概述
本章说明了用于管理所有运行 Microsoft® Windows Server™ 2003 SP1 的服务器的基准安全模板的配置要求。本章还为三种不同环境中的安全 Windows Server 2003 SP1 配置的设置和配置提供了管理指导。本章中的配置要求构成了本指南后续章节中所介绍的所有过程的基准。这些章节介绍了如何强化特定的服务器角色。
本章中的设置建议有助于在企业环境中建立业务应用程序服务器的基础安全。但是,在生产环境中实施这些安全配置之前,您必须对它们能否与您的组织的业务应用程序共存进行全面测试。
本章中的建议适合于大多数组织并可以部署在现有或新的运行 Windows Server 2003 SP1 的计算机上。Windows Server 2003 SP1 中的默认安全配置已经过创建本指南的小组的研究、审阅和测试。有关所有默认设置的信息以及本章中介绍的各种设置的详细说明,请参阅附加指南威胁和对策:Windows Server 2003 和 Windows XP 的安全设置,网址为 http://www.microsoft.com/china/technet/security/guidance/secmod48.mspx。通常,以下大多数配置建议所提供的安全性比默认设置要高。
本章中论述的安全设置与以下三种环境相关:
| • |
旧客户端 (LC)。此环境包括运行 Windows NT® 4.0 和 Microsoft Windows® 98(有时被称为旧操作系统)的计算机。虽然此环境提供了足够的安全,但是它在本指南所定义的三种环境中是最不安全的。为了提供更强的安全,组织可选择迁移到更安全的企业客户端环境。除提及的旧操作系统之外,LC 环境包括 Windows 2000 Professional 和 Windows XP Professional 工作站。此环境仅包含 Windows 2000 或 Windows Server 2003 域控制器。此环境中没有 Windows NT 4.0 域控制器,但可以有 Windows NT 成员服务器。 |
| • |
企业客户端 (EC)。此环境提供可靠的安全性,是为更新版本的 Windows 操作系统设计的。EC 环境包括运行 Windows 2000 Professional 和 Windows XP Professional 的客户端计算机。从 LC 环境迁移到 EC 环境所需要的大多数工作涉及将 Windows 98 和 Windows NT 4.0 Workstation 等旧客户端升级到 Windows 2000 或 Windows XP。此环境中的所有域控制器和成员服务器都运行 Windows 2000 Server 或 Windows Server 2003。 |
| • |
专用安全 – 限制功能 (SSLF)。此环境所提供的安全性比 EC 环境的更强。从 EC 环境迁移到专用安全 – 限制功能 (SSLF) 环境要求遵循客户端计算机和服务器的严格安全策略。此环境包括运行 Windows 2000 Professional 和 Windows XP Professional 的客户端计算机以及运行 Windows 2000 Server 或 Windows Server 2003 的域控制器。SSLF 环境对安全性非常关注,如果可以获得最高安全级别,功能上和管理上的明显损失都在可接受之列。此环境中的成员服务器运行 Windows 2000 Server 或 Windows Server 2003。 |
您将注意到在许多情况下,SSLF 环境会明确设置默认值。您应该假定此配置会影响兼容性,因为它可能会导致尝试在本地调整某些设置的应用程序失败。例如,某些应用程序需要调整用户权限分配以授予其服务帐户附加特权。由于组策略优先于本地计算机策略,这些操作将失败。在将任何推荐的设置(特别是 SSLF 设置)部署到生产计算机之前,应该对所有应用程序进行彻底测试。
下图显示了三种安全环境以及各种安全环境所支持的客户端。
希望通过阶段方案来保护其环境的组织可以选择从旧客户端环境等级开始,然后在他们使用严格的安全设置升级和测试应用程序与客户端计算机时,逐渐迁移到更安全的环境。
下图显示了 .inf 文件安全模板如何用作企业客户端 – 成员服务器基准策略 (MSBP) 的基础。该图还显示了一种链接此策略并将其应用至组织中所有服务器的可能方法。
Windows Server 2003 SP1 附带了配置为创建安全环境的默认设置值。在许多情况下,本章规定的设置与默认值不同。本章还强制实施了适用于所有三种环境的特定默认设置。有关所有默认设置的信息,请参阅附加指南威胁和对策:Windows Server 2003 和 Windows XP 中的安全设置,网址为 http://www.microsoft.com/china/technet/security/guidance/secmod48.mspx。
本指南的其余章节定义了用于强化特定服务器角色的过程。本指南中论述的主要服务器角色包括:
| • |
包括 DNS 服务的域控制器 |
| • |
包括 WINS 和 DHCP 服务的基础结构服务器 |
| • |
文件服务器 |
| • |
打印服务器 |
| • |
运行 Internet 信息服务 (IIS) 的 Web 服务器 |
| • |
Microsoft Internet 认证服务器 (IAS) 服务器 |
| • |
证书服务 (CA) 服务器 |
| • |
堡垒主机 |
在企业客户端 MSBP 中显示的以下许多设置同时还适用于在本指南定义的三种环境中的这些服务器角色。安全模板经过专门设计,以满足特定环境安全的需要。下表显示了三种环境的基准安全模板的名称。
表 4.1 所有三种环境的基准安全模板
| 旧客户端 | 企业客户端 | 专用安全 – 限制功能 |
|
LC-Member Server Baseline.inf |
EC-Member Server Baseline.inf |
SSLF-Member Server Baseline.inf |
本章后续部分将介绍对于所有三种环境通用的安全设置以及所有成员服务器基准安全模板。
基准安全模板同时还是第 5 章“域控制器基准策略”中定义的域控制器安全模板的基础。域控制器角色安全模板包括适用于域控制器组策略 GPO 的基准设置,而域控制器组策略 GPO 链接到所有三种环境中的域控制器 OU。第 2 章“Windows Server 2003 强化机制”提供了有关如何创建 OU 和组策略,然后将适当的安全模板导入至每个 GPO 的分步骤说明。
注意:某些用于强化服务器的过程无法通过组策略来自动化。本章的“附加安全设置”部分介绍了这些过程。
Windows Server 2003 基准策略
成员服务器 OU 级别的设置为本指南中论述的所有成员服务器角色定义了通用设置。要应用这些设置,您可以创建一个 GPO,该 GPO 链接到一个称为基准策略的成员服务器 OU。GPO 对每个服务器上的特定安全设置的配置进行自动化。必须基于各个服务器的角色将服务器帐户移动到成员服务器 OU 的相应子 OU。
以下设置在 Microsoft 管理控制台 (MMC)安全配置编辑器 (SCE) 管理单元的用户界面 (UI) 中出现时,将显示对这些设置的描述。
