表格 3.19:面向审核系统事件的系统事件消息
事件编号
事件描述
512
正在启动 Windows。
513
Windows 正在关机。
514
本地安全机制机构已加载身份验证数据包。
515
受信任的登录过程已经在本地安全机制机构注册。
516
用来列队审核消息的内部资源已经用完,从而导致部分审核数据丢失。
517
审核日志已经清除。
518
安全帐户管理器已经加载通知数据包。
519
一个过程正在试图通过无效本地过程调用(LPC)端口来模拟客户端并针对客户端地址空间执行回复、读取或写入操作。
520
系统时间已更改。
说明:这种审核操作通常成对出现。
用户权限分配
用户权限分配用于确定哪些用户或组拥有在组织机构内部计算机上进行登录的权利或特权。登录权限与特权控制着用户在目标系统上所拥有的权限。它们用以授予执行特定操作(例如在网络或本地进行登录)或管理任务(例如生成新的登录令牌)所需的权限。
说明:在用户权限分配部分中,“没有定义”表示管理员仍将具备没有定义的各项权限。
本地管理员可以更改权限,但所有基于域的组策略设置都将在组策略下次更新或重新应用时被覆盖掉。
在Windows Server 2003操作系统中,用户权限分配设置可以在组策略对象编辑器中的以下位置上进行配置。
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
对于企业应用环境中的不同类型服务器,其缺省用户权限分配设置各不相同。举例来说,就成员服务器和域控制器而言,Windows Server 2003在针对内建组的用户权限分配设置方面存在以下区别。成员服务器和域控制器之间设置类似的内建组在以下部分中并未列出。
成员服务器
Power Users(高级用户)组
除某些限制条件外,高级用户具备绝大多数管理权限。因此,高级用户能够运行认证应用程序以及所有旧版应用程序。
HelpServicesGroup组
这是一个面向帮助与支持中心的组。缺省情况下,Support_388945a0是该组中的一个成员。
TelnetClients组
这个组的成员有权访问系统中的远程登录服务器。
域控制器
Server Operators(服务器操作员)组
这个组的成员可以管理域服务器。
Terminal Server License Services(终端服务器许可证服务)组
这个组的成员有权访问系统中的终端服务器许可授权服务。
Windows许可证访问组
这个组的成员有权访问用户对象中经过计算得出的tokenGroupsGlobalAndUniversal属性。
来宾(Guests)组及Guest用户帐号和Support_388945a0在不同域间拥有唯一的SID。因此,这种面向用户权限分配的组策略可能需要在那些只存在特定目标组的系统上予以修改。或者,也可对策略模板进行单独编辑,以便在.inf文件中包含适当的组。举例来说,应当在测试环境中的某台域控制器上创建一个域控制器组策略。
说明:由于Guests组、Support_388945a0帐号和Guest帐号存在各自唯一的SID,因此,某些强化设置无法自动应用本指南中所包含的安全模板,这些强化设置在本章稍后的附加成员服务器强化处理过程部分中进行了描述。
这部分内容面向MSBP对本指南定义的三种运行环境中所描述的用户权限分配进行了详细介绍。如需获取针对这部分所描述设置选项的总结归纳,请查看名为Windows Server 2003安全指导设置的Excel电子表格。如需获取缺省设置信息以及这部分所讨论之设置的详细解释内容,请查看参考指南《威胁与对策:Windows Server 2003与Windows XP中的安全设置》,该书可通过网址http://go.microsoft.com/fwlink/?LinkId=15159获得。
通过网络访问此计算机
表格 3.20:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
管理员,备份操作员,每个人、高级用户及用户组
没有定义
没有定义
管理员和验证用户组
从网络访问此计算机用户权限决定了允许哪些用户和组通过网络与计算机建立连接。包括基于服务器消息块(SMB)的协议,网络基本输入/输出系统(NetBIOS)、通用Internet文件系统(CIFS)、超文本传输协议(HTTP)以及组件对象模型+(COM+)在内的许多网络协议均需要使用这种用户权限。
在Windows Server 2003操作系统中,尽管授予Everyone安全组的权限将不再为匿名用户提供访问权限,Guests组和Guest帐号仍将通过Everyone安全组被授予访问权限。由于这种原因,本指南建议在高安全性运行环境中从从网络访问此计算机用户权限中删除Everyone安全组,以便进一步抵御通过来宾访问方式对域发动的攻击。
