Windows 2000 安全配置
2008-07-18 14:18
447 查看
本模块内容
本模块详细介绍了可完善 Microsoft® Windows® 2000 操作系统安全性的各种安全设置。模块中的表格描述了各设置所能达到的安全目标,以及实现这些目标所需采取的配置操作。其中的设置是按照 SCE 界面中的类别分类的。目标
使用本模块可以实现:
• | 识别可确保 Windows 2000 系统安全的策略设置。 |
• | 找到可确保 Windows 2000 系统安全的注册表设置。 |
• | 安全配置 Windows 2000 系统以实现其网络角色。 |
• | 找到有关 Windows 2000 安全性的参考资料。 |
本模块适用于下列产品和技术:
• | Microsoft Windows 2000 操作系统安全性 | ||||||
• | 组策略 | ||||||
• | 安全模板 | ||||||
• | Microsoft Windows 2000 Professional 操作系统
| ||||||
• | Microsoft Windows 2000 Server™ 操作系统
|
返回页首
如何使用本模块
本模块提供了确保 Microsoft Windows 2000 Professional 和 Microsoft Windows 2000 Server 系统安全的方法。定义了为创建安全环境而必须应用的组策略和注册表设置,并在阐释这些设置的同时介绍了选择这些配置的理由。您可以使用本模块为 Windows 2000 系统创建安全的配置。为了充分理解本模块的内容,请:
• | 阅读模块 Windows 2000 安全配置工具。该模块重点介绍了可用于应用安全配置的 Windows 2000 工具。 | ||||
• | 阅读模块 Windows 2000 默认安全策略设置。该模块详细介绍了应用于不同 Windows 2000 系统角色的默认安全策略设置。 | ||||
• | 阅读模块 Windows 2000 用户权限和特权配置。该模块详细介绍了 Windows 2000 系统上的默认用户权限分配,并提供了一个本模块推荐的更改列表。 | ||||
• | 使用检查表 Windows 2000 安全配置检查表。在评估系统时可以使用其中的安全检查表以确保进行了所有的配置更改。 | ||||
• | 使用附带“如何”模块:
| ||||
• | 请下载安全配置模板。您可以从以下网站下载本指南附带的安全模板:http://www.microsoft.com/downloads/details.aspx?FamilyID=15e83186-a2c8-4c8f-a9d0-a0201f639a56(英文)。 |
内置组
Windows 2000 附带了许多内置组。其中几个特别值得注意,包括 Power Users 组(在工作站、独立服务器和成员服务器上)、Server Operators、Print Operators 和 Backup Operators(在服务器上)。 这些组的作用是,在不用使用户成为管理员的情况下提升用户的权限。但鉴于赋予这些组的具体权限,其中每个组的成员都可以成为管理员。Operators 组的作用主要是防止管理员意外损坏系统。但不能防止对系统的故意破坏。Power Users 组主要用于普通用户无法正常运行某些早期应用程序的情况。因此,这个组在某些仅需决定是使用户成为 Power Users 还是 Administrators 的环境中非常必要。很明显,这种情况下,Power Users 是上策。因此,本指南不推荐使 Power Users 组不可用,尽管其他参考资料可能推荐这么做。但是,在不要求 Power Users 的环境中,应当对 Power Users 组进行控制,管理员应确保该组中不包含任何成员。
帐户策略
帐户策略是控制以下三个重要帐户身份验证功能的规则:密码策略、帐户锁定和 Kerberos 验证。• | 密码策略 该策略决定了密码的设置,如强制和生存期。 |
• | 帐户锁定策略 该策略决定了何时将帐户锁定在系统之外,以及锁定多久。 |
• | Kerberos 策略 Kerberos 身份验证机制用在属于 Microsoft Active Directory® 域的 Windows 2000 或更高版本系统的计算机中。该策略允许管理员配置 Kerberos。 |
• | 通过域策略应用的域帐户策略仅对该域及其子域中的域控制器上定义的帐户生效。这也包括以下三种设置:
| ||||||
• | 在 OU 上定义的帐户策略对属于该 OU 的计算机上定义的本地帐户生效。 |
密码策略
• | 查看并编辑当前的密码策略设置
|
密码策略 | 域工作站 | 域便携式计算机 | DC | 域服务器 | 独立工作站 | 独立服务器 |
设置密码历史要求 安全目标:设置重复使用密码的频率限制。设置此值时,将会对比新的密码和所设定数量的早期密码,并在新密码与现有密码匹配时拒绝所进行的密码更改。(请注意,这是在不存储明文密码的情况下进行的。) 步骤: a. 双击右侧的详细信息窗格中的“强制密码历史”,打开相应的“安全策略设置”对话框。 b. 对于域级别的策略,请选中“定义这个策略设置 ”。 c. 更改“记住的密码”字段中的数字(最高值为 24),以反映系统将记忆的密码的数量。 建议:将此值设置为 24。 原因:此设置可确保用户无法复用密码(无论是意外还是故意),从而提高密码的安全性。这可提高攻击者进行密码攻击时盗用的密码无效的概率。 | ||||||
设置密码最长使用期限 安全目标:设置用户在不得不修改密码前可以使用该密码的时间。 步骤: a. 双击右侧详细信息窗格中的“密码最长使用期限”,打开相应的安全策略设置对话框。 b. 对于域级别的策略,请选中“定义这个策略设置”框。 c. 将“天”字段中的数字更改为所需的数字。 建议:70 天。 原因:这可以通过确保用户定期更换密码来提高密码的安全性。建议的设置可防止用户因为不得不频繁更改密码而遗忘密码。 | ||||||
设置密码最短使用期限 安全目标:设置用户可更改密码前必须使用该密码的时间。 步骤: a. 双击右侧详细信息窗格中的“密码最短使用期限”,打开相应的“安全策略设置”对话框。 b. 对于域级别的策略,请选中“定义这个策略设置”框。 c. 将“天”字段中的数字更改为所需的数字。 建议:2 天。 原因:此设置强制用户使用新密码一段时间后才可以重置,有助于用户记忆新密码。这还可防止用户通过迅速设置 25 个新密码来规避密码历史。 | ||||||
设置最短密码长度 安全目标:设置用户密码所需的最少字符数。 步骤: a. 双击右侧详细信息窗格中的“最短密码长度”,打开相应的“安全策略设置”对话框。 b. 对于域级别的策略,请选中“定义这个策略设置”框。 c. 将“字符”字段中的数字更改为所需的数字。 建议:8 个字符。 请注意,密码中每增一个字符,都将按指数级提升密码的安全性。如果要求最少 8 个字符,则较弱的 LMHash 也将增强很多,这使破解者必须破解 LMHash 的全部两个 7 字节部分,而不是其中一个。如果密码是 7 个字节或更少,则 LMHash 的第二部分将具有一个特定的值,破解者可以通过该值判断密码短于 8 个字符。 也有人认为 8 字符的密码没有 7 字符密码安全,原因是 LMHash 的存储方式。在 8 字符密码中,破解者只需在测试密码第一部分时测试第二部分。但是,测试密码的全部两部分会使破解者不得不增加七分之一的尝试次数,这将显著增加破解密码所需的时间。较长的密码始终更好一些,如果未存储 LM 哈希值,8 字符密码比 7 字符密码安全得多。推荐使用短密码而不是长密码,是错误的。 | ||||||
设置密码复杂性要求 安全目标:要求使用复杂(强)密码。该策略强制要求至少使用以下四个字符集中的三个:(1) 大写字母;(2) 小写字母;(3) 数字;以及 (4) 非字母数字字符。 建议:启用密码复杂性。 原因:对于防止密码猜测和密码破解来说,密码复杂性至关重要。 | ||||||
启用密码可逆加密 安全目标:此设置旨在降低那些要求特定类型向后兼容性的环境的安全性。某些方案要求提供用户的明文密码。此时,启用此设置将能够获取明文密码。 建议:不要启用此设置。请确保默认的“禁用”设置仍被强制。 |
帐户锁定策略
帐户锁定用于防止对帐户的密码猜测。帐户锁定会在输入特定多次无效密码后锁定帐户。锁定可以持续一段时间,也可以是无限长,直至管理员解除该帐户的锁定。内置的 Administrator 帐户不能在本地登录中锁定,只能锁定其网络登录。而且,只有通过使用 Windows 2000 Server Resource Kit 中的 passprop.exe 工具,才可以锁定其网络登录。应避免使用帐户锁定策略的原因有几个。首先,如果按以上所述配置了密码策略,帐户锁定就是不必要的,因为任何攻击者都不能在一段合理的时间内猜出密码。在仅使用大小写字母与数字,用户不使用词典单词并仅附加一个数字的情况下,如果每次猜测需要半秒钟时间,猜到密码要花 3,461,760 年。由于密码会定期更改,攻击者猜到密码的可能性非常小。事实上,如果每隔 70 天更改密码,攻击者将需要相当于 52,000 条 T3 传入被攻击系统的线路,才能在密码过期前猜到一个随机的密码(当然,需要假定该密码不是词典单词)。换句话说,如果密码很弱,攻击者能在十次尝试内猜到,那么问题并不是在帐户锁定策略,而是弱到极点的密码。
此外,启用帐户锁定策略会大大增加由于用户忘记关闭 Caps Lock 键或类似问题而将自己帐户意外锁定而引起的技术支持工作量。当要求用户使用复杂密码时,很有可能发生这种情况,这也是复杂密码的唯一缺点。
另一种比因帐户锁定造成技术支持工作量增加更坏的情况是,因攻击者锁定服务帐户而对网络造成影响。这种情况下,服务将无法启动。如果服务由于帐户锁定而无法启动,本身并不会重新尝试启动该服务,管理员需要在锁定期限过后在该系统上手动启动该服务。
在所有环境都应使用漏洞扫描程序。但是,漏洞扫描程序通常只测试少量常用的密码,如果使用了帐户锁定策略,扫描程序每次扫描网络时,都会锁定所有的帐户。这对系统可用性将造成意料之外的影响。
此外,默认情况下的帐户锁定并不能保护攻击者最可能攻击的帐户:Administrator 帐户。虽然有可能获取系统上其他管理帐户的列表,但大多数攻击者都会尝试对明显的帐户(如默认的 Administrator 帐户)使用密码猜测攻击。要对 Administrator 帐户启用锁定,必须使用 Resource Kit 中的 passprop.exe 实用程序。
最后,由于可以使用防火墙将不受信任的网络阻止到 Windows 网络之外,密码猜测仅可以从受信任的网络发起。在受信任的网络中,密码猜测攻击的发起者可以通过跟踪登录企图轻松找到并对付。
帐户锁定有一种潜在功能,即提醒管理员正在发生密码猜测攻击。但是,应当使用入侵检测系统来检测这种情况。不应使用帐户锁定策略来代替真正的入侵检测系统。但在需要帐户锁定的警示功能的环境中,应分别将阈值和计时器设置为 50 和 30 分钟。
访问 Kerberos 策略设置
使用 Kerberos 策略的默认设置已足够。请不要更改这些默认值。本地策略
本地策略管理应用于各台计算机或各个用户的安全设置。本地策略部分可用于配置:• | 审核策略 审核策略用于确定计算机的安全性事件日志中记录了哪些安全事件(如成功的尝试、失败的尝试或两者都记录)。安全性日志是通过事件查看器 MMC 管理单元进行管理的。 |
• | 用户权限分配 用户权限管理各个用户或组可以执行的操作的类型。在较早版本的 Microsoft Windows NT® 中,它们被称为“特权”。 |
• | 安全选项 这些选项用于管理计算机的各种基于注册表的安全设置,如数据的数字签名、管理员和来宾帐户名称、软盘驱动器和光盘访问、驱动程序安装以及登录尝试。默认情况下,本部分所讨论的几种设置在文中描述的工具中不可见。要在用户界面中查看并管理这些设置,管理员必须首先应用一个自定义模板,以修改界面中所显示的设置。 |
审核策略
• | 启用安全相关事件的审核
|
审核策略 | 域工作站 | 域便携式计算机 | DC | 域服务器 | 独立工作站 | 独立服务器 | ||
审核事件类别 | 成功 | 失败 | ||||||
审核帐户登录事件 审核计算机用于验证用户身份的登录事件。换句话说,在域控制器上,这将审核所有的域登录事件,而在域成员上,仅审核使用本地帐户的事件。 | ||||||||
审核帐户管理 审核所有涉及帐户管理的事件,如帐户创建、帐户锁定、帐户删除等。 | ||||||||
审核目录服务访问 启用对 Active Directory 对象的访问的审核。此设置本身不会真正导致生成任何事件。仅当在对象上定义了 SACL 时,才会审核访问。因此,应启用成功和失败审核两者,才能使 SACL 生效。 | ||||||||
审核登录事件 审核在此策略应用到的系统中发生的登录事件,无论帐户属谁。换句话说,在域成员上,为此启用成功审核将在有人登录系统时生成一个事件。如果用于登录的帐户是本地的,并且启用了“审核帐户登录事件”设置,则该登录将生成两个事件。 | ||||||||
