Windows XP 客戶端安全設置五

“關機：允許系統在未登錄前關機”設置用於確定用戶是否無需登錄即可關閉系統。啟用此設置後，Windows 登錄屏幕上的“關機”命令可用。Microsoft 推薦禁用此設置，以便只有那些在系統上有憑據的用戶才能關閉系統。

　　因此，在本指南定義的兩種環境中，“關機：允許系統在未登錄前關機”設置被配置為“已禁用”。

　　關機： 清除虛擬內存頁面文件

　　表 3.64：設置

 企業客戶端台式計算機  企業客戶端便攜式計算機  高安全級台式計算機 高安全級便攜式計算機   已禁用  已禁用  已啟用 已啟用

　　當內存頁未被使用時，虛擬內存將使用系統頁面文件將它們交換到磁盤中。啟用“關機：清除虛擬內存頁面文件”設置後，系統關機時將清除虛擬內存中所有敏感信息。這可以防止那些未經授權而能直接訪問頁面文件的用戶在計算機關機時查看信息。

　　只有當您環境中的計算機上存有極其敏感的數據時，Microsoft 才推薦啟用此設置。啟用此設置將造成關機時間明顯延長，這可能會讓用戶不快。

　　因此，在本指南定義的兩種環境中，“關機：清除虛擬內存頁面文件”設置在“企業客戶端”環境中被配置為“已禁用”。但是，此設置在“高安全級”環境中配置為“啟用”。

　　系統加密：使用 FIPS 兼容的算法來加密、哈希和簽名

　　表 3.65：設置

 企業客戶端台式計算機  企業客戶端便攜式計算機  高安全級台式計算機 高安全級便攜式計算機   已禁用  已禁用   已禁用  已禁用

　　“系統加密：使用 FIPS 兼容的算法來加密、哈希和簽名”設置用於確定 TLS/SSL 安全提供程序是否使用 FIPS 兼容的算法來加密、哈希和簽名。與 FIPS 兼容的算法符合美國政府的標准。FIPS Publication 197 是一種用於保護電子數據的加密算法。AES 算法使用 128、192 和 256 位的密鑰，並以 128 位的數據塊解密數據。

　　啟用此設置可以使三重數據加密標准 （3DES） 進程使用 EFS 加密文件，EFS 是一種更強的加密形式。

　　因此，在本指南定義的兩種環境中，“系統加密：使用 FIPS 兼容的算法來加密、哈希和簽名”設置被配置為“已禁用”。

　　注意：啟用此設置後，計算機的性能將降低，因為 3DES 進程需對文件中的每個數據塊執行三次。只有當您的組織需要兼容 FIPS 時，才應啟用此設置。

　　系統對象：由管理員 （Administrators） 組成員所創建的對象默認所有者

　　表 3.66：設置

 企業客戶端台式計算機  企業客戶端便攜式計算機  高安全級台式計算機 高安全級便攜式計算機  對象創建者 對象創建者 對象創建者 對象創建者

　　“系統對象：由管理員 （Administrators） 組成員所創建的對象默認所有者”設置用於確定新的系統對象的默認所有者是“Administrators”組還是“Object Creator”組。為了提供更大的可說明性，Microsoft 推薦設置“Object Creator”組成員為新系統對象的默認所有者。

　　因此，在本指南定義的兩種環境中，“系統對象：由管理員 （Administrators） 組成員所創建的對象默認所有者”設置被配置為“Object Creator”組。

　　系統設置：為軟件限制策略對 Windows 可執行文件使用證書規則

　　表 3.67：設置

 企業客戶端台式計算機  企業客戶端便攜式計算機  高安全級台式計算機 高安全級便攜式計算機  已禁用 已禁用 已禁用 已禁用

　　“系統設置：為軟件限制策略對 Windows 可執行文件使用證書規則”設置用於確定在用戶或進程試圖運行具有 .exe 文件擴展名的軟件時是否處理數字證書。此安全設置用於啟用或禁用證書規則，證書規則是一種軟件限制策略規則。在軟件限制策略下，您可以創建一種證書規則以允許或禁止運行由 Microsoft Authenticode 簽名的軟件，軟件是否能夠運行將根據與軟件相關的數字證書確定。為了使證書規則生效，必須啟用此安全設置。