审核策略
管理员应该创建审核策略以定义要报告哪些安全事件,并记录指定事件类别中的用户或计算机活动。管理员可以监视与安全相关的活动,例如谁访问了对象、用户是否登录计算机或从计算机注销,或者是否对审核策略设置进行更改。
在实施审核策略之前,必须确定环境所要审核的事件类别。管理员为事件类别选择的审核设置定义了组织的审核策略。为特定事件类别定义审核设置时,管理员可以创建适合组织的安全需要的审核策略。
如果不存在审核策略,要确定安全事件中所发生的活动就很难或不可能。但是,如果审核设置的配置导致许多授权活动都生成事件,则安全日志将被无用的数据填满。提供下列建议和设置描述可帮助您确定要监视的活动,以便收集的数据是相关的。
通常,故障日志所提供的信息量比成功日志要大得多,因为故障往往指示错误。例如,用户成功登录计算机通常会被视为是正常的。但是,如果有人尝试登录计算机失败多次,这可能表明他尝试使用其他人的帐户凭据来侵入该计算机。事件日志记录在计算机上发生的事件。在 Microsoft Windows 操作系统中,有适用于应用程序、安全事件和系统事件的单独事件日志。安全日志记录审核事件。组策略的事件日志容器用于定义与应用程序、安全和系统事件日志有关的属性,例如最大日志文件大小、对每个日志的访问权限,以及保留设置和方法。
在实施审核策略之前,组织应该确定他们将如何收集、组织和分析数据。如果没有利用计划,那么即使审核数据非常多,也没有什么价值。此外,在审核计算机网络时,性能也会受到影响。设置的给定组合的影响在最终用户计算机上可忽略,但是在繁忙的服务器上就相当明显。因此,在您的生产环境中部署新的审核设置之前,应该测试性能是否将受到影响。
下表包括适用于本指南中定义的所有三种环境的审核策略设置建议。您将注意到,大多数值的设置在这三种环境中都是相同的。表后的小节提供了有关每个设置的附加信息。
您可以在 Windows Server 2003 SP1 中组策略对象编辑器的以下位置配置审核策略设置值:
计算机配置\Windows 设置\安全设置\本地策略\
审核策略
有关本节中规定设置的摘要,请参阅本指南的可下载版本附带的 Microsoft Excel® 工作簿“Windows Server 2003 安全指南设置”。有关所有默认设置的信息以及本节中论述的各种设置的详细说明,请参阅附加指南威胁和对策:Windows Server 2003 和 Windows XP 的安全设置,网址为 http://www.microsoft.com/china/technet/security/guidance/secmod48.mspx。
表 4.2 审核策略设置
| 设置 | 旧客户端 | 企业客户端 | 专用安全 – 限制功能 |
|
审核帐户登录事件 |
成功 |
成功 |
成功、失败 |
|
审核帐户管理 |
成功 |
成功 |
成功、失败 |
|
审核登录事件 |
成功 |
成功 |
成功、失败 |
|
审核对象访问 |
无审核 |
无审核 |
失败 |
|
审核策略更改 |
成功 |
成功 |
成功 |
|
审核特权使用 |
无审核 |
无审核 |
失败 |
|
审核过程跟踪 |
无审核 |
无审核 |
无审核 |
|
审核系统事件 |
成功 |
成功 |
成功 |
审核帐户登录事件
此策略设置确定是否审核从另一台验证该帐户的计算机登录或注销的用户的每个实例。对域控制器上的域用户帐户进行身份验证将生成帐户登录事件,该事件记录在域控制器的安全日志中。对本地计算机上的本地用户进行身份验证将生成登录事件,该事件记录在本地安全日志中。不会记录任何帐户注销事件。
“审核帐户登录事件”设置被配置为记录 LC 和 EC 基准策略的“成功”值,以及记录 SSLF 基准策略的“成功”和“失败”事件。
下表包括此策略设置记录在安全日志中的重要安全事件。如果要创建自定义警报以便监视任何软件包(例如 Microsoft Operations Manager (MOM)),这些事件 ID 就非常有用。
表 4.3 帐户登录事件
| 事件 ID | 事件描述 |
|
672 |
身份验证服务 (AS) 票证已成功签发和验证。在 Windows Server 2003 SP1 中,此事件类型将是成功请求的“成功审核”或失败请求的“失败审核”。 |
|
673 |
已授予票证授予服务 (TGS) 票证。TGS 是由 Kerberos 版本 5 TGS 颁发的票证,以允许用户对域中的特定服务进行验证。Windows Server 2003 SP1 将记录此事件类型的成功和故障。 |
|
674 |
安全主体续订了 AS 票证或 TGS 票证。 |
|
675 |
预身份验证失败。在用户输入不正确的密码之后,将在密钥发行中心 (KDC) 上生成此事件。 |
|
676 |
身份验证票证请求失败。此事件不是由 Windows Server 2003 SP1 生成的。其他 Windows 版本使用此事件表明身份验证失败并非因为凭据不对。 |
|
677 |
未授予 TGS 票证。此事件不是由 Windows Server 2003 SP1 生成的,在这种情况下,它将使用 ID 为 672 的失败审核事件。 |
|
678 |
某个帐户已成功映射到域帐户。 |
|
681 |
登录失败。尝试域帐户登录。此事件仅由域控制器生成。 |
|
682 |
用户已重新连接至断开的终端服务器会话。 |
|
683 |
用户断开了终端服务器会话连接,但未注销。 |
审核帐户管理
此策略设置确定是否对计算机上的各个帐户管理事件进行审核。帐户管理事件的示例包括:
| • |
创建、更改或删除用户帐户或组。 |
| • |
重命名、禁用或启用用户帐户。 |
| • |
设置或更改密码。 |
组织需要能够确定谁创建、修改或删除了域和本地帐户。未授权更改可能表明由不了解如何遵循组织策略的管理员做出的错误更改,但也可能表明蓄意攻击。
例如,帐户管理失败事件往往表明低级别管理员或者破坏低级别管理员的帐户的攻击者企图提升其特权。日志可以帮助您确定攻击者修改和创建了哪些帐户。
“审核帐户管理”设置被配置为记录 LC 和 EC 基准策略的“成功”值,以及记录 SSLF 基准策略的“成功”和“失败”值。
下表包括此策略设置记录在安全日志中的重要安全事件。如果要创建自定义警报以便监视任何软件包(例如 MOM),这些事件 ID 就非常有用。大多数操作管理软件可以使用脚本进行自定义,以捕获或标记基于这些事件 ID 的事件。
表 4.4 帐户管理事件
| 事件 ID | 事件描述 |
|
624 |
用户帐户已创建。 |
|
627 |
用户密码已更改。 |
|
628 |
用户密码已设置。 |
|
630 |
用户帐户已删除。 |
|
631 |
全局组已创建。 |
|
632 |
成员已添加至全局组。 |
|
633 |
成员已从全局组删除。 |
|
634 |
全局组已删除。 |
|
635 |
已新建本地组。 |
|
636 |
成员已添加至本地组。 |
|
637 |
成员已从本地组删除。 |
|
638 |
本地组已删除。 |
|
639 |
本地组帐户已更改。 |
|
641 |
全局组帐户已更改。 |
|
642 |
用户帐户已更改。 |
|
643 |
