从网络访问这台计算机.docx

1、从网络访问这台计算机用户权限1. 从网络访问这台计算机 1. 背景与远程 Windows 计算机进行交互的能力需要“从网络访问这台计算机”用户权限。此类网络操作的示例包括：在公用域或林中的域控制器之间复制 Active Directory、用户和计算机向域控制器发出身份验证请求，以及访问位于网络中远程计算机上的共享文件夹、打印机和其他系统服务。通过将用户、计算机和服务帐户显式或隐式地添加到已被授予“从网络访问这台计算机”用户权限的安全组中或将它们从此类安全组中删除，可相应地使这些用户、计算机和服务帐户获得或失去该用户权限。例如，用户帐户或计算机帐户可能被管理员显式添加到某个自定义或内置的安全组

2、中，或被操作系统隐式添加到计算安全组（如 Domain Users、Authenticated Users 或 Enterprise Domain Controllers）中。默认情况下，如果在默认域控制器的组策略对象 (GPO) 中定义了计算组（例如 Everyone 或 Authenticated Users，后者更好；若是域控制器，则为 Enterprise Domain Controllers 组），则会为用户帐户和计算机帐户授予“从网络访问这台计算机”用户权限。 2. 危险配置以下是危险配置： 从此用户权限中删除 Enterprise Domain Controllers 安全组 删

3、除 Authenticated Users 组或授予用户、计算机和服务帐户通过网络连接到计算机的用户权限的显式组 从此用户权限中删除所有用户和计算机3. 授予此用户权限的原因 通过向 Enterprise Domain Controllers 组授予“从网络访问这台计算机”用户权限，可满足在同一林中的域控制器之间进行 Active Directory 复制所必须具备的身份验证要求。 此用户权限允许用户和计算机访问共享文件、打印机和系统服务，包括 Active Directory。 用户使用早期版本的 Microsoft Outlook Web Access (OWA) 访问邮件时需要此用户权限

4、。4. 删除此用户权限的原因 那些可以将计算机连接到网络的用户可以访问他们具有权限的远程计算机上的资源。例如，用户需要具备此用户权限才能连接到共享打印机和文件夹。如果向 Everyone 组授予此用户权限，并且某些共享文件夹同时配置有共享和 NTFS 文件系统权限以使相同的组具有读取权限，则任何人均可查看这些共享文件夹中的文件。但是，Windows Server 2003 的全新安装不大可能出现这种情况，因为 Windows Server 2003 中默认的共享和 NTFS 权限不包括 Everyone 组。对于从 Microsoft Windows NT 4.0 或 Windows 2000

5、 升级的系统，这个弱点的危险性可能更高，因为这些操作系统默认的共享和文件系统权限的限制性不如 Windows Server 2003 中的默认权限严格。 从此用户权限中删除 Enterprise Domain Controllers 组并没有有效的根据。 通常会删除 Everyone 组，而倾向于使用 Authenticated Users 组。如果删除了 Everyone 组，则必须向 Authenticated Users 组授予此用户权限。 升级到 Windows 2000 的 Windows NT 4.0 域不会显式对 Everyone、Authenticated Users 或 En

6、terprise Domain Controllers 组授予“从网络访问这台计算机”用户权限。因此，如果从 Windows NT 4.0 域策略中删除了 Everyone 组，则在升级到 Windows 2000 后，Active Directory 复制将失败并出现“Access Denied”错误消息。Windows Server 2003 中的 Winnt32.exe 在升级 Windows NT 4.0 主域控制器 (PDC) 时会对 Enterprise Domain Controllers 组授予此用户权限，从而避免了这种错误配置。如果 Enterprise Domain Con

7、trollers 组不在组策略对象编辑器中，则向该组授予此用户权限。5. 兼容性问题的示例 Windows 2000 和 Windows Server 2003：对 Active Directory 架构、配置、域、全局编录或应用程序分区的复制将会失败，并且监视工具（如 REPLMON 和 REPADMIN）或事件日志中的复制事件会报告“Access Denied”错误。 所有 Microsoft 网络操作系统：除非已向用户或用户所属的安全组授予了此用户权限，否则来自远程网络客户端计算机的用户帐户身份验证将会失败。 所有 Microsoft 网络操作系统：除非已向帐户或帐户所属的安全组授予了此

8、用户权限，否则来自远程网络客户端的帐户身份验证将会失败。此情况适用于用户帐户、计算机帐户和服务帐户。 所有 Microsoft 网络操作系统：如果从此用户权限中删除所有帐户，则会阻止任何帐户登录到域或访问网络资源。如果删除了计算组（例如 Enterprise Domain Controllers、Everyone 或 Authenticated Users），则必须将此用户权限显式授予帐户或帐户所属的安全组才能通过网络访问远程计算机。此情况适用于所有用户帐户、所有计算机帐户和所有服务帐户。 所有 Microsoft 网络操作系统：本地管理员帐户使用“空”密码。在域环境中，不允许管理员帐户使用空

