windows vista中的计算机安全
提高计算机安全和变硬操作系统不受攻击的windows vista修改了许多领域的本地计算机上的安全配置。 一些最深远的变化,都与安全性设定为地方政策,可以通过管理活动目录组策略或通过本地组策略。 管理活动目录组策略,你可以使用组策略对象编辑器或组策略管理控制台。 管理地方组策略对本地电脑,你可以进入安全设置使用安全配置管理控制台。 各节的后续讨论,改变审计策略,用户权利指派,安全选项。
航行的审计政策变化
审计政策,是用来收集资料,资源和特权使用。 使审计政策,你可以配置安全伐木跟踪重要的安全事件,如当用户登录到该计算机上或当用户变化帐户设置。
你可以遵循这些步骤,以获取审计策略,在本地安全设置控制台:
-
单击开始,指向所有程序,附件,然后单击运行。
-
型secpol.msc ,在打开文本框中,然后单击确定。
扩大地方政策节点在左窗格,然后单击审计政策节点。
见下表p螺栓概述了默认的审计策略配置中使用的windows xp和windows vista 。 由于该表显示,在windows xp中,审计默认未启用。 在windows vista中,不过,成功的登录都被跟踪,对所有类型的帐户。
比较审计政策,在windows xp和windows vista | 政策 | 默认的安全设置在windows xp | 默认安全设置的windows vista |
|---|
| 审核帐户登录事件 | 没有审计 | 成功 |
| 审核帐户管理 | 没有审计 | 没有审计 |
| 审计目录服务访问 | 没有审计 | 没有审计 |
| 审核登录事件 | 没有审计 | 成功 |
| 审核对象访问 | 没有审计 | 没有审计 |
| 审计政策改变 | 没有审计 | 没有审计 |
| 审核特权使用 | 没有审计 | 没有审计 |
| 审计过程跟踪 | 没有审计 | 没有审计 |
| 审核系统事件 | 没有审计 | 没有审计 |
航行使用权转让的变化
用户权利指派政策确定哪些用户或组可以做一台电脑。 遵循这些步骤,以获取使用权转让的政策,在本地安全设置控制台:
单击开始,指向所有程序,附件,然后单击运行。
型secpol.msc ,在打开文本框中,然后单击确定。
扩大地方政策节点在左窗格,然后单击用户权利指派节点。
如上表所示,默认用户权利有重大变化,到windows xp和windows vista 。 一个关键的原因,这些变化也与用户帐户控制。 用户帐号控制提供了一种新的保护层,为计算机,以确保有真正分离的用户和管理员帐户。 由于用户帐户控制,有很多的变化,以用户权利指派中的windows vista 。
比较使用权转让在windows xp和windows vista | 政策 | 默认的安全设置在windows xp | 安全设置windows vista操作系统 |
|---|
| 获得证书的经理人作为一个值得信赖的来电 | 不适用 | 没有默认设置 |
| 获得这台电脑,从网络 | 每个人,管理者,使用者,电力用户,备份操作 | 每个人,管理者,使用者,经营者的备份 |
| 作为操作系统的一部分 | 没有默认设置 | 没有默认设置 |
| 放入工作站向域名 | 没有默认设置 | 没有默认设置 |
| 调整内存配额的一个过程 | 本地服务,网络服务,系统管理员 | 本地服务,网络服务,系统管理员 |
| 允许登录本地 | 不适用 | 住客人员,管理人员,用户,备份操作 |
| 允许登录通过终端服务 | 管理员,远程桌面用户 | 管理员,远程桌面用户 |
| 备份文件和目录 | 管理员,备份操作 | 管理员,备份操作 |
| 旁路遍历检查 | 每个人,管理者,使用者,电力用户,备份操作 | 每个人,管理者,使用者,经营者的备份 |
| 更改系统时间 | 管理员,电力用户 | 本地服务人员,管理人员 |
| 改变时区 | 不适用 | 本地服务人员,管理人员,用户 |
| 创造一个pagefile | 管理员 | 管理员 |
| 创建一个令牌对象 | 没有默认设置 | 没有默认设置 |
| 建立全球性的物体 | 管理员,互动,服务 | 管理者,服务 |
| 创建永久共享对象 | 没有默认设置 | 没有默认设置 |
| 创建符号链接 | 没有默认设置 | 管理员 |