域策略已修改。 |
|
644 |
用户帐户被自动锁定。 |
|
645 |
计算机帐户已创建。 |
|
646 |
计算机帐户已更改。 |
|
647 |
计算机帐户已删除。 |
|
648 |
禁用安全的本地安全组已创建。 注意:从正式名称上讲,SECURITY_DISABLED 意味着此组不能用来授权访问检查。 |
|
649 |
禁用安全的本地安全组已更改。 |
|
650 |
成员已添加至禁用安全的本地安全组。 |
|
651 |
成员已从禁用安全的本地安全组删除。 |
|
652 |
禁用安全的本地组已删除。 |
|
653 |
禁用安全的全局组已创建。 |
|
654 |
禁用安全的全局组已更改。 |
|
655 |
成员已添加至禁用安全的全局组。 |
|
656 |
成员已从禁用安全的全局组删除。 |
|
657 |
禁用安全的全局组已删除。 |
|
658 |
启用安全的通用组已创建。 |
|
659 |
启用安全的通用组已更改。 |
|
660 |
成员已添加至启用安全的通用组。 |
|
661 |
成员已从启用安全的通用组删除。 |
|
662 |
启用安全的通用组已删除。 |
|
663 |
禁用安全的通用组已创建。 |
|
664 |
禁用安全的通用组已更改。 |
|
665 |
成员已添加至禁用安全的通用组。 |
|
666 |
成员已从禁用安全的通用组删除。 |
|
667 |
禁用安全的通用组已删除。 |
|
668 |
组类型已更改。 |
|
684 |
管理组成员的安全描述符已设置。 注意:在域控制器上,背景线程每隔 60 分钟就会搜索管理组的所有成员(例如域、企业和架构管理员)并针对这些成员应用固定安全描述符一次。该事件已记录。 |
|
685 |
帐户名称已更改。 |
审核登录事件
此策略设置确定是否审核登录计算机或从计算机注销的用户的每个实例。“审核登录事件”设置将在域控制器上生成记录以监视域帐户活动,并在本地计算机上生成记录以监视本地帐户活动。
如果将“审核登录事件”设置配置为“无审核”,那么要确定组织中哪些用户已登录或尝试登录计算机就非常困难或不可能。如果在域成员上启用“审核登录事件”设置的“成功”值,那么每当某人登录网络时均将生成一个事件,而不管帐户在网络上的驻留位置。如果用户登录到本地帐户,并且“审核帐户登录事件”设置为“已启用”,则用户登录会生成两个事件。
即使您不修改此策略设置的默认值,那么在发生安全事件后,就没有可用的审核记录证明。“审核记录事件”设置被配置为记录 LC 和 EC 基准策略中的“成功”值,以及记录 SSLF 策略的“成功”和“失败”值。
下表包括此策略设置记录在安全日志中的重要安全事件。
表 4.5 审核登录事件
| 事件 ID | 事件描述 |
|
528 |
用户成功登录计算机。 |
|
529 |
登录失败。试图使用未知的用户名或已知用户名但错误密码进行登录。 |
|
530 |
登录失败。试图在允许的时间外登录。 |
|
531 |
登录失败。用户使用已禁用的帐户登录。 |
|
532 |
登录失败。用户使用过期帐户登录。 |
|
533 |
登录失败。不允许登录到指定计算机的用户试图登录。 |
|
534 |
登录失败。用户试图使用不允许的密码类型登录。 |
|
535 |
登录失败。指定帐户的密码已过期。 |
|
536 |
登录失败。Net Logon 服务未处于活动状态。 |
|
537 |
登录失败。登录由于其他原因而失败。 注意:在某些情况下,登录失败的原因可能是未知的。 |
|
538 |
用户的注销过程已完成。 |
|
539 |
登录失败。试图登录时帐户已被锁定。 |
|
540 |
用户成功登录到网络。 |
|
541 |
本地计算机与列出的对等客户端身份(已建立安全关联)之间的主要模式 Internet 密钥交换 (IKE) 身份验证已完成,或者快速模式已建立了数据频道。 |
|
542 |
数据频道已终止。 |
|
543 |
主要模式已终止。 注意:可能发生这种情况的原因是安全关联上的时间限制过期(默认值为 8 小时)或者策略更改或对等终止。 |
|
544 |
由于对等客户端没有提供有效的证书或者签名无效,造成主要模式身份验证失败。 |
|
545 |
由于 Kerberos 身份验证协议失败或密码无效,造成主要模式身份验证失败。 |
|
546 |
由于对等客户端发送的建议无效,造成 IKE 安全关联建立失败。接收到的程序包包含无效数据。 |
|
547 |
在 IKE 握手过程中,出现错误。 |
|
548 |
登录失败。来自信任域的安全标识符 (SID) 与客户端的帐户域 SID 不匹配。 |
|
549 |
登录失败。在林内进行身份验证时,所有与不受信任的名称空间相关的 SID 将被筛选出去。 |
|
550 |
可以用来指示可能的拒绝服务 (DoS) 攻击的通知消息。 |
|
551 |
用户已启动注销过程。 |
|
552 |
用户在以不同用户身份登录之后成功使用明确凭据登录到计算机。 |
|
682 |
用户已重新连接至已断开的终端服务器会话。 |
|
683 |
用户断开了终端服务器会话连接,但未注销。 注意:用户通过网络连接至终端服务器会话时,将生成此事件。它出现在终端服务器上。 |
审核对象访问
就其自身而言,本策略设置不会导致任何事件被审核。“审核对象访问”设置确定在用户访问具有指定的系统访问控制列表 (SACL) 的对象(例如文件、文件夹、注册表项或打印机)时是否要审核事件。
SACL 由访问控制项 (ACE) 组成。每个 ACE 包含三部分信息:
| • |
审核的安全主体(用户、计算机或组)。 |
| • |
要审核的特定访问类型(称为访问掩码)。 |
| • |
一个标记,表示是审核失败的访问事件,还是审核成功的访问事件或两者全部都进行审核。 |
如果将“审核对象访问”设置配置为记录“成功”值,那么每当用户成功使用指定的 SACL 访问对象之后,将生成审核项。如果将此策略设置配置为记录“失败”值,那么每当用户尝试使用指定的 SACL 访问对象失败之后,将生成审核项。
在配置 SACL 之后,组织应该只定义需要启用的操作。例如,您可能需要针对可执行文件启用“写入和附加数据”审核设置,以跟踪它们何时被更改或替换,因为计算机病毒、蠕虫和特洛伊木马通常都是以可执行文件为目标的。同样,可能需要跟踪访问或更改敏感文档的时间。
在 LC 和 EC 环境的基准策略中,“审核对象访问”设置被配置为默认值“无审核”。但是,在 SSLF 环境的基准策略中,此策略设置被配置为记录“失败”值。
下表包括此策略设置记录在安全日志中的重要安全事件。
表 4.6 对象访问事件
| 事件 ID | 事件描述 |
|
560 |
授予现有对象访问权限。 |
|
562 |
对象句柄关闭。 |
|
563 |
为删除对象而尝试打开对象。 注意:在 Createfile() 中指定 FILE_DELETE_ON_CLOSE 标记时,文件系统将使用此事件。 |
|
564 |
删除了一个受保护的对象。 |
|
565 |
已向已经存在的对象类型授予访问权限。 |
|
567 |
使用了与句柄关联的权限。 注意:句柄是使用特定授权(如读取和写入)创建的。使用句柄时,最多为每个使用的权限生成一个审核。 |
