Windows2003安全指南之創(chuàng)建成員服務器基線(doc 49頁).doc

Windows2003安全指南之創(chuàng)建成員服務器基線/server/38769.html概述 本章描述了針對所有運行Microsoft Server 2003的管理基線模板所需的配置需求。此外，本章還將提供在三種企業(yè)級運行環(huán)境中建立并配置可靠的Server 2003系統(tǒng)所需的管理指導。本章所包含的配置需求為本指南后續(xù)章節(jié)中所有其它應用特定角色的復雜處理過程提供了基準。 本章提供的建議設置方案為企業(yè)級運行環(huán)境中的商務應用服務器構建了一種堅實基礎。然而，如需在生產環(huán)境中實施這些安全配置，您必須首先就其與自身組織機構的商務應用共存情況進行全面。本章提供的建議設置方案適用于絕大多數(shù)企業(yè)，并且可以在運行Windows Server 2003的現(xiàn)有系統(tǒng)或新增系統(tǒng)上加以部署。這些建議設置方案已針對Windows Server 2003中的缺省安全配置方案進行了必要的研究、審核與。如需獲取所有缺省設置信息以及本章所討論之設置的詳細解釋內容，請查看參考指南威脅與對策：Windows Server 2003與Windows XP中的安全設置，該書可通過網(wǎng)址獲得。盡管如此，我們還是建議您在高于缺省設置的安全級別上部署絕大多數(shù)建議配置方案。本章所討論的針對企業(yè)級運行環(huán)境中所有Windows Server 2003系統(tǒng)的基準安全設置均與以下所定義的三種運行環(huán)境相關聯(lián)。這三種環(huán)境分別是： 舊有客戶機提供不會束縛混合狀態(tài)運行環(huán)境的足夠安全性。這種舊有客戶機級別專門面向于使用舊有客戶機的運行環(huán)境。這種運行環(huán)境處于本指南所定義的最低鎖定級別。為進一步確保運行環(huán)境安全性，組織機構可以選擇移植到下一個鎖定級別即企業(yè)客戶機級別，或者，如果無需確保舊有客戶機安全性，則應直接從企業(yè)客戶機級別開始。這種商務運行環(huán)境包括運行Microsoft Windows 98、Microsoft Windows NT 4.0 Workstation、Windows 2000 Professional和Windows XP Professional的工作站系統(tǒng)，并且只包含Windows 2000或更高版本的域控制器。這種運行環(huán)境中無法使用Windows NT 4.0域控制器，但卻可以存在Windows NT成員服務器。 企業(yè)客戶機提供專為新型系統(tǒng)運行環(huán)境而設計的牢固安全性。這種商務運行環(huán)境包含運行Windows 2000 Professional和Windows XP Professional的客戶端。從舊版運行環(huán)境移植到企業(yè)級運行環(huán)境所需完成的工作主要是對舊有客戶機進行升級，例如將Windows 98和Windows NT 4.0 Workstation升級為Windows 2000或Windows XP。這種運行環(huán)境中的所有域控制器均為Windows 2000 Server或更高版本產品。同時，這種運行環(huán)境中的成員服務器也必須使用Windows 2000 Server或更高版本操作系統(tǒng)。 高安全性 提供在企業(yè)客戶機級別基礎上進一步增強的安全性標準。從企業(yè)級運行環(huán)境移植到高安全性運行環(huán)境需要確保客戶端及服務器均能符合嚴格的安全策略。這種運行環(huán)境包含運行Windows 2000 Professional和Windows XP Professional操作系統(tǒng)的客戶端，以及運行Windows 2000 Server或更高版本操作系統(tǒng)的域控制器。在高安全性運行環(huán)境中，對安全性的關注首當其沖，以至于為實現(xiàn)高安全性，可以將損失顯著功能性與易管理性作為。這種運行環(huán)境中的成員服務器必須使用Windows 2000 Server或更高版本操作系統(tǒng)。 以下插圖顯示了這三種安全性層次以及每種層次所支持的客戶端類型。 圖 3.1 現(xiàn)有及規(guī)劃鎖定級別 那些希望采取階段性方式確保運行環(huán)境安全性的組織機構可以選擇從舊有客戶機運行環(huán)境開始，并伴隨應用程序與客戶端計算機陸續(xù)升級且通過嚴格安全設置測試，逐步向更高安全性級別進行移植。以下插圖顯示了如何將.inf文件安全模板作為企業(yè)客戶機成員服務器基線策略（MSBP）的基礎使用。此外，這張插圖還顯示了針對組織機構中所有服務器應用成員服務器基線策略的一種可能連接方式。Windows Server 2003本身具備一套能夠實現(xiàn)安全可靠狀態(tài)的缺省設置。在許多實例中，本章內容指定了缺省設置以外的其它設置，并且針對本指南中定義的三種運行環(huán)境加強了缺省設置方式。如需獲取有關所有缺省設置的信息，請查看參考指南威脅與對策：Windows Server 2003與Windows XP中的安全設置，該書可通過網(wǎng)址獲得。