组策略设置系列篇之安全选项1.docx
- 文档编号:13263824
- 上传时间:2023-06-12
- 格式:DOCX
- 页数:23
- 大小:26.83KB
组策略设置系列篇之安全选项1.docx
《组策略设置系列篇之安全选项1.docx》由会员分享,可在线阅读,更多相关《组策略设置系列篇之安全选项1.docx(23页珍藏版)》请在冰点文库上搜索。
组策略设置系列篇之安全选项1
组策略设置系列篇之“安全选项”-1
设置,选项
组策略的“安全选项”部分启用或禁用数字数据签名、Administrator和GuestXX名、软盘驱动器和CD-ROM驱动器的访问、驱动程序安装操作和登录提示的计算机安全设置。
安全选项设置
您可以在组策略对象编辑器的下列位置配置安全选项设置:
计算机配置\Windows设置\安全设置\
本地策略\安全选项
XX:
管理员XX状态
此策略设置启用或禁用AdministratorXX的正常操作条件。
如果以安全模式启动计算机,AdministratorXX总是处于启用状态,而与如何配置此策略设置无关。
“XX:
管理员XX状态”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
在某些组织中,维持定期更改本地XX的密码这项常规计划可能会是很大的管理挑战。
因此,您可能需要禁用内置的AdministratorXX,而不是依赖常规密码更改来保护其免受攻击。
需要禁用此内置XX的另一个原因就是,无论经过多少次登录失败它都不会被锁定,这使得它成为强力攻击(尝试猜测密码)的主要目标。
另外,此XX还有一个众所周知的安全标识符(SID),而且第三方工具允许使用SID而非XX名来进行身份验证。
此功能意味着,即使您重命名AdministratorXX,攻击者也可能使用该SID登录来发起强力攻击。
对策:
将“XX:
管理员XX状态”设置配置为“已禁用”,以便在正常的系统启动中不能再使用内置的AdministratorXX。
潜在影响:
如果禁用AdministratorXX,在某些情况下可能会造成维护问题。
例如,在域环境中,如果成员计算机和域控制器间的安全通道因任何原因而失败,而且没有其他本地AdministratorXX,则您必须以安全模式重新启动才能修复这个中断安全通道的问题。
如果当前的Administrator密码不满足密码要求,则AdministratorXX被禁用之后,无法重新启用。
如果出现这种情况,Administrators组的另一个成员必须使用“本地用户和组”工具来为该AdministratorXX设置密码。
XX:
来宾XX状态
此策略设置确定是启用还是禁用来宾XX。
“XX:
来宾XX状态”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
默认GuestXX允许未经身份验证的网络用户以没有密码的Guest身份登录。
这些XX的用户能够通过网络访问GuestXX可访问的任何资源。
此功能意味着任何具有允许GuestXX、Guests组或Everyone组进行访问的权限的网络共享资源,都可以通过网络对其进行访问,这可能导致数据暴露或损坏。
对策:
将“XX:
来宾XX状态”设置配置为“已禁用”,以便内置的GuestXX不再可用。
潜在影响:
所有的网络用户都将必须先进行身份验证,才能访问共享资源。
如果禁用GuestXX,并且“网络访问:
共享和安全模式”选项设置为“仅来宾”,则那些由Microsoft网络服务器(SMB服务)执行的网络登录将失败。
对于大多数组织来说,此策略设置的影响应该会很小,因为它是MicrosoftWindows®2000、WindowsXP和WindowsServer™2003中的默认设置。
XX:
使用空白密码的本地XX只允许进行控制台登录
此策略设置确定是否允许使用空白密码的本地XX通过网络服务(如终端服务、Telnet和文件传输协议(FTP))进行远程交互式登录。
