Windows XP 客戶端安全設置二

從網絡訪問此計算機

　　表 3.13：設置

 企業客戶端台式計算機 企業客戶端便攜式計算機   高安全級台式計算機  高安全級便攜式計算機  Administrators，Users  Administrators，Users  Administrators，Users  Administrators，Users

　　“從網絡訪問此計算機”用戶權限用於確定允許哪些用戶和組通過網絡連接到計算機。此用戶權限是許多網絡協議所必需的，這些協議包括基於服務器消息塊 （SMB） 的協議、網絡基本輸入/輸出系統 （NetBiOS）、通用 Internet 文件系統 （CIFS）、超文本傳輸協議 （HTTP） 和組件對象模型 （COM+）。

　　一些程序會自動將“Everyone”組添加到此用戶權限的用戶帳戶列表中。這個組允許授權用戶以及其他所有來賓和匿名用戶都訪問您的網絡上的計算機。如果將此用戶權限限制為管理員和用戶，將阻止本地安裝的應用程序或登錄用戶嘗試添加用戶或組，從而防止出現上述情況。

　　因此，在本指南中定義的兩種環境中，“從網絡訪問此計算機”用戶權限僅限制於“Administrators”和“Users”組。

　　通過終端服務允許登錄

　　表 3.14：設置

 企業客戶端台式計算機 企業客戶端便攜式計算機   高安全級台式計算機  高安全級便攜式計算機  Administrators  Administrators  No One  No One

　　“通過終端服務允許登錄”用戶權限用於確定哪些用戶或組有權作為終端服務客戶端進行登錄。遠程桌面用戶需要此權限。如果將“遠程協助”用作企業技術支持策略的一部分，請創建一個組，並通過組策略向該組授予此權限。如果組織中的技術支持部門不使用遠程協助，則僅向“Administrators”組授予此權限。

　　如果將此權限限制於“Administrators”組（可能還包括“Help Desk”技術人員組），將防止非法用戶通過 Windows XP Professional 中新的“遠程協助”功能從網絡訪問計算機。

　　因此，在企業客戶端環境中，“通過終端服務允許登錄”用戶權限僅限制於“Administrators”組，在高安全級環境中，此權限限制為“No One”，以便實現額外的安全性。

　　備份文件和目錄

　　表 3.15：設置

 企業客戶端台式計算機 企業客戶端便攜式計算機   高安全級台式計算機  高安全級便攜式計算機 沒有定義  沒有定義 Administrators Administrators

　　“備份文件和目錄”用戶權限允許用戶越過文件和目錄權限來備份系統。只有當應用程序嘗試使用 NTFS 文件系統備份應用程序編程接口 （API）（例如 NTBACKUP.EXE）訪問文件或目錄時，才啟用此權限。否則，請應用普通的文件和目錄權限。

　　Microsoft 建議限制此用戶權限，將對環境中客戶端上的文件和文件夾的訪問限制於高安全級環境中的本地“Administrators”組。

　　因此，只有在高安全級環境中，才將“備份文件和目錄”用戶權限限制於“Administrators”組。在企業客戶端環境中，對於此用戶權限未規定任何組。

　　跳過遍歷檢查

　　表 3.16：設置

 企業客戶端台式計算機 企業客戶端便攜式計算機   高安全級台式計算機  高安全級便攜式計算機 Users  Users Users Users

　　“跳過遍歷檢查”用戶權限允許訪問文件或文件夾，而與它們所在的父文件夾的用戶權限限制無關。換句話說，當用戶導航 NTFS 文件系統或注冊表中的對象路徑時，此用戶權限禁止檢查特殊的訪問權限“遍歷文件夾”。如果將此用戶權限授予 Users 組，則允許該組中的用戶在您的環境中更改目錄、訪問文件或子目錄，即使它們被限制訪問父目錄時也是如此。

　　因此，在本指南中定義的兩種環境中，“跳過遍歷檢查”用戶權限限制於“Users”組。

　　注意：請確保通過“組策略”將默認情況下出現的“Everyone”組替換為“Users”組，以便防止來賓和匿名用戶獲得對受限文件和文件夾的訪問權限。

　　更改系統時間

　　表 3.17：設置

 企業客戶端台式計算機 企業客戶端便攜式計算機   高安全級台式計算機  高安全級便攜式計算機 沒有定義  沒有定義 Administrators Administrators

　　“更改系統時間”用戶權限用於確定哪些用戶和組能夠更改您環境中計算機內部時鐘上的時間和日期。分配了此用戶權限的用戶可以影響事件日志的外觀。更改系統時間會導致所記錄的事件反映新時間，而不是反映發生事件時的實際時間。在本指南中定義的高安全級環境中，只有“Administrators”組才具有此用戶權限。