圖 3.2 用以連接成員服務器組織單元（OU）的安全模板Enterprise Client Member Server Baseline.inf已被導入至MSBP當中。 針對特定服務器角色的強化處理過程將在本指南其余章節(jié)中予以定義。本指南所涉及的主要服務器角色包括： 包含域名系統(tǒng)（DNS）服務的域控制器。 包括以下功能特性的基礎架構服務器角色： o Windows Internet名稱服務（WINS） o 動態(tài)主機配置（DHCP） 文件 打印 Internet Information Services（IIS） Microsoft Internet Authentication Server（IAS） 認證服務服務器（CA） 堡壘主機 出現(xiàn)在企業(yè)客戶機MSBP中的許多設置也將應用于本指南定義的這三種運行環(huán)境中所涉及的服務器角色。安全模板是專為滿足每一種特定運行環(huán)境安全需求而設計的。以下表格顯示了基準安全模板與三中運行環(huán)境之間的相互關系。如需在舊有客戶機、企業(yè)客戶機或高安全性級別中調出具體細節(jié)，與建議基線策略相關聯(lián)的安全模板將提供用以辨別正確模板的級別標識。舉例來說，Enterprise Client Member Server Baseline.inf文件是針對企業(yè)客戶機運行環(huán)境的建議安全模板。表格 3.1： 針對三種運行環(huán)境的基準安全模板 舊有客戶機企業(yè)客戶機高安全性Legacy Client Member Server Baseline.infEnterprise Client Member Server Baseline.infHigh Security Member Server Baseline.inf以下Windows Server 2003基線策略部分描述了Member Server Baseline.inf安全模板中適用于所有運行環(huán)境的安全設置。這些基準安全模板同時還是第四章“強化域控制器”中所定義域控制器安全模板的出發(fā)點。Enterprise Client Domain Controllers Role.inf模板提供了針對域控制器組策略之組策略對象（GPO）的基準，并且與所有三種運行環(huán)境中的域控制器組織單元（OU）相連接。旨在幫助用戶創(chuàng)建OU和組策略以及向每個OU中導入適當安全模板的逐步操作指導已在第2章“配置域的基礎架構”中進行了詳細介紹。說明：某些強化處理過程無法通過組策略自動完成；這些處理過程將在本章稍后的附加成員服務器強化處理過程部分中加以描述。Windows Server 2003基線策略 成員服務器OU級別上的設置選項定義了面向域中所有成員服務器的通用設置。這是通過創(chuàng)建與成員服務器OU相連接的GPO稱作基線策略實現(xiàn)的。這種GPO將自動完成每臺服務器上的特定安全設置配置工作。以下設置內容將在其出現(xiàn)在安全配置編輯器（SCE）管理單元用戶界面（UI）中時予以描述。審核策略 管理員應當創(chuàng)建一種審核策略。這種審核策略用于確定需要報告至網(wǎng)絡管理員以便使特定事件類別中的用戶或系統(tǒng)活動得到及時記錄的安全事件。當用戶登錄到計算機、從計算機上注銷，或對審核策略設置進行修改時，管理員可以對諸如特定對象訪問者之類的安全活動加以監(jiān)控。在實現(xiàn)審核策略前，必須首先完成的一項工作便是確定需要在企業(yè)運行環(huán)境中對哪些事件類別進行審核。管理員針對事件類別所選擇的審核設置將用于定義企業(yè)審核策略。通過定義針對特定事件類別的審核設置，管理員可以創(chuàng)建出適合于組織機構安全需求的審核策略。如果未對審核方式加以配置，管理員將很難甚至不可能確定在安全事故中發(fā)生了哪些事件。相反，如果審核方式過于繁瑣，以至于過多授權活動都將生成事件，那么，安全事件日志將被大量無用數(shù)據(jù)填滿。因此，以下建議將幫助您做出對哪些事件進行監(jiān)控的權衡決策。以下表格包含了針對本指南中所定義的三種運行環(huán)境的審核策略設置建議。或許您已經注意到，在這三種運行環(huán)境中，針對許多設置的取值都非常近似。以下取值可以在下列位置上的Windows Server 2003域組策略部分中加以配置：Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesAudit Policy如需獲取這部分中所描述設置選項的概要信息，請查看名為Windows Server 2003安全指導設置的Microsoft Excel電子表格。如需獲取缺省設置信息以及這部分所討論之設置的詳細解釋內容，請查看參考指南威脅與對策：Windows Server 2003與Windows XP中的安全設置，該書可通過網(wǎng)址/fwlink/?LinkId=15159獲得。審核帳號登錄事件表格 3.2：設置成員服務器缺省取值舊有客戶機企業(yè)客戶機高安全性成功成功 失敗成功 失敗成功 失敗審核帳號登錄事件設置用于確定是否對每個用戶實例登錄或注銷另一臺需要驗證帳號的計算機的活動進行審核。