9、密码进行网络连接。如果使用此配置，将收到“Access Denied”错误消息。2. 允许在本地登录 1. 背景尝试在 Microsoft Windows 计算机的控制台上登录的用户（使用 Ctrl+Alt+Delete 登录按键顺序）和尝试启动服务的帐户必须在主机计算机上具有本地登录权限。本地登录操作的示例包括：管理员登录到企业中成员计算机或域控制器的控制台和域用户使用非特权帐户登录到成员计算机以访问其桌面。使用远程桌面连接或终端服务的用户在运行 Windows 2000 或 Windows XP 的目标计算机上必须具有“允许在本地登录”用户权限，因为这些登录模式对于主机计算机来说是本地的。

10、如果用户登录到启用了终端服务的服务器而又不具有此用户权限，但他们具有“允许通过终端服务登录”用户权限，则他们仍可以在 Windows Server 2003 域中启动远程交互式会话。 2. 危险配置以下是危险配置： 从默认域控制器策略中删除管理安全组，包括 Account Operators、Backup Operators、Print Operators、Server Operators 和内置 Administrators 组。 从默认域控制器策略中删除域中成员计算机和域控制器上的组件和程序所使用的服务帐户。 删除登录到域中成员计算机的控制台的用户或安全组。 删除在成员计算机或工作组计算机

11、的安全帐户管理器 (SAM) 数据库中定义的服务帐户。 删除通过在域控制器上运行的终端服务进行身份验证的非内置管理帐户。 通过 Everyone 组将域中的所有用户帐户显式或隐式添加到“拒绝本地登录”登录权限中。此配置会阻止用户登录到域中的任何成员计算机或任何域控制器。3. 授予此用户权限的原因 用户必须具有“允许在本地登录”用户权限才能访问工作组计算机、成员计算机或域控制器的控制台或桌面。 用户必须具有此用户权限才能通过在 Window 2000 成员计算机或域控制器上运行的终端服务会话进行登录。4. 删除此用户权限的原因 如果未能将控制台访问权限制在合法的用户帐户范围内，则XX的用户可能下

12、载并执行恶意代码来更改他们的用户权限。 删除“允许在本地登录”用户权限可以阻止XX即在计算机（例如域控制器或应用程序服务器）的控制台上登录。 删除此登录权限可以阻止非域帐户登录域中成员计算机的控制台。5. 兼容性问题的示例 Windows 2000 终端服务器：为了登录到 Windows 2000 终端服务器，用户需要“允许在本地登录”用户权限。 Windows NT 4.0、Windows 2000、Windows XP 或 Windows Server 2003：必须向用户帐户授予此用户权限，它们才能登录运行 Windows NT 4.0、Windows 2000、Windows XP 或

13、 Windows Server 2003 的计算机的控制台。 Windows NT 4.0 和更高版本：在运行 Windows NT 4.0 和更高版本的计算机上，如果添加“允许在本地登录”用户权限，但又隐式或显式授予了“拒绝本地登录”登录权限，则帐户将无法登录到域控制器的控制台。3. 跳过遍历检查 1. 背景“跳过遍历检查”用户权限允许用户浏览 NTFS 文件系统或注册表中的文件夹，而无需检查用户是否具有“遍历文件夹”的特殊访问权限。“跳过遍历检查”用户权限不允许用户列出文件夹的内容，只允许用户遍历其文件夹。 2. 危险配置以下是危险配置： 删除登录到基于 Windows 2000 或基于

14、Windows Server 2003 的终端服务计算机上而且缺少访问文件系统中的文件和文件夹的权限的非管理性帐户。 从安全主体列表中删除 Everyone 组，默认情况下，这些安全主体具有此用户权限。根据 Windows 操作系统和许多程序的设计思路，系统认为可以合法访问计算机的任何人都应该具有“跳过遍历检查”用户权限。因此，从默认具有此用户权限的安全主体列表中删除 Everyone 组可能导致操作系统不稳定或程序故障。最好保留此设置的默认值。3. 授予此用户权限的原因“跳过遍历检查”用户权限的默认设置是允许任何人跳过遍历检查。对于有经验的 Windows 系统管理员，这是预期的行为，他们会

15、相应地配置文件系统访问控制列表 (SACL)。如果配置权限的管理员不了解该行为并认为不能访问父文件夹的用户将无法访问任何子文件夹的内容，则默认配置可能导致问题，这也是默认配置可能导致问题的唯一情况。 4. 删除此用户权限的原因非常注重安全性的组织可能很想要从具有“跳过遍历检查”用户权限的组的列表中删除 Everyone 组，甚至可能删除 Users 组，以试图阻止对文件系统中文件或文件夹的访问。 5. 兼容性问题的示例 Windows 2000、Windows Server 2003：如果在运行 Windows 2000 或 Windows Server 2003 的计算机上删除或错误地配置了