审核对象访问 启用对所有可审核对象的访问的审核,如对文件系统和注册表对象(目录服务对象出外)的访问。这些设置本身不会导致审核任何事件。它仅启用审核,使定义了 SACL 的对象得以被审核。因此,应当为此设置启用成功和失败审核两者。 | ||||||||
审核策略更改 此设置定义是否审核对用户权限分配策略、审核策略或信任策略的更改。由于对此类型的访问的失败审核实际上并无意义,因此,您只需对此设置启用成功审核。 | ||||||||
审核特权使用 此设置确定是否在每次有人使用特权时都生成一个审核事件。某些特权,如“跳过遍历检查”和“调试程序”,虽然启用了此设置,也不会得到审核(这些审核可通过设置 FullPrivilegeAuditing 注册表值来打开)。启用特权审核会生成大量事件,因此应避免打开。 | ||||||||
审核过程跟踪 此设置启用对某些进程事件的审核,如程序进入和退出、句柄复制、间接对象访问等。启用此审核将生成非常多的事件,会在短时间内充满事件日志。因此,不应广泛启用此设置,除非用于调试目的。使用进程跟踪来分析攻击可能也很有用。例如,缓冲区溢出攻击常被用来启动命令解释器,如果打开了进程跟踪,将会记录此事件。但是,如果打开进程跟踪,必须使用严格的日志管理。 | ||||||||
审核系统事件 审核系统关闭、启动和影响系统或安全日志的事件,如清除日志。 |
登录权限和特权
登录权限和特权负责管理用户在目标系统上的权限。它们用于授权执行某些操作进行,如通过网络或本地登录,还用于执行管理性工作,如生成新的登录令牌。• | 修改用户权限
|
表 3 列出了应修改其默认值的用户权限和特权分配。策略编辑器界面中会显示更多其他权限。不过,它们的默认设置已足够,无需修改。该表中的对号指示您应对该列中的特定系统类型应用此修改。
表 3:用户权限和特权
用户权限和特权分配 | 域工作站 | 域便携式计算机 | DC | 域服务器 | 独立工作站 | 独立服务器 | ||
特权 | 默认值 | 已修改 | ||||||
从网络访问此计算机 (Professional/Server) | Administrators Backup Operators Power Users Users Everyone | Administrators Backup Operators Power Users Users 已验证的用户 | ||||||
从网络访问此计算机(域控制器) | Administrators 已验证的用户 Everyone | Administrators 已验证的用户 | ||||||
本地登录 (Professional) | Administrators Backup Operators Power Users UsersMachinename\Guest | Administrators Backup Operators Power Users Users | ||||||
本地登录(服务器) | Administrators Backup Operators Power Users Users 计算机名\Guest 计算机名\TsInte rnetUser | Administrators Backup Operators Power Users 注意:您需将此特权授予 Terminal Server Application Server 的 Users。 | ||||||
本地登录(域控制器) | Administrators Account Operators Backup Operators Print Operators Server Operators TsInternetUser | Administrators Account Operators Backup Operators Print Operators Server Operators | ||||||
将工作站添加到域中(域控制器) | 已验证的用户 | 已验证的用户 | ||||||
增加配额(域控制器 – 在域安全策略中) | (未定义) | Administrators | ||||||
提升计划优先级(域控制器 – 在域安全策略中) | (未定义) | Administrators | ||||||
加载和卸载设备驱动程序(域控制器 – 在域安全策略中) | (未定义) | Administrators | ||||||
管理审核和安全日志(域控制器 – 在域安全策略中) | (未定义) | Administrators | ||||||
修改固件环境(域控制器 – 在域安全策略中) | (未定义) | Administrators | ||||||
配置系统性能(域控制器 – 在域安全策略中) | (未定义) | Administrators | ||||||
关闭系统(客户端) | Administrators Backup Operators Power Users Users | Administrators Backup Operators Power Users 已验证的用户 | ||||||
关闭系统(服务器) | Administrators Power Users (视系统类型而定,可能会有不同的组) | Administrators | ||||||
获取文件和对象的所有权(域控制器 – 在域安全策略中) | (未定义) | Administrators |
修改安全选项
• | 修改预定义的安全相关注册表设置
|
安全选项 | 域工作站 | 域便携式计算机 | DC | 域服务器 | 独立工作站 | 独立服务器 | |||||||||||||||||||
对匿名连接设置附加限制 安全目标:禁止匿名用户枚举 SAM 帐户和共享。 建议:对于域和独立服务器,请将此值设置为“不允许枚举 SAM 帐号和共享”。该设置等效于将 RestrictAnonymous 设置为 1,并常常被这样描述。对于便携式计算机和工作站,请将此值设置为“没有显式匿名权限就无法访问”(RestrictAnonymous = 2)。 注意:“没有显式匿名权限就无法访问”选项在许多环境中有可能会导致连接问题。因此,通常如果要接受入站连接的系统,不应使用此设置。但是,由于它优异的安全性价值,您应当周密地测试它,以确定在您的特定环境中是否可使用它。目前,已知有几种此设置的不兼容情况: 在 Exchang 2000 服务器上设置为“没有显式匿名权限就无法访问”时,客户端将无法在全球通讯簿中查找地址。Windows 2000 Service Pack 3 修复了此问题。当在 Windows 2000 域控制器上设置为“不允许枚举 SAM 帐号和共享”时,Windows XP、NT 和 Macintosh 客户端上的用户将无法在登录时修改它们的域密码。可以通过查找修复程序 328817 来从 PSS 获取 Windows XP 的修补程序。没有 Microsoft Windows NT® 和 Macintosh 客户端的修补程序。 如果设置了此值,低级别的客户端(Windows 9x 和更早的版本)将无法验证到域中。 受信任的 NT 4 域中的用户将无法从受信任的 Windows 2000 域中列举用户。 浏览器服务将无法可靠地运行。 目录林之间的通信将无法正常工作。 有关更多信息,请参阅 Microsoft 知识库文章 246261“How to Use the RestrictAnonymous Registry Value in Windows 2000”(英文)。注意:在堡垒主机系统上,应将此设置配置为“没有显式匿名权限就无法访问”。 | |||||||||||||||||||||||||
允许在未登录时关机 安全目标:不允许用户在未登录的情况下关闭系统。对于终端服务器来说,这尤其重要。建议:在矩阵中将此策略设置为“禁用”。在没有启用终端服务的系统上,此设置实际并不能提供多少安全性。对于非终端服务系统,攻击者需要具备物理访问才可以关闭它,这种情况下,他其实只需拔掉电源就可以了。 | |||||||||||||||||||||||||
审核对全局系统对象的访问 安全目标:启用对全局系统对象的访问的审核。启用此策略时,将导致创建带默认系统访问控制列表 (SACL) 的系统对象,如多用户终端执行程序、事件、信号灯和 DOS 设备。如果也启用了“审核对象访问”审核策略,则对这些系统的访问将被审核。 建议:保留此策略为禁用,除非是在特别敏感的系统上。在这些系统上,请将此策略设置为“启用”。 注意:此设置主要用于开发者对新的程序进行故障排除。它会生成大量审核信息。因此,仅当建立了严格的经常性审核日志审阅、存档和清除审核管理过程,并且此设置所生成的事件实际上对讨论过程有用时,才应启用此设置。还应编辑最大日志大小,以便支持所记录的事件数量的增加。 | |||||||||||||||||||||||||
对备份和还原特权的使用进行审核 安全目标:启用在每次使用“备份文件和目录”或“还原文件和目录”时创建审核事件项的功能。默认情况下,不会对备份和还原特权进行审核。当启用了“审核特权使用”审核策略,并设置了此安全选项时,将会对备份和还原特权的使用进行审核。 建议:此设置将生成数量巨大的事件,因此仅当在对备份问题进行故障排除时,才应启用此设置。 | |||||||||||||||||||||||||
登录事件过期就自动注销用户 安全目标:强制用户在超过所允许的登录时间范围时从网络注销。建议:应在强制登录时间限制的环境中启用此设置。在其他环境中,此设置没有效果。 注意:使用户在特定登录时间登录本身并不是一项安全措施。它并不能防止系统被用户损坏。 | |||||||||||||||||||||||||
系统关闭时清除虚拟内存页面文件 安全目标:关闭系统时删除虚拟内存页面文件。页面文件将在用户下次登录时重新初始化。这样做的目的在于确保页面文件中的任何信息都不会被登录该计算机的下一个用户得到。 建议:请在笔记本电脑和其他并不能在关闭后确保其安全的计算机上启用此设置。 注意:配置此设置将显著增加关闭系统所需的时间。 | |||||||||||||||||||||||||
对客户端通信进行数字签名(总是) 安全目标:确定计算机是否始终对客户端通信进行数字签名。Microsoft Windows 2000 Server™ 消息块 (SMB) 身份验证协议支持互相验证(可以防止“中间人”攻击),并支持消息验证(可以防止主动消息攻击)。SMB 签名可以提供这种身份验证,方法是将一个数字签名置入每个 SMB 中,然后由客户端和服务器分别对其进行验证。 默认情况下,此设置是禁用的。启用此选项要求 Windows 2000 SMB 客户子系统执行 SMB 数据包签名。这种情况下,计算机将无法与不支持数字签名的服务器进行通信。除非这是想要达到的结果,否则不应设置此选项。相反,请确保在所有支持签名的系统上(Windows 2000 和更高版本)设置“如果可能”选项,确保在可能的情况下使用签名。 建议:不要启用此设置。 | |||||||||||||||||||||||||
对客户端通信进行数字签名(如果可能) 安全目标:如果启用此策略,将导致 Windows 2000 Server 消息块 (SMB) 客户子系统在与启用或要求执行 SMB 数据包签名的 SMB 服务器通信时执行 SMB 数据包签名。有关更多详细信息,请参阅本表中的“对客户端通信进行数字签名(总是)”。 建议:启用此设置,即保留默认值。 | |||||||||||||||||||||||||
对服务器通信进行数字签名(总是) 安全目标:如果启用了此策略,将在系统充当 SMB 服务器时要求系统执行服务器消息块 (SMB) 数据包签名。默认情况下,此策略是禁用的,原因是如果启用,它将导致计算机无法与不执行签名的客户系统进行通信。有关更多详细信息,请参阅本表中的“对客户端通信进行数字签名(总是)”。 建议:在不充当低级系统的 SMB 服务器系统中,应启用此设置。域中的客户工作站可能很少会执行该功能。因此,应当在客户工作站上启用此设置。在域控制器上,启用此设置可以防止特定类型的攻击,如 Microsoft 安全公告 MS02-070 中所讨论的攻击。但是,必须与低级客户端无法与域控制器进行通信的事实进行权衡。为此,应当在域控制器配置模板中关闭此设置。在仅包含 Windows 2000 或更新客户端的环境中,应当在域控制器上启用此设置。 | |||||||||||||||||||||||||
对服务器通信进行数字签名(如果可能) 安全目标:如果启用了此策略,将使系统能在充当 SMB 服务器时执行服务器消息块 (SMB) 数据包签名。默认情况下,在工作站和服务器平台上的本地计算机策略中,此策略是禁用的。在域控制器上,默认情况下此策略是启用的。有关更多详细信息,请参阅本表中的“对客户端通信进行数字签名(总是)”。 建议:应当在所有系统上启用此设置。 注意:此设置会造成通信系统开销,有时系统开销可能很高。因此,应根据您的环境对此设置进行评估,确保它不会将网络响应时间降低至无法接受的程度。 | |||||||||||||||||||||||||
