- 论坛徽章:
- 0
|
Windows 2000 安全配置
更新日期: 2004年03月01日 http://www.microsoft.com/china/technet/security/guidance/secmod220.mspx
本页内容
本模块内容
目标
适用范围
如何使用本模块
内置组
帐户策略
本地策略
其他安全设置
其他注册表设置
删除 OS/2 和 POSIX 子系统
限制空会话访问
限制对已命名管道和共享空会话访问
从网络浏览列表中隐藏该计算机
Service Pack 3 注册表项
移除默认的 IPSec 免除
更改 DLL 搜索顺序
防止应用程序生成的输入干扰会话锁
当审核日志满到一定百分比阈值时生成审核事件
强化 TCP/IP 堆栈以防止拒绝服务攻击
检查时间服务身份验证
禁止 LMHash 创建
禁用自动运行
LDAP 绑定命令请求设置
当审核日志满时生成管理警报
关闭文件夹中的 Web 视图
加强 NTLM SSP
审核日志管理
默认组帐户
默认用户帐户
系统服务
确保文件系统的安全
共享文件夹权限
确保注册表的安全
IPSec 策略
对文件系统加密
启用自动屏幕锁定保护
更新系统紧急修复盘
参考
本模块内容
本模块详细介绍了可完善 Microsoft& Windows& 2000 操作系统安全性的各种安全设置。模块中的表格描述了各设置所能达到的安全目标,以及实现这些目标所需采取的配置操作。其中的设置是按照 SCE 界面中的类别分类的。
返回页首
目标
使用本模块可以实现:
• 识别可确保 Windows 2000 系统安全的策略设置。
• 找到可确保 Windows 2000 系统安全的注册表设置。
• 安全配置 Windows 2000 系统以实现其网络角色。
• 找到有关 Windows 2000 安全性的参考资料。
返回页首
适用范围
本模块适用于下列产品和技术:
• Microsoft Windows 2000 操作系统安全性
• 组策略
• 安全模板
• Microsoft Windows 2000 Professional 操作系统
• 域成员工作站
• 域成员便携式计算机
• 独立工作站
• Microsoft Windows 2000 Server™ 操作系统
• 域控制器
• 域成员服务器
• 独立服务器
返回页首
如何使用本模块
本模块提供了确保 Microsoft Windows 2000 Professional 和 Microsoft Windows 2000 Server 系统安全的方法。定义了为创建安全环境而必须应用的组策略和注册表设置,并在阐释这些设置的同时介绍了选择这些配置的理由。您可以使用本模块为 Windows 2000 系统创建安全的配置。
为了充分理解本模块的内容,请:
• 阅读模块 Windows 2000 安全配置工具。该模块重点介绍了可用于应用安全配置的 Windows 2000 工具。
• 阅读模块 Windows 2000 默认安全策略设置。该模块详细介绍了应用于不同 Windows 2000 系统角色的默认安全策略设置。
• 阅读模块 Windows 2000 用户权限和特权配置。该模块详细介绍了 Windows 2000 系统上的默认用户权限分配,并提供了一个本模块推荐的更改列表。
• 使用检查表 Windows 2000 安全配置检查表。在评估系统时可以使用其中的安全检查表以确保进行了所有的配置更改。
• 使用附带“如何”模块:
• 如何安全地安装 Windows 2000
• 如何在 Windows 2000 中配置和应用安全模板
• 请下载安全配置模板。您可以从以下网站下载本指南附带的安全模板:http://www.microsoft.com/downloads/details.aspx?FamilyID=15e83186-a2c8-4c8f-a9d0-a0201f639a56& displaylang=en(英文)。
返回页首
内置组
Windows 2000 附带了许多内置组。其中几个特别值得注意,包括 Power Users 组(在工作站、独立服务器和成员服务器上)、Server Operators、Print Operators 和 Backup Operators(在服务器上)。 这些组的作用是,在不用使用户成为管理员的情况下提升用户的权限。但鉴于赋予这些组的具体权限,其中每个组的成员都可以成为管理员。Operators 组的作用主要是防止管理员意外损坏系统。但不能防止对系统的故意破坏。
Power Users 组主要用于普通用户无法正常运行某些早期应用程序的情况。因此,这个组在某些仅需决定是使用户成为 Power Users 还是 Administrators 的环境中非常必要。很明显,这种情况下,Power Users 是上策。因此,本指南不推荐使 Power Users 组不可用,尽管其他参考资料可能推荐这么做。但是,在不要求 Power Users 的环境中,应当对 Power Users 组进行控制,管理员应确保该组中不包含任何成员。
返回页首
帐户策略
帐户策略是控制以下三个重要帐户身份验证功能的规则:密码策略、帐户锁定和 Kerberos 验证。
• 密码策略
该策略决定了密码的设置,如强制和生存期。
• 帐户锁定策略
该策略决定了何时将帐户锁定在系统之外,以及锁定多久。
• Kerberos 策略
Kerberos 身份验证机制用在属于 Microsoft Active Directory& 域的 Windows 2000 或更高版本系统的计算机中。该策略允许管理员配置 Kerberos。
帐户策略可以应用于域或 OU 中的用户帐户。要使目录林中某个域的策略对另一个域生效,即使该域是一个子域,也必须有到该组策略对象的显式链接。此外,还需注意下列有关帐户策略的要点:
• 通过域策略应用的域帐户策略仅对该域及其子域中的域控制器上定义的帐户生效。这也包括以下三种设置:
• 登录时间过期就自动注销用户
• 重命名系统管理员帐户
• 重命名来宾帐户
• 在 OU 上定义的帐户策略对属于该 OU 的计算机上定义的本地帐户生效。
密码策略
• 查看并编辑当前的密码策略设置
1.
通过 GPO、SCE 或者本地安全策略打开适用的安全策略,
2.
展开“安全设置”。
3.
在“安全设置”中,展开“帐户策略”显示“密码”、“帐户锁定”和“Kerberos”策略。
4.
单击“密码策略”。右侧的详细信息窗格即显示可配置的密码策略设置。
5.
按照表 1 中推荐的方式设置密码策略。
表 1:密码策略设置
密码策略 域工作站 域便携式计算机 DC 域服务器 独立工作站 独立服务器
设置密码历史要求
安全目标:设置重复使用密码的频率限制。设置此值时,将会对比新的密码和所设定数量的早期密码,并在新密码与现有密码匹配时拒绝所进行的密码更改。(请注意,这是在不存储明文密码的情况下进行的。)
步骤:
a. 双击右侧的详细信息窗格中的“强制密码历史”,打开相应的“安全策略设置”对话框。
b. 对于域级别的策略,请选中“定义这个策略设置 ”。
c. 更改“记住的密码”字段中的数字(最高值为 24),以反映系统将记忆的密码的数量。
建议:将此值设置为 24。
原因:此设置可确保用户无法复用密码(无论是意外还是故意),从而提高密码的安全性。这可提高攻击者进行密码攻击时盗用的密码无效的概率。
设置密码最长使用期限
安全目标:设置用户在不得不修改密码前可以使用该密码的时间。
步骤:
a. 双击右侧详细信息窗格中的“密码最长使用期限”,打开相应的安全策略设置对话框。
b. 对于域级别的策略,请选中“定义这个策略设置”框。
c. 将“天”字段中的数字更改为所需的数字。
建议:70 天。
原因:这可以通过确保用户定期更换密码来提高密码的安全性。建议的设置可防止用户因为不得不频繁更改密码而遗忘密码。
设置密码最短使用期限
安全目标:设置用户可更改密码前必须使用该密码的时间。
步骤:
a. 双击右侧详细信息窗格中的“密码最短使用期限”,打开相应的“安全策略设置”对话框。
b. 对于域级别的策略,请选中“定义这个策略设置”框。
c. 将“天”字段中的数字更改为所需的数字。
建议:2 天。
原因:此设置强制用户使用新密码一段时间后才可以重置,有助于用户记忆新密码。这还可防止用户通过迅速设置 25 个新密码来规避密码历史。
设置最短密码长度
安全目标:设置用户密码所需的最少字符数。
步骤:
a. 双击右侧详细信息窗格中的“最短密码长度”,打开相应的“安全策略设置”对话框。
b. 对于域级别的策略,请选中“定义这个策略设置”框。
c. 将“字符”字段中的数字更改为所需的数字。
建议:8 个字符。
请注意,密码中每增一个字符,都将按指数级提升密码的安全性。如果要求最少 8 个字符,则较弱的 LMHash 也将增强很多,这使破解者必须破解 LMHash 的全部两个 7 字节部分,而不是其中一个。如果密码是 7 个字节或更少,则 LMHash 的第二部分将具有一个特定的值,破解者可以通过该值判断密码短于 8 个字符。
也有人认为 8 字符的密码没有 7 字符密码安全,原因是 LMHash 的存储方式。在 8 字符密码中,破解者只需在测试密码第一部分时测试第二部分。但是,测试密码的全部两部分会使破解者不得不增加七分之一的尝试次数,这将显著增加破解密码所需的时间。较长的密码始终更好一些,如果未存储 LM 哈希值,8 字符密码比 7 字符密码安全得多。推荐使用短密码而不是长密码,是错误的。
设置密码复杂性要求
安全目标:要求使用复杂(强)密码。该策略强制要求至少使用以下四个字符集中的三个:(1) 大写字母;(2) 小写字母;(3) 数字;以及 (4) 非字母数字字符。
建议:启用密码复杂性。
原因:对于防止密码猜测和密码破解来说,密码复杂性至关重要。
启用密码可逆加密
安全目标:此设置旨在降低那些要求特定类型向后兼容性的环境的安全性。某些方案要求提供用户的明文密码。此时,启用此设置将能够获取明文密码。
建议:不要启用此设置。请确保默认的“禁用”设置仍被强制。
帐户锁定策略
帐户锁定用于防止对帐户的密码猜测。帐户锁定会在输入特定多次无效密码后锁定帐户。锁定可以持续一段时间,也可以是无限长,直至管理员解除该帐户的锁定。内置的 Administrator 帐户不能在本地登录中锁定,只能锁定其网络登录。而且,只有通过使用 Windows 2000 Server Resource Kit 中的 passprop.exe 工具,才可以锁定其网络登录。