| 除错程式 | 管理员 | 管理员 |
| 否认获得这台电脑,从网络 | 支持,住客 | 客人 |
| 否认登录为一批就业 | 没有默认设置 | 没有默认设置 |
| 否认登录作为一个服务 | 没有默认设置 | 没有默认设置 |
| 否认登录本地 | 支持,住客 | 客人 |
| 否认登录通过终端服务 | 没有默认设置 | 没有默认设置 |
| 使计算机和用户帐户,以取信于为代表团 | 没有默认设置 | 没有默认设置 |
| 部队关机从远端系统 | 管理员 | 管理员 |
| 产生安全审核。 | 本地服务,网络服务 | 本地服务,网络服务 |
| 冒充客户经过认证 | 管理者,服务 | 管理者,服务 |
| 增加一个过程,工作内容 | 没有默认设置 | 用户 |
| 增加调度优先 | 管理员 | 管理员 |
| 安装和卸载设备驱动程序 | 管理员 | 管理员 |
| 锁定页内存 | 没有默认设置 | 没有默认设置 |
| 登录为一批就业 | 支持下,管理员 | 管理员,备份操作 |
| 日志上作为一个服务 | 网络服务 | |
| 日志局部 | 住客人员,管理人员,用户,电力用户,备份操作 | 不适用 |
| 管理审计和安全日志 | 管理员 | 管理员 |
| 修改一个对象标签 | 不适用 | 没有默认设置 |
| 修改固件环境值 | 管理员 | 管理员 |
| 演出货量维修任务 | 管理员 | 管理员 |
| 剖面单一过程 | 管理员,电力用户 | 管理员 |
| 剖面系统性能 | 管理员 | 管理员 |
| 移除电脑从对接站 | 管理员,用户,电力用户 | 管理员,用户 |
| 代替工艺水平令牌 | 本地服务,网络服务 | 本地服务,网络服务 |
| 恢复文件和目录 | 管理员,备份操作 | 管理员,备份操作 |
| 关闭该系统 | 管理员,用户,电力用户,备份操作 | 管理员,用户,备份操作 |
| 同步目录服务数据 | 没有默认设置 | 没有默认设置 |
| 采取所有权文件或其他物体 | 管理员 | 管理员 |
当你比较一下用户权利指派在windows vista中,以计划分配到windows xp中,你会看到很多变化。 windows vista中被淘汰的电力用户组和现在保持着这个小组只是为了向后兼容,与传统的应用。 因此,电力用户组并没有赋予用户权利,在windows vista的。
windows vista中包括几项新的用户的权益,包括:
获得证书的经理人作为一个值得信赖的来电让使用者或小组,以建立一个值得信赖的连接,以国书经理。 在windows vista中,对认证经理是用来管理用户的全权证书。 一证书是一个协会的所有必要信息登录和认证,就某一台服务器或在某一特定地点,如用户名和密码或证书。 证书提供鉴定及身份证明文件。 例子证书是用户名和密码,智能卡和证书。
允许日志局部允许一个用户或组登录在键盘。 这个用户的权利,是原名登录,并在当地已改名为windows vista中,使的是,现在都允许登录本地和否认日志对本地用户的权利。
改变时区,允许一个用户或组更改时区。 由于用户都享有这一权利,默认情况下,用户可以改变电脑的时候带不使用管理员权限。
在windows vista中,用户或更具体地说,流程开始,由用户现在可以增加工作定为一个过程。 这个变化是很重要的应用软件,这些软件使用标准的用户凭证。 为什么呢? 工作内容的一个过程,是多少物理内存分配给这个进程的作业系统。 windows vista的限制任务应用,可以履行和系统领域,以使他们能在写。 如果用户权限无法使用,以增加工作的一个过程,一个应用运行在标准用户模式下可能失控的记忆。
航行安全选项变化
安全选项启用或禁用安全设置,一台计算机。 遵循这些步骤,以获取安全选项,在本地安全设置控制台:
单击开始,指向所有程序,附件,然后单击运行。
型secpol.msc ,在打开文本框中,然后单击确定。
扩大地方政策节点在左窗格,然后单击安全选项节点。
如上表所示,默认安全选项了很大变化之间的windows xp和windows vista 。 作为与用户权利指派,许多变化,是因为用户帐户控制
比较安全的选择,在windows xp和windows vista | 政策 | 默认的安全设置在windows xp | 安全设置windows vista操作系统 |
