Windows XP 客户端安全设置Word文档下载推荐.docx

1、确定并配置适当的“用户权限分配”设置，以保护用户环境使用“安全选项”设置来控制用户登录环境使用“安全选项”设置来配置设备的默认行为和辅助功能使用“安全选项”设置来重命名敏感的帐户使用“安全选项”设置来保护客户端和服务器之间的通信使用“安全选项”设置来控制网络访问级别使用“安全选项”设置来配置“恢复控制台”的行为使用“安全选项”设置来控制“关闭系统”行为为“事件日志”的大小、保持和辅助功能确定并配置适当的设置使用“受限制的组”设置来控制敏感组的成员身份为“系统服务”行为确定并配置适当的设置使用适当的设置来保护文件系统本模块适用于下列产品和技术Windows Server 2003 域中的 Win

2、dows XP Professional 客户端本模块提供详细划分的各种组策略设置，这些设置是保护 Windows Server 2003 域中的 Windows XP Professional 企业客户端或高安全级客户端所必需的。要从本模块获取更多内容，请执行下列操作：阅读本指南中的模块 1“Windows XP 安全指南简介”。该模块定义了在此模块中引用的企业客户端环境和高安全级环境。阅读本指南中的模块 2“配置 Active Directory 域基础结构”，其中描述了如何在 Windows Server 2003 域中应用组策略。阅读以下配套指南中的模块 6“事件日志”：Threats

3、 and Countermeasures Security Settings in Windows Server 2003 and Windows XP（威胁和对策：Windows Server 2003 和 Windows XP 中的安全设置）。其中提供有关日志文件设置的详细信息。阅读本指南中的模块 6“Windows XP 客户端的软件限制策略”，它将使您了解如何使用软件限制策略。使用检查表。本指南“检查表”部分中的检查表“Windows XP 安全设置检查表”提供可打印的作业指导，以供快速参考。使用基于任务的检查表可以快速评估需要哪些步骤并帮助您逐步完成各个步骤。使用本指南中提供的“Wi

4、ndows XP 安全指南设置”电子表格。它将帮助您记录在您的环境中配置的设置。使用本指南中提供的安全模板。这些模板将使您能够在一次操作中应用本模块中讨论的所有设置。对于台式计算机和便携式计算机，均提供了针对 Windows XP Professional 企业客户端和高安全级客户端的安全模板。正如模块 1“Windows XP 安全指南简介”中所述，本模块中提供的指导特定于在本指南中定义的企业客户端环境和高安全级环境。在某些情况下，本指南建议在便携式计算机上使用与台式计算机不同的设置，这是由于便携式计算机是移动的，并且不总是通过企业网络连接到环境中的域控制器。本指南还假设便携式计算机用户在非

5、正常工作时间工作，而此时没有现场技术支持。因此，对于便携式客户端来说，需要连接到域控制器或者控制登录时间的设置会有所不同。请记住，本模块中的指导所提出的建议只是为了让您便于根据自己的业务需求对其进行调整。下表定义本指南中提供的基础结构 （.inf） 文件。这些文件包含在本指南中定义的两种环境的所有基准安全设置建议。表 3.1：基准安全模板说明企业客户端高安全级台式计算机的基准安全模板Enterprise Client - desktop.infHigh Security - desktop.inf便携式计算机的基准安全模板Enterprise Client - laptop.infHigh S

6、ecurity - laptop.inf有关本模块中所讨论的设置的更多详细信息，请参见配套指南Threats and Countermeasures Security Settings in Windows Server 2003 and Windows XP。 本模块中未涵盖“帐户策略”设置，这些设置将在本指南的模块 2 “配置 Active Directory 域基础结构”中讨论。“本地策略设置”可在运行 Windows XP Professional 的任何计算机上进行本地配置，这可通过使用“本地安全策略控制台”或通过基于 Microsoft Active Directory 域的组策略