应避免使用帐户锁定策略的原因有几个。首先,如果按以上所述配置了密码策略,帐户锁定就是不必要的,因为任何攻击者都不能在一段合理的时间内猜出密码。在仅使用大小写字母与数字,用户不使用词典单词并仅附加一个数字的情况下,如果每次猜测需要半秒钟时间,猜到密码要花 3,461,760 年。由于密码会定期更改,攻击者猜到密码的可能性非常小。事实上,如果每隔 70 天更改密码,攻击者将需要相当于 52,000 条 T3 传入被攻击系统的线路,才能在密码过期前猜到一个随机的密码(当然,需要假定该密码不是词典单词)。换句话说,如果密码很弱,攻击者能在十次尝试内猜到,那么问题并不是在帐户锁定策略,而是弱到极点的密码。
此外,启用帐户锁定策略会大大增加由于用户忘记关闭 Caps Lock 键或类似问题而将自己帐户意外锁定而引起的技术支持工作量。当要求用户使用复杂密码时,很有可能发生这种情况,这也是复杂密码的唯一缺点。
另一种比因帐户锁定造成技术支持工作量增加更坏的情况是,因攻击者锁定服务帐户而对网络造成影响。这种情况下,服务将无法启动。如果服务由于帐户锁定而无法启动,本身并不会重新尝试启动该服务,管理员需要在锁定期限过后在该系统上手动启动该服务。
在所有环境都应使用漏洞扫描程序。但是,漏洞扫描程序通常只测试少量常用的密码,如果使用了帐户锁定策略,扫描程序每次扫描网络时,都会锁定所有的帐户。这对系统可用性将造成意料之外的影响。
此外,默认情况下的帐户锁定并不能保护攻击者最可能攻击的帐户:Administrator 帐户。虽然有可能获取系统上其他管理帐户的列表,但大多数攻击者都会尝试对明显的帐户(如默认的 Administrator 帐户)使用密码猜测攻击。要对 Administrator 帐户启用锁定,必须使用 Resource Kit 中的 passprop.exe 实用程序。
最后,由于可以使用防火墙将不受信任的网络阻止到 Windows 网络之外,密码猜测仅可以从受信任的网络发起。在受信任的网络中,密码猜测攻击的发起者可以通过跟踪登录企图轻松找到并对付。
帐户锁定有一种潜在功能,即提醒管理员正在发生密码猜测攻击。但是,应当使用入侵检测系统来检测这种情况。不应使用帐户锁定策略来代替真正的入侵检测系统。但在需要帐户锁定的警示功能的环境中,应分别将阈值和计时器设置为 50 和 30 分钟。
访问 Kerberos 策略设置
使用 Kerberos 策略的默认设置已足够。请不要更改这些默认值。
返回页首
本地策略
本地策略管理应用于各台计算机或各个用户的安全设置。本地策略部分可用于配置:
• 审核策略
审核策略用于确定计算机的安全性事件日志中记录了哪些安全事件(如成功的尝试、失败的尝试或两者都记录)。安全性日志是通过事件查看器 MMC 管理单元进行管理的。
• 用户权限分配
用户权限管理各个用户或组可以执行的操作的类型。在较早版本的 Microsoft Windows NT& 中,它们被称为“特权”。
• 安全选项
这些选项用于管理计算机的各种基于注册表的安全设置,如数据的数字签名、管理员和来宾帐户名称、软盘驱动器和光盘访问、驱动程序安装以及登录尝试。默认情况下,本部分所讨论的几种设置在文中描述的工具中不可见。要在用户界面中查看并管理这些设置,管理员必须首先应用一个自定义模板,以修改界面中所显示的设置。
审核策略
• 启用安全相关事件的审核
1.
打开相应的安全策略。
2.
展开“安全设置”。
3.
在“安全设置”中,展开“本地策略”,显示“审核策略”、“用户权利指派”以及“安全选项”策略。
4.
单击“审核策略”。右侧的详细信息窗格即显示可配置的审核策略设置。
图 1. 审核策略设置
5.
要设置安全事件的审核,请双击右侧详细信息窗格中所需的审核策略。这将打开“安全策略设置”对话框。
表 2:审核策略设置
审核策略 域工作站 域便携式计算机 DC 域服务器 独立工作站 独立服务器
审核事件类别
成功
失败
审核帐户登录事件
审核计算机用于验证用户身份的登录事件。换句话说,在域控制器上,这将审核所有的域登录事件,而在域成员上,仅审核使用本地帐户的事件。
审核帐户管理
审核所有涉及帐户管理的事件,如帐户创建、帐户锁定、帐户删除等。
审核目录服务访问
启用对 Active Directory 对象的访问的审核。此设置本身不会真正导致生成任何事件。仅当在对象上定义了 SACL 时,才会审核访问。因此,应启用成功和失败审核两者,才能使 SACL 生效。
审核登录事件
审核在此策略应用到的系统中发生的登录事件,无论帐户属谁。换句话说,在域成员上,为此启用成功审核将在有人登录系统时生成一个事件。如果用于登录的帐户是本地的,并且启用了“审核帐户登录事件”设置,则该登录将, , 生成两个事件。
审核对象访问
启用对所有可审核对象的访问的审核,如对文件系统和注册表对象(目录服务对象出外)的访问。这些设置本身不会导致审核任何事件。它仅启用审核,使定义了 SACL 的对象得以被审核。因此,应当为此设置启用成功和失败审核两者。
审核策略更改
此设置定义是否审核对用户权限分配策略、审核策略或信任策略的更改。由于对此类型的访问的失败审核实际上并无意义,因此,您只需对此设置启用成功审核。
审核特权使用
此设置确定是否在每次有人使用特权时都生成一个审核事件。某些特权,如“跳过遍历检查”和“调试程序”,虽然启用了此设置,也不会得到审核(这些审核可通过设置 FullPrivilegeAuditing 注册表值来打开)。启用特权审核会生成大量事件,因此应避免打开。
审核过程跟踪
此设置启用对某些进程事件的审核,如程序进入和退出、句柄复制、间接对象访问等。启用此审核将生成非常多的事件,会在短时间内充满事件日志。因此,不应广泛启用此设置,除非用于调试目的。使用进程跟踪来分析攻击可能也很有用。例如,缓冲区溢出攻击常被用来启动命令解释器,如果打开了进程跟踪,将会记录此事件。但是,如果打开进程跟踪,必须使用严格的日志管理。
审核系统事件
审核系统关闭、启动和影响系统或安全日志的事件,如清除日志。
登录权限和特权
登录权限和特权负责管理用户在目标系统上的权限。它们用于授权执行某些操作进行,如通过网络或本地登录,还用于执行管理性工作,如生成新的登录令牌。
• 修改用户权限
1.
打开相应的安全策略。
2.
展开“安全设置”。
3.
在“安全设置”中,展开“本地策略”,显示“审核策略”、“用户权利指派”以及“安全选项”策略。
4.
单击“用户权利指派”。右侧的详细信息窗格即显示可配置的用户权限策略设置。
图 2. 用户权利指派设置
注意:并不是在各种类型的系统上都有所有的组。因此,您可能需要在目标组所属的系统上修改此策略。也可以手动编辑策略模板,从而包括适当的组。
表 3 列出了应修改其默认值的用户权限和特权分配。策略编辑器界面中会显示更多其他权限。不过,它们的默认设置已足够,无需修改。该表中的对号指示您应对该列中的特定系统类型应用此修改。
表 3:用户权限和特权
用户权限和特权分配 域工作站 域便携式计算机 DC 域服务器 独立工作站 独立服务器
特权
默认值
已修改
从网络访问此计算机 (Professional/Server)
Administrators
Backup Operators
Power Users
Users
Everyone
Administrators
Backup Operators
Power Users
Users
已验证的用户
从网络访问此计算机(域控制器)
Administrators
已验证的用户
Everyone
Administrators
已验证的用户
本地登录 (Professional)
Administrators
Backup Operators
Power Users
UsersMachinename\Guest
Administrators
Backup Operators
Power Users
Users
本地登录(服务器)
Administrators
Backup Operators
Power Users
Users
计算机名\Guest
计算机名\TsInte
rnetUser
Administrators
Backup Operators
Power Users
注意:您需将此特权授予 Terminal Server Application Server 的 Users。
本地登录(域控制器)
Administrators
Account Operators
Backup Operators
Print Operators
Server Operators
TsInternetUser
Administrators
Account Operators
Backup Operators
Print Operators
Server Operators
将工作站添加到域中(域控制器)
已验证的用户
已验证的用户
增加配额(域控制器 – 在域安全策略中)
(未定义)
Administrators
提升计划优先级(域控制器 – 在域安全策略中)
(未定义)
Administrators
加载和卸载设备驱动程序(域控制器 – 在域安全策略中)
(未定义)
Administrators
管理审核和安全日志(域控制器 – 在域安全策略中)
(未定义)
Administrators
修改固件环境(域控制器 – 在域安全策略中)
(未定义)
Administrators
配置系统性能(域控制器 – 在域安全策略中)
(未定义)
Administrators
关闭系统(客户端)
Administrators
Backup Operators
Power Users
Users
Administrators
Backup Operators
Power Users
已验证的用户
关闭系统(服务器)
Administrators
Power Users
(视系统类型而定,可能会有不同的组)
Administrators
获取文件和对象的所有权(域控制器 – 在域安全策略中)
(未定义)
Administrators
修改安全选项
• 修改预定义的安全相关注册表设置
1.
打开相应的安全策略。
2.
展开“安全设置”。
3.
在“安全设置”中,展开“本地策略”,显示“审核”、“用户权利指派”以及“安全选项”策略。
4.
单击“安全选项”。右侧的详细信息窗格即显示可配置的安全选项。
图 3. 安全选项设置
5.
要设置安全选项,请双击右侧详细信息窗格中所需的策略。这将打开“安全策略设置”对话窗口。
6.
对于域级别的策略,请选中“定义这个策略设置”框。
7.
