模板

　　正如模块 1“ XP 指南简介”中所述，本模块中提供的指导特定于在本指南中定义的企业客户端环境和高安全级环境。在某些情况下，本指南建议在便携式计算机上使用与台式计算机不同的设置，这是由于便携式计算机是移动的，并且不总是通过企业网络连接到环境中的域控制器。本指南还假设便携式计算机用户在非正常工作时间工作，而此时没有现场技术支持。因此，对于便携式客户端来说，需要连接到域控制器或者控制登录时间的设置会有所不同。请记住，本模块中的指导所提出的建议只是为了让您便于根据自己的业务需求对其进行调整。

　　下表定义本指南中提供的基础结构 （。inf） 文件。这些文件包含在本指南中定义的两种环境的所有基准安全设置建议。

　　表 3.1：基准安全模板

　　有关本模块中所讨论的设置的更多详细信息，请参见配套指南《Threats and Countermeasures Security Settings in Server 2003 and Windows XP》。

　　帐户策略设置

　　本模块中未涵盖“帐户策略”设置，这些设置将在本指南的模块 2 “配置 Active Directory 域基础结构”中讨论。

　　本地策略设置

　　“本地策略设置”可在运行 Windows XP Professional 的任何计算机上进行本地配置，这可通过使用“本地安全策略控制台”或通过基于 Microsoft Active Directory？ 域的组策略对象 （GPO） 来配置。“本地策略”设置包括“审核策略”、“用户权限分配”和“安全选项”。

　　审核策略设置

　　“审核策略”用于确定要向管理员报告的安全事件，以便记录具有指定事件类别的用户或系统活动。管理员可以监视与安全有关的活动，如谁访问某个对象、用户何时登录或注销某台计算机、是否对审核策略设置进行过更改。基于所有这些原因，Microsoft 建议您为管理员创建一个可在您的环境中实现的审核策略。

　　在实现审核策略之前，必须确定在您的企业环境中需要审核哪些类别的事件。企业审核策略由您在事件类别中选择的审核设置来定义。通过为特定的事件类别定义审核策略设置，管理员可以根据组织的安全需求创建审核策略。

　　如果未配置任何审核设置，将很难或者不可能确定在遇到安全事件时所发生的情况。不过，如果因为配置了审核而导致有太多的授权活动生成事件的话，安全事件日志中则将充满无用的数据。下面的建议旨在帮助您在确定要监视的内容以及确定如何为组织收集相关审核数据时找到平衡点。

　　可以使用“组策略对象编辑器”在以下位置配置 Windows XP 的审核策略设置：

　　计算机配置\Windows 设置\安全设置\本地策略\审核策略

　　表 3.2：用于保护 Windows XP 计算机的审核策略设置

　　审核帐户登录事件

　　表 3.3：设置

　　“审核帐户登录事件”设置用于跟踪使用域登录凭据从本地控制台、网络或服务帐户进行的登录尝试。要准确地确定用户何时成功或不成功地登录系统，必须启用此审核设置。

　　启用此审核策略设置后，管理员可以跟踪在您的环境中，组织中的网络上有哪些系统正由运行 Windows XP 的计算机访问。因此，在本指南中定义的两种环境中，“审核帐户登录事件”设置被配置为“成功”和“失败”。

　　审核帐户管理

　　表 3.4：设置

　　　“审核帐户管理”设置用于跟踪以下企图：新建用户或组、重命名用户或组、启用或禁用用户帐户、更改帐户密码、启用对帐户管理事件的审核。

　　启用此审核策略设置后，管理员可跟踪事件，以检测恶意创建、意外创建和授权创建用户帐户和组帐户的情况。因此，在本指南中定义的两种环境中，“审核帐户管理”设置被配置为“成功”和“失败”。

　　审核目录服务访问

　　表 3.5：设置

　　　启用“审核目录服务访问”设置只是为了针对域控制器执行审核。因此，未在工作站级别定义此设置。

　　此设置不适用于运行 Windows XP Professional 的计算机。因此，在本指南中定义的两种环境中，确保“审核目录服务访问”设置被配置为“无审核”。

　　审核登录事件

　　表 3.6：设置　

　　　“审核登录事件”设置用于跟踪使用本地计算机登录凭据从本地控制台和网络以及批帐户或服务帐户进行的成功和失败的登录尝试。

　　启用此审核策略设置后，管理员可以跟踪这些事件并获得如下记录：谁成功和谁未能成功登录到组织中运行 Windows XP 的计算机。因此，在本指南中定义的两种环境中，“审核登录事件”设置被配置为“成功”和“失败”。

　　审核对象访问

　　表 3.7：设置

　　　在 Windows XP 中，可以跟踪用户对特定文件和文件夹的访问。“审核对象访问”设置允许您跟踪那些通过某些对象来对敏感数据的访问，这些对象可以是特定于文件、文件夹、打印机、注册表项的对象，还可以是其他可设置为要审核的对象。要跟踪用户对这些对象的访问，必须首先访问每个文件或文件夹，然后启用该对象的安全属性，以审核用户访问。而后必须启用“审核对象访问”设置，以返回成功和失败记录。

　　启用此审核策略设置可按照为特定对象定义的审核规则来记录事件。在此审核策略中选中“失败”选项，可确保能够监视入侵者对敏感数据的访问企图。随后，在安全事件日志中，将针对满足此审核功能的审核要求的指定文件和文件夹生成有关访问事件的记录。

