Windows system >> Windowsの知識 >  >> Windows Serverシステムのチュートリアル >> Windows Serverチュートリアル >> Windows 2000のセキュリティ保守とエラー解決の一例

Windows 2000のセキュリティ保守とエラー解決の一例

  

コンピュータのセキュリティには、コンピュータのローカルデータの保護だけでなく、ネットワーク上のデータの保護も含まれます。優れたオペレーティングシステムは、コンピュータリソースにアクセスしようとしている人々を識別し、特定のリソースがユーザによって不適切にアクセスされるのを防ぎ、コンピュータセキュリティを設定および維持するための簡単で効果的な方法をユーザに提供します。

現在、PCユーザーは依然としてWindowsを使用していますが、以前のバージョンと比較して、NTプラットフォームテクノロジに基づくWindows 2000は安定性とセキュリティを大幅に向上させました。以下は、Windows 2000 Professionalの例です。ところで、アプリケーションの問題は解決されています。

まず、Windows 2000のセキュリティ機能

1。ユーザーアカウントとアカウントグループの機能

承認されたユーザーのみがコンピュータにアクセスできるようにしながら、ユーザーの特定のタスク権限とフォルダアクセス権限などの権限を効果的に管理します。システム組み込みグループは、ほとんどのユーザーに、自分のタスクを実行するために必要な完全なユーザー権利と特権を付与します。管理インターフェースは、[コントロールパネル]の[ユーザーとパスワード]です。

2。共有フォルダのアクセス許可

共有フォルダへのアクセス許可を任意のフォルダに付与することで、ネットワーク経由でこれらのフォルダへのアクセスを制限または許可することができます。プロジェクトのプロパティメニューから設定します。デフォルトでは、Windows 2000で共有ディレクトリを追加すると、オペレーティングシステムによってEveryOneユーザグループが特権モジュールに自動的に追加されますこのグループのデフォルトのアクセス権は完全に制御されているため、誰でも共有ディレクトリを共有できます。読み書きそのため、新しい共有ディレクトリを作成したら、すぐにEveryOneグループを削除するか、グループの読み取り権限を調整します。

3。 FATおよびFAT32よりも安全なNTFSファイルシステムの機能:

ユーザーあたりの許容ディスク容量を制御できるディスククォータサービス;

設定ファイルまたはフォルダのサポート。アクセスの種類を指定して、ユーザーまたはグループによるアクセスを制限または許可します。つまり、各ユーザーがディスクディレクトリ内の任意のフォルダに対して読み書きできるファイルを制限できます。特別な設定をせずにNTFSドライブ上にあるフォルダを共有したい場合は、NTFSフォルダアクセスはローカルとネットワークの両方で有効です。

NTFSでは、ファイルとフォルダを暗号化して情報を保護することもできます。

NTFSディスクパーティションの使用をお勧めします。

4。プリンタのアクセス権

プリンタのアクセス権を割り当てることで、ユーザのアクセスを制限します。文書の印刷、文書の管理、およびプリンターの管理には3つの許可があります。プロジェクトのプロパティメニューから設定します。

5。監査

監査を使用して、ファイルや他のオブジェクトへのアクセスに使用されるアカウント、ユーザーのログイン試行、システムのシャットダウンや再起動、その他の指定されたイベントを追跡できます。監査が行われる前に、<グループポリシー>を使用して監査するイベントの種類を指定する必要があります。たとえば、フォルダを監査するには、まず[グループポリシー]、[監査戦略]の[オブジェクトアクセスのレビュー]を有効にします。次に、権限の設定と同じように監査を設定できます。ファイルやフォルダなどのオブジェクトを選択してから、操作を監査するユーザーとグループを選択します。最後に、確認したいアクションを選択します。たとえば、制限されたフォルダを開いたり削除したりします。成功した試行と失敗した試行を確認できます。セキュリティログを表示すると、イベントビューアを使用して監査アクティビティを追跡できます。ディスクアクセスの監査メカニズムは、NTFSファイルシステムにのみ適用できます。レビューメカニズムは、レビューが必要なすべてのユーザーが使用する必要があります。

