目次:
- 組み込みユーザーアカウントの保護
- ユーザーにネットワークへの一時的アクセスや制限付きアクセスを許可する必要がある場合は、ゲストアカウントへのアクセスを自動的に許可しないでください。このアカウントは最初は便利なように見えるかもしれませんが、潜在的なセキュリティ上の危険があります。ゲストアカウントを閉じずに、独自の一時的なユーザーアカウントを作成することを検討してください。この方法では、これらのユーザーをより詳細に管理し、各ユーザーに一意のユーザーアカウントを割り当てることができます。また、既定のDomain Guestsユーザーグループを使用する代わりに、独自のVisitorsユーザーグループを作成する必要があります。
ビデオ: システム監視・運用管理のPIEX(Part1:効率良い導入を実現)【字幕付き】 2024
ユーザーは、ユーザーアカウントを使用してWindows 2000ネットワークにアクセスできます。各ユーザーには一意のユーザーアカウントを割り当てる必要があります。そうすれば、ネットワークはそれぞれの人物を別個の個人と見なします。この識別性によって、ユーザーアカウントに基づいてアクセスするユーザーを制御する機能も付与されます。複数のユーザーに一度にアクセス権を割り当てたり制限したりできるように、ユーザーアカウントをグループにまとめることができます。実際、この方法は、Microsoftがアクセス許可を割り当てる方法です。ユーザーはグループのメンバーになり、グループにはリソースへのアクセスが割り当てられます。
<! - 1 - >ユーザーアカウントがログオンすると、ネットワークに 認証されます 。この認証プロセスでは、ユーザーのグループメンバーシップやアカウントのその他のセキュリティ設定からアクセストークンが作成されます。アクセストークンは、多くのキーを持つキーリングと考えることができます。 Windows 2000のほとんどのリソースはロックされたドアの後ろにあります。キーリングに正しいキーがある場合は、ドアを開くことができます。さもなければ、あなたがすることができるのはノックです。
<! - 2 - >ファイルとフォルダに対して適切な権限を設定することで、ネットワーク上のデータの読み取り、編集、および削除ができるユーザーを制御できます。適切な権限を使用すると、ユーザーがデータを変更したり、データを表示したりするのを防ぐことができます。相互にユーザーを保護することは、有効なアクセスを提供することと同じくらい重要です。 NTファイルシステム(NTFS)のファイルレベルのセキュリティは、そのような多彩な機能を提供します。
しかし、あなたは本当に必要なセキュリティはどれくらいありますか?システム上でセキュリティ変更を多すぎる前に、この質問に対する回答が必要です。あなたのネットワークがどんな大きさであっても、有効な "蜂の膝"(それは四角形の ビジネス )としてのあなたの存続に不可欠なデータがあれば、少なくとも合理的なセキュリティが必要です。セキュリティのないネットワークは、マネージャーが怠け者でも無学でもあることを示します。前の問題については何もできませんが、今すぐ後者と戦うことができます。
<! - 9 - >組み込みユーザーアカウントの保護
Windows 2000は、デフォルトで管理者とゲストの2つのアカウントを作成します。したがって、世界の誰もがすでにこの2つのアカウントについて知っています。幸いにも、ゲストアカウントはデフォルトでは無効になっており、とにかくアクセスが制限されています。しかし、Guestアカウントはデフォルトで空白のパスワードを持ち、Everyoneグループのメンバーです。より大きな問題は管理者アカウントです。このアカウントは、Windows 2000環境で最も特権の高いユーザーアカウントです。管理者アカウントには、オペレーティングシステムのあらゆる面に自由にアクセスできます。
新しいドライバのインストール
- ユーザーアカウントの作成と削除
- サーバーのシャットダウン
- ドライブのフォーマット
- OSの再インストール
- サービスの無効化
- 監査を変更する
- システムログを編集する
- さらに、さらに多く
- Windows 2000のインストール時にすぐに取るべき重要なアクションは次のとおりです。
ゲストアカウントにパスワードを推測するのは困難ですが、アカウントは無効のままにしておきます。
- 管理者アカウントに推測不可能なパスワードを与えます。このパスワードを紙の紙に書き留め、封筒で封印し、銀行の金庫の底に保管してください。
- 管理者アカウントの名前をあまり明確にしないでください。
- Administratorという名前の新しいアカウントを作成し、妥当なパスワードを与え、すべてのアクセスを制限します。今やあなたは攻撃者になる可能性のある囮を持っています。
- これらのデフォルトのユーザーアカウントに対するこの基本的な保護に合わせて、名前を変更した後でもデフォルトのAdministratorアカウントを使用しないことを真剣に検討する必要があります。管理者レベルのアクセス権が必要なユーザーごとに一意のユーザーアカウントを作成し、そのユーザーアカウントをAdministratorsグループに追加します。これらの人々のそれぞれに対しても通常のユーザーアカウントを作成する必要があります。管理者レベルのユーザーアカウントは、管理タスクの実行時にのみ使用する必要があります。それ以外の場合は、通常のユーザーとしてログオンする必要があります。この勅令を会社規則にする。それを強制する。
赤いカーペットを上に上げよう
ユーザーにネットワークへの一時的アクセスや制限付きアクセスを許可する必要がある場合は、ゲストアカウントへのアクセスを自動的に許可しないでください。このアカウントは最初は便利なように見えるかもしれませんが、潜在的なセキュリティ上の危険があります。ゲストアカウントを閉じずに、独自の一時的なユーザーアカウントを作成することを検討してください。この方法では、これらのユーザーをより詳細に管理し、各ユーザーに一意のユーザーアカウントを割り当てることができます。また、既定のDomain Guestsユーザーグループを使用する代わりに、独自のVisitorsユーザーグループを作成する必要があります。
これらの訪問ユーザーアカウントのアクセスを制限する必要があります。これらのアカウントの特定の終了日を定義することを確認してください。このような有効期限は、ユーザーアカウントのプロパティで定義できます。
