Windows XP 客户端安全设置
本页内容
 | 本模块内容 |
| 目标 |
| 适用范围 |
| 如何使用本模块 |
| 安全模板 |
| 帐户策略设置 |
| 本地策略设置 |
| 审核策略设置 |
| 用户权限分配设置 |
| 安全选项设置 |
| 事件日志安全设置 |
| 受限制的组 |
| 系统服务 |
| 保护文件系统 |
| 摘要 |
本模块内容
本模块详细讨论了在 Microsoft® Windows Server™ 2003 域中通过“组策略”配置的主要安全设置。实现所建议的设置将确保组织中运行 Microsoft Windows®XP Professional 的台式计算机和便携式计算机的安全。本模块并不为 Windows XP 中所有可用的设置提供全面指导。
目标
本模块用于
| • | 确定并配置适当的“审核策略”设置,以记录环境中的系统活动 |
| • | 确定并配置适当的“用户权限分配”设置,以保护用户环境 |
| • | 使用“安全选项”设置来控制用户登录环境 |
| • | 使用“安全选项”设置来配置设备的默认行为和辅助功能 |
| • | 使用“安全选项”设置来重命名敏感的帐户 |
| • | 使用“安全选项”设置来保护客户端和服务器之间的通信 |
| • | 使用“安全选项”设置来控制网络访问级别 |
| • | 使用“安全选项”设置来配置“恢复控制台”的行为 |
| • | 使用“安全选项”设置来控制“关闭系统”行为 |
| • | 为“事件日志”的大小、保持和辅助功能确定并配置适当的设置 |
| • | 使用“受限制的组”设置来控制敏感组的成员身份 |
| • | 为“系统服务”行为确定并配置适当的设置 |
| • | 使用适当的设置来保护文件系统 |
适用范围
本模块适用于下列产品和技术
| • | Windows Server 2003 域中的 Windows XP Professional 客户端 |
如何使用本模块
本模块提供详细划分的各种组策略设置,这些设置是保护 Windows Server 2003 域中的 Windows XP Professional 企业客户端或高安全级客户端所必需的。
要从本模块获取更多内容,请执行下列操作:
| • | 阅读本指南中的模块 1“Windows XP 安全指南简介”。该模块定义了在此模块中引用的企业客户端环境和高安全级环境。 |
| • | 阅读本指南中的模块 2“配置 Active Directory 域基础结构”,其中描述了如何在 Windows Server 2003 域中应用组策略。 |
| • | 阅读以下配套指南中的模块 6“事件日志”:《Threats and Countermeasures Security Settings in Windows Server 2003 and Windows XP》(威胁和对策:Windows Server 2003 和 Windows XP 中的安全设置)。其中提供有关日志文件设置的详细信息。 |
| • | 阅读本指南中的模块 6“Windows XP 客户端的软件限制策略”,它将使您了解如何使用软件限制策略。 |
| • | 使用检查表。本指南“检查表”部分中的检查表“Windows XP 安全设置检查表”提供可打印的作业指导,以供快速参考。使用基于任务的检查表可以快速评估需要哪些步骤并帮助您逐步完成各个步骤。 |
| • | 使用本指南中提供的“Windows XP 安全指南设置”电子表格。它将帮助您记录在您的环境中配置的设置。 |
| • | 使用本指南中提供的安全模板。这些模板将使您能够在一次操作中应用本模块中讨论的所有设置。对于台式计算机和便携式计算机,均提供了针对 Windows XP Professional 企业客户端和高安全级客户端的安全模板。 |
安全模板
正如模块 1“Windows XP 安全指南简介”中所述,本模块中提供的指导特定于在本指南中定义的企业客户端环境和高安全级环境。在某些情况下,本指南建议在便携式计算机上使用与台式计算机不同的设置,这是由于便携式计算机是移动的,并且不总是通过企业网络连接到环境中的域控制器。本指南还假设便携式计算机用户在非正常工作时间工作,而此时没有现场技术支持。因此,对于便携式客户端来说,需要连接到域控制器或者控制登录时间的设置会有所不同。请记住,本模块中的指导所提出的建议只是为了让您便于根据自己的业务需求对其进行调整。
下表定义本指南中提供的基础结构 (.inf) 文件。这些文件包含在本指南中定义的两种环境的所有基准安全设置建议。
表 3.1:基准安全模板
| 说明 | 企业客户端 | 高安全级 |
台式计算机的基准安全模板 | Enterprise Client - desktop.inf | High Security - desktop.inf |
便携式计算机的基准安全模板 | Enterprise Client - laptop.inf | High Security - laptop.inf |
有关本模块中所讨论的设置的更多详细信息,请参见配套指南《Threats and Countermeasures Security Settings in Windows Server 2003 and Windows XP》。
帐户策略设置
本模块中未涵盖“帐户策略”设置,这些设置将在本指南的模块 2 “配置 Active Directory 域基础结构”中讨论。
本地策略设置
“本地策略设置”可在运行 Windows XP Professional 的任何计算机上进行本地配置,这可通过使用“本地安全策略控制台”或通过基于 Microsoft Active Directory® 域的组策略对象 (GPO) 来配置。“本地策略”设置包括“审核策略”、“用户权限分配”和“安全选项”。
审核策略设置
“审核策略”用于确定要向管理员报告的安全事件,以便记录具有指定事件类别的用户或系统活动。管理员可以监视与安全有关的活动,如谁访问某个对象、用户何时登录或注销某台计算机、是否对审核策略设置进行过更改。基于所有这些原因,Microsoft 建议您为管理员创建一个可在您的环境中实现的审核策略。
在实现审核策略之前,必须确定在您的企业环境中需要审核哪些类别的事件。企业审核策略由您在事件类别中选择的审核设置来定义。通过为特定的事件类别定义审核策略设置,管理员可以根据组织的安全需求创建审核策略。
如果未配置任何审核设置,将很难或者不可能确定在遇到安全事件时所发生的情况。不过,如果因为配置了审核而导致有太多的授权活动生成事件的话,安全事件日志中则将充满无用的数据。下面的建议旨在帮助您在确定要监视的内容以及确定如何为组织收集相关审核数据时找到平衡点。
可以使用“组策略对象编辑器”在以下位置配置 Windows XP 的审核策略设置:
计算机配置\Windows 设置\安全设置\本地策略\审核策略
表 3.2:用于保护 Windows XP 计算机的审核策略设置
| UI 中的设置名称 | 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
审核帐户登录事件 | 成功、失败 | 成功、失败 | 成功、失败 | 成功、失败 |
审核帐户管理 | 成功、失败 | 成功、失败 | 成功、失败 | 成功、失败 |
审核目录服务访问 | 无审核 | 无审核 | 无审核 | 无审核 |
审核登录事件 | 成功、失败 | 成功、失败 | 成功、失败 | 成功、失败 |
审核对象访问 | 成功、失败 | 成功、失败 | 成功、失败 | 成功、失败 |
审核策略更改 | 成功 | 成功 | 成功 | 成功 |
审核特权使用 | 无审核 | 无审核 | 失败 | 失败 |
审核过程跟踪 | 无审核 | 无审核 | 无审核 | 无审核 |
审核系统事件 | 成功 | 成功 | 成功、失败 | 成功、失败 |
审核帐户登录事件
表 3.3:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
成功、失败 | 成功、失败 | 成功、失败 | 成功、失败 |
“审核帐户登录事件”设置用于跟踪使用域登录凭据从本地控制台、网络或服务帐户进行的登录尝试。要准确地确定用户何时成功或不成功地登录系统,必须启用此审核设置。
启用此审核策略设置后,管理员可以跟踪在您的环境中,组织中的网络上有哪些系统正由运行 Windows XP 的计算机访问。因此,在本指南中定义的两种环境中,“审核帐户登录事件”设置被配置为“成功”和“失败”。
审核帐户管理
表 3.4:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
成功、失败 | 成功、失败 | 成功、失败 | 成功、失败 |
“审核帐户管理”设置用于跟踪以下企图:新建用户或组、重命名用户或组、启用或禁用用户帐户、更改帐户密码、启用对帐户管理事件的审核。
启用此审核策略设置后,管理员可跟踪事件,以检测恶意创建、意外创建和授权创建用户帐户和组帐户的情况。因此,在本指南中定义的两种环境中,“审核帐户管理”设置被配置为“成功”和“失败”。
审核目录服务访问
表 3.5:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
无审核 | 无审核 | 无审核 | 无审核 |
启用“审核目录服务访问”设置只是为了针对域控制器执行审核。因此,未在工作站级别定义此设置。
此设置不适用于运行 Windows XP Professional 的计算机。因此,在本指南中定义的两种环境中,确保“审核目录服务访问”设置被配置为“无审核”。
审核登录事件
表 3.6:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
成功、失败 | 成功、失败 | 成功、失败 | 成功、失败 |
“审核登录事件”设置用于跟踪使用本地计算机登录凭据从本地控制台和网络以及批帐户或服务帐户进行的成功和失败的登录尝试。
启用此审核策略设置后,管理员可以跟踪这些事件并获得如下记录:谁成功和谁未能成功登录到组织中运行 Windows XP 的计算机。因此,在本指南中定义的两种环境中,“审核登录事件”设置被配置为“成功”和“失败”。
审核对象访问
表 3.7:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
成功、失败 | 成功、失败 | 成功、失败 | 成功、失败 |
在 Windows XP 中,可以跟踪用户对特定文件和文件夹的访问。“审核对象访问”设置允许您跟踪那些通过某些对象来对敏感数据的访问,这些对象可以是特定于文件、文件夹、打印机、注册表项的对象,还可以是其他可设置为要审核的对象。要跟踪用户对这些对象的访问,必须首先访问每个文件或文件夹,然后启用该对象的安全属性,以审核用户访问。而后必须启用“审核对象访问”设置,以返回成功和失败记录。
启用此审核策略设置可按照为特定对象定义的审核规则来记录事件。在此审核策略中选中“失败”选项,可确保能够监视入侵者对敏感数据的访问企图。随后,在安全事件日志中,将针对满足此审核功能的审核要求的指定文件和文件夹生成有关访问事件的记录。
因此,在本指南中定义的两种环境中,“审核对象访问”设置被配置为“成功”和“失败”。
下列过程详述如何对文件或文件夹手动设置审核规则,然后针对指定文件或文件夹中的每个对象测试每个审核规则。此过程可通过脚本自动执行。
| • | 为文件或文件夹定义审核规则 |
1. | 使用 Windows 资源管理器定位该文件或文件夹,然后选择它。 |
2. | 单击“文件”菜单并选择“属性”。 |
3. | 单击“安全”选项卡,然后单击“高级”按钮。 |
4. | 单击“审核”选项卡。 |
5. | 单击“添加”按钮,随后将出现“选择用户、计算机或组”对话框。 |
6. | 单击“对象类型”按钮,然后在“对象类型”对话框中,选择要查找的对象类型。 注意:“用户、组和内置安全主体”对象类型会默认选中。 |
7. | 单击“位置”按钮,然后在“位置”对话框中,选择域中的计算机或本地计算机。 |
8. | 在“选择用户或组”对话框中,键入要审核的组或用户的名称。然后,在“输入要选择的对象名称”对话框中,键入 Authenticated Users,以审核所有经过验证的用户的访问,然后单击“确定”。将打开“审核项目”对话框。 |
9. | 使用“审核项目”对话框,确定要针对文件或文件夹进行审核的访问类型。 注意:请记住,每次访问都会在事件日志中生成多个事件,这会导致日志迅速变大。 |
10. | 在“审核项目”对话框中,选中“列出文件夹/读取数据”旁边的“成功”和“失败”,然后单击“确定”。 |
11. | 已启用的审核项目将出现在“高级安全设置”对话框的“审核”选项卡下面。 |
12. | 单击“确定”关闭“属性”对话框。 |
使用下列过程测试已配置的每个审核规则。
| • | 测试文件或文件夹的审核规则
|
审核策略更改
表 3.8:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
成功 | 成功 | 成功 | 成功 |
“审核策略更改”设置允许您跟踪对用户权限、审核策略或信任策略进行的更改。如果为该设置配置值,可确保您能够验证对组策略的授权更改,并检测任何未经授权的更改。启用此设置后,可将对用户权限、审核策略或信任策略进行的更改作为事件记录在安全事件日志中。
因此,在本指南中描述的两种环境中,“审核策略更改”设置被配置为“成功”。如果包括“失败”这一设置值,将不会在安全事件日志中提供有意义的访问信息。有关其他信息,请参见本模块“其他信息”部分中提到的“Microsoft Windows Security Resource Kit”。
审核特权使用
表 3.9:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
无审核 | 无审核 | 失败 | 失败 |
“审核特权使用”设置允许您审核符合以下条件的任何操作:要求用户帐户使用已分配给它的任何额外特权的任何操作。启用此设置后,如果有用户或进程尝试回避遍历检查、调试程序、创建令牌对象、替换进程级令牌或生成安全审核,则会导致在安全事件日志中记录已审核的事件。使用此设置,还可以在某个用户或帐户尝试使用“备份”或“还原”用户权限备份或还原文件或目录时,生成事件。但是,只有在启用了用来审核备份和还原企图的安全选项时,这些审核事件才会触发。
所有用户帐户都会定期使用特权。如果将此设置配置为同时审核成功和失败的事件,将导致在安全事件日志中快速聚积大量事件记录。如此之大的数量反映的是正常用户行为,对这些事件进行排序也就成为了详细审核开销成本的一部分。
对于企业客户端环境未提供有关此设置的指导,这是由于在该安全环境中建议不对大多数用户权限使用组策略。如果您的组织将用户权限分配给用户帐户或组,请考虑启用此设置,以审核组织中较高权限的使用情况。本指南中定义的高安全级环境中启用了此设置,这是因为在该环境中 Windows XP 中可用的大多数用户权限都是建议使用的。