6。ユーザーの権利

ユーザーの権利は、ユーザーがコンピュータで実行できる操作を決定する規則です。さらに、ユーザー権利は、ユーザーがネットワーク経由で直接、ローカルに、コンピュータにログインしたり、ローカルグループにユーザーを追加したり、ユーザーを削除したりすることができるかどうかを制御します。組み込みグループには、割り当てられた一連のユーザー権限があります。通常、管理者は、ビルトイングループにユーザーアカウントを追加するか、新しいグループを作成してそのグループに特定のユーザー権利を割り当てることによって、ユーザー権利を割り当てます。その後グループに追加されたユーザーは、自動的にそのグループアカウントに割り当てられたすべてのユーザー権限を取得します。ユーザーの権利は、「グループポリシー」で管理されています。

7。その他のローカルセキュリティ設定

セキュリティ管理者は、'グループポリシー>オブジェクトまたはローカルコンピュータポリシーに割り当てるセキュリティレベルを設定できます。ローカルセキュリティポリシーは、ローカルコンピュータを構成するために使用されるセキュリティ設定です。これらの設定には、パスワードポリシー、アカウントロックアウトポリシー、監査ポリシー、IPセキュリティポリシー、ユーザー権利の割り当て、暗号化データの回復エージェント、およびその他のセキュリティオプションが含まれます。ローカルセキュリティポリシーは、主にローカルユーザーに対して設定されるため、ドメインコントローラではないWindows 2000コンピュータでのみ利用できます。

上記の4つの機能は一般的で設定が簡単で、監査やユーザー権限などのセキュリティ設定はより使い勝手がよくなりますが、これらの機能は非常に強力です。個人的なニーズ例:

* LANの内部からの悪意のある攻撃を防ぐために、ユーザーはアカウントがリモートからログインしようとしているマシンの場所と数を記録し、リモートからアカウントにログインする権利を取り消すことができます。

*パーミッションを共有するように設定されているかどうかにかかわらず、ネットワークからローカルのフロッピードライブまたはオプティカルドライブへのアクセスを無効にするなど、自分が持っているリソースを戦略的に制御できます。

*攻撃者が解読するのを困難または不可能にするセキュリティポリシーでデータを保護します。アルゴリズムとキーの組み合わせは情報を保護するために使用されます。 Windows 2000は、暗号化ベースのアルゴリズムとキーを使用して、高度なセキュリティを実現しています。

Windows 2000のセキュリティ設定は、主に "ローカルセキュリティポリシー"にあります。 [スタート]ボタンをクリックし、[プログラム]、[管理ツール]の順にポイントして、その行の[ローカルセキュリティポリシー]をクリックします。設定は次のとおりです。

*アカウントポリシー:パスワードとアカウントのロックアウトポリシー

*ローカルポリシー:監査、ユーザーの権利とセキュリティのオプションポリシー

*公開キーポリシー(IP)セキュリティポリシー):インターネットプロトコルセキュリティ(IPSec)管理。 IPSecポリシーは、他のコンピュータと安全に通信するための管理ポリシーです。

上級管理者の指導を受けることをお勧めします。

次に、ローカルセキュリティポリシーの設定エラー、解決策、およびその他の推奨事項

1。ローカルセキュリティポリシーの設定プロセスに注意を払わないと、多くの問題が発生します。例:

"ローカルポリシー"、 "ユーザー権利の割り当てを拒否する"プロジェクトで、Windows 2000 Professionalを実行しているユーザーの設定エラー。'ローカルログインを拒否します。'プロジェクト「ユーザー」、「ゲスト」、「EveryOne」に設定します。ユーザーはログアウトした後に再度ログインすることはできず、システムは「対話型セッションを作成できません」というプロンプトを出します。設定項目に「EveryOne」が含まれているため、すべてのアカウントでログインできません。