|
568 |
试图创建与正在审核的文件的硬链接。 |
|
569 |
授权管理器中的资源管理器试图创建客户端上下文。 |
|
570 |
客户端试图访问对象。 注意:针对此对象进行的每个尝试操作都将生成一个事件。 |
|
571 |
客户端上下文由授权管理器应用程序删除。 |
|
572 |
管理员管理器初始化此应用程序。 |
|
772 |
证书管理器已拒绝挂起的证书申请。 |
|
773 |
证书服务收到重新提交的证书申请。 |
|
774 |
证书服务吊销了证书。 |
|
775 |
证书服务收到发行证书吊销列表 (CRL) 的请求。 |
|
776 |
证书服务已发行 CRL。 |
|
777 |
已制定证书申请扩展。 |
|
778 |
更改了一个或多个证书申请属性。 |
|
779 |
证书服务收到关闭请求。 |
|
780 |
已开始证书服务备份。 |
|
781 |
已完成证书服务备份。 |
|
782 |
已开始证书服务还原。 |
|
783 |
已完成证书服务还原。 |
|
784 |
证书服务已经开始。 |
|
785 |
证书服务已经停止。 |
|
786 |
证书服务的安全权限已更改。 |
|
787 |
证书服务检索到了存档密钥。 |
|
788 |
证书服务已将证书导入到数据库中。 |
|
789 |
证书服务的审核筛选器已更改。 |
|
790 |
证书服务收到证书请求。 |
|
791 |
证书服务批准了证书申请并颁发了证书。 |
|
792 |
证书服务拒绝了证书请求。 |
|
793 |
证书服务将证书请求的状态设置为挂起。 |
|
794 |
证书服务的证书管理器设置已更改。 |
|
795 |
证书服务中的某一配置项已更改。 |
|
796 |
证书服务的属性已更改。 |
|
797 |
证书服务存档了密钥。 |
|
798 |
证书服务导入和存档了密钥。 |
|
799 |
证书服务已将证书颁发机构 (CA) 证书发布到 Active Directory。 |
|
800 |
已从证书数据库删除一行或多行。 |
|
801 |
启用了角色分离。 |
审核策略更改
此策略设置确定是否审核对用户权限分配策略、信任策略或审核策略自身所做的更改的每个事件。
如果将“审核策略更改”设置配置为记录“成功”值,那么每当成功更改用户权限分配策略、信任策略或审核策略之后,将生成一个审核项。如果将此策略设置配置为记录“失败”值,那么每当更改用户权限分配策略、信任策略或审核策略失败之后,将生成一个审核项。
建议设置允许您查看攻击者试图提升的任何帐户特权,例如,如果他们尝试添加“调试程序”特权或“备份文件和目录”特权。
在本指南定义的所有三种环境的基准策略中,“审核策略更改”设置被配置为记录“成功”值。当前,“失败”设置值无法捕获有意义的事件。
下表包括此策略设置记录在安全日志中的重要安全事件。
表 4.7 审核策略更改事件
| 事件 ID | 事件描述 |
|
608 |
分配了用户权限。 |
|
609 |
删除了用户权限。 |
|
610 |
创建了与另一个域之间的受信任关系。 |
|
611 |
删除了与另一个域之间的受信任关系。 |
|
612 |
更改了审核策略。 |
|
613 |
Internet 协议安全 (IPSec) 策略代理已启动。 |
|
614 |
IPsec 策略代理已禁用。 |
|
615 |
IPsec 策略代理已更改。 |
|
616 |
IPsec 策略代理遇到可能很严重的故障。 |
|
617 |
Kerberos v5 策略已更改。 |
|
618 |
加密数据恢复策略已更改。 |
|
620 |
与其他域的信任关系已修改。 |
|
621 |
已授予帐户系统访问权限。 |
|
622 |
已删除帐户的系统访问权限。 |
|
623 |
按用户设置审核策略 |
|
625 |
按用户刷新审核策略。 |
|
768 |
检测到一个林中的命名空间元素与另一林中的命名空间元素的冲突。 注意:一个林中的命名空间元素与另一个林中的命名空间元素相重叠时,就会导致 |
|
769 |
已添加受信任的林信息。 注意:当更新林信任信息并且添加了一个或多个项时,将生成此事件消息。为每个添加、 |
|
770 |
已删除受信任的林信息。 注意:请参阅事件 769 的事件描述。 |
|
771 |
已修改受信任的林信息。 注意:请参阅事件 769 的事件描述。 |
|
805 |
事件日志服务读取会话的安全日志配置。 |
审核特权使用
此策略设置确定是否要审核用户权限的各项活动。如果将“审核特权使用”设置配置为记录“成功”值,则每当成功执行用户权限时,就会生成一个审核项。如果将此策略设置配置为记录“失败”值,则每当执行用户权限失败时,就会生成一个审核项。
执行以下用户权限之后不会生成审核,即使您配置“审核特权使用”设置,因为这些用户权限将生成许多事件并记录在安全日志中。如果审核这些用户权限,就会影响您的计算机的性能:
| • |
跳过遍历检查 |
| • |
调试程序 |
| • |
创建标记对象 |
| • |
替换进程级令牌 |
| • |
生成安全审核 |
| • |
备份文件和目录 |
| • |
还原文件和目录 注意:如果您希望审核这些用户权限,则必须启用组策略中的“审核:对备份和还原权限的使用进行审核”安全选项。 |
在 LC 和 EC 环境的基准策略中,“审核特权使用”设置被保留为默认值“无审核”。但是,在 SSLF 环境的基准策略中,此策略设置被配置为记录“失败”值。用户权限使用失败表示出现常见的网络问题,也通常表示违反安全的尝试。只有在特定的业务原因有要求时,组织才应该将“审核特权使用”选项配置为“启用”。
下表包括此设置记录在安全日志中的重要安全事件。
表 4.8 特权使用事件
| 事件 ID | 事件描述 |
|
576 |
指定特权已添加到用户的访问令牌中。 注意:此事件在用户登录时生成。 |
|
577 |
用户尝试执行授权的系统服务操作。 |
|
578 |
特权用于已经打开的受保护对象的句柄。 |
审核过程跟踪
此策略设置确定是否审核事件的详细跟踪信息,如程序激活、进程退出、句柄复制和间接对象访问等。如果将此策略设置配置为记录“成功”值,则每当被跟踪的进程成功时,就会生成一个审核项。如果将此策略设置配置为记录“失败”值,则每当被跟踪的进程失败时,就会生成一个审核项。
“审核过程跟踪”设置将生成大量的事件,因此通常被配置为“无审核”,这种情况与本指南定义的所有三种环境的基准策略中的情况类似。但是,此策略设置在事件响应期间可能非常实用,因为它提供有关启动的进程的详细日志以及每个进程的启动时间。
下表包括此设置记录在安全日志中的重要安全事件。
表 4.9 过程跟踪事件
| 事件 ID | 事件描述 |
|
592 |
创建了新进程。 |
|
593 |
退出进程。 |
|
594 |
复制对象句柄。 |
|
595 |
获取了对象的间接访问。 |
|
596 |
数据保护主密钥已备份。 注意:主密钥用于 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系统 (EFS)。 |
|
597 |
数据保护主密钥已从恢复服务器恢复。 |
|
598 |
审核过的数据已受保护。 |
