收藏
下载资源

组策略设置系列之“安全选项”

上传人:F****n 文档编号:90599653 上传时间:2019-06-13 格式:DOC 页数:16 大小:55KB
返回 下载 相关 举报
组策略设置系列之“安全选项”_第1页
第1页 / 共16页
组策略设置系列之“安全选项”_第2页
第2页 / 共16页
组策略设置系列之“安全选项”_第3页
第3页 / 共16页
组策略设置系列之“安全选项”_第4页
第4页 / 共16页
组策略设置系列之“安全选项”_第5页
第5页 / 共16页
点击查看更多>>
资源描述

《组策略设置系列之“安全选项”》由会员分享,可在线阅读,更多相关《组策略设置系列之“安全选项”(16页珍藏版)》请在金锄头文库上搜索。

1、组策略设置系列篇之“安全选项”-1设置, 选项组策略的“安全选项”部分启用或禁用数字数据签名、Administrator 和 Guest 帐户名、软盘驱动器和 CD-ROM 驱动器的访问、驱动程序安装操作和登录提示的计算机安全设置。安全选项设置您可以在组策略对象编辑器的下列位置配置安全选项设置:计算机配置Windows 设置安全设置本地策略安全选项帐户:管理员帐户状态此策略设置启用或禁用 Administrator 帐户的正常操作条件。如果以安全模式启动计算机,Administrator 帐户总是处于启用状态,而与如何配置此策略设置无关。“帐户:管理员帐户状态”设置的可能值为: 已启用 已禁用

2、 没有定义漏洞:在某些组织中,维持定期更改本地帐户的密码这项常规计划可能会是很大的管理挑战。因此,您可能需要禁用内置的 Administrator 帐户,而不是依赖常规密码更改来保护其免受攻击。需要禁用此内置帐户的另一个原因就是,无论经过多少次登录失败它都不会被锁定,这使得它成为强力攻击(尝试猜测密码)的主要目标。另外,此帐户还有一个众所周知的安全标识符 (SID),而且第三方工具允许使用 SID 而非帐户名来进行身份验证。此功能意味着,即使您重命名 Administrator 帐户,攻击者也可能使用该 SID 登录来发起强力攻击。对策:将“帐户:管理员帐户状态”设置配置为“已禁用”,以便在正

3、常的系统启动中不能再使用内置的 Administrator 帐户。潜在影响:如果禁用 Administrator 帐户,在某些情况下可能会造成维护问题。例如,在域环境中,如果成员计算机和域控制器间的安全通道因任何原因而失败,而且没有其他本地 Administrator 帐户,则您必须以安全模式重新启动才能修复这个中断安全通道的问题。如果当前的 Administrator 密码不满足密码要求,则 Administrator 帐户被禁用之后,无法重新启用。如果出现这种情况,Administrators 组的另一个成员必须使用“本地用户和组”工具来为该 Administrator 帐户设置密码。帐户

4、:来宾帐户状态此策略设置确定是启用还是禁用来宾帐户。“帐户:来宾帐户状态”设置的可能值为: 已启用 已禁用 没有定义漏洞:默认 Guest 帐户允许未经身份验证的网络用户以没有密码的 Guest 身份登录。这些未经授权的用户能够通过网络访问 Guest 帐户可访问的任何资源。此功能意味着任何具有允许 Guest 帐户、Guests 组或 Everyone 组进行访问的权限的网络共享资源,都可以通过网络对其进行访问,这可能导致数据暴露或损坏。对策:将“帐户:来宾帐户状态”设置配置为“已禁用”,以便内置的 Guest 帐户不再可用。潜在影响:所有的网络用户都将必须先进行身份验证,才能访问共享资源。