7、对象 （GPO） 来配置。“本地策略”设置包括“审核策略”、“用户权限分配”和“安全选项”。“审核策略”用于确定要向管理员报告的安全事件，以便记录具有指定事件类别的用户或系统活动。管理员可以监视与安全有关的活动，如谁访问某个对象、用户何时登录或注销某台计算机、是否对审核策略设置进行过更改。基于所有这些原因，Microsoft 建议您为管理员创建一个可在您的环境中实现的审核策略。在实现审核策略之前，必须确定在您的企业环境中需要审核哪些类别的事件。企业审核策略由您在事件类别中选择的审核设置来定义。通过为特定的事件类别定义审核策略设置，管理员可以根据组织的安全需求创建审核策略。如果未配置任何审核设置

8、，将很难或者不可能确定在遇到安全事件时所发生的情况。不过，如果因为配置了审核而导致有太多的授权活动生成事件的话，安全事件日志中则将充满无用的数据。下面的建议旨在帮助您在确定要监视的内容以及确定如何为组织收集相关审核数据时找到平衡点。可以使用“组策略对象编辑器”在以下位置配置 Windows XP 的审核策略设置：计算机配置Windows 设置安全设置本地策略审核策略表 3.2：用于保护 Windows XP 计算机的审核策略设置UI 中的设置名称 企业客户端台式计算机企业客户端便携式计算机高安全级台式计算机高安全级便携式计算机审核帐户登录事件成功、失败审核帐户管理审核目录服务访问无审核审核登录

9、事件审核对象访问审核策略更改成功审核特权使用失败审核过程跟踪审核系统事件表 3.3：设置“审核帐户登录事件”设置用于跟踪使用域登录凭据从本地控制台、网络或服务帐户进行的登录尝试。要准确地确定用户何时成功或不成功地登录系统，必须启用此审核设置。启用此审核策略设置后，管理员可以跟踪在您的环境中，组织中的网络上有哪些系统正由运行 Windows XP 的计算机访问。因此，在本指南中定义的两种环境中，“审核帐户登录事件”设置被配置为“成功”和“失败”。表 3.4：“审核帐户管理”设置用于跟踪以下企图：新建用户或组、重命名用户或组、启用或禁用用户帐户、更改帐户密码、启用对帐户管理事件的审核。启用此审核策

10、略设置后，管理员可跟踪事件，以检测恶意创建、意外创建和授权创建用户帐户和组帐户的情况。因此，在本指南中定义的两种环境中，“审核帐户管理”设置被配置为“成功”和“失败”。表 3.5：启用“审核目录服务访问”设置只是为了针对域控制器执行审核。因此，未在工作站级别定义此设置。此设置不适用于运行 Windows XP Professional 的计算机。因此，在本指南中定义的两种环境中，确保“审核目录服务访问”设置被配置为“无审核”。表 3.6：“审核登录事件”设置用于跟踪使用本地计算机登录凭据从本地控制台和网络以及批帐户或服务帐户进行的成功和失败的登录尝试。启用此审核策略设置后，管理员可以跟踪这些事

11、件并获得如下记录：谁成功和谁未能成功登录到组织中运行 Windows XP 的计算机。因此，在本指南中定义的两种环境中，“审核登录事件”设置被配置为“成功”和“失败”。表 3.7：在 Windows XP 中，可以跟踪用户对特定文件和文件夹的访问。“审核对象访问”设置允许您跟踪那些通过某些对象来对敏感数据的访问，这些对象可以是特定于文件、文件夹、打印机、注册表项的对象，还可以是其他可设置为要审核的对象。要跟踪用户对这些对象的访问，必须首先访问每个文件或文件夹，然后启用该对象的安全属性，以审核用户访问。而后必须启用“审核对象访问”设置，以返回成功和失败记录。启用此审核策略设置可按照为特定对象定义

12、的审核规则来记录事件。在此审核策略中选中“失败”选项，可确保能够监视入侵者对敏感数据的访问企图。随后，在安全事件日志中，将针对满足此审核功能的审核要求的指定文件和文件夹生成有关访问事件的记录。因此，在本指南中定义的两种环境中，“审核对象访问”设置被配置为“成功”和“失败”。下列过程详述如何对文件或文件夹手动设置审核规则，然后针对指定文件或文件夹中的每个对象测试每个审核规则。此过程可通过脚本自动执行。为文件或文件夹定义审核规则1.使用 Windows 资源管理器定位该文件或文件夹，然后选择它。2.单击“文件”菜单并选择“属性”。3.单击“安全”选项卡，然后单击“高级”按钮。4.单击“审核”选项卡

