Windows 2000 默认安全策略设置
表 1:Windows 2000 默认安全策略设置
安全设置
本地安全策略(Professional 和 Server/Adv.Server)
域控制器安全策略
域安全策略
帐户策略
密码策略
强制密码历史
无需记住密码
没有定义
记住 1 个密码
密码最长使用期限
42 天
没有定义
42 天
密码最短使用期限
0 天
没有定义
0 天
最短密码长度
0 个字符
没有定义
0 个字符
密码必须符合复杂性要求
禁用
没有定义
禁用
使用可逆加密来储存密码(针对域中的所有用户)
禁用
没有定义
禁用
帐户锁定策略
帐户锁定时间
没有定义
没有定义
没有定义
帐户锁定阈值
0 次无效登录
没有定义
0 次无效登录
复位帐户锁定计数器
没有定义
没有定义
没有定义
Kerberos 策略
强制实施用户登录限制
(不可用)
(本地默认值为启用)
没有定义
启用
服务票证的最长有效期
(不可用)
(本地默认值为 60 分钟)
没有定义
600 分钟
用户票证的最长有效期
(不可用)
(本地默认值为 7 小时)
没有定义
10 小时
用户票证续订的最长有效期
(不可用)
(本地默认值为 10 天)
没有定义
7 天
计算机时钟同步的最大容差
(不可用)
(本地默认值为 60 分钟)
没有定义
5 分钟
本地策略
审核策略
审核帐户登录事件
无审核
无审核
没有定义
审核帐户管理
无审核
无审核
没有定义
审核目录服务访问
无审核
无审核
没有定义
审核登录事件
无审核
无审核
没有定义
审核对象访问
无审核
无审核
没有定义
审核策略更改
无审核
无审核
没有定义
审核特权使用
无审核
无审核
没有定义
审核过程跟踪
无审核
无审核
没有定义
审核系统事件
无审核
无审核
没有定义
用户权限分配
从网络访问此计算机
Administrators
Backup Operators
Power Users
Users
Everyone
Administrators
Authenticated Users
EveryoneI
USR_W2K-
machinename
IWAM_W2K-
machinename
没有定义
作为操作系统的一部分工作
(空白)
(空白)
没有定义
将工作站添加到域中
(空白)
Authenticated Users
没有定义
备份文件和目录
Administrators
Backup Operators
Administrators
Backup Operators
Server Operators
没有定义
跳过遍历检查
Administrators
Backup Operators
Power Users
Users
Everyone
Administrators
Authenticated Users
Everyone
没有定义
更改系统时间
Administrators
Power Users
Administrators
Server Operators
没有定义
创建页面文件
Administrators
Administrators
没有定义
创建令牌对象
(空白)
(空白)
没有定义
创建永久共享对象
(空白)
(空白)
没有定义
调试程序
Administrators
Administrators
没有定义
拒绝从网络访问此计算机
(空白)
(空白)
没有定义
拒绝作为批处理作业登录
(空白)
(空白)
没有定义
拒绝作为服务登录
(空白)
(空白)
没有定义
拒绝本地登录
(空白)
(空白)
没有定义
使计算机和用户帐户受信任以进行委派
(空白)
Administrators
没有定义
从远程系统强制关机
Administrators
AdministratorsServer Operators
没有定义
生成安全审核
(空白)
(空白)
没有定义
增加配额
Administrators
Administrators
没有定义
增加调度优先级
Administrators
Administrators
没有定义
加载和卸载设备驱动程序
Administrators
Administrators
没有定义
将页锁定在内存中
(空白)
(空白)
没有定义
作为批处理作业登录
(空白)
IUSR_W2K-
machinename
IWAM_W2K-
machinename
没有定义
作为服务登录
(空白)
(空白)
没有定义
在本地登录
Administrators
Backup Operators
Power Users
Users
Machinename/Guest
Machinename/TsInternetUser
(仅用于 Server/Adv.Server)
Administrators
Authenticated Users
Backup Operators
IUSR_W2K-
machinename
Print Operators
Server Operators
TsInternetUser
没有定义
管理审核和安全日志
Administrators
Administrators
没有定义
修改固件环境值
Administrators
Administrators
没有定义
配置单一进程
Administrators
Backup Operators
Administrators
没有定义
配置系统性能
Administrators
Administrators
没有定义
从扩展坞删除计算机
