Windows XP 客户端安全设置Word文档下载推荐.docx
《Windows XP 客户端安全设置Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《Windows XP 客户端安全设置Word文档下载推荐.docx(69页珍藏版)》请在冰豆网上搜索。
确定并配置适当的“用户权限分配”设置,以保护用户环境
使用“安全选项”设置来控制用户登录环境
使用“安全选项”设置来配置设备的默认行为和辅助功能
使用“安全选项”设置来重命名敏感的帐户
使用“安全选项”设置来保护客户端和服务器之间的通信
使用“安全选项”设置来控制网络访问级别
使用“安全选项”设置来配置“恢复控制台”的行为
使用“安全选项”设置来控制“关闭系统”行为
为“事件日志”的大小、保持和辅助功能确定并配置适当的设置
使用“受限制的组”设置来控制敏感组的成员身份
为“系统服务”行为确定并配置适当的设置
使用适当的设置来保护文件系统
本模块适用于下列产品和技术
WindowsServer2003域中的WindowsXPProfessional客户端
本模块提供详细划分的各种组策略设置,这些设置是保护WindowsServer2003域中的WindowsXPProfessional企业客户端或高安全级客户端所必需的。
要从本模块获取更多内容,请执行下列操作:
阅读本指南中的模块1“WindowsXP安全指南简介”。
该模块定义了在此模块中引用的企业客户端环境和高安全级环境。
阅读本指南中的模块2“配置ActiveDirectory域基础结构”,其中描述了如何在WindowsServer2003域中应用组策略。
阅读以下配套指南中的模块6“事件日志”:
《ThreatsandCountermeasuresSecuritySettingsinWindowsServer2003andWindowsXP》(威胁和对策:
WindowsServer2003和WindowsXP中的安全设置)。
其中提供有关日志文件设置的详细信息。
阅读本指南中的模块6“WindowsXP客户端的软件限制策略”,它将使您了解如何使用软件限制策略。
使用检查表。
本指南“检查表”部分中的检查表“WindowsXP安全设置检查表”提供可打印的作业指导,以供快速参考。
使用基于任务的检查表可以快速评估需要哪些步骤并帮助您逐步完成各个步骤。
使用本指南中提供的“WindowsXP安全指南设置”电子表格。
它将帮助您记录在您的环境中配置的设置。
使用本指南中提供的安全模板。
这些模板将使您能够在一次操作中应用本模块中讨论的所有设置。
对于台式计算机和便携式计算机,均提供了针对WindowsXPProfessional企业客户端和高安全级客户端的安全模板。
正如模块1“WindowsXP安全指南简介”中所述,本模块中提供的指导特定于在本指南中定义的企业客户端环境和高安全级环境。
在某些情况下,本指南建议在便携式计算机上使用与台式计算机不同的设置,这是由于便携式计算机是移动的,并且不总是通过企业网络连接到环境中的域控制器。
本指南还假设便携式计算机用户在非正常工作时间工作,而此时没有现场技术支持。
因此,对于便携式客户端来说,需要连接到域控制器或者控制登录时间的设置会有所不同。
请记住,本模块中的指导所提出的建议只是为了让您便于根据自己的业务需求对其进行调整。
下表定义本指南中提供的基础结构(.inf)文件。
这些文件包含在本指南中定义的两种环境的所有基准安全设置建议。
表3.1:
基准安全模板
说明
企业客户端
高安全级
台式计算机的基准安全模板
EnterpriseClient-desktop.inf
HighSecurity-desktop.inf
便携式计算机的基准安全模板
EnterpriseClient-laptop.inf
HighSecurity-laptop.inf
有关本模块中所讨论的设置的更多详细信息,请参见配套指南《ThreatsandCountermeasuresSecuritySettingsinWindowsServer2003andWindowsXP》。
本模块中未涵盖“帐户策略”设置,这些设置将在本指南的模块2“配置ActiveDirectory域基础结构”中讨论。