因此,在企业客户端环境中,“审核特权使用”设置被配置为“无审核”。但是在高安全级环境中,此设置配置为“失败”,以便审核所有失败的使用额外特权的尝试。
审核过程跟踪
表 3.10:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
无审核 | 无审核 | 无审核 | 无审核 |
“审核过程跟踪”设置允许您在应用程序或用户启动、停止或更改进程时进行审核,并在安全事件日志中记录有关每个实例的事件。启用过程跟踪对于排除应用程序故障和了解应用程序工作方式非常有用;只有在跟踪特定应用程序行为时,才建议使用此设置。但是,启用此设置将在安全事件日志中快速生成大量事件。
因此,在本指南中定义的两种环境中,“审核过程跟踪”设置被配置为“无审核”。
审核系统事件
表 3.11:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
成功 | 成功 | 成功、失败 | 成功、失败 |
“审核系统事件”设置非常重要,因为它允许您监视成功和失败的系统事件,并提供有关这些事件的记录,从而帮助您确定未经授权的系统访问的实例。系统事件包括启动或关闭环境中的计算机、全部事件日志或其他与影响整个系统的安全相关事件。
因此,在企业客户端环境中,“审核系统事件”设置被配置为“成功”。但是,在高安全级环境中,此设置被配置为“成功”和“失败”,以便实现额外的安全性。
用户权限分配设置
除了 Windows XP Professional 中的许多特权组之外,还可以为用户和组分配许多用户权限,以便授予他们高于普通用户的特权。在这些额外的用户权限中,有许多(但并非全部)用户权限都适用于 Windows XP Professional。
要将用户权限的值设置为“No One”,请启用此设置,但是不向其中添加任何用户或组。要将用户权限的值设置为“没有定义”,请不要启用此设置。
在 Windows XP 中,“用户权限分配”设置可在组策略对象编辑器中的如下位置进行配置:
计算机配置\Windows 设置\安全设置\本地策略\用户权限分配
表 3.12:用于保护 Windows XP 计算机的“用户权限分配”设置
| UI 中的设置名称 | 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
从网络访问此计算机 | Administrators, Users | Administrators, Users | Administrators, Users | Administrators, Users |
通过终端服务允许登录 | Administrators | Administrators | No One | No One |
备份文件和目录 | 没有定义 | 没有定义 | Administrators | Administrators |
跳过遍历检查 | Users | Users | Users | Users |
更改系统时间 | 没有定义 | 没有定义 | Administrators | Administrators |
调试程序 | No One | No One | No One | No One |
通过终端服务拒绝登录 | 没有定义 | 没有定义 | Everyone | Everyone |
从远程系统强制关机 | 没有定义 | 没有定义 | Administrators | Administrators |
在本地登录 | Administrators, Users | Administrators, Users | Administrators, Users | Administrators, Users |
配置单一进程 | 没有定义 | 没有定义 | Administrators | Administrators |
还原文件和目录 | 没有定义 | 没有定义 | Administrators | Administrators, Users |
关闭系统 | 没有定义 | 没有定义 | Administrators, Users | Administrators, Users |
从网络访问此计算机
表 3.13:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
Administrators, Users | Administrators, Users | Administrators, Users | Administrators, Users |
“从网络访问此计算机”用户权限用于确定允许哪些用户和组通过网络连接到计算机。此用户权限是许多网络协议所必需的,这些协议包括基于服务器消息块 (SMB) 的协议、网络基本输入/输出系统 (NetBIOS)、通用 Internet 文件系统 (CIFS)、超文本传输协议 (HTTP) 和组件对象模型 (COM+)。
一些程序会自动将“Everyone”组添加到此用户权限的用户帐户列表中。这个组允许授权用户以及其他所有来宾和匿名用户都访问您的网络上的计算机。如果将此用户权限限制为管理员和用户,将阻止本地安装的应用程序或登录用户尝试添加用户或组,从而防止出现上述情况。
因此,在本指南中定义的两种环境中,“从网络访问此计算机”用户权限仅限制于“Administrators”和“Users”组。
通过终端服务允许登录
表 3.14:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
Administrators | Administrators | No One | No One |
“通过终端服务允许登录”用户权限用于确定哪些用户或组有权作为终端服务客户端进行登录。远程桌面用户需要此权限。如果将“远程协助”用作企业技术支持策略的一部分,请创建一个组,并通过组策略向该组授予此权限。如果组织中的技术支持部门不使用远程协助,则仅向“Administrators”组授予此权限。
如果将此权限限制于“Administrators”组(可能还包括“Help Desk”技术人员组),将防止非法用户通过 Windows XP Professional 中新的“远程协助”功能从网络访问计算机。
因此,在企业客户端环境中,“通过终端服务允许登录”用户权限仅限制于“Administrators”组,在高安全级环境中,此权限限制为“No One”,以便实现额外的安全性。
备份文件和目录
表 3.15:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
没有定义 | 没有定义 | Administrators | Administrators |
“备份文件和目录”用户权限允许用户越过文件和目录权限来备份系统。只有当应用程序尝试使用 NTFS 文件系统备份应用程序编程接口 (API)(例如 NTBACKUP.EXE)访问文件或目录时,才启用此权限。否则,请应用普通的文件和目录权限。
Microsoft 建议限制此用户权限,将对环境中客户端上的文件和文件夹的访问限制于高安全级环境中的本地“Administrators”组。
因此,只有在高安全级环境中,才将“备份文件和目录”用户权限限制于“Administrators”组。在企业客户端环境中,对于此用户权限未规定任何组。
跳过遍历检查
表 3.16:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
Users | Users | Users | Users |
“跳过遍历检查”用户权限允许访问文件或文件夹,而与它们所在的父文件夹的用户权限限制无关。换句话说,当用户导航 NTFS 文件系统或注册表中的对象路径时,此用户权限禁止检查特殊的访问权限“遍历文件夹”。如果将此用户权限授予 Users 组,则允许该组中的用户在您的环境中更改目录、访问文件或子目录,即使它们被限制访问父目录时也是如此。
因此,在本指南中定义的两种环境中,“跳过遍历检查”用户权限限制于“Users”组。
注意:请确保通过“组策略”将默认情况下出现的“Everyone”组替换为“Users”组,以便防止来宾和匿名用户获得对受限文件和文件夹的访问权限。
更改系统时间
表 3.17:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
没有定义 | 没有定义 | Administrators | Administrators |
“更改系统时间”用户权限用于确定哪些用户和组能够更改您环境中计算机内部时钟上的时间和日期。分配了此用户权限的用户可以影响事件日志的外观。更改系统时间会导致所记录的事件反映新时间,而不是反映发生事件时的实际时间。在本指南中定义的高安全级环境中,只有“Administrators”组才具有此用户权限。
因此,在企业客户端环境中,“更改系统时间”用户权限被配置为“没有定义”,在高安全级环境中,此用户权限限制于“Administrators”组。
注意:环境中本地计算机与域控制器之间的时间差异可能会对 Kerberos 身份验证协议造成问题,这可能会使用户无法登录到域,或者在登录到网络之后,无法获得访问域资源的授权。另外,如果系统时间和域控制器的时间不同步,则在向客户端应用组策略时将出现问题。
调试程序
表 3.18:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
No One | No One | No One | No One |
“调试程序”用户权限用于确定哪些用户可以将调试程序附加到任何进程或附加到内核中。如果开发人员调试在其各自用户帐户上下文中运行的应用程序,则他们无需此用户权限。但是,如果开发人员调试系统组件或者在其他帐户上下文中运行的应用程序,则他们的确需要此用户权限。此用户权限提供对敏感和关键操作系统组件的完整访问权限。
此用户权限可能会被利用从系统内存中捕获敏感的系统信息。一些攻击工具利用“调试程序”用户权限来提取散列的密码和其他专用的安全信息。默认情况下“调试程序”用户权限仅会分配给“Administrators”组,这样可以降低攻击者利用此漏洞所带来的风险。但是在本指南中定义的两种环境中,此用户权限设置为了“No One”,这样可进一步降低此风险。
通过终端服务拒绝登录
表 3.19:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
没有定义 | 没有定义 | Everyone | Everyone |
“通过终端服务拒绝登录”用户权限用于禁止用户使用远程桌面连接登录到您的环境中的计算机。限制“Everyone”组的成员通过“终端服务”登录,会同时防止默认“Administrators”组的成员使用“终端服务”登录到您的环境中的计算机。
因此,在高安全级环境中,“通过终端服务拒绝登录”用户权限限制为“Everyone”组,而在企业客户端环境中,此用户权限被配置为“没有定义”。
从远程系统强制关机
表 3.20:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
没有定义 | 没有定义 | Administrators | Administrators |
“从远程系统强制关机”用户权限允许用户从网络上的远程位置关闭运行 Windows XP 的计算机。任何有权关闭您环境中的计算机的用户都可能会引起 DoS 情况,这将使该计算机无法为用户请求提供服务。因此,Microsoft 建议将此用户权限仅限制于高度信任的管理员。
因此,在高安全级环境中,“从远程系统强制关机”用户权限仅限制于“Administrators”组,而在企业客户端安全环境中,此权限配置为“没有定义”。
在本地登录
表 3.21:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
Users, Administrators | Users, Administrators | Users, Administrators | Users, Administrators |
“在本地登录”用户权限用于确定哪些用户可以通过交互方式登录到您的环境中的计算机。通过在连接到客户端的键盘上按 Ctrl+Alt+Del 键序列而启动的登录要求用户具有此登录权限。尝试通过“终端服务”或 Microsoft Internet 信息服务 (IIS) 进行登录的用户也需要此权限。
默认情况下,Guest 帐户会授予此用户权限。尽管此帐户在默认情况下已禁用,但是 Microsoft 建议通过“组策略”来启用此权限。不过,此特权通常应限制于“Administrators”和“Users”组。如果您的公司要求“Backup Operators”组具有此特权,请将此权限授予此组。
因此,在本指南中定义的两种环境中,“在本地登录”用户权限限制于“Users”组和“Administrators”组。
注意:Windows XP Professional 组策略对象编辑器中的“在本地登录”设置在 Windows Server 2003 中称为“允许在本地登录”。
配置单一进程
表 3.22:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
没有定义 | 没有定义 | Administrators | Administrators |
“配置单一进程”用户权限用于确定哪些用户可以使用工具来监视非系统进程的性能。通常,您无需将此用户权限配置为使用“性能”管理单元。但是,如果“系统监视器”被配置为使用 Windows Management Instrumentation (WMI) 收集数据,则确实需要此用户权限。限制“配置单一进程”用户权限将防止入侵者获取某些附加信息(这些信息可用于在系统上装入攻击)。
因此,在高安全级环境中,“配置单一进程”用户权限限制于“Administrators”组,在企业客户端环境中,此用户权限配置为“没有定义”。
还原文件和目录
表 3.23:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
没有定义 | 没有定义 | Administrators | Users, Administrators |
“还原文件和目录”用户权限用于确定在从您的环境中运行 Windows XP 的计算机上还原备份的文件和目录时,哪些用户可以跳过文件、目录、注册表和其他永久对象权限。此用户权限还确定哪些用户可以将有效的安全主体设置为对象所有者。此权限在本质上类似于“备份文件和目录”用户权限。
因此,在台式计算机的高安全级环境中,“还原文件和目录”用户权限限制于“Administrators”组,而在便携式计算机的高安全级环境中,此用户权限限制于“Administrators”和“Users”组。“Users”组之所以包括在便携式计算机客户端的高安全级环境中,是因为移动用户可能需要在远离其企业办公室时还原文件。但是,在企业客户端环境中,此设置被配置为“没有定义”。
关闭系统
表 3.24:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