禁用登录时必须按下 Ctrl+Alt+Del 安全目标:启用此设置将禁用受信任路径机制。受信任路径机制的用途是防止用户登录会话欺骗。该机制会导致操作系统始终截获 Ctrl+Alt+Del 键序列,并防止其他子系统和进程获取该键序列。如果禁用该机制,攻击者可轻松使用组合键记录程序欺骗登录界面。因此,请永远不要启用此设置。在 Windows 2000 计算机上,此选项的默认设置为“禁用”,但策略工具有可能将其显示为“未定义”。 建议:将此策略设置为禁用。 注意:默认值为“保留原样”,但是禁用此设置可以确保在此设置被更改的计算机上覆盖它。 | |||||||||||||||||||||||||
不在登录屏幕上显示上次的用户名 安全目标:默认情况下,Windows 2000 登录界面显示上次登录到该计算机的用户的用户名。启用此选项将从登录会话中删除上一个用户的名称。因此,试图在本地侵入计算机的入侵者不仅需要猜测密码,还要猜测正确的用户名。但是,获取用户名列表并不是特别困难的事情,因此密码才是正确的防御机制。此外,启用此设置已证明会增加技术支持成本,因为用户可能会忘记他们的用户名。 建议:仅应对为共享使用而设置的计算机启用此设置,如实验室工作站或终端服务器。在其他计算机上,与所造成的技术支持成本增加相比,此设置并不能提供足够的价值。 | |||||||||||||||||||||||||
LAN Manager 身份验证级别 安全目标:此安全选项用于强制 Windows 网络所使用的一种特定类型的身份验证协议,并启用一种新类型的身份验证协议 (NTLMv2)。NTLMv2 是一种新型的身份验证协议,可以显著提高 Windows 身份验证的安全性。它可以防止许多欺骗攻击,并允许服务器向客户端验证自己。 NTLM 协议的特性决定了密码破解者能够使用获取的 NTLM 验证会话破解密码。为了应对这种攻击,开发了 NTLM 版本 2。NTLMv2 引入了一些附加的安全功能,包括: 为每个连接使用唯一的会话密钥。每次建立新的连接时,都会为该会话生成一个唯一的会话密钥。这意味着获取的会话密钥在连接完成后即失效。 会话密钥通过一种密钥交换进行保护。这种会话密钥无法被截获并使用,除非得到用于保护会话密钥的密钥对。 为会话数据的加密和完整性而生成的唯一密钥。用于对从客户端到服务器的数据进行加密的密钥不同于用于对从服务器到客户端的数据进行加密的密钥。 加密更强。NTLMv2 使用一种更为强大的加密协议对会话密钥进行加密,并为消息完整性和验证序列使用更为强大的哈希算法。 有关 NTLMv2 的详细信息,请参阅 Microsoft 知识库文章 147706“How to Disable LM Authentication on Windows NT”(英文)。自 Windows NT 4.0 Service Pack 4 发行后,NTLMv2 已面世;用于 Windows 9x 的 NTLMv2 包含在目录服务客户端中,该客户端位于 Windows 2000 CD-ROM 上的 Clients\Win9x 目录中。在文献中,此设置常被称为 LMCompatibilityLevel,这是启用它的实际注册表开关的名称。 此设置影响身份验证协议以及在身份验证后所使用的会话安全协议。所有自 Windows NT 4.0 SP4 后的基于 Windows NT 的系统(包括 Windows 2000、Windows XP 和 Microsoft Windows Server 2003™)都接受使用 NTLMv2 身份验证的 SMB 客户端连接,而没有进行进一步修改。LMCompatibilityLevel 设置用于修改身份验证的若干方面: 修改系统充当客户端时所发送的身份验证协议;修改系统充当服务器时所接受的身份验证协议。在存储帐户数据库的计算机上,此设置的值决定了以上行为。换句话说,如果使用了域帐户,则域控制器上的此设置的值生效。使用本地帐户时,服务器上的此设置的值有效。 启用 NTLMv2 会话安全性。 与此行为相关的设置有六种。括号中的数字是 LMCompatibilityLevel 注册表值的实际设置。客户端行为列显示了带有该设置的计算机如何充当 SMB 客户端。服务器行为列显示了如果执行身份验证的服务器上配置了此设置,该服务器如何工作。使用域帐户并且可到达域控制器时,身份验证服务器始终是域控制器。如果域控制器不可到达,或者使用的是本地帐户,身份验证服务器是客户端所连接到的服务器。
在纯 Windows NT 4.0 SP4 和更高版本的环境中(包括 Windows 2000 和 XP),在所有客户端上将其设置为 5,并在配置完全部客户端后在所有的服务器上将其设置为 5。例外是 Windows 2000 RRAS 服务器,如果将此设置设置为高于 4,它将无法正常工作。 如果使用的是 Windows 9x 客户端,则可以在所有这些客户端上安装 DSClient,在基于 Windows NT 的计算机(NT、2000 和 XP)上将此设置设置为 5,在 Windows 9x 计算机上设置为 3。否则,必须在非 Windows 9x 计算机上将此设置保留为不高于 3。 如果您发现某些应用程序在启用此设置后无法正常工作,请一次回滚一个步骤,以查明故障原因。最低限度,应当在所有计算机上将此设置设置为 1,一般情况下,可以在所有计算机上设置为 3。如果有优先支持协议,请联系 PSS 并通知他们什么应用程序发生故障,以及故障的级别。 注意:在混合的 Windows NT 4.0 和 Windows 2000 域环境中将 LMCompatibility 设置为高于 2 的值,可能会导致互操作性问题。有关详细信息,请参阅 Microsoft 知识库文章 305379“Authentication Problems in Windows 2000 with NTLM 2 Levels Above 2 in a Windows NT 4.0 Domain”(英文)。 W2KHG-baseline.inf 模板将 LMCompatibilityLevel 设置为“仅发送 NTLMv2 响应 (3)”。 | |||||||||||||||||||||||||
实现授权使用警告 安全目标:将交互登录屏幕配置为显示带标题和警告的登录横幅。该横幅主要用于通知并要求用户遵守授权使用策略。请与法律顾问联系,以确定是否有使用或要求它的法律原因。建议:根据您的信息安全策略设置此横幅。 | |||||||||||||||||||||||||
禁用登录信息缓存 安全目标:Windows 2000 具有缓存登录信息的功能。如果无法在登录期间找到域控制器,并且用户曾经登录过系统,则可以使用那些凭据登录。这非常有用,例如,在便携式计算机上,当用户离开网络时,需要使用此功能。CachedLogonsCount 注册表值决定了 Windows 2000 在本地计算机上的登录缓存中保存多少用户帐户条目。登录缓存是计算机的安全区域,其中的凭据是使用系统最强的加密形式保护的。如果该项的值为 0,Windows 2000 将不会在登录缓存中保存任何用户帐户信息。这种情况下,如果用户的域控制器不可用,并且用户尝试登录到不包含该用户的帐户信息的计算机,Windows 2000 将显示以下消息:“系统现在无法让您登录因为域<域名>不可用”。 如果管理员禁用了用户的域帐户,该用户仍可以通过断开网线来使用缓存登录。为防止发生这种情况,管理员可以禁用登录信息缓存。默认的设置是允许缓存 10 组凭据。 建议:最少将此值设置为 2,以确保域控制器关机或不可用时系统可用。 | |||||||||||||||||||||||||
防止计算机帐户密码的系统维护 安全目标:Windows 2000 域中的计算机需要向域控制器验证自己,然后才可以使用域的资源。此设置决定了是否防止计算机帐户密码每周都被重置。Windows 2000 安全性规定了“计算机帐户”密码每七天自动更改。如果启用了此策略,将阻止计算机每周请求更改密码。如果禁用此策略,将每周为计算机帐户生成一个新的密码。默认情况下,此策略是禁用的。 建议:将此策略设置为禁用,以确保在某些情况下此设置被覆盖的计算机上此设置配置正确。几乎没有理由再启用此策略。 | |||||||||||||||||||||||||
防止用户安装打印驱动程序 安全目标:决定是否防止 Users 组的成员安装打印驱动程序。如果启用了此策略,将防止用户在本地计算机上安装打印机驱动程序。这会阻止用户在本地计算机上不存在设备驱动程序的情况下添加打印机。如果禁用此策略,Users 组的成员可以在计算机上安装打印机驱动程序。默认情况下,在服务器上,此设置是启用的,在工作站上是禁用的,以降低与强制管理员安装打印机驱动程序相关的技术支持成本。启用此设置时,可能会稍稍增加工作站的安全性,但会显著增加管理开销。必须将这一考虑与第三条永恒安全定理进行权衡:“如果坏蛋对您的计算机具有不受限制的访问,那就不再是您的计算机了。”有关安全定理的详细信息,请参阅位于以下地址的“The Ten Immutable Laws of Security”(英文): http://www.microsoft.com/technet/treeview/default.asp?url=/technet/columns/security/essays/10imlaws.asp。 建议:不要更改此设置。 | |||||||||||||||||||||||||
在密码到期前提示用户更改密码 安全目标:确定 Windows 2000 提前多长时间警告用户其密码将过期。通过提前警告用户,用户将有充足的时间构思一个足够强的密码。默认情况下,此值设置为 14 天。 建议:无。默认设置已足够。 | |||||||||||||||||||||||||
故障恢复控制台:允许自动系统级管理登录 安全目标:默认情况下,故障恢复控制台要求在访问系统前提供 Administrator 帐户的密码。如果启用此选项,故障恢复控制台将不要求密码,并将自动登录系统。默认情况下,此设置是禁用的,虽然策略工具可能会将其显示为“未定义”。 建议:将此选项设置为禁用。 | |||||||||||||||||||||||||
故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问 安全目标:启用此选项将启用故障恢复控制台的 SET 命令,该命令能够设置以下故障恢复控制台环境变量: AllowWilWildCards - 启用对某些命令的通配符支持(如 DEL 命令)。 AllowAllPaths - 允许对计算机上的所有文件和文件夹进行访问。 AllowRemovableMedia - 允许将文件复制到可移动媒体,如软盘。 NoCopyPrompt - 在重写现有文件时不提示。默认情况下,SET 命令是禁用的,并且所有这些变量都没有启用,虽然策略工具可能会将其显示为“未定义”。 建议:启用此选项以提高通过故障恢复控制台恢复系统的能力。 | |||||||||||||||||||||||||
重命名系统管理员帐户 安全目标:用于更改与管理员帐户的安全标识符相关联的名称。这几乎不具有任何安全价值,原因是除非禁用匿名访问,否则确定管理员帐户的名称并不重要。如果“对匿名连接设置附加限制”设置为“不允许匿名枚举 SAM 帐号和共享”,则此设置只能提供很低的安全性。但是,用户名不是密码,因此应使用强密码来保护管理员帐户,而不是使用非标准名称。此外,如果重命名 Administrator 帐户,有些程序可能会发生故障。 建议:除非还能够限制对 SAM 帐户的匿名枚举,否则重命名 Administrator 帐户以求得到安全增益是不值得的。 | |||||||||||||||||||||||||
重命名来宾帐户 安全目标:用于更改与帐户“来宾”的安全标识符相关联的名称。此设置不能提供任何安全价值。 建议:重命名 Guest 帐户以求得到安全增益是不值得的。只需禁用此设置即可。 | |||||||||||||||||||||||||
只有本地登录的用户才能访问 CD-ROM 安全目标:确定 CD-ROM 是否可供本地和远程用户同时访问。如果启用,此策略将仅允许交互式登录的用户访问可移动的 CD-ROM 媒体。如果禁用此策略,CD-ROM 可在无人交互式登录时通过网络共享。 建议:此设置只能提供很低的安全性,特别是它仅在用户登录时生效。请不要启用此设置 | |||||||||||||||||||||||||
只有本地登录的用户才能访问软盘 安全目标:确定软盘是否可供本地和远程用户同时访问。如果启用,此策略仅允许交互式登录的用户访问可移动的软盘媒体。如果禁用此策略,软盘可在无人交互式登录时通过网络共享。 建议:此设置只能提供很低的安全性,特别是它仅在用户登录时生效。请不要启用此设置 | |||||||||||||||||||||||||
安全通道:对安全通道数据进行数字加密或签名(总是) 安全目标:确定计算机是否始终对安全通道数据进行数字加密或签名。安全通道用于域控制器和与成员之间的通信。当 Windows 2000 系统加入域中时,将创建一个计算机帐户。之后,当系统引导时,将使用该帐户的密码创建一个通向它所属域的域控制器的安全通道。通过安全通道通信的例子包括登录通信。在安全通道上发送的请求将被验证,敏感信息(如密码)将被加密,但不会对通道进行完整性检查,也不会加密所有的信息。如果启用此策略,所有传出的安全通道通信都必须进行签名或加密。如果禁用此策略,将域控制器协商签名和加密。默认情况下,此策略是禁用的。 建议:除非想要阻止系统与低级域通信,否则请不要启用此策略。 | |||||||||||||||||||||||||
