WindowsXP客户端安全设置六

系统日志保留方法

表 3.80：设置

企业客户端台式计算机

企业客户端便携式计算机

高安全级台式计算机

高安全级便携式计算机

按需要

“系统日志保留方法”设置用于确定当此日志的大小达到其最大值时，操作系统如何处理其中的系统事件。此设置可配置为在特定天数后覆盖系统事件日志，在日志满后按需要操作或手动清除。

前两个设置选项允许最新的应用程序事件按需要覆盖日志中最早的事件。如果您发现希望保留的事件数过快地被新事件覆盖，请通过更多地在其他位置保存事件或增加应用程序日志大小的最大值来调整日志管理策略。

在本指南定义的两种环境中，“系统日志保留方法”设置被配置为“按需要”。

受限制的组

“受限制的组”设置允许您管理 Windows XP Professional 中的组成员身份。请按照企业的需要确定您需要限制的组。为了说明的方便，“高安全级”环境中的“Power Users”组是受限制的。尽管“Power Users”组的成员比“Administrators”组的成员的系统访问权限要低，但“Power Users”组成员依然可以有较大权限来访问系统。如果您的组织中使用了“Power Users”组，则应仔细地控制该组的成员，并且不要实现用于“受限制的组”设置的指导。

“受限制的组”设置可在 Windows XP Professonal 的“组策略对象编辑器”中的如下位置进行配置：

计算机配置Windows 设置安全设置受限制的组

通过将需要的组直接添加到 GPO 命名空间的“受限制的组”节点上，管理员可以为 GPO 配置受限制的组。

如果某个组受限制，您可以定义该组的成员以及它所属的其他组。不指定这些组成员将使该组完全受限。只有通过使用安全模板才能使组受限。

查看或修改“受限制的组”设置：

1.打开“安全模板管理控制台？±。

注意：默认情况下，“安全模板管理控制台”并没有添加到“管理工具”菜单。要添加它，请启动 Microsoft 管理控制台（mmc.exe）并添加“安全模板”加载项。

2.双击配置文件目录，然后双击配置文件。

3.双击“受限制的组”项。

4.右键单击“受限制的组”。

5.选择“添加组”。

6.单击“浏览”按钮，再单击“位置”按钮，选择需浏览的位置，然后单击“确定”。

注意：通常这会使列表的顶部显示一个本地计算机。

7.在“输入对象名称来选择”文本框中键入组名并按“检查名称”按钮。

? 或者 -

单击“高级”按钮，然后单击“立即查找”按钮，列出所有可用组。

8.选择需要限制的组，然后单击“确定”。

9.单击“添加组”对话框上的“确定”来关闭此对话框。

对于所列出的组来说，将添加当前不是所列组成员的任何组或用户，而当前已是所列组成员的所有用户或组将从安全模板中删除。

在本指南中，为了完全限制“Power Users”组，此组的所有用户和组成员的设置都将删除。对于组织中不准备使用的内置组（例如“Backup Operators”组），Microsoft 建议您限制它。

在“企业客户端”环境下此选项没有推荐设置。但在本指南的“高安全级”环境中，Microsoft 限制了“Power Users”组，因为在运行 Windows XP 的计算机上这个组拥有几乎与管理员相等的权限。

系统服务

在安装 Windows XP Professional 的同时会创建默认的系统服务，并将它们配置为在系统启动时运行。在本指南定义的环境中，这些系统服务中有很多不需要运行。

对于 Windows XP Professional，还有额外的可选服务（例如 IIS），在操作系统的默认安装中并不会安装它们。通过使用“添加/删除程序”或创建 Windows XP Professional 的自定义自动安装，您可以在现有系统中添加这些可选服务。