视选项的配置要求而定,对“安全策略设置”对话框中选定安全选项的输入会有所不同。例如,某些安全选项可能要求您从下拉菜单中选择,或者输入文本,如下所示。
图 4. 智能卡移除配置
图 5. 消息文本配置
8.
请按照表 4 中的信息修改安全选项。
表 4:安全选项设置
安全选项 域工作站 域便携式计算机 DC 域服务器 独立工作站 独立服务器
对匿名连接设置附加限制
安全目标:禁止匿名用户枚举 SAM 帐户和共享。
建议:对于域和独立服务器,请将此值设置为“不允许枚举 SAM 帐号和共享”。该设置等效于将 RestrictAnonymous 设置为 1,并常常被这样描述。对于便携式计算机和工作站,请将此值设置为“没有显式匿名权限就无法访问”(RestrictAnonymous = 2)。
注意:“没有显式匿名权限就无法访问”选项在许多环境中有可能会导致连接问题。因此,通常如果要接受入站连接的系统,不应使用此设置。但是,由于它优异的安全性价值,您应当周密地测试它,以确定在您的特定环境中是否可使用它。目前,已知有几种此设置的不兼容情况:
在 Exchang 2000 服务器上设置为“没有显式匿名权限就无法访问”时,客户端将无法在全球通讯簿中查找地址。Windows 2000 Service Pack 3 修复了此问题。当在 Windows 2000 域控制器上设置为“不允许枚举 SAM 帐号和共享”时,Windows XP、NT 和 Macintosh 客户端上的用户将无法在登录时修改它们的域密码。可以通过查找修复程序 328817 来从 PSS 获取 Windows XP 的修补程序。没有 Microsoft Windows NT& 和 Macintosh 客户端的修补程序。
如果设置了此值,低级别的客户端(Windows 9x 和更早的版本)将无法验证到域中。
受信任的 NT 4 域中的用户将无法从受信任的 Windows 2000 域中列举用户。
浏览器服务将无法可靠地运行。
目录林之间的通信将无法正常工作。
有关更多信息,请参阅 Microsoft 知识库文章 246261“How to Use the RestrictAnonymous Registry Value in Windows 2000”(英文)。注意:在堡垒主机系统上,应将此设置配置为“没有显式匿名权限就无法访问”。
允许在未登录时关机
安全目标:不允许用户在未登录的情况下关闭系统。对于终端服务器来说,这尤其重要。建议:在矩阵中将此策略设置为“禁用”。在没有启用终端服务的系统上,此设置实际并不能提供多少安全性。对于非终端服务系统,攻击者需要具备物理访问才可以关闭它,这种情况下,他其实只需拔掉电源就可以了。
审核对全局系统对象的访问
安全目标:启用对全局系统对象的访问的审核。启用此策略时,将导致创建带默认系统访问控制列表 (SACL) 的系统对象,如多用户终端执行程序、事件、信号灯和 DOS 设备。如果也启用了“审核对象访问”审核策略,则对这些系统的访问将被审核。
建议:保留此策略为禁用,除非是在特别敏感的系统上。在这些系统上,请将此策略设置为“启用”。
注意:此设置主要用于开发者对新的程序进行故障排除。它会生成大量审核信息。因此,仅当建立了严格的经常性审核日志审阅、存档和清除审核管理过程,并且此设置所生成的事件实际上对讨论过程有用时,才应启用此设置。还应编辑最大日志大小,以便支持所记录的事件数量的增加。
对备份和还原特权的使用进行审核
安全目标:启用在每次使用“备份文件和目录”或“还原文件和目录”时创建审核事件项的功能。默认情况下,不会对备份和还原特权进行审核。当启用了“审核特权使用”审核策略,并设置了此安全选项时,将会对备份和还原特权的使用进行审核。
建议:此设置将生成数量巨大的事件,因此仅当在对备份问题进行故障排除时,才应启用此设置。
登录事件过期就自动注销用户
安全目标:强制用户在超过所允许的登录时间范围时从网络注销。建议:应在强制登录时间限制的环境中启用此设置。在其他环境中,此设置没有效果。
注意:使用户在特定登录时间登录本身并不是一项安全措施。它并不能防止系统被用户损坏。
系统关闭时清除虚拟内存页面文件
安全目标:关闭系统时删除虚拟内存页面文件。页面文件将在用户下次登录时重新初始化。这样做的目的在于确保页面文件中的任何信息都不会被登录该计算机的下一个用户得到。
建议:请在笔记本电脑和其他并不能在关闭后确保其安全的计算机上启用此设置。
注意:配置此设置将显著增加关闭系统所需的时间。
对客户端通信进行数字签名(总是)
安全目标:确定计算机是否始终对客户端通信进行数字签名。Microsoft Windows 2000 Server™ 消息块 (SMB) 身份验证协议支持互相验证(可以防止“中间人”攻击),并支持消息验证(可以防止主动消息攻击)。SMB 签名可以提供这种身份验证,方法是将一个数字签名置入每个 SMB 中,然后由客户端和服务器分别对其进行验证。
默认情况下,此设置是禁用的。启用此选项要求 Windows 2000 SMB 客户子系统执行 SMB 数据包签名。这种情况下,计算机将无法与不支持数字签名的服务器进行通信。除非这是想要达到的结果,否则不应设置此选项。相反,请确保在所有支持签名的系统上(Windows 2000 和更高版本)设置“如果可能”选项,确保在可能的情况下使用签名。
建议:不要启用此设置。
对客户端通信进行数字签名(如果可能)
安全目标:如果启用此策略,将导致 Windows 2000 Server 消息块 (SMB) 客户子系统在与启用或要求执行 SMB 数据包签名的 SMB 服务器通信时执行 SMB 数据包签名。有关更多详细信息,请参阅本表中的“对客户端通信进行数字签名(总是)”。
建议:启用此设置,即保留默认值。
对服务器通信进行数字签名(总是)
安全目标:如果启用了此策略,将在系统充当 SMB 服务器时要求系统执行服务器消息块 (SMB) 数据包签名。默认情况下,此策略是禁用的,原因是如果启用,它将导致计算机无法与不执行签名的客户系统进行通信。有关更多详细信息,请参阅本表中的“对客户端通信进行数字签名(总是)”。
建议:在不充当低级系统的 SMB 服务器系统中,应启用此设置。域中的客户工作站可能很少会执行该功能。因此,应当在客户工作站上启用此设置。在域控制器上,启用此设置可以防止特定类型的攻击,如 Microsoft 安全公告 MS02-070 中所讨论的攻击。但是,必须与低级客户端无法与域控制器进行通信的事实进行权衡。为此,应当在域控制器配置模板中关闭此设置。在仅包含 Windows 2000 或更新客户端的环境中,应当在域控制器上启用此设置。
对服务器通信进行数字签名(如果可能)
安全目标:如果启用了此策略,将使系统能在充当 SMB 服务器时执行服务器消息块 (SMB) 数据包签名。默认情况下,在工作站和服务器平台上的本地计算机策略中,此策略是禁用的。在域控制器上,默认情况下此策略是启用的。有关更多详细信息,请参阅本表中的“对客户端通信进行数字签名(总是)”。
建议:应当在所有系统上启用此设置。
注意:此设置会造成通信系统开销,有时系统开销可能很高。因此,应根据您的环境对此设置进行评估,确保它不会将网络响应时间降低至无法接受的程度。
禁用登录时必须按下 Ctrl+Alt+Del
安全目标:启用此设置将禁用受信任路径机制。受信任路径机制的用途是防止用户登录会话欺骗。该机制会导致操作系统始终截获 Ctrl+Alt+Del 键序列,并防止其他子系统和进程获取该键序列。如果禁用该机制,攻击者可轻松使用组合键记录程序欺骗登录界面。因此,请永远不要启用此设置。在 Windows 2000 计算机上,此选项的默认设置为“禁用”,但策略工具有可能将其显示为“未定义”。
建议:将此策略设置为禁用。
注意:默认值为“保留原样”,但是禁用此设置可以确保在此设置被更改的计算机上覆盖它。
不在登录屏幕上显示上次的用户名
安全目标:默认情况下,Windows 2000 登录界面显示上次登录到该计算机的用户的用户名。启用此选项将从登录会话中删除上一个用户的名称。因此,试图在本地侵入计算机的入侵者不仅需要猜测密码,还要猜测正确的用户名。但是,获取用户名列表并不是特别困难的事情,因此密码才是正确的防御机制。此外,启用此设置已证明会增加技术支持成本,因为用户可能会忘记他们的用户名。
建议:仅应对为共享使用而设置的计算机启用此设置,如实验室工作站或终端服务器。在其他计算机上,与所造成的技术支持成本增加相比,此设置并不能提供足够的价值。
LAN Manager 身份验证级别
安全目标:此安全选项用于强制 Windows 网络所使用的一种特定类型的身份验证协议,并启用一种新类型的身份验证协议 (NTLMv2)。NTLMv2 是一种新型的身份验证协议,可以显著提高 Windows 身份验证的安全性。它可以防止许多欺骗攻击,并允许服务器向客户端验证自己。
NTLM 协议的特性决定了密码破解者能够使用获取的 NTLM 验证会话破解密码。为了应对这种攻击,开发了 NTLM 版本 2。NTLMv2 引入了一些附加的安全功能,包括:
为每个连接使用唯一的会话密钥。每次建立新的连接时,都会为该会话生成一个唯一的会话密钥。这意味着获取的会话密钥在连接完成后即失效。
会话密钥通过一种密钥交换进行保护。这种会话密钥无法被截获并使用,除非得到用于保护会话密钥的密钥对。
为会话数据的加密和完整性而生成的唯一密钥。用于对从客户端到服务器的数据进行加密的密钥不同于用于对从服务器到客户端的数据进行加密的密钥。
加密更强。NTLMv2 使用一种更为强大的加密协议对会话密钥进行加密,并为消息完整性和验证序列使用更为强大的哈希算法。
有关 NTLMv2 的详细信息,请参阅 Microsoft 知识库文章 147706“How to Disable LM Authentication on Windows NT”(英文)。自 Windows NT 4.0 Service Pack 4 发行后,NTLMv2 已面世;用于 Windows 9x 的 NTLMv2 包含在目录服务客户端中,该客户端位于 Windows 2000 CD-ROM 上的 Clients\Win9x 目录中。在文献中,此设置常被称为 LMCompatibilityLevel,这是启用它的实际注册表开关的名称。
此设置影响身份验证协议以及在身份验证后所使用的会话安全协议。所有自 Windows NT 4.0 SP4 后的基于 Windows NT 的系统(包括 Windows 2000、Windows XP 和 Microsoft Windows Server 2003™)都接受使用 NTLMv2 身份验证的 SMB 客户端连接,而没有进行进一步修改。LMCompatibilityLevel 设置用于修改身份验证的若干方面:
修改系统充当客户端时所发送的身份验证协议;修改系统充当服务器时所接受的身份验证协议。在存储帐户数据库的计算机上,此设置的值决定了以上行为。换句话说,如果使用了域帐户,则域控制器上的此设置的值生效。使用本地帐户时,服务器上的此设置的值有效。
启用 NTLMv2 会话安全性。
与此行为相关的设置有六种。括号中的数字是 LMCompatibilityLevel 注册表值的实际设置。客户端行为列显示了带有该设置的计算机如何充当 SMB 客户端。服务器行为列显示了如果执行身份验证的服务器上配置了此设置,该服务器如何工作。使用域帐户并且可到达域控制器时,身份验证服务器始终是域控制器。如果域控制器不可到达,或者使用的是本地帐户,身份验证服务器是客户端所连接到的服务器。
设置 客户端行为 服务器行为
发送 LM & NTLM 响应(0 或空白)
使用 LM 和 NTLM 身份验证,永远不使用 NTLMv2 身份验证或会话安全性;
接受 LM、NTLM 和 NTLMv2 身份验证
发送 LM & NTLM - 如果协商,则使用 NTLMv2 会话安全性 (1)
使用 LM 和 NTLM 身份验证,如果服务器支持,则使用 NTLMv2 会话安全性。此设置仅在客户端上启用 NTLMv2 会话安全性。它并不更改客户端使用的身份验证协议。
接受 LM、NTLM 和 NTLMv2 身份验证
仅发送 NTLM 响应 (2)
客户端仅使用 NTLM 身份验证,如果服务器支持,则使用 NTLMv2 会话安全性。此设置将阻止客户端使用 LM 身份验证,但并不允许它们使用 NTLMv2 身份验证。
接受 LM、NTLM 和 NTLMv2 身份验证
仅发送 NTLMv2 响应\拒绝 LM (4)
仅使用 NTLMv2 身份验证,如果服务器支持,则使用 NTLMv2 会话安全性。
拒绝 LM(仅接受 NTLM 和 NTLMv2 身份验证)。这是仍允许 RRAS 服务器工作的最高设置。在其中一个系统上将 LMCompatibilityLevel 设置为 5 将导致该系统停止接受传入连接。
仅发送 NTLMv2 响应\拒绝 LM & NTLM (5)
仅使用 NTLMv2 身份验证,如果服务器支持,则使用 NTLMv2 会话安全性。
仅接受 NTLMv2 身份验证。此设置将导致某些情况下域信任被破坏,如包含此设置的值小于 4 的 Windows NT 4.0 域控制器的环境。如果在这样的系统上将 LMCompatibilityLevel 设置为“仅发送 NTLMv2 响应/拒绝 LM (4)”,信任仍有效。但是,它们将无法与不支持 NTLM 身份验证的低级别客户端共同工作。
建议:根据下列指南,尽可能为您的环境设置更高的值:
在纯 Windows NT 4.0 SP4 和更高版本的环境中(包括 Windows 2000 和 XP),在所有客户端上将其设置为 5,并在配置完全部客户端后在所有的服务器上将其设置为 5。例外是 Windows 2000 RRAS 服务器,如果将此设置设置为高于 4,它将无法正常工作。
如果使用的是 Windows 9x 客户端,则可以在所有这些客户端上安装 DSClient,在基于 Windows NT 的计算机(NT、2000 和 XP)上将此设置设置为 5,在 Windows 9x 计算机上设置为 3。否则,必须在非 Windows 9x 计算机上将此设置保留为不高于 3。
如果您发现某些应用程序在启用此设置后无法正常工作,请一次回滚一个步骤,以查明故障原因。最低限度,应当在所有计算机上将此设置设置为 1,一般情况下,可以在所有计算机上设置为 3。如果有优先支持协议,请联系 PSS 并通知他们什么应用程序发生故障,以及故障的级别。
注意:在混合的 Windows NT 4.0 和 Windows 2000 域环境中将 LMCompatibility 设置为高于 2 的值,可能会导致互操作性问题。有关详细信息,请参阅 Microsoft 知识库文章 305379“Authentication Problems in Windows 2000 with NTLM 2 Levels Above 2 in a Windows NT 4.0 Domain”(英文)。
W2KHG-baseline.inf 模板将 LMCompatibilityLevel 设置为“仅发送 NTLMv2 响应 (3)”。
实现授权使用警告
安全目标:将交互登录屏幕配置为显示带标题和警告的登录横幅。该横幅主要用于通知并要求用户遵守授权使用策略。请与法律顾问联系,以确定是否有使用或要求它的法律原因。建议:根据您的信息安全策略设置此横幅。
禁用登录信息缓存
安全目标:Windows 2000 具有缓存登录信息的功能。如果无法在登录期间找到域控制器,并且用户曾经登录过系统,则可以使用那些凭据登录。这非常有用,例如,在便携式计算机上,当用户离开网络时,需要使用此功能。CachedLogonsCount 注册表值决定了 Windows 2000 在本地计算机上的登录缓存中保存多少用户帐户条目。登录缓存是计算机的安全区域,其中的凭据是使用系统最强的加密形式保护的。如果该项的值为 0,Windows 2000 将不会在登录缓存中保存任何用户帐户信息。这种情况下,如果用户的域控制器不可用,并且用户尝试登录到不包含该用户的帐户信息的计算机,Windows 2000 将显示以下消息:“系统现在无法让您登录因为域<域名>;不可用”。
如果管理员禁用了用户的域帐户,该用户仍可以通过断开网线来使用缓存登录。为防止发生这种情况,管理员可以禁用登录信息缓存。默认的设置是允许缓存 10 组凭据。
建议:最少将此值设置为 2,以确保域控制器关机或不可用时系统可用。
防止计算机帐户密码的系统维护
安全目标:Windows 2000 域中的计算机需要向域控制器验证自己,然后才可以使用域的资源。此设置决定了是否防止计算机帐户密码每周都被重置。Windows 2000 安全性规定了“计算机帐户”密码每七天自动更改。如果启用了此策略,将阻止计算机每周请求更改密码。如果禁用此策略,将每周为计算机帐户生成一个新的密码。默认情况下,此策略是禁用的。
建议:将此策略设置为禁用,以确保在某些情况下此设置被覆盖的计算机上此设置配置正确。几乎没有理由再启用此策略。
防止用户安装打印驱动程序
安全目标:决定是否防止 Users 组的成员安装打印驱动程序。如果启用了此策略,将防止用户在本地计算机上安装打印机驱动程序。这会阻止用户在本地计算机上不存在设备驱动程序的情况下添加打印机。如果禁用此策略,Users 组的成员可以在计算机上安装打印机驱动程序。默认情况下,在服务器上,此设置是启用的,在工作站上是禁用的,以降低与强制管理员安装打印机驱动程序相关的技术支持成本。启用此设置时,可能会稍稍增加工作站的安全性,但会显著增加管理开销。必须将这一考虑与第三条永恒安全定理进行权衡:“如果坏蛋对您的计算机具有不受限制的访问,那就不再是您的计算机了。”有关安全定理的详细信息,请参阅位于以下地址的“The Ten Immutable Laws of Security”(英文):
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/columns/security/essays/10imlaws.asp。
建议:不要更改此设置。
在密码到期前提示用户更改密码
安全目标:确定 Windows 2000 提前多长时间警告用户其密码将过期。通过提前警告用户,用户将有充足的时间构思一个足够强的密码。默认情况下,此值设置为 14 天。
建议:无。默认设置已足够。
故障恢复控制台:允许自动系统级管理登录
安全目标:默认情况下,故障恢复控制台要求在访问系统前提供 Administrator 帐户的密码。如果启用此选项,故障恢复控制台将不要求密码,并将自动登录系统。默认情况下,此设置是禁用的,虽然策略工具可能会将其显示为“未定义”。
建议:将此选项设置为禁用。
故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问
安全目标:启用此选项将启用故障恢复控制台的 SET 命令,该命令能够设置以下故障恢复控制台环境变量:
AllowWilWildCards - 启用对某些命令的通配符支持(如,
DEL 命令)。
AllowAllPaths - 允许对计算机上的所有文件和文件夹进行访问。
AllowRemovableMedia - 允许将文件复制到可移动媒体,如软盘。
NoCopyPrompt - 在重写现有文件时不提示。默认情况下,SET 命令是禁用的,并且所有这些变量都没有启用,虽然策略工具可能会将其显示为“未定义”。
建议:启用此选项以提高通过故障恢复控制台恢复系统的能力。
重命名系统管理员帐户
安全目标:用于更改与管理员帐户的安全标识符相关联的名称。这几乎不具有任何安全价值,原因是除非禁用匿名访问,否则确定管理员帐户的名称并不重要。如果“对匿名连接设置附加限制”设置为“不允许匿名枚举 SAM 帐号和共享”,则此设置只能提供很低的安全性。但是,用户名不是密码,因此应使用强密码来保护管理员帐户,而不是使用非标准名称。此外,如果重命名 Administrator 帐户,有些程序可能会发生故障。
建议:除非还能够限制对 SAM 帐户的匿名枚举,否则重命名 Administrator 帐户以求得到安全增益是不值得的。
重命名来宾帐户
安全目标:用于更改与帐户“来宾”的安全标识符相关联的名称。此设置不能提供任何安全价值。
建议:重命名 Guest 帐户以求得到安全增益是不值得的。只需禁用此设置即可。
只有本地登录的用户才能访问 CD-ROM
安全目标:确定 CD-ROM 是否可供本地和远程用户同时访问。如果启用,此策略将仅允许交互式登录的用户访问可移动的 CD-ROM 媒体。如果禁用此策略,CD-ROM 可在无人交互式登录时通过网络共享。
建议:此设置只能提供很低的安全性,特别是它仅在用户登录时生效。请不要启用此设置
只有本地登录的用户才能访问软盘
安全目标:确定软盘是否可供本地和远程用户同时访问。如果启用,此策略仅允许交互式登录的用户访问可移动的软盘媒体。如果禁用此策略,软盘可在无人交互式登录时通过网络共享。
建议:此设置只能提供很低的安全性,特别是它仅在用户登录时生效。请不要启用此设置
安全通道:对安全通道数据进行数字加密或签名(总是)