安全通道:对安全通道数据进行数字加密(如果可能) 安全目标:确定计算机是否与域控制器协商对安全通道的加密。默认情况下,所有的敏感信息已被加密。如果启用此策略,系统将在与支持加密的域控制器进行通信时加密所有通过安全通道的通信。默认情况下,此选项是启用的。 建议:不要更改默认设置。 | |||||||||||||||||||||||||
安全通道:对安全通道数据进行数字签名(如果可能) 安全目标:确定计算机是否协商对安全通道数据进行的完整性签名。在安全通道上发送的请求将被验证,敏感信息(如密码)将被加密,但不会对通道进行完整性检查,也不会加密所有的信息。如果启用此策略,将在与支持签名的域控制器通信时对安全通道通信进行数字签名。默认情况下,此选项是启用的。 建议:不要更改默认设置。 | |||||||||||||||||||||||||
安全通道:要求强(Windows 2000 或更高版本)会话密钥 安全目标:如果启用此策略,所有传出的安全通道通信将要求强(Windows 2000 或更高版本)加密密钥。如果禁用此策略,密钥的强度将与域控制器进行协商。仅当所有受信任域中的域控制器都支持强密钥时,才应启用此选项。默认情况下,此值是禁用的。 建议:如果所有的合法域控制器都运行 Windows 2000 或更高版本的操作系统,请启用此策略。否则,请保留为禁用。 | |||||||||||||||||||||||||
发送未加密的密码以连接到第三方 SMB 服务器 安全目标:如果启用此策略,将允许服务器消息块 (SMB) 重定向器向身份验证期间不支持密码加密的非 Microsoft SMB 服务器发送明文密码。默认情况下,此选项是禁用的。 建议:将此选项设置为禁用以确保它会覆盖对各台计算机进行的更改。 | |||||||||||||||||||||||||
如果无法记录安全审核则立即关闭系统 安全目标:确定在无法记录安全事件时是否应关闭系统。如果启用此策略,将导致系统在因任何原因无法记录安全审核时停机。通常,当安全审核日志已满且该安全日志指定的保留方法为“不要改写事件”或“按天数覆盖事件”时,将无法记录事件。如果安全日志已满,现有的条目无法覆盖,并且启用了此选项,将发生以下蓝屏错误: STOP: C0000244 {审核失败} 未能生成安全审核。要进行恢复,必须由管理员登录,存档日志(如果需要),清除日志,然后根据需要重置此选项。默认情况下,此策略是禁用的。如果启用此策略,攻击者只需生成大量事件日志条目,就可以轻松地导致拒绝服务。建议:不要启用此策略。适当的日志管理策略可以防止丢失事件,而不会导致攻击者造成拒绝服务。 | |||||||||||||||||||||||||
智能卡移除操作 安全目标:确定当登录用户的智能卡被从智能卡读取器中移除时发生什么。选项有: 无操作 锁定工作站 强制注销 默认情况下,指定“无操作”。如果指定“锁定工作站”,则工作站将在移除智能卡后锁定,使用户能带着智能卡离开工作区,并维持受保护的会话。如果指定“强制注销”,则当移除智能卡时,用户将被自动注销。 建议:将智能卡移除配置为锁定工作站。注意:智能卡登录仅在域环境中支持。因此,此设置对独立系统无效。 | |||||||||||||||||||||||||
增强全局系统对象(如符号链接)的默认权限 安全目标:确定系统对象的默认随机访问控制列表 (DACL) 的强度。Windows 2000 维护一个共享系统资源(如 DOS 设备名、多用户终端执行程序和信号灯)的全局列表。进程之间可以定位并共享对象。各种类型的对象在创建时都附带了默认的 DACL,指定谁可以用何种权限访问该对象。如果启用此策略,默认的 DACL 较强,允许非管理员用户读取共享对象,但是不能修改不是由他们创建的共享对象。默认情况下,此选项在 Windows 2000 Professional 和 Server 上是本地启用的,但是并没有在域安全策略中定义。 建议:确保将此设置配置为“启用”。 | |||||||||||||||||||||||||
未签名驱动程序的安装操作 安全目标:确定当试图安装(使用 Windows 2000 设备安装程序)未经设备驱动程序发行者签名的设备驱动程序时发生什么。选项有: 默认继续 允许安装但发出警告 禁止安装 默认的设置为“允许安装但发出警告”。 建议:默认的设置已足够。 | |||||||||||||||||||||||||
未签名非驱动程序的安装操作 安全目标:确定当试图安装未经签名的非设备驱动程序软件时发生什么。 选项有: 默认继续 允许安装但发出警告 禁止安装 默认设置是“默认继续”。 建议:目前只有少数软件具有数字签名。因此,此设置没什么实际效果。保留默认值即可。 |
其他安全设置
本部分讨论的其他安全设置在默认的安全策略 GUI 中找不到。这些设置可通过使用注册表编辑器或通过安装本指南附带的自定义 sceregvl.inf 模板来进行配置。自定义的 sceregvl.inf 模板可以将这些设置添加到默认的安全策略 GUI 中。有关如何编辑注册表的信息可通过注册表编辑器本身的“帮助”工具得到。例如,您可以使用以下步骤来查看有关向注册表中添加一个项的说明。
• | 查看有关项注册表中添加项的说明
|
其他注册表设置
本部分中的注册表设置可用于进一步提高操作系统的安全性。除了“Service Pack 3 注册表项”部分中的设置,各个版本的 Windows 2000 中都包含这些设置。
删除 OS/2 和 POSIX 子系统
包含 OS/2 和 POSIX 子系统是为了能与 POSIX 和 OS/2 应用程序兼容。很少出现需要在 Windows 2000 上运行这些类型的应用程序的情况,大多数情况下,可以将这些子系统安全地移除。但是,应当在手动删除该注册表项之前制作一个备份(或者使用模板,这样可以反转设置)。要从 Windows 2000 中移除 OS/2 和 POSIX 支持,请按照下表中的信息编辑注册表并删除其值。表 5:删除 POSIX 和 OS/2 支持的注册表项
项路径:HKLM\SYSTEM\CurrentControlSet\Control\Session Manager | 类型 | 值 |
项:SubSystems 值名称:Optional | REG_MULTI_SZ | 删除所有的项 |
注意:Dell 计算机以前附带某些有提取程序的更新文件,这种提取程序是为 OS/2 编写的。如果删除了 OS/2 子系统,这些更新文件将无法工作。
注意:Microsoft 的 Services for Unix 产品要求 Posix 子系统。请不要从需要运行 Services for Unix 的计算机中删除该子系统。
限制空会话访问
空会话用于进行各种未验证的旧式通信。可以通过计算机上的各种共享利用它们。要防止对计算机的空会话访问,请向注册表中添加一个名为 RestrictNullSessAccess 的值。将值设置为 1 将限制对所有服务器管道和共享的空会话访问,例外是 NullSessionPipes 和 NullSessionShares 项中列出的管道和共享。表 6:防止空会话的注册表项
项路径:HKLM\SYSTEM\ CurrentControlSet\Services\LanmanServer | 类型 | 值 |
项:Parameters 值名称:RestrictNullSessAccess | REG_DWORD | 1 |
限制对已命名管道和共享空会话访问
限制这些访问有助于防止通过网络进行的未授权访问。要限制对已命名管道和共享目录的空会话访问,请按照下表中的信息编辑注册表项并删除其值。表 7:防止对已命名管道和共享的空会话的注册表项
项路径:HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer | 类型 | 值 |
项:Parameters 值名称:NullSessionPipes、NullSessionShares | REG_MULTI_SZ | 删除所有的值 |
从网络浏览列表中隐藏该计算机
在 Windows 域和工作组中,一台计算机维护着一个网络上的资源的列表。该列表称为浏览列表,包含网络上可用的共享、打印机等的列表。默认情况下,所有安装了 SMB 协议的计算机都向这个资源列表报告(该列表由主浏览器维护),无论这些计算机是否提供任何资源。很多时候这都会造成不必要的网络开销,并使防火墙内潜在攻击者更易于获得可用网络资源的列表。因此,应当关闭不提供任何资源的计算机上的浏览器公告。为此,其中一个方法是关闭计算机浏览器服务。但是,这会导致客户计算机无法获得浏览列表的副本,使得终端用户非常难以找到合法网络资源。更好的解决方案是将计算机从浏览列表中隐藏。这主要应当对工作站和便携式计算机使用。因此,本指南附带的两个工作站模板和便携式计算机模板中都关闭了此设置。表 8:将计算机从网络浏览列表隐藏的注册表项
项路径:HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer | 类型 | 值 |
项:Parameters 值名称:hidden | REG_DWORD | 1 |
Service Pack 3 注册表项
Service Pack 3 引入了一些新的注册表项,可对这些项进行配置以提高操作系统所能提供的安全性。移除默认的 IPSec 免除
由设计决定,某些类型的通信是不受 IPSec 保护的,即使是 IPSec 策略指定了所有的 IP 通信都要进行保护。这种 IPSec 免除适用于广播、多播、RSVP、IKE 和 Kerberos 通信。有关这些免除的详细信息,请参考 Microsoft 知识库文章 254949“Client-to-Domain Controller and Domain Controller-to-Domain Controller IPSec Support”(英文)。攻击者可以利用这种免除来规避 IPSec 限制。因此,如果可能,应当删除之。在不使用 IPSec 的系统上,此设置无效。表 9:防止 IPSec 免除的注册表项
项路径:HKLM\SYSTEM\CurrentControlSet\Services | 类型 | 值 |
项:IPSEC 值名称:NoDefaultExempt | REG_DWORD | 1 |
更改 DLL 搜索顺序
Windows 平台的大多数程序都使用各种动态链接库 (DLL) 来避免重复实现功能。操作系统为每个程序加载若干个 DLL,具体由程序的类型决定。当程序不指定 DLL 的绝对位置时,将使用默认的搜索顺序来找到它。默认情况下,操作系统所使用的搜索顺序为:1. | 内存 |
2. | KnownDLLs |
3. | 清单与 .local |
4. | 应用程序目录 |
5. | 当前工作目录 |
6. | 系统目录(%systemroot%、%systemroot%\system 和 %systemroot%\system32) |
7. | 路径变量 |
为了应对这种方法,Service Pack 3 中创建了一个新的设置,该设置将当前的工作目录从搜索顺序中移到了系统目录之后。但是,为了避免应用程序兼容性问题,默认情况下此开关并没有打开。要打开它,请设置以下注册表值:
表 10:更改 DLL 搜索顺序的注册表项
项路径:HKLM\SYSTEM\CurrentControlSet\Control | 类型 | 值 |
项:Session Manager 值名称:SafeDllSearchMode | REG_DWORD | 1 |
防止应用程序生成的输入干扰会话锁
Service Pack 3 中引入了一个新的注册表项,可用于防止应用程序生成的键盘/鼠标输入消息干扰会话锁。默认情况下,应用程序会生成虚设输入,以防止屏幕保护程序计时器的累计,从而防止激活屏幕保护程序。该值的名称为 BlockSendInputResets,对于大多数策略设置,该值位于软件\策略树之下:HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop
策略的优先级高于用户应用的设置。该值将为 REG_SZ,以便与其他相关的项保持一致。它会被解释为任意非零布尔值,表示设置了该值,且该功能已激活。零值或空值将保持当前的功能。
设置了该值后,仅“真实”(鼠标或键盘)输入才会重置屏幕保护程序计时器。目前,有三种“插入”的输入可以重置计时器的情况。
通过 SendInput 插入的输入 – 这种情况发生在应用程序有意模拟输入的情况下,将会被阻止。
窗口激活 – 当激活新的窗口时,计时器将被重置。除非屏幕保护程序已被激活,否则这也会被阻止。
对 SystemParametersInfo 的调用,该函数可以设置 SPI_SETSCREENSAVETIMEOUT、SPI_SETSCREENSAVEACTIVE、SPI_SETLOWPOWERTIMEOUT、SPI_SETLOWPOWERACTIVE、SPI_SETPOWEROFFTIMEOUT,SPI_SETPOWEROFFACTIVE。如果设置了 BlockSendInputResets,这将不再导致计时器重置。对于用户来说,这不会造成影响,因为设置这些值的用户会因他们的鼠标移动或击键而造成“真实”输入。