重要：请记住，任何服务或应用程序都是潜在的受攻击点。因此，应该禁用或删除环境中任何不需要的服务或可执行文件。

“系统服务”设置可在 Windows XP Professonal 的“组策略对象编辑器”中如下位置进行配置：

计算机配置Windows 设置安全设置系统服务

管理员可以设置系统服务的启动模式，并更改每个服务的安全设置。

查看“系统服务”设置：

1.打开“安全模板管理控制台？±。

注意：默认情况下，“安全模板管理控制台”并没有添加到菜单中。要添加它，请启动 Microsoft 管理控制台（mmc.exe）并添加“安全模板”加载项。

2.双击安全模板文件目录，然后双击安全模板文件。

3.双击“系统服务”项后，右侧窗格中将显示可用的服务。

4.双击需配置的服务，服务的属性对话框将打开。

5.选中“在模板中定义这个策略设置”复选框。

6.在“选择服务启动模式”中选择“自动”、“手动”或“已禁用”。

7.单击“编辑安全设置……”按钮，访问安全权限选项以更改服务。

注意：通过组策略更改安全权限前应在实验室环境中对此操作进行彻底的测试。

8.单击“确定”关闭安全设置对话框，然后再次单击“确定”关闭服务属性对话框。

本节针对本指南所定义的两种环境详细说明了所描述的系统服务。在《Windwos XP Security Guide Settings》Excel 工作手册（英文）中同样可以找到下表所描述的设置的摘要。有关默认设置的信息和本节所讨论的每个设置的详细解释，请参阅配套指南《Threats and Countermeasures： Security Settings in Windows Server 2003 and Windows XP》（英文），可在如下位置找到该指南：http://go.microsoft.com/fwlink/？LinkId=15159.

表 3.81：Windows XP 计算机的系统服务设置

UI 中的设置名称

服务名

企业客户端台式计算机

企业客户端便携式计算机

高安全级台式计算机

高安全级便携式计算机

Alerter

已禁用

Background Intelligent Transfer Service

BITS

手动

已禁用

ClipBook

ClipSrv

已禁用

Fax Service

Fax

手动

已禁用

FTP Publishing Service

MSFtpsvr

已禁用

IIS Admin Service

IISADMIN

已禁用

Messenger

已禁用

NetMeeting Remote Desktop Sharing

mnmsrvc

手动

已禁用

Network DDE

NetDDE

手动

已禁用

Network DDE DSDM

NetDDEdsdm

手动

已禁用

Remote Registry Service

RemoteRegistry

自动

已禁用

Telnet

TlntSvr

已禁用

World Wide Web Publishing Service

W3SVC

已禁用

Alerter表 3.82：设置

服务名

企业客户端台式计算机

企业客户端便携式计算机

高安全级台式计算机

高安全级便携式计算机

Alerter

已禁用

“Alerter”服务可将管理警报通知给选中的用户和计算机。请使用 Alerter 服务将警报消息发送给网络中的特定用户。禁用此服务将导致使用管理警报的程序无法接收到警报。

在本指南定义的两种环境中，为了保证更好的安全性，Alerter 服务在这两种环境中都被配置为“已禁用”，这可以防止通过网络发送信息。

注意：禁用此服务会破坏不间断电源（UPS）警报消息系统的功能。

Background Intelligent Transfer Service

表 3.83：设置

服务名

企业客户端台式计算机

企业客户端便携式计算机

高安全级台式计算机

高安全级便携式计算机

BITS

手动

已禁用

“Background Intelligent Transfer Service”（BITS）是一种后台文件传输机制和队列管理器。BITS 用于在客户端和 HTTP 服务器之间异步传输文件。提交 BITS 服务请求后，文件的传输将使用空闲的网络带宽，这样，其他的网络相关活动（例如浏览）将不受影响。

象 Background Intelligent Transfer Service 这样的自动网络服务为攻击者提供了利用这些服务的可能。

因此，在“企业客户端”环境中，Background Intelligent Transfer Service 被配置为“手动”，而在“高安全级”环境中则被配置为“已禁用”。