　　啟用證書規則設置後，軟件限制策略將檢查證書吊銷列表 （CRL），以確保軟件證書和簽名的合法性。這也會造成簽名程序啟動時系統性能的下降。

　　要禁用此功能，請在“受信任頒發者屬性”對話框中清除“頒發者”和“時間戳”復選框。“受信任頒發者屬性”對話框位於“組策略對象編輯器”中，後者位於如下位置：

　　計算機配置\Windows 設置\安全設置\軟件限制策略\信任的發布商

　　Microsoft 建議只有在使用了軟件限制證書規則的情況下，才啟用此設置。有關軟件限制設置的詳細信息，請參見模塊 6：“Windows XP 客戶端的軟件限制策略”。

　　因此，在本指南定義的兩種環境中，“系統設置：為軟件限制策略對 Windows 可執行文件使用證書規則”設置被配置為“已禁用”。

　　事件日志安全設置

　　“事件日志”設置用於記錄系統事件。安全日志中包含審核事件。組策略的“事件日志”容器用於定義與應用程序、安全性和系統事件日志相關的屬性，例如日志大小的最大值、每個日志的訪問權限、以及保持期設置和方法。應用程序、安全性和系統事件日志的設置在 Windows XP 安全模板中配置，適用於 OU 內的所有工作站。

　　在“組策略對象編輯器”的如下位置配置“事件日志”設置：

　　計算機配置\Windows 設置\安全設置\事件日志

　　在忙碌的系統上，內存中零碎的日志文件會造成嚴重的性能問題。基於內存映射文件的理論極限，建議您將系統中的日志配置為替事件日志記錄留出 1 GB 的空間。此外，用於配置事件日志的事件查看器用戶界面 （UI） 以及組策略對象編輯器都允許您為每個日志指定最大為 4 GB 的容量。但是，Microsoft 發現將大多數服務器上的所有事件記錄加起來，其實際日志文件大小的限制大約為 300 MB.

　　因此，Windows XP Professional 中應用程序、安全性和系統事件日志的組合大小不應超過 300 MB.

　　這一組合日志大小限制對某些 Microsoft 客戶造成了問題，但如果要解決這些問題，需要對記錄系統事件的體系結構進行根本性的改變才行。Microsoft 正努力工作，希望通過從頭開始重寫事件記錄系統，在下一版本的 Windows 中解決這些問題。

　　為特定客戶端確定最佳日志大小沒有簡單的公式可用，但您可以通過考慮上述信息，並理解在每個日志中記錄一個事件平均需要大約 500 字節以及您為每個日志指定的事件記錄保持期，就能確定合理的大小。由於每個日志文件的大小必須是 64 KB 的倍數，對企業內每個日志每天生成的平均事件數進行估計後，您就可以為客戶端上的每個日志文件確定一個合適的大小。

　　例如，如果客戶端平均每天在其“安全日志”中生成 1200 個事件，而您希望使數據在至少 4 周時間內隨時保持可用，那麼可根據下面的公式將日志大小配置為大約 16.8 MB：（500 字節 * 1200 事件/天 * 28 天 = 16，800，000 字節）。在配置此日志大小後的四周內，不時檢查一下客戶端以確認在這段時間內該日志是否能夠充分容納事件。事件日志大小和日志環繞的定義應符合企業安全計劃的業務和安全要求。

　　有關確定最佳日志大小的進一步信息，請參閱配套指南《Threats and Countermeasures： Security Settings in Windows Server 2003 and Windows XP》（英文）中的模塊 6：“Event Log”。

　　表 3.68：Windows XP 計算機的安全事件日志設置

UI 中的設置名稱   企業客戶端台式計算機  企業客戶端便攜式計算機  高安全級台式計算機 高安全級便攜式計算機   應用程序日志大小最大值  10240 KB 10240 KB 10240 KB 10240 KB  安全日志最大值  10240 KB  10240 KB  20480 KB  20480 KB  系統日志大小最大值  10240 KB 10240 KB 10240 KB 10240 KB  限制本地來賓組訪問應用程序日志  已啟用 已啟用 已啟用 已啟用  限制本地來賓組訪問安全日志 已啟用 已啟用 已啟用 已啟用  限制本地來賓組訪問系統日志 已啟用  已啟用 已啟用 已啟用  保留應用程序日志  沒有定義 沒有定義 沒有定義 沒有定義  保留安全日志 沒有定義 沒有定義 沒有定義 沒有定義  保留系統日志 沒有定義 沒有定義 沒有定義 沒有定義  應用程序日志保留方法 按需要 按需要 按需要 按需要  安全日志的保留方法 按需要 按需要 按需要 按需要  系統日志保留方法  按需要 按需要  按需要 按需要
　　應用程序日志大小最大值

　　表 3.69：設置

 企業客戶端台式計算機  企業客戶端便攜式計算機  高安全級台式計算機 高安全級便攜式計算機  10240 KB 10240 KB 10240 KB 10240 KB