要启用此功能,请按照下表中的信息编辑一些注册表项。可能需要创建其路径。
表 11:防止应用程序生成的输入干扰会话锁的注册表项
项路径:(策略)HKCU\Software\Policies\Microsoft\Windows\Control Panel | 类型 | 值 |
项:Desktop 值名称:BlockSendInputResets | REG_SZ | 1 |
• | 选定的屏幕保护程序 |
• | 密码保护 |
• | 屏幕保护程序超时期间 |
当审核日志满到一定百分比阈值时生成审核事件
Service Pack 3 引入了一种在安全事件日志达到可配置的阈值时生成安全审核的功能。要启用此功能,必须按照下表中的信息创建值。该值中的数据指定将导致安全性日志中记录该事件的百分比值。下表中所示的值是一个推荐值,可以根据本地操作的需要将其配置为适当的值。例如,如果按如下所示的方式进行设置,当安全日志的大小达到所示的百分比 (90) 时,安全日志将显示一个 eventID 为 523 的事件条目,其文本为:The security event log is 90 percent full。可以配置一个 IDS 来中止该事件,并执行日志转储和重置。表 12:在审核日志满到一定百分比阈值时生成审核事件的注册表项
项路径:HKLM\SYSTEM\CurrentControlSet\Services\Eventlog | 格式 | 值 |
项:Security 值名称:WarningLevel | REG_DWORD | 90 |
强化 TCP/IP 堆栈以防止拒绝服务攻击
拒绝服务攻击是试图导致计算机或计算机上的特定服务不可供网络用户使用的网络攻击。以下与 TCP/IP 相关的注册表值可用于增强 Windows 2000 中的 Windows 2000 TCP/IP 堆栈对拒绝服务网络攻击的抵御能力。下面的表 13 中列出的值可以在所有的系统上设置,虽然有些值需要添加到指定的注册表项中。您可以在 Microsoft 知识库文章 315669“HOW TO: Harden the TCP/IP Stack Against Denial of Service Attacks in Windows 2000”(英文)中找到其他详细信息。表 13:强化 TCP/IP 堆栈以防止拒绝服务攻击的注册表项
项路径:HKLM\SYSTEM\CurrentControlSet\Services\Tcpip | 格式 | 值 |
项:Parameters 值名称:DisableIPSourceRouting | REG_DWORD | 2 |
项:Parameters 值名称:EnableDeadGWDetect | REG_DWORD | 0 |
项:Parameters 值名称:EnableICMPRedirect | REG_DWORD | 0 |
项:Parameters 值名称:EnableSecurityFilters | REG_DWORD | 1 |
项:Parameters 值名称:KeepAliveTime | REG_DWORD | 300,000 |
项:Parameters 值名称:PerformRouterDiscovery | REG_DWORD | 0 |
项:Parameters 值名称:SynAttackProtect | REG_DWORD | 2 |
项:Parameters 值名称:TcpMaxConnectResponseRetransmissions | REG_DWORD | 2 |
项:Parameters 值名称:TcpMaxConnectRetransmissions | REG_DWORD | 3 |
项:Parameters 值名称:TcpMaxDataRetransmissions | REG_DWORD | 3 |
项:Parameters 值名称:TCPMaxPortsExhausted | REG_DWORD | 5 |
项路径:HKLM\SYSTEM\CurrentControlSet\Services\Tcpip | 格式 | 值 |
项:Parameters 值名称:EnablePMTUDiscovery | REG_DWORD | 0 |
项路径:HKLM\SYSTEM\CurrentControlSet\Services\NetBT | 格式 | 值 |
项:Parameters 值名称:NoNameReleaseOnDemand | REG_DWORD | 1 |
检查时间服务身份验证
检查下表中显示的项,确保类型值设置为 NT5DS。这可以确保系统运行时带有经过身份验证的时间服务。表 16:用来确保系统运行时带有经过身份验证的时间服务的注册表项
项路径:HKLM\SYSTEM\CurrentControlSet\Services\W32Time | 格式 | 值 |
项:参数 值名称:类型 | REG_SZ | Nt5DS |
禁止 LMHash 创建
基于 Windows 2000 的服务器可以对运行所有早期版本 Windows 的计算机进行身份验证。但是,早期版本的 Windows 不使用 Kerberos 进行身份验证,所以 Windows 2000 支持 LAN Manager (LM)、Windows NT (NTLM) 和 NTLM 版本 2 (NTLMv2)。NTLM、NTLMv2 和 Kerberos 都使用 Unicode 哈希(也称为 NT 哈希),而 LM 身份验证协议使用 LM 哈希。LM 哈希比 NT 哈希弱,因此更易于受到快速强力攻击。LM 哈希还删除了使用复杂密码添加到哈希中的大量信息。因此,如果向后兼容不需要 LM 哈希,则应避免存储此哈希。在只安装了 Windows 95 和较新客户端的环境中,不需要 LM 哈希。但是,用户如果没有 LM 哈希,将无法连接到作为服务器的 Win9x 计算机。Windows 2000 Service Packs 2 及更高版本提供了注册表设置,以禁止存储 LM 哈希。有关更多信息,请参阅 Microsoft 知识库文章 299656“New Registry Key to Remove LM Hashes from Active Directory and Security Account Manager”(英文)。
表 17:用来禁止创建 LMHash 的注册表项
项路径:HKLM\SYSTEM\CurrentControlSet\Control\LSA | 格式 | 值 |
项:NoLMHash | N/A | N/A |
注意:基准模板配置此策略。如果您的客户端运行的是 Windows 3.1 或原始版本的 Windows 95,现在需要连接到 Windows 2000 系统,则一定不要为 Windows 2000 系统配置此设置。
禁用自动运行
一旦媒体插入驱动器,自动运行即从驱动器上开始读取。因此,程序安装文件和音频媒体上的声音会立刻启动。为了避免在媒体插入时可能启动恶意程序,需创建以下注册表项,以便在所有驱动器上禁用自动运行。表 18:用来禁用自动运行的注册表项
项路径:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies | 格式 | 值 |
项:Explorer 值名称:NoDriveTypeAutoRun | REG_DWORD | 255 |
LDAP 绑定命令请求设置
此值用来确定 LDAP 服务器 (ldapagnt.lib) 对如下 LDAP 绑定命令请求的处理。• | 1(默认值)或未定义:当处理指定 SASL 身份验证机制的 LDAP 绑定命令请求时,用于 AD 的 LDAP 代理始终支持 LDAP 客户端对 LDAP 流量签名的请求。 |
• | 2:用于 AD 的 LDAP 代理只在 LDAP 绑定命令请求中支持 SASL,除非传入的请求已经使用 TLS/SSL 进行了保护。如果使用了其他类型的身份验证,它将拒绝 LDAP 绑定命令请求。如果 LDAP 绑定命令请求不是通过 TLS/SSL 传入的,则在客户端安全上下文中需要 LDAP 流量签名选项。 |
表 19:用于 LDAP 绑定命令请求设置的注册表项
项路径:HKLM\System\CurrentControlSet\Services\NTDS | 格式 | 值 |
项:参数 值名称:LdapServerIntegrity | REG_DWORD | 2 |
当审核日志满时生成管理警报
要为基于 Windows 2000 的计算机添加警报服务接收者,请按下表所示编辑注册表(使用 Regedt32.exe)。值项是接收管理警报的每个接收者的名称(用户名或计算机名)。在“数据”对话框中,每个接收者应该位于单独一行。注意:管理警报依赖警报服务和 Messenger 服务。确保警报服务在源计算机上运行,Messenger 服务在接收者计算机上运行。
表 20:用来配置管理警报接收者的注册表项
项路径:HKLM\SYSTEM\CurrentControlSet\Services\Alerter | 格式 | 值 |
项:参数 值名称:AlertNames | REG_MULTI_SZ | 如上所述 |
关闭文件夹中的 Web 视图
文件夹 Web 视图(在 Windows XP 中称为公用任务)允许使用背景图片和其他活动内容对文件夹进行自定义。在文件夹中选择内容后,它还启用了内容解析。如果内容包含恶意代码(例如感染了病毒的网页或 Word 文档),则一旦选择文档,恶意代码将会启动。因此,您应该至少在管理工作站上关闭 Web 视图。可以在 GUI 中完成此操作,方法是在“文件夹选项”对话框中选择“使用 Windows 传统风格的文件夹”。也可以通过配置以下注册表值在注册表中完成此操作:表 21:用来关闭文件夹中的 Web 视图的注册表项
项路径:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | 格式 | 值 |
项:Advanced 值名称:WebView | REG_DWORD | 1 |
加强 NTLM SSP
使用 NTLM 安全支持提供程序 (SSP)(包括通过 RPC 进行通信的程序)的程序不受本模块前面所述的 LMCompatibilityLevel 设置的直接影响。NTLM SSP 使用其自己的安全设置来控制其行为。通过创建称为 NtlmMinClientSec 和 NtlmMinServerSec 的值,可以在系统分别作为客户端和服务器时控制系统的行为。此设置是位掩码,实际数据是下列值的逻辑 OR:
• | 0x00000010 邮件完整性 |
• | 0x00000020 邮件机密性 |
• | 0x00080000 NTLMv2 会话安全 |
• | 0x20000000 128 位加密 |
• | 0x80000000 56 位加密 |
表 22:用来加强 NTLM SSP 的注册表项
项路径:HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA | 格式 | 值 |
项:MSV1_0 值名称:NtlmMinClientSec 和 NtlmMinServerSec | REG_DWORD | 0x20080030 |
• | FrontPage 2000 与 0x20080000 不兼容。使用此设置后,FrontPage 客户端将无法与 FrontPage Server Extensions 服务器进行通信 |
• | 配置 NtlmMinServerSec 后,节点将无法加入群集。 |
审核日志管理
使用域安全策略中的事件日志文件夹或与域、OU 和站点(域)相关的特定组策略对象,可以为域中的所有计算机配置事件日志(包括安全日志)的管理选项。在本地安全策略对象中,不显示事件日志文件夹。在这些系统上,在事件日志管理单元中直接管理这些设置。对于域成员,可以使用事件查看器管理单元配置本地审核的管理选项。从事件查看器,选择适当的属性界面,以便为特定日志(例如安全日志)设置管理选项。
这些界面允许查看、排序、筛选和搜索事件日志以及设置最大日志大小或清除日志。用户必须拥有事件日志文件的访问权,才能成功查看此文件。要查看安全日志的内容,用户必须以 Administrator 组成员的身份登录。使用事件查看器本身并不需要特殊的特权。 只有在日志和某些注册表设置上,ACL 才强制需要特权。
访问事件日志的设置
• | 查看事件日志的当前设置以及允许编辑域和域控制器策略
|
• | 查看事件日志的当前设置以及允许独立工作站和服务器的编辑
|
审核管理和配置 | 域 WKS | 域便携式计算机 | DC | 域服务器 | 独立 WKS | 独立服务器 |
设置应用程序日志最大大小 安全目标:指定应用程序事件日志的最大大小。默认值为 512KB,最大大小为 4GB (4,194,240KB)。根据平台功能及应用程序相关事件历史记录的需要,对应用程序日志大小的要求不同。 建议:默认设置对于大多数系统是适合的。 | ||||||
