组策略设置系列之安全选项.docx
- 文档编号:5095884
- 上传时间:2022-12-13
- 格式:DOCX
- 页数:17
- 大小:26.87KB
组策略设置系列之安全选项.docx
《组策略设置系列之安全选项.docx》由会员分享,可在线阅读,更多相关《组策略设置系列之安全选项.docx(17页珍藏版)》请在冰豆网上搜索。
组策略设置系列之安全选项
组策略设置系列之“安全选项”
组战略设置系列篇之〝平安选项〞-1
设置,选项
组战略的〝平安选项〞局部启用或禁用数字数据签名、Administrator和Guest帐户名、软盘驱动器和CD-ROM驱动器的访问、驱动顺序装置操作和登录提示的计算机平安设置。
平安选项设置
您可以在组战略对象编辑器的以下位置配置平安选项设置:
计算机配置\Windows设置\平安设置\
本地战略\平安选项
帐户:
管理员帐户形状
此战略设置启用或禁用Administrator帐户的正常操作条件。
假设以平安形式启动计算机,Administrator帐户总是处于启用形状,而与如何配置此战略设置有关。
〝帐户:
管理员帐户形状〞设置的能够值为:
•
已启用
•
已禁用
•
没有定义
破绽:
在某些组织中,维持活期更改本地帐户的密码这项惯例方案能够会是很大的管理应战。
因此,您能够需求禁用内置的Administrator帐户,而不是依赖惯例密码更改来维护其免受攻击。
需求禁用此内置帐户的另一个缘由就是,无论经过多少次登录失败它都不会被锁定,这使得它成为强力攻击〔尝试猜想密码〕的主要目的。
另外,此帐户还有一个众所周知的平安标识符(SID),而且第三方工具允许运用SID而非帐户名来停止身份验证。
此功用意味着,即使您重命名Administrator帐户,攻击者也能够运用该SID登录来发起强力攻击。
对策:
将〝帐户:
管理员帐户形状〞设置配置为〝已禁用〞,以便在正常的系统启动中不能再运用内置的Administrator帐户。
潜在影响:
假设禁用Administrator帐户,在某些状况下能够会形成维护效果。
例如,在域环境中,假设成员计算机和域控制器间的平安通道因任何缘由而失败,而且没有其他本地Administrator帐户,那么您必需以平安形式重新启动才干修复这个中缀平安通道的效果。
假设以后的Administrator密码不满足密码要求,那么Administrator帐户被禁用之后,无法重新启用。
假设出现这种状况,Administrators组的另一个成员必需运用〝本地用户和组〞工具来为该Administrator帐户设置密码。
帐户:
来宾帐户形状
此战略设置确定是启用还是禁用来宾帐户。
〝帐户:
来宾帐户形状〞设置的能够值为:
•
已启用
•
已禁用
•
没有定义
破绽:
默许Guest帐户允许未经身份验证的网络用户以没有密码的Guest身份登录。
这些XX的用户可以经过网络访问Guest帐户可访问的任何资源。
此功用意味着任何具有允许Guest帐户、Guests组或Everyone组停止访问的权限的网络共享资源,都可以经过网络对其停止访问,这能够招致数据暴露或损坏。
对策:
将〝帐户:
来宾帐户形状〞设置配置为〝已禁用〞,以便内置的Guest帐户不再可用。
潜在影响:
一切的网络用户都将必需先停止身份验证,才干访问共享资源。
假设禁用Guest帐户,并且〝网络访问:
共享和平安形式〞选项设置为〝仅来宾〞,那么那些由Microsoft网络效劳器〔SMB效劳〕执行的网络登录将失败。
关于大少数组织来说,此战略设置的影照应该会很小,由于它是MicrosoftWindows®2000、WindowsXP和WindowsServer™2003中的默许设置。
帐户:
运用空白密码的本地帐户只允许停止控制台登录
此战略设置确定能否允许运用空白密码的本地帐户经过网络效劳〔如终端效劳、Telnet和文件传输协议(FTP)〕停止远程交互式登录。
