需求)。
鞏固 TCP/IP 堆疊以對抗拒絕服務攻擊
HKLM\SYSTEM\CurrentControlSet\Services\ Tcpip格式值
機碼:Parameters
值名稱: DisableIPSourceRoutingREG_DWORD
機碼:Parameters
值名稱: EnableDeadGWDetectREG_DWORD
機碼:Parameters
值名稱: EnableICMPRedirectREG_DWORD
機碼:Parameters
值名稱: EnablePMTUDiscoveryREG_DWORD
機碼:Parameters
值名稱: EnableSecurityFiltersREG_DWORD
機碼:Parameters
值名稱: KeepAliveTimeREG_DWORD
機碼:Parameters
值名稱: NoNameReleaseOnDemandREG_DWORD
機碼:Parameters
值名稱: PerformRouterDiscoveryREG_DWORD
機碼:Parameters
值名稱: SynAttackProtectREG_DWORD
機碼:Parameters
值名稱: TcpMaxConnectResponseRetransmissionsREG_DWORD
機碼:Parameters
值名稱: TcpMaxConnectRetransmissionsREG_DWORD
機碼:Parameters
值名稱: TcpMaxDataRetransmissionsREG_DWORD
機碼:Parameters
值名稱:TCPMaxPortsExhaustedREG_DWORD
檢閱時間服務驗證
HKLM\SYSTEM\CurrentControlSet\Services\W32Time格式值
機碼:Parameters
值名稱: typeREG_SZ
安全性目標:確定系統是使用通過驗證的時間服務來執行作業。
電腦設定: _
停用建立 LMHash
HKLM\SYSTEM\CurrentControlSet\Control格式值
機碼:Lsa\NoLM Hash
值名稱:不拘 (此設定為機碼而非值)。不適用
安全性目標:防止產生孱弱 LM 雜湊,從而增強系統對密碼破解的抵抗力。
電腦設定: _
停用自動執行
HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Policies格式值
機碼: Explorer
值名稱: NoDriveTypeAutoRunREG_DWORD
LDAP BIND 命令要求的 LDAP 伺服器處理
HKLM\System\CurrentControlSet\Services\ NTDS格式值
機碼: Parameters
值名稱: LdapServerIntegrityREG_DWORD
稽核記錄檔已滿時產生系統管理警告
HKLM\SYSTEM\CurrentControlSet\Services\ Alerter格式值
機碼:Parameters
值名稱: AlertNames REG_MULTI_SZ
注意:系統管理警告需依賴「警訊器」和「信差」服務。請確定來源電腦上有執行「警訊器」服務,且接收電腦上有執行「信差」服務
加強 NTLM SSP
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA格式值
機碼:Advanced
值名稱:WebViewREG_DWORD
安全性目標:禁止惡意的本機內容自動執行。
電腦設定: _
加強 NTLM SSP
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA格式值
機碼:MSV1_0
值名稱: NtlmMinClientSec & NtlmMinServerSecREG_DWORD
安全性目標:禁止惡意的本機內容自動執行。
電腦設定: _

回到頁首