注意：禁用此服务会使大多数修补管理解决方案不可用，包括“软件更新服务”和“Windows 自动更新”。如果禁用此服务，则必须在环境中的每台台式计算机和便携式计算机上都手动执行修补管理，或者为环境中要安装修补程序的用户提供媒体。

ClipBook

表 3.84：设置

服务名

企业客户端台式计算机

企业客户端便携式计算机

高安全级台式计算机

高安全级便携式计算机

ClipSrv

已禁用

“ClipBook”服务允许“剪贴薄查看器”创建并共享可供远程计算机查看的数据“页”。此服务依赖“Network Dynamic Data Exchange”（NetDDE）服务创建其他计算机可以连接的实际文件共享，而“Clipbook”应用程序和服务则允许您创建要共享的数据页。任何显式依赖于此服务的服务都将失败。但 clipbrd.exe 可用来查看本地的“剪贴板”，这是用户选中文本后单击“编辑”菜单中的“复制”或按下 CTRL+C 后保存数据的位置。

在本指南定义的两种环境中，为了保证更好的安全性，“ClipBook”服务被配置为“已禁用”。

Fax Service

表 3.85：设置

服务名

企业客户端台式计算机

企业客户端便携式计算机

高安全级台式计算机

高安全级便携式计算机

Fax

手动

已禁用

“Fax Service”服务是一种兼容“Telephony API”（TAPI）的服务，用于为环境中的客户端提供传真功能。Fax Service 允许用户使用本地传真设备或共享的网络传真设备从他们的桌面应用程序收发传真。

因此，在“企业客户端”中，“传真服务”被配置为“手动”。而在“高安全级”环境中，为了保证更好的安全性，此服务被设为“已禁用”。

FTP Publishing Service

表 3.86：设置

服务名

企业客户端台式计算机

企业客户端便携式计算机

高安全级台式计算机

高安全级便携式计算机

MSFtpsvr

已禁用

“FTP Publishing Service”通过 IIS 管理单元提供连接和管理。Microsoft 建议您不要在环境中的 Windows XP 客户端上安装 FTP Publishing Service，除非确实存在需要此服务的业务。

因此，在本指南定义的两种环境中，“FTP 发布服务”被配置为“已禁用”。

IIS Admin Service

表 3.87：设置

服务名

企业客户端台式计算机

企业客户端便携式计算机

高安全级台式计算机

高安全级便携式计算机

IISADMIN

已禁用

“ IIS Admin Service”允许对 IIS 组件（例如 FTP、应用程序池、网站和 Web 服务扩展）进行管理。禁用此服务后，用户将无法运行计算机上的 Web 或 FTP 站点。在大多数 Windows XP 客户端计算机上都不需要此功能。

因此，在本指南定义的两种环境中，IIS Admin Service 被配置为“已禁用”。

Messenger

表 3.88：设置

服务名

企业客户端台式计算机

企业客户端便携式计算机

高安全级台式计算机

高安全级便携式计算机

Messenger

已禁用

“Messenger”服务用于在客户端和服务器间传输和发送“Alerter”服务的消息。此服务与 Windows Messenger 没有关系，它并不是 Windows XP 客户端计算机所必需的服务。

因此，在本指南定义的两种环境中，“Messenger”服务被配置为“已禁用”。

NetMeeting Remote Desktop Sharing

表 3.89：设置

服务名

企业客户端台式计算机

企业客户端便携式计算机

高安全级台式计算机

高安全级便携式计算机

mnmsrvc

手动

已禁用

“NetMeeting Remote Desktop Sharing”服务允许未经授权的用户使用 Microsoft NetMeeting通过企业 Intranet 远程访问客户端。此服务必须在 NetMeeting 中显式启用。您也可以在 NetMeeting 中禁用此服务或通过 Windows 任务栏图标关闭此服务。Microsoft 建议禁用此服务以防止用户远程访问您环境中的客户端。

因此，为了保证更好的安全性，在“高安全级”环境中 NetMeeting Remote Desktop Sharing 服务被配置为“已禁用”。而在“企业客户端”环境中此服务保留默认的“手动”。