解決策:Windows 2000は現在のローカルセキュリティ設定をWindowsシステムディレクトリsystem32のconfigディレクトリ、ファイル名SECURITYに保存します。これはログインするように正しく変更するためだけです。簡単にするために、システムの初期設定でそれを上書きします。マシンはFAT32フォーマットを使用し、クリーンなWin98フロッピーディスクから起動するので、エラーのファイルを上書きするためにconfigにWindowsディレクトリのrepairディレクトリのSECURITYファイルをコピーしてください。ログインは正常です。正しい設定は次のとおりです。

コンピュータがNTFS形式を使用している場合は、Windows 2000インストールフロッピーまたはインストールCDを使用して起動する必要があります。起動ディスクが同じような障害の後で見つけられないようにするために、問題をすぐに解決することは困難ですWindows 2000回復コンソール機能を適用できます。

2。 Windows 2000回復コンソール

Windows 2000回復コンソールは、Windows 2000セットアッププログラムから起動できるコマンドラインコンソールです。回復コンソールを使用すると、Windows 2000をハードディスクから起動せずにサービスを開始および停止し、ドライブをフォーマットし、ローカルドライブ(NTFSとしてフォーマットされたドライブを含む)でデータを読み書きすることなく、さまざまなタスクを実行できます。ミッション回復コンソールは、フロッピーまたはCD-ROMからハードドライブにファイルをコピーしてシステムを修復する必要がある場合、またはコンピュータが正常に起動しないようにサービスを再設定する必要がある場合に特に役立ちます。回復コンソールは非常に強力であるため、Windows 2000に精通している上級ユーザーのみが使用できます。さらに、管理者は回復コンソールにアクセスできる必要があります。
回復コンソールは、Windows 2000インストールディスクまたはWindows 2000 Professional CDから実行できます。別の方法として、Windows 2000を再起動できない場合は、コンピュータに回復コンソールをインストールして問題を解決することができます。ブートメニューからWindows 2000回復コンソールオプションを選択するだけです。回復コンソールを起動したら、ログインするドライブを選択し(デュアルブートまたはマルチブートシステムの場合)、管理者パスワードでログインする必要があります。

回復コンソールにはコマンドラインが用意されているため、Windows 2000が起動しなくてもシステムを変更できます。回復コンソールを起動したら、コマンドプロンプトで「help」と入力して使用可能なコマンドのヘルプを表示します。コンピュータを再起動するには、exitと入力してコマンドプロンプトウィンドウを閉じます。

コンピュータを再起動できない場合に実行する起動オプションとして回復コンソールをインストールします。起動オプションとしてインストールする方法:管理者または管理者権限を持つユーザーとしてWindows 2000にログインします。 Windows 2000 ProfessionalのCDをCD-ROMドライブに挿入します。 Windows 2000にアップグレードするように指示されたら、[いいえ]をクリックします。コマンドプロンプト(またはWindows 2000の[ファイル名を指定して実行]ボックス)から、スペースと/cmdconsスイッチオプションを続けて、適切なWinnt32.exeファイル(Windows 2000 CD上)へのパスを入力します。例:

e:\\ i386winnt32.exe /cmdcons

表示される指示に従ってください。

回復コンソールは、ルートフォルダーのCmldrファイルを含め、ルートフォルダーの下のCmdconsフォルダーにインストールされます。回復コンソールの起動エントリは、Boot.iniファイルに含まれています。

Windows 2000のセキュリティは間違いなく高いですが、日常の使用においてそれに注意を払わなければ、ユーザーから発生するような脆弱性は依然として存在します。平均的なユーザーにとっては、不適切な使用の問題を回避するために、コントロールパネルの管理ツールのローカルセキュリティポリシーを非表示にすることをお勧めします。ローカルセキュリティポリシーの設定は、必要に応じてコマンドラインから開始できます[コマンド形式:c:winntsystem32secpol.msc /s]。

Copyright © Windowsの知識 All Rights Reserved