Windows最需要监听的五项安全设置

　　本文中，我们将仔细研究windows系统中的5种比较重要的安全设置。监听这些设置能够保证你的系统处在最高安全级别。

　　Windows系统环境的安全性经常在变化，不管你的电脑是新组装的还是已经运行了数年的，它很有可能不符合你所在机构要求的安全标准。你需要对电脑进行内部的或者外部的监听才能找到那些不正确的安全设置。如果时间紧迫的话，你可以主要监听对Windows Active Directory目录服务器来说最为关键的几个安全设置。我们将在下面的文章中详细介绍这5个比较重要的安全设置。

　　Windows Active Directory 目录服务的安全性

　　我可以说出选择这些安全设置的数个理由。第一，正确设置这些安全设置，它可以帮助windows抵抗一些对系统的常规攻击。第二，Windows系统核心中有些默认的安全设置历来都是不安全的。如果不是从一开始就设置好或者定期地检查他们，你可能一直在操作一个又一个带着这些不安全的默认设置的电脑。最后一点，根据我的经验，通常这些设置都被用户忽略，并没有配置正确。即使是那些所谓的安全的，老练的网络也是如此。

　　1 密码策略

　　Active Directory域的初始密码策略是在默认域策略组策略对象（GPO）中配置的。该栏目下有多项设置，应该把这些设置至少设在标准安全级别。你需要对照你的服务器安全策略来决定该设哪些值。如果你们自己的安全策略中没有这些值，你可以参考下表中的推荐值：

　　表 1

　　缺省情况下，这些设置储存在默认域策略GPO中，但不应从那里监听，你应该分析诸如DUMPSEC或者域控制器的本地安全策略（在域控制器上运行GPEDIT.MSC）这样的工具。DUMPSEC将不收集密码的复杂要求，它通过其他途径来收集该信息。本地安全策略能够提供监听这些设置的所有信息。

　　2 帐户拒绝登陆策略

该策略在用户忘记密码的时候起作用。当然，为了阻止入侵者猜密码或者强制攻击这些密码，最好确保该设置与你的其他安全策略一起使用。如果你的安全策略中没有定义这些设置，下表给出了对这些设置来说最实用的值。

　　表 2

　　默认情况下，这些设置储存在默认域策略GPO中，但不是在那里监听，应该分析诸如DUMPSEC或者域控制器的本地安全策略（在域控制器上运行GPEDIT.MSC）这样的工具。