　　因此，在本指南中定义的两种环境中，“审核对象访问”设置被配置为“成功”和“失败”。

　　下列过程详述如何对文件或文件夹手动设置审核规则，然后针对指定文件或文件夹中的每个对象测试每个审核规则。此过程可通过脚本自动执行。

　　为文件或文件夹定义审核规则

　　1.使用 Windows 资源管理器定位该文件或文件夹，然后选择它。

　　2.单击“文件”菜单并选择“属性”。

　　3.单击“安全”选项卡，然后单击“高级”按钮。

　　4.单击“审核”选项卡。

　　5.单击“添加”按钮，随后将出现“选择用户、计算机或组”对话框。

　　6.单击“对象类型”按钮，然后在“对象类型”对话框中，选择要查找的对象类型。

　　注意：“用户、组和内置安全主体”对象类型会默认选中。

　　7.单击“位置”按钮，然后在“位置”对话框中，选择域中的计算机或本地计算机。

　　8.在“选择用户或组”对话框中，键入要审核的组或用户的名称。然后，在“输入要选择的对象名称”对话框中，键入 Authenticated Users，以审核所有经过验证的用户的访问，然后单击“确定”。将打开“审核项目”对话框。

　　9.使用“审核项目”对话框，确定要针对文件或文件夹进行审核的访问类型。

　　注意：请记住，每次访问都会在事件日志中生成多个事件，这会导致日志迅速变大。

　　10.在“审核项目”对话框中，选中“列出文件夹/读取数据”旁边的“成功”和“失败”，然后单击“确定”。

　　11.已启用的审核项目将出现在“高级安全设置”对话框的“审核”选项卡下面。

　　12.单击“确定”关闭“属性”对话框。

　　使用下列过程测试已配置的每个审核规则。

　　测试文件或文件夹的审核规则

　　1.打开该文件或文件夹。

　　2.关闭该文件或文件夹。

　　3.启动“事件查看器”。

　　将在“安全事件日志”中出现几个事件 ID 为 560 的对象访问事件。

　　4.根据需要双击这些事件，查看有关它们的详细信息。

　　审核策略更改

　　表 3.8：设置

　　“审核策略更改”设置允许您跟踪对用户权限、审核策略或信任策略进行的更改。如果为该设置配置值，可确保您能够验证对组策略的授权更改，并检测任何未经授权的更改。启用此设置后，可将对用户权限、审核策略或信任策略进行的更改作为事件记录在安全事件日志中。

　　因此，在本指南中描述的两种环境中，“审核策略更改”设置被配置为“成功”。如果包括“失败”这一设置值，将不会在安全事件日志中提供有意义的访问信息。有关其他信息，请参见本模块“其他信息”部分中提到的“Microsoft Windows Security Resource Kit”。

　　审核特权使用

　　表 3.9：设置

　　“审核特权使用”设置允许您审核符合以下条件的任何操作：要求用户帐户使用已分配给它的任何额外特权的任何操作。启用此设置后，如果有用户或进程尝试回避遍历检查、调试程序、创建令牌对象、替换进程级令牌或生成安全审核，则会导致在安全事件日志中记录已审核的事件。使用此设置，还可以在某个用户或帐户尝试使用“备份”或“还原”用户权限备份或还原文件或目录时，生成事件。但是，只有在启用了用来审核备份和还原企图的安全选项时，这些审核事件才会触发。

　　所有用户帐户都会定期使用特权。如果将此设置配置为同时审核成功和失败的事件，将导致在安全事件日志中快速聚积大量事件记录。如此之大的数量反映的是正常用户行为，对这些事件进行排序也就成为了详细审核开销成本的一部分。

　　对于企业客户端环境未提供有关此设置的指导，这是由于在该安全环境中建议不对大多数用户权限使用组策略。如果您的组织将用户权限分配给用户帐户或组，请考虑启用此设置，以审核组织中较高权限的使用情况。本指南中定义的高安全级环境中启用了此设置，这是因为在该环境中 Windows XP 中可用的大多数用户权限都是建议使用的。

　　因此，在企业客户端环境中，“审核特权使用”设置被配置为“无审核”。但是在高安全级环境中，此设置配置为“失败”，以便审核所有失败的使用额外特权的尝试。

　　审核过程跟踪

　　表 3.10：设置

　　“审核过程跟踪”设置允许您在应用程序或用户启动、停止或更改进程时进行审核，并在安全事件日志中记录有关每个实例的事件。启用过程跟踪对于排除应用程序故障和了解应用程序工作方式非常有用；只有在跟踪特定应用程序行为时，才建议使用此设置。但是，启用此设置将在安全事件日志中快速生成大量事件。

　　因此，在本指南中定义的两种环境中，“审核过程跟踪”设置被配置为“无审核”。

　　审核系统事件

　　表 3.11：设置

　　“审核系统事件”设置非常重要，因为它允许您监视成功和失败的系统事件，并提供有关这些事件的记录，从而帮助您确定未经授权的系统访问的实例。系统事件包括启动或关闭环境中的计算机、全部事件日志或其他与影响整个系统的安全相关事件。

　　因此，在企业客户端环境中，“审核系统事件”设置被配置为“成功”。但是，在高安全级环境中，此设置被配置为“成功”和“失败”，以便实现额外的安全性。

　　用户权限分配设置

　　除了 Windows XP Professional 中的许多特权组之外，还可以为用户和组分配许多用户权限，以便授予他们高于普通用户的特权。在这些额外的用户权限中，有许多（但并非全部）用户权限都适用于 Windows XP Professional.

　　要将用户权限的值设置为“No One”，请启用此设置，但是不向其中添加任何用户或组。要将用户权限的值设置为“没有定义”，请不要启用此设置。

　　在 Windows XP 中，“用户权限分配”设置可在组策略对象编辑器中的如下位置进行配置：

　　计算机配置\Windows 设置\安全设置\本地策略\用户权限分配

　　表 3.12：用于保护 Windows XP 计算机的“用户权限分配”设置