分类:
2008-09-09 15:22:49
从网络访问此计算机
表 3.13:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高级台式计算机 | 高级便携式计算机 |
| Administrators,Users | Administrators,Users | Administrators,Users | Administrators,Users |
“从网络访问此计算机”用户权限用于确定允许哪些用户和组通过网络连接到计算机。此用户权限是许多网络所必需的,这些包括基于消息块 (SMB) 的、网络基本输入/输出系统 (NetBIOS)、通用 Internet 文件系统 (CIFS)、超文本传输协议 (HTTP) 和组件对象模型 (COM+)。
一些程序会自动将“Everyone”组添加到此用户权限的用户帐户列表中。这个组允许授权用户以及其他所有来宾和匿名用户都访问您的网络上的计算机。如果将此用户权限限制为管理员和用户,将阻止本地安装的应用程序或登录用户尝试添加用户或组,从而防止出现上述情况。
因此,在本指南中定义的两种环境中,“从网络访问此计算机”用户权限仅限制于“Administrators”和“Users”组。
通过终端服务允许登录
表 3.14:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
| Administrators | Administrators | No One | No One |
“通过终端服务允许登录”用户权限用于确定哪些用户或组有权作为终端服务客户端进行登录。远程桌面用户需要此权限。如果将“远程协助”用作企业技术支持策略的一部分,请创建一个组,并通过组策略向该组授予此权限。如果组织中的技术支持部门不使用远程协助,则仅向“Administrators”组授予此权限。
如果将此权限限制于“Administrators”组(可能还包括“Help Desk”技术人员组),将防止非法用户通过 XP Professional 中新的“远程协助”功能从网络访问计算机。
因此,在企业客户端环境中,“通过终端服务允许登录”用户权限仅限制于“Administrators”组,在高安全级环境中,此权限限制为“No One”,以便实现额外的安全性。
备份文件和目录
表 3.15:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
| 没有定义 | 没有定义 | Administrators | Administrators |
“备份文件和目录”用户权限允许用户越过文件和目录权限来备份系统。只有当应用程序尝试使用 NTFS 文件系统备份应用程序编程接口 (API)(例如 NTBACKUP.EXE)访问文件或目录时,才启用此权限。否则,请应用普通的文件和目录权限。
Microsoft 建议限制此用户权限,将对环境中客户端上的文件和文件夹的访问限制于高安全级环境中的本地“Administrators”组。
因此,只有在高安全级环境中,才将“备份文件和目录”用户权限限制于“Administrators”组。在企业客户端环境中,对于此用户权限未规定任何组。
跳过遍历检查
表 3.16:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
| Users | Users | Users | Users |
“跳过遍历检查”用户权限允许访问文件或文件夹,而与它们所在的父文件夹的用户权限限制无关。换句话说,当用户导航 NTFS 文件系统或注册表中的对象路径时,此用户权限禁止检查特殊的访问权限“遍历文件夹”。如果将此用户权限授予 Users 组,则允许该组中的用户在您的环境中更改目录、访问文件或子目录,即使它们被限制访问父目录时也是如此。
因此,在本指南中定义的两种环境中,“跳过遍历检查”用户权限限制于“Users”组。
注意:请确保通过“组策略”将默认情况下出现的“Everyone”组替换为“Users”组,以便防止来宾和匿名用户获得对受限文件和文件夹的访问权限。
更改系统时间
表 3.17:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
| 没有定义 | 没有定义 | Administrators | Administrators |
“更改系统时间”用户权限用于确定哪些用户和组能够更改您环境中计算机内部时钟上的时间和日期。分配了此用户权限的用户可以影响事件日志的外观。更改系统时间会导致所记录的事件反映新时间,而不是反映发生事件时的实际时间。在本指南中定义的高安全级环境中,只有“Administrators”组才具有此用户权限。
因此,在企业客户端环境中,“更改系统时间”用户权限被配置为“没有定义”,在高安全级环境中,此用户权限限制于“Administrators”组。