安全目标:确定计算机是否始终对安全通道数据进行数字加密或签名。安全通道用于域控制器和与成员之间的通信。当 Windows 2000 系统加入域中时,将创建一个计算机帐户。之后,当系统引导时,将使用该帐户的密码创建一个通向它所属域的域控制器的安全通道。通过安全通道通信的例子包括登录通信。在安全通道上发送的请求将被验证,敏感信息(如密码)将被加密,但不会对通道进行完整性检查,也不会加密所有的信息。如果启用此策略,所有传出的安全通道通信都必须进行签名或加密。如果禁用此策略,将域控制器协商签名和加密。默认情况下,此策略是禁用的。
建议:除非想要阻止系统与低级域通信,否则请不要启用此策略。
安全通道:对安全通道数据进行数字加密(如果可能)
安全目标:确定计算机是否与域控制器协商对安全通道的加密。默认情况下,所有的敏感信息已被加密。如果启用此策略,系统将在与支持加密的域控制器进行通信时加密所有通过安全通道的通信。默认情况下,此选项是启用的。
建议:不要更改默认设置。
安全通道:对安全通道数据进行数字签名(如果可能)
安全目标:确定计算机是否协商对安全通道数据进行的完整性签名。在安全通道上发送的请求将被验证,敏感信息(如密码)将被加密,但不会对通道进行完整性检查,也不会加密所有的信息。如果启用此策略,将在与支持签名的域控制器通信时对安全通道通信进行数字签名。默认情况下,此选项是启用的。
建议:不要更改默认设置。
安全通道:要求强(Windows 2000 或更高版本)会话密钥
安全目标:如果启用此策略,所有传出的安全通道通信将要求强(Windows 2000 或更高版本)加密密钥。如果禁用此策略,密钥的强度将与域控制器进行协商。仅当所有受信任域中的域控制器都支持强密钥时,才应启用此选项。默认情况下,此值是禁用的。
建议:如果所有的合法域控制器都运行 Windows 2000 或更高版本的操作系统,请启用此策略。否则,请保留为禁用。
发送未加密的密码以连接到第三方 SMB 服务器
安全目标:如果启用此策略,将允许服务器消息块 (SMB) 重定向器向身份验证期间不支持密码加密的非 Microsoft SMB 服务器发送明文密码。默认情况下,此选项是禁用的。
建议:将此选项设置为禁用以确保它会覆盖对各台计算机进行的更改。
如果无法记录安全审核则立即关闭系统
安全目标:确定在无法记录安全事件时是否应关闭系统。如果启用此策略,将导致系统在因任何原因无法记录安全审核时停机。通常,当安全审核日志已满且该安全日志指定的保留方法为“不要改写事件”或“按天数覆盖事件”时,将无法记录事件。如果安全日志已满,现有的条目无法覆盖,并且启用了此选项,将发生以下蓝屏错误:
STOP: C0000244 {审核失败}
未能生成安全审核。要进行恢复,必须由管理员登录,存档日志(如果需要),清除日志,然后根据需要重置此选项。默认情况下,此策略是禁用的。如果启用此策略,攻击者只需生成大量事件日志条目,就可以轻松地导致拒绝服务。建议:不要启用此策略。适当的日志管理策略可以防止丢失事件,而不会导致攻击者造成拒绝服务。
智能卡移除操作
安全目标:确定当登录用户的智能卡被从智能卡读取器中移除时发生什么。选项有:
无操作
锁定工作站
强制注销
默认情况下,指定“无操作”。如果指定“锁定工作站”,则工作站将在移除智能卡后锁定,使用户能带着智能卡离开工作区,并维持受保护的会话。如果指定“强制注销”,则当移除智能卡时,用户将被自动注销。
建议:将智能卡移除配置为锁定工作站。注意:智能卡登录仅在域环境中支持。因此,此设置对独立系统无效。
增强全局系统对象(如符号链接)的默认权限
安全目标:确定系统对象的默认随机访问控制列表 (DACL) 的强度。Windows 2000 维护一个共享系统资源(如 DOS 设备名、多用户终端执行程序和信号灯)的全局列表。进程之间可以定位并共享对象。各种类型的对象在创建时都附带了默认的 DACL,指定谁可以用何种权限访问该对象。如果启用此策略,默认的 DACL 较强,允许非管理员用户读取共享对象,但是不能修改不是由他们创建的共享对象。默认情况下,此选项在 Windows 2000 Professional 和 Server 上是本地启用的,但是并没有在域安全策略中定义。
建议:确保将此设置配置为“启用”。
未签名驱动程序的安装操作
安全目标:确定当试图安装(使用 Windows 2000 设备安装程序)未经设备驱动程序发行者签名的设备驱动程序时发生什么。选项有:
默认继续
允许安装但发出警告
禁止安装
默认的设置为“允许安装但发出警告”。
建议:默认的设置已足够。
未签名非驱动程序的安装操作
安全目标:确定当试图安装未经签名的非设备驱动程序软件时发生什么。
选项有:
默认继续
允许安装但发出警告
禁止安装
默认设置是“默认继续”。
建议:目前只有少数软件具有数字签名。因此,此设置没什么实际效果。保留默认值即可。
返回页首
其他安全设置
本部分讨论的其他安全设置在默认的安全策略 GUI 中找不到。这些设置可通过使用注册表编辑器或通过安装本指南附带的自定义 sceregvl.inf 模板来进行配置。自定义的 sceregvl.inf 模板可以将这些设置添加到默认的安全策略 GUI 中。
有关如何编辑注册表的信息可通过注册表编辑器本身的“帮助”工具得到。例如,您可以使用以下步骤来查看有关向注册表中添加一个项的说明。
• 查看有关项注册表中添加项的说明
1.
从“开始”菜单中,选择“运行”。
2.
在“运行”对话框的文本框中,键入 regedt32 并单击“确定”,打开注册表编辑器 (Regedt32.exe)。
3.
从“帮助”菜单中,选择“目录”。
4.
在注册表编辑器的“帮助”工具的右侧窗格中,单击“在注册表中添加和删除信息”超链接。
5.
该窗格即显示有关在注册表中添加和删除信息的帮助主题列表。单击“向注册表中添加项”超链接以获得详细说明。
注意:您应当使用 regedt32.exe(也称为 Windows NT 注册表编辑器),而不是 regedit.exe(也称为 Windows 95 注册表编辑器)来修改注册表设置。Windows 2000 附带了两个注册表编辑器,一般认为 regedit.exe 更易于使用。但是,regedit.exe 并不支持所有的注册表数据类型,并会转换某些它无法理解的类型。某些值如果被转换,将无法正确读取,这可能导致严重的系统问题,包括无法引导。您需要自己承担手动编辑注册表的风险。修改注册表前,请确保您进行了备份,并确保您了解如何在发生问题时还原注册表。有关如何备份、还原和编辑注册表的详细信息,请参阅 Microsoft 知识库文章 256986“Description of the Microsoft Windows Registry”(英文)。
返回页首
其他注册表设置
本部分中的⒉岜砩柚每捎糜诮?徊教岣卟僮飨低车陌踩?浴3?恕癝ervice Pack 3 注册表项”部分中的设置,各个版本的 Windows 2000 中都包含这些设置。
返回页首
删除 OS/2 和 POSIX 子系统
包含 OS/2 和 POSIX 子系统是为了能与 POSIX 和 OS/2 应用程序兼容。很少出现需要在 Windows 2000 上运行这些类型的应用程序的情况,大多数情况下,可以将这些子系统安全地移除。但是,应当在手动删除该注册表项之前制作一个备份(或者使用模板,这样可以反转设置)。要从 Windows 2000 中移除 OS/2 和 POSIX 支持,请按照下表中的信息编辑注册表并删除其值。
表 5:删除 POSIX 和 OS/2 支持的注册表项
项路径:HKLM\SYSTEM\CurrentControlSet\Control\Session Manager 类型 值
项:SubSystems
值名称:Optional
REG_MULTI_SZ
删除所有的项
注意:如果手动更改,请务必使用 regedt32.exe 进行操作。Regedit.exe 无法处理 REG_MULTI_SZ 值。使用 regedit.exe 删除所有的“Optional”值将导致系统无法引导。有关详细信息,请参阅上一页中的注释。如果使用组策略进行这一更改,将可以正确地完成。
注意:Dell 计算机以前附带某些有提取程序的更新文件,这种提取程序是为 OS/2 编写的。如果删除了 OS/2 子系统,这些更新文件将无法工作。
注意:Microsoft 的 Services for Unix 产品要求 Posix 子系统。请不要从需要运行 Services for Unix 的计算机中删除该子系统。
返回页首
限制空会话访问
空会话用于进行各种未验证的旧式通信。可以通过计算机上的各种共享利用它们。要防止对计算机的空会话访问,请向注册表中添加一个名为 RestrictNullSessAccess 的值。将值设置为 1 将限制对所有服务器管道和共享的空会话访问,例外是 NullSessionPipes 和 NullSessionShares 项中列出的管道和共享。
表 6:防止空会话的注册表项
项路径:HKLM\SYSTEM\ CurrentControlSet\Services\LanmanServer 类型 值
项:Parameters
值名称:RestrictNullSessAccess
REG_DWORD
1
返回页首
限制对已命名管道和共享空会话访问
限制这些访问有助于防止通过网络进行的未授权访问。要限制对已命名管道和共享目录的空会话访问,请按照下表中的信息编辑注册表项并删除其值。
表 7:防止对已命名管道和共享的空会话的注册表项
项路径:HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer 类型 值
项:Parameters
值名称:NullSessionPipes、NullSessionShares
REG_MULTI_SZ
删除所有的值
注意:某些服务需要使用空会话访问。例如,Microsoft Commercial Internet System 1.0 需要 Microsoft SQL Server™ 计算机上的 SQL\query 管道来运行 POP3 服务。
返回页首
从网络浏览列表中隐藏该计算机
在 Windows 域和工作组中,一台计算机维护着一个网络上的资源的列表。该列表称为浏览列表,包含网络上可用的共享、打印机等的列表。默认情况下,所有安装了 SMB 协议的计算机都向这个资源列表报告(该列表由主浏览器维护),无论这些计算机是否提供任何资源。很多时候这都会造成不必要的网络开销,并使防火墙内潜在攻击者更易于获得可用网络资源的列表。因此,应当关闭不提供任何资源的计算机上的浏览器公告。为此,其中一个方法是关闭计算机浏览器服务。但是,这会导致客户计算机无法获得浏览列表的副本,使得终端用户非常难以找到合法网络资源。更好的解决方案是将计算机从浏览列表中隐藏。这主要应当对工作站和便携式计算机使用。因此,本指南附带的两个工作站模板和便携式计算机模板中都关闭了此设置。