在域控制器上對域用戶帳號進行身份驗證時將產生一個帳號登錄事件。這個事件將被記錄到域控制器的安全日志中。在本地計算機上對本地用戶進行身份驗證時將產生一個登錄事件。這個事件將被記錄到本地安全日志中。對于帳號注銷事件，則沒有任何信息需要記錄。以下表格列出了這項設置在安全事件日志中所記錄的某些重要安全事件。表格 3.3：帳號登錄事件事件編號事件描述672身份驗證服務（AS）票證得到成功發(fā)行與驗證。673票證授權服務（TGS）票證得到授權。TGS是一份由Kerberos 5.0版票證授權服務（TGS）發(fā)行、且允許用戶針對域中特定服務進行身份驗證的票證。674安全主體重建AS票證或TGS票證。675預身份驗證失敗。這種事件將在用戶輸入錯誤密碼時由密鑰分發(fā)中心（KDC）生成。676身份驗證票證請求失敗。這種事件在Windows XP Professional操作系統(tǒng)或Windows Server產品家族成員中將不會產生。677TGS票證無法得到授權。這種事件在Windows XP Professional操作系統(tǒng)或Windows Server產品家族成員中將不會產生。678指定帳號成功映射到一個域帳號。681登錄失敗。域帳號嘗試進行登錄。這種事件在Windows XP Professional操作系統(tǒng)或Windows Server產品家族成員中將不會產生。682用戶重新連接到一個已經斷開連接的終端服務器會話上。683用戶在沒有注銷的情況下與終端服務器會話斷開連接。以上列出的事件編號可用于創(chuàng)建用以監(jiān)控各種套裝軟件例如Microsoft運行管理器（MOM）的自定義報警。審核帳號管理表格 3.4：設置成員服務器缺省取值舊有客戶機企業(yè)客戶機高安全性無審核成功 失敗成功 失敗成功 失敗審核帳號管理設置用于確定是否對計算機上每個帳號管理事件進行審核。帳號管理事件的具體示例包括： 創(chuàng)建、修改或刪除一個用戶帳號或組 重新命名、禁用或啟用一個用戶帳號。 設置或修改一個密碼。 組織機構需要掌握哪些人員曾經創(chuàng)建、修改或刪除過域帳號和本地帳號。未經授權的修改內容既可能是不了解如何遵守企業(yè)策略的管理員所進行的錯誤修改，也可能是蓄謀以久的惡意攻擊。舉例來說，帳號管理失敗事件通常表示低級別管理員或者竊取低級別管理員帳號的非法攻擊者試圖提升自身權限。從日志記錄中，您可以看到攻擊者修改并創(chuàng)建了哪些帳號。出于這種原因，針對這項設置所采用的策略是在三種運行環(huán)境中均將其取值設置為同時包含成功與失敗情況。以下表格列出了這項設置在安全事件日志中所記錄的某些重要安全事件。表格 3.5： 帳號管理事件事件編號事件描述624一個用戶帳號被創(chuàng)建。627一個用戶密碼被修改。628一個用戶密碼被設置。630一個用戶密碼被刪除。631一個全局組被創(chuàng)建。632一個成員被添加到特定全局組中。633一個成員從特定全局組中被刪除。634一個全局組被刪除。635一個新的本地組被創(chuàng)建。636一個成員被添加到本地組中。637一個成員從本地組中被刪除。638一個本地組被刪除。639一個本地組帳號被修改。641一個全局組帳號被修改。642一個用戶帳號被修改。643一個域策略被修改。644一個用戶帳號被自動鎖定。645一個計算機帳號被創(chuàng)建。646一個計算機帳號被修改。647一個計算機帳號被刪除。648一個禁用安全特性的本地安全組被創(chuàng)建。說明：正式名稱中的SECURITY_DISABLED意味著這個組無法用于在訪問檢查中授予權限。649一個禁用安全特性的本地安全組被修改。650一個成員被添加到一個禁用安全特性的本地安全組中。651一個成員從一個禁用安全特性的本地安全組中被刪除。652一個禁用安全特性的本地組被刪除。653一個禁用安全特性的全局組被創(chuàng)建。654一個禁用安全特性的全局組被修改。655一個成員被添加到一個禁用安全特性的全局組中。656一個成員從一個禁用安全特性的全局組中被刪除。657一個禁用安全特性的全局組被刪除。658一個啟用安全特性的通用組被創(chuàng)建。659一個啟用安全特性的通用組被修改。660一個成員被添加到一個啟用安全特性的通用組中。661一個成員從一個啟用安全特性的通用組中被刪除。662一個啟用安全特性的通用組被刪除。663一個禁用安全特性的通用組被創(chuàng)建。664一個禁用安全特性的通用組被修改。665一個成員被添加到一個禁用安全特性的通用組中。666一個成員從一個禁用安全特性的通用組中被刪除。667一個禁用安全特性的通用組被刪除。668一個組類型被修改。684管理組成員的安全描述符被設置。說明：在域控制器上，一個后臺線程每60秒將對管理組中的所有成員（如域管理員、企業(yè)管理員和架構管理員）進行一次搜索并對其應用一個經過修復的安全描述符。這種事件將被記錄下來。685一個帳號名稱被修改。以上列出的事件編號可用于創(chuàng)建用以監(jiān)控各種套裝軟件如Microsoft Operation Manager（MOM）的自定義報警。大多數(shù)運行管理軟件能夠通過腳本方式加以定制，以便根據(jù)上面所列出的事件編號來捕捉或標記相關事件。