设置安全日志最大大小 安全目标:指定安全事件日志的最大大小。默认值为 512KB,最大大小为 4GB。 建议:在 DC 和服务器上至少配置为 20 MB。配置其他系统,以便日志大小适合于检查日志的频率、可用磁盘空间等。本模板将所有其他系统的日志大小配置为 5 MB。 | ||||||
设置系统日志最大大小 安全目标:指定系统事件日志的最大大小。默认值为 512KB,最大大小为 4GB。 建议:对于大多数环境,默认设置是适合的。 | ||||||
限制应用程序日志的来宾访问权 安全目标:防止对应用程序事件日志的匿名访问。如果启用此策略,来宾不能访问应用程序事件日志。默认情况下,在所有 Windows 2000 操作系统上本地禁用此策略。 建议:在所有系统上将此策略设置为“启用”。请注意,默认情况下,在所有系统上禁止来宾访问权。因此,此设置对默认系统没有真正的影响。但是,它是具有很少副作用的深层防御设置。 | ||||||
限制安全日志的来宾访问权 安全目标:阻止对安全事件日志的匿名访问。如果启用此策略,来宾不能访问安全事件日志。默认情况下,在所有 Windows 2000 操作系统上本地启用此策略。用户必须拥有管理审核和安全日志用户权限,才能访问安全日志。由于来宾没有此权限,所以此设置只是深度防御。 建议:在所有系统上将此策略设置为“启用”。 | ||||||
限制系统日志的来宾访问权 安全目标:阻止对系统事件日志的匿名访问。如果启用此策略,来宾不能访问系统事件日志。默认情况下,在所有 Windows 2000 操作系统上本地禁用此策略。 建议:在所有系统上将此策略设置为“启用”。 | ||||||
保留应用程序日志 安全目标:当在域策略中将应用程序日志的保留方法设置为“按天数覆盖事件”时,或者当在独立工作站或服务器的“应用程序日志属性”窗口中选择了“覆盖旧于”选项时,确定为应用程序日志保留事件的天数。仅当按计划的时间间隔归档日志时设置此值,并确保应用程序日志最大大小足够大,以适合此时间间隔。 建议:不要更改默认设置“未定义”。 | ||||||
保留安全日志 安全目标:当在域策略中将应用程序日志的保留方法设置为“按天数覆盖事件”时,或者当在独立工作站或服务器的“安全日志属性”窗口中选择了“覆盖旧于”选项时,确定为安全日志保留事件的天数。仅当按计划的时间间隔归档日志时设置此值,并确保安全日志最大大小足够大,以适合此时间间隔。 建议:不要更改默认设置“未定义”。 | ||||||
保留系统日志 安全目标:当在域策略中将应用程序日志的保留方法设置为“按天数覆盖事件”时,或者当在独立工作站或服务器的“系统日志属性”窗口中选择了“覆盖旧于”选项时,确定为系统日志保留事件的天数。仅当按计划的时间间隔归档日志时设置此值,并确保系统日志最大大小足够大,以适合此时间间隔。 建议:不要更改默认设置“未定义”。 | ||||||
应用程序日志保留方法 安全目标:确定操作系统将如何处理达到最大大小的应用程序日志。 建议:将此方法设置为“按需要覆盖事件”,以确保记录最新的事件。请注意:如果需要历史事件用于讨论或疑难解答目的,则一定要定期归档日志。根据需要覆盖事件可以确保日志始终保留最新的事件,虽然这可能导致历史数据丢失。 | ||||||
安全日志保留方法 安全目标:确定操作系统将如何处理达到最大大小的安全日志。 建议:将此方法设置为“按需要覆盖事件”,以确保记录最新的事件。请注意:如果需要历史事件用于讨论或疑难解答目的,则一定要定期归档日志。根据需要覆盖事件可以确保日志始终保留最新的事件,虽然这可能导致历史数据丢失。 | ||||||
系统日志保留方法 安全目标:确定操作系统将如何处理达到最大大小的系统日志。 建议:将此方法设置为“按需要覆盖事件”,以确保记录最新的事件。请注意:如果需要历史事件用于讨论或疑难解答目的,则一定要定期归档日志。根据需要覆盖事件可以确保日志始终保留最新的事件,虽然这可能导致历史数据丢失。 | ||||||
当安全日志满时关闭计算机 安全目标:确定在无法记录安全事件时系统是否应该关闭。启用此策略后,如果出于任何原因不能记录安全审核,则会导致系统暂停。通常,当安全审核日志已满并且为安全日志指定的保留方法是“不要改写事件”或“按天数覆盖事件”时,将无法记录事件。 建议:不要启用此设置。启用此设置会使“拒绝服务”攻击变得非常容易,且会严重影响计算机正常工作时间。 |
默认组帐户
本节讨论对默认 Windows 2000 操作系统安装中内置组的默认组成员的必需更改和建议更改。这些内置组具有用户权限和特权以及组成员的预定义集合。五个内置组类型定义如下:• | 全局组 当建立 Windows 2000 域时,在 Active Directory 存储区中创建内置全局组。全局组用来对整个域中使用的通用类型用户和组帐户进行分组。全局组可以包含本机模式域中的其他组。 |
• | 域本地组 域本地组向用户提供特权和权限,以便在域控制器和 Active Directory 存储区中执行任务。域本地组只在域中使用,不能导出到 Active Directory 树中的其他域。 |
• | 通用组 只可以在本机 Windows 2000 域中使用通用组。可以跨整个目录林使用通用组。 |
• | 本地组 独立 Windows 2000 服务器、成员服务器和工作站都有内置本地组。这些内置本地组向成员提供了只在此组所属的特定计算机上执行任务的能力。 |
• | 系统组 系统组没有可以修改的特定成员。每个系统组用来代表特定用户类别或代表操作系统本身。这些组是在 Windows 2000 操作系统中自动创建的,但在组管理 GUI 中不显示。这些组只用于控制资源的访问权。 |
检查/修改域的组帐户成员身份
• | 访问域中的组帐户
|
检查/修改独立或成员计算机的组帐户成员身份
• | 访问独立或单独域成员计算机中的组帐户
|
更改帐户的主要组成员身份
为了进行下表中标识的一些必需的组成员身份更改,您必须从特定组删除帐户。为了与其他网络协议(例如 AppleTalk)兼容,帐户必须在域中有主要组分配。因此,当计算机加入域时,您可能必须更改默认设置的帐户的主要组成员身份。如果尝试从“Active Directory 计算机和用户”GUI 中的帐户主要组删除帐户,则操作将被拒绝,并显示以下消息:图 10:主要组删除消息
• | 更改帐户的主要组
|
注意 2:在下表中,有对 SID 的引用。SID 是安全标识符,它是代表特定用户或组的值。例如,SID S-1-5-7 代表匿名登录组。有关更多信息,请参阅 Technet(网址是 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windows2000serv/reskit/distsys/part5/dsgappe.asp)或 Windows 2000 Resource Kit 中的“Well Known Identifiers”文章(英文)。
表 24:组成员身份
组成员身份修改 | 域 WKS | 域便携式计算机 | DC | 域服务器 | 独立 WKS | 独立服务器 | ||
全局和通用组 | 默认成员 | 修改/验证 | ||||||
DnsUpdateProxy | 无 | 不向此组添加帐户。 | ||||||
Domain Admins | Administrator | 不向此组添加非管理帐户。 | ||||||
Domain Guests | Guest | 不向此组添加帐户。 | ||||||
Domain Users | Administrator Guest Krbtgt TsInternetUser (所有新用户都是在默认情况下添加的) | 删除 Guest 帐户,确保禁用 TsInternetUser 帐户。 注意:删除 Guest 帐户之前,请将此帐户的主要组更改为 Domain Guests。 | ||||||
Enterprise Admins | Administrator (Domain Controller Administrator) | 不向此组添加非管理帐户。 警告:此组将具有整个目录林中每个计算机的完全管理特权。决不应将此组中的帐户用于除管理系统之外的任何其他目的。 | ||||||
Group Policy Creator Owner | Administrator | 不向此组添加非管理帐户。 | ||||||
Schema Admins | Administrator | 不向此组添加非管理帐户。 | ||||||
域本地组 | 默认成员 | 修改/验证 | ||||||
Account Operators | 无 | 仅对只能管理帐户的管理员使用此组。需要像对普通管理员那样,对这些用户进行严格筛选。 | ||||||
Administrators | Administrator Domain Administrators Enterprise Administrators | 不向此组添加非管理帐户。 | ||||||
Backup Operators | 无 | 不向此组添加非管理帐户。 注意:Backup Operator 可以读取系统的所有文件,无论这些文件的权限如何。由于他们还可以存储文件,所以可能对系统的安全和稳定性产生反面影响。 | ||||||
DnsAdmins | 无 | 不向此组添加非管理帐户。 | ||||||
Guests | Guest(本地) Domain Guests TsInternetUser | 不使用此组。 | ||||||
Pre-Windows 2000 Compatible Access | 无 | 提供与 Windows 2000 操作系统以前版本兼容的向后兼容性。使用此组将极大释放 Active Directory 中的权限。默认情况下,此组没有成员。但是,如果在“Windows 2000 以前版本兼容性模式”中创建了域,则 Everyone 组将是此组的成员,使 Everyone 具有所有 Active Directory 对象的读取权限。要禁用此设置,请从 Pre-Windows 2000 Compatible Access 组中删除 Everyone 组,然后重新启动所有域控制器。但是,这会对向后兼容性产生反面影响。 | ||||||
Print Operators | 无 | 不向此组添加非管理帐户。这些用户可以安装内核模式驱动程序,因此会危及稳定性和安全性。 | ||||||
Replicator | 无 | 不向此组添加非管理帐户。 | ||||||
Server Operators | 无 | 不向此组添加非管理帐户。设计此组的目的是防止善意的用户在作为管理员时产生最大的破坏。设计它的目的不是防止恶意用户危及系统的安全。 | ||||||
Users | Authenticated Users Domain Users INTERACTIVE (所有新本地用户都是在默认情况下添加的) | 不向此组添加可能有未经身份验证的访问权的帐户(例如 Guest)。 | ||||||
本地组 | 默认成员 | 修改/验证 | ||||||
Administrators | 独立:Administrator 域成员:Administrator Domain Administrator | 不向此组添加非管理帐户。 | ||||||
Backup Operators | 无 | 不向此组添加非管理帐户。 | ||||||
Guests | 独立 Professional: Guest 独立 Server: Guest TsInternetUser 域成员: 向以上添加 Domain Guests | 不使用此组。从此组删除所有帐户,包括 Guest。 | ||||||
Power Users | 无 | 此组的作用等同于 Server Operator 组。为了获得兼容普通用户身份不能运行的应用程序的向后兼容性,提供了此组。使用 Power Users 可以使组织不必让用户必须成为管理员才能运行这些应用程序。在某些环境中,Power Users 非常重要,因为唯一其他选项是使用户成为 Administrator。但是,在不需要 Power Users 组的环境中,应该使用组策略通过使其成为受限制的组来控制其成员身份。一定要记住,使用户成为 Power Users 组的成员不能阻止用户轻易成为 Administrator。此组旨在包含善意用户。它不能包含恶意用户。因此,应该仔细评估其使用。 | ||||||
Replicator | 无 | 不向此组添加非管理帐户。 | ||||||
Users | 独立: Authenticated Users INTERACTIVE (所有新本地用户都是在默认情况下添加的) 域成员: Authenticated Users Domain Users INTERACTIVE (所有新本地用户都是在默认情况下添加的) | 不向此组添加具有未经身份验证的访问权可能性的帐户(例如 Guest)。 | ||||||
系统组 | 默认成员 | 修改/验证 | ||||||
Anonymous Logon | 所有经过身份验证的用户 | 此组用来向不进行或不能进行身份验证的用户授予资源的访问权。通常,这是不当的。因此,不要使用此组,除非某些应用程序或使用方案需要此组。不向此组授予资源权限或用户权限。 | ||||||