Network DDE

表 3.90：设置

服务名

企业客户端台式计算机

企业客户端便携式计算机

高安全级台式计算机

高安全级便携式计算机

NetDDE

手动

已禁用

“Network DDE”服务为同一计算机或不同计算机上运行的“动态数据交换”（DDE）程序提供网络传输和安全性。攻击者可以利用 Network DDE 服务和其他类似的自动网络服务。

因此，为了保证更好的安全性，在“高安全级”环境中“Network DDE”设置被配置为“已禁用”。而在“企业客户端”环境中此服务保留默认的“手动”。

Network DDE DSDM

表 3.91：设置

服务名

企业客户端台式计算机

企业客户端便携式计算机

高安全级台式计算机

高安全级便携式计算机

NetDDEdsdm

手动

已禁用

“Network DDE DSDM”服务用于管理 DDE 网络共享。此服务仅供 Network DDE 服务管理共享 DDE 会话之用。攻击者可以利用 Network DDE DSDM.

因此，为了保证更好的安全性，在“高安全级”环境下，Network DDE DSDM 服务被配置为“已禁用”。而在“企业客户端”环境中此服务保留默认的“手动”。

Remote Registry Service

表 3.92：设置

服务名

企业客户端台式计算机

企业客户端便携式计算机

高安全级台式计算机

高安全级便携式计算机

RemoteRegistry

自动

已禁用

“Remote Registry Service”允许远程用户修改您计算机上的注册表设置 ― 只要他们拥有所需的权限。此服务主要由远程管理员和性能计数器使用。禁用“Remote Registry 服务”将修改注册表的能力限制于本地计算机，并且任何明确依赖于此服务的服务都将失败。在本指南定义的“高安全级”环境中，此设置仅用于阻止对注册表的访问。

因此，在“企业客户端”环境中，Remote Registry 服务被配置为“自动”，而在“高安全级”环境中则配置为“已禁用”。

注意：禁用此服务后，大多数修补管理解决方案会不可用，包括“软件更新服务”和“Windows 自动更新”。如果禁用此服务，则必须在环境中的每台台式计算机和便携式计算机上都手动执行修补管理，或者为环境中要安装修补程序的用户提供媒体。

Telnet

表 3.93：设置

服务名

企业客户端台式计算机

企业客户端便携式计算机

高安全级台式计算机

高安全级便携式计算机

TlntSvr

已禁用

Windows 的“Telnet”服务可为 Telnet 客户端提供 ASCII 终端会话。此服务支持两种身份验证和以下四种终端：ANSI、VT－100、VT－52 和 VTNT.但在大多数 Windows XP 客户端上，此服务并不是必需的。

因此，在本指南定义的两种环境中，“Telnet”服务被配置为“已禁用”。

World Wide Web Publishing Service

表 3.94：设置

服务名

企业客户端台式计算机

企业客户端便携式计算机

高安全级台式计算机

高安全级便携式计算机

W3SVC

已禁用

“World Wide Web Publishing Service”通过 IIS 管理单元提供 Web 连接和管理。但在大多数 Windows XP 客户端上此服务并不是必需的。

因此，在本指南定义的两种环境中，World Wide Web Publishing Service 被配置为“已禁用”。

保护文件系统

在每个新版本的 Microsoft Windows中 NTFS 文件系统都会得到改进。NTFS 的默认权限对大多数组织而言都已够用。本节所讨论的设置是针对在本指南定义的“高安全级”环境中使用便携式计算机和台式计算机的组织。

文件系统的安全设置可以使用“组策略”修改。“文件系统”设置可在“组策略对象编辑器”的如下位置进行配置：

计算机配置Windows 设置安全设置文件系统

注意：将对默认文件系统安全设置的任何更改部署到大型组织中之前，都应在实验室环境中进行彻底的测试。在某些情况下，由于文件权限的变动，受影响的计算机不得不进行彻底重建。

