虽然本指南论述了许多安全对策和安全设置,了解某些安全对策和安全设置尤其重要。本附录着重论述这些设置,您最好参考有关阐述设置可以做些什么以及为什么设置很重要的相关章节。 要在此列表中包括哪些设置可能是广受争议的主题。事实上,Microsoft 内部的一组安全专家已针对此主题讨论了很长时间。您可能觉得缺少某些设置,或者表上的某些设置并不需要列出。每个组织的环境迥然相异,有着独特的业务需求,因此应该考虑有关安全问题的不同观点。该列表仍可以帮助您优先考虑与强化运行 Microsoft® Windows® 的计算机相关的任务。 非安全设置的重要对策包括: | • | 通过用于测试和部署的自动化工具提供的 Service Pack 和修补程序,使计算机保持最新。 | | • | 安装和配置分布式防火墙软件或组织 IPsec 策略。 | | • | 部署和维护防病毒软件。 | | • | 在用于浏览网站的计算机上部署和维护防间谍软件。 | | • | 使用非管理帐户执行日常任务。您应该仅使用具有管理员特权的帐户来执行需要提升特权的任务。 |
Microsoft Windows 中可用的关键安全设置包括: | • | 密码策略,在第 3 章“域策略”中进行论述。 | • | 强制密码历史 | | • | 密码最长使用期限 | | • | 密码长度最小值 | | • | 密码必须符合复杂性要求 | | • | 用可还原的加密来存储密码(针对域中的所有用户) |
| | • | 用户权限,在第 4 章“成员服务器基准策略”中进行论述。 | • | 从网络访问此计算机 | | • | 以操作系统方式操作 | | • | 允许在本地登录 | | • | 通过终端服务允许登录 |
| | • | 安全选项,在第 4 章“成员服务器基准策略”中进行论述。 | • | 帐户:使用空白密码的本地帐户只允许进行控制台登录 | | • | 域成员:对安全通道数据进行数字加密或签名(总是) | | • | 域成员:对安全通道数据进行数字加密(如果可能) | | • | 域成员:对安全通道数据进行数字签名(如果可能) | | • | 域成员:需要强(Windows 2000 或以上版本)会话密钥 | | • | 网络访问:允许匿名 SID/名称转换 | | • | 网络访问:不允许 SAM 帐户的匿名枚举 | | • | 网络访问:不允许 SAM 帐户和共享的匿名枚举 | | • | 网络访问:让每个人 (Everyone) 权限应用于匿名用户 | | • | 网络访问:可远程访问的注册表路径 | | • | 网络访问:限制匿名访问命名管道和共享 | | • | 网络访问:可匿名访问的共享 | | • | 网络访问:本地帐户的共享和安全模式 | | • | 网络安全:不要在下次更改密码时存储 LAN Manager 的哈希值 | | • | 网络安全:LAN Manager 身份验证级别 |
| | • | 其他注册表设置,在第 4 章“成员服务器基准策略”中进行论述。 |
| 
