从网络访问这台计算机.docx
《从网络访问这台计算机.docx》由会员分享,可在线阅读,更多相关《从网络访问这台计算机.docx(51页珍藏版)》请在冰豆网上搜索。
从网络访问这台计算机
用户权限
1.从网络访问这台计算机
1.背景
与远程Windows计算机进行交互的能力需要“从网络访问这台计算机”用户权限。
此类网络操作的示例包括:
在公用域或林中的域控制器之间复制ActiveDirectory、用户和计算机向域控制器发出身份验证请求,以及访问位于网络中远程计算机上的共享文件夹、打印机和其他系统服务。
通过将用户、计算机和服务帐户显式或隐式地添加到已被授予“从网络访问这台计算机”用户权限的安全组中或将它们从此类安全组中删除,可相应地使这些用户、计算机和服务帐户获得或失去该用户权限。
例如,用户帐户或计算机帐户可能被管理员显式添加到某个自定义或内置的安全组中,或被操作系统隐式添加到计算安全组(如DomainUsers、AuthenticatedUsers或EnterpriseDomainControllers)中。
默认情况下,如果在默认域控制器的组策略对象(GPO)中定义了计算组(例如Everyone或AuthenticatedUsers,后者更好;若是域控制器,则为EnterpriseDomainControllers组),则会为用户帐户和计算机帐户授予“从网络访问这台计算机”用户权限。
2.危险配置
以下是危险配置:
▪从此用户权限中删除EnterpriseDomainControllers安全组
▪删除AuthenticatedUsers组或授予用户、计算机和服务帐户通过网络连接到计算机的用户权限的显式组
▪从此用户权限中删除所有用户和计算机
3.授予此用户权限的原因
▪通过向EnterpriseDomainControllers组授予“从网络访问这台计算机”用户权限,可满足在同一林中的域控制器之间进行ActiveDirectory复制所必须具备的身份验证要求。
▪此用户权限允许用户和计算机访问共享文件、打印机和系统服务,包括ActiveDirectory。
▪用户使用早期版本的MicrosoftOutlookWebAccess(OWA)访问邮件时需要此用户权限。
4.删除此用户权限的原因
▪那些可以将计算机连接到网络的用户可以访问他们具有权限的远程计算机上的资源。
例如,用户需要具备此用户权限才能连接到共享打印机和文件夹。
如果向Everyone组授予此用户权限,并且某些共享文件夹同时配置有共享和NTFS文件系统权限以使相同的组具有读取权限,则任何人均可查看这些共享文件夹中的文件。
但是,WindowsServer2003的全新安装不大可能出现这种情况,因为WindowsServer2003中默认的共享和NTFS权限不包括Everyone组。
对于从MicrosoftWindowsNT4.0或Windows2000升级的系统,这个弱点的危险性可能更高,因为这些操作系统默认的共享和文件系统权限的限制性不如WindowsServer2003中的默认权限严格。
▪从此用户权限中删除EnterpriseDomainControllers组并没有有效的根据。
▪通常会删除Everyone组,而倾向于使用AuthenticatedUsers组。
如果删除了Everyone组,则必须向AuthenticatedUsers组授予此用户权限。
▪升级到Windows2000的WindowsNT4.0域不会显式对Everyone、AuthenticatedUsers或EnterpriseDomainControllers组授予“从网络访问这台计算机”用户权限。
因此,如果从WindowsNT4.0域策略中删除了Everyone组,则在升级到Windows2000后,ActiveDirectory复制将失败并出现“AccessDenied”错误消息。
WindowsServer2003中的Winnt32.exe在升级WindowsNT4.0主域控制器(PDC)时会对EnterpriseDomainControllers组授予此用户权限,从而避免了这种错误配置。
如果EnterpriseDomainControllers组不在组策略对象编辑器中,则向该组授予此用户权限。
5.兼容性问题的示例
▪Windows2000和WindowsServer2003:
对ActiveDirectory架构、配置、域、全局编录或应用程序分区的复制将会失败,并且监视工具(如REPLMON和REPADMIN)或事件日志中的复制事件会报告“AccessDenied”错误。
▪所有Microsoft网络操作系统:
除非已向用户或用户所属的安全组授予了此用户权限,否则来自远程网络客户端计算机的用户帐户身份验证将会失败。
▪所有Microsoft网络操作系统:
除非已向帐户或帐户所属的安全组授予了此用户权限,否则来自远程网络客户端的帐户身份验证将会失败。
此情况适用于用户帐户、计算机帐户和服务帐户。
▪所有Microsoft网络操作系统:
如果从此用户权限中删除所有帐户,则会阻止任何帐户登录到域或访问网络资源。
如果删除了计算组(例如EnterpriseDomainControllers、Everyone或AuthenticatedUsers),则必须将此用户权限显式授予帐户或帐户所属的安全组才能通过网络访问远程计算机。