16、“跳过遍历检查”用户权限，则无法在域中的域控制器之间复制 SYVOL 文件夹中的组策略设置。 Windows 2000、Windows XP Professional、Windows Server 2003：如果删除或错误地配置了“跳过遍历检查”用户权限，则在从 SYSVOL 树中删除所需的文件系统权限时，运行 Windows 2000、Windows XP Professional 或 Windows Server 2003 的计算机将记录事件 1000 和 1202 而且无法应用计算机策略和用户策略。 有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 2

17、90647 ( ) 应用程序事件日志中每 5 分钟记录一次 Event ID 1000、1001 Windows 2000、Windows Server 2003：在运行 Windows 2000 或 Windows Server 2003 的计算机上，当您查看卷的属性时，Windows 资源管理器中的“配额”选项卡将会消失。 Windows 2000：登录到 Windows 2000 终端服务器的非管理员可能会收到以下错误消息： Userinit.exe 应用程序错误。应用程序正常初始化 0xc0000142 失败。请单击“确定”，终止应用程序。有关更多信息，请单击下面的文章编号，以查看 M

18、icrosoft 知识库中相应的文章： 272142 ( ) 用户在尝试登录到终端服务时会自动注销 (EN) Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003：在运行 Windows NT 4.0、Windows 2000、Windows XP 或 Windows Server 2003 的计算机上，如果未对用户授予“跳过遍历检查”用户权限，则这些用户可能无法访问共享文件夹或共享文件夹中的文件，并且可能收到“Access Denied”错误消息。 有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文

19、章： 277644 ( ) 用户尝试访问共享文件夹时出现“Access Denied”（拒绝访问）错误信息 Windows NT 4.0：在基于 Windows NT 4.0 的计算机上，删除“跳过遍历检查”用户权限将导致文件复制过程丢失文件流。如果删除此用户权限，则在将文件从 Windows 客户端或 Macintosh 客户端复制到运行 Macintosh 服务的 Windows NT 4.0 域控制器时，会丢失目标文件流，并且该文件会显示为纯文本文件。 有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 172930 ( ) 删除“跳过遍历检查”导致文件

20、复制过程丢失文件流 (EN) Microsoft Windows 95、Microsoft Windows 98：在运行 Windows 95 或 Windows 98 的客户端计算机上，如果未向 Authenticated Users 组授予“跳过遍历检查”用户权限，则 net use * /home 命令会失败并显示“Access Denied”错误消息。 Outlook Web Access：如果未向非管理员授予“跳过遍历检查”用户权限，则他们将无法登录到 Microsoft Outlook Web Access，并会收到“Access Denied”错误消息。安全设置 1. 审核:如果

21、无法记录安全审核则立即关闭系统 1. 背景 “审核:如果无法记录安全审核则立即关闭系统”设置可确定在无法记录安全事件时是否关闭系统。如果审核系统不能记录这些事件，则可信计算机安全评估标准 (TCSEC) 方案的 C2 评估和信息技术安全评估的通用标准需要此设置以防止发生可审核事件。如果审核系统失败，则关闭系统，并出现停止错误消息。 如果计算机不能将事件记录到安全日志中，则发生安全事故后可能没有关键证据或重要的故障排除信息可供查看。2. 危险配置以下是一种危险配置：“审核:如果无法记录安全审核则立即关闭系统”设置打开，并且事件查看器中的安全事件日志的大小受以下选项约束：“不要覆盖事件(手动清除日

22、志)”选项、“按需要覆盖事件”选项、“覆盖时间超过 number 天的事件”选项。请参见“兼容性问题的示例”部分，了解运行最初发布的 Windows 2000、Windows 2000 Service Pack 1 (SP1)、Windows 2000 SP2 或 Windows 2000 SP3 版本的计算机的特定风险。 3. 启用此设置的原因如果计算机不能将事件记录到安全日志中，则发生安全事故后可能没有关键证据或重要的故障排除信息可供查看。 4. 禁用此设置的原因 启用了“审核:如果无法记录安全审核则立即关闭系统”设置后，如果由于任何原因无法记录安全审核，则会关闭系统。如果安全审核日志已满

23、并且其指定的保留方法为“不要覆盖事件(手动清除日志)”选项或“覆盖时间超过 number 天的事件”选项时，通常无法记录事件。 如果启用了“审核:如果无法记录安全审核则立即关闭系统”设置，则可能导致非常重的管理负担，尤其是在您还为安全日志打开了“不要覆盖事件(手动清除日志)”选项的情况下。此设置可以追查操作员的操作。例如，管理员可以使用内置管理员帐户或其他共享帐户来重置启用了审核的组织单位 (OU) 中所有用户、计算机和组上的权限，然后拒绝他们重置这些权限。但是，因为写入安全日志的大量登录事件和其他安全事件可能会使服务器不堪重负而被迫关闭，所以启用此设置确实会降低系统的稳定性。另外，因为不是正