高级权限

“权限”对话框初始出现时只提供部分权限控制，您可以通过单击“高级”按钮设置更多的文件权限控制。下表列举了这些高级权限。

表 3.95：高级文件权限和描述

高级权限

说明

遍历文件夹/执行

“遍历文件夹”权限可允许或拒绝用户在整个文件夹中移动以到达其他文件或文件夹的请求，而无论用户有没有遍历文件夹的权限（此权限只适用于文件夹）。

列出文件夹/读取数据

“列出文件夹”权限可允许或拒绝用户查看指定文件夹内文件名和子文件夹名的请求。此权限只影响此文件夹的内容，不影响是否列出正在设置权限的文件夹。此权限只适用于文件夹。“读取数据”权限可允许或拒绝用户查看文件中的数据（此权限只适用于文件）。

读取属性

“读取属性”权限可允许或拒绝用户查看文件或文件夹属性（例如只读和隐藏）的请求。属性由 NTFS 定义。

读取扩展属性

“读取扩展属性”权限可允许或拒绝用户查看文件或文件夹扩展属性的请求。扩展属性由程序定义，可能因程序而异。

创建文件/写入数据

“创建文件”权限可允许或拒绝用户在文件夹内创建文件的请求（此权限仅适用于文件夹）。“写入数据”权限可允许或拒绝用户更改文件和覆盖现有内容的请求（此权限只适用于文件）。

创建文件夹/追加数据

“创建文件夹”权限可允许或拒绝用户在指定文件夹内创建文件夹的请求（此权限仅适用于文件夹）。“追加数据”权限可允许或拒绝用户更改文件末尾，但不更改、删除或覆盖现有数据的请求（此权限仅适用于文件）。

写入属性

“写入属性”权限可允许或拒绝用户更改文件或文件夹属性（例如只读或隐藏）的请求。属性由 NTFS 定义。

写入扩展属性

“写入扩展属性”权限可允许或拒绝用户更改文件或文件夹扩展属性的请求。扩展属性由程序定义，可能因程序而异。

删除子文件夹和文件

“删除子文件夹和文件”权限可允许或拒绝用户删除子文件夹和文件的请求，而不论是否授予了对子文件夹或文件的“删除”权限（此权限适用于文件夹）。

删除

“删除”权限可允许或拒绝用户删除文件或文件夹的请求。如果您没有对文件或文件夹的“删除”权限，但是在父文件夹中已被授予“删除子文件夹和文件”权限，那么您仍然可以删除它们。

读取权限

“读取权限”权限可允许或拒绝用户读取文件或文件夹权限（例如“完全控制”、“读取”和“写入”）的请求。

更改权限

“更改权限”可允许或拒绝用户更改文件或文件夹权限（例如“完全控制”、“读取”和“写入”）的请求。

取得所有权

“取得所有权”权限可允许或拒绝用户取得文件或文件夹所有权的请求。文件或文件夹的所有者始终可以更改其权限，而不论用于保护该文件或文件夹的现有权限如何。

下面三个附加术语用于说明应用于文件和文件夹的权限的继承关系。

“传播”是指将可继承的权限传播给所有子文件夹和文件。只要子对象没有设置为不接受权限继承，那么，任何子对象都会继承父对象的安全设置。如果存在冲突，子对象上的明确权限将覆盖从父对象继承的权限。

“替换”是指用可继承权限替换所有子文件夹和文件上的现有权限。父对象的权限项将取代子对象上的任何安全设置，而不论子对象上的设置如何。子对象将拥有与父对象相同的访问控制项。

“忽略”是指不允许替换文件或文件夹（或项）上的权限。如果您不希望为对象或其任何子对象配置或分析安全性，请使用此设置选项。

文件系统设置

下面的文件系统设置约定的逻辑是删除“Everyone”组的文件和文件夹权限，然后将该权限授予本地“Users”组。您也可以按照相同的策略来限制“Power User”组。但如果通过“组策略”来配置和应用“受限制的组”设置，这将更容易。