如果启用此策略设置,则本地XX必须有一个非空密码,才能从远程客户端执行交互式或网络登录。
“XX:
使用空白密码的本地XX只允许进行控制台登录”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
注意:
此策略设置不影响在控制台上以物理方式执行的交互式登录,也不影响使用域XX的登录。
警告:
使用远程交互式登录的第三方应用程序有可能跳过此策略设置。
漏洞:
空白密码会对计算机安全造成严重威胁,应当通过组织的策略和适当的技术措施来禁止。
实际上,WindowsServer2003ActiveDirectory®目录服务域的默认设置需要至少包含七个字符的复杂密码。
但是,如果能够创建新XX的用户跳过基于域的密码策略,则他们可以创建具有空白密码的XX。
例如,某个用户可以构建一个独立的计算机,创建一个或多个具有空白密码的XX,然后将该计算机加入到域中。
具有空白密码的本地XX仍将正常工作。
任何人如果知道其中一个未受保护的XX的名称,都可以用它来登录。
对策:
启用“XX:
使用空白密码的本地XX只允许进行控制台登录”设置。
潜在影响:
无。
这是默认配置。
XX:
重命名系统管理员XX
此策略设置确定另一个XX名是否与AdministratorXX的SID相关联。
“XX:
重命名系统管理员XX”设置的可能值为:
•
用户定义的文本
•
没有定义
漏洞:
AdministratorXX存在于运行Windows2000、WindowsServer2003或WindowsXPProfessional操作系统的所有计算机上。
如果重命名此XX,会使XX的人员更难猜测这个具有特权的用户名和密码组合。
无论攻击者可能使用多少次错误密码,内置的AdministratorXX都不能被锁定。
此功能使得AdministratorXX成为强力攻击(尝试猜测密码)的常见目标。
这个对策的价值之所以减少,是因为此XX有一个众所周知的SID,而且第三方工具允许使用SID而非XX名来进行身份验证。
因此,即使您重命名AdministratorXX,攻击者也可能会使用该SID来登录以发起强力攻击。
对策:
在“XX:
重命名系统管理员XX”设置中指定一个新名称,以重命名AdministratorXX。
注意:
在后面的章节中,此策略设置既未在安全模板中进行配置,也不是本指南所建议XX的新用户名。
模板中忽略了这项策略设置,这样做是为了让使用本指南的众多组织将不在其环境中实现同样的新用户名。
潜在影响:
您必须将这个新XX名通知给授权使用此XX的用户。
(有关此设置的指导假定AdministratorXX没有被禁用,这是本章前面建议的设置。
)
XX:
重命名来宾XX
“XX:
重命名来宾XX”设置确定另一个XX名是否与GuestXX的SID相关联。
此组策略设置的可能值为:
•
用户定义的文本
•
没有定义
漏洞:
GuestXX存在于运行Windows2000、WindowsServer2003或WindowsXPProfessional操作系统的所有计算机上。
如果重命名此XX,会使XX的人员更难猜测这个具有特权的用户名和密码组合。
对策:
在“XX:
重命名来宾XX”设置中指定一个新名称,以重命名GuestXX。
注意:
在后面的章节中,此策略设置既未在安全模板中进行配置,也不是本指南所建议XX的新用户名。
模板中忽略了这项策略设置,这样做是为了让使用本指南的众多组织将不在其环境中实现同样的新用户名。
潜在影响:
影响应该会很小,因为在默认情况下,Windows2000、WindowsXP和WindowsServer2003中已禁用“Guest”XX。
审核:
对备份和还原权限的使用进行审核
如果启用此策略设置,在计算机创建系统对象(如多用户端执行程序、事件、信号灯和MS-DOS®设备)时,将应用默认的系统访问控制列表(SACL)。
如果如本指南第3章中所述,您还启用了“审核对象访问”审核设置,则会审核对这些系统对象的访问。