表 8:将计算机从网络浏览列表隐藏的注册表项
项路径:HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer 类型 值
项:Parameters
值名称:hidden
REG_DWORD
1
注意:这无法阻止攻击者得到网络上的资源的列表。这样的列表可以通过使用各种方法得到,特别是在没有关闭对 SAM 帐户和共享的匿名枚举时。但是,这么做的确可以使生成该列表的过程大费周折。
返回页首
Service Pack 3 注册表项
Service Pack 3 引入了一些新的注册表项,可对这些项进行配置以提高操作系统所能提供的安全性。
返回页首
移除默认的 IPSec 免除
由设计决定,某些类型的通信是不受 IPSec 保护的,即使是 IPSec 策略指定了所有的 IP 通信都要进行保护。这种 IPSec 免除适用于广播、多播、RSVP、IKE 和 Kerberos 通信。有关这些免除的详细信息,请参考 Microsoft 知识库文章 254949“Client-to-Domain Controller and Domain Controller-to-Domain Controller IPSec Support”(英文)。攻击者可以利用这种免除来规避 IPSec 限制。因此,如果可能,应当删除之。在不使用 IPSec 的系统上,此设置无效。
表 9:防止 IPSec 免除的注册表项
项路径:HKLM\SYSTEM\CurrentControlSet\Services 类型 值
项:IPSEC
值名称:NoDefaultExempt
REG_DWORD
1
有关此开关的详细信息,请参考 Microsoft 知识库文章 811832“IPSec Default Exemptions Can Be Used to Bypass IPsec Protection in Some Scenarios”(英文)。
返回页首
更改 DLL 搜索顺序
Windows 平台的大多数程序都使用各种动态链接库 (DLL) 来避免重复实现功能。操作系统为每个程序加载若干个 DLL,具体由程序的类型决定。当程序不指定 DLL 的绝对位置时,将使用默认的搜索顺序来找到它。默认情况下,操作系统所使用的搜索顺序为:
1.
内存
2.
KnownDLLs
3.
清单与 .local
4.
应用程序目录
5.
当前工作目录
6.
系统目录(%systemroot%、%systemroot%\system 和 %systemroot%\system32)
7.
路径变量
由于当前工作目录是在系统目录之前搜索的,可以访问文件系统的人可以利用这一特点来导致由某个用户启动的程序加载伪装的 DLL。如果用户双击文档启动了一个程序,则当前的工作目录实际上就是该文档的位置。如果位于该目录下的 DLL 具有与系统 DLL 相同的名称,则位于该位置的 DLL 将被加载,而不是系统 DLL。这种攻击方法实际上正是 Nimda 病毒所使用的。
为了应对这种方法,Service Pack 3 中创建了一个新的设置,该设置将当前的工作目录从搜索顺序中移到了系统目录之后。但是,为了避免应用程序兼容性问题,默认情况下此开关并没有打开。要打开它,请设置以下注册表值:
表 10:更改 DLL 搜索顺序的注册表项
项路径:HKLM\SYSTEM\CurrentControlSet\Control 类型 值
项:Session Manager
值名称:SafeDllSearchMode
REG_DWORD
1
返回页首
防止应用程序生成的输入干扰会话锁
Service Pack 3 中引入了一个新的注册表项,可用于防止应用程序生成的键盘/鼠标输入消息干扰会话锁。默认情况下,应用程序会生成虚设输入,以防止屏幕保护程序计时器的累计,从而防止激活屏幕保护程序。该值的名称为 BlockSendInputResets,对于大多数策略设置,该值位于软件\策略树之下:
HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop
策略的优先级高于用户应用的设置。该值将为 REG_SZ,以便与其他相关的项保持一致。它会被解释为任意非零布尔值,表示设置了该值,且该功能已激活。零值或空值将保持当前的功能。
设置了该值后,仅“真实”(鼠标或键盘)输入才会重置屏幕保护程序计时器。目前,有三种“插入”的输入可以重置计时器的情况。
通过 SendInput 插入的输入 – 这种情况发生在应用程序有意模拟输入的情况下,将会被阻止。
窗口激活 – 当激活新的窗口时,计时器将被重置。除非屏幕保护程序已被激活,否则这也会被阻止。
对 SystemParametersInfo 的调用,该函数可以设置 SPI_SETSCREENSAVETIMEOUT、SPI_SETSCREENSAVEACTIVE、SPI_SETLOWPOWERTIMEOUT、SPI_SETLOWPOWERACTIVE、SPI_SETPOWEROFFTIMEOUT,SPI_SETPOWEROFFACTIVE。如果设置了 BlockSendInputResets,这将不再导致计时器重置。对于用户来说,这不会造成影响,因为设置这些值的用户会因他们的鼠标移动或击键而造成“真实”输入。
要启用此功能,请按照下表中的信息编辑一些注册表项。可能需要创建其路径。
表 11:防止应用程序生成的输入干扰会话锁的注册表项
项路径:(策略)HKCU\Software\Policies\Microsoft\Windows\Control Panel 类型 值
项:Desktop
值名称:BlockSendInputResets
REG_SZ
1
注意:请一定注意,要使此功能有意义,需要与此值一起配置相应的屏幕保护程序设置。以下是所需的屏幕保护程序设置:
• 选定的屏幕保护程序
• 密码保护
• 屏幕保护程序超时期间
如果屏幕保护程序配置不正确,此功能基本上不会对计算机的总体安全性有任何影响。有关设置密码保护的屏幕保护程序的详细信息,请参阅本模块的“启用自动屏幕锁定保护”部分。
返回页首
当审核日志满到一定百分比阈值时生成审核事件
Service Pack 3 引入了一种在安全事件日志达到可配置的阈值时生成安全审核的功能。要启用此功能,必须按照下表中的信息创建值。该值中的数据指定将导致安全性日志中记录该事件的百分比值。下表中所示的值是一个推荐值,可以根据本地操作的需要将其配置为适当的值。例如,如果按如下所示的方式进行设置,当安全日志的大小达到所示的百分比 (90) 时,安全日志将显示一个 eventID 为 523 的事件条目,其文本为:The security event log is 90 percent full。可以配置一个 IDS 来中止该事件,并执行日志转储和重置。
表 12:在审核日志满到一定百分比阈值时生成审核事件的注册表项
项路径:HKLM\SYSTEM\CurrentControlSet\Services\Eventlog 格式 值
项:Security
值名称:WarningLevel
REG_DWORD
90
注意:如果日志设置为“根据需要覆盖事件”,则此设置无效。
返回页首
强化 TCP/IP 堆栈以防止拒绝服务攻击
拒绝服务攻击是试图导致计算机或计算机上的特定服务不可供网络用户使用的网络攻击。以下与 TCP/IP 相关的注册表值可用于增强 Windows 2000 中的 Windows 2000 TCP/IP 堆栈对拒绝服务网络攻击的抵御能力。下面的表 13 中列出的值可以在所有的系统上设置,虽然有些值需要添加到指定的注册表项中。您可以在 Microsoft 知识库文章 315669“HOW TO: Harden the TCP/IP Stack Against Denial of Service Attacks in Windows 2000”(英文)中找到其他详细信息。
表 13:强化 TCP/IP 堆栈以防止拒绝服务攻击的注册表项
项路径:HKLM\SYSTEM\CurrentControlSet\Services\Tcpip 格式 值
项:Parameters
值名称:DisableIPSourceRouting
REG_DWORD
2
项:Parameters
值名称:EnableDeadGWDetect
REG_DWORD
0
项:Parameters
值名称:EnableICMPRedirect
REG_DWORD
0
项:Parameters
值名称:EnableSecurityFilters
REG_DWORD
1
项:Parameters
值名称:KeepAliveTime
REG_DWORD
300,000
项:Parameters
值名称:PerformRouterDiscovery
REG_DWORD
0
项:Parameters
值名称:SynAttackProtect
REG_DWORD
2
项:Parameters
值名称:TcpMaxConnectResponseRetransmissions
REG_DWORD
2
项:Parameters
值名称:TcpMaxConnectRetransmissions
REG_DWORD
3
项:Parameters
值名称:TcpMaxDataRetransmissions
REG_DWORD
3
项:Parameters
值名称:TCPMaxPortsExhausted
REG_DWORD
5
表 14 与 15:进一步强化处理 SMB 通信的重要服务器(如文件服务器或域控制器)的注册表项
项路径:HKLM\SYSTEM\CurrentControlSet\Services\Tcpip 格式 值
项:Parameters
值名称:EnablePMTUDiscovery
REG_DWORD
0
项路径:HKLM\SYSTEM\CurrentControlSet\Services\NetBT 格式 值
项:Parameters
值名称:NoNameReleaseOnDemand
REG_DWORD
1