|---|
| 帐户:管理员帐户地位 | 不适用 | 使得 |
| 帐户:来宾帐户地位 | 不适用 | 残疾人 |
| 帐户:限本地户口使用空白密码登录控制台只 | 使得 | 使得 |
| 账户:重命名系统管理员帐户 | 管理员 | 管理员 |
| 账户:重命名来宾帐户 | 客人 | 客人 |
| 审计署:审计进入全球体系的物体 | 残疾人 | 残疾人 |
| 审计署:审计使用备份和恢复特权 | 残疾人 | 残疾人 |
| 审核:关闭系统立即如果无法登录的安全审核。 | 残疾人 | 残疾人 |
| dcom的:机器准入限制,在安全描述符定义语言( sddl )语法 | 没有界定 | 没有界定 |
| dcom的:机器启动的限制,在安全描述符定义语言( sddl )语法 | 没有界定 | 没有界定 |
| 搜索:请允许卸除无须登录 | 使得 | 使得 |
| 设备:允许格式化和弹出可移动媒体 | 管理员 | 没有界定 |
| 设备:防止用户安装打印机驱动程序 | 残疾人 | 残疾人 |
| 搜索:限制光盘进入本地登录用户只 | 残疾人 | 没有界定 |
| 搜索:限制软盘进入本地登录用户只 | 残疾人 | 没有界定 |
| 设备:未签名驱动程序安装行为 | 警告但允许安装 | 默默得逞 |
| 域控制器:允许服务器操作,以任务调度 | 没有界定 | 没有界定 |
| 域控制器: ldap服务器签署要求 | 没有界定 | 没有界定 |
| 域控制器:垃圾机器帐户密码的变化 | 没有界定 | 没有界定 |
| 域名委员:数字加密或签名安全通道数据(总是) | 使得 | 使得 |
| 域名委员:数字加密安全通道数据(如果可能) | 使得 | 使得 |
| 域成员:数码签署安全通道数据(如果可能) | 使得 | 使得 |
| 域成员:禁用机器帐户密码的变化 | 残疾人 | 残疾人 |
| 域成员:最大机器帐户密码时代 | 30天 | 30天 |
| 域成员:需要强( windows 2000或更高版本)会话密钥 | 残疾人 | 残疾人 |
| 交互式登录:不显示上次用户名 | 残疾人 | 残疾人 |
| 交互式登录:不需要按ctrl + alt的+ del | 没有界定 | 没有界定 |
| 交互式登录:消息文本对于用户试图登录 | | |
| 交互式登录:消息标题为用户试图登录 | 没有界定 | 没有界定 |
| 交互式登录:一些以前的注册表,以快取(如果是域控制器,是不具备) | 10个新建 | 10个新建 |
| 交互式登录:提示用户更改密码之前到期 | 14天 | 14天 |
| 交互式登录:要求域控制器身份验证解锁工作站 | 残疾人 | 残疾人 |
| 交互式登录:要求智能卡 | 没有界定 | 残疾人 |
| 交互式登录:智能卡清除行为 | 不采取行动 | 不采取行动 |
| 微软网络客户:数字签名通信(总是) | 残疾人 | 残疾人 |
| 微软网络客户:数字签名通信(若服务器同意) | 使得 | 使得 |
| 微软网络客户端:发送未加密的密码,以第三党的smb服务器 | 残疾人 | 残疾人 |
| 微软网络服务器:金额的空闲时间前,必须暂停会议 | 15分钟内 | 15分钟内 |
| 微软网络服务器:数字签署通信(始终) | 残疾人 | 残疾人 |
| 微软网络服务器:数字签名通信(若客户同意) | 残疾人 | 残疾人 |
| 微软网络服务器:断开时,客户登录时间到期 | 使得 | 使得 |
| 网络访问:允许匿名感觉统合失调/名称翻译 | 不适用 | 残疾人 |
| 网络接入:不要让匿名枚举的萨姆帐户 | 使得 | 使得 |
| 网络接入:不要让匿名枚举的萨姆帐户和股票 | 残疾人 | 残疾人 |
| 网络接入:不要让存储的全权证书。净护照网络认证 | 残疾人 | 残疾人 |
| 网络访问:让每个人的权限适用于匿名用户 | 残疾人 | 残疾人 |
| 网络接入:命名管道可以匿名上网 | 该理事会, comnode ,所以sql \质疑, spoolss , llsrpc ,浏览器 | 的sql \质疑, spoolss ,废话, lsarpc ,色,浏览器 |