全局系统对象(又被称作“基本系统对象”或“基本命名对象”是存活时间很短的内核对象,它们的名称是由创建它们的应用程序或系统组件分配的。
这些对象经常用于同步多个应用程序或一个复杂应用程序的多个部分。
由于它们具有名称,因此这些对象在作用域内是全局的,从而对于计算机上的所有进程均可见。
这些对象都具有一个安全描述符,但是它们通常有一个空的系统访问控制列表。
如果在启动时启用此策略设置,内核将在这些对象被创建时向它们分配一个系统访问控制列表。
“审核:
对全局系统对象的访问进行审核”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
如果没有正确地保护某个全局可见的命名对象,则知道该对象名称的恶意程序可能会针对该对象进行操作。
例如,如果某个同步对象(如多用户终端执行程序)有一个错误选择的任意访问控制列表(DACL),则恶意程序可以按名称访问这个多用户终端执行程序,并且导致创建这个多用户终端执行程序的程序无法正常工作。
但是,出现这种情况的风险会非常低。
对策:
启用“审核:
对全局系统对象的访问进行审核”设置。
潜在影响:
如果启用“审核:
对全局系统对象的访问进行审核”设置,可能会生成大量安全事件,尤其是在繁忙的域控制器和应用程序服务器上。
这类情况可能导致服务器响应缓慢,并迫使安全事件日志记录许多无关紧要的事件。
此策略设置只能被启用或禁用,并且没有筛选记录哪些事件和不记录哪些事件的办法。
即使组织有能够分析由此策略设置所生成事件的资源,它们也不可能具有每个命名对象的源代码或关于其用途的说明。
因此,对于许多组织来说,将此策略设置配置为“已启用”,不大可能获得什么好处。
审核:
对备份和还原权限的使用进行审核
此策略设置确定在“审核权限使用”设置生效时,是否对所有用户权限(包括“备份和还原”权限)的使用进行审核。
如果启用这两个策略设置,会为备份或还原的每个文件生成一个审核事件。
如果启用此策略设置并结合使用“审核权限使用”设置,用户权限的任何行使状况都会记录在安全日志中。
如果禁用此策略设置,则即使启用“审核权限使用”,也不会对用户行使备份或还原权限的操作进行审核。
“审核:
对备份和还原权限的使用进行审核”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
如果在启用“审核权限使用”设置的同时启用此选项,则备份或还原每个文件都会生成一个审核事件。
此信息会帮助您识别被用于以XX的方式意外或恶意还原数据的XX。
对策:
启用“对备份和还原权限的使用进行审核”设置。
或者,也可以通过配置AutoBackupLogFiles注册表项来实施自动记录备份,
潜在影响:
如果启用此策略设置,可能会生成大量安全事件,这可能导致服务器响应缓慢,并迫使安全事件日志记录许多无关紧要的事件。
如果增加安全日志大小以减少系统关闭的机率,过大的日志文件可能影响系统性能。
审核:
如果无法记录安全审核则立即关闭系统
此策略设置确定在无法记录安全事件时是否关闭计算机。
可信计算机系统评测标准(TCSEC)(C2和通用标准认证)需要在审核系统无法记录可审核事件时,计算机能够防止出现这些事件。
Microsoft所选择的以满足此要求的方法是:
在无法审核系统时,暂停计算机并显示一则停止消息。
如果启用此策略设置,计算机会在出于任何原因不能记录安全审核时停止。
通常,当安全事件日志已满,而且为它指定的保留方法为“不覆盖事件”或“按天数覆盖事件”时,将无法记录事件。
启用此策略设置时,如果安全日志已满且不能覆盖现有条目,则会显示下列停止消息:
STOP:
C0000244{审核失败}
尝试生成安全审核失败。
要进行恢复,管理员必须登录,对日志进行存档(可选),清除日志,然后禁用此选项以允许计算机重新启动。
此时,可能需要先手动清除安全事件日志,然后才能将此策略设置配置为“已启用”。
“审核:
如果无法记录安全审核则立即关闭系统”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
