网络安全系列之三十二 组策略中的安全选项

在Win2003系统中打开组策略编辑器，展开【计算机配置\Windows设置\安全设置\本地策略\安全选项】。通过本地策略中的安全选项，可以控制一些和操作系统安全相关的设置。
下面是一些常用的安全选项策略：

（1）“关机：允许系统在未登录前关机”



正常情况下，用户只有登录到系统后，具有权限的用户才能关机，启用此策略后，登录屏幕上的关机命令可用。

（2）“账户：使用空白密码的本地账户只允许进行控制台登录”



控制台登录就是指在本地按Ctrl+Alt+Del键登录，这项设置启用之后，没设密码的账户就无法通过远程桌面登录或是无法访问网络共享。这项一定要启用，否则会导致严重安全隐患。

（3）“交互式登录：用户试图登录时消息文字”



该安全设置指定用户登录时显示的文本消息，使用该文本通常是出于法律方面的考虑。例如：警告用户不得以任何方式滥用公司信息或者警告用户其操作可能会受到审核。

（4）“交互式登录：用户试图登录时消息标题”



用于设置在“交换式登录：试图登录的用户的消息文本”窗口的标题栏中所显示的信息。

（5）“交互式登录：不显示上次的用户名”
在登录界面中是否显示上次成功登录的用户名，默认禁用，建议设为启用。




（6）“交互式登录：在密码到期前提示用户更改密码”
默认情况下，用户密码42天到期，这项设置决定了在到期之前提前多少天进行提示，默认14天。




（7）“交互式登录：不需要按Ctrl+Alt+Del”
该项设置决定了用户在登录之前是否必须按Ctrl+Alt+Del，建议禁用。




（8）“网络访问：本地账户的共享和安全模式”
该项设置决定了客户端以什么用户的身份来访问当前服务器上的文件共享。
仅来宾，客户端只能以guest的身份访问共享。
经典，客户端可以输入本地用户账号进行身份验证，并具有相应的权限。
默认设置是“经典”，注意如果设为仅来宾，并将guest账号禁用，那么服务器上的共享就无法被访问。





（9）“网络安全：不要在下次更改密码时存储LAN Manager的哈希值”
用户密码在加密存储时采用了LM和NTLM两种方式，LM Hash的安全性比较低，启用该项设置后，就不会再用LM方式加密，可以增强系统安全性。