作为操作系统的一部分
表格 3.21:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
没有定义
没有定义
没有定义
吊销所有安全组和帐号
作为操作系统的一部分用户权限允许进程假冒用户身份标识并针对其有权访问的资源获取访问权限。通常情况下,只有级别较低的身份验证服务需要使用这种权限。缺省情况下,这种权限未定义任何安全组,因此,这种用户权限对于旧有客户机和企业客户机运行环境而言已经足够。然而,在高安全性运行环境中,则应将这种设置配置为吊销所有安全组和帐号。
向域中添加工作站
表格 3.22:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
没有定义
没有定义
没有定义
管理员组
向域中添加工作站用户权限允许用户向特定域中添加计算机。如需使相关特权生效,必须将这种权限作为域中缺省域控制器策略的一部分分配给用户。缺省情况下,这种权限未定义任何安全组,因此,这种用户权限对于旧有客户机和企业客户机运行环境而言已经足够。然而,在高安全性运行环境中,这种用户权限将仅仅授予管理员组。
调整针对进程的内存配额
表格 3.23:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
管理员、网络服务和本地服务组
没有定义
没有定义
管理员、网络服务和本地服务组
调整针对进程的内存配额用户权限允许用户对特定进程可以使用的最大内存空间进行调整。这种权限可以用于系统调节,然而,它也可能遭到滥用。恶意用户可以使用这种用户权限发动拒绝服务(DoS)攻击。对于旧有客户机和企业客户机运行环境而言,针对这种用户权限的缺省安全组已经足够。然而,在高安全性运行环境中,这种用户权限的取值必须强制设为管理员、网络服务和本地服务组。
允许在本地登录
表格 3.24:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
管理员、备份操作员、高级用户和用户组
管理员、备份操作员和高级用户组
管理员、备份操作员和高级用户组
管理员、备份操作员和高级用户组
允许在本地登录用户权限决定了哪些用户可以通过交互方式登录到指定计算机上。在键盘上通过按下CTRL+ALT+DEL组合键发起的登录操作将要求用户具备这种登录权限。具备这种用户权限的所有帐号均可用于登录到计算机的本地控制台上。将这种特权限制在真正需要登录到系统上的合法用户范围内能够有效防止未经授权的用户提升自身权限或向计算环境中输入病毒。
通过终端服务允许登录
表格 3.25:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
管理员和远程桌面用户组
管理员和远程桌面用户组
管理员和远程桌面用户组
管理员组
通过终端服务允许登录用户权限决定了哪些用户或组有权以终端服务客户端的形式进行登录。对于旧有客户机和企业客户机运行环境而言,针对这种用户权限的缺省安全组已经足够。然而,在高安全性运行环境中,应当只有管理员组能够以终端服务客户端身份进行登录。
更改系统时间
表格 3.26:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
管理员和高级用户组
没有定义
没有定义
管理员组
更改系统时间用户权限决定了哪些用户和组能够更改计算机内部时钟的时间与日期。由于事件日志将反映调整后的新时间,而非事件发生的真实时间,因此,具备这种用户权限的用户能够影响事件日志的外观。应将更改系统时间特权限制在哪些真正需要更改时间的合法用户(如IT部门员工)范围内。本地计算机和域控制器之间的时间差异可能造成Kerberos身份验证协议出现问题,从而导致用户无法登录到域中,或在登录成功后无法获取针对域资源的访问授权。
调试程序
表格 3.27:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
管理员组
吊销所有安全组和帐号
吊销所有安全组和帐号
吊销所有安全组和帐号
调试程序用户权限决定了哪些用户可以在进程或系统内核中附加调试器。这种用户权限提供了针对敏感及关键性操作系统组件的全面访问能力。除极为个别的情况(例如对那些无法在测试环境中进行有效评估的商务关键性应用进行故障诊断)外,程序调试工作不应在生产环境中进行。
拒绝从网络访问这台计算机
表格 3.28:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
SUPPORT_388945a0帐号
匿名登录帐号、内建管理员帐号、Guests组、Support_388945a0帐号、Guest帐号以及所有非操作系统服务帐号