“本地策略设置”可在运行WindowsXPProfessional的任何计算机上进行本地配置,这可通过使用“本地安全策略控制台”或通过基于MicrosoftActiveDirectory®
域的组策略对象(GPO)来配置。
“本地策略”设置包括“审核策略”、“用户权限分配”和“安全选项”。
“审核策略”用于确定要向管理员报告的安全事件,以便记录具有指定事件类别的用户或系统活动。
管理员可以监视与安全有关的活动,如谁访问某个对象、用户何时登录或注销某台计算机、是否对审核策略设置进行过更改。
基于所有这些原因,Microsoft建议您为管理员创建一个可在您的环境中实现的审核策略。
在实现审核策略之前,必须确定在您的企业环境中需要审核哪些类别的事件。
企业审核策略由您在事件类别中选择的审核设置来定义。
通过为特定的事件类别定义审核策略设置,管理员可以根据组织的安全需求创建审核策略。
如果未配置任何审核设置,将很难或者不可能确定在遇到安全事件时所发生的情况。
不过,如果因为配置了审核而导致有太多的授权活动生成事件的话,安全事件日志中则将充满无用的数据。
下面的建议旨在帮助您在确定要监视的内容以及确定如何为组织收集相关审核数据时找到平衡点。
可以使用“组策略对象编辑器”在以下位置配置WindowsXP的审核策略设置:
计算机配置\Windows设置\安全设置\本地策略\审核策略
表3.2:
用于保护WindowsXP计算机的审核策略设置
UI中的设置名称
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
审核帐户登录事件
成功、失败
审核帐户管理
审核目录服务访问
无审核
审核登录事件
审核对象访问
审核策略更改
成功
审核特权使用
失败
审核过程跟踪
审核系统事件
表3.3:
设置
“审核帐户登录事件”设置用于跟踪使用域登录凭据从本地控制台、网络或服务帐户进行的登录尝试。
要准确地确定用户何时成功或不成功地登录系统,必须启用此审核设置。
启用此审核策略设置后,管理员可以跟踪在您的环境中,组织中的网络上有哪些系统正由运行WindowsXP的计算机访问。
因此,在本指南中定义的两种环境中,“审核帐户登录事件”设置被配置为“成功”和“失败”。
表3.4:
“审核帐户管理”设置用于跟踪以下企图:
新建用户或组、重命名用户或组、启用或禁用用户帐户、更改帐户密码、启用对帐户管理事件的审核。
启用此审核策略设置后,管理员可跟踪事件,以检测恶意创建、意外创建和授权创建用户帐户和组帐户的情况。
因此,在本指南中定义的两种环境中,“审核帐户管理”设置被配置为“成功”和“失败”。
表3.5:
启用“审核目录服务访问”设置只是为了针对域控制器执行审核。
因此,未在工作站级别定义此设置。
此设置不适用于运行WindowsXPProfessional的计算机。
因此,在本指南中定义的两种环境中,确保“审核目录服务访问”设置被配置为“无审核”。
表3.6:
“审核登录事件”设置用于跟踪使用本地计算机登录凭据从本地控制台和网络以及批帐户或服务帐户进行的成功和失败的登录尝试。
启用此审核策略设置后,管理员可以跟踪这些事件并获得如下记录:
谁成功和谁未能成功登录到组织中运行WindowsXP的计算机。
因此,在本指南中定义的两种环境中,“审核登录事件”设置被配置为“成功”和“失败”。
表3.7:
在WindowsXP中,可以跟踪用户对特定文件和文件夹的访问。
“审核对象访问”设置允许您跟踪那些通过某些对象来对敏感数据的访问,这些对象可以是特定于文件、文件夹、打印机、注册表项的对象,还可以是其他可设置为要审核的对象。
要跟踪用户对这些对象的访问,必须首先访问每个文件或文件夹,然后启用该对象的安全属性,以审核用户访问。
而后必须启用“审核对象访问”设置,以返回成功和失败记录。
启用此审核策略设置可按照为特定对象定义的审核规则来记录事件。
在此审核策略中选中“失败”选项,可确保能够监视入侵者对敏感数据的访问企图。
随后,在安全事件日志中,将针对满足此审核功能的审核要求的指定文件和文件夹生成有关访问事件的记录。
因此,在本指南中定义的两种环境中,“审核对象访问”设置被配置为“成功”和“失败”。
下列过程详述如何对文件或文件夹手动设置审核规则,然后针对指定文件或文件夹中的每个对象测试每个审核规则。
此过程可通过脚本自动执行。
为文件或文件夹定义审核规则
1.