Administrators
Backup OperatorsUsers
Administrators
没有定义
替换进程级令牌
(空白)
(空白)
没有定义
还原文件和目录
Administrators
Backup Operators
Administrators
Backup OperatorsServer Operators
没有定义
关闭计算机
Administrators
Backup Operators
Power Users
Users (仅用于 Professional)
Account Operators
Administrators
Backup Operators
Print Operators
Server Operators
没有定义
同步目录服务数据
(空白)
(空白)
没有定义
取得文件和其他对象的所有权
Administrators
Administrators
没有定义
安全选项
匿名连接的其他限制
无。依赖于默认权限。
没有定义
没有定义
允许服务器操作员计划任务(仅用于域控制器)
没有定义。
没有定义
没有定义
允许在未登录时关闭系统(仅用于域控制器)
启用(仅用于 Professional)
禁用(仅用于 Server/Adv.Server)。
没有定义
没有定义
允许在未登录时关机
启用(仅用于 Professional)
禁用(仅用于 Server/Adv.Server)。
没有定义
没有定义
允许弹出可移动媒体
Administrators
没有定义
没有定义
在断开会话前所需的空闲时间
15 分钟
没有定义
没有定义
对全局系统对象的访问进行审核
禁用
没有定义
没有定义
对备份和还原特权的使用进行审核
禁用
没有定义
没有定义
登录时间到期时自动注销用户
(该选项在独立
Professional、Server 或
Advanced Server 上不可用)
没有定义
禁用
登录时间到期时自动注销用户(本地)
启用
没有定义
没有定义
关闭系统时清除虚拟内存页面文件
禁用
没有定义
没有定义
数字签名的客户端通信(总是)
禁用
没有定义
没有定义
数字签名的客户端通信(如果可能)
启用
没有定义
没有定义
数字签名的服务器通信(总是)
禁用
没有定义
没有定义
数字签名的服务器通信(如果可能)
禁用
启用
没有定义
无需按 Ctrl+Alt+Del 即可登录
没有定义(仅用于 Professional)禁用(仅用于 Server/Adv.Server)
没有定义
没有定义
在登录屏幕上不显示用户名
禁用
没有定义
没有定义
LAN Manager 身份验证级别
发送 LM & NTLM 响应
没有定义
没有定义
用户试图登录时的消息文字
(空白)
没有定义
没有定义
用户试图登录时的消息文字
(空白)
没有定义
没有定义
可被缓存的以前登录的次数 (在域控制器不可用的情况下)
10 次登录
没有定义
没有定义
防止系统维护计算机帐户密码
禁用
没有定义
没有定义
防止用户安装打印驱动程序
禁用(仅用于 Professional)
启用(仅用于 Server/Adv.Server)
没有定义
没有定义
在密码到期前提示用户更改密码
14 天
没有定义
没有定义
故障恢复控制台:允许自动系统管理级登录
禁用
没有定义
没有定义
故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问
禁用
没有定义
没有定义
重命名系统管理员帐户
没有定义
没有定义
没有定义
重命名来宾帐户
没有定义
没有定义
没有定义
只有本地登录的用户才能访问 CD-ROM
禁用
没有定义
没有定义
只有本地登录的用户才能访问软盘
禁用
没有定义
没有定义
安全通道:对安全通道数据进行数字加密或签名(总是)
禁用
没有定义
没有定义
安全通道:对安全通道数据进行数字加密(如果可能)
启用
没有定义
没有定义
安全通道:对安全通道数据进行数字签名(如果可能)
启用
没有定义
没有定义
安全通道:需要强 (Windows 2000 或以上版本) 会话密钥
禁用
没有定义
没有定义
发送未加密的密码以连接到第三方 SMB 服务器
禁用
没有定义
没有定义
如果无法记录安全审核则立即关闭系统
禁用
没有定义
没有定义
智能卡移除操作
无操作
没有定义
没有定义
增强全局系统对象的默认权限(例如 Symbolic Links)
启用
没有定义
没有定义
未签名驱动程序的安装操作
没有定义
没有定义
没有定义
未签名非驱动程序的安装操作
没有定义
没有定义
没有定义
事件日志
事件日志设置
应用程序日志大小最大值
512 KB
没有定义
没有定义
安全日志最大值
512 KB
没有定义
没有定义
系统日志大小最大值
512 KB
没有定义
没有定义
限制对应用程序日志的来宾访问
(不可用)
没有定义
没有定义
限制对安全日志的来宾访问
(不可用)
没有定义
没有定义
限制对系统日志的来宾访问
(不可用)
没有定义
没有定义
保留应用程序日志
覆盖 7 天前的事件
没有定义
没有定义
安全日志保留天数
覆盖 7 天前的事件
没有定义
没有定义
保留系统日志
覆盖 7 天前的事件
没有定义
没有定义
应用程序日志保留方法
覆盖 7 天前的事件
没有定义
没有定义
安全日志的保留方法
覆盖 7 天前的事件
没有定义
没有定义
系统日志保留方法
覆盖 7 天前的事件
没有定义
没有定义
安全审核日志已满时关闭计算机
(不可用)
没有定义
没有定义