審核目錄服務訪問表格3.6：設置成員服務器缺省取值舊有客戶機企業(yè)客戶機高安全性無審核成功 失敗成功 失敗成功 失敗審核目錄服務訪問 設置選項用于確定是否對那些訪問擁有自身系統(tǒng)訪問控制列表（SACL）的Microsoft Active Directory目錄服務對象的訪問事件進行審核。如果將審核目錄服務訪問選項設置為無審核，管理員將很難甚至無法確定哪些Active Directory對象在安全事故中可能遭到了破壞。如果這個選項未被設置為成功和失敗，那么，當安全事故發(fā)生后，您將無法獲得用以進行分析審核記錄證據(jù)。如果將審核目錄服務訪問設置為成功，系統(tǒng)將在用戶每次成功訪問具備特定SACL的Active Directory對象時生成一條審核記錄。如果將其設置為失敗，系統(tǒng)將在用戶每次嘗試訪問具備特定SACL的Active Directory對象失敗時生成一條審核記錄。表格 3.7：目錄服務訪問事件事件編號事件描述566發(fā)生一次普通對象操作。審核登錄事件表格 3.8：設置成員服務器缺省取值舊有客戶機企業(yè)客戶機高安全性成功成功 失敗成功 失敗成功 失敗審核登錄事件設置選項用于確定是否對用戶實例在計算機上的登錄或注銷事件進行審核。從域控制器帳號登錄事件設置中生成的記錄將用于監(jiān)視域帳號活動，而從本地計算機帳號登錄事件設置中生成的記錄將用于監(jiān)視本地帳號活動。如果將審核登錄事件設置為無審核，管理員將很難甚至無法確定哪些用戶曾經登錄或嘗試登錄到企業(yè)內部的計算機上。如果在域成員系統(tǒng)中針對審核登錄事件選項使用成功取值，當有人登錄到系統(tǒng)時，無論其所使用的帳號是否位于系統(tǒng)內部，系統(tǒng)都將生成一個事件。如果用戶登錄到本地帳號，且審核帳號登錄事件設置為啟用，用戶登錄過程將同時產生兩個事件。對于本指南中所定義的三種安全運行環(huán)境，如果這個選項均未設置為成功和失敗，那么，當安全事故發(fā)生后，您將無法獲得用以進行分析審核記錄證據(jù)。表格 3.9：審核登錄事件事件編號事件描述528用戶成功登錄到計算機上。529登錄失?。涸噲D使用未知用戶名或帶有錯誤密碼的已知用戶名進行登錄。530登錄失?。涸噲D在允許時間范圍以外進行登錄。531登錄失?。涸噲D通過禁用帳號進行登錄。532登錄失敗：試圖通過過期帳號進行登錄。533登錄失?。涸噲D通過不允許在特定計算機上進行登錄的用戶帳號進行登錄。534登錄失?。河脩粼噲D通過不允許使用的密碼類型進行登錄。535登錄失敗：針對指定帳號的密碼已經過期。536登錄失敗：網(wǎng)絡登錄服務未被激活。537登錄失?。河捎谄渌驅е碌卿浭?。說明：在某些情況下，登錄失敗原因可能無法確定。538針對某一用戶的注銷操作完成。539登錄失敗：登錄帳號在登錄時刻已被鎖定。540用戶成功登錄到網(wǎng)絡。541本地計算機與所列對等客戶身份標識之間的主模式Internet密鑰（IKE）身份驗證操作已經完成（建立一條安全關聯(lián)），或者快速模式已經建立一條數(shù)據(jù)通道。542數(shù)據(jù)通道被中斷。543主模式被中斷。說明：這種事件可能在安全關聯(lián)時間限制到期（缺省值為8小時）、策略修改或對等客戶中斷時發(fā)生。544由于對等客戶未能提供合法證書或簽署未通過驗證導致主模式身份驗證失敗。545由于Kerberos失敗或密碼不合法導致主模式身份驗證失敗。546由于對等客戶發(fā)送非法了非法提議，IKE 安全關聯(lián)建立沒有成功。收到一個包含非法數(shù)據(jù)的數(shù)據(jù)包。547IKE握手過程中發(fā)生錯誤。548登錄失?。簛碜孕湃斡虻陌踩珮俗R符（SID）與客戶端的帳號域SID不匹配。549登錄失?。涸诳缬蛏矸蒡炞C過程中，所有同非信任名稱空間相對應的SID均已被過濾掉。550能夠指示可能發(fā)生拒絕服務（DoS）攻擊的通知消息。551用戶發(fā)起注銷操作。552用戶在已經通過其他身份登錄的情況下使用明確憑據(jù)成功登錄到計算機上。682用戶重新連接到一個已經斷開連接的終端服務器會話上。683用戶在沒有注銷的情況下與終端服務器會話斷開連接。說明：這種事件將在用戶通過網(wǎng)絡與終端服務器會話建立連接時產生。它將出現(xiàn)在終端服務器上。審核對象訪問表格 3.10：設置成員服務器缺省取值舊有客戶機企業(yè)客戶機高安全性無審核成功 失敗成功 失敗成功 失敗如果僅僅依靠自身力量，這項設置將無法對任何事件進行審核。審核對象訪問設置選項用于確定是否對訪問具備特定SACL的對象如文件、文件夾、注冊表鍵、打印機等的用戶事件進行審核。SACL由訪問控制項（ACE）組成。每個ACE包含三條信息： 需要進行審核的安全主體（用戶、計算機或組）。 需要進行審核的特定訪問類型，稱作訪問掩碼。 用以指示審核失敗訪問事件、成功訪問事件或同時審核這兩種事件的標志。 如果將這個選項設置為成功，系統(tǒng)將在用戶每次成功訪問具備特定SACL的對象時生成一個審核事件。如果將這個選項設置為失敗，系統(tǒng)將在用戶每次嘗試訪問具備特定SACL的對象失敗時生成一個審核事件。當配置SACL時，企業(yè)應僅僅定義那些他們希望啟用的操作。