假设启用此战略设置,那么本地帐户必需有一个非空密码,才干从远程客户端执行交互式或网络登录。
〝帐户:
运用空白密码的本地帐户只允许停止控制台登录〞设置的能够值为:
•
已启用
•
已禁用
•
没有定义
留意:
此战略设置不影响在控制台上以物理方式执行的交互式登录,也不影响运用域帐户的登录。
正告:
运用远程交互式登录的第三方运用顺序有能够跳过此战略设置。
破绽:
空白密码会对计算机平安形成严重要挟,应当经过组织的战略和适当的技术措施来制止。
实践上,WindowsServer2003ActiveDirectory®目录效劳域的默许设置需求至少包括七个字符的复杂密码。
但是,假设可以创立新帐户的用户跳过基于域的密码战略,那么他们可以创立具有空白密码的帐户。
例如,某个用户可以构建一个独立的计算机,创立一个或多个具有空白密码的帐户,然后将该计算机参与到域中。
具有空白密码的本地帐户仍将正常任务。
任何人假设知道其中一个未受维护的帐户的称号,都可以用它来登录。
对策:
启用〝帐户:
运用空白密码的本地帐户只允许停止控制台登录〞设置。
潜在影响:
无。
这是默许配置。
帐户:
重命名系统管理员帐户
此战略设置确定另一个帐户名能否与Administrator帐户的SID相关联。
〝帐户:
重命名系统管理员帐户〞设置的能够值为:
•
用户定义的文本
•
没有定义
破绽:
Administrator帐户存在于运转Windows2000、WindowsServer2003或WindowsXPProfessional操作系统的一切计算机上。
假设重命名此帐户,会使XX的人员更难猜想这个具有特权的用户名和密码组合。
无论攻击者能够运用多少次错误密码,内置的Administrator帐户都不能被锁定。
此功用使得Administrator帐户成为强力攻击〔尝试猜想密码〕的罕见目的。
这个对策的价值之所以增加,是由于此帐户有一个众所周知的SID,而且第三方工具允许运用SID而非帐户名来停止身份验证。
因此,即使您重命名Administrator帐户,攻击者也能够会运用该SID来登录以发起强力攻击。
对策:
在〝帐户:
重命名系统管理员帐户〞设置中指定一个新称号,以重命名Administrator帐户。
留意:
在前面的章节中,此战略设置既未在平安模板中停止配置,也不是本指南所建议帐户的新用户名。
模板中疏忽了这项战略设置,这样做是为了让运用本指南的众多组织将不在其环境中完成异样的新用户名。
潜在影响:
您必需将这个新帐户名通知给授权运用此帐户的用户。
〔有关此设置的指点假定Administrator帐户没有被禁用,这是本章前面建议的设置。
〕
帐户:
重命名来宾帐户
〝帐户:
重命名来宾帐户〞设置确定另一个帐户名能否与Guest帐户的SID相关联。
此组战略设置的能够值为:
•
用户定义的文本
•
没有定义
破绽:
Guest帐户存在于运转Windows2000、WindowsServer2003或WindowsXPProfessional操作系统的一切计算机上。
假设重命名此帐户,会使XX的人员更难猜想这个具有特权的用户名和密码组合。
对策:
在〝帐户:
重命名来宾帐户〞设置中指定一个新称号,以重命名Guest帐户。
留意:
在前面的章节中,此战略设置既未在平安模板中停止配置,也不是本指南所建议帐户的新用户名。
模板中疏忽了这项战略设置,这样做是为了让运用本指南的众多组织将不在其环境中完成异样的新用户名。
潜在影响:
影照应该会很小,由于在默许状况下,Windows2000、WindowsXP和WindowsServer2003中已禁用〝Guest〞帐户。
对备份和恢复权限的运用停止审核
假设启用此战略设置,在计算机创立系统对象〔如多用户端执行顺序、事情、信号灯和MS-DOS®设备〕时,将运用默许的系统访问控制列表(SACL)。