没有定义 | 没有定义 | Users, Administrators | Users, Administrators |
“关闭系统”用户权限用于确定在本地登录到您环境中的计算机上的用户中,哪些用户可以使用“关机”命令关闭操作系统。误用此用户权限可能导致拒绝服务。在高安全级环境中,Microsoft 建议只将该权限授予“Administrators”和“Users”组。在企业客户端环境中,对于此用户权限未规定限制。
因此,在高安全级环境中,“关闭系统”用户权限限制于“Administrators”和“Users”组。 但是在企业客户端环境中,此用户权限保持默认的“没有定义”。
安全选项设置
在环境中运行 Windows XP 的计算机中,通过“组策略”应用的“安全选项”设置用于启用或禁用多种功能,如数据的数字签名、管理员和来宾帐户名、软盘驱动器和 CD–ROM 驱动器访问、驱动程序安装行为和登录提示。
在 Windows XP 中,“安全选项”设置可在组策略对象编辑器中的如下位置进行配置:
计算机配置\Windows 设置\安全设置\本地策略\安全选项
这一部分中包括的安全设置并非在所有类型的系统上都有。因此,对于那些在这一部分中定义且构成“组策略”中“安全选项”部分的设置,可能需要在包含它们的系统上手动修改,才能使它们完全正常运行。或者,分别编辑“组策略”模板,使其包括相应的设置选项,以便这些设置规定完全生效。
表 3.25:用于保护 Windows XP 计算机的安全选项设置
| UI 中的设置名称 | 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
帐户: 使用空白密码的本地帐户只允许进行控制台登录 | 已启用 | 已启用 | 已启用 | 已启用 |
帐户: 重命名系统管理员帐户 | 推荐 | 推荐 | 推荐 | 推荐 |
帐户: 重命名来宾帐户 | 推荐 | 推荐 | 推荐 | 推荐 |
设备: 允许不登录移除 | 已禁用 | 已启用 | 已禁用 | 已禁用 |
设备: 允许格式化和弹出可移动媒体 | Administrators, Interactive Users | Administrators, Interactive Users | Administrators | Administrators |
设备: 防止用户安装打印机驱动程序 | 已启用 | 已禁用 | 已启用 | 已禁用 |
设备: 只有本地登录的用户才能访问 CD-ROM | 已禁用 | 已禁用 | 已启用 | 已启用 |
设备: 只有本地登录的用户才能访问软盘 | 已启用 | 已启用 | 已启用 | 已启用 |
设备: 未签名驱动程序的安装操作 | 允许安装但发出警告 | 允许安装但发出警告 | 禁止安装 | 禁止安装 |
域成员: 需要强 (Windows 2000 或以上版本) 会话密钥 | 已启用 | 已启用 | 已启用 | 已启用 |
交互式登录: 不显示上次的用户名 | 已启用 | 已启用 | 已启用 | 已启用 |
交互式登录: 不需要按 CTRL+ALT+DEL | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
交互式登录: 用户试图登录时消息文字 | 此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。 | 此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。 | 此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。 | 此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。 |
交互式登录: 用户试图登录时消息标题 | 继续在没有适当授权的情况下使用是违法行为。 | 继续在没有适当授权的情况下使用是违法行为。 | 继续在没有适当授权的情况下使用是违法行为。 | 继续在没有适当授权的情况下使用是违法行为。 |
交互式登录: 可被缓存的前次登录个数 (在域控制器不可用的情况下) | 2 | 2 | 0 | 1 |
交互式登录: 在密码到期前提示用户更改密码 | 14 天 | 14 天 | 14 天 | 14 天 |
交互式登录: 要求域控制器身份验证以解锁工作站 | 已禁用 | 已禁用 | 已启用 | 已禁用 |
交互式登录: 智能卡移除操作 | 锁定工作站 | 锁定工作站 | 锁定工作站 | 锁定工作站 |
Microsoft 网络客户: 数字签名的通信(若服务器同意) | 已启用 | 已启用 | 已启用 | 已启用 |
Microsoft 网络客户: 发送未加密的密码到第三方 SMB 服务器。 | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
Microsoft 网络服务器: 在挂起会话之前所需的空闲时间 | 15 分钟 | 15 分钟 | 15 分钟 | 15 分钟 |
Microsoft 网络服务器: 数字签名的通信(总是) | 已启用 | 已启用 | 已启用 | 已启用 |
Microsoft 网络服务器: 数字签名的通信(若客户同意) | 已启用 | 已启用 | 已启用 | 已启用 |
Microsoft 网络服务器: 当登录时间用完时自动注销用户 | 已启用 | 已禁用 | 已启用 | 已禁用 |
网络访问: 允许匿名 SID/名称 转换 | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
网络访问: 不允许 SAM 帐户和共享的匿名枚举 | 已启用 | 已启用 | 已启用 | 已启用 |
网络访问: 不允许 SAM 帐户和共享的匿名枚举 | 已启用 | 已启用 | 已启用 | 已启用 |
网络访问: 不允许为网络身份验证储存凭据或 .NET Passports | 已启用 | 已启用 | 已启用 | 已启用 |
网络访问: 限制匿名访问命名管道和共享 | 已启用 | 已启用 | 已启用 | 已启用 |
网络访问: 本地帐户的共享和安全模式 | 经典 - 本地用户以自己的身份验证 | 经典 - 本地用户以自己的身份验证 | 经典 - 本地用户以自己的身份验证 | 经典 - 本地用户以自己的身份验证 |
网络安全: 不要在下次更改密码时存储 LAN Manager 的哈希值 | 已启用 | 已启用 | 已启用 | 已启用 |
网络安全: 在超过登录时间后强制注销 | 已启用 | 已禁用 | 已启用 | 已禁用 |
网络安全: LAN Manager 身份验证级别 | 仅发送 NTLMv2 响应 | 仅发送 NTLMv2 响应 | 仅发送 NTLMv2 响应\拒绝 LM & NTLM | 仅发送 NTLMv2 响应\拒绝 LM & NTLM |
网络安全: 基于 NTLM SSP(包括安全 RPC)客户的最小会话安全 | 没有最小 | 没有最小 | 要求 NTLMv2 会话安全 要求 128-位加密 | 要求 NTLMv2 会话安全 要求 128-位加密 |
网络安全: 基于 NTLM SSP(包括安全 RPC)服务器的最小会话安全 | 没有最小 | 没有最小 | 要求 NTLMv2 会话安全 要求 128-位加密 | 要求 NTLMv2 会话安全 要求 128-位加密 |
故障恢复控制台: 允许自动系统管理级登录 | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
故障恢复控制台: 允许对所有驱动器和文件夹进行软盘复制和访问 | 已启用 | 已启用 | 已禁用 | 已禁用 |
关机: 允许在未登录前关机 | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
关机: 清理虚拟内存页面文件 | 已禁用 | 已禁用 | 已启用 | 已启用 |
系统加密: 使用 FIPS 兼容的算法来加密,哈希和签名 | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
系统对象: 由管理员 (Administrators) 组成员所创建的对象默认所有者 | 对象创建者 | 对象创建者 | 对象创建者 | 对象创建者 |
系统设置: 为软件限制策略对 Windows 可执行文件使用证书规则 | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
帐户: 使用空白密码的本地帐户只允许进行控制台登录
表 3.26:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已启用 | 已启用 | 已启用 | 已启用 |
“帐户: 使用空白密码的本地帐户只允许进行控制台登录”设置用于控制是否可以使用具有空白密码的本地帐户从物理计算机控制台以外的位置进行登录。启用此设置将防止具有空白密码的本地帐户借助于“Windows 网络”或“终端服务”,通过网络连接到计算机。
此设置仅影响本地帐户,它不影响域帐户。因为具有空白密码的帐户易受到攻击,所以最好避免使用它们。攻击者可以很容易地侵入具有空白密码的帐户,这是因为只需确定帐户名即可使用它。
因此,在本指南中定义的两种环境中,“帐户: 使用空白密码的本地帐户只允许进行控制台登录”设置被配置为“已启用”。
帐户: 重命名系统管理员帐户
表 3.27:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
推荐 | 推荐 | 推荐 | 推荐 |
内置的本地管理员帐户是众所周知的帐户名,易于成为攻击者的目标。Microsoft 建议您另外为该帐户选择一个名称,并且避免使用可表明管理身份或较高的访问权限帐户的名称。同时,务必还使用“计算机管理”控制台来更改本地管理员的默认描述。
如果对此帐户进行了重命名,但是忘了更改默认描述:“管理计算机(域)的内置帐户”,这不足以避开攻击者的注意力。还一定要记住,如果允许匿名帐户枚举系统上的用户,在很大程度上会与重命名管理员帐户所带来的安全好处相抵消。如果使用“帐户: 重命名系统管理员帐户”设置,重命名此帐户及其描述,会强制攻击者在破解此帐户时,必须找出帐户名和密码,而不是只找出密码。重命名后的帐户名及其描述不应当包括以下术语:root、su、admin、adm 或 supervisor。
因此,Microsoft 建议使用“帐户: 重命名系统管理员帐户”设置,将此帐户重命名为不表明管理或较高特权访问帐户的名称。这一建议对本指南中定义的两种环境都适用。
注意:此设置未在安全模板中配置,这里建议不使用帐户的新用户名,以便遵循本指南的组织不会在其环境中为管理员帐户使用同样的新用户名。
帐户: 重命名来宾帐户
表 3.28:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
推荐 | 推荐 | 推荐 | 推荐 |
“帐户: 重命名来宾帐户”设置中的术语“来宾”对于黑客来说是另一个众所周知的名称。Microsoft 也建议将此帐户重命名为在这种情况下不表明来宾用户身份的名称。即使根据建议禁用了此来宾帐户设置,也应确保对其进行重命名,以提高安全性。
因此,Microsoft 建议使用“帐户: 重命名来宾帐户”设置,将此帐户重命名为不表明来宾身份或较高特权访问帐户的名称。这一建议对本指南中定义的两种环境都适用。
注意:此设置未在安全模板中配置,这里建议不使用帐户的新用户名,以便遵循本指南的组织不会在其环境中为来宾帐户使用同样的新用户名。
设备: 允许不登录移除
表 3.29:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已禁用 | 已启用 | 已禁用 | 已禁用 |
“设备: 允许不登录移除”设置用于确定用户是否可以在不登录系统的情况下从扩展坞移除计算机。如果禁用此设置,就会要求用户先登录,然后才能发出移除计算机的请求。登录之后,用户必须具有“从扩展坞移除计算机”用户权限,才能使计算机正常地断开与网络的连接。此设置仅适用于具有扩展坞的便携式计算机。
此设置仅与受控制的移除过程有关,在该过程中,某些服务会在计算机移除后停止。此设置并不能防止攻击者在计算机没有断开与网络的连接的情况下,直接将其从扩展坞弹出。如果禁用此设置,就会要求便携式计算机用户先解除对计算机的锁定,然后再将它们从您的环境中的扩展坞移除。
因此,在企业客户端环境中,“设备: 允许不登录移除”设置仅对于企业客户端环境中的便携式计算机配置为“已启用”。对于高安全级环境中的便携式计算机,此设置为“已禁用”,它对于这两种环境中的台式计算机则没有任何影响。
设备: 允许格式化和弹出可移动媒体
表 3.30:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
Administrator, Interactive Users | Administrator, Interactive Users | Administrators | Administrators |
“设备: 允许格式化和弹出可移动媒体”设置用于确定允许谁格式化和弹出可移动媒体。如果限制此特权,将防止未经授权的用户从一台计算机中取出媒体,然后从他们具有本地管理员特权的另一台计算机访问该媒体。
因此,在企业客户端环境中,“设备: 允许格式化和弹出可移动媒体”设置限制于 Administrators 和 Interactive Users 组,在高安全级环境中,此设置限制于 Administrators 组,这样做的目的只是为了提高安全性。
设备: 防止用户安装打印机驱动程序
表 3.31:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已启用 | 已禁用 | 已启用 | 已禁用 |
黑客可能会将特洛伊木马程序伪装成打印机驱动程序。该程序的形式使用户误以为他们必须要使用此程序才能打印,而程序却会借此在计算机网络上传播恶意代码。在多数情况下,仅允许管理员安装打印机驱动程序,这样可以减少容易轻信的用户由于安装不可靠驱动程序而危害其计算机的可能性。
由于便携式计算机属于移动设备,便携式计算机用户需要时常从远程安装打印机驱动程序,以便继续正常工作。因此,对于便携式计算机用户,需要禁用此设置,但对于台式计算机用户应该始终启用此设置。
由于上述原因,对于本指南中定义的两种环境中的台式计算机,“设备: 防止用户安装打印机驱动程序 ”设置应配置为“启用”。对于两种环境中的便携式计算机用户,此设置应配置为“禁用”。
设备: 只有本地登录的用户才能访问 CD-ROM
表 3.32:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已禁用 | 已禁用 | 已启用 | 已启用 |
“设备: 只有本地登录的用户才能访问 CD-ROM”设置用于确定本地用户和远程用户是否都可以访问 CD-ROM 驱动器。启用此设置后,将只允许交互式登录的用户访问 CD-ROM 驱动器中的媒体。如果启用了此设置,且没有人登录,则可以通过网络访问 CD-ROM 驱动器。