5、如果禁用 Guest 帐户,并且“网络访问:共享和安全模式”选项设置为“仅来宾”,则那些由 Microsoft 网络服务器(SMB 服务)执行的网络登录将失败。对于大多数组织来说,此策略设置的影响应该会很小,因为它是 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 中的默认设置。帐户:使用空白密码的本地帐户只允许进行控制台登录此策略设置确定是否允许使用空白密码的本地帐户通过网络服务(如终端服务、Telnet 和文件传输协议 (FTP))进行远程交互式登录。如果启用此策略设置,则本地帐户必须有一个非空密码,才能从远程客户端执行交互式

6、或网络登录。“帐户:使用空白密码的本地帐户只允许进行控制台登录”设置的可能值为: 已启用 已禁用 没有定义注意:此策略设置不影响在控制台上以物理方式执行的交互式登录,也不影响使用域帐户的登录。警告:使用远程交互式登录的第三方应用程序有可能跳过此策略设置。漏洞:空白密码会对计算机安全造成严重威胁,应当通过组织的策略和适当的技术措施来禁止。实际上,Windows Server 2003 Active Directory 目录服务域的默认设置需要至少包含七个字符的复杂密码。但是,如果能够创建新帐户的用户跳过基于域的密码策略,则他们可以创建具有空白密码的帐户。例如,某个用户可以构建一个独立的计算机,创

7、建一个或多个具有空白密码的帐户,然后将该计算机加入到域中。具有空白密码的本地帐户仍将正常工作。任何人如果知道其中一个未受保护的帐户的名称,都可以用它来登录。对策:启用“帐户:使用空白密码的本地帐户只允许进行控制台登录”设置。潜在影响:无。这是默认配置。帐户:重命名系统管理员帐户此策略设置确定另一个帐户名是否与 Administrator 帐户的 SID 相关联。“帐户:重命名系统管理员帐户”设置的可能值为: 用户定义的文本 没有定义漏洞:Administrator 帐户存在于运行 Windows 2000、Windows Server 2003 或 Windows XP Professiona

8、l 操作系统的所有计算机上。如果重命名此帐户,会使未经授权的人员更难猜测这个具有特权的用户名和密码组合。无论攻击者可能使用多少次错误密码,内置的 Administrator 帐户都不能被锁定。此功能使得 Administrator 帐户成为强力攻击(尝试猜测密码)的常见目标。这个对策的价值之所以减少,是因为此帐户有一个众所周知的 SID,而且第三方工具允许使用 SID 而非帐户名来进行身份验证。因此,即使您重命名 Administrator 帐户,攻击者也可能会使用该 SID 来登录以发起强力攻击。对策:在“帐户:重命名系统管理员帐户”设置中指定一个新名称,以重命名 Administrator

9、 帐户。注意:在后面的章节中,此策略设置既未在安全模板中进行配置,也不是本指南所建议帐户的新用户名。模板中忽略了这项策略设置,这样做是为了让使用本指南的众多组织将不在其环境中实现同样的新用户名。潜在影响:您必须将这个新帐户名通知给授权使用此帐户的用户。(有关此设置的指导假定 Administrator 帐户没有被禁用,这是本章前面建议的设置。)帐户:重命名来宾帐户“帐户:重命名来宾帐户”设置确定另一个帐户名是否与 Guest 帐户的 SID 相关联。此组策略设置的可能值为: 用户定义的文本 没有定义漏洞:Guest 帐户存在于运行 Windows 2000、Windows Server 200

10、3 或 Windows XP Professional 操作系统的所有计算机上。如果重命名此帐户,会使未经授权的人员更难猜测这个具有特权的用户名和密码组合。对策:在“帐户:重命名来宾帐户”设置中指定一个新名称,以重命名 Guest 帐户。注意:在后面的章节中,此策略设置既未在安全模板中进行配置,也不是本指南所建议帐户的新用户名。模板中忽略了这项策略设置,这样做是为了让使用本指南的众多组织将不在其环境中实现同样的新用户名。潜在影响:影响应该会很小,因为在默认情况下,Windows 2000、Windows XP 和 Windows Server 2003 中已禁用“Guest”帐户。审核:对备份