舉例來說，您可能希望針對可執(zhí)行文件啟用記錄并追加數(shù)據(jù)審核設置選項，以便對通?？赡苡捎嬎銠C病毒、蠕蟲程序或特洛伊木馬程序導致的文件替換或修改操作進行跟蹤。與此類此，您還可能希望對敏感文檔的修改甚至讀取操作進行跟蹤。因此，本指南建議您針對這里所定義的三種運行環(huán)境同時啟用成功及失敗審核取值。表格 3.11：對象訪問事件事件編號事件描述560訪問由一個已經存在的對象提供授權。562一個對象訪問句柄被關閉。563試圖打開并刪除一個對象。說明：當您在Createfile()函數(shù)中指定FILE_DELETE_ON_CLOSE標志時，這種事件將被文件系統(tǒng)所使用。564一個保護對象被刪除。565訪問由一種已經存在的對象類型提供授權。567一種與句柄相關聯(lián)的權限被使用。說明：一個授予特定權限（讀取、寫入等）的句柄被創(chuàng)建。當使用這個句柄時，至多針對所用到的每種權限產生一次審核。568試圖針對正在進行審核的文件創(chuàng)建硬連接。569身份驗證管理器中的資源管理器試圖創(chuàng)建客戶端上下文。570客戶端試圖訪問一個對象。說明：針對對象的每次操作嘗試都將產生一個事件。571客戶端上下文被身份驗證管理器應用程序刪除。572管理員管理器初始化應用程序。772證書管理器拒絕了掛起的證書申請。773證書服務收到重新提交的證書申請。774證書服務吊銷了證書。775證書服務收到發(fā)行證書吊銷列表(CRL) 的請求。776證書服務發(fā)行了證書吊銷列表(CRL)。777更改了證書申請擴展。778更改了多個證書申請屬性。779證書服務收到關機請求。780已開始證書服務備份。781已完成證書服務備份。782已開始證書服務還原。783已完成證書服務還原。784證書服務已經開始。785證書服務已經停止。786證書服務更改的安全權限。787證書服務檢索了存檔密鑰。788證書服務將證書導入數(shù)據(jù)庫中。789證書服務更改的審核篩選。790證書服務收到證書申請。791證書服務批準了證書申請并頒發(fā)了證書。792證書服務拒絕證書申請。793證書服務將證書申請狀態(tài)設為掛起。794證書服務更改的證書管理器設置795證書服務更改的配置項。796證書服務更改屬性。797證書服務存檔了密鑰。798證書服務導入和存檔了密鑰。799證書服務將證書發(fā)行機構（CA）證書發(fā)行到Active Directory。800從證書數(shù)據(jù)庫刪除一行或多行。801角色分隔被啟用。審核策略更改表格 3.12：設置成員服務器缺省取值舊有客戶機企業(yè)客戶機高安全性無審核成功成功成功審核策略更改設置選項用于確定是否對用戶權限分配策略、審核策略或信任策略的每一次更改事件進行審核。其中包括針對審核策略本身所進行的更改。如果將這個選項設置為成功，系統(tǒng)將在每次成功更改用戶權限分配策略、審核策略或信任策略時生成一條審核記錄。如果將這個選項設置為失敗，系統(tǒng)將在每次更改用戶權限分配策略、審核策略或信任策略失敗時生成一條審核記錄。建議設置方式將允許您查看攻擊者試圖提升的所有帳號權限例如添加程序調試權限或文件與目錄備份權限。策略更改審核同時還包含針對審核策略本身以及信任關系所進行的更改。說明：本指南建議將該設置取值指定為成功，其原因非常簡單，取值為失敗的設置選項將無法提供任何有意義的訪問信息。目前，將該選項取值設置為失敗將無法捕獲任何有意義的事件。表格 3.13：審核策略更改事件事件編號事件描述608用戶權限已被分配。609用戶權限已被刪除。610與另一個域的信任關系已被創(chuàng)建。611與另一個域的信任關系已被刪除。612審核策略已被更改。613Internet安全性（IPSec）策略代理已經啟動。614IPSec策略代理已被禁用。615IPSec策略代理已被更改。616IPSec策略代理遇到一個潛在的嚴重問題。617Kerberos 5.0版策略已被更改。618經過加密的數(shù)據(jù)恢復策略已更改。620與另一個域的信任關系已被修改。621系統(tǒng)訪問權限已被授予帳號。622系統(tǒng)訪問權限已從帳號中刪除。623審核策略以對等用戶為單位進行設置。625審核策略以對等用戶為單位進行刷新。768檢測到一個森林中的名稱空間元素與另一個森林中的名稱空間元素發(fā)生沖突。說明：當一個森林中的名稱空間元素與另一個森林中的名稱空間元素發(fā)生重疊時，它將無法明確解析屬于這兩個名稱空間元素的名稱。這種重疊現(xiàn)象也稱作沖突。并非針對每種記錄類型的參數(shù)均合法。舉例來說，諸如DNS名稱、NetBIOS名稱和SID之類的字段對于“TopLevelName”類型的記錄便是非法的。769添加了受信任的森林信息說明：這種事件消息將在更新受信任的森林信息以及添加一條或多條記錄時生成。針對每條添加、刪除或修改的記錄都將生成一條事件消息。如果在針對森林信任信息的單一更新操作中添加、刪除或修改多條記錄，生成的所有事件消息都將被分配一個相同且唯一標識符（稱作操作編號）。這種方式使您能夠判斷出多條事件消息是由一次操作生成的。并非針對每種記錄類型的參數(shù)均合法。舉例來說，諸如DNS名稱、NetBIOS名稱和SID之類的字段對于“TopLevelName”類型的記錄便是非法的。770刪除了受信任的森林信息。