|
599 |
审核过的数据未受保护。 |
|
600 |
已分配给进程主令牌。 |
|
601 |
用户试图安装服务。 |
|
602 |
已创建计划程序任务。 |
审核系统事件
此策略设置确定在用户重新启动或关闭计算机或者发生影响计算机的安全性或安全日志的事件时是否需要审核。如果您将此策略设置配置为记录“成功”值,则在系统事件成功执行时,将生成一个审核项。如果您将此策略设置配置为记录“失败”值,则在尝试系统事件失败时,将生成一个审核项。
下表包括此设置的最有用的成功事件。
表 4.10 审核系统事件的系统事件消息
| 事件 ID | 事件描述 |
|
512 |
Windows 正在启动。 |
|
513 |
Windows 正在关机。 |
|
514 |
本地安全机构加载了身份验证程序包。 |
|
515 |
本地安全机构注册了一个受信任的登录进程。 |
|
516 |
分配给安全事件消息的队列的内部资源已耗尽,导致一些安全事件消息丢失。 |
|
517 |
审核日志已清除。 |
|
518 |
安全帐户管理器加载了一个通知程序包。 |
|
519 |
进程正在使用无效的本地过程调用 (LPC) 端口,试图伪装客户端并向客户端地址空间答复、读取或写入。 |
|
520 |
系统时间已更改。 注意:此审核通常出现两次。 |
用户权限分配
用户权限分配向用户和组提供组织中计算机的登录权限或特权。登录权限的一个示例是交互登录计算机的权限。特权的一个示例是关闭计算机的权限。这两种用户权限都由管理员作为计算机安全设置的一部分分配给单个用户或组。
注意:在此节中,“没有定义”仅适用于用户;管理员仍具有用户权限。本地管理员可做更改,但在组策略下一次被刷新或重新应用时,任何基于域的组策略设置都会覆盖这些更改。
您可以在 Windows Server 2003 SP1 中组策略对象编辑器的以下位置配置用户权限分配设置:
计算机配置\Windows 设置\安全设置\本地策略\
用户权限分配
对于组织中的各种类型的服务器而言,默认用户权限分配是不同的。例如,Windows Server 2003 向成员服务器和域控制器上的内置组分配不同的权限。(以下列表中不介绍不同服务器类型上各个内置组之间的相似性。
| • |
成员服务器
|
||||||
| • |
域控制器
|
Guests 组以及用户帐户 Guest 和 Support_388945a0 在不同域之间具有唯一的 SID。因此,在只存在特定目标组的计算机上,可能需要修改此用户权限分配的组策略。另外,还可对策略模板单独进行编辑,以便将合适的组都包含在 .inf 文件中。例如,在测试环境中,可以在域控制器上创建域控制器组策略。
注意:由于 Guests 组的成员、Support_388945a0 和 Guest 之间存在唯一 SID,因此某些用于强化服务器的设置无法通过本指南附带的安全模板进行自动化。本章后面的“其他安全设置”部分将描述这些设置。
本部分提供有关本指南中定义的所有三种环境的规定 MSBP 用户权限分配设置的详细信息。有关本节中规定设置的摘要,请参阅本指南的可下载版本附带的 Microsoft Excel 工作簿“Windows Server 2003 安全指南设置”。有关默认设置的信息以及本节中论述的各种设置的详细说明,请参阅附加指南“威胁和对策:Windows Server 2003 和 Windows XP 的安全设置”。
下表包括适用于本指南中定义的所有三种环境的用户权限分配设置建议。表后的小节提供了有关每个设置的附加信息。
表 4.11 用户权限分配设置建议
| 设置 | 旧客户端 | 企业客户端 | 专用安全 – 限制功能 |
|
从网络访问此计算机 |
没有定义 |
没有定义 |
Administrators、Authenticated Users、ENTERPRISE DOMAIN CONTROLLERS |
|
以操作系统方式操作 |
没有定义 |
没有定义 |
No One |
|
调整进程的内存配额 |
没有定义 |
没有定义 |
Administrators、NETWORK SERVICE、LOCAL SERVICE |
|
允许在本地登录 |
Administrators、Backup Operators、Power Users |
Administrators、Backup Operators、Power Users |
Administrators |
|
通过终端服务允许登录 |
Administrators 和 Remote Desktop Users |
Administrators 和 Remote Desktop Users |
Administrators |
|
备份文件和目录 |
没有定义 |
没有定义 |
Administrators |
|
跳过遍历检查 |
没有定义 |
没有定义 |
Authenticated Users |
|
更改系统时间 |
没有定义 |
没有定义 |
Administrators |
|
创建页面文件 |
没有定义 |
没有定义 |
Administrators |
|
创建标记对象 |
没有定义 |
没有定义 |
No One |
|
创建全局对象 |
没有定义 |
没有定义 |
Administrators、SERVICE |
|
创建永久共享对象 |
没有定义 |
没有定义 |
No One |
|
调试程序 |
没有定义 |
Administrators |
No One |
|
拒绝从网络访问这台计算机 |
ANONOYMOUS LOGON;Guests;Support_388945a0; 所有非操作系统服务帐户 |
ANONOYMOUS LOGON;Guests;Support_388945a0; 所有非操作系统服务帐户 |
ANONOYMOUS LOGON;Guests;Support_388945a0; 所有非操作系统服务帐户 |
|
拒绝作为批处理作业登录 |
Guests;Support_388945a0 |
Guests;Support_388945a0 |
Guests;Support_388945a0; |
|
拒绝作为服务登录 |
没有定义 |
没有定义 |
No One |
|
拒绝本地登录 |
没有定义 |
没有定义 |
Guests;Support_388945a0; |
|
通过终端服务拒绝登录 |
Guests |
Guests |
Guests |
|
允许计算机和用户帐户被信任以便用于委任 |
没有定义 |
没有定义 |
Administrators |
|
从远程系统强制关机 |
没有定义 |
没有定义 |
Administrators |
|
生成安全审核 |
没有定义 |
没有定义 |
NETWORK SERVICE、LOCAL SERVICE |
|
身份验证后模拟客户端 |
没有定义 |
没有定义 |
Administrators、SERVICE |
|
增加计划优先级 |
没有定义 |
没有定义 |
Administrators |
|
装载和卸载设备驱动程序 |
没有定义 |
没有定义 |
Administrators |
|
内存中锁定页面 |
没有定义 |
没有定义 |
No One |
|
作为批处理作业登录 |