Authenticated Users | 所有经过身份验证的用户 | 使用 Authenticated Users 组(而不使用 Everyone 组)可以避免匿名访问资源的可能性。 | ||||||
DIALUP | 所有拨入用户 | 在极少情况下,拨入用户需要其他情况下无法获得的特定权限,此时使用该组很有帮助。为了简单起见,最好不要使用此组。 | ||||||
SERVICE | 任何以服务运行的进程获取此 SID。 | 一般而言,不需要使用此组分配权限。 | ||||||
SELF | 对象代表的安全主体。 | 使用此 SID 向用户分配权限,以便在 Active Directory 中修改他们自己的对象。 | ||||||
NETWORK | 通过网络访问计算机的用户。 | 此 SID 主要用于 Internet 信息服务 (IIS)。通过经过身份验证的 Web 访问(而不是基本身份验证)访问服务器的任何用户获取此 SID。因此,它用来为这些用户授予资源的访问权。 | ||||||
INTERACTIVE | 本地(即在控制台)访问计算机的所有用户。另外,通过 Web 服务器、使用基本身份验证或使用经过身份验证的 FTP 和 Telnet 访问计算机的所有用户获取此 SID。 | 为此 SID 分配访问权时一定要非常小心。它允许任何可本地登录系统的用户访问这些资源。另外,请记住,对 IIS 的匿名访问被视为本地登录。因此,如果通过 IIS VRoot 公开了 INTERACTIVE 具有访问权的资源,则匿名 Web 用户可以访问这些资源。 | ||||||
Everyone | 本地、通过网络或通过 RAS 访问计算机的所有用户。其中包括所有经过身份验证的和未经过身份验证的用户。 | 不向此帐户分配资源权限或用户权限。根据需要使用 Authenticated Users 或特定用户帐户和组。 注意:在某些情况下,需要此组来支持不对系统进行身份验证的下层客户端。 | ||||||
TERMINAL SERVER USER | 无 | 用来向终端服务用户提供他们在交互连接到系统时通常没有的权限。在大多数情况下,使用 Users 组更简便。 |
默认用户帐户
本节讨论对默认 Windows 2000 操作系统安装中的内置用户帐户的必需更改和建议更改。内置帐户包括 Administrator、Guest 和 TsInternetUser。检查/修改域的默认用户帐户
• | 检查或修改用户帐户以评估安全性
|
本地检查/修改默认用户帐户
• | 在独立或单独域成员计算机中检查或修改用户帐户以评估安全性
|
用户帐户修改 | 域 WKS | 域便携式计算机 | DC | 域服务器 | 独立 WKS | 独立服务器 | ||
Administrator | 用于管理计算机/域的内置帐户。 | 不将此帐户用于日常管理。向每个管理员分配两个帐户,一个供日常使用(例如读取电子邮件),一个用于管理任务。出于安全原因,管理帐户永不应用于电子邮件目的。 | ||||||
Guest | 用户计算机/域的来宾访问权的内置帐户。 | 应该禁用此帐户。 | ||||||
TsInternetUser | 终端服务使用的用户帐户。终端服务 Internet 连接器许可证使用此帐户,可以在 Windows 2000 服务器上获得此帐户。当启用 Internet 连接器许可证时,基于 Windows 2000 的服务器接受 200 个仅匿名连接。不向终端服务客户端提示登录对话框,使用 TsInternetUser 帐户自动登录这些客户端。 | 像对待任何其他匿名帐户那样对待此帐户。在域控制器上不允许使用匿名帐户。 |
系统服务
表 25 列出了应在安全 Windows 2000 计算机上启用的系统服务。要在域中所有或一组 Windows 2000 平台上启用或禁用服务,需要设置域安全策略。对于域控制器上的设置,使用域控制器安全策略界面。可以通过计算机管理界面、本地安全策略界面或应用使用 secedit.exe 的安全模板,设置单独 Windows 2000 平台上的本地设置。
在域计算机上禁用不需要的系统服务
• | 为域或域控制器禁用不需要的服务
|
本地禁用不需要的系统服务
• | 在独立或工作组 Windows 2000 Server 或 Professional 操作系统上本地禁用不需要的服务
|
最低系统服务
表 26 列出了在安全 Windows 2000 计算机上应启用的系统服务。表 26:安全的 Windows 2000 计算机的可接受服务
|
|
确保文件系统的安全
Windows 2000 包括使用随机访问控制列表 (DACL)(有时都称为权限)保护文件的能力。一旦应用 Service Pack 3,文件和目录权限的默认集合将为大多数应用程序环境提供合理级别的安全性。但是,可以基于这些默认设置改进某些 DACL。在操作系统安装过程中,通过“setup security.inf”安全模板文件(此文件被描述为包含“全新默认安全设置”)应用默认文件和目录权限。要确保更强的安全性,应该在安装操作系统以及使用最新 Service Pack 和此 Service Pack 后发布的所有修补程序对操作系统进行更新后,立即按表 27(下表)中的建议修改文件、目录和子目录权限。使用 Windows 2000 中的继承功能,在目录树中尽可能高地设置权限。这可以极大简化权限管理。下面建议的权限更改应用于所有 Windows 2000 操作系统。使用组策略在域中的所有或一组 Windows 2000 平台上实现权限。最好在与域级别相对的 OU 级别设置权限。OU 可以轻松地构建成包含所有具有特定安全要求的机器。可以使用包括的模板,通过安全配置编辑器界面,在单独的 Windows 2000 平台上设置本地权限。
通过域策略设置权限
• | 为域或域控制器设置文件和文件夹权限策略
|
通过安全配置编辑器本地设置权限
在独立系统(或在本地)中重复设置权限的最简单方法是使用安全配置编辑器工具。下面的说明描述了如何在新添加的驱动器的根中定义和设置权限。• | 在新添加的驱动器的根中定义和设置权限
|
文件和文件夹 | DACL 设置 | 继承方法(通过安全策略工具设置) | 域 WKS | 域便携式计算机 | DC | 域服务器 | 独立 WKS | 独立服务器 |
%SystemDrive% 注释:安装 Windows 2000 操作系统的驱动器。请注意:这些权限应该也应用于所有其他非可移动驱动器。如果这些权限是在所有驱动器的根中设置的,它们将允许用户创建文件夹以及这些文件夹中的文件,但是将阻止他们修改不是他们自己创建的驱动器上的任何内容。另请注意 Everyone 的使用。如果限制系统的匿名访问权,只要 Guest 帐户保留禁用,则 Everyone 等同于任何经过身份验证的用户。 | Administrators:完全控制 CREATOR OWNER:完全控制(子文件夹和文件) SYSTEM:完全控制 Users:读取和执行(此文件夹、子文件夹和文件) Users:创建文件夹/附加数据(此文件夹和子文件夹) Users:创建文件/写入数据(仅子文件夹) Everyone:读取和执行 | 传播 |
共享文件夹权限
使用基于 SMB 的服务器和重定向器服务提供本机 Windows 2000 文件共享服务。即使只有管理员可以创建共享,在共享上添加的默认安全也允许 Everyone 组具有完全控制访问权。这些权限允许对网络可视共享本身进行访问。通过共享显示的文件夹和子文件夹的访问权由共享映射的基本文件夹中设置的 NTFS 权限控制。因此,您应该通过 NTFS 权限将适当的安全性应用于共享所映射的任何文件和文件夹。事实上,为 Everyone 设置完全控制权限相当于只在基本文件系统上(而不是在共享本身上)管理权限。确保注册表的安全
除了考虑本模块中描述的标准安全,安全管理员还要对 Windows 2000 注册表中的某些项加强保护。默认情况下,在提供标准级别安全的同时,对注册表的各种组件设置了保护,以便使工作得以完成。在操作系统安装过程中,通过“setup security.inf”安全模板文件(此文件被描述为包含“全新默认安全设置”)应用注册表项权限。Microsoft 已经为 Windows 2000 配置了默认注册表 ACL 设置,以解决与为 Windows NT 4.0 标识的默认注册表 ACL 设置相关的问题。另外,Service Packs 2 及更高版本加强了基于默认设置的注册表部分。因此,表 28 中定义的 ACL 更改仅提供少量更改,对应用程序的影响降至最低,保护了注册表中的敏感数据位置。在进行这样的更改时应始终小心,因为通常存在少量未经测试的第三方应用程序可能不再正常工作的风险。建议的权限更改应用于所有 Windows 2000 操作系统。但是,由于各种平台上组的用途不同,客户端、服务器以及域控制器之间的权限也略有不同。因此,不应该将客户端权限应用于客户端之外的其他对象等。如果犯错,有可能降低系统的功能。但是,此错误通常可以通过重新应用适当的模板来解决。
要在域中的所有或一组 Windows 2000 平台上实现权限,需设置域安全策略。对于域控制器上的设置,使用域控制器安全策略界面。可以通过 Regedt32.exe 界面或使用安全模板和 secedit.exe 实用工具,在单独 Windows 2000 平台上设置本地权限。
通过域策略设置注册表权限
• | 为域和域控制器设置注册表权限策略。
|
通过 Regedt32.exe 设置注册表权限
• | 本地设置注册表权限
|
注册表项 | 子项 DACL 设置 | 继承方法 | 域 WKS | 域便携式计算机 | DC | 域服务器 | 独立 WKS | 独立服务器 |
\SOFTWARE\Microsoft\Windows NT\CurrentVersion | Users:读取;此项和子项 Power Users:查询值、设置值、创建子项、枚举子项、通知、删除、读取权限;此项和子项 Administrators:完全控制;此项和子项 SYSTEM::完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 TERMINAL SERVER USER:查询值、设置值、创建子项、枚举子项、通知、删除、读取权限;此项和子项 | 替换 | ||||||
\SOFTWARE\Microsoft\Windows NT\CurrentVersion | Authenticated Users:读取;此项和子项 Server Operators:查询值、设置值、创建子项、枚举子项、通知、删除、读取权限;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
\SOFTWARE\Microsoft\Windows NT\CurrentVersion | Users:读取;此项和子项 Power Users:查询值、设置值、创建子项、枚举子项、通知、删除、读取权限;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon | Authenticated Users:读取;此项和子项 Server Operators:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
其余的设置重置许多具有显式 DACL 的子项上的默认 DACL。如果不配置这些设置,上述更改将不修改这些设置。 | ||||||||
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon | Users:读取;此项和子项 Power Users:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
其余的设置重置许多具有显式 DACL 的子项上的默认 DACL。如果不配置这些设置,上述更改将不修改这些设置。 | ||||||||
HKLM\System\Software \Microsoft\Windows NT\ CurrentVersion\ProfileList | Users:读取;此项和子项 Power Users:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 不允许替换此项中的权限 | ||||||
HKLM\System\Software\ Microsoft\Windows NT\Current Version\AEDebug | Users:读取;此项和子项 Power Users:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\ Microsoft\Windows NT\ CurrentVersion\Accessibility | Users:读取;此项和子项 Power Users:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\ Microsoft\Windows NT\Current Version\AsrCommands | Users:读取;此项和子项 Power Users:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 Backup Operators:查询值、设置值、创建子项、枚举子项、通知、删除、读取权限;此项和子项 | 替换 | ||||||