　　因此，在企業客戶端環境中，“更改系統時間”用戶權限被配置為“沒有定義”，在高安全級環境中，此用戶權限限制於“Administrators”組。

　　注意：環境中本地計算機與域控制器之間的時間差異可能會對 Kerberos 身份驗證協議造成問題，這可能會使用戶無法登錄到域，或者在登錄到網絡之後，無法獲得訪問域資源的授權。另外，如果系統時間和域控制器的時間不同步，則在向客戶端應用組策略時將出現問題。

　　調試程序

　　表 3.18：設置

 企業客戶端台式計算機 企業客戶端便攜式計算機   高安全級台式計算機  高安全級便攜式計算機 No One  No One No One No One

　　“調試程序”用戶權限用於確定哪些用戶可以將調試程序附加到任何進程或附加到內核中。如果開發人員調試在其各自用戶帳戶上下文中運行的應用程序，則他們無需此用戶權限。但是，如果開發人員調試系統組件或者在其他帳戶上下文中運行的應用程序，則他們的確需要此用戶權限。此用戶權限提供對敏感和關鍵操作系統組件的完整訪問權限。

　　此用戶權限可能會被利用從系統內存中捕獲敏感的系統信息。一些攻擊工具利用“調試程序”用戶權限來提取散列的密碼和其他專用的安全信息。默認情況下“調試程序”用戶權限僅會分配給“Administrators”組，這樣可以降低攻擊者利用此漏洞所帶來的風險。但是在本指南中定義的兩種環境中，此用戶權限設置為了“No One”，這樣可進一步降低此風險。

　　通過終端服務拒絕登錄

　　表 3.19：設置

 企業客戶端台式計算機 企業客戶端便攜式計算機   高安全級台式計算機  高安全級便攜式計算機 沒有定義 沒有定義 Everyone Everyone

　　“通過終端服務拒絕登錄”用戶權限用於禁止用戶使用遠程桌面連接登錄到您的環境中的計算機。限制“Everyone”組的成員通過“終端服務”登錄，會同時防止默認“Administrators”組的成員使用“終端服務”登錄到您的環境中的計算機。

　　因此，在高安全級環境中，“通過終端服務拒絕登錄”用戶權限限制為“Everyone”組，而在企業客戶端環境中，此用戶權限被配置為“沒有定義”。

　　從遠程系統強制關機

　　表 3.20：設置

 企業客戶端台式計算機 企業客戶端便攜式計算機   高安全級台式計算機  高安全級便攜式計算機 沒有定義 沒有定義 Administrators Administrators

　　“從遠程系統強制關機”用戶權限允許用戶從網絡上的遠程位置關閉運行 Windows XP 的計算機。任何有權關閉您環境中的計算機的用戶都可能會引起 DOS 情況，這將使該計算機無法為用戶請求提供服務。因此，Microsoft 建議將此用戶權限僅限制於高度信任的管理員。

　　因此，在高安全級環境中，“從遠程系統強制關機”用戶權限僅限制於“Administrators”組，而在企業客戶端安全環境中，此權限配置為“沒有定義”。

　　在本地登錄

　　表 3.21：設置

 企業客戶端台式計算機 企業客戶端便攜式計算機   高安全級台式計算機  高安全級便攜式計算機 Users， Administrators Users， Administrators Users， Administrators Users， Administrators

　　“在本地登錄”用戶權限用於確定哪些用戶可以通過交互方式登錄到您的環境中的計算機。通過在連接到客戶端的鍵盤上按 Ctrl+Alt+Del 鍵序列而啟動的登錄要求用戶具有此登錄權限。嘗試通過“終端服務”或 Microsoft Internet 信息服務 （IIS） 進行登錄的用戶也需要此權限。

　　默認情況下，Guest 帳戶會授予此用戶權限。盡管此帳戶在默認情況下已禁用，但是 Microsoft 建議通過“組策略”來啟用此權限。不過，此特權通常應限制於“Administrators”和“Users”組。如果您的公司要求“Backup Operators”組具有此特權，請將此權限授予此組。

　　因此，在本指南中定義的兩種環境中，“在本地登錄”用戶權限限制於“Users”組和“Administrators”組。

　　注意：Windows XP Professional 組策略對象編輯器中的“在本地登錄”設置在 Windows Server 2003 中稱為“允許在本地登錄”。

　　配置單一進程

　　表 3.22：設置

 企業客戶端台式計算機 企業客戶端便攜式計算機   高安全級台式計算機  高安全級便攜式計算機 沒有定義 沒有定義 Administrators Administrators

　　“配置單一進程”用戶權限用於確定哪些用戶可以使用工具來監視非系統進程的性能。通常，您無需將此用戶權限配置為使用“性能”管理單元。但是，如果“系統監視器”被配置為使用 Windows Management Instrumentation （WMI） 收集數據，則確實需要此用戶權限。限制“配置單一進程”用戶權限將防止入侵者獲取某些附加信息（這些信息可用於在系統上裝入攻擊）。

