Windows 2000のセキュリティメンテナンス

コンピュータのセキュリティには、コンピュータのローカルデータの保護だけでなく、ネットワーク上のデータの保護も含まれます。優れたオペレーティングシステムは、コンピュータリソースにアクセスしようとしている人々を識別し、特定のリソースがユーザによって不適切にアクセスされるのを防ぎ、コンピュータセキュリティを設定および維持するための簡単で効果的な方法をユーザに提供します。

現時点では、PCユーザーは依然としてWindowsで一般的に使用されており、以前のバージョンと比較して、NTプラットフォームテクノロジに基づくWindows 2000は安定性とセキュリティを大幅に向上させています。以下は、Windows 2000 Professionalの例です。ところで、アプリケーションの問題は解決されています。

まず、Windows 2000のセキュリティ機能

1。ユーザーアカウントとアカウントグループの機能

承認されたユーザーのみがコンピュータにアクセスできるようにしながら、ユーザーの特定のタスク権限とフォルダアクセス権限などの権限を効果的に管理します。システム組み込みグループは、ほとんどのユーザーに、自分のタスクを実行するために必要な完全なユーザー権利と特権を付与します。コントロールパネルの管理インターフェース「ユーザーとパスワード」
＜Ｐ＞ ２。共有フォルダのアクセス権

共有フォルダのアクセス権を任意のフォルダに付与することで、ネットワーク経由でこれらのフォルダへのアクセスを制限または許可することができます。プロジェクトのプロパティメニューから設定します。デフォルトでは、Windows 2000で共有ディレクトリを追加すると、オペレーティングシステムによってEveryOneユーザグループが特権モジュールに自動的に追加されますこのグループのデフォルトのアクセス権は完全に制御されているため、誰でも共有ディレクトリを共有できます。読み書きそのため、新しい共有ディレクトリを作成したら、すぐにEveryOneグループを削除するか、グループの読み取り権限を調整します。
＜Ｐ＞ ３。 FATおよびFAT32よりも安全なNTFSファイルシステム機能：

ディスク割り当てサービス。ユーザーごとに許可されるディスク容量を制御します。

は、ファイルまたはフォルダに対するアクセス許可の設定をサポートします。アクセスの種類を指定して、ユーザーまたはグループによるアクセスを制限または許可します。つまり、各ユーザーがディスクディレクトリ内の任意のフォルダに対して読み書きできるファイルを制限できます。特別な設定をせずにNTFSドライブにあるフォルダを共有したい場合は、NTFSフォルダのアクセス権はローカルとネットワークの両方で有効です。

NTFSでは、ファイルとフォルダを暗号化して情報を保護することもできます。

NTFSディスクパーティションの使用をお勧めします。
＜Ｐ＞ ４。プリンタのアクセス権

プリンタのアクセス権を割り当てることで、ユーザのアクセスを制限します。文書の印刷、文書の管理、およびプリンターの管理には3つの許可があります。プロジェクトのプロパティメニューから設定します。
＜Ｐ＞ ５。監査

監査を使用して、ファイルや他のオブジェクトへのアクセスに使用されるアカウント、ユーザーのログイン試行、システムのシャットダウンや再起動、その他の指定されたイベントを追跡できます。監査が発生する前に、グループポリシーを使用して監査するイベントの種類を指定する必要があります。たとえば、フォルダを監査するには、まずグループポリシーの[監査ポリシー]で[オブジェクトアクセスの監査]を有効にします。次に、権限の設定と同じように監査を設定できます。ファイルやフォルダなどのオブジェクトを選択してから、操作を監査するユーザーとグループを選択します。最後に、確認したいアクションを選択します。たとえば、制限されたフォルダを開いたり削除したりします。成功した試行と失敗した試行を確認できます。イベントログを使用してセキュリティログを表示して、監査アクティビティを確認します。ディスクアクセスの監査メカニズムは、NTFSファイルシステムにのみ適用できます。レビューメカニズムは、レビューが必要なすべてのユーザーが使用する必要があります。
＜Ｐ＞ ６。ユーザーの権利

