实验环境:Windows 2000 Server 升级为域控制器
实验工具:GPResult.exe
相关知识:第4章 强化Windows安全
时间:30分钟
实验步骤:
1、安装Active Directory,提升本机为域控制器。
2、打开Active Directory用户和计算机(MMC管理界面)
3、所在域的『属性』——『组策略』——编辑默认的组策略
4、『计算机配置』——『Windows设置』——『安全设置』——『帐户策略』——『密码策略』
设定:密码长度不少于8个字符、短存留期1~7天、长存留期少于42天,密码历史6个记住的密码。
5、『安全设置』——『本地策略』——『审核策略』、『用户权限指派』、『安全选项』
审核系统登录事件 成功、失败
审核账户管理 成功、失败
审核登录事件 成功、失败
审核对象访问 成功
审核策略更改 成功、失败
审核特权使用 成功、失败
审核系统事件 成功、失败
屏幕不允许显示上次登录的用户名;
对匿名连接的额外限制:不允许枚举SAM账户和共享;
对全局系统对象访问的审计:启用
重命名来宾和管理员账户。
6、禁止发送明文密码
发送未加密的密码到第三方SMB服务器:停用
7、运行secedit /refreshpolicy machine_policy 立即更新组策略
8、允许在故障恢复控制台对软盘的复制
故障恢复控制台:允许对所有驱动器和文件进行软盘复制和访问:已启用
secedit /refreshpolicy /machine_policy
set allow RemoveableMedia=TRUE
9、安装Windows Server 2000 Resource Kit,检查组策略
Gpresult [/V] [/S] [/C] [/U]
/V Verbose mode
/S Super Verbose mode
/C Computer setting only
/U User setting only