11、和还原权限的使用进行审核如果启用此策略设置,在计算机创建系统对象(如多用户端执行程序、事件、信号灯和 MS-DOS 设备)时,将应用默认的系统访问控制列表 (SACL)。如果如本指南第 3 章中所述,您还启用了“审核对象访问”审核设置,则会审核对这些系统对象的访问。全局系统对象(又被称作“基本系统对象”或“基本命名对象”是存活时间很短的内核对象,它们的名称是由创建它们的应用程序或系统组件分配的。这些对象经常用于同步多个应用程序或一个复杂应用程序的多个部分。由于它们具有名称,因此这些对象在作用域内是全局的,从而对于计算机上的所有进程均可见。这些对象都具有一个安全描述符,但是它们通常有一个空的系统

12、访问控制列表。如果在启动时启用此策略设置,内核将在这些对象被创建时向它们分配一个系统访问控制列表。“审核:对全局系统对象的访问进行审核”设置的可能值为: 已启用 已禁用 没有定义漏洞:如果没有正确地保护某个全局可见的命名对象,则知道该对象名称的恶意程序可能会针对该对象进行操作。例如,如果某个同步对象(如多用户终端执行程序)有一个错误选择的任意访问控制列表 (DACL),则恶意程序可以按名称访问这个多用户终端执行程序,并且导致创建这个多用户终端执行程序的程序无法正常工作。但是,出现这种情况的风险会非常低。对策:启用“审核:对全局系统对象的访问进行审核”设置。潜在影响:如果启用“审核:对全局系统对

13、象的访问进行审核”设置,可能会生成大量安全事件,尤其是在繁忙的域控制器和应用程序服务器上。这类情况可能导致服务器响应缓慢,并迫使安全事件日志记录许多无关紧要的事件。此策略设置只能被启用或禁用,并且没有筛选记录哪些事件和不记录哪些事件的办法。即使组织有能够分析由此策略设置所生成事件的资源,它们也不可能具有每个命名对象的源代码或关于其用途的说明。因此,对于许多组织来说,将此策略设置配置为“已启用”,不大可能获得什么好处。审核:对备份和还原权限的使用进行审核此策略设置确定在“审核权限使用”设置生效时,是否对所有用户权限(包括“备份和还原”权限)的使用进行审核。如果启用这两个策略设置,会为备份或还原的

14、每个文件生成一个审核事件。如果启用此策略设置并结合使用“审核权限使用”设置,用户权限的任何行使状况都会记录在安全日志中。如果禁用此策略设置,则即使启用“审核权限使用”,也不会对用户行使备份或还原权限的操作进行审核。“审核:对备份和还原权限的使用进行审核”设置的可能值为: 已启用 已禁用 没有定义漏洞:如果在启用“审核权限使用”设置的同时启用此选项,则备份或还原每个文件都会生成一个审核事件。此信息会帮助您识别被用于以未经授权的方式意外或恶意还原数据的帐户。对策:启用“对备份和还原权限的使用进行审核”设置。或者,也可以通过配置 AutoBackupLogFiles 注册表项来实施自动记录备份,潜在

15、影响:如果启用此策略设置,可能会生成大量安全事件,这可能导致服务器响应缓慢,并迫使安全事件日志记录许多无关紧要的事件。如果增加安全日志大小以减少系统关闭的机率,过大的日志文件可能影响系统性能。审核:如果无法记录安全审核则立即关闭系统此策略设置确定在无法记录安全事件时是否关闭计算机。可信计算机系统评测标准 (TCSEC)(C2 和通用标准认证)需要在审核系统无法记录可审核事件时,计算机能够防止出现这些事件。Microsoft 所选择的以满足此要求的方法是:在无法审核系统时,暂停计算机并显示一则停止消息。如果启用此策略设置,计算机会在出于任何原因不能记录安全审核时停止。通常,当安全事件日志已满,而且为它指定的保留方法为“不覆盖事件”或“按天数覆盖事件”时,将无法记录事件。启用此策略设置时,如果安全日志已满且不能覆盖现有条目,则会显示下列停止消息:STOP:C 审核失败

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号