假设如本指南第3章中所述,您还启用了〝审核对象访问〞审核设置,那么会审核对这些系统对象的访问。
全局系统对象〔又被称作〝基本系统对象〞或〝基本命名对象〞是存活时间很短的内核对象,它们的称号是由创立它们的运用顺序或系统组件分配的。
这些对象经常用于同步多个运用顺序或一个复杂运用顺序的多个局部。
由于它们具有称号,因此这些对象在作用域内是全局的,从而关于计算机上的一切进程均可见。
这些对象都具有一个平安描画符,但是它们通常有一个空的系统访问控制列表。
假设在启动时启用此战略设置,内核将在这些对象被创立时向它们分配一个系统访问控制列表。
〝对全局系统对象的访问停止审核〞设置的能够值为:
•
已启用
•
已禁用
•
没有定义
破绽:
假设没有正确地维护某个全局可见的命名对象,那么知道该对象称号的恶意顺序能够会针对该对象停止操作。
例如,假设某个同步对象〔如多用户终端执行顺序〕有一个错误选择的恣意访问控制列表(DACL),那么恶意顺序可以按称号访问这个多用户终端执行顺序,并且招致创立这个多用户终端执行顺序的顺序无法正常任务。
但是,出现这种状况的风险会十分低。
对策:
启用〝对全局系统对象的访问停止审核〞设置。
潜在影响:
假设启用〝对全局系统对象的访问停止审核〞设置,能够会生成少量平安事情,尤其是在忙碌的域控制器和运用顺序效劳器上。
这类状况能够招致效劳器照应缓慢,并迫使平安事情日志记载许多有关紧要的事情。
此战略设置只能被启用或禁用,并且没有挑选记载哪些事情和不记载哪些事情的方法。
即使组织有可以剖析由此战略设置所生成事情的资源,它们也不能够具有每个命名对象的源代码或关于其用途的说明。
因此,关于许多组织来说,将此战略设置配置为〝已启用〞,不大能够取得什么益处。
对备份和恢复权限的运用停止审核
此战略设置确定在〝审核权限运用〞设置失效时,能否对一切用户权限〔包括〝备份和恢复〞权限〕的运用停止审核。
假设启用这两个战略设置,会为备份或恢复的每个文件生成一个审核事情。
假设启用此战略设置并结合运用〝审核权限运用〞设置,用户权限的任何行使状况都会记载在平安日志中。
假设禁用此战略设置,那么即使启用〝审核权限运用〞,也不会对用户行使备份或恢复权限的操作停止审核。
〝对备份和恢复权限的运用停止审核〞设置的能够值为:
•
已启用
•
已禁用
•
没有定义
破绽:
假设在启用〝审核权限运用〞设置的同时启用此选项,那么备份或恢复每个文件都会生成一个审核事情。
此信息会协助您识别被用于以XX的方式不测或恶意恢双数据的帐户。
对策:
启用〝对备份和恢复权限的运用停止审核〞设置。
或许,也可以经过配置AutoBackupLogFiles注册表项来实施自动记载备份,
潜在影响:
假设启用此战略设置,能够会生成少量平安事情,这能够招致效劳器照应缓慢,并迫使平安事情日志记载许多有关紧要的事情。
假设添加平安日志大小以增加系统封锁的机率,过大的日志文件能够影响系统功用。
假设无法记载平安审核那么立刻封锁系统
此战略设置确定在无法记载平安事情时能否封锁计算机。
可信计算机系统评测规范(TCSEC)〔C2和通用规范认证〕需求在审核系统无法记载可审核事情时,计算机可以防止出现这些事情。
Microsoft所选择的以满足此要求的方法是:
在无法审核系统时,暂停计算机并显示一那么中止音讯。
假设启用此战略设置,计算时机在出于任何缘由不能记载平安审核时中止。
通常,当平安事情日志已满,而且为它指定的保管方法为〝不掩盖事情〞或〝按天数掩盖事情〞时,将无法记载事情。
启用此战略设置时,假设平安日志已满且不能掩盖现有条目,那么会显示以下中止音讯:
STOP:
C0000244{审核失败}
尝试生成平安审核失败。
要停止恢复,管理员必需登录,对日志停止存档〔可选〕,肃清日志,然后禁用此选项以允许计算机重新启动。
此时,能够需求先手动肃清平安事情日志,然后才干将此战略设置配置为〝已启用〞。