匿名登录帐号、内建管理员帐号、Guests组、Support_388945a0帐号、Guest帐号以及所有非操作系统服务帐号
匿名登录帐号、内建管理员帐号、Guests组、Support_388945a0帐号、Guest帐号以及所有非操作系统服务帐号
说明:匿名登录、内建管理员、Support_388945a0、来宾以及所有非操作系统服务帐号均未包含在.inf安全模板中。这些帐号和组在组织机构内部的所有域中拥有唯一SID。因此,它们必须手工予以添加。如需获取更多相关信息,请查看本章最后手工强化处理过程部分。
拒绝从网络访问这台计算机用户权限决定了应当防止哪些用户通过网络访问特定计算机。这种用户权限将拒绝包括基于SMB的协议、NetBIOS、CIFS、HTTP以及COM+在内的多种网络协议。当用户帐号同时处于两种策略作用范围内时,这项策略设置将取代从网络访问此计算机用户权限。针对其他用户组设置这项登录权限有可能会对那些在运行环境中被授予特定管理角色的用户造成限制。因此,请验证这项权限是否会对委托任务造成负面影响。
拒绝作为批处理作业登录
表格 3.29:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
没有定义
Guests组、 Support_388945a0帐号和Guest帐号
Guests组、 Support_388945a0帐号和Guest帐号
Guests组、 Support_388945a0帐号和Guest帐号
说明:匿名登录、内建管理员、Support_388945a0、来宾以及所有非操作系统服务帐号均未包含在.inf安全模板中。这些帐号和组在组织机构内部的所有域中拥有唯一SID。因此,它们必须手工予以添加。如需获取更多相关信息,请查看本章最后手工强化处理过程部分。
拒绝作为批处理作业登录用户权限决定了应当防止哪些帐号作为批处理作业登录到系统中。批处理作业并非一个批处理文件(.bat),而是一种批处理队列机制。通过任务计划程序进行作业调度的帐号需要使用这种权限。这种拒绝作为批处理作业登录用户权限设置将覆盖作为批处理作业登录用户权限设置。具备这种登录权限的帐号可用于对消耗过多系统资源以至于可能导致DoS现象的作业进行调度。出于这种原因,请不要将拒绝作为批处理作业登录用户权限分配给那些可能对安全性造成威胁的帐号。
通过终端服务拒绝登录
表格 3.30:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
没有定义
内建管理员帐号、Guests组、Support_388945a0帐号、Guest帐号以及所有非操作系统服务帐号
内建管理员帐号、Guests组、Support_388945a0帐号、Guest帐号以及所有非操作系统服务帐号
内建管理员帐号、Guests组、Support_388945a0帐号、Guest帐号以及所有非操作系统服务帐号
说明:匿名登录、内建管理员、Support_388945a0、来宾以及所有非操作系统服务帐号均未包含在.inf安全模板中。这些帐号和组在组织机构内部的所有域中拥有唯一SID。因此,它们必须手工予以添加。如需获取更多相关信息,请查看本章最后手工强化处理过程部分。
通过终端服务拒绝登录用户权限决定了禁止哪些用户和组通过终端服务客户端形式进行登录。一旦将基准成员服务器加入到域环境中,用户便不再需要使用本地帐号通过网络访问这台服务器。域帐号能够访问这台服务器并完成管理及终端用户操作。请记住,除非将服务器加入到域中并重新启动两次,否则,MSBP将无法接收这种组策略。因此,针对本地管理员帐号的使用应被禁止。
启用已为委派信任的计算机和用户帐号
表格 3.31:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
没有定义
没有定义
没有定义
吊销所有安全组和帐号
启用已为委派信任的计算机和用户帐号权限允许用户对Active Directory中特定用户或计算机对象上的已为委派信任设置进行更改。被授予这种权限的用户或计算机同时还必须拥有针对对象中帐号控制标志的写入权限。滥用这种权限将导致未经授权的用户能够在网络中假扮其它用户。
强制通过远程系统关机
表格 3.32:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
管理员组
没有定义
没有定义
管理员组
强制通过远程系统关机用户权限允许用户通过网络从远程位置上关闭计算机。所有能够关闭计算机的用户均可发动拒绝服务(DoS)攻击,因此,这种权限的分配应受到严格限制。
生成安全审核
表格 3.33:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