启用此设置会阻止环境中计算机上的任何服务(包括 Windows Installer 服务)访问 CD-ROM 驱动器。由于 Windows Installer 服务是通过 CD-ROM 驱动器执行 Microsoft 安装程序 (MSI) 包,所以这些安装将失败。如果打算禁止用户或技术人员通过您的环境中客户端上的 CD-ROM 驱动器来安装软件,则可以考虑启用此设置。在高安全级环境中启用此设置可提高安全级别。
因此,在企业客户端环境中,“设备: 只有本地登录的用户才能访问 CD-ROM”设置被配置为“已禁用”。但是,此设置在“高安全级”环境中配置为“启用”。
设备: 只有本地登录的用户才能访问软盘
表 3.33:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已启用 | 已启用 | 已启用 | 已启用 |
“设备: 只有本地登录的用户才能访问软盘”设置用于确定本地用户和远程用户是否都可以访问软盘驱动器。启用此设置后,将只允许交互式登录的用户访问软盘驱动器中的媒体。如果启用了此设置,且没有人登录,则可以通过网络访问软盘驱动器中的媒体。
因此,在企业客户端环境中,“设备: 只有本地登录的用户才能访问软盘”设置被配置为“已启用”。
设备: 未签名驱动程序的安装操作
表 3.34:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
允许安装但发出警告 | 允许安装但发出警告 | 禁止安装 | 禁止安装 |
“设备: 未签名驱动程序的安装操作”设置用于控制当有人尝试使用 Setup API 安装未经数字签名的设备驱动程序时,出现的响应。此设置包括下列选项:
| • | 默认继续 |
| • | 允许安装但发出警告 |
| • | 禁止安装 |
要手动配置此设置,请先启用它,然后选择上面列出的三个选项之一。
在完美的计算世界中,所有好的驱动程序都应该经过签名,这会使此设置的首选项为“禁止安装”。不幸的是,许多驱动程序厂商仍不对他们的驱动程序进行签名,因此,此时此设置的最佳安全选项只能是“允许安装但发出警告”。
因此,在企业客户端环境中,“设备: 未签名驱动程序的安装操作”设置被配置为“允许安装但发出警告”选项,而在高安全级环境中,此设置被配置为“禁止安装”选项以提高安全性。
注意:如果在本指南中定义的高安全级环境中实现此设置,则在应用组策略之前,应当用所有的标准软件应用程序对客户端进行完全配置,以降低此设置导致安装错误的风险。
域成员: 需要强 (Windows 2000 或以上版本) 会话密钥
表 3.35:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已启用 | 已启用 | 已启用 | 已启用 |
如果启用“域成员: 需要强 (Windows 2000 或以上版本) 会话密钥”设置,则只能与能够使用强(128 位)会话密钥加密安全通道的域控制器建立安全通道。
为了启用此设置,域中的所有域控制器都必须能够使用强密钥加密安全通道数据。要使用强密钥加密数据,所有的域控制器都必须运行 Microsoft Windows® 2000 或更高版本。如果需要与非 Windows 2000 域通信,Microsoft 建议禁用此设置。
因此,在本指南中定义的两种环境中,“域成员: 需要强 (Windows 2000 或以上版本) 会话密钥”设置被配置为“已启用”。
交互式登录: 不显示上次的用户名
表 3.36:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已启用 | 已启用 | 已启用 | 已启用 |
“交互式登录: 不显示上次的用户名”设置用于确定上次在您环境中的客户端上登录的用户的帐户名是否将显示在每台计算机各自的“Windows 登录”屏幕中。如果启用此设置,将防止入侵者从您组织中台式计算机或便携式计算机的屏幕上直接收集帐户名。
因此,在本指南定义的两种环境中,“交互式登录: 不显示上次的用户名”设置被配置为“已启用”。
交互式登录: 不需要按 CTRL+ALT+DEL
表 3.37:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已禁用 | 已禁用 | 已禁用 | 已禁用 |
当用户输入用户名和密码时,Ctrl+Alt+Del 组合键会建立一条通往操作系统的信任路径。如果启用“交互式登录: 不需要按 CTRL+ALT+DEL”设置,则用户无需使用此组合键即可登录网络。启用此设置后,用户就有机会通过使用弱登录凭据来登录客户端,从而造成安全风险。
因此,在企业客户端环境中,“交互式登录: 不需要按 CTRL+ALT+DEL”设置被配置为“已禁用”。
交互式登录: 用户试图登录时消息文字
表 3.38:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。 | 此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。 | 此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。 | 此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。 |
在用户登录之前,系统应当显示一则警告消息,表明系统受到保护。许多政府组织都使用“交互式登录: 用户试图登录时消息文字”设置中的消息框来向潜在用户发出如下通知:他们的计算机活动将受到监视,而且,如果他们企图在未经正确授权的情况下使用这些环境中的计算机,将承担法律责任。
为此设置定义警告消息有助于加强对组织中安全策略的认识。Microsoft 建议您在用此设置实现消息文字之前,获得您组织中法律部门对消息文字的批准。
在本指南中定义的两种环境中,在“交互式登录: 用户试图登录时消息文字”设置中使用下面的示例消息文字:
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。
交互式登录: 用户试图登录时消息标题
表 3.39:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
继续在没有适当授权的情况下使用是违法行为。 | 继续在没有适当授权的情况下使用是违法行为。 | 继续在没有适当授权的情况下使用是违法行为。 | 继续在没有适当授权的情况下使用是违法行为。 |
如果将“交互式登录: 用户试图登录时消息标题”设置中的消息标题警告与上一个设置结合使用,就会使 Windows XP Professional 另外还在登录对话框的标题栏上显示一个警告声明。为此设置定义警告消息有助于加强对组织中安全策略的认识。Microsoft 建议您在用此设置实现消息标题之前,获得您组织中法律部门对消息标题的批准。
在本指南中定义的两种环境中,在“交互式登录: 用户试图登录时消息标题”设置中使用下面的示例消息标题:
继续在没有适当授权的情况下使用是违法行为。
交互式登录: 可被缓存的前次登录个数 (在域控制器不可用的情况下)
表 3.40:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
2 | 2 | 0 | 1 |
“交互式登录: 可被缓存的前次登录个数 (在域控制器不可用的情况下)”设置用于确定系统可保留的缓存登录凭据的数量。缓存的登录凭据使用户能够在计算机未连接到网络或者域控制器不可用时登录到系统。
如果将此设置配置为“0”,将提供最大安全性,但是在环境中的域控制器由于某种原因而不可用时,将完全禁止用户进行登录,因为便携式计算机用户不总是连接到企业网络,所以,对于便携式计算机用户,Microsoft 强烈建议您不要将此设置配置为“0”。如果将此设置配置为“2”,则允许无法连接到域控制器的用户用缓存的凭据进行登录,即使在该用户的上次控制台会话之后,IT 部门的成员为了执行维护或疑难解答任务而进行过登录时也不例外。如果将此设置配置为“1”,则允许在客户端上缓存一组凭据。如果另一个用户尝试使用此客户端,则他们必须将此客户端连接到企业网络,以便其登录凭据由域控制器来验证。
因此,在企业客户端环境中,“交互式登录: 可被缓存的前次登录个数 (在域控制器不可用的情况下)”设置对于台式计算机和便携式计算机均配置为“2”。但是,因为便携式计算机用户不总是连接到企业网络,所以在高安全级环境中,此设置对于台式计算机配置为“0”,对于便携式计算机则配置为“1”。
交互式登录: 在密码到期前提示用户更改密码
表 3.41:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
14 天 | 14 天 | 14 天 | 14 天 |
“交互式登录: 在密码到期前提示用户更改密码”设置用于确定在密码过期前几天内提前警告用户。Microsoft 建议将此设置配置为“14 天”,这样足以警告用户他们的密码将过期。
因此,在本指南定义的两种环境中,“交互式登录: 在密码到期前提示用户更改密码”设置被配置为“14 天”。
交互式登录: 要求域控制器身份验证以解锁工作站
表 3.42:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已禁用 | 已禁用 | 已启用 | 已禁用 |
如果启用“交互式登录: 要求域控制器身份验证以解锁工作站”设置,则域控制器必须对用于对计算机进行解锁的域帐户进行身份验证。如果已禁用此设置,则可以使用缓存的凭据来解除计算机锁定。由于移动用户不具备对域控制器的网络访问权限,因此 Microsoft 建议针对这两种环境中的便携式计算机用户禁用此设置。
因此,在本指南定义的两种环境中,“交互式登录: 要求域控制器身份验证以解锁工作站”设置对于台式计算机和便携式计算机均配置为“已禁用”。但是,在高安全级环境中,此设置对于台式计算机配置为“已启用”,对于便携式计算机则配置为“已禁用”。
交互式登录: 智能卡移除操作
表 3.43:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
锁定工作站 | 锁定工作站 | 锁定工作站 | 锁定工作站 |
“交互式登录: 智能卡移除操作”设置确定当已登录用户从工作站中移除智能卡时系统的操作。此设置的选项包括:
| • | 无操作 |
| • | 锁定工作站(用户可以移除智能卡并在稍后返回工作站上的同一会话) |
| • | 强制注销(当智能卡从工作站移除时用户将自动注销) |
将此设置配置为“锁定工作站”选项后,当用户从计算机中移除他们的智能卡时,工作站将锁定,从而确保未授权用户不能访问它们。
因此,在本指南定义的两种环境中,“交互式登录:智能卡移除操作”设置被配置为“锁定工作站”选项。
Microsoft 网络客户端:数字签名的通信(若服务器同意)
表 3.44:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已启用 | 已启用 | 已启用 | 已启用 |
如果启用“Microsoft 网络客户端:数字签名的通信(若服务器同意)”设置,那么与已启用或要求执行 SMB 数据包签名的 SMB 服务器进行通信时,SMB 客户端将执行 SMB 数据包签名。如果禁用此设置,会使 SMB 客户端在与 SMB 服务器通信时不对数据包进行数字签名,即使 SMB 服务器已经启用数字签名并从客户端请求数字签名。
因此,在本指南定义的两种环境中,“Microsoft 网络客户端:数字签名的通信(若服务器同意)”设置被配置为“已启用”。
注意:在网络中的 SMB 客户端中启用此设置,以使它们对环境中的所有客户端和服务器的数据包签名完全有效。
Microsoft 网络客户端:发送未加密的密码到第三方 SMB 服务器
表 3.45:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已禁用 | 已禁用 | 已禁用 | 已禁用 |
禁用“Microsoft 网络客户端:发送未加密的密码到第三方 SMB 服务器”设置可防止 SMB 重定向器在身份验证期间向不支持密码加密的非 Microsoft SMB 服务器发送纯文本密码。Microsoft 推荐禁用此设置,除非有强大的业务需求要求启用它。这是因为启用此设置将允许未加密的密码在网络上传输。
因此,在本指南定义的两种环境中,“Microsoft 网络客户端:发送未加密的密码到第三方 SMB 服务器”设置被配置为“已禁用”。
Microsoft 网络服务器:在挂起会话之前所需的空闲时间
表 3.46:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
15 分钟 | 15 分钟 | 15 分钟 | 15 分钟 |
启用“Microsoft 网络服务器:在挂起会话之前所需的空闲时间”设置,可以确定在 SMB 会话因为不活动而被挂起之前,在此会话中必须经过的连续空闲时间。管理员可以使用此设置来控制计算机何时挂起不活动的 SMB 会话。如果客户端活动恢复,会话将自动重建。
因此,在本指南定义的两种环境中,“Microsoft 网络服务器:在挂起会话之前所需的空闲时间”设置被配置为“已启用”,空闲时间设为“15 分钟”。
Microsoft 网络服务器:数字签名的通信(总是)
表 3.47:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已启用 | 已启用 | 已启用 | 已启用 |
“Microsoft 网络服务器:数字签名的通信(总是)”设置确定是否要求 SMB 服务器执行 SMB 数据包签名。如果在混合环境中启用此设置,还会有额外的优点,因为它防止下游客户端将工作站当作网络服务器使用。
如果企业内完全是 Active Directory 和 Windows XP Professional 环境,则应启用此设置。如果客户端有与 Microsoft Windows NT® 4.0 域通信的要求,则应禁用此设置
因此,在本指南定义的两种环境中,“Microsoft 网络服务器:数字签名的通信(总是)”设置被配置为“已启用”。
Microsoft 网络服务器:数字签名的通信(若客户端同意)
表 3.48:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已启用 | 已启用 | 已启用 | 已启用 |
“Microsoft 网络服务器:数字签名的通信(若客户端同意)”设置确定 SMB 服务器是否执行 SMB 数据包签名。如果启用此设置,会使 SMB 服务器在与已启用并要求使用 SMB 签名的 SMB 客户端通信时对数据包进行数字签名。
因此,在本指南定义的两种环境中,“Microsoft 网络服务器:数字签名的通信(若客户端同意)”设置被配置为“已启用”。
注意:在网络中的 SMB 客户端中启用此设置,以使它们对环境中的所有客户端和服务器的数据包签名完全有效。