〝假设无法记载平安审核那么立刻封锁系统〞设置的能够值为:
•
已启用
•
已禁用
•
没有定义
破绽:
假设计算机无法将事情记载到平安日志中,那么在出现平安事情之后,能够无法运用关键的证据或重要的疑问解答信息来停止审查。
此外,还有攻击者会生成少量平安事情日志音讯以故意强迫计算机封锁的潜在能够。
对策:
启用〝假设无法记载平安审核那么立刻封锁系统〞设置。
潜在影响:
假设启用此战略设置,管理担负能够会十分大,尤其是当您还将平安日志的〝保管〞方法配置为〝不掩盖事情〔手动肃清日志〕〞时更是如此。
此配置会招致供认要挟〔备份操作员能够否认他们备份或恢复了数据〕成为拒绝效劳(DoS)破绽,由于效劳器会因写入到平安日志中的少量登录事情和其他平安事情而自愿封锁。
另外,由于是非正常封锁,因此能够会对操作系统、运用顺序或数据形成不可修复的损害。
虽然NTFS文件系统(NTFS)将保证在系统非正常封锁进程中坚持文件系统的完整性,但是它不能保证在计算机重新启动时,每个运用顺序的每个数据文件都仍
然处于可用形状。
DCOM:
在平安描画符定义言语(SDDL)语法中的计算机访问限制
此战略设置允许管理员在计算机上定义用于管理对基于一切散布式组件对象模型(DCOM)的运用顺序访问的其他计算机范围访问控件。
这些控件限制计算机上的调用、激活或启动央求。
思索这些访问控件最复杂的方法就是对计算机上任何COM效劳器的每个调用、激活或启动,依据计算机范围的访问控制列表(ACL)作为附加访问反省调用执行。
假设访问反省失败,调用、激活或启动央求将被拒绝。
〔此反省是依据效劳器特定的ACL运转的任何访问反省以外的附加反省。
〕实践上,它提供了在计算机上访问任何COM效劳器时必需经过的最低授权规范。
〝DCOM:
在平安描画符定义言语(SDDL)语法中的计算机访问限制〞设置控制访问权限以维护调用权限。
这些计算机范围的ACL提供了一种可掩盖由特定运用顺序经过CoInitializeSecurity或运用顺序特定的平安设置指定的弱平安性设置的方式。
它们提供必需经过的最低平安规范,而不论特定效劳器的设置如何。
这些ACL为管理员提供了一个用于设置运用于计算机上的一切COM效劳器的普通授权战略的集中位置。
〝DCOM:
在平安描画符定义言语(SDDL)语法中的计算机访问限制〞设置允许您以两种不同方式指定一个ACL。
您可以以SDDL键入平安描画符,或许选择用户和组并授予或拒绝其本地访问和远程访问权限。
Microsoft建议您运用内置的用户界面以指定您想要运用此设置运用的ACL内容。
破绽:
许多COM运用顺序包括一些平安特定代码〔例如,用于调用CoInitializeSecurity〕,但却运用弱设置,通常允许未阅历证就可访问进程。
在Windows的较早版本中,假定不修正运用顺序,管理员不能掩盖这些设置以强迫强平安性。
攻击者能够会经过COM调用来停止攻击以尝试应用单个运用顺序中的弱平安性。
此外,COM结构还包括RPCSS,一种在计算机启动进程中运转并在启动后一直运转的系统效劳。
此效劳管理COM对象的激活和运转的对象表,并为DCOM远程处置提供协助效劳。
它地下可远程调用的RPC接口。
由于某些COM效劳器允许未阅历证的远程访问〔如前面局部所述〕,因此任何人都可调用这些接口,包括未阅历证的用户。
因此,运用远程、未阅历证的计算机的恶意用户可以攻击RPCSS。
对策:
为维护单个基于COM的运用顺序或效劳,请将〝DCOM:
在平安描画符定义言语(SDDL)语法中的计算机访问限制〞设置设置为相应计算机范围的ACL。
潜在影响:
WindowsXPSP2和WindowsServer2003SP1依照其各自的文档中所指定的内容实施默许的COMACL。
假设实施COM效劳器并掩盖默许平安设置,请确认运用顺序特定调用权限ACL为相运用户分配了正确权限。