网络服务和本地服务组
没有定义
没有定义
网络服务和本地服务组
生成安全审核用户权限允许进程在安全日志中生成审核记录。安全日志可用于对未经授权的系统访问进行跟踪。攻击者可以使用能够对安全日志执行写入操作的帐号向日志中填充毫无意义的事件。如果将计算机设置为可以根据需要重写事件,那么,攻击者还可利用这种方法删除他们未经授权进行访问的证据。如果将计算机设置为在无法写入安全日志时自动关闭,那么,这种方法还可用于发动服务拒绝(DoS)攻击。
通过身份验证后对特定客户端进行模拟
表格 3.34:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
服务和管理员组
没有定义
没有定义
本地服务和网络服务组
通过身份验证后对特定客户端进行模式的权限允许代表某个用户运行应用程序,以便对特定客户端进行模拟。针对此类模拟方式设置这种用户权限将有效防止未经授权的用户欺骗指定客户端与某种他(她)所创建的服务建立连接――例如通过远程过程调用(RPC)或名称管道方式――并对其进行假冒,进而将自身权限提升至管理或系统级别。对于旧有客户机和企业客户机运行环境而言,针对这种用户权限的缺省安全组已经足够。然而,在高安全性运行环境中,这种用户权限则应针对本地服务组和网络服务组进行配置。
提高调度优先级
表格 3.35:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
管理员组
没有定义
没有定义
管理员组
提高调度优先级权限允许用户提高进程的基本优先级类别。在特定优先级类别中提高相对优先级并非一种需要权限的操作。随操作系统一同提供的管理工具无需使用这种权限,其主要应用对象为软件开发工具。具备这种权限的用户可以实时提升进程调度优先级,这种方式可能会剥夺其它所有进程的处理时间,并导致拒绝服务(DoS)现象。对于旧有客户机和企业客户机运行环境而言,针对这种用户权限的缺省安全组已经足够。然而,在高安全性运行环境中,这种用户权限则应用以加强缺省管理员组。
装载与卸载设备驱动程序
表格 3.36:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
管理员组
没有定义
没有定义
管理员组
装载与卸载设备驱动程序权限决定了哪些用户可以动态装载并卸载设备驱动程序。如果计算机上的Driver.cab文件中已经存在针对新型硬件设备的签署驱动程序,则不再需要使用这种权限。设备驱动程序以高优先级代码方式运行。具备装载与卸载设备驱动程序权限的用户可以随意安装那些伪装成设备驱动程序的恶意代码。因此,管理员应加倍小心,并且仅仅安装那些经过数字签署认证的驱动程序。对于旧有客户机和企业客户机运行环境而言,针对这种用户权限的缺省安全组已经足够。然而,在高安全性运行环境中,这种用户权限则应用以加强缺省管理员组。
在内存中锁定页面
表格 3.37:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
没有定义
没有定义
没有定义
管理员组
作为批处理作业登录用户权限允许用户通过诸如任务计划程序服务之类的批处理队列机制进行登录。由于遭受攻击的风险较低,因此,针对这种用户权限的缺省设置适用于绝大多数组织机构。对于旧有客户机和企业客户机运行环境而言,针对这种用户权限的缺省安全组已经足够。然而,在高安全性运行环境中,这种用户权限则应配置为吊销所有安全组和帐号。
管理审核机制与安全日志
表格 3.39:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
管理员组
没有定义
没有定义
管理员组
管理审核机制与安全日志权限允许用户针对诸如文件、Active Directory对象或注册表键之类的独立对象指定对象访问审核选项。管理安全事件日志的权限是一种需要予以密切保护的高级用户特权。获得此项用户权限的用户可以清除安全日志,从而销毁未经授权访问活动的重要证据。对于旧有客户机和企业客户机运行环境而言,针对这种用户权限的缺省安全组已经足够。然而,在高安全性运行环境中,这种用户权限则应用以加强缺省管理员组。
修改固件环境取值
表格 3.40:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
管理员组
没有定义
没有定义
管理员组
修改固件环境取值用户权限允许进程通过API方式或用户通过系统属性方式对系统环境变量进行修改。具备这种权限的用户能够对可能导致硬件设备故障的硬件设备组件设置加以配置,从而造成数据损坏或DoS现象。对于旧有客户机和企业客户机运行环境而言,针对这种用户权限的缺省安全组已经足够。然而,在高安全性运行环境中,这种用户权限则应用以加强缺省管理员组。