Microsoft 网络服务器:当登录时间用完时自动注销用户
表 3.49:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已启用 | 已禁用 | 已启用 | 已禁用 |
“Microsoft 网络服务器:当登录时间用完时自动注销用户”设置确定在超过用户帐户的有效登录时间后,是否断开连接到本地计算机的用户。此设置影响 SMB 组件。如果启用此设置,会在客户端的登录时间用完时强制断开与 SMB 服务的客户端会话。如果禁用此设置,则在超过客户端的登录时间后,仍然保留已建立的客户端会话。
因此,在本指南定义的两种环境中,“Microsoft 网络服务器:当登录时间用完时自动注销用户”在台式计算机客户端上被配置为“已启用”。但是,在这两种环境中,此设置在便携式计算机客户端上被配置为“已禁用”,这是因为便携式计算机用户可能需要在不同时区或非正常工作时间进行远程工作。
网络访问:允许匿名 SID/名称 转换
表 3.50:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已禁用 | 已禁用 | 已禁用 | 已禁用 |
“网络访问:允许匿名 SID/名称 转换”设置确定匿名用户能否请求另一用户的安全标识符 (SID) 属性或使用 SID 获得其对应的用户名。禁用此设置可防止用户获取与各自的 SID 相关的用户名。
因此,当用户登录到本指南定义的两种环境中的网络时,“网络访问:允许匿名 SID/名称 转换”设置被配置为“已禁用”。
网络访问:不允许 SAM 帐户的匿名枚举
表 3.51:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已启用 | 已启用 | 已启用 | 已启用 |
“网络访问:不允许 SAM 帐户的匿名枚举”设置控制匿名用户枚举安全帐户管理器 (SAM) 中的帐户的能力。启用此设置可防止匿名连接的用户枚举环境中工作站上的域帐户用户名。此设置也对匿名连接增加了额外限制。
因此,在本指南定义的两种环境中,“网络访问:不允许 SAM 帐户的匿名枚举”设置被配置为“已启用”。
网络访问:不允许 SAM 帐户和共享的匿名枚举
表 3.52:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已启用 | 已启用 | 已启用 | 已启用 |
“网络访问:不允许 SAM 帐户和共享的匿名枚举”设置控制匿名用户枚举 SAM 帐户和共享的能力。启用此设置可防止匿名用户枚举环境中工作站上的域帐户用户名和网络共享名。
因此,当用户登录到本指南定义的两种环境中的网络时,“网络访问:不允许 SAM 帐户和共享的匿名枚举”设置被配置为“已启用”。
网络访问:不允许为网络身份验证储存凭据或 .NET Passports
表 3.53:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已启用 | 已启用 | 已启用 | 已启用 |
“网络访问:不允许为网络身份验证储存凭据或 .NET Passports”设置控制身份验证凭据和密码在本地系统中的存储。
Microsoft 推荐启用此设置,除非存在业务需求允许雇员在自己的工作站上储存他们的凭证。
因此,当用户登录到本指南定义的两种环境中的网络时,“网络访问:不允许为网络身份验证储存凭据或 .NET Passports”设置被配置为“已启用”。
网络访问:限制匿名访问命名管道和共享
表 3.54:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已启用 | 已启用 | 已启用 | 已启用 |
启用“网络访问:限制匿名访问命名管道和共享”设置可阻挡匿名用户访问运行 Windows XP Professional 的计算机上的命名管道和共享。此设置通过在 HKEY_LM\System\CurrentControlSet\Services\LanManServer\Parameters 注册表项内添加 RestrictNullSessAccess 并将值设为“1”,来控制对计算机中共享的空会话访问。切换此注册表值可打开或关闭空会话共享,以确定服务器服务是否限制对登录系统帐户时未经用户名和密码身份验证的客户端进行访问。
因此,当用户登录到本指南定义的两种环境中的网络时,“网络访问:限制匿名访问命名管道和共享”设置被配置为“已启用”。
网络访问:本地帐户的共享和安全模式
表 3.55:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
经典 - 本地用户以自己的身份验证 | 经典 - 本地用户以自己的身份验证 | 经典 - 本地用户以自己的身份验证 | 经典 - 本地用户以自己的身份验证 |
“网络访问:本地帐户的共享和安全模式”设置控制如何对使用本地帐户的网络登录进行身份验证。“经典”设置允许对资源访问进行精确控制。使用“经典”设置可以针对同一资源为不同的用户授予不同类型的访问权限。使用“仅来宾”设置可以同等对待所有用户。在此上下文中,所有作为“仅来宾”进行身份验证的用户,可以获得给定资源的相同级别的访问权限。启用此设置不会影响使用域帐户的网络登录和使用服务(如 Telnet 或终端服务)的交互式登录。
因此,当用户登录到本指南定义的两种环境中的网络时,“网络访问:本地帐户的共享和安全模式”设置被配置为“经典 - 本地用户以自己的身份验证”。
网络安全:不要在下次更改密码时存储 LAN Manager 的哈希值
表 3.56:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已启用 | 已启用 | 已启用 | 已启用 |
“网络安全:不要在下次更改密码时存储 LAN Manager 的哈希值”设置确定在更改密码时,是否存储新密码的 LAN Manager (LM) 哈希值。与加密性更强的 Windows NT 哈希相比,LM 哈希相对较弱,更易于遭受攻击。LAN Manager 哈希用于实现与运行 Windows NT 4.0 和更早版本以及某些应用程序的计算机的后向兼容。
因此,在本指南定义的两种环境下,“网络安全:不要在下次更改密码时存储 LAN Manager 的哈希值”设置被配置为“已启用”。
注意:启用此设置后,比较早的旧操作系统和一些第三方的应用程序可能无法运行。在启用此设置后,还需要更改所有帐户的密码。
网络安全:在超过登录时间后强制注销
表 3.57:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已启用 | 已禁用 | 已启用 | 已禁用 |
如果启用“网络安全:在超过登录时间后强制注销”设置,当客户端的登录时间超过用户帐户指定的登录时间限制时,会强制断开与 SMB 服务器的客户端会话。启用此设置可防止在非正常工作时间对工作站进行未授权使用,并阻止入侵者接管在正常登录时间内建立的现有会话。
因此,在本指南定义的两种环境下,“网络安全:在超过登录时间后强制注销”设置在台式计算机客户端上被配置为“已启用”。但是,在这两种环境中,此设置在便携式计算机客户端上被配置为“已禁用”,这是因为便携式计算机用户可能需要在不同时区或非正常工作时间进行远程工作。
注意:如果组织内未建立登录时间标准,则不适用此设置推荐。
网络安全:LAN Manager 身份验证级别
表 3.58:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
仅发送 NTLMv2 响应 | 仅发送 NTLMv2 响应 | 仅发送 NTLMv2 响应\拒绝 LM & NTLM | 仅发送 NTLMv2 响应\拒绝 LM & NTLM |
“网络安全:LAN Manager 身份验证级别”设置指定使用非 Windows 2000 和 Windows XP Professional 客户端登录网络时使用哪个质询/响应身份验证。LAN Manager 身份验证 (LM) 是最低级的安全方法,经过加密的密码很容易在网络上被侦听或破译。
NT LanManager (NTLM) 更安全一些。NTLMv2 是一种更强健的 NTLM 版本,可在 Windows XP Professional、Windows 2000 和 Windows NT 4.0 Service Pack 4 以及更新的版本中获得。安装了可选目录服务客户端的 Windows 95/98 也可以提供 NTLMv2。此设置包括下列参数选项:
| • | 发送 LM 和 NTLM 响应 |
| • | 发送 LM 和 NTLM - 若协商使用 NTLMv2 会话安全 |
| • | 仅发送 NTLM 响应 |
| • | 仅发送 NTLMv2 响应 |
| • | 仅发送 NTLMv2 响应\拒绝 LM |
| • | 仅发送 NTLMv2 响应\拒绝 LM & NTLM |
Microsoft 推荐将此参数设置为环境中所允许的最强身份验证级别。在仅运行 Windows 2000 Server 或 Windows Server 2003(带 Windows XP Professional 工作站)的环境中,此参数可设置为“仅发送 NTLMv2 响应\拒绝 LM 和 NTLM”选项,以实现最高安全性。
因此,“网络安全:LAN Manager 身份验证级别”设置的参数选项在企业客户端环境中被配置为“仅发送 NTLMv2 响应”。而在高安全级环境中,此设置的参数被配置为“仅发送 NTLMv2 响应\拒绝 LM 和 NTLM”。
网络安全:基于 NTLM SSP(包括安全 RPC)客户端的最小会话安全
表 3.59:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
没有最小 | 没有最小 | 要求 NTLMv2 会话安全 要求 128-位加密 | 要求 NTLMv2 会话安全 要求 128-位加密 |
“网络安全:基于 NTLM SSP(包括安全 RPC)客户端的最小会话安全”设置确定客户端从应用程序到应用程序通信的最低安全标准。此设置的选项包括:
| • | 要求消息的完整性 |
| • | 要求消息的保密性 |
| • | 要求 NTLMv2 会话安全 |
| • | 要求 128-位 加密 |
如果网络中的所有计算机都运行 Windows XP Professional 或 Windows Server 2003,并启用了 128 位加密,则为了实现最大的安全,可以选中所有四个设置选项。
在企业客户端环境中,“网络安全:基于 NTLM SSP(包括安全 RPC)客户端的最小会话安全”设置没有最小选项。可以选择尽可能多的选项来满足企业的安全要求。在高安全级环境中,此设置被配置为包括“要求 NTLMv2 会话安全”和“要求 128-位 加密”两个选项。
网络安全:基于 NTLM SSP(包括安全 RPC)服务器的最小会话安全
表 3.60:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
没有最小 | 没有最小 | 要求 NTLMv2 会话安全 要求 128-位加密 | 要求 NTLMv2 会话安全 要求 128-位加密 |
“网络安全:基于 NTLM SSP(包括安全 RPC)服务器的最小会话安全”设置与上一设置类似,但它会影响与应用程序通信的服务器端。此设置的选项同样包括:
| • | 要求消息的完整性 |
| • | 要求消息的保密性 |
| • | 要求 NTLMv2 会话安全 |
| • | 要求 128-位 加密 |
如果网络中的所有计算机都运行 Windows XP Professional 或 Windows Server 2003,并启用了 128 位加密,则为了实现最大的安全,可以选中所有四个选项。
在企业客户端环境中,“网络安全:基于 NTLM SSP(包括安全 RPC)服务器的最小会话安全”设置没有最小选项。可以选择尽可能多的选项来满足企业的安全要求。在高安全级环境中,此设置被配置为包括“要求 NTLMv2 会话安全”和“要求 128-位 加密”两个选项。
故障恢复控制台:允许自动系统管理级登录
表 3.61:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已禁用 | 已禁用 | 已禁用 | 已禁用 |
恢复控制台是用来从系统故障恢复正常的命令行环境。启用“故障恢复控制台:允许自动系统管理级登录”设置后,启动过程中调用此设置时会自动以管理员帐户登录到恢复控制台。Microsoft 推荐禁用此设置,以要求管理员在访问恢复控制台时输入密码。
因此,在本指南定义的两种环境中,“故障恢复控制台:允许自动系统管理级登录”设置被配置为“已禁用”。
故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问
表 3.62:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已启用 | 已启用 | 已禁用 | 已禁用 |
启用“故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问”设置将授予用户对系统中所有驱动器的完全访问权限。启用此设置也能允许用户从硬盘驱动器向软盘复制文件。通过允许用户设置下列恢复控制台环境变量,恢复控制台的 SET 命令同样提供此功能:AllowWildCards、AllowAllPaths、AllowRemovableMedia 和 NoCopyPrompt。
禁用此设置将禁止从硬盘驱动器向软盘驱动器复制文件。此外,可访问的目录和驱动器也会受到限制。
因此,在本指南定义的两种环境中,“故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问”设置在“企业客户端”环境中配置为“已启用”,以使技术人员在修复 Windows XP 安装时更容易。在“高安全级”环境下此设置被配置为“已禁用”。
关机: 允许系统在未登录前关机
表 3.63:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已禁用 | 已禁用 | 已禁用 | 已禁用 |
“关机:允许系统在未登录前关机”设置用于确定用户是否无需登录即可关闭系统。启用此设置后,Windows 登录屏幕上的“关机”命令可用。Microsoft 推荐禁用此设置,以便只有那些在系统上有凭据的用户才能关闭系统。
因此,在本指南定义的两种环境中,“关机:允许系统在未登录前关机”设置被配置为“已禁用”。
关机: 清除虚拟内存页面文件
表 3.64:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已禁用 | 已禁用 | 已启用 | 已启用 |
当内存页未被使用时,虚拟内存将使用系统页面文件将它们交换到磁盘中。启用“关机:清除虚拟内存页面文件”设置后,系统关机时将清除虚拟内存中所有敏感信息。这可以防止那些未经授权而能直接访问页面文件的用户在计算机关机时查看信息。