HKLM\System\Software\ Microsoft\Windows NT\ CurrentVersion\Classes | Users:读取;此项和子项 Power Users:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\ Microsoft\Windows NT\ CurrentVersion\Drivers32 | Users:读取;此项和子项 Power Users:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\ Microsoft\Windows NT\ CurrentVersion\EFS | Users:读取;此项和子项 Power Users:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\ Microsoft\Windows NT \CurrentVersion \IniFileMapping | Users:读取;此项和子项 Power Users:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\ Microsoft\Windows NT\Current Version\Image File Execution Options | Users:读取;此项和子项 Power Users:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\ Microsoft\Windows NT\Current Version\FontMapper | Users:读取;此项和子项 Power Users:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Font Drivers | Users:读取;此项和子项 Power Users:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Windows | Users:读取;此项和子项 Power Users:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Time Zones | Users:读取;此项和子项 Power Users:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Svchost | Users:读取;此项和子项 Power Users:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Setup\ RecoveryConsole | Users:读取;此项和子项 Power Users:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\SecEdit | Users:读取;此项和子项 Power Users:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Perflib | INTERACTIVE:读取;此项和子项 Power Users:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software \Microsoft\Windows NT\Current Version\ProfileList | Authenticated Users:读取;此项和子项 Server Operators:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 不允许替换此项中的权限 | ||||||
HKLM\System\Software \Microsoft\Windows NT\Current Version\AEDebug | Authenticated Users:读取;此项和子项 Server Operators:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Accessibility | Authenticated Users:读取;此项和子项 Server Operators:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\AsrCommands | Authenticated Users:读取;此项和子项 Server Operators:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 Backup Operators:查询值、设置值、创建子项、枚举子项、通知、删除、读取权限;此项和子项 | 替换 | ||||||
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Classes | Authenticated Users:读取;此项和子项 Server Operators:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Drivers32 | Authenticated Users:读取;此项和子项 Server Operators:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\EFS | Authenticated Users:读取;此项和子项 Server Operators:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion \IniFileMapping | Authenticated Users:读取;此项和子项 Server Operators:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options | Authenticated Users:读取;此项和子项 Server Operators:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\FontMapper | Authenticated Users:读取;此项和子项 Server Operators:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Font Drivers | Authenticated Users:读取;此项和子项 Server Operators:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Windows | Authenticated Users:读取;此项和子项 Server Operators:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Time Zones | Authenticated Users:读取;此项和子项 Server Operators:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Svchost | Authenticated Users:读取;此项和子项 Server Operators:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Setup \RecoveryConsole | Authenticated Users:读取;此项和子项 Server Operators:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\SecEdit | Authenticated Users:读取;此项和子项 Server Operators:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 | ||||||
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Perflib | INTERACTIVE:读取;此项和子项 Server Operators:读取;此项和子项 Administrators:完全控制;此项和子项 SYSTEM:完全控制;此项和子项 CREATOR OWNER:完全控制;仅子项 | 替换 |
IPSec 策略
使用 IPSec 策略(而不是应用程序编程接口 (API))配置 IPSec 安全服务。这些策略为大多数现有网络中的大多数流量类型提供各种级别的保护。可以对 IPSec 策略进行配置,以满足用户、组、应用程序、域、站点或全球企业的安全需要。Microsoft Windows 2000 提供称为“IPSec 策略管理”的管理界面,以便为任何域成员的处于 Active Directory 级别的计算机定义 IPSec 策略,或为非域成员的本地计算机定义 IPSec 策略。IPSec 策略可以应用于计算机、域或 Active Directory 中创建的任何组织单位。IPSec 策略应该基于组织的安全操作指南。通过使用安全操作(称为“规则”),策略可应用于计算机或组织单位的异类安全组。
IPSec 策略的管理是复杂的话题,超出了本模块的范围。IPSec 策略在确保 Windows 2000 系统安全方面起着重要的作用,您会发现阅读有关使用 IPSec 的详细文档(例如文章“Using IPSec to Lock Down a Server”(英文),网址是:http://www.microsoft.com/serviceproviders/columns/using_ipsec.asp)很有帮助。
对文件系统加密
Windows 2000 操作系统提供通过使用加密文件系统 (EFS) 对 NTFS 卷上的文件和文件夹加密的基本功能。EFS 使用私钥加密机制,以加密形式存储网络上的数据。EFS 作为文件系统驱动程序运行,同时使用对称密钥加密和公钥加密来保护文件。对于 IPSec,EFS 的管理超出了本模块的范围。使用 EFS 相当简单,如果想要从此功能中获得最大安全收益,则需要其他配置。有关此主题的更多信息,请参阅:
• | Microsoft 知识库文章 223316“Best Practices for the Encrypting File System”(英文)。 |
• | Microsoft TechNet 文章“Analysis of Reported Vulnerability in the Windows 2000 Encrypting File System (EFS)”(英文),网址是:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/news/analefs.asp。 |
• | Microsoft 白皮书“Encrypting File System for Windows 2000”(英文),网址是:http://www.microsoft.com/windows2000/techinfo/howitworks/security/encrypt.asp。 |
启用自动屏幕锁定保护
对于已评估的配置,应该启用密码保护的屏幕保护程序。这样可以使用户桌面因安全原因而锁定,方法是设置在已设置的非活动时间段后通过屏幕保护程序启动的自动屏幕锁定。一旦调用计算机屏幕锁定,只允许当前登录计算机的用户或经过授权的管理员来访问计算机。• | 通过设置基于屏幕保护程序的屏幕锁定来设置自动屏幕锁定
|
相关文章推荐
- Windows 2000安全配置大全
- Windows 2000服务器安全配置精华技巧
- 安全配置 Windows 2000服务器
- 精解——安全配置 Windows 2000服务器
- Windows 2000 上配置和应用安全模板
- Windows 2000 安全配置工具
- 如何在Windows 2000域控制器中配置数字证书来确保 LDAP 和 SMTP 复制的安全
- Windows 2003 Server安全配置完整篇(三)
- [转]SQL Server 2000的安全配置
- 如何在Windows 2000开机时按下F8无效(禁止进入安全模式)
- 关于SQL Server 2000的安全配置
- Windows 2003 Server安全配置完整篇
- SQL Server 2000的安全配置
- windows 2000+IIS+PHP5配置全能空间的方法
- Windows Internet服务器安全配置
- windows 2003/2008 禁用关闭事件跟踪程序 自动登录 禁用 IE 增强的安全配置
- Windows 2000 安全
- 关于SQL Server 2000的安全配置