假设不是,您将必需更改运用顺序特定权限ACL来为相运用户提供激活权限,以便运用DCOM的运用顺序和Windows组件不会失败。
DCOM:
在平安描画符定义言语(SDDL)语法中的计算机启动限制
此战略设置与〝DCOM:
在平安描画符定义言语(SDDL)语法中的计算机访问限制〞设置相相似,由于它允许管理员定义可管理对计算机上一切基于DCOM运用顺序的访问的附加计算机范围访问控制。
但是,此战略设置中指定的ACL控制计算机上的本地和远程COM启动央求〔不是访问央求〕。
思索此访问控制最复杂的方法是对计算机上任何COM效劳器的每个启动,依据计算机范围的ACL作为附加访问反省调用执行。
假设访问反省失败,调用、激活或启动央求将被拒绝。
〔此反省是针对效劳器特定的ACL运转的任何访问反省以外的附加反省。
〕实践上,它提供了在计算机上启动任何COM效劳器时必需经过的最低授权规范。
早期战略有所不同,由于它提供最低的访问反省,运用该反省以试图访问已启动的COM效劳器。
这些计算机范围的ACL提供了一种可掩盖由特定运用顺序经过CoInitializeSecurity或运用顺序特定的平安设置指定的弱平安性设置的方式。
它们提供必需经过的最低平安规范,而不论特定COM效劳器的设置如何。
这些ACL为管理员提供了一个用于设置运用于计算机上的一切COM效劳器的普通授权战略的集中位置。
〝DCOM:
在平安描画符定义言语(SDDL)语法中的计算机启动限制〞设置允许您以两种不同方式指定一个ACL。
您可以以SDDL键入平安描画符,或许选择用户和组并授予或拒绝其本地访问和远程访问权限。
Microsoft建议您运用内置的用户界面以指定您想要运用此设置运用的ACL内容。
破绽:
许多COM运用顺序包括一些平安特定代码〔例如,用于调用CoInitializeSecurity〕,但却运用弱设置,通常允许未阅历证就可访问进程。
在Windows的较早版本中,假定不修正运用顺序,管理员不能掩盖这些设置以强迫强平安性。
攻击者能够会经过COM调用来停止攻击以尝试应用单个运用顺序中的弱平安性。
此外,COM结构还包括RPCSS,一种在计算机启动进程中运转并在启动后一直运转的系统效劳。
此效劳管理COM对象的激活和运转的对象表,并为DCOM远程处置提供协助效劳。
它地下可远程调用的RPC接口。
由于某些COM效劳器允许未阅历证的远程组件激活〔如前面局部所述〕,因此任何人都可调用这些接口,包括未阅历证的用户。
因此,运用远程、未阅历证的计算机的恶意用户可以攻击RPCSS。
对策:
为维护单个基于COM的运用顺序或效劳,请将〝DCOM:
在平安描画符定义言语(SDDL)语法中的计算机启动限制〞设置设置为相应计算机范围的ACL。
潜在影响
WindowsXPSP2和WindowsServer2003SP1依照各自的文档中所指定的内容实施默许的COMACL。
假设实施COM效劳器并掩盖默许平安设置,请确认运用顺序特定启动权限ACL为相运用户分配了激活权限。
假设不是,您将必需更改运用顺序特定启动权限ACL来为相运用户提供激活权限,以便运用DCOM的运用顺序和Windows组件不会失败。
设备:
允许不登录移除
此战略设置确定用户能否必需登录才干央求权限以从扩展坞移除便携式计算机。
假设启用此战略设置,用户将可以经过按已插接的便携式计算机上的物理弹出按钮来平安移除计算机。
假设禁用此战略设置,用户必需登录才干收到移除计算机的权限。
只要具有〝从扩展坞中取出计算机〞特权的用户才干取得此权限。
留意:
只要针对不能以机械方式移除的便携式计算机,才应禁用此战略设置。
可以以机械方式移除的计算机可以被用户物理取出,不论他们能否运用Windows移除功用。
〝设备:
允许不登录移除〞设置的能够值为:
•
已启用
•
已禁用
•
没有定义
破绽:
假设启用此战略设置,那么任何人只需可以物理访问放置在其扩展坞中的便携式计算机,就都可以取出计算机并有能够损害它们。