13、。5.单击“添加”按钮，随后将出现“选择用户、计算机或组”对话框。6.单击“对象类型”按钮，然后在“对象类型”对话框中，选择要查找的对象类型。注意：“用户、组和内置安全主体”对象类型会默认选中。7.单击“位置”按钮，然后在“位置”对话框中，选择域中的计算机或本地计算机。8.在“选择用户或组”对话框中，键入要审核的组或用户的名称。然后，在“输入要选择的对象名称”对话框中，键入 Authenticated Users，以审核所有经过验证的用户的访问，然后单击“确定”。将打开“审核项目”对话框。9.使用“审核项目”对话框，确定要针对文件或文件夹进行审核的访问类型。请记住，每次访问都会在事件日志中生成

14、多个事件，这会导致日志迅速变大。10.在“审核项目”对话框中，选中“列出文件夹/读取数据”旁边的“成功”和“失败”，然后单击“确定”。11.已启用的审核项目将出现在“高级安全设置”对话框的“审核”选项卡下面。12.单击“确定”关闭“属性”对话框。使用下列过程测试已配置的每个审核规则。测试文件或文件夹的审核规则打开该文件或文件夹。关闭该文件或文件夹。启动“事件查看器”。将在“安全事件日志”中出现几个事件 ID 为 560 的对象访问事件。根据需要双击这些事件，查看有关它们的详细信息。表 3.8：“审核策略更改”设置允许您跟踪对用户权限、审核策略或信任策略进行的更改。如果为该设置配置值，可确保您能

15、够验证对组策略的授权更改，并检测任何XX的更改。启用此设置后，可将对用户权限、审核策略或信任策略进行的更改作为事件记录在安全事件日志中。因此，在本指南中描述的两种环境中，“审核策略更改”设置被配置为“成功”。如果包括“失败”这一设置值，将不会在安全事件日志中提供有意义的访问信息。有关其他信息，请参见本模块“其他信息”部分中提到的“Microsoft Windows Security Resource Kit”。表 3.9：“审核特权使用”设置允许您审核符合以下条件的任何操作：要求用户帐户使用已分配给它的任何额外特权的任何操作。启用此设置后，如果有用户或进程尝试回避遍历检查、调试程序、创建令牌对

16、象、替换进程级令牌或生成安全审核，则会导致在安全事件日志中记录已审核的事件。使用此设置，还可以在某个用户或帐户尝试使用“备份”或“还原”用户权限备份或还原文件或目录时，生成事件。但是，只有在启用了用来审核备份和还原企图的安全选项时，这些审核事件才会触发。所有用户帐户都会定期使用特权。如果将此设置配置为同时审核成功和失败的事件，将导致在安全事件日志中快速聚积大量事件记录。如此之大的数量反映的是正常用户行为，对这些事件进行排序也就成为了详细审核开销成本的一部分。对于企业客户端环境未提供有关此设置的指导，这是由于在该安全环境中建议不对大多数用户权限使用组策略。如果您的组织将用户权限分配给用户帐户或组

17、，请考虑启用此设置，以审核组织中较高权限的使用情况。本指南中定义的高安全级环境中启用了此设置，这是因为在该环境中 Windows XP 中可用的大多数用户权限都是建议使用的。因此，在企业客户端环境中，“审核特权使用”设置被配置为“无审核”。但是在高安全级环境中，此设置配置为“失败”，以便审核所有失败的使用额外特权的尝试。表 3.10：“审核过程跟踪”设置允许您在应用程序或用户启动、停止或更改进程时进行审核，并在安全事件日志中记录有关每个实例的事件。启用过程跟踪对于排除应用程序故障和了解应用程序工作方式非常有用；只有在跟踪特定应用程序行为时，才建议使用此设置。但是，启用此设置将在安全事件日志中快