只有当您环境中的计算机上存有极其敏感的数据时,Microsoft 才推荐启用此设置。启用此设置将造成关机时间明显延长,这可能会让用户不快。
因此,在本指南定义的两种环境中,“关机:清除虚拟内存页面文件”设置在“企业客户端”环境中被配置为“已禁用”。但是,此设置在“高安全级”环境中配置为“启用”。
系统加密:使用 FIPS 兼容的算法来加密、哈希和签名
表 3.65:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已禁用 | 已禁用 | 已禁用 | 已禁用 |
“系统加密:使用 FIPS 兼容的算法来加密、哈希和签名”设置用于确定 TLS/SSL 安全提供程序是否使用 FIPS 兼容的算法来加密、哈希和签名。与 FIPS 兼容的算法符合美国政府的标准。FIPS Publication 197 是一种用于保护电子数据的加密算法。AES 算法使用 128、192 和 256 位的密钥,并以 128 位的数据块解密数据。
启用此设置可以使三重数据加密标准 (3DES) 进程使用 EFS 加密文件,EFS 是一种更强的加密形式。
因此,在本指南定义的两种环境中,“系统加密:使用 FIPS 兼容的算法来加密、哈希和签名”设置被配置为“已禁用”。
注意:启用此设置后,计算机的性能将降低,因为 3DES 进程需对文件中的每个数据块执行三次。只有当您的组织需要兼容 FIPS 时,才应启用此设置。
系统对象:由管理员 (Administrators) 组成员所创建的对象默认所有者
表 3.66:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
对象创建者 | 对象创建者 | 对象创建者 | 对象创建者 |
“系统对象:由管理员 (Administrators) 组成员所创建的对象默认所有者”设置用于确定新的系统对象的默认所有者是“Administrators”组还是“Object Creator”组。为了提供更大的可说明性,Microsoft 推荐设置“Object Creator”组成员为新系统对象的默认所有者。
因此,在本指南定义的两种环境中,“系统对象:由管理员 (Administrators) 组成员所创建的对象默认所有者”设置被配置为“Object Creator”组。
系统设置:为软件限制策略对 Windows 可执行文件使用证书规则
表 3.67:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已禁用 | 已禁用 | 已禁用 | 已禁用 |
“系统设置:为软件限制策略对 Windows 可执行文件使用证书规则”设置用于确定在用户或进程试图运行具有 .exe 文件扩展名的软件时是否处理数字证书。此安全设置用于启用或禁用证书规则,证书规则是一种软件限制策略规则。在软件限制策略下,您可以创建一种证书规则以允许或禁止运行由 Microsoft Authenticode 签名的软件,软件是否能够运行将根据与软件相关的数字证书确定。为了使证书规则生效,必须启用此安全设置。
启用证书规则设置后,软件限制策略将检查证书吊销列表 (CRL),以确保软件证书和签名的合法性。这也会造成签名程序启动时系统性能的下降。
要禁用此功能,请在“受信任颁发者属性”对话框中清除“颁发者”和“时间戳”复选框。“受信任颁发者属性”对话框位于“组策略对象编辑器”中,后者位于如下位置:
计算机配置\Windows 设置\安全设置\软件限制策略\信任的发布商
Microsoft 建议只有在使用了软件限制证书规则的情况下,才启用此设置。有关软件限制设置的详细信息,请参见模块 6:“Windows XP 客户端的软件限制策略”。
因此,在本指南定义的两种环境中,“系统设置:为软件限制策略对 Windows 可执行文件使用证书规则”设置被配置为“已禁用”。
事件日志安全设置
“事件日志”设置用于记录系统事件。安全日志中包含审核事件。组策略的“事件日志”容器用于定义与应用程序、安全性和系统事件日志相关的属性,例如日志大小的最大值、每个日志的访问权限、以及保持期设置和方法。应用程序、安全性和系统事件日志的设置在 Windows XP 安全模板中配置,适用于 OU 内的所有工作站。
在“组策略对象编辑器”的如下位置配置“事件日志”设置:
计算机配置\Windows 设置\安全设置\事件日志
在忙碌的系统上,内存中零碎的日志文件会造成严重的性能问题。基于内存映射文件的理论极限,建议您将系统中的日志配置为替事件日志记录留出 1 GB 的空间。此外,用于配置事件日志的事件查看器用户界面 (UI) 以及组策略对象编辑器都允许您为每个日志指定最大为 4 GB 的容量。但是,Microsoft 发现将大多数服务器上的所有事件记录加起来,其实际日志文件大小的限制大约为 300 MB。
因此,Windows XP Professional 中应用程序、安全性和系统事件日志的组合大小不应超过 300 MB。
这一组合日志大小限制对某些 Microsoft 客户造成了问题,但如果要解决这些问题,需要对记录系统事件的体系结构进行根本性的改变才行。Microsoft 正努力工作,希望通过从头开始重写事件记录系统,在下一版本的 Windows 中解决这些问题。
为特定客户端确定最佳日志大小没有简单的公式可用,但您可以通过考虑上述信息,并理解在每个日志中记录一个事件平均需要大约 500 字节以及您为每个日志指定的事件记录保持期,就能确定合理的大小。由于每个日志文件的大小必须是 64 KB 的倍数,对企业内每个日志每天生成的平均事件数进行估计后,您就可以为客户端上的每个日志文件确定一个合适的大小。
例如,如果客户端平均每天在其“安全日志”中生成 1200 个事件,而您希望使数据在至少 4 周时间内随时保持可用,那么可根据下面的公式将日志大小配置为大约 16.8 MB:(500 字节 * 1200 事件/天 * 28 天 = 16,800,000 字节)。在配置此日志大小后的四周内,不时检查一下客户端以确认在这段时间内该日志是否能够充分容纳事件。事件日志大小和日志环绕的定义应符合企业安全计划的业务和安全要求。
有关确定最佳日志大小的进一步信息,请参阅配套指南《Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP》(英文)中的模块 6:“Event Log”。
表 3.68:Windows XP 计算机的安全事件日志设置
| UI 中的设置名称 | 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
应用程序日志大小最大值 | 10240 KB | 10240 KB | 10240 KB | 10240 KB |
安全日志最大值 | 10240 KB | 10240 KB | 20480 KB | 20480 KB |
系统日志大小最大值 | 10240 KB | 10240 KB | 10240 KB | 10240 KB |
限制本地来宾组访问应用程序日志 | 已启用 | 已启用 | 已启用 | 已启用 |
限制本地来宾组访问安全日志 | 已启用 | 已启用 | 已启用 | 已启用 |
限制本地来宾组访问系统日志 | 已启用 | 已启用 | 已启用 | 已启用 |
保留应用程序日志 | 没有定义 | 没有定义 | 没有定义 | 没有定义 |
保留安全日志 | 没有定义 | 没有定义 | 没有定义 | 没有定义 |
保留系统日志 | 没有定义 | 没有定义 | 没有定义 | 没有定义 |
应用程序日志保留方法 | 按需要 | 按需要 | 按需要 | 按需要 |
安全日志的保留方法 | 按需要 | 按需要 | 按需要 | 按需要 |
系统日志保留方法 | 按需要 | 按需要 | 按需要 | 按需要 |
应用程序日志大小最大值
表 3.69:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
10240 KB | 10240 KB | 10240 KB | 10240 KB |
“应用程序日志大小最大值”设置用于指定应用程序日志的存储容量。在此设置中若将日志大小配置得过小,会导致事件日志迅速填满,迫使管理员频繁对记录存档,并清除日志。此设置可配置为“64 KB”到“4,194,240 KB”。由于日志文件的大小必须为 64 KB 的倍数,如果输入非 64 KB 倍数的值,将自动调整为 64 KB 的倍数。Microsoft 建议您为此设置配置这样一种值:它在为与日志应用程序相关的事件提供足够空间的同时也不会消耗大量的磁盘空间。
因此,在本指南定义的两种环境中,“应用程序日志大小最大值”设置被配置为“10,240 KB”。
安全日志最大值
表 3.70:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
10240 KB | 10240 KB | 20480 KB | 20480 KB |
“安全日志最大值”设置用于指定安全日志的存储容量。在此设置中若将日志大小配置得过小,会导致事件日志迅速填满,迫使管理员频繁对记录存档,并清除日志。此设置可配置为“64 KB”到“4,194,240 KB”。
Microsoft 建议您为此设置配置这样一种值:它在为与安全日志相关的事件提供足够空间的同时也不会消耗大量的磁盘空间。请监视日志中事件的数目,并按需调整日志大小以满足企业的需要。在本指南中,“高安全级”环境下的安全日志大小将增加,以便为推荐的额外审核设置提供空间。
因此,在“企业客户端”环境中,“安全日志最大值”设置被配置为“10,240 KB”,而在“高安全级”环境中被配置为“20,480 KB”。
系统日志大小最大值
表 3.71:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
10240 KB | 10240 KB | 10240 KB | 10240 KB |
“系统日志大小最大值”设置用于指定系统日志的存储容量。在此设置中若将日志大小配置得过小,会导致事件日志迅速填满,迫使管理员频繁对记录存档,并清除日志。此设置可配置为“64 KB”到“4,194,240 KB”。Microsoft 建议您为此设置配置这样一种值:它在为与系统日志相关的事件提供足够空间的同时也不会消耗大量的磁盘空间。
因此,在本指南定义的两种环境中,“系统日志大小最大值”设置被配置为“10,240 KB”。
限制本地来宾组访问应用程序日志
表 3.72:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已启用 | 已启用 | 已启用 | 已启用 |
Windows XP Professional 的默认安装允许来宾和空登录名查看事件日志。虽然在默认设置中来宾不可以访问安全日志,但拥有“管理审核日志”用户权限的用户可以查看它。“限制本地来宾组访问应用程序日志”设置将防止来宾和空登录名查看任何事件日志。防止未经身份验证的用户查看应用程序事件日志是最佳的安全操作。
因此,在本指南定义的两种环境中,“限制本地来宾组访问应用程序日志”设置被配置为“已启用”。
限制本地来宾组访问安全日志
表 3.73:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已启用 | 已启用 | 已启用 | 已启用 |
Windows XP Professional 的默认安装允许来宾和空登录名查看事件日志。虽然在默认设置中来宾不可以访问安全日志,但拥有“管理审核日志”用户权限的用户可以查看它。“限制本地来宾组访问安全日志”设置将防止来宾和空登录名查看任何事件日志。防止未经身份验证的用户查看安全事件日志是最佳的安全操作。
因此,在本指南定义的两种环境中,“限制本地来宾组访问安全日志”设置被配置为“已启用”。
限制本地来宾组访问系统日志
表 3.74:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
已启用 | 已启用 | 已启用 | 已启用 |
Windows XP Professional 的默认安装允许来宾和空登录名查看事件日志。虽然在默认设置中来宾不可以访问安全日志,但拥有“管理审核日志”用户权限的用户可以查看它。“限制本地来宾组访问系统日志”设置将防止来宾和空登录访问任何事件日志。防止未经身份验证的用户查看系统事件日志是最佳的安全操作。
因此,在本指南定义的两种环境中,“限制本地来宾组访问系统日志”设置被配置为“已启用”。
保留应用程序日志
表 3.75:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
没有定义 | 没有定义 | 没有定义 | 没有定义 |
“保留应用程序日志”设置用于控制应用程序事件日志在被覆盖前要保留多长时间。此设置的值可以从“1 天”到“365 天”。为此设置所配置的值应能将应用程序事件日志保留足够长的时间,以对日志进行充分的监视和分析。
此设置应与每个事件日志的保留方法设置结合使用。将应用程序日志的保留方法配置为“按需要”后,“保留应用程序日志”设置将自动设为“没有定义”。
因此,在本指南定义的两种环境中,“保留应用程序日志”设置默认情况下配置为“没有定义”,因为在本指南中“应用程序日志保留方法”设置被配置为“按需要”。
保留安全日志
表 3.76:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
没有定义 | 没有定义 | 没有定义 | 没有定义 |
“保留安全日志”设置用于控制安全事件日志在被覆盖前要保留多长时间。此设置的值可以从“1 天”到“365 天”。为此设置所配置的值应能将安全事件日志保留足够长的时间,以对日志进行充分的监视和分析。
此设置应与每个事件日志的保留方法设置结合使用。将安全日志的保留方法配置为“按需要”后,“保留安全日志”设置将自动设为“没有定义”。
因此,在本指南定义的两种环境中,“保留安全日志”设置默认情况下配置为“没有定义”,因为在本指南中“安全日志的保留方法”设置被配置为“按需要”。
保留系统日志
表 3.77:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
没有定义 | 没有定义 | 没有定义 | 没有定义 |
“保留系统日志”设置用于控制系统事件日志在被覆盖前要保留多长时间。此设置的值可以从“1 天”到“365 天”。为此设置所配置的值应能将系统事件日志保留足够长的时间,以对日志进行充分的监视和分析。
此设置应与每个事件日志的保留方法设置结合使用。将系统日志的保留方法配置为“按需要”后,“保留系统日志”设置将自动设为“没有定义”。
因此,在本指南定义的两种环境中,“保留系统日志”设置默认情况下配置为“没有定义”,因为本指南中“系统日志保留方法”设置被配置为“按需要”。
应用程序日志保留方法
表 3.78:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