注意:环境中本地计算机与域控制器之间的时间差异可能会对 Kerberos 身份验证协议造成问题,这可能会使用户无法登录到域,或者在登录到网络之后,无法获得访问域资源的授权。另外,如果系统时间和域控制器的时间不同步,则在向客户端应用组策略时将出现问题。
调试程序
表 3.18:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
| No One | No One | No One | No One |
“调试程序”用户权限用于确定哪些用户可以将调试程序附加到任何进程或附加到内核中。如果开发人员调试在其各自用户帐户上下文中运行的应用程序,则他们无需此用户权限。但是,如果开发人员调试系统组件或者在其他帐户上下文中运行的应用程序,则他们的确需要此用户权限。此用户权限提供对敏感和关键操作系统组件的完整访问权限。
此用户权限可能会被利用从系统内存中捕获敏感的系统信息。一些攻击工具利用“调试程序”用户权限来提取散列的密码和其他专用的安全信息。默认情况下“调试程序”用户权限仅会分配给“Administrators”组,这样可以降低攻击者利用此漏洞所带来的风险。但是在本指南中定义的两种环境中,此用户权限设置为了“No One”,这样可进一步降低此风险。
通过终端服务拒绝登录
表 3.19:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
| 没有定义 | 没有定义 | Everyone | Everyone |
“通过终端服务拒绝登录”用户权限用于禁止用户使用远程桌面连接登录到您的环境中的计算机。限制“Everyone”组的成员通过“终端服务”登录,会同时防止默认“Administrators”组的成员使用“终端服务”登录到您的环境中的计算机。
因此,在高安全级环境中,“通过终端服务拒绝登录”用户权限限制为“Everyone”组,而在企业客户端环境中,此用户权限被配置为“没有定义”。
从远程系统强制关机
表 3.20:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
| 没有定义 | 没有定义 | Administrators | Administrators |
“从远程系统强制关机”用户权限允许用户从网络上的远程位置关闭运行 XP 的计算机。任何有权关闭您环境中的计算机的用户都可能会引起 DoS 情况,这将使该计算机无法为用户请求提供服务。因此,Microsoft 建议将此用户权限仅限制于高度信任的管理员。
因此,在高安全级环境中,“从远程系统强制关机”用户权限仅限制于“Administrators”组,而在企业客户端安全环境中,此权限配置为“没有定义”。
在本地登录
表 3.21:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
| Users, Administrators | Users, Administrators | Users, Administrators | Users, Administrators |
“在本地登录”用户权限用于确定哪些用户可以通过交互方式登录到您的环境中的计算机。通过在连接到客户端的键盘上按 Ctrl+Alt+Del 键序列而启动的登录要求用户具有此登录权限。尝试通过“终端服务”或 Microsoft Internet 信息服务 (IIS) 进行登录的用户也需要此权限。
默认情况下,Guest 帐户会授予此用户权限。尽管此帐户在默认情况下已禁用,但是 Microsoft 建议通过“组策略”来启用此权限。不过,此特权通常应限制于“Administrators”和“Users”组。如果您的公司要求“Backup Operators”组具有此特权,请将此权限授予此组。
因此,在本指南中定义的两种环境中,“在本地登录”用户权限限制于“Users”组和“Administrators”组。
注意:Windows XP Professional 组策略对象编辑器中的“在本地登录”设置在 Windows Server 2003 中称为“允许在本地登录”。
配置单一进程
表 3.22:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
| 没有定义 | 没有定义 | Administrators | Administrators |
“配置单一进程”用户权限用于确定哪些用户可以使用工具来监视非系统进程的性能。通常,您无需将此用户权限配置为使用“性能”管理单元。但是,如果“系统监视器”被配置为使用 Windows Management Instrumentation (WMI) 收集数据,则确实需要此用户权限。限制“配置单一进程”用户权限将防止入侵者获取某些附加信息(这些信息可用于在系统上装入攻击)。
因此,在高安全级环境中,“配置单一进程”用户权限限制于“Administrators”组,在企业客户端环境中,此用户权限配置为“没有定义”。
还原文件和目录
表 3.23:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