没有定义 |
没有定义 |
没有定义 |
|
作为服务登录 |
没有定义 |
没有定义 |
NETWORK SERVICE |
|
管理审核和安全日志 |
没有定义 |
没有定义 |
Administrators |
|
修改固件环境值 |
没有定义 |
没有定义 |
Administrators |
|
执行卷维护任务 |
没有定义 |
没有定义 |
Administrators |
|
配置单一进程 |
没有定义 |
没有定义 |
Administrators |
|
配置系统性能 |
没有定义 |
没有定义 |
Administrators |
|
从扩展坞中取出计算机 |
没有定义 |
没有定义 |
Administrators |
|
替换进程级别标记 |
没有定义 |
没有定义 |
LOCAL SERVICE、NETWORK SERVICE |
|
还原文件和目录 |
没有定义 |
没有定义 |
Administrators |
|
关闭系统 |
没有定义 |
没有定义 |
Administrators |
|
同步目录服务数据 |
没有定义 |
没有定义 |
No One |
|
取得文件或其他对象的所有权 |
没有定义 |
没有定义 |
Administrators |
从网络访问此计算机
此策略设置确定允许哪些用户和组通过网络连接到计算机。它是许多网络协议所需的,包括基于服务器消息块 (SMB) 的协议、NetBIOS、通用 Internet 文件系统 (CIFS)、HTTP 和组件对象模型+ (COM+)。
对于 LC 和 EC 环境,“从网络访问此计算机”设置被配置为“没有定义”。然而,虽然分配给 Windows Server 2003 SP1 中 Everyone 安全组的权限不再向匿名用户提供访问权限,但是仍可以通过 Everyone 安全组向来宾组和帐户分配访问权限。因此,在 SSLF 环境中,拒绝 Everyone 安全组授予“从网络访问此计算机”用户权限,这有助于防范以域的来宾访问权限为目标的攻击。在 SSFL 环境中,仅向 Administrators、Authenticated Users 和 ENTERPRISE DOMAIN CONTROLLERS 组分配此用户权限。
以操作系统方式操作
此策略设置确定进程是否采用任何用户的标识,来获取对该用户被授权访问的资源的访问权限。通常,只有低级别的身份验证服务才需要此用户权限。
对于 LC 和 EC 环境,“以操作系统方式操作”用户权限被配置为“没有定义”。但是对于 SSLF 环境,此策略设置被配置为空值,从而拒绝向所有安全组和帐户授予此用户权限。
调整进程的内存配额
此策略设置确定用户是否可以调整可用于进程的最大内存量。它对于计算机优化非常有用,但可能会被滥用。攻击者可能会利用此用户权限来启动DoS 攻击。
对于 LC 和 EC 环境,“调整进程的内存配额”设置被配置为“没有定义”。但是对于 SSLF 环境,仅向 Administrators 组、NETWORK SERVICE 以及 LOCAL SERVICE 分配此用户权限。
允许在本地登录
此策略设置确定哪些用户可以交互登录指定的计算机。使用键盘上 Ctrl+Alt+Del 组合启动的登录要求用户具有此权限。具有此用户权限的任何帐户都可以用于登录计算机的本地控制台。
对于 LC 和 EC 环境,“允许在本地登录”用户权限限制于 Administrators、Backup Operators 和 Power Users 组,这有助于阻止那些想要提升其特权或在环境中植入病毒的未授权用户登录。对于 SSLF 环境,仅向 Administrators 组分配此用户权限。
通过终端服务允许登录
此策略设置确定哪些用户或组有权作为终端服务客户端进行登录。
对于 LC 和 EC 环境,“通过终端服务允许登录”用户权限限制于 Administrators 和 Remote Desktop Users 组。对于 SSLF 环境,仅向 Administrators 组的成员分配此用户权限。
备份文件和目录
此策略设置确定用户是否可以绕过文件和目录权限以备份计算机。仅当应用程序尝试使用备份实用程序(如 NTBACKUP.EXE)通过 NTFS 备份应用程序接口进行访问时,才会用到它。否则,应用正常的文件和目录权限。
对于 LC 和 EC 环境,“备份文件和目录”设置被配置为“没有定义”。对于 SSLF 环境,仅向 Administrators 组分配此用户权限。
跳过遍历检查
此策略设置确定当用户在 NTFS 文件系统或注册表中浏览对象路径时是否可以通过文件夹,而不会被检查是否具有专门的“遍历文件夹”访问权限。用户权限不允许用户列出文件夹的内容;它只允许用户遍历其目录。
对于 LC 和 EC 环境,“跳过遍历检查”设置被配置为“没有定义”。对于 SSLF 环境,仅向 Authenticated Users 组分配此用户权限。
更改系统时间
此策略设置确定哪些用户可以更改计算机内部时钟上的时间和日期。被分配了此用户权限的用户可以影响事件日志的外观,这将由计算机的内部时钟打上时间戳。如果计算机的时间被更改,日志将无法反映事件发生的实际时间。
对于 LC 和 EC 环境,“更改系统时间”设置被配置为“没有定义”。对于 SSLF 环境,仅向 Administrators 组分配此用户权限。
注意:本地计算机和域控制器上之间的时间差异可能导致 Kerberos 身份验证协议发生问题,这可能使用户无法登录域或在登录之后无法获取授权来访问域资源。
创建页面文件
此策略设置确定用户是否可以创建和更改页面文件的大小。要执行此任务,用户必须在“性能选项”框(位于“系统属性”对话框的“高级”选项卡上)中为特定的驱动器指定页面文件大小。
对于 LC 和 EC 环境,“创建页面文件”设置被配置为“没有定义”。对于 SSLF 环境,仅向 Administrators 组分配此用户权限。
创建标记对象
此策略设置确定进程是否可以创建令牌以及在进程使用 NtCreateToken() 或其他令牌创建 API 时,进程可以使用哪个令牌获取任何本地资源的访问权限。
对于 LC 和 EC 环境,“创建标记对象”设置被配置为“没有定义”。但是对于 SSLF 环境,此策略设置被配置为空值,这意味着任何安全组或帐户都不具有此用户权限。
创建全局对象
此策略设置允许用户创建可供所有会话使用的全局对象。在没有被分配此用户权限的情况下,用户仍可以创建特定于其自身会话的对象。
对于 LC 和 EC 环境,“创建全局对象”设置被配置为“没有定义”。对于 SSLF 环境,仅向 SERVICE 和 Administrators 组分配此用户权限。
创建永久共享对象
此策略设置确定用户是否可以在对象管理器中创建目录对象,这意味着他们可以创建共享文件夹、打印机和其他对象。对于扩展对象命名空间的内核模式组件,这非常有用,而且此类组件本来就具有此用户权限。因此,通常不必要专门向用户分配此用户权限。
对于 LC 和 EC 环境,“创建永久共享对象”设置被配置为“没有定义”。但是对于 SSLF 环境,此策略设置被配置为空值,这意味着任何安全组或帐户都不具有此用户权限。
调试程序