說明：查看編號為769的事件描述。771修改了受信任的森林信息。說明：查看編號為769的事件描述。805事件日志服務讀取針對會話的安全日志配置信息。審核特權使用表格 3.14：設置成員服務器缺省取值舊有客戶機企業(yè)客戶機高安全性無審核無審核失敗成功 失敗審核特權使用設置選項用于確定是否針對每個行使用戶權限的用戶實例進行審核。如果將該選項取值設為成功，系統(tǒng)將在每次成功行使用戶權限時生成一條審核記錄，如果將該選項取值設為失敗，系統(tǒng)將在每次行使用戶權限失敗時生成一條審核記錄。當行使以下用戶權限時，即便審核特權使用設置選項已被設置為成功或失敗，系統(tǒng)也將不會生成任何審核記錄。這是因為審核這些用戶權限將在安全日志中產生大量事件，從而影響您的計算機性能。如需審核下列這些已被排除在外的權限，您必須在組策略中啟用審核：審核備份與恢復權限使用情況安全選項。 繞過遍歷檢查 程序調試 創(chuàng)建令牌對象 替換進程級令牌 生成安全審核 文件與目錄備份 文件與目錄恢復 啟用權限審核特性將生成數(shù)量龐大的事件記錄。出于這種原因，本指南中所定義的每種安全運行環(huán)境針對這些設置提出了不同的建議。用戶權限行使失敗表示出現(xiàn)常見網(wǎng)絡問題，并且通常預示著試圖突破安全防范措施。僅當存在特殊商業(yè)原因時，企業(yè)才需將審核特權使用選項設置為啟用。表格 3.15：權限使用事件事件編號事件描述576特定權限已被添加到用戶訪問令牌中。說明：這種事件將在用戶登錄時產生。577用戶試圖執(zhí)行受到權限保護的系統(tǒng)服務操作。578在已經處于打開狀態(tài)的受保護對象句柄上使用權限。審核過程跟蹤表格 3.16：設置成員服務器缺省取值舊有客戶機企業(yè)客戶機高安全性無審核無審核無審核無審核審核過程跟蹤設置選項用于確定是否針對諸如程序激活、過程退出、句柄復制或間接對象訪問之類的事件進行詳細跟蹤信息審核。如果將這個選項設置為成功，系統(tǒng)將在每次成功跟蹤過程時生成一條審核記錄。如果將這個選項設置為失敗，系統(tǒng)將在每次過程跟蹤失敗時生成一條審核記錄。啟用審核過程跟蹤選項將產生大量事件，因此，通常情況下應將該選項設置為無審核。然而，通過提供過程啟動和開始時間的詳細日志記錄，這些設置將在發(fā)生安全事故時為您提供大量有用信息。表格 3.17：詳細跟蹤事件事件編號事件描述592已經創(chuàng)建新的過程。593已經退出某過程。594對象的句柄被重復595已經取得對象的間接訪問權。596數(shù)據(jù)保護主密鑰備份。說明：主密鑰將供CryptProtectData和CryptUnprotectData例程以及加密文件系統(tǒng)（EFS）所使用。這種主密鑰將在每次創(chuàng)建新增主密鑰時予以備份。（缺省設置為90天。）密鑰備份操作通常由域控制器執(zhí)行。597數(shù)據(jù)保護主密鑰已由恢復服務器恢復完畢。598審核數(shù)據(jù)已得到保護。599審核數(shù)據(jù)保護已取消。600分派給進程一個主令牌。601用戶嘗試安裝服務。602一個計劃作業(yè)已被創(chuàng)建。審核系統(tǒng)事件表格 3.18：設置成員服務器缺省取值舊有客戶機企業(yè)客戶機高安全性無審核成功成功成功審核系統(tǒng)事件設置選項用于確定是否在用戶重新啟動或關閉計算機以及發(fā)生影響系統(tǒng)安全性或安全日志的事件時進行審核。如果將這個選項設置為成功，系統(tǒng)將系統(tǒng)事件執(zhí)行成功時生成一條審核記錄。如果將這個選項設置為失敗，系統(tǒng)將在系統(tǒng)事件執(zhí)行失敗時生成一條審核記錄。以下表格包含了針對這一類別的某些最為有用的成功事件。表格 3.19：面向審核系統(tǒng)事件的系統(tǒng)事件消息事件編號事件描述512正在啟動。513正在關機。514本地機制機構已加載身份驗證數(shù)據(jù)包。515受信任的登錄過程已經在本地機制機構注冊。516用來列隊審核消息的內部資源已經用完，從而導致部分審核數(shù)據(jù)丟失。517審核日志已經清除。518安全帳戶管理器已經加載通知數(shù)據(jù)包。519一個過程正在試圖通過無效本地過程調用（LPC）端口來模擬客戶端并針對客戶端地址空間執(zhí)行回復、讀取或寫入操作。520系統(tǒng)時間已更改。說明：這種審核操作通常成對出現(xiàn)。用戶權限分配 用戶權限分配用于確定哪些用戶或組擁有在組織機構內部計算機上進行登錄的權利或特權。登錄權限與特權控制著用戶在目標系統(tǒng)上所擁有的權限。它們用以授予執(zhí)行特定操作（例如在網(wǎng)絡或本地進行登錄）或管理任務（例如生成新的登錄令牌）所需的權限。說明：在用戶權限分配部分中，“沒有定義”表示管理員仍將具備沒有定義的各項權限。本地管理員可以更改權限，但所有基于域的組策略設置都將在組策略下次更新或重新應用時被覆蓋掉。在Windows Server 2003操作系統(tǒng)中，用戶權限分配設置可以在組策略對象編輯器中的以下位置上進行配置。Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment對于企業(yè)應用環(huán)境中的不同類型，其缺省用戶權限分配設置各不相同。