Microsoft 建议删除“Everyone”组的权限，因为该组中包含的用户的帐户和密码可能未经身份验证。

表 3.96：文件系统安全设置

文件夹或文件

用户组

推荐权限

适用于

继承方法

%AllUsersProfile%（含有所有用户桌面和配置文件属性的文件夹，通常位于 C：Documents and SettingsAll Users 下。）

Administrators

SYSTEM

Users

完全控制

读取和执行

文件夹、子文件夹和文件

传播

%AllUsersProfile%Application DataMicrosoft（包含 Microsoft 应用程序状态数据。）

1.Administrators

2.SYSTEM

3.Users

4.Power Users

1.完全控制

2.完全控制

3.读取和执行

4.遍历文件夹、执行文件、列出文件夹、读取数据、读取属性、读取扩展属性、创建文件、写入数据、创建文件夹、追加数据、写入属性、写入扩展属性、删除子文件夹和文件、删除、读取权限

文件夹、子文件夹和文件

替换

%AllUsersProfile%Application DataMicrosoftCryptoDSSMachineKeys

1.Administrators

2.SYSTEM

3.Users

1.完全控制

2.完全控制

3.列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限文件夹、子文件夹和文件

1、2、文件夹、子文件夹和文件

3.仅适用于文件夹

替换

%AllUsersProfile%Application DataMicrosoftCryptoRSAMachineKeys

1.Administrators

2.SYSTEM

3.Users

同上

替换

%AllUsersProfile%Application DataMicrosoftHTML Help

1.Administrators

2.SYSTEM

3.Users

4.Power Users

1.完全控制

2.完全控制

3.读取和执行

4.修改

文件夹、子文件夹和文件

替换

%AllUsersProfile%Application DataMicrosoftMedia Index

1.Administrators

2.SYSTEM

3.Users

4.Users

5.Users

6.Power Users

1.完全控制

2.完全控制

3.创建文件、创建文件夹、写入属性、写入扩展属性、读取权限

4.写入

5.读取和执行

6.遍历文件夹、执行文件、列出文件夹、读取数据、读取属性、读取扩展属性、创建文件、写入数据、创建文件夹、追加数据、写入属性、写入扩展属性、删除子文件夹和文件、删除、读取权限文件夹、子文件夹和文件

1、2、5、6文件夹、子文件夹和文件

3、仅适用于文件夹

4、仅适用于子文件夹和文件

替换

%AllUsersProfile%DRM

忽略

%SystemDrive%（安装 Windows XP 的驱动器，它包含重要的系统启动和配置文件。）

1.Administrators

2.CREATOR OWNER

3.SYSTEM

4.Users

1.完全控制

2.完全控制

3.完全控制

4.读取和执行

1、3、4、文件夹、子文件夹和文件

2、仅适用于子文件夹和文件

传播

%SystemDrive%Documents and Settings（包含用户和默认配置文件的文件夹。）

1.Administrators

2.SYSTEM

3.Users

4.Power Users

1.完全控制

2.完全控制

3.读取和执行

4.读取和执行

文件夹、子文件夹和文件

传播

%SystemDrive%Documents and SettingsDefault User（对首次登录的用户包含默认桌面和配置文件属性的文件夹。）

1.Administrators

2.SYSTEM

3.Users

4.Power Users

1.完全控制

2.完全控制

3.读取和执行

4.读取和执行

文件夹、子文件夹和文件

替换

%SystemRoot%Installer

1.Administrators

2.SYSTEM

3.Users

1.完全控制

2.完全控制

3.读取和执行

文件夹、子文件夹和文件

替换

%SystemRoot%Registration（包含供 COM+ 应用程序读取的组件负载平衡（CLB）注册文件的文件夹。）

1.Administrators

2.SYSTEM

3.Users

1.完全控制

2.完全控制

3.读取

文件夹和文件

替换