此策略设置确定哪些用户可以将调试程序附加到任何进程或内核。它提供对敏感和重要操作系统组件的完全访问权限。不要在生产环境中调试程序,除非是在极端情况下,例如需要对测试环境中不能高效访问的业务关键型应用程序进行故障诊断。
对于 LC 环境,“调试程序”设置被配置为“没有定义”。对于 EC 环境,仅向 Administrators 组分配此用户权限。但是对于 SSLF 环境,此策略设置被配置为空值,这意味着任何安全组或帐户都不具有此用户权限。
注意:在 Windows Server 2003 SP1 上,删除调试程序用户权限可能导致不能使用 Windows update 服务。但是,仍然可以手动下载和安装一些修补程序,或通过其他方式进行。删除此用户权限可能还会干扰群集服务。有关详细信息,请参阅关于如何在基于 Windows Server 2003 的群集服务器上应用限制性更强的安全设置的 Microsoft 知识库文章,网址为 http://support.microsoft.com/?kbid=891597。
拒绝从网络访问这台计算机
注意:.inf 安全模板中不包含 ANONOYMOUS LOGON、Built-in Administrator、Support_388945a0、Guest 以及所有非操作系统服务帐户。这些帐户和组在组织中的每一个域中都有唯一的 SID 。因此,必须手动添加它们。有关详细信息,请参阅本章末尾的“手动强化过程”部分。
此策略设置确定哪些用户将不能通过网络来访问计算机。它拒绝许多网络协议,包括基于 SMB 的协议、NetBIOS、CIFS、HTTP 和 COM+。当用户帐户受这两种设置的约束时,此策略设置将取代“从网络访问此计算机”用户权限。
对于本指南定义的所有三种环境,将向 Guests 组、ANONOYMOUS LOGON、Support_388945a0 以及所有非操作系统服务帐户分配“拒绝从网络访问这台计算机”用户权限。
为其他组配置此策略设置可能限制环境中被分配了特定管理角色的用户的能力。应验证委派任务是否会受到负面影响。
拒绝作为批处理作业登录
注意:.inf 安全模板中不包含 ANONOYMOUS LOGON、Built-in Administrator、Support_388945a0、Guest 以及所有非操作系统服务帐户。这些帐户和组在组织中的每一个域中都有唯一的 SID 。因此,必须手动添加它们。有关详细信息,请参阅本章末尾的“手动强化过程”部分。
此策略设置确定哪些帐户无法作为批处理作业登录计算机。批处理作业不是批处理 (.bat) 文件,而是批处理队列工具。使用任务计划程序安排作业的帐户需要此用户权限。
“拒绝作为批处理作业登录”用户权限会覆盖“作为批处理作业登录”用户权限,后者可用于允许帐户安排会过度消耗系统资源的作业。这种情况出现一次就会导致 DoS 条件。因此,在本指南定义的所有三种环境的基准策略中,向 Guests 组和 Support_388945a0 用户帐户分配“拒绝作为批处理作业登录”用户权限。无法向推荐的帐户分配此用户权限可能导致安全风险。
拒绝作为服务登录
此策略设置确定是否可以在指定帐户的上下文中启动服务。
对于 LC 和 EC 环境,“拒绝作为服务登录”设置被配置为“没有定义”。但是对于 SSLF 环境,此策略设置被配置为空值,这意味着任何安全组或帐户都不具有此用户权限。
拒绝本地登录
此策略设置确定用户是否可以从计算机键盘直接登录。
对于 EC 和 LC 环境,“拒绝本地登录”设置被配置为“没有定义”。但是对于 SSLF 环境,仅向 Guests 组和 Support_388945a0 用户帐户分配此用户权限。无法向推荐的帐户分配此用户权限可能导致安全风险。
通过终端服务拒绝登录
注意:.inf 安全模板中不包含 ANONOYMOUS LOGON、Built-in Administrator、Support_388945a0、Guest 以及所有非操作系统服务帐户。这些帐户和组在组织中的每一个域中都有唯一的 SID 。因此,必须手动添加它们。有关详细信息,请参阅本章末尾的“手动强化过程”部分。
此策略设置确定用户是否可以作为终端服务客户端进行登录。在基准成员服务器加入至域环境后,不必使用本地帐户从网络访问服务器。域帐户可以访问服务器,以便执行管理和最终用户进程。
对于本指南中定义的所有三种环境,Guests 组被分配了“通过终端服务拒绝登录”用户权限,这样它们就不能通过终端服务进行登录。
允许计算机和用户帐户被信任以便用于委任
此策略设置确定用户是否可以更改 Active Directory 中用户或计算机对象上的“已为委派信任”设置。被分配了此用户权限的用户或计算机还必须具有对象上帐户控制标记的写入访问权限。滥用此用户权限可能导致对网络上其他用户的未经授权模拟。
对于 LC 和 EC 环境,“允许计算机和用户帐户被信任以便用于委任”设置被配置为“没有定义”。但是对于 SSLF 环境,仅向 Administrators 组分配此用户权限。
从远程系统强制关机
此策略设置确定用户是否可以从网络上的远程位置关闭计算机。可以关闭计算机的任何用户均会造成 DoS 条件。因此,此用户权限应严格限制。
对于 LC 和 EC 环境,“从远程系统强制关机”设置被配置为“没有定义”。但是对于 SSLF 环境,仅向 Administrators 组分配此用户权限。
生成安全审核
此策略设置确定进程是否可以在安全日志中生成审核记录。因为安全日志可用于跟踪未经授权的访问,攻击者可能使用可以写入至安全日志的帐户,将日志填满毫无意义的事件。如果将计算机配置为根据需要覆盖事件,攻击者可能使用此功能将他们的未经授权活动的证据删除。如果将计算机配置为在不能写入至安全日志时关闭,则攻击者可能使用此功能创建 DoS 条件。
对于 LC 和 EC 环境,“生成安全审核”设置被配置为“没有定义”。对于 SSLF 环境,仅向 NETWORK SERVICE 和 LOCAL SERVICE 帐户分配此用户权限。
身份验证后模拟客户端
此策略设置确定代表经过身份验证的用户运行的应用程序是否可以模拟客户端。如果此类型的模拟需要此用户权限,则未经授权的用户将无法说服客户端(例如通过远程过程调用 (RPC) 或命名管道)连接到他们创建以模拟该客户端的服务。未经授权的用户可以使用此功能将其权限提升为管理或系统级别。
对于 LC 和 EC 环境,“身份验证后模拟客户端”设置被配置为“没有定义”。但是对于 SSLF 环境,仅向 Administrators 组和 SERVICE 分配此用户权限。
增加计划优先级
此策略设置确定用户是否可以提高进程的基本优先级。在优先级内提高相对优先级不是一个特权操作。随操作系统附带的管理工具不需要此用户权限,但软件开发工具可能需要。被分配了此用户权限的用户可以将进程的调度优先级提升至“实时”,为其他所有进程留下很少的处理时间,从而导致 DoS 条件。
对于 LC 和 EC 环境,“增加计划优先级”设置被配置为“没有定义”。但是对于 SSLF 环境,仅向 Administrators 组分配此用户权限。
装载和卸载设备驱动程序
此策略设置确定哪些用户可以动态加载和卸载设备驱动程序。如果新硬件的已签名驱动程序已经存在于计算机的 Driver.cab 文件中,则不需要此用户权限。设备驱动程序可以作为高特权代码运行。被分配了“装载和卸载设备驱动程序”用户权限的用户可以安装恶意代码,该恶意代码会伪装成设备驱动程序(无意或有意)。(管理员应格外小心,仅安装具有经过验证的数字签名的驱动程序。)