　　因此，在高安全級環境中，“配置單一進程”用戶權限限制於“Administrators”組，在企業客戶端環境中，此用戶權限配置為“沒有定義”。

　　還原文件和目錄

　　表 3.23：設置

 企業客戶端台式計算機 企業客戶端便攜式計算機   高安全級台式計算機  高安全級便攜式計算機 沒有定義 沒有定義 Administrators Users，Administrators

　　“還原文件和目錄”用戶權限用於確定在從您的環境中運行 Windows XP 的計算機上還原備份的文件和目錄時，哪些用戶可以跳過文件、目錄、注冊表和其他永久對象權限。此用戶權限還確定哪些用戶可以將有效的安全主體設置為對象所有者。此權限在本質上類似於“備份文件和目錄”用戶權限。

　　因此，在台式計算機的高安全級環境中，“還原文件和目錄”用戶權限限制於“Administrators”組，而在便攜式計算機的高安全級環境中，此用戶權限限制於“Administrators”和“Users”組。“Users”組之所以包括在便攜式計算機客戶端的高安全級環境中，是因為移動用戶可能需要在遠離其企業辦公室時還原文件。但是，在企業客戶端環境中，此設置被配置為“沒有定義”。

　　關閉系統

　　表 3.24：設置

 企業客戶端台式計算機 企業客戶端便攜式計算機   高安全級台式計算機  高安全級便攜式計算機 沒有定義 沒有定義 Users，Administrators Users，Administrators

　　“關閉系統”用戶權限用於確定在本地登錄到您環境中的計算機上的用戶中，哪些用戶可以使用“關機”命令關閉操作系統。誤用此用戶權限可能導致拒絕服務。在高安全級環境中，Microsoft 建議只將該權限授予“Administrators”和“Users”組。在企業客戶端環境中，對於此用戶權限未規定限制。

　　因此，在高安全級環境中，“關閉系統”用戶權限限制於“Administrators”和“Users”組。 但是在企業客戶端環境中，此用戶權限保持默認的“沒有定義”。

　　安全選項設置

　　在環境中運行 Windows XP 的計算機中，通過“組策略”應用的“安全選項”設置用於啟用或禁用多種功能，如數據的數字簽名、管理員和來賓帳戶名、軟盤驅動器和 CD–ROM 驅動器訪問、驅動程序安裝行為和登錄提示。

　　在 Windows XP 中，“安全選項”設置可在組策略對象編輯器中的如下位置進行配置：

　　計算機配置\Windows 設置\安全設置\本地策略\安全選項

　　這一部分中包括的安全設置並非在所有類型的系統上都有。因此，對於那些在這一部分中定義且構成“組策略”中“安全選項”部分的設置，可能需要在包含它們的系統上手動修改，才能使它們完全正常運行。或者，分別編輯“組策略”模板，使其包括相應的設置選項，以便這些設置規定完全生效。

　　表 3.25：用於保護 Windows XP 計算機的安全選項設置

 UI 中的設置名稱  企業客戶端台式計算機  企業客戶端便攜式計算機  高安全級台式計算機 高安全級便攜式計算機   帳戶： 使用空白密碼的本地帳戶只允許進行控制台登錄  已啟用  已啟用 已啟用 已啟用  帳戶： 重命名系統管理員帳戶  推薦 推薦 推薦 推薦  帳戶： 重命名來賓帳戶 推薦 推薦 推薦 推薦  設備： 允許不登錄移除已禁用已啟用 已禁用 已啟用

已禁用

已禁用

 設備： 允許格式化和彈出可移動媒體  Administrators， Interactive Users  Administrators， Interactive Users  Administrators  Administrators  設備： 防止用戶安裝打印機驅動程序  已啟用  已禁用  已啟用  已禁用  設備： 只有本地登錄的用戶才能訪問 CD-ROM  已禁用  已禁用  已啟用  已啟用  設備： 只有本地登錄的用戶才能訪問軟盤  已啟用  已啟用  已啟用  已啟用  設備： 未簽名驅動程序的安裝操作  允許安裝但發出警告 允許安裝但發出警告