不应在客户端上设置这些值。EnablePMTUDiscovery 会禁用对最大传送单位的检测,以防止堆栈因为被攻击者设置了非常小的 MTU 而溢出。在客户端系统上,如果保留此值的默认设置 (1),可以得到更好的性能。NoNameReleaseOnDemand 设置将系统配置为拒绝名称发布请求发布其 SMB 名称。此设置可以防止攻击者通过向服务器发送名称发布请求来导致服务器无法供合法客户端访问。但是,如果在客户端上配置此设置,并且该客户端被错误地配置为与重要服务器同名,则该服务器将无法恢复其名称,合法请求将可能会被定向到恶意服务器,最好的情况下,也会导致拒绝服务。
返回页首
检查时间服务身份验证
检查下表中显示的项,确保类型值设置为 NT5DS。这可以确保系统运行时带有经过身份验证的时间服务。
表 16:用来确保系统运行时带有经过身份验证的时间服务的注册表项
项路径:HKLM\SYSTEM\CurrentControlSet\Services\W32Time 格式 值
项:参数
值名称:类型
REG_SZ
Nt5DS
注意:由于“安全配置编辑器”界面的限制,用户界面中不能显示此设置。但是,由于基准模板中设置了此设置,所以将对它进行配置。
返回页首
禁止 LMHash 创建
基于 Windows 2000 的服务器可以对运行所有早期版本 Windows 的计算机进行身份验证。但是,早期版本的 Windows 不使用 Kerberos 进行身份验证,所以 Windows 2000 支持 LAN Manager (LM)、Windows NT (NTLM) 和 NTLM 版本 2 (NTLMv2)。NTLM、NTLMv2 和 Kerberos 都使用 Unicode 哈希(也称为 NT 哈希),而 LM 身份验证协议使用 LM 哈希。LM 哈希比 NT 哈希弱,因此更易于受到快速强力攻击。LM 哈希还删除了使用复杂密码添加到哈希中的大量信息。因此,如果向后兼容不需要 LM 哈希,则应避免存储此哈希。在只安装了 Windows 95 和较新客户端的环境中,不需要 LM 哈希。但是,用户如果没有 LM 哈希,将无法连接到作为服务器的 Win9x 计算机。
Windows 2000 Service Packs 2 及更高版本提供了注册表设置,以禁止存储 LM 哈希。有关更多信息,请参阅 Microsoft 知识库文章 299656“New Registry Key to Remove LM Hashes from Active Directory and Security Account Manager”(英文)。
表 17:用来禁止创建 LMHash 的注册表项
项路径:HKLM\SYSTEM\CurrentControlSet\Control\LSA 格式 值
项:NoLMHash
N/A
N/A
在 Windows 2000 上,此设置是称为 NoLMHash 的项。但是,在 Windows XP 或 Windows Server 2003 上创建此项没有作用。在这些操作系统上,此设置是称为 NoLMHash 的 DWORD 值。如果创建可在所有这些操作系统上使用的自定义策略模板,则可以同时创建此项和值(值位于相同的位置,值 1 禁止创建 LM 哈希)。此项在 Windows 2000 系统升级到 Windows Server 2003 时升级,对注册表中的设置没有损害。
注意:基准模板配置此策略。如果您的客户端运行的是 Windows 3.1 或原始版本的 Windows 95,现在需要连接到 Windows 2000 系统,则一定不要为 Windows 2000 系统配置此设置。
返回页首
禁用自动运行
一旦媒体插入驱动器,自动运行即从驱动器上开始读取。因此,程序安装文件和音频媒体上的声音会立刻启动。为了避免在媒体插入时可能启动恶意程序,需创建以下注册表项,以便在所有驱动器上禁用自动运行。
表 18:用来禁用自动运行的注册表项
项路径:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies 格式 值
项:Explorer
值名称:NoDriveTypeAutoRun
REG_DWORD
255
请注意,自动运行是用户期望的可用性设置。因此,应该只在管理员登录的服务器和工作站上进行此更改。
返回页首
LDAP 绑定命令请求设置
此值用来确定 LDAP 服务器 (ldapagnt.lib) 对如下 LDAP 绑定命令请求的处理。
• 1(默认值)或未定义:当处理指定 SASL 身份验证机制的 LDAP 绑定命令请求时,用于 AD 的 LDAP 代理始终支持 LDAP 客户端对 LDAP 流量签名的请求。
• 2:用于 AD 的 LDAP 代理只在 LDAP 绑定命令请求中支持 SASL,除非传入的请求已经使用 TLS/SSL 进行了保护。如果使用了其他类型的身份验证,它将拒绝 LDAP 绑定命令请求。如果 LDAP 绑定命令请求不是通过 TLS/SSL 传入的,则在客户端安全上下文中需要 LDAP 流量签名选项。
要设置此值,请按下表所示编辑注册表项,创建值为 2 的 LdapServerIntegrity 值。
表 19:用于 LDAP 绑定命令请求设置的注册表项
项路径:HKLM\System\CurrentControlSet\Services\NTDS 格式 值
项:参数
值名称:LdapServerIntegrity
REG_DWORD
2
请注意,此设置对客户端系统没有作用。
返回页首
当审核日志满时生成管理警报
要为基于 Windows 2000 的计算机添加警报服务接收者,请按下表所示编辑注册表(使用 Regedt32.exe)。值项是接收管理警报的每个接收者的名称(用户名或计算机名)。在“数据”对话框中,每个接收者应该位于单独一行。
注意:管理警报依赖警报服务和 Messenger 服务。确保警报服务在源计算机上运行,Messenger 服务在接收者计算机上运行。
表 20:用来配置管理警报接收者的注册表项
项路径:HKLM\SYSTEM\CurrentControlSet\Services\Alerter 格式 值
项:参数
值名称:AlertNames
REG_MULTI_SZ
如上所述
返回页首
关闭文件夹中的 Web 视图
文件夹 Web 视图(在 Windows XP 中称为公用任务)允许使用背景图片和其他活动内容对文件夹进行自定义。在文件夹中选择内容后,它还启用了内容解析。如果内容包含恶意代码(例如感染了病毒的网页或 Word 文档),则一旦选择文档,恶意代码将会启动。因此,您应该至少在管理工作站上关闭 Web 视图。可以在 GUI 中完成此操作,方法是在“文件夹选项”对话框中选择“使用 Windows 传统风格的文件夹”。也可以通过配置以下注册表值在注册表中完成此操作:
表 21:用来关闭文件夹中的 Web 视图的注册表项
项路径:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced 格式 值
项:Advanced
值名称:WebView
REG_DWORD
1
返回页首
加强 NTLM SSP
使用 NTLM 安全支持提供程序 (SSP)(包括通过 RPC 进行通信的程序)的程序不受本模块前面所述的 LMCompatibilityLevel 设置的直接影响。NTLM SSP 使用其自己的安全设置来控制其行为。通过创建称为 NtlmMinClientSec 和 NtlmMinServerSec 的值,可以在系统分别作为客户端和服务器时控制系统的行为。
此设置是位掩码,实际数据是下列值的逻辑 OR:
• 0x00000010 邮件完整性
• 0x00000020 邮件机密性
• 0x00080000 NTLMv2 会话安全
• 0x20000000 128 位加密
• 0x80000000 56 位加密
也就是说,要加强邮件完整性和机密性以及使用 NTLMv2 和 128 位加密,需要设置值 0x20080030。在保证网络上使用的应用程序能够正常工作的前提下,应该将此设置设置得尽量高。
表 22:用来加强 NTLM SSP 的注册表项
项路径:HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA 格式 值
项:MSV1_0
值名称:NtlmMinClientSec 和 NtlmMinServerSec
REG_DWORD
0x20080030
注意:此设置将中断应用程序。下面是已知的不兼容:
• FrontPage 2000 与 0x20080000 不兼容。使用此设置后,FrontPage 客户端将无法与 FrontPage Server Extensions 服务器进行通信
• 配置 NtlmMinServerSec 后,节点将无法加入群集。
您还必须确保客户端与服务器设置相匹配。许多本地管理工具使用 RPC 进行通信,如果客户端与服务器设置不匹配,很可能这些工具将无法进行本地连接。如果客户端上的 NtlmMinClientSec 设置与服务器上的 NtlmMinServerSec 设置不匹配,远程连接将失败。因此,必须对网络中的两个设置一致使用相同的设置。
返回页首
审核日志管理
使用域安全策略中的事件日志文件夹或与域、OU 和站点(域)相关的特定组策略对象,可以为域中的所有计算机配置事件日志(包括安全日志)的管理选项。在本地安全策略对象中,不显示事件日志文件夹。在这些系统上,在事件日志管理单元中直接管理这些设置。
对于域成员,可以使用事件查看器管理单元配置本地审核的管理选项。从事件查看器,选择适当的属性界面,以便为特定日志(例如安全日志)设置管理选项。
这些界面允许查看、排序、筛选和搜索事件日志以及设置最大日志大小或清除日志。用户必须拥有事件日志文件的访问权,才能成功查看此文件。要查看安全日志的内容,用户必须以 Administrator 组成员的身份登录。使用事件查看器本身并不需要特殊的特权。 只有在日志和某些注册表设置上,ACL 才强制需要特权。
访问事件日志的设置
• 查看事件日志的当前设置以及允许编辑域和域控制器策略
1.
根据需要打开“域安全策略”或“域控制器安全策略”。
2.
展开“安全设置”。
3.
在“安全设置”中,展开“事件日志”,以显示“事件日志设置”。
4.
单击“事件日志设置”。右侧的详细信息窗格显示可配置的审核日志管理设置。
5.
按照表 23 中的建议设置审核策略。
图 6:事件日志的策略设置
• 查看事件日志的当前设置以及允许独立工作站和服务器的编辑
1.
打开“事件查看器”:单击“开始”,指向“程序”,指向“管理工具”,然后单击“事件查看器”。
2.
右键单击“安全日志”,然后选择“属性”。“安全日志属性”窗口将出现,其中显示了可配置的审核日志管理设置。
图 7:安全日志属性
3.