24、常关闭，还可能对操作系统、程序或数据造成无法修复的损坏。虽然 NTFS 可以在非正常系统关闭过程中确保文件系统的完整性得以保持，但它无法保证每个程序的每个数据文件在系统重新启动后仍处于可以使用的状态。5. 符号名称：CrashOnAuditFail 6. 注册表路径： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaCrashOnAuditFail (Reg_DWORD)7. 兼容性问题的示例 Windows 2000：由于存在错误，运行最初发布的 Windows 2000、Windows 2000 SP1、Windows 2000 SP2

25、 或 Windows Server SP3 版本的计算机可能在达到“最大日志大小”选项中指定的安全事件日志大小之前就停止记录事件。此错误在 Windows 2000 Service Pack 4 (SP4) 中得到修复。在考虑启用此设置之前，确保您的 Windows 2000 域控制器安装了 Windows 2000 Service Pack 4。有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 312571 ( ) 在事件日志停止在达到最大日志大小之前记录事件 Windows 2000、Windows Server 2003：如果打开了“审核:如果无法记录

26、安全审核则立即关闭系统”设置，在安全日志已满并且不能覆盖现有事件日志项的情况下，运行 Windows 2000 或 Windows Server 2003 的计算机可能会停止响应，然后自行重新启动。当计算机重新启动后，出现以下停止错误消息： 停止:C0000244 审核失败未能生成安全审核。 要进行恢复，管理员必须登录，对安全日志进行存档（可选），清除安全日志，然后重置此选项（可选，根据需要进行）。 用于 MS-DOS、Windows 95、Windows 98、Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003 的 Micro

27、soft 网络客户端：尝试登录到域的非管理员会收到以下错误消息： 您的帐户配置为阻止您使用该计算机。请尝试其他计算机。有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 160783 ( ) 错误消息：Users cannot log on to a workstation（用户无法登录到工作站） (EN) Windows 2000：在基于 Windows 2000 的计算机上，非管理员将无法登录到远程访问服务器，并且收到类似于以下内容的错误消息： Unknown user or bad password有关更多信息，请单击下面的文章编号，以查看 Micros

28、oft 知识库中相应的文章： 285665 ( ) 错误消息：您的帐户配置为阻止您使用该计算机 (EN) Windows 2000：在 Windows 2000 域控制器上，站点间消息服务 (Ismserv.exe) 将停止且无法重新启动。DCDIAG 会将此错误报告为“failed test services ISMserv”，并在事件日志中记录事件 ID 1083。 Windows 2000：在 Windows 2000 域控制器上，如果安全事件日志已满，则 Active Directory 复制将失败并出现“Access Denied”消息。 Microsoft Exchange 200

29、0：运行 Exchange 2000 的服务器无法装入信息存储数据库，事件日志中将记录事件 2102。 有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 314294 ( ) XADM：由于 SeSecurityPrivilege 权限和策略测试存在问题而产生 Exchange 2000 错误信息 Outlook、Outlook Web Access：非管理员无法通过 Microsoft Outlook 或 Microsoft Outlook Web Access 访问他们的邮件，并且收到 503 错误。2. 域控制器：LDAP 服务器签名要求 1. 背景“

30、域控制器:LDAP 服务器签名要求”安全设置可确定轻型目录访问协议 (LDAP) 服务器是否需要 LDAP 客户端协商数据签名。此策略设置的可能值包括： 无：绑定到服务器不需要数据签名。如果客户端请求数据签名，则服务器将支持它。 要求签名：除非正在使用传输层安全/安全套接字层 (TLS/SSL)，否则必须协商 LDAP 数据签名选项。 未定义：未启用或禁用此设置。2. 危险配置以下是危险配置： 在客户端不支持 LDAP 签名或在客户端上未启用客户端 LDAP 签名的环境中，启用“要求签名” 在客户端不支持 LDAP 签名或未启用客户端 LDAP 签名的环境中，应用 Windows 2000 或 Windows Server 2003 Hisecdc.inf 安全模板 在客户端不支持 LDAP 签名或未启用客户端 LDAP 签名的环境中，应用 Windows 2000 或 Windows Server 2003 Hisecws.inf 安全模板3. 启用此设置的原因未经签名的网络通信容易受到中间人攻击，入侵者可以捕获客户端和服务器之间的数据包，修改数据包，然后将它们转发到服务器。当此行为发生在 LDAP 服务器上时，攻击者会导致服务器根据来自 LDAP 客户端的错误查询而进行决策。您可以降低企业网络中的这种风险，方法是实