关于没有扩展坞的计算机,此战略设置没有任何影响。
对策:
禁用〝设备:
允许不登录移除〞设置。
潜在影响:
曾经固定其计算机的用户将必需先登录到本地控制台,才干移除其计算机。
设备:
允许格式化和弹出可移动媒体
此战略设置确定允许谁格式化和弹出可移动媒体。
〝设备:
允许格式化和弹出可移动媒体〞设置的能够值为:
•
Administrators
•
Administrators和PowerUsers
•
Administrators和InteractiveUsers
•
没有定义
破绽:
用户可以将可移动磁盘上的数据移到他们具有管理特权的另一台计算机上。
然后,该用户可以获取任何文件的一切权,授予自己完全控制权限,检查或修正任何文件。
由于大少数可移动存储设备都可以经过按一个机械按钮来弹出媒体这一理想,此战略设置的优势会有所削弱。
对策:
将〝允许格式化和弹出可移动媒体〞设置配置为Administrators。
潜在影响:
只要管理员才可以弹出NTFS格式化的可移动媒体。
设备:
防止用户装置打印机驱动顺序
关于要打印到某个网络打印机的计算机,必需在本地计算机上装置该网络打印机的驱动顺序。
〝设备:
防止用户装置打印机驱动顺序〞设置确定谁可以装置打印机驱动顺序〔作为添加网络打印机的一局部〕。
假设启用此战略设置,只要Administrators和PowerUsers组的成员允许在添加网络打印机时装置打印机驱动顺序。
假设禁用此战略设置,任何用户在添加网络打印机时都可以装置打印机驱动顺序。
此战略设置可防止典型用户下载和装置不受信任的打印机驱动顺序。
留意:
假设管理员曾经配置了下载驱动顺序的受信任途径,那么此战略设置没有任何影响。
假设运用受信任途径,打印子系统会尝试运用受信任途径下载驱动顺序。
假设受信任途径下载成功,那么可以代表任何用户装置驱动顺序。
假设受信任途径下载失败,那么驱动顺序不会停止装置,网络打印机不停止添加。
〝设备:
防止用户装置打印机驱动顺序〞设置的能够值为:
•
已启用
•
已禁用
•
没有定义
破绽:
在某些组织中允许用户在其自己的任务站上装置打印机驱动顺序能够是适当的。
但是,应不允许用户在效劳器上停止这类装置。
在效劳器上装置打印机驱动顺序能够会在有意中使计算机变得不太动摇。
只要管理员在效劳器上具有此特权。
恶意用户能够会装置不适当的打印机驱动顺序来故意试图损害计算机,或许用户也能够会不测装置一些伪装成打印机驱动顺序的恶意代码。
对策:
将〝设备:
防止用户装置打印机驱动顺序〞设置配置为〝已启用〞。
潜在影响:
只要具有Administrative、PowerUser或ServerOperator特权的用户才可以在效劳器上装置打印机。
假设启用了此战略设置,但是网络打印机的驱动顺序曾经存在于本地计算机上,那么用户仍可以添加网络打印机。
设备:
只要本地登录的用户才干访问CD-ROM
此战略设置确定CD-ROM能否可供本地和远程用户同时访问。
假设启用此战略设置,将仅允许交互式登录的用户访问可移动的CD-ROM媒体。
假设启用了此战略设置,且没有人交互登录,那么可以经过网络访问CD-ROM。
〝设备:
只要本地登录的用户才干访问CD-ROM〞设置的能够值为:
•
已启用
•
已禁用
•
没有定义
破绽:
远程用户能够会访问包括敏感信息、已装入的CD-ROM。
这种风险的能够性很小,由于CD-ROM驱动器不会自动成为网络共享资源,管理员必需专门选择共享此驱动器。
但是,管理员能够希望拒绝网络用户检查数据或从效劳器上的可移动媒体运转运用顺序的才干。
对策:
启用〝只要本地登录的用户才干访问CD-ROM〞设置。
潜在影响:
当有人登录到效劳器的本地控制台时,经
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 策略 设置 系列 安全 选项