18、速生成大量事件。因此，在本指南中定义的两种环境中，“审核过程跟踪”设置被配置为“无审核”。表 3.11：“审核系统事件”设置非常重要，因为它允许您监视成功和失败的系统事件，并提供有关这些事件的记录，从而帮助您确定XX的系统访问的实例。系统事件包括启动或关闭环境中的计算机、全部事件日志或其他与影响整个系统的安全相关事件。因此，在企业客户端环境中，“审核系统事件”设置被配置为“成功”。但是，在高安全级环境中，此设置被配置为“成功”和“失败”，以便实现额外的安全性。除了 Windows XP Professional 中的许多特权组之外，还可以为用户和组分配许多用户权限，以便授予他们高于普通用户的特

19、权。在这些额外的用户权限中，有许多（但并非全部）用户权限都适用于 Windows XP Professional。要将用户权限的值设置为“No One”，请启用此设置，但是不向其中添加任何用户或组。要将用户权限的值设置为“没有定义”，请不要启用此设置。在 Windows XP 中，“用户权限分配”设置可在组策略对象编辑器中的如下位置进行配置：计算机配置Windows 设置安全设置本地策略用户权限分配表 3.12：用于保护 Windows XP 计算机的“用户权限分配”设置从网络访问此计算机Administrators, Users通过终端服务允许登录AdministratorsNo One备份

20、文件和目录没有定义跳过遍历检查Users更改系统时间调试程序通过终端服务拒绝登录Everyone从远程系统强制关机在本地登录配置单一进程还原文件和目录关闭系统表 3.13：“从网络访问此计算机”用户权限用于确定允许哪些用户和组通过网络连接到计算机。此用户权限是许多网络协议所必需的，这些协议包括基于服务器消息块 （SMB） 的协议、网络基本输入/输出系统 （NetBIOS）、通用 Internet 文件系统 （CIFS）、超文本传输协议 （HTTP） 和组件对象模型 （COM+）。一些程序会自动将“Everyone”组添加到此用户权限的用户帐户列表中。这个组允许授权用户以及其他所有来宾和匿名用户

21、都访问您的网络上的计算机。如果将此用户权限限制为管理员和用户，将阻止本地安装的应用程序或登录用户尝试添加用户或组，从而防止出现上述情况。因此，在本指南中定义的两种环境中，“从网络访问此计算机”用户权限仅限制于“Administrators”和“Users”组。表 3.14：“通过终端服务允许登录”用户权限用于确定哪些用户或组有权作为终端服务客户端进行登录。远程桌面用户需要此权限。如果将“远程协助”用作企业技术支持策略的一部分，请创建一个组，并通过组策略向该组授予此权限。如果组织中的技术支持部门不使用远程协助，则仅向“Administrators”组授予此权限。如果将此权限限制于“Adminis

22、trators”组（可能还包括“Help Desk”技术人员组），将防止非法用户通过 Windows XP Professional 中新的“远程协助”功能从网络访问计算机。因此，在企业客户端环境中，“通过终端服务允许登录”用户权限仅限制于“Administrators”组，在高安全级环境中，此权限限制为“No One”，以便实现额外的安全性。表 3.15：“备份文件和目录”用户权限允许用户越过文件和目录权限来备份系统。只有当应用程序尝试使用 NTFS 文件系统备份应用程序编程接口 （API）（例如 NTBACKUP.EXE）访问文件或目录时，才启用此权限。否则，请应用普通的文件和目录权限。Microsoft 建议限制此用户权限，将对环境中客户端上的文件和文件夹的访问限制于高安全级环境中的本地“Administrators”组。因此，只有在高安全级环境中，才将“备份文件和目录”用户权限限制于“Administrators”组。在企业客户端环境中，对于此用户权限未规定任何组。表 3.16：“跳过遍历检查”用户权限允许访问文件或文件夹，而与它们所在的父文件夹的用户权限限制无关。换句话说，当用户导航 NTFS 文件系统或注册表中的对象路径时，此用户权限禁止检查特殊的访问权限“遍历文