　　“應用程序日志大小最大值”設置用於指定應用程序日志的存儲容量。在此設置中若將日志大小配置得過小，會導致事件日志迅速填滿，迫使管理員頻繁對記錄存檔，並清除日志。此設置可配置為“64 KB”到“4，194，240 KB”。由於日志文件的大小必須為 64 KB 的倍數，如果輸入非 64 KB 倍數的值，將自動調整為 64 KB 的倍數。Microsoft 建議您為此設置配置這樣一種值：它在為與日志應用程序相關的事件提供足夠空間的同時也不會消耗大量的磁盤空間。

　　因此，在本指南定義的兩種環境中，“應用程序日志大小最大值”設置被配置為“10，240 KB”。

　　安全日志最大值

　　表 3.70：設置

 企業客戶端台式計算機  企業客戶端便攜式計算機  高安全級台式計算機 高安全級便攜式計算機  10240 KB 10240 KB 20480 KB 20480 KB

　　“安全日志最大值”設置用於指定安全日志的存儲容量。在此設置中若將日志大小配置得過小，會導致事件日志迅速填滿，迫使管理員頻繁對記錄存檔，並清除日志。此設置可配置為“64 KB”到“4，194，240 KB”。

　　Microsoft 建議您為此設置配置這樣一種值：它在為與安全日志相關的事件提供足夠空間的同時也不會消耗大量的磁盤空間。請監視日志中事件的數目，並按需調整日志大小以滿足企業的需要。在本指南中，“高安全級”環境下的安全日志大小將增加，以便為推薦的額外審核設置提供空間。

　　因此，在“企業客戶端”環境中，“安全日志最大值”設置被配置為“10，240 KB”，而在“高安全級”環境中被配置為“20，480 KB”。

　　系統日志大小最大值

　　表 3.71：設置

 企業客戶端台式計算機  企業客戶端便攜式計算機  高安全級台式計算機 高安全級便攜式計算機  10240 KB 10240 KB 10240 KB 10240 KB

　　“系統日志大小最大值”設置用於指定系統日志的存儲容量。在此設置中若將日志大小配置得過小，會導致事件日志迅速填滿，迫使管理員頻繁對記錄存檔，並清除日志。此設置可配置為“64 KB”到“4，194，240 KB”。Microsoft 建議您為此設置配置這樣一種值：它在為與系統日志相關的事件提供足夠空間的同時也不會消耗大量的磁盤空間。

　　因此，在本指南定義的兩種環境中，“系統日志大小最大值”設置被配置為“10，240 KB”。

　　限制本地來賓組訪問應用程序日志

　　表 3.72：設置

 企業客戶端台式計算機  企業客戶端便攜式計算機  高安全級台式計算機 高安全級便攜式計算機  已啟用 已啟用 已啟用 已啟用

　　Windows XP Professional 的默認安裝允許來賓和空登錄名查看事件日志。雖然在默認設置中來賓不可以訪問安全日志，但擁有“管理審核日志”用戶權限的用戶可以查看它。“限制本地來賓組訪問應用程序日志”設置將防止來賓和空登錄名查看任何事件日志。防止未經身份驗證的用戶查看應用程序事件日志是最佳的安全操作。

　　因此，在本指南定義的兩種環境中，“限制本地來賓組訪問應用程序日志”設置被配置為“已啟用”。

　　限制本地來賓組訪問安全日志

　　表 3.73：設置

 企業客戶端台式計算機  企業客戶端便攜式計算機  高安全級台式計算機 高安全級便攜式計算機  已啟用 已啟用 已啟用 已啟用

　　Windows XP Professional 的默認安裝允許來賓和空登錄名查看事件日志。雖然在默認設置中來賓不可以訪問安全日志，但擁有“管理審核日志”用戶權限的用戶可以查看它。“限制本地來賓組訪問安全日志”設置將防止來賓和空登錄名查看任何事件日志。防止未經身份驗證的用戶查看安全事件日志是最佳的安全操作。

　　因此，在本指南定義的兩種環境中，“限制本地來賓組訪問安全日志”設置被配置為“已啟用”。

　　限制本地來賓組訪問系統日志

　　表 3.74：設置

 企業客戶端台式計算機  企業客戶端便攜式計算機  高安全級台式計算機 高安全級便攜式計算機  已啟用 已啟用 已啟用 已啟用

　　Windows XP Professional 的默認安裝允許來賓和空登錄名查看事件日志。雖然在默認設置中來賓不可以訪問安全日志，但擁有“管理審核日志”用戶權限的用戶可以查看它。“限制本地來賓組訪問系統日志”設置將防止來賓和空登錄訪問任何事件日志。防止未經身份驗證的用戶查看系統事件日志是最佳的安全操作。