| 没有定义 | 没有定义 | Administrators | Users,Administrators |
“还原文件和目录”用户权限用于确定在从您的环境中运行 Windows XP 的计算机上还原备份的文件和目录时,哪些用户可以跳过文件、目录、注册表和其他永久对象权限。此用户权限还确定哪些用户可以将有效的安全主体设置为对象所有者。此权限在本质上类似于“备份文件和目录”用户权限。
因此,在台式计算机的高安全级环境中,“还原文件和目录”用户权限限制于“Administrators”组,而在便携式计算机的高安全级环境中,此用户权限限制于“Administrators”和“Users”组。“Users”组之所以包括在便携式计算机客户端的高安全级环境中,是因为移动用户可能需要在远离其企业办公室时还原文件。但是,在企业客户端环境中,此设置被配置为“没有定义”。
关闭系统
表 3.24:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
| 没有定义 | 没有定义 | Users,Administrators | Users,Administrators |
“关闭系统”用户权限用于确定在本地登录到您环境中的计算机上的用户中,哪些用户可以使用“关机”命令关闭操作系统。误用此用户权限可能导致拒绝服务。在高安全级环境中,Microsoft 建议只将该权限授予“Administrators”和“Users”组。在企业客户端环境中,对于此用户权限未规定限制。
因此,在高安全级环境中,“关闭系统”用户权限限制于“Administrators”和“Users”组。 但是在企业客户端环境中,此用户权限保持默认的“没有定义”。
安全选项设置
在环境中运行 Windows XP 的计算机中,通过“组策略”应用的“安全选项”设置用于启用或禁用多种功能,如数据的数字签名、管理员和来宾帐户名、软盘驱动器和 CD–ROM 驱动器访问、驱动程序安装行为和登录提示。
在 Windows XP 中,“安全选项”设置可在组策略对象编辑器中的如下位置进行配置:
计算机配置\Windows 设置\安全设置\本地策略\安全选项
这一部分中包括的安全设置并非在所有类型的系统上都有。因此,对于那些在这一部分中定义且构成“组策略”中“安全选项”部分的设置,可能需要在包含它们的系统上手动修改,才能使它们完全正常运行。或者,分别编辑“组策略”模板,使其包括相应的设置选项,以便这些设置规定完全生效。
表 3.25:用于保护 Windows XP 计算机的安全选项设置
| UI 中的设置名称 | 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
| 帐户: 使用空白密码的本地帐户只允许进行控制台登录 | 已启用 | 已启用 | 已启用 | 已启用 |
| 帐户: 重命名系统管理员帐户 | 推荐 | 推荐 | 推荐 | 推荐 |
| 帐户: 重命名来宾帐户 | 推荐 | 推荐 | 推荐 | 推荐 |
| 设备: 允许不登录移除已禁用已启用 | 已禁用 | 已启用 |
已禁用 |
已禁用 |
| 设备: 允许格式化和弹出可移动媒体 | Administrators, Interactive Users | Administrators, Interactive Users | Administrators | Administrators |
| 设备: 防止用户安装打印机驱动程序 | 已启用 | 已禁用 | 已启用 | 已禁用 |
| 设备: 只有本地登录的用户才能访问 CD-ROM | 已禁用 | 已禁用 | 已启用 | 已启用 |
| 设备: 只有本地登录的用户才能访问软盘 | 已启用 | 已启用 | 已启用 | 已启用 |
| 设备: 未签名驱动程序的安装操作 | 允许安装但发出警告 | 允许安装但发出警告 |
禁止安装 |
禁止安装 |
| 域成员: 需要强 (Windows 2000 或以上版本) 会话密钥 | 已启用 | 已启用 | 已启用 | 已启用 |
| 交互式登录: 不显示上次的用户名 | 已启用 | 已启用 | 已启用 | 已启用 |
| 交互式登录: 不需要按 CTRL+ALT+DEL | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
| 交互式登录: 用户试图登录时消息文字 | 此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。 | 此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。 | 此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。 | 此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。 |