此情况适用于所有用户帐户、所有计算机帐户和所有服务帐户。
▪所有Microsoft网络操作系统:
本地管理员帐户使用“空”密码。
在域环境中,不允许管理员帐户使用空密码进行网络连接。
如果使用此配置,将收到“AccessDenied”错误消息。
2.允许在本地登录
1.背景
尝试在MicrosoftWindows计算机的控制台上登录的用户(使用Ctrl+Alt+Delete登录按键顺序)和尝试启动服务的帐户必须在主机计算机上具有本地登录权限。
本地登录操作的示例包括:
管理员登录到企业中成员计算机或域控制器的控制台和域用户使用非特权帐户登录到成员计算机以访问其桌面。
使用远程桌面连接或终端服务的用户在运行Windows2000或WindowsXP的目标计算机上必须具有“允许在本地登录”用户权限,因为这些登录模式对于主机计算机来说是本地的。
如果用户登录到启用了终端服务的服务器而又不具有此用户权限,但他们具有“允许通过终端服务登录”用户权限,则他们仍可以在WindowsServer2003域中启动远程交互式会话。
2.危险配置
以下是危险配置:
▪从默认域控制器策略中删除管理安全组,包括AccountOperators、BackupOperators、PrintOperators、ServerOperators和内置Administrators组。
▪从默认域控制器策略中删除域中成员计算机和域控制器上的组件和程序所使用的服务帐户。
▪删除登录到域中成员计算机的控制台的用户或安全组。
▪删除在成员计算机或工作组计算机的安全帐户管理器(SAM)数据库中定义的服务帐户。
▪删除通过在域控制器上运行的终端服务进行身份验证的非内置管理帐户。
▪通过Everyone组将域中的所有用户帐户显式或隐式添加到“拒绝本地登录”登录权限中。
此配置会阻止用户登录到域中的任何成员计算机或任何域控制器。
3.授予此用户权限的原因
▪用户必须具有“允许在本地登录”用户权限才能访问工作组计算机、成员计算机或域控制器的控制台或桌面。
▪用户必须具有此用户权限才能通过在Window2000成员计算机或域控制器上运行的终端服务会话进行登录。
4.删除此用户权限的原因
▪如果未能将控制台访问权限制在合法的用户帐户范围内,则XX的用户可能下载并执行恶意代码来更改他们的用户权限。
▪删除“允许在本地登录”用户权限可以阻止XX即在计算机(例如域控制器或应用程序服务器)的控制台上登录。
▪删除此登录权限可以阻止非域帐户登录域中成员计算机的控制台。
5.兼容性问题的示例
▪Windows2000终端服务器:
为了登录到Windows2000终端服务器,用户需要“允许在本地登录”用户权限。
▪WindowsNT4.0、Windows2000、WindowsXP或WindowsServer2003:
必须向用户帐户授予此用户权限,它们才能登录运行WindowsNT4.0、Windows2000、WindowsXP或WindowsServer2003的计算机的控制台。
▪WindowsNT4.0和更高版本:
在运行WindowsNT4.0和更高版本的计算机上,如果添加“允许在本地登录”用户权限,但又隐式或显式授予了“拒绝本地登录”登录权限,则帐户将无法登录到域控制器的控制台。
3.跳过遍历检查
1.背景
“跳过遍历检查”用户权限允许用户浏览NTFS文件系统或注册表中的文件夹,而无需检查用户是否具有“遍历文件夹”的特殊访问权限。
“跳过遍历检查”用户权限不允许用户列出文件夹的内容,只允许用户遍历其文件夹。
2.危险配置
以下是危险配置:
▪删除登录到基于Windows2000或基于WindowsServer2003的终端服务计算机上而且缺少访问文件系统中的文件和文件夹的权限的非管理性帐户。
▪从安全主体列表中删除Everyone组,默认情况下,这些安全主体具有此用户权限。
根据Windows操作系统和许多程序的设计思路,系统认为可以合法访问计算机的任何人都应该具有“跳过遍历检查”用户权限。
因此,从默认具有此用户权限的安全主体列表中删除Everyone组可能导致操作系统不稳定或程序故障。
最好保留此设置的默认值。
3.授予此用户权限的原因
“跳过遍历检查”用户权限的默认设置是允许任何人跳过遍历检查。
对于有经验的Windows系统管理员,这是预期的行为,他们会相应地配置文件系统访问控制列表(SACL)。
如果配置权限的管理员不了解该行为并认为不能访问父文件夹的用户将无法访问任何子文件夹的内容,则默认配置可能导致问题,这也是默认配置可能导致问题的唯一情况。
4.删除此用户权限的原因
非常注重安全性的组织可能很想要从具有“跳过遍历检查”用户权限的组的列表中删除Everyone组,甚至可能删除Users组,以试图阻止对文件系统中文件或文件夹的访问。
5.兼容性问题的示例
▪Windows2000、WindowsServer2003:
如果在运行Windows2000或WindowsServer2003的计算机上删除或错误地配置了“跳过遍历检查”用户权限,则无法在域中的域控制器之间复制SYVOL文件夹中的组策略设置。
▪Windows2000、WindowsXPProfessional、WindowsServer2003:
如果删除或错误地配置了“跳过遍历检查”用户权限,则在从SYSVOL树中删除所需的文件系统权限时,运行Windows2000、WindowsXPProfessional或WindowsServer2003的计算机将记录事件1000和1202而且无法应用计算机策略和用户策略。
有关更多信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
290647 ()应用程序事件日志中每5分钟记录一次EventID1000、1001
▪Windows2000、WindowsServer2003:
在运行Windows2000或WindowsServer2003的计算机上,当您查看卷的属性时,Windows资源管理器中的“配额”选项卡将会消失。
▪Windows2000:
登录到Windows2000终端服务器的非管理员可能会收到以下错误消息:
Userinit.exe应用程序错误。
应用程序正常初始化0xc0000142失败。
请单击“确定”,终止应用程序。
有关更多信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
272142 ()用户在尝试登录到终端服务时会自动注销(EN)
▪WindowsNT4.0、Windows2000、WindowsXP、WindowsServer2003:
在运行WindowsNT4.0、Windows2000、WindowsXP或WindowsServer2003的计算机上,如果未对用户授予“跳过遍历检查”用户权限,则这些用户可能无法访问共享文件夹或共享文件夹中的文件,并且可能收到“AccessDenied”错误消息。
有关更多信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
277644 ()用户尝试访问共享文件夹时出现“AccessDenied”(拒绝访问)错误信息
▪WindowsNT4.0:
在基于WindowsNT4.0的计算机上,删除“跳过遍历检查”用户权限将导致文件复制过程丢失文件流。
如果删除此用户权限,则在将文件从Windows客户端或Macintosh客户端复制到运行Macintosh服务的WindowsNT4.0域控制器时,会丢失目标文件流,并且该文件会显示为纯文本文件。
有关更多信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
172930 ()删除“跳过遍历检查”导致文件复制过程丢失文件流(EN)
▪MicrosoftWindows95、MicrosoftWindows98:
在运行Windows95或Windows98的客户端计算机上,如果未向AuthenticatedUsers组授予“跳过遍历检查”用户权限,则netuse*/home命令会失败并显示“AccessDenied”错误消息。
▪OutlookWebAccess:
如果未向非管理员授予“跳过遍历检查”用户权限,则他们将无法登录到MicrosoftOutlookWebAccess,并会收到“AccessDenied”错误消息。
安全设置
1.审核:
如果无法记录安全审核则立即关闭系统
1.背景
▪“审核:
如果无法记录安全审核则立即关闭系统”设置可确定在无法记录安全事件时是否关闭系统。
如果审核系统不能记录这些事件,则可信计算机安全评估标准(TCSEC)方案的C2评估和信息技术安全评估的通用标准需要此设置以防止发生可审核事件。
如果审核系统失败,则关闭系统,并出现停止错误消息。
▪如果计算机不能将事件记录到安全日志中,则发生安全事故后可能没有关键证据或重要的故障排除信息可供查看。
2.危险配置
以下是一种危险配置:
“审核:
如果无法记录安全审核则立即关闭系统”设置打开,并且事件查看器中的安全事件日志的大小受以下选项约束:
“不要覆盖事件(手动清除日志)”选项、“按需要覆盖事件”选项、“覆盖时间超过number天的事件”选项。
请参见“兼容性问题的示例”部分,了解运行最初发布的Windows2000、Windows2000ServicePack1(SP1)、Windows2000SP2或Windows2000SP3版本的计算机的特定风险。
3.启用此设置的原因
如果计算机不能将事件记录到安全日志中,则发生安全事故后可能没有关键证据或重要的故障排除信息可供查看。
4.禁用此设置的原因
▪启用了“审核:
如果无法记录安全审核则立即关闭系统”设置后,如果由于任何原因无法记录安全审核,则会关闭系统。
如果安全审核日志已满并且其指定的保留方法为“不要覆盖事件(手动清除日志)”选项或“覆盖时间超过number天的事件”选项时,通常无法记录事件。
▪如果启用了“审核:
如果无法记录安全审核则立即关闭系统”设置,则可能导致非常重的管理负担,尤其是在您还为安全日志打开了“不要覆盖事件(手动清除日志)”选项的情况下。
此设置可以追查操作员的操作。
例如,管理员可以使用内置管理员帐户或其他共享帐户来重置启用了审核的组织单位(OU)中所有用户、计算机和组上的权限,然后拒绝他们重置这些权限。
但是,因为写入安全日志的大量登录事件和其他安全事件可能会使服务器不堪重负而被迫关闭,所以启用此设置确实会降低系统的稳定性。
另外,因为不是正常关闭,还可能对操作系统、程序或数据造成无法修复的损坏。
