[本站原创]三、安全设置之本地策略

　　在安全设置之中另外一大项设置是本地策略。在该项下面又分为审核策略、用户权利指派、安全选项等项，每一小项又包含一些具体的设置策略！下面我们接着向大家介绍这些设置中的一些重要项目！

　　审核策略

　　在审核策略下面一共有九项具体的审核设置，包括了登录事件、系统事件、帐户管理等！每一项具体的审核都有成功和失败两项。默认情况下这些策略都是无审核的！虽然它们位于安全设置下面，但是这些审核对于普通用户来说并没有太多的作用，当然如果　　各位读者觉得有必要的话，可以根据自己的需要有选择的审核这些策略！本文在这里就不再作具体的介绍。

　　用户权利指派

　　这可是一项比较重要的配置，它涉及到系统中所有用户所具备的权限分配情况，针对某一用户，给予太大的权利，可能导致它“滥用职权”，赋予的权限小了，做起来来却又“束手束脚”，因此只有根据需要为用户设置确当的权限才能使系统更加安全。

　　备份文件和目录：在默认情况下具有备份文件和目录权限的用户组是Administrators和Backup Operators，即管理员组和备份操作员组中的用户。这是系统给出的默认权限设置。如果我们使用的是个人操作系统，并不是所谓的服务器，或者仅仅是一台小型服务器，其中用户的分工根本就没有这么细，绝大部分的管理工具都是由Administraor（即管理员）完成的，因此此时我们仍然将备份操作员组添加进来就显的多余了，这个时候我们就需要选中“Backup Operators”，（图10）按下“删除”按钮取消该组成员的备份文件和目录的权限。

图１０

　　从网络访问此计算机：这主要是确认哪些用户和组能够通过网络连接到该计算机。默认情况下管理员、备份操作员、高级用户、用户、每个人，应该说允许访问的用户是非常广的！在实际的使用过程中如果对安全级别要求比较高的话，就可以将除管理员组（Administrators）之外的所有组都删除。

　　友情提醒1：若局域网内有Windows 98的计算机要访问Windows XP，就需要我们保留Everyone组从网络访问计算机的权限。

　　友情提醒2：与网络访问此计算机权限相应的是在用户权利指派下还有一项是“拒绝从网络访问这台计算机”，在这里我们可以添加拒绝访问的用户或组。可能有朋友要问如果在允许和拒绝访问中都添加了相同的用户或组，那么以哪一个为准呢？在Windows操作系统中，有一项原则，即“拒绝大于一切”，应用到这里，也就是以拒绝操作为准！

　　更改系统时间：系统内置的时间可以提醒我们查看当前的时间，但是如果每个人都能修改这样的时间那就可能导致系统时间发生混乱！这样我们就不能将更改系统时间的权限分配给所有用户，双击“更改系统时间”，将除Administrators组之外的所有组都删除！这样别人就不可以再随便改变系统时间设置了。

　　通过终端服务允许登录：在Windows 2000/xp中，为我们提供了终端服务。为我们远程访问和调试提供了很大的方便，但是这也给我们带来了安全上的隐患。为了排除这方面的隐患，我们可以将一些可有可无的用户和组都删除。只保留必须使用的访问用户！有必要的话可以新建一个组，将用于终端访问的用户都添加进该组，然后再将该组添加进允许终端访问服务。与拒绝从网络访问这台计算机相似，针对终端服务同样有“通过终端服务拒绝登录”设置一项，在这里就可以设置拒绝通过终端服务

　　安全选项

　　在安全选项中中有很多针对帐户、网络访问、关机、设备、交互式登录等项目的设置，正确设置这些安全选项有助于我们提高安全方面的设置。

　　在挂起会话之前所需的空闲时间：这主要是确定在没有会话即计算机不活动多长时间即被挂起，其时间范围为0到99999分钟，如果值为设置为0那么说 在可能的情况下要尽快断开空闲的会话；而若设置为99999则相当于禁用该策略。这个时间主要根据自己网络服务器的会话频繁程度来进行长短时间的设置（图11）。

　图１１


　　允许在未登录前关机：在早上一到办公室的时候，我们大多习惯先接通计算机电源，然后再过去处理其它事情。有的时候事情比较多，就忘记登录计算机，这样让计算机一直处于未登录状态，待自己要关闭计算机时才发现还未登录。这个时候还必须先登录计算机，然后再执行关机操作。于是就想如果能够在未登录就可以执行关闭计算机的操作该有多好啊。而在安全选项中就为我们提供了这样的设置，双击“关机：允许在未登录前关机”然后将其设置为“已启用”即可（图12）



　　图１２


　　不显示上次的用户名：为了避免让下次登录的用户知道前一次是哪一个用户使用了计算机，我们可以设置不显示上次登录的用户名，在安全选项下双击“交互式登录：不显示上次的用户名”，在打开的策略配置对话框中设置为已启用，这样就可以达到隐藏前次登录用户名的作用了。

　　未签名驱动程序的安装操作：在Windows 2000/xp之中，操作系统提供了签名驱动程序，只有经过Microsoft认证的驱动程序系统才认为是合法的！但是微软公司不可能认证所有的驱动程序，这样就产生了矛盾。这怎么办呢？没有关系，在安全选项中为我们提供了针对未签名的驱动程序所执行什么样的操作选项。在安全选项的右侧双击“设备：未签名驱动程序的安装操作”，在打开的策略设置对话框中一共为我们提供了三种选择：默认继续、允许安装但发出警告、禁止安装，在这里我们通常建议大家选择“允许安装但发出警告”（图13）的能够让我们在安装驱动的过程中知道哪些是未签名的！



　　图１３


　　只有本地登录的用户才能访问CD-ROM：为了避免非本地登录的用户访问光驱，我们可以设置只有本地登录的用户才能访问CD-ROM。双击“设备：只有本地登录的用户才能访问CD-ROM”项，将其设置为“已启用”。类似的操作我们还可以应用在软盘上，双击“设备：只有本地登录的用户才能访问软盘”，同样将该策略设置为“已启用”，这样就是非本地登录的用户将不能使用软盘。

　　管理员帐户状态：在Windows XP之中。默认情况下我们是不能以Administrator登录的，这样我们就可以来设置管理员帐户的状态，双击“帐户：管理员帐户状态”，将其设置为“已启用”，另外还有一项是针对来宾帐户状态的，我们可以将其设置为“已停用”。

　　友情提醒：为了保证已启用的管理员帐户更加安全，我们可以将Administrator帐户改名，双击“帐户：重命名系统管理员帐户”，打开重命名窗口，将原来的名称删除，重新输入一个不起眼的名称（图14），这样在一般情况下别人很难判断出该用户就是管理员身份，有效的保证了系统的安全。



　　图１４

　　针对Windows XP 的安全设置在组策略中仍然还有其它一些设置项目，在这里我们不可能向大家一一列举，各位读者可以根据自己的需要进行设置。另外还有一点需要提醒的各位读者的是在这里所进行的安全设置都是针对计算机配置的，也就是说这里所进行的策略修改将影响到登录计算机的所有用户！