组策略安全设置(下),组策略安全设置(下)
【 tulaoshi.com - 网络基础知识 】
[本站原创]三、安全设置之本地策略
从网络访问此计算机:这主要是确认哪些用户和组能够通过网络连接到该计算机。默认情况下管理员、备份操作员、高级用户、用户、每个人,应该说允许访问的用户是非常广的!在实际的使用过程中如果对安全级别要求比较高的话,就可以将除管理员组(Administrators)之外的所有组都删除。
友情提醒1:若局域网内有Windows 98的计算机要访问Windows XP,就需要我们保留Everyone组从网络访问计算机的权限。
友情提醒2:与网络访问此计算机权限相应的是在用户权利指派下还有一项是“拒绝从网络访问这台计算机”,在这里我们可以添加拒绝访问的用户或组。可能有朋友要问如果在允许和拒绝访问中都添加了相同的用户或组,那么以哪一个为准呢?在Windows操作系统中,有一项原则,即“拒绝大于一切”,应用到这里,也就是以拒绝操作为准!
更改系统时间:系统内置的时间可以提醒我们查看当前的时间,但是如果每个人都能修改这样的时间那就可能导致系统时间发生混乱!这样我们就不能将更改系统时间的权限分配给所有用户,双击“更改系统时间”,将除Administrators组之外的所有组都删除!这样别人就不可以再随便改变系统时间设置了。
通过终端服务允许登录:在Windows 2000/xp中,为我们提供了终端服务。为我们远程访问和调试提供了很大的方便,但是这也给我们带来了安全上的隐患。为了排除这方面的隐患,我们可以将一些可有可无的用户和组都删除。只保留必须使用的访问用户!有必要的话可以新建一个组,将用于终端访问的用户都添加进该组,然后再将该组添加进允许终端访问服务。与拒绝从网络访问这台计算机相似,针对终端服务同样有“通过终端服务拒绝登录”设置一项,在这里就可以设置拒绝通过终端服务
安全选项
在安全选项中中有很多针对帐户、网络访问、关机、设备、交互式登录等项目的设置,正确设置这些安全选项有助于我们提高安全方面的设置。
在挂起会话之前所需的空闲时间:这主要是确定在没有会话即计算机不活动多长时间即被挂起,其时间范围为0到99999分钟,如果值为设置为0那么说 在可能的情况下要尽快断开空闲的会话;而若设置为99999则相当于禁用该策略。这个时间主要根据自己网络服务器的会话频繁程度来进行长短时间的设置(图11)。
来源:http://www.tulaoshi.com/n/20160129/1497234.html