执行卷维护任务
表格 3.41:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
管理员组
没有定义
没有定义
管理员组
执行卷维护任务用户权限允许非管理用户或远程用户对卷或磁盘进行管理。具备这种权限的用户可以删除卷,从而导致数据丢失或DoS现象。对于旧有客户机和企业客户机运行环境而言,针对这种用户权限的缺省安全组已经足够。然而,在高安全性运行环境中,这种用户权限则应用以加强缺省管理员组。
配置单一进程
表格 3.42:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
管理员和高级用户组
没有定义
没有定义
管理员组
配置单一进程用户权限决定了哪些用户可以利用性能监视工具对非系统进程性能加以监控。这种权限存在一定攻击性,具备这种权限的攻击者可以对计算机性能进行监视,以便确定哪些关键进程是他们可以直接发动攻击的对象。此外,攻击者还可掌握哪些进程正在系统中运行,以便确定需要避开哪些防范措施(如防病毒软件、入侵检测系统或已经登录到系统中的其它用户)。为更好的确保运行环境安全性,在高安全性运行环境中,应从这种用户权限中删除高级用户组。
配置系统性能
表格 3.43:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
管理员组
没有定义
没有定义
管理员组
配置系统性能用户权限允许用户对系统进程性能加以监控。这种权限存在一定攻击性,具备这种权限的攻击者可以对计算机性能进行监视,以便确定哪些关键进程是他们可以直接发动攻击的对象。此外,攻击者还可掌握哪些进程正在系统中运行,以便确定需要避开哪些防范措施(如防病毒软件或入侵检测系统)。对于旧有客户机和企业客户机运行环境而言,针对这种用户权限的缺省安全组已经足够。然而,在高安全性运行环境中,这种用户权限则应用以加强缺省管理员组。
从扩展坞中卸载计算机
表格 3.44:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
管理员和高级用户组
没有定义
没有定义
管理员组
从扩展坞中卸载计算机用户权限允许便携式计算机用户通过在开始菜单上单击弹出PC的方式移除计算机。拥有这种权限的用户可以卸载已在扩展坞中引导启动的便携式计算机。对于旧有客户机和企业客户机运行环境而言,针对这种用户权限的缺省安全组已经足够。然而,在高安全性运行环境中,这种用户权限则应用以加强缺省管理员组。
替换进程级令牌
表格 3.45:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
本地服务和网络服务组
没有定义
没有定义
本地服务和网络服务组
替换进程级令牌用户权限允许父进程替换与子进程相关联的访问令牌。对于旧有客户机和企业客户机运行环境而言,针对这种用户权限的缺省安全组已经足够。然而,在高安全性运行环境中,这种用户权限则应用以加强缺省本地服务组和网络服务组。
恢复文件与目录
表格 3.46:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
管理员和备份操作员组
没有定义
管理员组
管理员组
恢复文件与目录用户权限决定了哪些用户在恢复备份文件与目录时可以绕过文件、目录、注册表及其它永久对象权限。同时,这种用户权限还决定了哪些用户可以将合法安全主体设置为对象所有者。在企业级或高安全性运行环境中,只有管理员组成员有权对文件与目录进行恢复。文件恢复作业通常由管理员组或其它指定委托安全组成员来完成,这种方式尤其适用于具有高度敏感性的服务器和域控制器。
关闭系统
表格 3.47:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
备份操作员、高级用户和管理员组
没有定义
没有定义
管理员组
关闭系统用户权限决定了哪些本地登录用户能够通过关机命令关闭操作系统。滥用这种用户权限可能造成DoS攻击。关闭域控制器的能力应被限制在少数深受信赖的管理员范围内。虽然关闭系统还需具备登录到服务器的能力,但是,您仍需谨慎对待哪些允许关闭域控制器的帐号和组。在高安全性运行环境中,只有管理员组应被授予关闭系统用户权限。
同步目录服务数据
表格 3.48:设置
成员服务器缺省取值
旧有客户机
企业客户机
高安全性
没有定义
没有定义
没有定义
吊销所有安全组和帐号
同步目录服务数据用户权限允许进程读取目录中的所有对象和属性,而不必关心这些对象和属性是否存在保护措施。LDAP目录同步(Dirsync)服务需要使用这种权限。这种用户权限的缺省设置并未指定任何帐号,然而,在高安全性运行环境中,必须将其配置为吊销所有安全组和帐号。
获取文件或其它对象的所有权