如果计算机无法将事件记录到安全日志中,则在出现安全事件之后,可能无法使用关键的证据或重要的疑难解答信息来进行审查。
此外,还有攻击者会生成大量安全事件日志消息以故意强制计算机关闭的潜在可能。
对策:
启用“如果无法记录安全审核则立即关闭系统”设置。
潜在影响:
如果启用此策略设置,管理负担可能会非常大,尤其是当您还将安全日志的“保留”方法配置为“不覆盖事件(手动清除日志)”时更是如此。
此配置会导致抵赖威胁(备份操作员可能否认他们备份或还原了数据)成为拒绝服务(DoS)漏洞,因为服务器会因写入到安全日志中的大量登录事件和其他安全事件而被迫关闭。
另外,由于是非正常关闭,因此可能会对操作系统、应用程序或数据造成不可修复的损害。
尽管NTFS文件系统(NTFS)将保证在系统非正常关闭过程中保持文件系统的完整性,但是它不能保证在计算机重新启动时,每个应用程序的每个数据文件都仍
然处于可用状态。
D:
在安全描述符定义语言(SDDL)语法中的计算机访问限制
此策略设置允许管理员在计算机上定义用于管理对基于所有分布式组件对象模型(D)的应用程序访问的其他计算机X围访问控件。
这些控件限制计算机上的调用、激活或启动请求。
考虑这些访问控件最简单的方法就是对计算机上任何服务器的每个调用、激活或启动,根据计算机X围的访问控制列表(ACL)作为附加访问检查调用执行。
如果访问检查失败,调用、激活或启动请求将被拒绝。
(此检查是根据服务器特定的ACL运行的任何访问检查以外的附加检查。
)实际上,它提供了在计算机上访问任何服务器时必须通过的最低授权标准。
“D:
在安全描述符定义语言(SDDL)语法中的计算机访问限制”设置控制访问权限以保护调用权限。
这些计算机X围的ACL提供了一种可覆盖由特定应用程序通过CoInitializeSecurity或应用程序特定的安全设置指定的弱安全性设置的方式。
它们提供必须通过的最低安全标准,而不管特定服务器的设置如何。
这些ACL为管理员提供了一个用于设置应用于计算机上的所有服务器的一般授权策略的集中位置。
“D:
在安全描述符定义语言(SDDL)语法中的计算机访问限制”设置允许您以两种不同方式指定一个ACL。
您可以以SDDL键入安全描述符,或者选择用户和组并授予或拒绝其本地访问和远程访问权限。
Microsoft建议您使用内置的用户界面以指定您想要使用此设置应用的ACL内容。
漏洞:
许多应用程序包括一些安全特定代码(例如,用于调用CoInitializeSecurity),但却使用弱设置,通常允许未经验证就可访问进程。
在Windows的较早版本中,若不修改应用程序,管理员不能覆盖这些设置以强制强安全性。
攻击者可能会通过调用来进行攻击以尝试利用单个应用程序中的弱安全性。
此外,结构还包括RPCSS,一种在计算机启动过程中运行并在启动后始终运行的系统服务。
此服务管理对象的激活和运行的对象表,并为D远程处理提供帮助服务。
它公开可远程调用的RPC接口。
由于某些服务器允许未经验证的远程访问(如前面部分所述),因此任何人都可调用这些接口,包括未经验证的用户。
因此,使用远程、未经验证的计算机的恶意用户能够攻击RPCSS。
对策:
为保护单个基于的应用程序或服务,请将“D:
在安全描述符定义语言(SDDL)语法中的计算机访问限制”设置设置为相应计算机X围的ACL。
潜在影响:
WindowsXPSP2和WindowsServer2003SP1按照其各自的文档中所指定的内容实施默认的ACL。
如果实施服务器并覆盖默认安全设置,请确认应用程序特定调用权限ACL为相应用户分配了正确权限。
如果不是,您将必须更改应用程序特定权限ACL来为相应用户提供激活权限,以便使用D的应用程序和Windows组件不会失败。
D:
在安全描述符定义语言(SDDL)语法中的计算机启动限制
此策略设置与“D:
在安全描述符定义语言(SDDL)语法中的计算机访问限制”设置相类似,因为它允许管理员定义可管理对计算机上所有基于D应用程序的访问的附加计算机X围访问控制。