　　因此，在本指南定義的兩種環境中，“限制本地來賓組訪問系統日志”設置被配置為“已啟用”。

　　保留應用程序日志

　　表 3.75：設置

 企業客戶端台式計算機  企業客戶端便攜式計算機  高安全級台式計算機 高安全級便攜式計算機  沒有定義 沒有定義 沒有定義 沒有定義
　　“保留應用程序日志”設置用於控制應用程序事件日志在被覆蓋前要保留多長時間。此設置的值可以從“1 天”到“365 天”。為此設置所配置的值應能將應用程序事件日志保留足夠長的時間，以對日志進行充分的監視和分析。

　　此設置應與每個事件日志的保留方法設置結合使用。將應用程序日志的保留方法配置為“按需要”後，“保留應用程序日志”設置將自動設為“沒有定義”。

　　因此，在本指南定義的兩種環境中，“保留應用程序日志”設置默認情況下配置為“沒有定義”，因為在本指南中“應用程序日志保留方法”設置被配置為“按需要”。

　　保留安全日志

　　表 3.76：設置

 企業客戶端台式計算機  企業客戶端便攜式計算機  高安全級台式計算機 高安全級便攜式計算機  沒有定義 沒有定義 沒有定義 沒有定義
　　“保留安全日志”設置用於控制安全事件日志在被覆蓋前要保留多長時間。此設置的值可以從“1 天”到“365 天”。為此設置所配置的值應能將安全事件日志保留足夠長的時間，以對日志進行充分的監視和分析。

　　此設置應與每個事件日志的保留方法設置結合使用。將安全日志的保留方法配置為“按需要”後，“保留安全日志”設置將自動設為“沒有定義”。

　　因此，在本指南定義的兩種環境中，“保留安全日志”設置默認情況下配置為“沒有定義”，因為在本指南中“安全日志的保留方法”設置被配置為“按需要”。

　　保留系統日志

　　表 3.77：設置

 企業客戶端台式計算機  企業客戶端便攜式計算機  高安全級台式計算機 高安全級便攜式計算機  沒有定義 沒有定義 沒有定義 沒有定義
　　“保留系統日志”設置用於控制系統事件日志在被覆蓋前要保留多長時間。此設置的值可以從“1 天”到“365 天”。為此設置所配置的值應能將系統事件日志保留足夠長的時間，以對日志進行充分的監視和分析。

　　此設置應與每個事件日志的保留方法設置結合使用。將系統日志的保留方法配置為“按需要”後，“保留系統日志”設置將自動設為“沒有定義”。

　　因此，在本指南定義的兩種環境中，“保留系統日志”設置默認情況下配置為“沒有定義”，因為本指南中“系統日志保留方法”設置被配置為“按需要”。

　　應用程序日志保留方法

　　表 3.78：設置

 企業客戶端台式計算機  企業客戶端便攜式計算機  高安全級台式計算機 高安全級便攜式計算機  按需要 按需要 按需要 按需要

　　“應用程序日志保留方法”設置用於確定當此日志的大小達到其最大值時，操作系統如何處理其中的應用程序事件。此設置可配置為在特定天數後覆蓋應用程序事件，在日志滿後按需要操作或手動清除。

　　前兩個設置選項允許最新的應用程序事件按需要覆蓋日志中最早的事件。如果您發現希望保留的事件數過快地被新事件覆蓋，請通過更多地在其他位置保存事件或增加應用程序日志大小的最大值來調整日志管理策略。

　　因此，在本指南定義的兩種環境中，“應用程序日志保留方法”設置被配置為“按需要”。

　　安全日志的保留方法

　　表 3.79：設置

 企業客戶端台式計算機  企業客戶端便攜式計算機  高安全級台式計算機 高安全級便攜式計算機  按需要 按需要 按需要 按需要

　　“安全日志的保留方法”設置用於確定當此日志的大小達到其最大值時，操作系統如何處理其中的安全事件。此設置可配置為在特定天數後覆蓋安全事件，在日志滿後按需要操作或手動清除。

　　前兩個設置選項允許最新的應用程序事件按需要覆蓋日志中最早的事件。如果您發現希望保留的事件數過快地被新事件覆蓋，請通過更多地在其他位置保存事件或增加應用程序日志大小的最大值來調整日志管理策略。

　　因此，在本指南定義的兩種環境中，“安全日志的保留方法”設置被配置為“按需要”。