我们经常会抱怨内部的人会比外部的人员对计算机有更大的安全危害。这意味着你的雇员和工人对你的网络造成的破坏比所有来自互联网的恶意攻击者还要大。通过防止用户访问敏感的系统或者登陆到除分配给他们的机器之外的其它机器上去,可以限制你的损失。
警告:如果你错误地设置了用户权限,会严重的限制用户登陆的能力。所以,请在测试环境下操作以下步骤。
步骤1:使用户不能进入和他们无关的系统
你会想去设置文件读写权限。但是在你设置之前,隔离检查用户,使他们只能访问和登陆有限的几台计算机。要做这些,在“活动目录用户和计算机”中打开他们的账户属性页,选择账户标签页,点击“登陆到”按钮。然后点击“下面的计算机”按钮,输入一个允许这个用户访问的计算机的名字,然后点击“添加”按钮。如果用户必须有访问多个台式机和笔记本的权限,只要简单的添加这些计算机的名字就可以了。当多个用户需要使用一个实验室或者一个部门的几台电脑中的任何一台时,这种方法很好用。
如果你想让一个账户不能登陆任何一台计算机,只要输入一个不存在的计算机的名字。设置“登陆到计算机”并不限制用户通过网络访问其它计算机上的数据。要限制网络访问,需要配置用户权限。
用户权限指明了一个用户可以在一个计算机上做什么。在默认的域管理器“组策略对象”中设定整个域的用户权限。当你想要影响加在这个域中的一部分计算机时,则在与组织单元关联的“组策略对象”中设置。“组策略对象”位于“Windows设置―〉安全设置―〉本地策略―〉用户权限分配”。
步骤2:限制直接影响计算机访问的权限
用户权限配置和文件读写权限设置很相像。如果没有被赋予,用户就没有这个权限。下面的权限直接影响了对计算机的访问,应该被限制。
?从网络访问这台计算机
这个权限只允许被识别的组访问计算机。默认的,“全体成员”组有这个权限,可能这不是我们想要的。要限制这个权限,添加一些有访问计算机的权限的组,然后删除“全体成员”组。小心不要使服务账户没有访问的权限。
?拒绝从网络访问这台计算机
记住默认的,如果一个用户没有访问这台计算机的权限,他肯定被拒绝访问。使用这个权限保守地定义那些从来不会(在任何情况下)从网络访问这台计算机的账户。 “Windwos Server 2003” 默认锁定了“support_388945a0”这个账户的从网络访问的权限。你应该用这个权限来拒绝本地管理员账号通过网络的使用。
步骤3:加固登陆和拒绝登陆权限
小心对待登陆和拒绝登陆权限。每个权限都有一个对应----拒绝用户的权限。使用拒绝权限通常是用来保守地管理那些应该从来没有这个权限的账户。请遵从下面表格中的建议。
用户权限的意义和建议
允许本地登陆 如果一个用户有这个权限,他就可以在本地登陆。 通过添加一些代表那些授权配置和管理服务器的用户的组,限制对所有服务器的访问。然后删除“全体用户”的组。这里要小心。如果这台机器是终端服务器,锁住本地登陆是不适当的选择。“support_388945a0”账户被没有这个权限。
允许通过终端服务登陆 如果这台机器是一个终端服务器,用户们就需要这个权限。 限制终端服务,只提供给那些真正被授权使用这台服务器的用户。
作为批处理作业登陆 批处理作业是后台运行的作业。它们通常由任务调度程序来调度执行。 只把这个权限给那些可能用于运行这种类型的作业的账户----这样的账户才需要这个权限。
“support_388945a0”、和互联网信息服务有关的账户有这个权限。不要删除这些组,除非他们执行的任务在这些计算机中再也不需要了。
作为服务登陆 服务也运行在后台 只给那些需要这个权限的服务(网络服务账户默认有这个权限)。普通的用户不需要这个权限。