虽然NTFS可以在非正常系统关闭过程中确保文件系统的完整性得以保持,但它无法保证每个程序的每个数据文件在系统重新启动后仍处于可以使用的状态。
5.符号名称:
CrashOnAuditFail
6.注册表路径:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail(Reg_DWORD)
7.兼容性问题的示例
▪Windows2000:
由于存在错误,运行最初发布的Windows2000、Windows2000SP1、Windows2000SP2或WindowsServerSP3版本的计算机可能在达到“最大日志大小”选项中指定的安全事件日志大小之前就停止记录事件。
此错误在Windows2000ServicePack4(SP4)中得到修复。
在考虑启用此设置之前,确保您的Windows2000域控制器安装了Windows2000ServicePack4。
有关更多信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
312571 ()在事件日志停止在达到最大日志大小之前记录事件
▪Windows2000、WindowsServer2003:
如果打开了“审核:
如果无法记录安全审核则立即关闭系统”设置,在安全日志已满并且不能覆盖现有事件日志项的情况下,运行Windows2000或WindowsServer2003的计算机可能会停止响应,然后自行重新启动。
当计算机重新启动后,出现以下停止错误消息:
停止:
C0000244{审核失败}
未能生成安全审核。
要进行恢复,管理员必须登录,对安全日志进行存档(可选),清除安全日志,然后重置此选项(可选,根据需要进行)。
▪用于MS-DOS、Windows95、Windows98、WindowsNT4.0、Windows2000、WindowsXP、WindowsServer2003的Microsoft网络客户端:
尝试登录到域的非管理员会收到以下错误消息:
您的帐户配置为阻止您使用该计算机。
请尝试其他计算机。
有关更多信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
160783 ()错误消息:
Userscannotlogontoaworkstation(用户无法登录到工作站)(EN)
▪Windows2000:
在基于Windows2000的计算机上,非管理员将无法登录到远程访问服务器,并且收到类似于以下内容的错误消息:
Unknownuserorbadpassword
有关更多信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
285665 ()错误消息:
您的帐户配置为阻止您使用该计算机(EN)
▪Windows2000:
在Windows2000域控制器上,站点间消息服务(Ismserv.exe)将停止且无法重新启动。
DCDIAG会将此错误报告为“failedtestservicesISMserv”,并在事件日志中记录事件ID1083。
▪Windows2000:
在Windows2000域控制器上,如果安全事件日志已满,则ActiveDirectory复制将失败并出现“AccessDenied”消息。
▪MicrosoftExchange2000:
运行Exchange2000的服务器无法装入信息存储数据库,事件日志中将记录事件2102。
有关更多信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
314294 ()XADM:
由于SeSecurityPrivilege权限和策略测试存在问题而产生Exchange2000错误信息
▪Outlook、OutlookWebAccess:
非管理员无法通过MicrosoftOutlook或MicrosoftOutlookWebAccess访问他们的邮件,并且收到503错误。
2.域控制器:
LDAP服务器签名要求
1.背景
“域控制器:
LDAP服务器签名要求”安全设置可确定轻型目录访问协议(LDAP)服务器是否需要LDAP客户端协商数据签名。
此策略设置的可能值包括:
▪无:
绑定到服务器不需要数据签名。
如果客户端请求数据签名,则服务器将支持它。
▪要求签名:
除非正在使用传输层安全/安全套接字层(TLS/SSL),否则必须协商LDAP数据签名选项。
▪未定义:
未启用或禁用此设置。
2.危险配置
以下是危险配置:
▪在客户端不支持LDAP签名或在客户端上未启用客户端LDAP签名的环境中,启用“要求签名”
▪在客户端不支持LDAP签名或未启用客户端LDAP签名的环境中,应用Windows2000或WindowsServer2003Hisecdc.inf安全模板
▪在客户端不支持LDAP签名或未启用客户端LDAP签名的环境中,应用Windows2000或WindowsServer2003Hisecws.inf安全模板
3.启用此设置的原因
未经签名的网络通信容易受到中间人攻击,入侵者可以捕获客户端和服务器之间的数据包,修改数据包,然后将它们转发到服务器。
当此行为发生在LDAP服务器上时,攻击者会导致服务器根据来自LDAP客户端的错误查询而进行决策。
您可以降低企业网络中的这种风险,方法是实