禁止安裝

禁止安裝

 域成員： 需要強 （Windows 2000 或以上版本） 會話密鑰   已啟用   已啟用  已啟用  已啟用  交互式登錄： 不顯示上次的用戶名 已啟用 已啟用 已啟用 已啟用  交互式登錄： 不需要按 CTRL+ALT+DEL  已禁用 已禁用 已禁用 已禁用  交互式登錄： 用戶試圖登錄時消息文字   此系統限制為僅授權用戶。嘗試進行未經授權訪問的個人將受到起訴。   此系統限制為僅授權用戶。嘗試進行未經授權訪問的個人將受到起訴。   此系統限制為僅授權用戶。嘗試進行未經授權訪問的個人將受到起訴。  此系統限制為僅授權用戶。嘗試進行未經授權訪問的個人將受到起訴。  交互式登錄： 用戶試圖登錄時消息標題  繼續在沒有適當授權的情況下使用是違法行為。  繼續在沒有適當授權的情況下使用是違法行為。  繼續在沒有適當授權的情況下使用是違法行為。  繼續在沒有適當授權的情況下使用是違法行為。  交互式登錄: 可被緩存的前次登錄個數 (在域控制器不可用的情況下)  2  2  0  1  交互式登錄: 在密碼到期前提示用戶更改密碼  14 天  14 天  14 天  14 天  交互式登錄: 要求域控制器身份驗證以解鎖工作站  已禁用  已禁用  已啟用  已禁用

交互式登錄: 智能卡移除操作

 鎖定工作站  鎖定工作站  鎖定工作站 鎖定工作站 Microsoft 網絡客戶: 數字簽名的通信（若服務器同意）  已啟用 已啟用 已啟用 已啟用 Microsoft 網絡客戶: 發送未加密的密碼到第三方 SMB 服務器。  已禁用 已禁用 已禁用 已禁用 Microsoft 網絡服務器: 在掛起會話之前所需的空閒時間  15 分鐘  15 分鐘  15 分鐘 15 分鐘 Microsoft 網絡服務器: 數字簽名的通信（總是）  已啟用 已啟用 已啟用 已啟用 Microsoft 網絡服務器: 數字簽名的通信（若客戶同意） 已啟用 已啟用 已啟用 已啟用

Microsoft 網絡服務器: 當登錄時間用完時自動注銷用戶

 已啟用  已禁用  已啟用  已禁用 網絡訪問: 允許匿名 SID/名稱 轉換  已禁用 已禁用 已禁用 已禁用  網絡訪問: 不允許 SAM 帳戶和共享的匿名枚舉  已啟用 已啟用 已啟用 已啟用  網絡訪問: 不允許 SAM 帳戶和共享的匿名枚舉  已啟用  已啟用  已啟用 已啟用  網絡訪問: 不允許為網絡身份驗證儲存憑據或 .Net Passports  已啟用 已啟用 已啟用 已啟用  網絡訪問: 限制匿名訪問命名管道和共享  已啟用  已啟用 已啟用 已啟用  網絡訪問: 本地帳戶的共享和安全模式  經典 - 本地用戶以自己的身份驗證  經典 - 本地用戶以自己的身份驗證  經典 - 本地用戶以自己的身份驗證 經典 - 本地用戶以自己的身份驗證  網絡安全: 不要在下次更改密碼時存儲 LAN Manager 的哈希值  已啟用  已啟用 已啟用 已啟用  網絡安全: 在超過登錄時間後強制注銷 已啟用  已禁用 已啟用  已禁用  網絡安全: LAN Manager 身份驗證級別  僅發送 NTLMv2 響應  僅發送 NTLMv2 響應  僅發送 NTLMv2 響應\拒絕 LM & NTLM  僅發送 NTLMv2 響應\拒絕 LM & NTLM  網絡安全: 基於 NTLM SSP（包括安全 RPC）客戶的最小會話安全  沒有最小  沒有最小  要求 NTLMv2 會話安全 要求 128-位加密  要求 NTLMv2 會話安全 要求 128-位加密  網絡安全: 基於 NTLM SSP(包括安全 RPC)服務器的最小會話安全  沒有最小 沒有最小  要求 NTLMv2 會話安全 要求 128-位加密  要求 NTLMv2 會話安全 要求 128-位加密  故障恢復控制台: 允許自動系統管理級登錄  已禁用  已禁用  已禁用 已禁用

故障恢復控制台: 允許對所有驅動器和文件夾進行軟盤復制和訪問

 已啟用  已啟用  已禁用 已禁用  關機: 允許在未登錄前關機  已禁用 已禁用 已禁用 已禁用  關機: 清理虛擬內存頁面文件 已禁用 已禁用  已啟用  已啟用  系統加密: 使用 FIPS 兼容的算法來加密，哈希和簽名  已禁用  已禁用  已禁用  已禁用  系統對象: 由管理員 (Administrators) 組成員所創建的對象默認所有者  對象創建者  對象創建者  對象創建者

對象創建者

 系統設置: 為軟件限制策略對 Windows 可執行文件使用證書規則  已禁用 已禁用 已禁用 已禁用

　　帳戶： 使用空白密碼的本地帳戶只允許進行控制台登錄

　　表 3.26：設置

 企業客戶端台式計算機 企業客戶端便攜式計算機   高安全級台式計算機  高安全級便攜式計算機 已啟用 已啟用 已啟用 已啟用