舉例來說，就成員和域控制器而言，Windows Server 2003在針對內建組的用戶權限分配設置方面存在以下區(qū)別。成員服務器和域控制器之間設置類似的內建組在以下部分中并未列出。成員服務器 Power Users（高級用戶）組 除某些限制條件外，高級用戶具備絕大多數(shù)管理權限。因此，高級用戶能夠運行認證應用程序以及所有舊版應用程序。 HelpServicesGroup組 這是一個面向幫助與支持中心的組。缺省情況下，Support_388945a0是該組中的一個成員。 TelnetClients組 這個組的成員有權訪問系統(tǒng)中的遠程登錄服務器。域控制器 Server Operators（服務器操作員）組 這個組的成員可以管理域服務器。 Terminal Server License Services（終端服務器許可證服務）組 這個組的成員有權訪問系統(tǒng)中的終端服務器許可授權服務。 Windows許可證訪問組 這個組的成員有權訪問用戶對象中經過計算得出的tokenGroupsGlobalAndUniversal屬性。來賓（Guests）組及Guest用戶帳號和Support_388945a0在不同域間擁有唯一的SID。因此，這種面向用戶權限分配的組策略可能需要在那些只存在特定目標組的系統(tǒng)上予以修改?；蛘?，也可對策略模板進行單獨編輯，以便在.inf文件中包含適當?shù)慕M。舉例來說，應當在環(huán)境中的某臺域控制器上創(chuàng)建一個域控制器組策略。說明：由于Guests組、Support_388945a0帳號和Guest帳號存在各自唯一的SID，因此，某些強化設置無法自動應用本指南中所包含的安全模板，這些強化設置在本章稍后的附加成員服務器強化處理過程部分中進行了描述。這部分內容面向MSBP對本指南定義的三種運行環(huán)境中所描述的用戶權限分配進行了詳細介紹。如需獲取針對這部分所描述設置選項的總結歸納，請查看名為Windows Server 2003安全指導設置的Excel電子表格。如需獲取缺省設置信息以及這部分所討論之設置的詳細解釋內容，請查看參考指南威脅與對策：Windows Server 2003與Windows XP中的安全設置，該書可通過網(wǎng)址/fwlink/?LinkId=15159獲得。通過網(wǎng)絡訪問此計算機表格 3.20：設置成員服務器缺省取值舊有客戶機企業(yè)客戶機高安全性管理員，備份操作員，每個人、高級用戶及用戶組沒有定義沒有定義管理員和驗證用戶組從網(wǎng)絡訪問此計算機用戶權限決定了允許哪些用戶和組通過網(wǎng)絡與計算機建立連接。包括基于服務器消息塊（SMB）的，網(wǎng)絡基本輸入/輸出系統(tǒng)（NetBIOS）、通用Internet文件系統(tǒng)（CIFS）、超文本傳輸（HTTP）以及組件對象模型+（COM+）在內的許多網(wǎng)絡均需要使用這種用戶權限。在Windows Server 2003操作系統(tǒng)中，盡管授予Everyone安全組的權限將不再為匿名用戶提供訪問權限，Guests組和Guest帳號仍將通過Everyone安全組被授予訪問權限。由于這種原因，本指南建議在高安全性運行環(huán)境中從從網(wǎng)絡訪問此計算機用戶權限中刪除Everyone安全組，以便進一步抵御通過來賓訪問方式對域發(fā)動的攻擊。作為操作系統(tǒng)的一部分表格 3.21：設置成員服務器缺省取值舊有客戶機企業(yè)客戶機高安全性沒有定義沒有定義沒有定義吊銷所有安全組和帳號作為操作系統(tǒng)的一部分用戶權限允許進程假冒用戶身份標識并針對其有權訪問的資源獲取訪問權限。通常情況下，只有級別較低的身份驗證服務需要使用這種權限。缺省情況下，這種權限未定義任何安全組，因此，這種用戶權限對于舊有客戶機和企業(yè)客戶機運行環(huán)境而言已經足夠。然而，在高安全性運行環(huán)境中，則應將這種設置配置為吊銷所有安全組和帳號。向域中添加工作站表格 3.22：設置成員服務器缺省取值舊有客戶機企業(yè)客戶機高安全性沒有定義沒有定義沒有定義管理員組向域中添加工作站用戶權限允許用戶向特定域中添加計算機。如需使相關特權生效，必須將這種權限作為域中缺省域控制器策略的一部分分配給用戶。缺省情況下，這種權限未定義任何安全組，因此，這種用戶權限對于舊有客戶機和企業(yè)客戶機運行環(huán)境而言已經足夠。然而，在高安全性運行環(huán)境中，這種用戶權限將僅僅授予管理員組。調整針對進程的內存配額表格 3.23：設置成員服務器缺省取值舊有客戶機企業(yè)客戶機高安全性管理員、網(wǎng)絡服務和本地服務組沒有定義沒有定義管理員、網(wǎng)絡服務和本地服務組調整針對進程的內存配額用戶權限允許用戶對特定進程可以使用的最大內存空間進行調整。這種權限可以用于系統(tǒng)調節(jié)，然而，它也可能遭到濫用。惡意用戶可以使用這種用戶權限發(fā)動拒絕服務（DoS）攻擊。對于舊有客戶機和企業(yè)客戶機運行環(huán)境而言，針對這種用戶權限的缺省安全組已經足夠。然而，在高安全性運行環(huán)境中，這種用戶權限的取值必須強制設為管理員、網(wǎng)絡服務和本地服務組。