组策略设置系列篇之安全选项文档格式.docx
《组策略设置系列篇之安全选项文档格式.docx》由会员分享,可在线阅读,更多相关《组策略设置系列篇之安全选项文档格式.docx(17页珍藏版)》请在冰豆网上搜索。
如果以安全模式启动计算机,Administrator帐户总是处于启用状态,而与如何配置此策略设置无关。
“帐户:
管理员帐户状态”设置的可能值为:
已启用
已禁用
没有定义
漏洞:
在某些组织中,维持定期更改本地帐户的密码这项常规计划可能会是很大的管理挑战。
因此,您可能需要禁用内置的Administrator帐户,而不是依赖常规密码更改来保护其免受攻击。
需要禁用此内置帐户的另一个原因就是,无论经过多少次登录失败它都不会被锁定,这使得它成为强力攻击(尝试猜测密码)的主要目标。
另外,此帐户还有一个众所周知的安全标识符(SID),而且第三方工具允许使用SID而非帐户名来进行身份验证。
此功能意味着,即使您重命名Administrator帐户,攻击者也可能使用该SID登录来发起强力攻击。
对策:
将“帐户:
管理员帐户状态”设置配置为“已禁用”,以便在正常的系统启动中不能再使用内置的Administrator帐户。
潜在影响:
如果禁用Administrator帐户,在某些情况下可能会造成维护问题。
例如,在域环境中,如果成员计算机和域控制器间的安全通道因任何原因而失败,而且没有其他本地Administrator帐户,则您必须以安全模式重新启动才能修复这个中断安全通道的问题。
如果当前的Administrator密码不满足密码要求,则Administrator帐户被禁用之后,无法重新启用。
如果出现这种情况,Administrators组的另一个成员必须使用“本地用户和组”工具来为该Administrator帐户设置密码。
来宾帐户状态
此策略设置确定是启用还是禁用来宾帐户。
来宾帐户状态”设置的可能值为:
默认Guest帐户允许未经身份验证的网络用户以没有密码的Guest身份登录。
这些XX的用户能够通过网络访问Guest帐户可访问的任何资源。
此功能意味着任何具有允许Guest帐户、Guests组或Everyone组进行访问的权限的网络共享资源,都可以通过网络对其进行访问,这可能导致数据暴露或损坏。
来宾帐户状态”设置配置为“已禁用”,以便内置的Guest帐户不再可用。
所有的网络用户都将必须先进行身份验证,才能访问共享资源。
如果禁用Guest帐户,并且“网络访问:
共享和安全模式”选项设置为“仅来宾”,则那些由Microsoft网络服务器(SMB服务)执行的网络登录将失败。
对于大多数组织来说,此策略设置的影响应该会很小,因为它是MicrosoftWindows2000、WindowsXP和WindowsServer2003中的默认设置。
使用空白密码的本地帐户只允许进行控制台登录
此策略设置确定是否允许使用空白密码的本地帐户通过网络服务(如终端服务、Telnet和文件传输协议(FTP))进行远程交互式登录。
如果启用此策略设置,则本地帐户必须有一个非空密码,才能从远程客户端执行交互式或网络登录。
使用空白密码的本地帐户只允许进行控制台登录”设置的可能值为:
注意:
此策略设置不影响在控制台上以物理方式执行的交互式登录,也不影响使用域帐户的登录。
警告:
使用远程交互式登录的第三方应用程序有可能跳过此策略设置。
空白密码会对计算机安全造成严重威胁,应当通过组织的策略和适当的技术措施来禁止。
实际上,WindowsServer2003ActiveDirectory目录服务域的默认设置需要至少包含七个字符的复杂密码。
但是,如果能够创建新帐户的用户跳过基于域的密码策略,则他们可以创建具有空白密码的帐户。
例如,某个用户可以构建一个独立的计算机,创建一个或多个具有空白密码的帐户,然后将该计算机加入到域中。
具有空白密码的本地帐户仍将正常工作。
任何人如果知道其中一个未受保护的帐户的名称,都可以用它来登录。
启用“帐户:
使用空白密码的本地帐户只允许进行控制台登录”设置。
无。
这是默认配置。
重命名系统管理员帐户
此策略设置确定另一个帐户名是否与Administrator帐户的SID相关联。
重命名系统管理员帐户”设置的可能值为:
用户定义的文本
Administrator帐户存在于运行Windows2000、WindowsServer2003或WindowsXPProfessional操作系统的所有计算机上。
如果重命名此帐户,会使XX的人员更难猜测这个具有特权的用户名和密码组合。
无论攻击者可能使用多少次错误密码,内置的Administrator帐户都不能被锁定。
此功能使得Administrator帐户成为强力攻击(尝试猜测密码)的常见目标。
这个对策的价值之所以减少,是因为此帐户有一个众所周知的SID,而且第三方工具允许使用SID而非帐户名来进行身份验证。
因此,即使您重命名Administrator帐户,攻击者也可能会使用该SID来登录以发起强力攻击。
在“帐户:
重命名系统管理员帐户”设置中指定一个新名称,以重命名Administrator帐户。
在后面的章节中,此策略设置既未在安全模板中进行配置,也不是本指南所建议帐户的新用户名。
模板中忽略了这项策略设置,这样做是为了让使用本指南的众多组织将不在其环境中实现同样的新用户名。
您必须将这个新帐户名通知给授权使用此帐户的用户。
(有关此设置的指导假定Administrator帐户没有被禁用,这是本章前面建议的设置。
)
重命名来宾帐户
重命名来宾帐户”设置确定另一个帐户名是否与Guest帐户的SID相关联。
此组策略设置的可能值为:
Guest帐户存在于运行Windows2000、WindowsServer2003或WindowsXPProfessional操作系统的所有计算机上。
重命名来宾帐户”设置中指定一个新名称,以重命名Guest帐户。
影响应该会很小,因为在默认情况下,Windows2000、WindowsXP和WindowsServer2003中已禁用“Guest”帐户。
审核:
对备份和还原权限的使用进行审核
如果启用此策略设置,在计算机创建系统对象(如多用户端执行程序、事件、信号灯和MS-DOS设备)时,将应用默认的系统访问控制列表(SACL)。
如果如本指南第3章中所述,您还启用了“审核对象访问”审核设置,则会审核对这些系统对象的访问。
全局系统对象(又被称作“基本系统对象”或“基本命名对象”是存活时间很短的内核对象,它们的名称是由创建它们的应用程序或系统组件分配的。
这些对象经常用于同步多个应用程序或一个复杂应用程序的多个部分。
由于它们具有名称,因此这些对象在作用域内是全局的,从而对于计算机上的所有进程均可见。
这些对象都具有一个安全描述符,但是它们通常有一个空的系统访问控制列表。
如果在启动时启用此策略设置,内核将在这些对象被创建时向它们分配一个系统访问控制列表。
“审核:
对全局系统对象的访问进行审核”设置的可能值为:
如果没有正确地保护某个全局可见的命名对象,则知道该对象名称的恶意程序可能会针对该对象进行操作。
例如,如果某个同步对象(如多用户终端执行程序)有一个错误选择的任意访问控制列表(DACL),则恶意程序可以按名称访问这个多用户终端执行程序,并且导致创建这个多用户终端执行程序的程序无法正常工作。
但是,出现这种情况的风险会非常低。
启用“审核:
对全局系统对象的访问进行审核”设置。
如果启用“审核:
对全局系统对象的访问进行审核”设置,可能会生成大量安全事件,尤其是在繁忙的域控制器和应用程序服务器上。
这类情况可能导致服务器响应缓慢,并迫使安全事件日志记录许多无关紧要的事件。
此策略设置只能被启用或禁用,并且没有筛选记录哪些事件和不记录哪些事件的办法。
即使组织有能够分析由此策略设置所生成事件的资源,它们也不可能具有每个命名对象的源代码或关于其用途的说明。
因此,对于许多组织来说,将此策略设置配置为“已启用”,不大可能获得什么好处。
此策略设置确定在“审核权限使用”设置生效时,是否对所有用户权限(包括“备份和还原”权限)的使用进行审核。
如果启用这两个策略设置,会为备份或还原的每个文件生成一个审核事件。
如果启用此策略设置并结合使用“审核权限使用”设置,用户权限的任何行使状况都会记录在安全日志中。
如果禁用此策略设置,则即使启用“审核权限使用”,也不会对用户行使备份或还原权限的操作进行审核。
对备份和还原权限的使用进行审核”设置的可能值为:
如果在启用“审核权限使用”设置的同时启用此选项,则备份或还原每个文件都会生成一个审核事件。
此信息会帮助您识别被用于以XX的方式意外或恶意还原数据的帐户。
启用“对备份和还原权限的使用进行审核”设置。
或者,也可以通过配置AutoBackupLogFiles注册表项来实施自动记录备份,
如果启用此策略设置,可能会生成大量安全事件,这可能导致服务器响应缓慢,并迫使安全事件日志记录许多无关紧要的事件。
如果增加安全日志大小以减少系统关闭的机率,过大的日志文件可能影响系统性能。
如果无法记录安全审核则立即关闭系统
此策略设置确定在无法记录安全事件时是否关闭计算机。
可信计算机系统评测标准(TCSEC)(C2和通用标准认证)需要在审核系统无法记录可审核事件时,计算机能够防止出现这些事件。
Microsoft所选择的以满足此要求的方法是:
在无法审核系统时,暂停计算机并显示一则停止消息。
如果启用此策略设置,计算机会在出于任何原因不能记录安全审核时停止。
通常,当安全事件日志已满,而且为它指定的保留方法为“不覆盖事件”或“按天数覆盖事件”时,将无法记录事件。
启用此策略设置时,如果安全日志已满且不能覆盖现有条目,则会显示下列停止消息:
STOP:
C0000244{审核失败}
尝试生成安全审核失败。
要进行恢复,管理员必须登录,对日志进行存档(可选),清除日志,然后禁用此选项以允许计算机重新启动。
此时,可能需要先手动清除安全事件日志,然后才能将此策略设置配置为“已启用”。
如果无法记录安全审核则立即关闭系统”设置
升级会员 