但是,此策略设置中指定的ACL控制计算机上的本地和远程启动请求(不是访问请求)。
考虑此访问控制最简单的方法是对计算机上任何服务器的每个启动,根据计算机X围的ACL作为附加访问检查调用执行。
如果访问检查失败,调用、激活或启动请求将被拒绝。
(此检查是针对服务器特定的ACL运行的任何访问检查以外的附加检查。
)实际上,它提供了在计算机上启动任何服务器时必须通过的最低授权标准。
早期策略有所不同,因为它提供最低的访问检查,应用该检查以试图访问已启动的服务器。
这些计算机X围的ACL提供了一种可覆盖由特定应用程序通过CoInitializeSecurity或应用程序特定的安全设置指定的弱安全性设置的方式。
它们提供必须通过的最低安全标准,而不管特定服务器的设置如何。
这些ACL为管理员提供了一个用于设置应用于计算机上的所有服务器的一般授权策略的集中位置。
“D:
在安全描述符定义语言(SDDL)语法中的计算机启动限制”设置允许您以两种不同方式指定一个ACL。
您可以以SDDL键入安全描述符,或者选择用户和组并授予或拒绝其本地访问和远程访问权限。
Microsoft建议您使用内置的用户界面以指定您想要使用此设置应用的ACL内容。
漏洞:
许多应用程序包括一些安全特定代码(例如,用于调用CoInitializeSecurity),但却使用弱设置,通常允许未经验证就可访问进程。
在Windows的较早版本中,若不修改应用程序,管理员不能覆盖这些设置以强制强安全性。
攻击者可能会通过调用来进行攻击以尝试利用单个应用程序中的弱安全性。
此外,结构还包括RPCSS,一种在计算机启动过程中运行并在启动后始终运行的系统服务。
此服务管理对象的激活和运行的对象表,并为D远程处理提供帮助服务。
它公开可远程调用的RPC接口。
由于某些服务器允许未经验证的远程组件激活(如前面部分所述),因此任何人都可调用这些接口,包括未经验证的用户。
因此,使用远程、未经验证的计算机的恶意用户能够攻击RPCSS。
对策:
为保护单个基于的应用程序或服务,请将“D:
在安全描述符定义语言(SDDL)语法中的计算机启动限制”设置设置为相应计算机X围的ACL。
潜在影响
WindowsXPSP2和WindowsServer2003SP1按照各自的文档中所指定的内容实施默认的ACL。
如果实施服务器并覆盖默认安全设置,请确认应用程序特定启动权限ACL为相应用户分配了激活权限。
如果不是,您将必须更改应用程序特定启动权限ACL来为相应用户提供激活权限,以便使用D的应用程序和Windows组件不会失败。
设备:
允许不登录移除
此策略设置确定用户是否必须登录才能请求权限以从扩展坞移除便携式计算机。
如果启用此策略设置,用户将能够通过按已插接的便携式计算机上的物理弹出按钮来安全移除计算机。
如果禁用此策略设置,用户必须登录才能收到移除计算机的权限。
只有具有“从扩展坞中取出计算机”特权的用户才能获得此权限。
注意:
只有针对不能以机械方式移除的便携式计算机,才应禁用此策略设置。
可以以机械方式移除的计算机能够被用户物理取出,不管他们是否使用Windows移除功能。
“设备:
允许不登录移除”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
如果启用此策略设置,则任何人只要能够物理访问放置在其扩展坞中的便携式计算机,就都可以取出计算机并有可能损害它们。
对于没有扩展坞的计算机,此策略设置没有任何影响。
对策:
禁用“设备:
允许不登录移除”设置。
潜在影响:
已经固定其计算机的用户将必须先登录到本地控制台,才能移除其计算机。
设备:
允许格式化和弹出可移动媒体
此策略设置确定允许谁格式化和弹出可移动媒体。
“设备:
允许格式化和弹出可移动媒体”设置的可能值为:
•
Administrators
•
Administrators和PowerUsers
•