| 交互式登录: 用户试图登录时消息标题 | 继续在没有适当授权的情况下使用是违法行为。 | 继续在没有适当授权的情况下使用是违法行为。 | 继续在没有适当授权的情况下使用是违法行为。 | 继续在没有适当授权的情况下使用是违法行为。 |
| 交互式登录: 可被缓存的前次登录个数 (在域控制器不可用的情况下) | 2 | 2 | 0 | 1 |
| 交互式登录: 在密码到期前提示用户更改密码 | 14 天 | 14 天 | 14 天 | 14 天 |
| 交互式登录: 要求域控制器身份验证以解锁工作站 | 已禁用 | 已禁用 | 已启用 | 已禁用 |
|
交互式登录: 智能卡移除操作 |
锁定工作站 | 锁定工作站 | 锁定工作站 | 锁定工作站 |
| Microsoft 网络客户: 数字签名的通信(若同意) | 已启用 | 已启用 | 已启用 | 已启用 |
| Microsoft 网络客户: 发送未加密的密码到第三方 SMB 服务器。 | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
| Microsoft 网络服务器: 在挂起会话之前所需的空闲时间 | 15 分钟 | 15 分钟 | 15 分钟 | 15 分钟 |
| Microsoft 网络服务器: 数字签名的通信(总是) | 已启用 | 已启用 | 已启用 | 已启用 |
| Microsoft 网络服务器: 数字签名的通信(若客户同意) | 已启用 | 已启用 | 已启用 | 已启用 |
|
Microsoft 网络服务器: 当登录时间用完时自动注销用户 |
已启用 | 已禁用 | 已启用 | 已禁用 |
| 网络访问: 允许匿名 SID/名称 转换 | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
| 网络访问: 不允许 SAM 帐户和共享的匿名枚举 | 已启用 | 已启用 | 已启用 | 已启用 |
| 网络访问: 不允许 SAM 帐户和共享的匿名枚举 | 已启用 | 已启用 | 已启用 | 已启用 |
| 网络访问: 不允许为网络身份验证储存凭据或 .NET Passports | 已启用 | 已启用 | 已启用 | 已启用 |
| 网络访问: 限制匿名访问命名管道和共享 | 已启用 | 已启用 | 已启用 | 已启用 |
| 网络访问: 本地帐户的共享和安全模式 | 经典 - 本地用户以自己的身份验证 | 经典 - 本地用户以自己的身份验证 | 经典 - 本地用户以自己的身份验证 | 经典 - 本地用户以自己的身份验证 |
| 网络安全: 不要在下次更改密码时 LAN Manager 的哈希值 | 已启用 | 已启用 | 已启用 | 已启用 |
| 网络安全: 在超过登录时间后强制注销 | 已启用 | 已禁用 | 已启用 | 已禁用 |
| 网络安全: LAN Manager 身份验证级别 | 仅发送 NTLMv2 响应 | 仅发送 NTLMv2 响应 | 仅发送 NTLMv2 响应\拒绝 LM & NTLM | 仅发送 NTLMv2 响应\拒绝 LM & NTLM |
| 网络安全: 基于 NTLM SSP(包括安全 RPC)客户的最小会话安全 | 没有最小 | 没有最小 | 要求 NTLMv2 会话安全 要求 128-位加密 | 要求 NTLMv2 会话安全 要求 128-位加密 |
| 网络安全: 基于 NTLM SSP(包括安全 RPC)服务器的最小会话安全 | 没有最小 | 没有最小 | 要求 NTLMv2 会话安全 要求 128-位加密 | 要求 NTLMv2 会话安全 要求 128-位加密 |
| 故障恢复控制台: 允许自动系统管理级登录 | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
|
故障恢复控制台: 允许对所有驱动器和文件夹进行软盘复制和访问 |
已启用 | 已启用 | 已禁用 | 已禁用 |
| 关机: 允许在未登录前关机 | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
| 关机: 清理虚拟内存页面文件 | 已禁用 | 已禁用 | 已启用 | 已启用 |
| 系统加密: 使用 FIPS 兼容的算法来加密,哈希和签名 | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
| 系统对象: 由管理员 (Administrators) 组成员所创建的对象默认所有者 | 对象创建者 | 对象创建者 | 对象创建者 |
对象创建者 |
| 系统设置: 为软件限制策略对 Windows 可执行文件使用证书规则 | 已禁用 | 已禁用 | 已禁用 | 已禁用 |
帐户: 使用空白密码的本地帐户只允许进行控制台登录
表 3.26:设置
| 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
| 已启用 | 已启用 | 已启用 | 已启用 |