允許在本地登錄表格 3.24：設置成員服務器缺省取值舊有客戶機企業(yè)客戶機高安全性管理員、備份操作員、高級用戶和用戶組管理員、備份操作員和高級用戶組管理員、備份操作員和高級用戶組管理員、備份操作員和高級用戶組允許在本地登錄用戶權限決定了哪些用戶可以通過交互方式登錄到指定計算機上。在鍵盤上通過按下CTRL+ALT+DEL組合鍵發(fā)起的登錄操作將要求用戶具備這種登錄權限。具備這種用戶權限的所有帳號均可用于登錄到計算機的本地控制臺上。將這種特權限制在真正需要登錄到系統(tǒng)上的合法用戶范圍內能夠有效防止未經授權的用戶提升自身權限或向計算環(huán)境中輸入病毒。通過終端服務允許登錄表格 3.25：設置成員服務器缺省取值舊有客戶機企業(yè)客戶機高安全性管理員和遠程桌面用戶組管理員和遠程桌面用戶組管理員和遠程桌面用戶組管理員組通過終端服務允許登錄用戶權限決定了哪些用戶或組有權以終端服務客戶端的形式進行登錄。對于舊有客戶機和企業(yè)客戶機運行環(huán)境而言，針對這種用戶權限的缺省安全組已經足夠。然而，在高安全性運行環(huán)境中，應當只有管理員組能夠以終端服務客戶端身份進行登錄。更改系統(tǒng)時間表格 3.26：設置成員服務器缺省取值舊有客戶機企業(yè)客戶機高安全性管理員和高級用戶組沒有定義沒有定義管理員組更改系統(tǒng)時間用戶權限決定了哪些用戶和組能夠更改計算機內部時鐘的時間與日期。由于事件日志將反映調整后的新時間，而非事件發(fā)生的真實時間，因此，具備這種用戶權限的用戶能夠影響事件日志的外觀。應將更改系統(tǒng)時間特權限制在哪些真正需要更改時間的合法用戶（如IT部門員工）范圍內。本地計算機和域控制器之間的時間差異可能造成Kerberos身份驗證協(xié)議出現(xiàn)問題，從而導致用戶無法登錄到域中，或在登錄成功后無法獲取針對域資源的訪問授權。調試程序表格 3.27：設置成員服務器缺省取值舊有客戶機企業(yè)客戶機高安全性管理員組吊銷所有安全組和帳號吊銷所有安全組和帳號吊銷所有安全組和帳號調試程序用戶權限決定了哪些用戶可以在進程或系統(tǒng)內核中附加調試器。這種用戶權限提供了針對敏感及關鍵性操作系統(tǒng)組件的全面訪問能力。除極為個別的情況（例如對那些無法在環(huán)境中進行有效評估的商務關鍵性應用進行故障診斷）外，程序調試工作不應在生產環(huán)境中進行。拒絕從網(wǎng)絡訪問這臺計算機表格 3.28：設置成員服務器缺省取值舊有客戶機企業(yè)客戶機高安全性SUPPORT_388945a0帳號匿名登錄帳號、內建管理員帳號、Guests組、Support_388945a0帳號、Guest帳號以及所有非操作系統(tǒng)服務帳號匿名登錄帳號、內建管理員帳號、Guests組、Support_388945a0帳號、Guest帳號以及所有非操作系統(tǒng)服務帳號匿名登錄帳號、內建管理員帳號、Guests組、Support_388945a0帳號、Guest帳號以及所有非操作系統(tǒng)服務帳號說明：匿名登錄、內建管理員、Support_388945a0、來賓以及所有非操作系統(tǒng)服務帳號均未包含在.inf安全模板中。這些帳號和組在組織機構內部的所有域中擁有唯一SID。因此，它們必須手工予以添加。如需獲取更多相關信息，請查看本章最后手工強化處理過程部分。拒絕從網(wǎng)絡訪問這臺計算機用戶權限決定了應當防止哪些用戶通過網(wǎng)絡訪問特定計算機。這種用戶權限將拒絕包括基于SMB的協(xié)議、NetBIOS、CIFS、HTTP以及COM+在內的多種網(wǎng)絡協(xié)議。當用戶帳號同時處于兩種策略作用范圍內時，這項策略設置將取代從網(wǎng)絡訪問此計算機用戶權限。針對其他用戶組設置這項登錄權限有可能會對那些在運行環(huán)境中被授予特定管理角色的用戶造成限制。因此，請驗證這項權限是否會對委托任務造成負面影響。拒絕作為批處理作業(yè)登錄表格 3.29：設置成員服務器缺省取值舊有客戶機企業(yè)客戶機高安全性沒有定義Guests組、 Support_388945a0帳號和Guest帳號Guests組、 Support_388945a0帳號和Guest帳號Guests組、 Support_388945a0帳號和Guest帳號說明：匿名登錄、內建管理員、Support_388945a0、來賓以及所有非操作系統(tǒng)服務帳號均未包含在.inf安全模板中。這些帳號和組在組織機構內部的所有域中擁有唯一SID。因此，它們必須手工予以添加。如需獲取更多相關信息，請查看本章最后手工強化處理過程部分。拒絕作為批處理作業(yè)登錄用戶權限決定了應當防止哪些帳號作為批處理作業(yè)登錄到系統(tǒng)中。批處理作業(yè)并非一個批處理文件（.bat），而是一種批處理隊列機制。通過任務計劃程序進行作業(yè)調度的帳號需要使用這種權限。這種拒絕作為批處理作業(yè)登錄用戶權限設置將覆蓋作為批處理作業(yè)登錄用戶權限設置。具備這種登錄權限的帳號可用于對消耗過多系統(tǒng)資源以至于可能導致DoS現(xiàn)象的作業(yè)進行調度。出于這種原因，請不要將拒絕作為批處理作業(yè)登錄用戶權限分配給那些可能對安全性造成威脅的帳號。通過終端服務拒絕登錄表格 3.