按需要 | 按需要 | 按需要 | 按需要 |
“应用程序日志保留方法”设置用于确定当此日志的大小达到其最大值时,操作系统如何处理其中的应用程序事件。此设置可配置为在特定天数后覆盖应用程序事件,在日志满后按需要操作或手动清除。
前两个设置选项允许最新的应用程序事件按需要覆盖日志中最早的事件。如果您发现希望保留的事件数过快地被新事件覆盖,请通过更多地在其他位置保存事件或增加应用程序日志大小的最大值来调整日志管理策略。
因此,在本指南定义的两种环境中,“应用程序日志保留方法”设置被配置为“按需要”。
安全日志的保留方法
表 3.79:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
按需要 | 按需要 | 按需要 | 按需要 |
“安全日志的保留方法”设置用于确定当此日志的大小达到其最大值时,操作系统如何处理其中的安全事件。此设置可配置为在特定天数后覆盖安全事件,在日志满后按需要操作或手动清除。
前两个设置选项允许最新的应用程序事件按需要覆盖日志中最早的事件。如果您发现希望保留的事件数过快地被新事件覆盖,请通过更多地在其他位置保存事件或增加应用程序日志大小的最大值来调整日志管理策略。
因此,在本指南定义的两种环境中,“安全日志的保留方法”设置被配置为“按需要”。
系统日志保留方法
表 3.80:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
按需要 | 按需要 | 按需要 | 按需要 |
“系统日志保留方法”设置用于确定当此日志的大小达到其最大值时,操作系统如何处理其中的系统事件。此设置可配置为在特定天数后覆盖系统事件日志,在日志满后按需要操作或手动清除。
前两个设置选项允许最新的应用程序事件按需要覆盖日志中最早的事件。如果您发现希望保留的事件数过快地被新事件覆盖,请通过更多地在其他位置保存事件或增加应用程序日志大小的最大值来调整日志管理策略。
在本指南定义的两种环境中,“系统日志保留方法”设置被配置为“按需要”。
受限制的组
“受限制的组”设置允许您管理 Windows XP Professional 中的组成员身份。请按照企业的需要确定您需要限制的组。为了说明的方便,“高安全级”环境中的“Power Users”组是受限制的。尽管“Power Users”组的成员比“Administrators”组的成员的系统访问权限要低,但“Power Users”组成员依然可以有较大权限来访问系统。如果您的组织中使用了“Power Users”组,则应仔细地控制该组的成员,并且不要实现用于“受限制的组”设置的指导。
“受限制的组”设置可在 Windows XP Professonal 的“组策略对象编辑器”中的如下位置进行配置:
计算机配置\Windows 设置\安全设置\受限制的组
通过将需要的组直接添加到 GPO 命名空间的“受限制的组”节点上,管理员可以为 GPO 配置受限制的组。
如果某个组受限制,您可以定义该组的成员以及它所属的其他组。不指定这些组成员将使该组完全受限。只有通过使用安全模板才能使组受限。
| • | 查看或修改“受限制的组”设置:
|
对于所列出的组来说,将添加当前不是所列组成员的任何组或用户,而当前已是所列组成员的所有用户或组将从安全模板中删除。
在本指南中,为了完全限制“Power Users”组,此组的所有用户和组成员的设置都将删除。对于组织中不准备使用的内置组(例如“Backup Operators”组),Microsoft 建议您限制它。
在“企业客户端”环境下此选项没有推荐设置。但在本指南的“高安全级”环境中,Microsoft 限制了“Power Users”组,因为在运行 Windows XP 的计算机上这个组拥有几乎与管理员相等的权限。
系统服务
在安装 Windows XP Professional 的同时会创建默认的系统服务,并将它们配置为在系统启动时运行。在本指南定义的环境中,这些系统服务中有很多不需要运行。
对于 Windows XP Professional,还有额外的可选服务(例如 IIS),在操作系统的默认安装中并不会安装它们。通过使用“添加/删除程序”或创建 Windows XP Professional 的自定义自动安装,您可以在现有系统中添加这些可选服务。
重要:请记住,任何服务或应用程序都是潜在的受攻击点。因此,应该禁用或删除环境中任何不需要的服务或可执行文件。
“系统服务”设置可在 Windows XP Professonal 的“组策略对象编辑器”中如下位置进行配置:
计算机配置\Windows 设置\安全设置\系统服务
管理员可以设置系统服务的启动模式,并更改每个服务的安全设置。
| • | 查看“系统服务”设置:
|
本节针对本指南所定义的两种环境详细说明了所描述的系统服务。在《Windwos XP Security Guide Settings》Excel 工作手册(英文)中同样可以找到下表所描述的设置的摘要。有关默认设置的信息和本节所讨论的每个设置的详细解释,请参阅配套指南《Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP》(英文),可在如下位置找到该指南:http://go.microsoft.com/fwlink/?LinkId=15159.
表 3.81:Windows XP 计算机的系统服务设置
| UI 中的设置名称 | 服务名 | 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
Alerter | Alerter | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
Background Intelligent Transfer Service | BITS | 手动 | 手动 | 已禁用 | 已禁用 |
ClipBook | ClipSrv | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
Fax Service | Fax | 手动 | 手动 | 已禁用 | 已禁用 |
FTP Publishing Service | MSFtpsvr | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
IIS Admin Service | IISADMIN | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
Messenger | Messenger | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
NetMeeting Remote Desktop Sharing | mnmsrvc | 手动 | 手动 | 已禁用 | 已禁用 |
Network DDE | NetDDE | 手动 | 手动 | 已禁用 | 已禁用 |
Network DDE DSDM | NetDDEdsdm | 手动 | 手动 | 已禁用 | 已禁用 |
Remote Registry Service | RemoteRegistry | 自动 | 自动 | 已禁用 | 已禁用 |
Telnet | TlntSvr | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
World Wide Web Publishing Service | W3SVC | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
Alerter
表 3.82:设置
| 服务名 | 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
Alerter | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
“Alerter”服务可将管理警报通知给选中的用户和计算机。请使用 Alerter 服务将警报消息发送给网络中的特定用户。禁用此服务将导致使用管理警报的程序无法接收到警报。
在本指南定义的两种环境中,为了保证更好的安全性,Alerter 服务在这两种环境中都被配置为“已禁用”,这可以防止通过网络发送信息。
注意:禁用此服务会破坏不间断电源 (UPS) 警报消息系统的功能。
Background Intelligent Transfer Service
表 3.83:设置
| 服务名 | 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
BITS | 手动 | 手动 | 已禁用 | 已禁用 |
“Background Intelligent Transfer Service”(BITS) 是一种后台文件传输机制和队列管理器。BITS 用于在客户端和 HTTP 服务器之间异步传输文件。提交 BITS 服务请求后,文件的传输将使用空闲的网络带宽,这样,其他的网络相关活动(例如浏览)将不受影响。
象 Background Intelligent Transfer Service 这样的自动网络服务为攻击者提供了利用这些服务的可能。
因此,在“企业客户端”环境中,Background Intelligent Transfer Service 被配置为“手动”,而在“高安全级”环境中则被配置为“已禁用”。
注意:禁用此服务会使大多数修补管理解决方案不可用,包括“软件更新服务”和“Windows 自动更新”。如果禁用此服务,则必须在环境中的每台台式计算机和便携式计算机上都手动执行修补管理,或者为环境中要安装修补程序的用户提供媒体。
ClipBook
表 3.84:设置
| 服务名 | 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
ClipSrv | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
“ClipBook”服务允许“剪贴薄查看器”创建并共享可供远程计算机查看的数据“页”。此服务依赖“Network Dynamic Data Exchange”(NetDDE) 服务创建其他计算机可以连接的实际文件共享,而“Clipbook”应用程序和服务则允许您创建要共享的数据页。任何显式依赖于此服务的服务都将失败。但 clipbrd.exe 可用来查看本地的“剪贴板”,这是用户选中文本后单击“编辑”菜单中的“复制”或按下 CTRL+C 后保存数据的位置。
在本指南定义的两种环境中,为了保证更好的安全性,“ClipBook”服务被配置为“已禁用”。
Fax Service
表 3.85:设置
| 服务名 | 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
Fax | 手动 | 手动 | 已禁用 | 已禁用 |
“Fax Service”服务是一种兼容“Telephony API”(TAPI) 的服务,用于为环境中的客户端提供传真功能。Fax Service 允许用户使用本地传真设备或共享的网络传真设备从他们的桌面应用程序收发传真。
因此,在“企业客户端”中,“传真服务”被配置为“手动”。而在“高安全级”环境中,为了保证更好的安全性,此服务被设为“已禁用”。
FTP Publishing Service
表 3.86:设置
| 服务名 | 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
MSFtpsvr | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
“FTP Publishing Service”通过 IIS 管理单元提供连接和管理。Microsoft 建议您不要在环境中的 Windows XP 客户端上安装 FTP Publishing Service,除非确实存在需要此服务的业务。
因此,在本指南定义的两种环境中,“FTP 发布服务”被配置为“已禁用”。
IIS Admin Service
表 3.87:设置
| 服务名 | 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
IISADMIN | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
“ IIS Admin Service”允许对 IIS 组件(例如 FTP、应用程序池、网站和 Web 服务扩展)进行管理。禁用此服务后,用户将无法运行计算机上的 Web 或 FTP 站点。在大多数 Windows XP 客户端计算机上都不需要此功能。
因此,在本指南定义的两种环境中,IIS Admin Service 被配置为“已禁用”。
Messenger
表 3.88:设置
| 服务名 | 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
Messenger | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
“Messenger”服务用于在客户端和服务器间传输和发送“Alerter”服务的消息。此服务与 Windows Messenger 没有关系,它并不是 Windows XP 客户端计算机所必需的服务。
因此,在本指南定义的两种环境中,“Messenger”服务被配置为“已禁用”。
NetMeeting Remote Desktop Sharing
表 3.89:设置
| 服务名 | 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
mnmsrvc | 手动 | 手动 | 已禁用 | 已禁用 |
“NetMeeting Remote Desktop Sharing”服务允许未经授权的用户使用 Microsoft NetMeeting® 通过企业 Intranet 远程访问客户端。此服务必须在 NetMeeting 中显式启用。您也可以在 NetMeeting 中禁用此服务或通过 Windows 任务栏图标关闭此服务。Microsoft 建议禁用此服务以防止用户远程访问您环境中的客户端。
因此,为了保证更好的安全性,在“高安全级”环境中 NetMeeting Remote Desktop Sharing 服务被配置为“已禁用”。而在“企业客户端”环境中此服务保留默认的“手动”。
Network DDE
表 3.90:设置
| 服务名 | 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
NetDDE | 手动 | 手动 | 已禁用 | 已禁用 |
“Network DDE”服务为同一计算机或不同计算机上运行的“动态数据交换”(DDE) 程序提供网络传输和安全性。攻击者可以利用 Network DDE 服务和其他类似的自动网络服务。