ユーザーの権利は、ユーザーがコンピュータで実行できる操作を決定する規則です。さらに、ユーザー権利は、ユーザーがネットワーク経由で直接、ローカルに、コンピュータにログインしたり、ローカルグループにユーザーを追加したり、ユーザーを削除したりすることができるかどうかを制御します。組み込みグループには、割り当てられた一連のユーザー権限があります。通常、管理者は、ビルトイングループにユーザーアカウントを追加するか、新しいグループを作成してそのグループに特定のユーザー権利を割り当てることによって、ユーザー権利を割り当てます。その後グループに追加されたユーザーは、自動的にそのグループアカウントに割り当てられたすべてのユーザー権限を取得します。ユーザー権利はグループポリシーを通じて管理されます。
＜Ｐ＞ ７。その他のローカルセキュリティ設定

セキュリティ管理者は、グループポリシーオブジェクトまたはローカルコンピュータポリシーに割り当てるセキュリティレベルを設定できます。ローカルセキュリティポリシーは、ローカルコンピュータを構成するために使用されるセキュリティ設定です。これらの設定には、パスワードポリシー、アカウントロックアウトポリシー、監査ポリシー、IPセキュリティポリシー、ユーザー権利の割り当て、暗号化データの回復エージェント、およびその他のセキュリティオプションが含まれます。ローカルセキュリティポリシーは、主にローカルユーザーに対して設定されるため、ドメインコントローラではないWindows 2000コンピュータでのみ利用できます。

上記の4つの機能は一般的に使用され、設定が簡単ですが、監査やユーザー権限などのセキュリティ設定はより複雑ですが、機能は非常に強力で、ユーザーはシステムの動作パラメータを完全に満足するまで微調整できます。個人的なニーズ例：

* LAN内からの悪意のある攻撃を防ぐために、ユーザーはアカウントがリモートからログインしようとしているマシンの場所と数を記録し、リモートからアカウントにログインする権利を取り消すことができます。

*パーミッションを共有するように設定されているかどうかにかかわらず、ネットワークからローカルのフロッピードライブまたはオプティカルドライブへのアクセスを無効にするなど、所有するリソースを戦略的に制御できます。

*攻撃者が解読するのを困難または不可能にするセキュリティポリシーでデータを保護します。アルゴリズムとキーの組み合わせは情報を保護するために使用されます。 Windows 2000は、暗号化ベースのアルゴリズムとキーを使用して、高度なセキュリティを実現しています。

Windows 2000のセキュリティ設定は、主に "ローカルセキュリティポリシー"で行われています。使用するときは、[スタート]ボタンをクリックし、[プログラム]、[管理ツール]の順にポイントして、[ローカルセキュリティポリシー]をクリックします。その設定は次のとおりです。

*アカウントポリシー：パスワードとアカウントのロックアウトポリシー

*ローカルポリシー：監査、ユーザー権利とセキュリティのオプションポリシー

*公開キーポリシー（IP）セキュリティポリシー）：インターネットプロトコルセキュリティ（IPSec）管理。 IPSecポリシーは、他のコンピュータと安全に通信するための管理ポリシーです。

上級管理者の指導を受けることをお勧めします。

次に、ローカルセキュリティポリシーの設定エラー、解決策、およびその他の推奨事項

1。ローカルセキュリティポリシーの設定プロセスに注意を払わないと、多くの問題が発生します。例：

Windows 2000 Professionalを実行しているマシンで、ユーザーのセットアップ中にエラーが発生した場合[ローカルポリシー]で、[ユーザー権利の割り当て]の[ローカルログインの拒否]項目を[ユーザー、ゲスト]に設定します。 、EveryOne "＃：。ユーザーはログアウト後に再度ログインすることはできず、システムは「対話型セッションを確立できません」というプロンプトを出します。設定項目に「EveryOne」が含まれているため、すべてのアカウントがログインできません。

回避策：Windows 2000は現在のローカルセキュリティ設定データレコードをWindowsシステムディレクトリsystem32の下のconfigディレクトリに保存します。ファイル名はSECURITYです。簡単にするために、システムの初期設定でそれを上書きします。マシンはFAT32フォーマットを使用し、クリーンなWin98フロッピーディスクから起動するので、エラーのファイルを上書きするためにconfigにWindowsディレクトリのrepairディレクトリのSECURITYファイルをコピーしてください。ログインは正常です。正しい設定は次のとおりです。

マシンがNTFSフォーマットを使用している場合は、Windows 2000インストールフロッピーまたはインストールCDを使用して起動する必要があります。起動ディスクが同じような障害の後で見つけられないようにするために、問題をすぐに解決することは困難ですWindows 2000回復コンソール機能を適用できます。