Administrators和InteractiveUsers
•
没有定义
漏洞:
用户可以将可移动磁盘上的数据移到他们具有管理特权的另一台计算机上。
然后,该用户可以获取任何文件的所有权,授予自己完全控制权限,查看或修改任何文件。
由于大多数可移动存储设备都可以通过按一个机械按钮来弹出媒体这一事实,此策略设置的优势会有所减弱。
对策:
将“允许格式化和弹出可移动媒体”设置配置为Administrators。
潜在影响:
只有管理员才能够弹出NTFS格式化的可移动媒体。
设备:
防止用户安装打印机驱动程序
对于要打印到某个网络打印机的计算机,必须在本地计算机上安装该网络打印机的驱动程序。
“设备:
防止用户安装打印机驱动程序”设置确定谁可以安装打印机驱动程序(作为添加网络打印机的一部分)。
如果启用此策略设置,只有Administrators和PowerUsers组的成员允许在添加网络打印机时安装打印机驱动程序。
如果禁用此策略设置,任何用户在添加网络打印机时都可以安装打印机驱动程序。
此策略设置可防止典型用户下载和安装不受信任的打印机驱动程序。
注意:
如果管理员已经配置了下载驱动程序的受信任路径,则此策略设置没有任何影响。
如果使用受信任路径,打印子系统会尝试使用受信任路径下载驱动程序。
如果受信任路径下载成功,则可以代表任何用户安装驱动程序。
如果受信任路径下载失败,则驱动程序不会进行安装,网络打印机不进行添加。
“设备:
防止用户安装打印机驱动程序”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
在某些组织中允许用户在其自己的工作站上安装打印机驱动程序可能是适当的。
但是,应不允许用户在服务器上进行这类安装。
在服务器上安装打印机驱动程序可能会在无意中使计算机变得不太稳定。
只有管理员在服务器上具有此特权。
恶意用户可能会安装不适当的打印机驱动程序来故意试图损害计算机,或者用户也可能会意外安装一些伪装成打印机驱动程序的恶意代码。
对策:
将“设备:
防止用户安装打印机驱动程序”设置配置为“已启用”。
潜在影响:
只有具有Administrative、PowerUser或ServerOperator特权的用户才能够在服务器上安装打印机。
如果启用了此策略设置,但是网络打印机的驱动程序已经存在于本地计算机上,则用户仍可以添加网络打印机。
设备:
只有本地登录的用户才能访问CD-ROM
此策略设置确定CD-ROM是否可供本地和远程用户同时访问。
如果启用此策略设置,将仅允许交互式登录的用户访问可移动的CD-ROM媒体。
如果启用了此策略设置,且没有人交互登录,则可以通过网络访问CD-ROM。
“设备:
只有本地登录的用户才能访问CD-ROM”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
远程用户可能会访问包含敏感信息、已装入的CD-ROM。
这种风险的可能性很小,因为CD-ROM驱动器不会自动成为网络共享资源,管理员必须专门选择共享此驱动器。
但是,管理员可能希望拒绝网络用户查看数据或从服务器上的可移动媒体运行应用程序的能力。
对策:
启用“只有本地登录的用户才能访问CD-ROM”设置。
潜在影响:
当有人登录到服务器的本地控制台时,通过网络连接到服务器的用户将无法使用安装在服务器上的任何CD-ROM驱动器。
需要访问CD-ROM驱动器的系统工具将失败。
例如,卷影复制服务试图在计算机初始化时访问计算机上的所有CD-ROM和软盘驱动器,并且如果服务无法访问其中一个驱动器,它将失败。
如果已为备份作业指定卷影副本,这种情况将导致Windows备份工具失败。
任何使用卷影副本的第三方备份产品也将失败。
对于充当网络用户
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 策略 设置 系列 安全 选项
![提示](https://static.bingdoc.com/images/bang_tan.gif)