因此,为了保证更好的安全性,在“高安全级”环境中“Network DDE”设置被配置为“已禁用”。而在“企业客户端”环境中此服务保留默认的“手动”。
Network DDE DSDM
表 3.91:设置
| 服务名 | 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
NetDDEdsdm | 手动 | 手动 | 已禁用 | 已禁用 |
“Network DDE DSDM”服务用于管理 DDE 网络共享。此服务仅供 Network DDE 服务管理共享 DDE 会话之用。攻击者可以利用 Network DDE DSDM。
因此,为了保证更好的安全性,在“高安全级”环境下,Network DDE DSDM 服务被配置为“已禁用”。而在“企业客户端”环境中此服务保留默认的“手动”。
Remote Registry Service
表 3.92:设置
| 服务名 | 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
RemoteRegistry | 自动 | 自动 | 已禁用 | 已禁用 |
“Remote Registry Service”允许远程用户修改您计算机上的注册表设置 — 只要他们拥有所需的权限。此服务主要由远程管理员和性能计数器使用。禁用“Remote Registry 服务”将修改注册表的能力限制于本地计算机,并且任何明确依赖于此服务的服务都将失败。在本指南定义的“高安全级”环境中,此设置仅用于阻止对注册表的访问。
因此,在“企业客户端”环境中,Remote Registry 服务被配置为“自动”,而在“高安全级”环境中则配置为“已禁用”。
注意:禁用此服务后,大多数修补管理解决方案会不可用,包括“软件更新服务”和“Windows 自动更新”。如果禁用此服务,则必须在环境中的每台台式计算机和便携式计算机上都手动执行修补管理,或者为环境中要安装修补程序的用户提供媒体。
Telnet
表 3.93:设置
| 服务名 | 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
TlntSvr | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
Windows 的“Telnet”服务可为 Telnet 客户端提供 ASCII 终端会话。此服务支持两种身份验证和以下四种终端:ANSI、VT-100、VT-52 和 VTNT。但在大多数 Windows XP 客户端上,此服务并不是必需的。
因此,在本指南定义的两种环境中,“Telnet”服务被配置为“已禁用”。
World Wide Web Publishing Service
表 3.94:设置
| 服务名 | 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
W3SVC | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
“World Wide Web Publishing Service”通过 IIS 管理单元提供 Web 连接和管理。但在大多数 Windows XP 客户端上此服务并不是必需的。
因此,在本指南定义的两种环境中,World Wide Web Publishing Service 被配置为“已禁用”。
保护文件系统
在每个新版本的 Microsoft Windows® 中 NTFS 文件系统都会得到改进。NTFS 的默认权限对大多数组织而言都已够用。本节所讨论的设置是针对在本指南定义的“高安全级”环境中使用便携式计算机和台式计算机的组织。
文件系统的安全设置可以使用“组策略”修改。“文件系统”设置可在“组策略对象编辑器”的如下位置进行配置:
计算机配置\Windows 设置\安全设置\文件系统
注意:将对默认文件系统安全设置的任何更改部署到大型组织中之前,都应在实验室环境中进行彻底的测试。在某些情况下,由于文件权限的变动,受影响的计算机不得不进行彻底重建。
高级权限
“权限”对话框初始出现时只提供部分权限控制,您可以通过单击“高级”按钮设置更多的文件权限控制。下表列举了这些高级权限。
表 3.95:高级文件权限和描述
| 高级权限 | 说明 |
遍历文件夹/执行 | “遍历文件夹”权限可允许或拒绝用户在整个文件夹中移动以到达其他文件或文件夹的请求,而无论用户有没有遍历文件夹的权限(此权限只适用于文件夹)。 |
列出文件夹/读取数据 | “列出文件夹”权限可允许或拒绝用户查看指定文件夹内文件名和子文件夹名的请求。此权限只影响此文件夹的内容,不影响是否列出正在设置权限的文件夹。此权限只适用于文件夹。“读取数据”权限可允许或拒绝用户查看文件中的数据(此权限只适用于文件)。 |
读取属性 | “读取属性”权限可允许或拒绝用户查看文件或文件夹属性(例如只读和隐藏)的请求。属性由 NTFS 定义。 |
读取扩展属性 | “读取扩展属性”权限可允许或拒绝用户查看文件或文件夹扩展属性的请求。扩展属性由程序定义,可能因程序而异。 |
创建文件/写入数据 | “创建文件”权限可允许或拒绝用户在文件夹内创建文件的请求(此权限仅适用于文件夹)。“写入数据”权限可允许或拒绝用户更改文件和覆盖现有内容的请求(此权限只适用于文件)。 |
创建文件夹/追加数据 | “创建文件夹”权限可允许或拒绝用户在指定文件夹内创建文件夹的请求(此权限仅适用于文件夹)。“追加数据”权限可允许或拒绝用户更改文件末尾,但不更改、删除或覆盖现有数据的请求(此权限仅适用于文件)。 |
写入属性 | “写入属性”权限可允许或拒绝用户更改文件或文件夹属性(例如只读或隐藏)的请求。属性由 NTFS 定义。 |
写入扩展属性 | “写入扩展属性”权限可允许或拒绝用户更改文件或文件夹扩展属性的请求。扩展属性由程序定义,可能因程序而异。 |
删除子文件夹和文件 | “删除子文件夹和文件”权限可允许或拒绝用户删除子文件夹和文件的请求,而不论是否授予了对子文件夹或文件的“删除”权限(此权限适用于文件夹)。 |
删除 | “删除”权限可允许或拒绝用户删除文件或文件夹的请求。如果您没有对文件或文件夹的“删除”权限,但是在父文件夹中已被授予“删除子文件夹和文件”权限,那么您仍然可以删除它们。 |
读取权限 | “读取权限”权限可允许或拒绝用户读取文件或文件夹权限(例如“完全控制”、“读取”和“写入”)的请求。 |
更改权限 | “更改权限”可允许或拒绝用户更改文件或文件夹权限(例如“完全控制”、“读取”和“写入”)的请求。 |
取得所有权 | “取得所有权”权限可允许或拒绝用户取得文件或文件夹所有权的请求。文件或文件夹的所有者始终可以更改其权限,而不论用于保护该文件或文件夹的现有权限如何。 |
下面三个附加术语用于说明应用于文件和文件夹的权限的继承关系。
| • | “传播”是指将可继承的权限传播给所有子文件夹和文件。只要子对象没有设置为不接受权限继承,那么,任何子对象都会继承父对象的安全设置。如果存在冲突,子对象上的明确权限将覆盖从父对象继承的权限。 |
| • | “替换”是指用可继承权限替换所有子文件夹和文件上的现有权限。父对象的权限项将取代子对象上的任何安全设置,而不论子对象上的设置如何。子对象将拥有与父对象相同的访问控制项。 |
| • | “忽略”是指不允许替换文件或文件夹(或项)上的权限。如果您不希望为对象或其任何子对象配置或分析安全性,请使用此设置选项。 |
文件系统设置
下面的文件系统设置约定的逻辑是删除“Everyone”组的文件和文件夹权限,然后将该权限授予本地“Users”组。您也可以按照相同的策略来限制“Power User”组。但如果通过“组策略”来配置和应用“受限制的组”设置,这将更容易。
Microsoft 建议删除“Everyone”组的权限,因为该组中包含的用户的帐户和密码可能未经身份验证。
表 3.96:文件系统安全设置
| 文件夹或文件 | 用户组 | 推荐权限 | 适用于 | 继承方法 |
%AllUsersProfile%(含有所有用户桌面和配置文件属性的文件夹,通常位于 C:\Documents and Settings\All Users 下。) | Administrators SYSTEM Users | 完全控制 完全控制 读取和执行 | 文件夹、子文件夹和文件 文件夹、子文件夹和文件 文件夹、子文件夹和文件 | 传播 |
%AllUsersProfile%\Application Data\Microsoft(包含 Microsoft 应用程序状态数据。) | Administrators SYSTEM Users Power Users | 完全控制 完全控制 读取和执行 遍历文件夹、执行文件、列出文件夹、读取数据、读取属性、读取扩展属性、创建文件、写入数据、创建文件夹、追加数据、写入属性、写入扩展属性、删除子文件夹和文件、删除、读取权限 | 文件夹、子文件夹和文件 文件夹、子文件夹和文件 文件夹、子文件夹和文件 文件夹、子文件夹和文件 | 替换 |
%AllUsersProfile%\Application Data\Microsoft\Crypto\DSS\MachineKeys | Administrators SYSTEM Users | 完全控制 完全控制 列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限 | 文件夹、子文件夹和文件 文件夹、子文件夹和文件 仅适用于文件夹 | 替换 |
%AllUsersProfile%\Application Data\Microsoft\Crypto\RSA\MachineKeys | Administrators SYSTEM Users | 完全控制 完全控制 列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限 | 文件夹、子文件夹和文件 文件夹、子文件夹和文件 仅适用于文件夹 | 替换 |
%AllUsersProfile%\Application Data\Microsoft\HTML Help | Administrators SYSTEM Users Power Users | 完全控制 完全控制 读取和执行 修改 | 文件夹、子文件夹和文件 文件夹、子文件夹和文件 文件夹、子文件夹和文件 文件夹、子文件夹和文件 | 替换 |
%AllUsersProfile%\Application Data\Microsoft\Media Index | Administrators SYSTEM Users Users Users Power Users | 完全控制 完全控制 创建文件、创建文件夹、写入属性、写入扩展属性、读取权限 写入 读取和执行 遍历文件夹、执行文件、列出文件夹、读取数据、读取属性、读取扩展属性、创建文件、写入数据、创建文件夹、追加数据、写入属性、写入扩展属性、删除子文件夹和文件、删除、读取权限 | 文件夹、子文件夹和文件 文件夹、子文件夹和文件 仅适用于文件夹 仅适用于子文件夹和文件 文件夹、子文件夹和文件 文件夹、子文件夹和文件 | 替换 |
%AllUsersProfile%\DRM | 忽略 | 忽略 | ||
%SystemDrive%(安装 Windows XP 的驱动器,它包含重要的系统启动和配置文件。) | Administrators CREATOR OWNER SYSTEM Users | 完全控制 完全控制 完全控制 读取和执行 | 文件夹、子文件夹和文件 仅适用于子文件夹和文件 文件夹、子文件夹和文件 文件夹、子文件夹和文件 | 传播 |
%SystemDrive%\Documents and Settings(包含用户和默认配置文件的文件夹。) | Administrators SYSTEM Users Power Users | 完全控制 完全控制 读取和执行 读取和执行 | 文件夹、子文件夹和文件 文件夹、子文件夹和文件 文件夹、子文件夹和文件 文件夹、子文件夹和文件 | 传播 |
%SystemDrive%\Documents and Settings\Default User(对首次登录的用户包含默认桌面和配置文件属性的文件夹。) | Administrators SYSTEM Users Power Users | 完全控制 完全控制 读取和执行 读取和执行 | 文件夹、子文件夹和文件 文件夹、子文件夹和文件 文件夹、子文件夹和文件 文件夹、子文件夹和文件 | 替换 |
%SystemRoot%\Installer | Administrators SYSTEM Users | 完全控制 完全控制 读取和执行 | 文件夹、子文件夹和文件 文件夹、子文件夹和文件 文件夹、子文件夹和文件 | 替换 |
%SystemRoot%\Registration(包含供 COM+ 应用程序读取的组件负载平衡 (CLB) 注册文件的文件夹。) | Administrators SYSTEM Users | 完全控制 完全控制 读取 | 文件夹和文件 文件夹和文件 文件夹和文件 | 替换 |
摘要
本模块详细介绍了主要的安全设置,并为每种设置提供了推荐的配置,以便保护在本指南定义的两种环境中运行 Windows XP Professional 的计算机。在考虑您所在组织的安全策略时,一定要对安全性和用户效率进行权衡。为了让用户免受恶意代码和攻击者的攻击,必须在保证足够的计算机安全性的同时保证用户能够继续完成工作,而不要让过于严厉的安全策略影响他们的工作。
其他信息
有关维护 Windows XP Professional 安全性的详细信息,请参阅:http://www.microsoft.com/windowsxp/security/(英文)
有关 Windows XP 新安全功能的详细信息,请在下面的网站上参阅“What’s New in Security for Windows XP Professional and Windows XP Home Edition”(英文):http://www.microsoft.com/windowsxp/pro/techinfo/planning/security/whatsnew/default.asp
有关安全通道的详细信息,请参阅《Windows 2000 Magazine》中的“Secure Channels in NT 4.0”(英文):http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnntmag00/html/secure.asp
有关 Windows 操作系统安全性的详细信息,请参阅《Microsoft Windows Security Resource Kit》(英文):
有关 Windows XP 的“加密文件系统”功能的详细信息,请参阅“Encrypt Your Data to Keep It Safe”(英文):http://www.microsoft.com/windowsxp/pro/using/howto/security/encryptdata.asp