使用Windows资源管理器定位该文件或文件夹,然后选择它。
2.
单击“文件”菜单并选择“属性”。
3.
单击“安全”选项卡,然后单击“高级”按钮。
4.
单击“审核”选项卡。
5.
单击“添加”按钮,随后将出现“选择用户、计算机或组”对话框。
6.
单击“对象类型”按钮,然后在“对象类型”对话框中,选择要查找的对象类型。
注意:
“用户、组和内置安全主体”对象类型会默认选中。
7.
单击“位置”按钮,然后在“位置”对话框中,选择域中的计算机或本地计算机。
8.
在“选择用户或组”对话框中,键入要审核的组或用户的名称。
然后,在“输入要选择的对象名称”对话框中,键入AuthenticatedUsers,以审核所有经过验证的用户的访问,然后单击“确定”。
将打开“审核项目”对话框。
9.
使用“审核项目”对话框,确定要针对文件或文件夹进行审核的访问类型。
请记住,每次访问都会在事件日志中生成多个事件,这会导致日志迅速变大。
10.
在“审核项目”对话框中,选中“列出文件夹/读取数据”旁边的“成功”和“失败”,然后单击“确定”。
11.
已启用的审核项目将出现在“高级安全设置”对话框的“审核”选项卡下面。
12.
单击“确定”关闭“属性”对话框。
使用下列过程测试已配置的每个审核规则。
测试文件或文件夹的审核规则
打开该文件或文件夹。
关闭该文件或文件夹。
启动“事件查看器”。
将在“安全事件日志”中出现几个事件ID为560的对象访问事件。
根据需要双击这些事件,查看有关它们的详细信息。
表3.8:
“审核策略更改”设置允许您跟踪对用户权限、审核策略或信任策略进行的更改。
如果为该设置配置值,可确保您能够验证对组策略的授权更改,并检测任何XX的更改。
启用此设置后,可将对用户权限、审核策略或信任策略进行的更改作为事件记录在安全事件日志中。
因此,在本指南中描述的两种环境中,“审核策略更改”设置被配置为“成功”。
如果包括“失败”这一设置值,将不会在安全事件日志中提供有意义的访问信息。
有关其他信息,请参见本模块“其他信息”部分中提到的“MicrosoftWindowsSecurityResourceKit”。
表3.9:
“审核特权使用”设置允许您审核符合以下条件的任何操作:
要求用户帐户使用已分配给它的任何额外特权的任何操作。
启用此设置后,如果有用户或进程尝试回避遍历检查、调试程序、创建令牌对象、替换进程级令牌或生成安全审核,则会导致在安全事件日志中记录已审核的事件。
使用此设置,还可以在某个用户或帐户尝试使用“备份”或“还原”用户权限备份或还原文件或目录时,生成事件。
但是,只有在启用了用来审核备份和还原企图的安全选项时,这些审核事件才会触发。
所有用户帐户都会定期使用特权。
如果将此设置配置为同时审核成功和失败的事件,将导致在安全事件日志中快速聚积大量事件记录。
如此之大的数量反映的是正常用户行为,对这些事件进行排序也就成为了详细审核开销成本的一部分。
对于企业客户端环境未提供有关此设置的指导,这是由于在该安全环境中建议不对大多数用户权限使用组策略。
如果您的组织将用户权限分配给用户帐户或组,请考虑启用此设置,以审核组织中较高权限的使用情况。
本指南中定义的高安全级环境中启用了此设置,这是因为在该环境中WindowsXP中可用的大多数用户权限都是建议使用的。
因此,在企业客户端环境中,“审核特权使用”设置被配置为“无审核”。
但是在高安全级环境中,此设置配置为“失败”,以便审核所有失败的使用额外特权的尝试。
表3.10:
“审核过程跟踪”设置允许您在应用程序或用户启动、停止或更改进程时进行审核,并在安全事件日志中记录有关每个实例的事件。
启用过程跟踪对于排除应用程序故障和了解应用程序工作方式非常有用;
只有在跟踪特定应用程序行为时,才建议使用此设置。
但是,启用此设置将在安全事件日志中快速生成大量事件。
因此,在本指南中定义的两种环境中,“审核过程跟踪”设置被配置为“无审核”。
表3.11:
“审核系统事件”设置非常重要,因为它允许您监视成功和失败的系统事件,并提供有关这些事件的记录,从而帮助您确定XX的系统访问的实例。
系统事件包括启动或关闭环境中的计算机、全部事件日志或其他与影响整个系统的安全相关事件。
因此,在企业客户端环境中,“审核系统事件”设置被配置为“成功”。
但是,在高安全级环境中,此设置被配置为“成功”和“失败”,以便实现额外的安全性。
除了WindowsXPProfessional中的许多特权组之外,还可以为用户和组分配许多用户权限,以便授予他们高于普通用户的特权。
在这些额外的用户权限中,有许多(但并非全部)用户权限都适用于WindowsXPProfessional。
要将用户权限的值设置为“NoOne”,请启用此设置,但是不向其中添加任何用户或组。
要将用户权限的值设置为“没有定义”,请不要启用此设置。
在WindowsXP中,“用户权限分配”设置可在组策略对象编辑器中的如下位置进行配置:
计算机配置\Windows设置\安全设置\本地策略\用户权限分配
表3.12:
用于保护WindowsXP计算机的“用户权限分配”设置
从网络访问此计算机
Administrators,Users
通过终端服务允许登录
Administrators
NoOne
备份文件和目录
没有定义
跳过遍历检查
Users
更改系统时间
调试程序
通过终端服务拒绝登录
Everyone
从远程系统强制关机
在本地登录
配置单一进程
还原文件和目录
关闭系统
表3.13:
“从网络访问此计算机”用户权限用于确定允许哪些用户和组通过网络连接到计算机。
此用户权限是许多网络协议所必需的,这些协议包括基于服务器消息块(SMB)的协议、网络基本输入/输出系统(NetBIOS)、通用Internet文件系统(CIFS)、超文本传输协议(HTTP)和组件对象模型(COM+)。
一些程序会自动将“Everyone”组添加到此用户权限的用户帐户列表中。
这个组允许授权用户以及其他所有来宾和匿名用户都访问您的网络上的计算机。
如果将此用户权限限制为管理员和用户,将阻止本地安装的应用程序或登录用户尝试添加用户或组,从而防止出现上述情况。
因此,在本指南中定义的两种环境中,“从网络访问此计算机”用户权限仅限制于“Administrators”和“Users”组。
表3.14:
“通过终端服务允许登录”用户权限用于确定哪些用户或组有权作为终端服务客户端进行登录。
远程桌面用户需要此权限。
如果将“远程协助”用作企业技术支持策略的一部分,请创建一个组,并通过组策略向该组授予此权限。
如果组织中的技术支持部门不使用远程协助,则仅向“Administrators”组授予此权限。
如果将此权限限制于“Administrators”组(可能还包括“HelpDesk”技术人员组),将防止非法用户通过WindowsXPProfessional中新的“远程协助”功能从网络访问计算机。
因此,在企业客户端环境中,“通过终端服务允许登录”用户权限仅限制于“Administrators”组,在高安全级环境中,此权限限制为“NoOne”,以便实现额外的安全性。
表3.15:
“备份文件和目录”用户权限允许用户越过文件和目录权限来备份系统。
只有当应用程序尝试使用NTFS文件系统备份应用程序编程接口(API)(例如NTBACKUP.EXE)访问文件或目录时,才启用此权限。
否则,请应用普通的文件和目录权限。
Microsoft建议限制此用户权限,将对环境中客户端上的文件和文件夹的访问限制于高安全级环境中的本地“Administrators”组。
因此,只有在高安全级环境中,才将“备份文件和目录”用户权限限制于“Administrators”组。
在企业客户端环境中,对于此用户权限未规定任何组。
表3.16:
“跳过遍历检查”用户权限允许访问文件或文件夹,而与它们所在的父文件夹的用户权限限制无关。
换句话说,当用户导航NTFS文件系统或注册表中的对象路径时,此用户权限禁止检查特殊的访问权限“遍历文
升级会员 