| 网络接入:远程查阅登记册路径 | (多重路径定义为无障碍) | 没有界定 |
| 网络接入:远程查阅登记册路径和子路径 | 不适用 | 没有界定 |
| 网络访问:限制匿名访问命名管道和股份 | 不适用 | 使得 |
| 网络接入:股票可以匿名上网 | comcfg ,无病存活率元 | |
| 网络接入:共享和安全模式,为本地帐户 | 住客只有-本地用户认证作为嘉宾 | 经典-本地用户认证作为自己 |
| 网络安全:不要储存兰经理散列值对明年密码更改 | 残疾人 | 使得 |
| 网络安全:武力登出时,登录时间到期 | 残疾人 | 残疾人 |
| 网络安全:兰经理认证一级 | 派外勤维修& ntlm反应 | 发送ntlmv2回应 |
| 网络安全: ldap的客户签署要求 | 洽谈签约 | 洽谈签约 |
| 网络安全:最低会议安全ntlm基于过磷酸钙(包括安全rpc )的客户 | 没有最低 | 没有最低 |
| 网络安全:最低会议安全ntlm基于过磷酸钙(包括安全的rpc )服务器 | 没有最低 | 没有最低 |
| 故障恢复控制台:允许自动管理登录 | 残疾人 | 残疾人 |
| 故障恢复控制台:允许软盘复制和获取所有驱动器及所有文件夹 | 残疾人 | 残疾人 |
| 关机:允许系统被关闭,而无须登录 | 使得 | 使得 |
| 关机:明确虚拟内存pagefile | 残疾人 | 残疾人 |
| 系统加密:武力强大的关键,为保护用户的密钥存储在电脑 | 不适用 | 没有界定 |
| 系统加密技术:使用的fips兼容算法加密,散列,并签署 | 残疾人 | 残疾人 |
| 系统对象:默认所有者为对象所造成的成员对管理员组 | 反对造物主 | 反对造物主 |
| 系统对象:要求不敏感案件非windows子系统 | 使得 | 使得 |
| 系统对象:增强默认权限的内部系统对象(例如,符号链接) | 使得 | 使得 |
| 系统设置:可选子系统 | 不适用 | 见posix |
| 系统设置:使用证书规则,在windows可执行文件,为软件的限制政策 | 不适用 | 残疾人 |
| 用户帐号控制:行为海拔迅速为管理员在行政审批方式 | 不适用 | 迅速同意书 |
| 用户帐号控制:行为海拔迅速,为标准使用者 | 不适用 | 为迅速全权证书 |
| 用户帐号控制:检测装置的应用,并迅速为海拔 | 不适用 | 使得 |
| 用户帐户控制:只提升可执行文件有签名和验证 | 不适用 | 残疾人 |
| 用户帐号控制:运行所有管理员在管理员许可模式 | 不适用 | 使得 |
| 用户帐号控制:切换到安全桌面时,提示为海拔 | 不适用 | 使得 |
| 用户帐号控制:虚拟化的文件和注册表写失败,以每位使用者的位置 | 不适用 | 使得 |
一些最重要的安全变动的windows vista也要做符合下列默认设置网络接入和网络安全:
远程注册进入 windows xp中,多重注册路径是从远端进入的默认。 在windows vista中,没有任何地区的书记官都是从远端进入的默认。 这一变化,提高注册安全。 此外, windows vista中包括一个新的安全选项来管理进入注册货郎担。
匿名访问命名管道和股份 windows vista中增加了一个安全的选择,以限制匿名访问命名管道和股票。 这一变化大厦的匿名访问命名管道和股票。
共享和安全模式,为当地户口的 windows xp的默认共享和安全模式,为本地帐户的开放是为了认证本地用户作为来宾。 在windows vista中,本地用户认证作为自己。 这一变化强化安全防护,以确保使用者必须有适当的权限,以获取各方面的档案系统。
存储区域网络经理散列值在windows xp中 ,当一个用户的变化,一个密码,兰经理散列值用来帮助在随后的认证可以储存到电脑上。 windows vista中确保这些散列值都没有储存到电脑上。 这样就提高了安全要求的用户,以获得新的散列值,随时一个密码的改变而改变。
兰经理认证 windows xp中,用户端电脑使用lm和ntlm验证,并从来不使用ntlm版本2届安全。 在windows vista中,客户端计算机使用ntlm第2版认证只,还可以使用ntlm第2版会议安全,如果服务器支持它。 因为ntlm第2版,是更安全,比lm和ntlm ,认证过程,是更加安全的