按照表 23 中的建议设置审核策略。
表 23:审核管理设置
审核管理和配置 域 WKS 域便携式计算机 DC 域服务器 独立 WKS 独立服务器
设置应用程序日志最大大小
安全目标:指定应用程序事件日志的最大大小。默认值为 512KB,最大大小为 4GB (4,194,240KB)。根据平台功能及应用程序相关事件历史记录的需要,对应用程序日志大小的要求不同。
建议:默认设置对于大多数系统是适合的。
设置安全日志最大大小
安全目标:指定安全事件日志的最大大小。默认值为 512KB,最大大小为 4GB。
建议:在 DC 和服务器上至少配置为 20 MB。配置其他系统,以便日志大小适合于检查日志的频率、可用磁盘空间等。本模板将所有其他系统的日志大小配置为 5 MB。
设置系统日志最大大小
安全目标:指定系统事件日志的最大大小。默认值为 512KB,最大大小为 4GB。
建议:对于大多数环境,默认设置是适合的。
限制应用程序日志的来宾访问权
安全目标:防止对应用程序事件日志的匿名访问。如果启用此策略,来宾不能访问应用程序事件日志。默认情况下,在所有 Windows 2000 操作系统上本地禁用此策略。
建议:在所有系统上将此策略设置为“启用”。请注意,默认情况下,在所有系统上禁止来宾访问权。因此,此设置对默认系统没有真正的影响。但是,它是具有很少副作用的深层防御设置。
限制安全日志的来宾访问权
安全目标:阻止对安全事件日志的匿名访问。如果启用此策略,来宾不能访问安全事件日志。默认情况下,在所有 Windows 2000 操作系统上本地启用此策略。用户必须拥有管理审核和安全日志用户权限,才能访问安全日志。由于来宾没有此权限,所以此设置只是深度防御。
建议:在所有系统上将此策略设置为“启用”。
限制系统日志的来宾访问权
安全目标:阻止对系统事件日志的匿名访问。如果启用此策略,来宾不能访问系统事件日志。默认情况下,在所有 Windows 2000 操作系统上本地禁用此策略。
建议:在所有系统上将此策略设置为“启用”。
保留应用程序日志
安全目标:当在域策略中将应用程序日志的保留方法设置为“按天数覆盖事件”时,或者当在独立工作站或服务器的“应用程序日志属性”窗口中选择了“覆盖旧于”选项时,确定为应用程序日志保留事件的天数。仅当按计划的时间间隔归档日志时设置此值,并确保应用程序日志最大大小足够大,以适合此时间间隔。
建议:不要更改默认设置“未定义”。
保留安全日志
安全目标:当在域策略中将应用程序日志的保留方法设置为“按天数覆盖事件”时,或者当在独立工作站或服务器的“安全日志属性”窗口中选择了“覆盖旧于”选项时,确定为安全日志保留事件的天数。仅当按计划的时间间隔归档日志时设置此值,并确保安全日志最大大小足够大,以适合此时间间隔。
建议:不要更改默认设置“未定义”。
保留系统日志
安全目标:当在域策略中将应用程序日志的保留方法设置为“按天数覆盖事件”时,或者当在独立工作站或服务器的“系统日志属性”窗口中选择了“覆盖旧于”选项时,确定为系统日志保留事件的天数。仅当按计划的时间间隔归档日志时设置此值,并确保系统日志最大大小足够大,以适合此时间间隔。
建议:不要更改默认设置“未定义”。
应用程序日志保留方法
安全目标:确定操作系统将如何处理达到最大大小的应用程序日志。
建议:将此方法设置为“按需要覆盖事件”,以确保记录最新的事件。请注意:如果需要历史事件用于讨论或疑难解答目的,则一定要定期归档日志。根据需要覆盖事件可以确保日志始终保留最新的事件,虽然这可能导致历史数据丢失。
安全日志保留方法
安全目标:确定操作系统将如何处理达到最大大小的安全日志。
建议:将此方法设置为“按需要覆盖事件”,以确保记录最新的事件。请注意:如果需要历史事件用于讨论或疑难解答目的,则一定要定期归档日志。根据需要覆盖事件可以确保日志始终保留最新的事件,虽然这可能导致历史数据丢失。
系统日志保留方法
安全目标:确定操作系统将如何处理达到最大大小的系统日志。
建议:将此方法设置为“按需要覆盖事件”,以确保记录最新的事件。请注意:如果需要历史事件用于讨论或疑难解答目的,则一定要定期归档日志。根据需要覆盖事件可以确保日志始终保留最新的事件,虽然这可能导致历史数据丢失。
当安全日志满时关闭计算机
安全目标:确定在无法记录安全事件时系统是否应该关闭。启用此策略后,如果出于任何原因不能记录安全审核,则会导致系统暂停。通常,当安全审核日志已满并且为安全日志指定的保留方法是“不要改写事件”或“按天数覆盖事件”时,将无法记录事件。
建议:不要启用此设置。启用此设置会使“拒绝服务”攻击变得非常容易,且会严重影响计算机正常工作时间。
返回页首
默认组帐户
本节讨论对默认 Windows 2000 操作系统安装中内置组的默认组成员的必需更改和建议更改。这些内置组具有用户权限和特权以及组成员的预定义集合。五个内置组类型定义如下:
• 全局组
当建立 Windows 2000 域时,在 Active Directory 存储区中创建内置全局组。全局组用来对整个域中使用的通用类型用户和组帐户进行分组。全局组可以包含本机模式域中的其他组。
• 域本地组
域本地组向用户提供特权和权限,以便在域控制器和 Active Directory 存储区中执行任务。域本地组只在域中使用,不能导出到 Active Directory 树中的其他域。
• 通用组
只可以在本机 Windows 2000 域中使用通用组。可以跨整个目录林使用通用组。
• 本地组
独立 Windows 2000 服务器、成员服务器和工作站都有内置本地组。这些内置本地组向成员提供了只在此组所属的特定计算机上执行任务的能力。
• 系统组
系统组没有可以修改的特定成员。每个系统组用来代表特定用户类别或代表操作系统本身。这些组是在 Windows 2000 操作系统中自动创建的,但在组管理 GUI 中不显示。这些组只用于控制资源的访问权。
检查/修改域的组帐户成员身份
• 访问域中的组帐户
1.
在域控制器中以管理帐户登录。
2.
从“开始”菜单,指向“程序”,指向“管理工具”,然后单击“Active Directory 用户和组”。
3.
在控制台树中,双击域节点。在“内置”和“用户”容器中可以找到组帐户。
图 8:内置帐户
检查/修改独立或成员计算机的组帐户成员身份
• 访问独立或单独域成员计算机中的组帐户
1.
使用管理帐户登录。
2.
从“开始”菜单,指向“程序”,指向“管理工具”,然后单击“计算机管理”。
3.
在控制台树中,双击“本地用户和组”。在“组”容器中可以找到组帐户。
图 9:组帐户
注意:按表 24 中的建议设置组成员身份。此表列出了默认组。特定系统角色的选中标记指出此组是此系统类型的本机组,必须在此系统类型上进行管理。
更改帐户的主要组成员身份
为了进行下表中标识的一些必需的组成员身份更改,您必须从特定组删除帐户。为了与其他网络协议(例如 AppleTalk)兼容,帐户必须在域中有主要组分配。因此,当计算机加入域时,您可能必须更改默认设置的帐户的主要组成员身份。如果尝试从“Active Directory 计算机和用户”GUI 中的帐户主要组删除帐户,则操作将被拒绝,并显示以下消息:
图 10:主要组删除消息
• 更改帐户的主要组
1.
使用域控制器中的管理帐户登录。
2.
从“开始”菜单,指向“程序”,指向“管理工具”,然后单击“Active Directory 用户和组”。
3.
在控制台树中,双击域节点。
4.
在“用户”容器中可以找到用户帐户。
5.
右键单击帐户名称,然后从菜单中选择“属性”。将显示帐户“属性”GUI。
6.
选择“成员属于”选项卡,以显示帐户所属的组的列表。当在“成员属于”窗口中单击任何组时注意观察,“设置主要组”按钮可能是活动的,也可能是非活动的。对于可以设置为主要组的组,“设置主要组”按钮是活动的;对于不能设置为主要组或者已经是主要组的组,此按钮是非活动的。
图 11:Guest 帐户属性
7.
要更改帐户的主要组,请选择将成为新主要组的组,然后单击“设置主要组”(您必须使“设置主要组”按钮活动)。请注意,在“设置主要组”按钮上方标识为“主要组:”的组将更改为新选择。
8.
单击“应用”,然后单击“确定”。
注意 1:如果转而使用组策略 GUI 从组中删除帐户,则帐户在删除时没有主要组。这不会有反面影响,除非 Posix 应用程序或 Macintosh 客户端需要使用帐户。
注意 2:在下表中,有对 SID 的引用。SID 是安全标识符,它是代表特定用户或组的值。例如,SID S-1-5-7 代表匿名登录组。有关更多信息,请参阅 Technet(网址是 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windows2000serv/reskit/distsys/part5/dsgappe.asp)或 Windows 2000 Resource Kit 中的“Well Known Identifiers”文章(英文)。
表 24:组成员身份
组成员身份修改 域 WKS 域便携式计算机 DC 域服务器 独立 WKS 独立服务器
全局和通用组
默认成员
修改/验证
DnsUpdateProxy
无
不向此组添加帐户。
Domain Admins
Administrator
不向此组添加非管理帐户。
Domain Guests
Guest
不向此组添加帐户。
Domain Users
Administrator
Guest
Krbtgt
TsInternetUser
(所有新用户都是在默认情况下添加的)
删除 Guest 帐户,确保禁用 TsInternetUser 帐户。
注意:删除 Guest 帐户之前,请将此帐户的主要组更改为 Domain Guests。
Enterprise Admins
Administrator (Domain Controller Administrator)
不向此组添加非管理帐户。
警告:此组将具有整个目录林中每个计算机的完全管理特权。决不应将此组中的帐户用于除管理系统之外的任何其他目的。
Group Policy Creator Owner
Administrator
不向此组添加非管理帐户。
Schema Adm |
|
免费注册
发表于 2004-08-27 16:55
