如何配置Windows服務(wù)器本地安全策略?

責(zé)任編輯:editor005

作者:Brien Posey

2016-06-02 14:49:01

摘自:TechTarget中國

摘要:企業(yè)組織通常依賴組策略設(shè)置來保護及配置新的服務(wù)器。即便如此,為每個服務(wù)器配置本地安全策略也是同樣重要的。要根據(jù)每個組織實際情況來選擇最適合的審核配置,建議按照以下每步操作來配置審核日志:

企業(yè)組織通常依賴組策略設(shè)置來保護及配置新的服務(wù)器。即便如此,為每個服務(wù)器配置本地安全策略也是同樣重要的。

Windows Server本地安全策略與Active Directory組策略有些相似,但是,前者可以在不依賴Active Directory前提下依舊提供保護功能。如果有人想要將服務(wù)器從域中分離出來,亦或者使用本地賬戶進(jìn)入服務(wù)器中,服務(wù)器本地安全策略便可以起到保護作用。本地安全策略的優(yōu)點在于,策略設(shè)置通常與策略設(shè)置樹在同一個位置,形成策略組合。這樣解釋很籠統(tǒng),因此本文將列舉一些本地服務(wù)器級別的配置項目清單。

防火墻

需要配置及啟動服務(wù)器防火墻。當(dāng)我們使用第三方防火墻時,應(yīng)該按照供應(yīng)商提供的說明進(jìn)行操作??梢酝ㄟ^本地安全策略來配置Windows防火墻:Security Settings Windows Firewall with Advanced Security Windows Firewall with Advanced Security – Local Group Policy Object,詳細(xì)操作如圖1所示。

圖1. 通過本地安全策略配置Windows防火墻

  圖1. 通過本地安全策略配置Windows防火墻

系統(tǒng)服務(wù)

另外一種不錯的方法是,停用所有不必要的系統(tǒng)服務(wù)。這樣做可以提高服務(wù)器性能和安全性。不同的組織環(huán)境對應(yīng)不同的服務(wù)禁用情況,但是管理人員應(yīng)該停用服務(wù)器上一切沒有價值的服務(wù)。例如,許多公司已經(jīng)不再使用Windows搜索服務(wù)。

一般使用了Service Control Manager,我們就不再會使用系統(tǒng)服務(wù),但是根據(jù)Windows不同的版本,管理人員或許也會通過本地安全策略來控制系統(tǒng)服務(wù)。如果可行,可以進(jìn)行以下設(shè)置:Computer Configuration Windows Settings Security Settings System Services。

設(shè)置補丁管理

即便我們通過Windows服務(wù)器更新服務(wù)或者第三方補丁管理方案也可以解決域級別的補丁管理問題,但是仍建議將其配置在本地安全策略中。即使服務(wù)器有可能與域分離,但是這樣做卻可以保證服務(wù)器可以繼續(xù)接受補丁信息。補丁管理具體設(shè)置如下:Computer Configuration Administrative Templates Windows Components Windows Update。

遠(yuǎn)程桌面服務(wù)

本地安全策略的另外一項配置是遠(yuǎn)程桌面服務(wù)。遠(yuǎn)程桌面服務(wù)可以通過一種遠(yuǎn)程管理會話來管理服務(wù)器。通過在本地安全策略級別中配置遠(yuǎn)程服務(wù)管理,即使當(dāng)域連接失敗時,管理人員也可以進(jìn)行遠(yuǎn)程管理操作。本地安全策略設(shè)置通過如下操作控制遠(yuǎn)程桌面服務(wù):Computer Configuration Administrative Templates Windows Components Remote Desktop Services。

設(shè)置審核策略

同樣地,在本地計算機中也應(yīng)該配置審核策略,這樣就可以審核非域登陸、特權(quán)使用以及系統(tǒng)事件。要根據(jù)每個組織實際情況來選擇最適合的審核配置,建議按照以下每步操作來配置審核日志:

登陸賬戶

管理賬戶

變更策略

使用特權(quán)

系統(tǒng)事件

本地安全策略的審核設(shè)置步驟如下:Security Settings Local Policies Audit Policy,具體操作如圖2所示。

圖2. 本地安全策略內(nèi)的審核設(shè)置

  圖2. 本地安全策略內(nèi)的審核設(shè)置

登錄橫幅

另外還有一個不錯的創(chuàng)意,那就是利用本地安全策略在服務(wù)器中設(shè)置一個登錄橫幅。這種橫幅可以顯示登錄提示或者未授權(quán)禁止訪問警告。在本地安全策略中設(shè)置登錄橫幅具體操作如下:Computer Configuration Windows Settings Security Settings Local Policy Security Options??刂频卿洐M幅的策略設(shè)置是Interactive Logon: Message Text for Users Attempting to Log On和Interactive Logon: Message Title for Users Attempting to Log On。

記住,當(dāng)部署新型服務(wù)器時,管理人員并非僅能依靠本地安全策略。還有許多其他適用于操作系統(tǒng)的配置任務(wù)同樣可以在新型服務(wù)器上運行。其中一些任務(wù)或許還可以包含安裝驅(qū)動或者超級監(jiān)控服務(wù),對反惡意軟件起到保護作用,同時也可以部署備份代理。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號