对于 LC 和 EC 环境,“装载和卸载设备驱动程序”设置被配置为“没有定义”。但是对于 SSLF 环境,仅向 Administrators 组分配此用户权限。
内存中锁定页面
此策略设置确定进程是否可以将数据保留在物理内存中,这将阻止计算机将数据分页至磁盘上的虚拟内存。这种情况可能显著降低性能。被分配了此用户权限的用户可以将物理内存分配给几个进程,为其他进程留下很少或不留下任何随机存取存储器 (RAM),这可能导致 DoS 条件。
对于 LC 和 EC 环境,“内存中锁定页面”设置被配置为“没有定义”。但是对于 SSLF 环境,此策略设置被配置为空值,这意味着任何安全组或帐户都不具有此用户权限。
作为服务登录
此策略设置确定安全主体是否可以作为服务进行登录。服务可以配置为在 Local System、Local Service 或 Network Service 帐户下运行,这些帐户具有作为服务进行登录的内置权限。必须向在单独用户帐户下运行的任何服务分配此用户权限。
对于 LC 和 EC,“作为服务登录”设置被配置为“没有定义”。但是对于 SSLF 环境,仅向 Network Service 帐户分配此用户权限。
管理审核和安全日志
此策略设置确定用户是否可以为文件、Active Directory 对象和注册表项等个别资源指定对象访问审核选项。此用户权限非常强大,应严密防护。具有此用户权限的任何用户都可以清除安全日志,并可能清除未经授权活动的重要证据。
对于 LC 和 EC 环境,“管理审核和安全日志”设置被配置为“没有定义”。但是在 SSLF 环境中,仅向 Administrators 分配此用户权限。
重要: 安装过程中,Microsoft Exchange Server 2003 会修改默认域控制器策略中的此用户权限。有关详细信息,请联机参阅 Exchange Server 2003 部署,网址为 http://www.microsoft.com/technet/prodtechnol/exchange/guides/E2k3ADPerm/110e37bf-a68c-47bb-b4d5-1cfd539d9cba.mspx。如果此用户权限限制为 Administrator 组,Exchange 会频繁地将错误消息记录到应用程序事件日志。如果使用的是 Exchange Server 2003,您需要针对域控制器调整此设置的值。与本指南中推荐的所有设置一样,您可能需要做出一些调整以允许组织的应用程序正常工作。
修改固件环境值
此策略设置确定进程是否可以通过 API 或者用户是否可以通过“系统属性”更改计算机的环境变量。被分配了此用户权限的任何用户均可以配置硬件组件的设置,造成硬件组件故障,从而导致数据损坏或 DoS 条件。
对于 LC 和 EC 环境,“修改固件环境值”设置被配置为“没有定义”。但是对于 SSLF 环境,仅向 Administrators 组分配此用户权限。
执行卷维护任务
此策略设置确定非管理或远程用户是否可以管理卷或磁盘。被分配了此用户权限的用户可以删除卷,造成数据丢失或 DoS 条件。
对于 LC 和 EC 环境,“执行卷维护任务”设置被配置为“没有定义”。但是对于 SSLF 环境,仅向 Administrators 组分配此用户权限。
配置单一进程
此策略设置确定哪些用户可以使用性能监视工具来监视非系统进程的性能。此用户权限表示适中的漏洞,在这种情况下,具有此功能的攻击者可以监视计算机的性能以帮助确定他们想要直接攻击的重要进程。攻击者还可以确定计算机上运行的进程,以便识别要避免的对策(如防病毒软件、入侵检测系统或其他已登录计算机的用户)。
对于 LC 和 EC 环境,“配置单一进程”设置被配置为“没有定义”。为获得更大的安全,应确保 SSLF 环境中的 Power Users 组未被分配此用户权限;在这种环境下,仅 Administrators 组的成员应具有此功能。
配置系统性能
此策略设置类似于前一设置。它确定用户是否可以监视系统进程的性能。此用户权限表示适中的漏洞,在这种情况下,具有此特权的攻击者可以监视计算机的性能以帮助确定他们想要直接攻击的重要进程。攻击者还可以确定计算机上运行的进程,以便识别要避免的对策(如防病毒软件或入侵检测系统)。
对于 LC 和 EC 环境,“配置系统性能”设置被配置为“没有定义”。但是对于 SSLF 环境,仅向 Administrators 组分配此用户权限。
从扩展坞中取出计算机
此策略设置确定便携式计算机的用户是否可以通过单击“开始”菜单上的“弹出 PC”来移除计算机。被分配了此用户权限的任何用户均可以从扩展坞中取出便携式计算机。
对于 LC 和 EC 环境,“从扩展坞中取出计算机”设置被配置为“没有定义”。但是对于 SSLF 环境,仅向 Administrators 组分配此用户权限。
替换进程级别标记
此策略设置确定父进程是否可以替换与子进程相关联的访问令牌。
对于 LC 和 EC 环境,“替换进程级别标记”设置被配置为“没有定义”。但是对于 SSLF 环境,仅向 LOCAL SERVICE 和 NETWORK SERVICE 帐户分配此用户权限。
还原文件和目录
此策略设置确定哪些用户在他们还原备份的文件和目录时可以绕过文件、目录、注册表和其他永久对象权限。它还确定哪些用户可以将任何有效的安全主体设置为对象的所有者。
对于 LC 和 EC 环境,“还原文件和目录”设置被配置为“没有定义”。但是对于 SSLF 环境,仅向 Administrators 组分配此用户权限。文件还原任务通常是由管理员或另一专门委派的安全组的成员来执行的,对于高度敏感的服务器和域控制器尤其如此。
关闭系统
此策略设置确定哪些本地登录的用户可以使用“关闭”命令来关闭操作系统。由于滥用此功能可能导致 DoS 条件,因此关闭域控制器的能力应限制于极少数的受信任管理员。即使关闭系统要求有登录到服务器的权限,也应谨慎处理允许关闭域控制器的帐户和组。
对于 LC 和 EC 环境,“关闭系统”设置被配置为“没有定义”。但是对于 SSLF 环境,仅向 Administrators 组分配此用户权限。
同步目录服务数据
此策略设置确定进程是否可以读取目录中的所有对象和属性,而不管对象和属性是否受到保护。使用 LDAP 目录同步 (Dirsync) 服务时需要此用户权限。
“同步目录服务数据”设置的默认配置是“没有定义”,这对于 LC 和 EC 环境已足够。但是对于 SSLF 环境,此策略设置被配置为空值,这意味着任何安全组或帐户都不具有此用户权限。
取得文件或其他对象的所有权
此策略设置确定用户是否可以取得网络中任何安全对象的所有权,包括 Active Directory 对象、NTFS 文件系统 (NTFS) 文件、文件夹、打印机、注册表项、服务、进程以及线程。
对于 LC 和 EC 环境,“取得文件或其他对象的所有权”设置被配置为“没有定义”。但是对于 SSLF 环境,应仅向本地 Administrators 组分配此用户权限。
安全选项
组策略的“安全选项”部分中的策略设置用于启用或禁用如