系統日志保留方法
表 3.80:設置
“系統日志保留方法”設置用於確定當此日志的大小達到其最大值時,操作系統如何處理其中的系統事件。此設置可配置為在特定天數後覆蓋系統事件日志,在日志滿後按需要操作或手動清除。
前兩個設置選項允許最新的應用程序事件按需要覆蓋日志中最早的事件。如果您發現希望保留的事件數過快地被新事件覆蓋,請通過更多地在其他位置保存事件或增加應用程序日志大小的最大值來調整日志管理策略。
在本指南定義的兩種環境中,“系統日志保留方法”設置被配置為“按需要”。
受限制的組
“受限制的組”設置允許您管理 Windows XP Professional 中的組成員身份。請按照企業的需要確定您需要限制的組。為了說明的方便,“高安全級”環境中的“Power Users”組是受限制的。盡管“Power Users”組的成員比“Administrators”組的成員的系統訪問權限要低,但“Power Users”組成員依然可以有較大權限來訪問系統。如果您的組織中使用了“Power Users”組,則應仔細地控制該組的成員,並且不要實現用於“受限制的組”設置的指導。
“受限制的組”設置可在 Windows XP Professonal 的“組策略對象編輯器”中的如下位置進行配置:
計算機配置\Windows 設置\安全設置\受限制的組
通過將需要的組直接添加到 GPO 命名空間的“受限制的組”節點上,管理員可以為 GPO 配置受限制的組。
如果某個組受限制,您可以定義該組的成員以及它所屬的其他組。不指定這些組成員將使該組完全受限。只有通過使用安全模板才能使組受限。
查看或修改“受限制的組”設置:
1.打開“安全模板管理控制台?±。
注意:默認情況下,“安全模板管理控制台”並沒有添加到“管理工具”菜單。要添加它,請啟動 Microsoft 管理控制台 (mmc.exe) 並添加“安全模板”加載項。
2.雙擊配置文件目錄,然後雙擊配置文件。
3.雙擊“受限制的組”項。
4.右鍵單擊“受限制的組”。
5.選擇“添加組”。
6.單擊“浏覽”按鈕,再單擊“位置”按鈕,選擇需浏覽的位置,然後單擊“確定”。
注意:通常這會使列表的頂部顯示一個本地計算機。
7.在“輸入對象名稱來選擇”文本框中鍵入組名並按“檢查名稱”按鈕。
– 或者 -
單擊“高級”按鈕,然後單擊“立即查找”按鈕,列出所有可用組。
8.選擇需要限制的組,然後單擊“確定”。
9.單擊“添加組”對話框上的“確定”來關閉此對話框。
對於所列出的組來說,將添加當前不是所列組成員的任何組或用戶,而當前已是所列組成員的所有用戶或組將從安全模板中刪除。
在本指南中,為了完全限制“Power Users”組,此組的所有用戶和組成員的設置都將刪除。對於組織中不准備使用的內置組(例如“Backup Operators”組),Microsoft 建議您限制它。
在“企業客戶端”環境下此選項沒有推薦設置。但在本指南的“高安全級”環境中,Microsoft 限制了“Power Users”組,因為在運行 Windows XP 的計算機上這個組擁有幾乎與管理員相等的權限。
系統服務
在安裝 Windows XP Professional 的同時會創建默認的系統服務,並將它們配置為在系統啟動時運行。在本指南定義的環境中,這些系統服務中有很多不需要運行。
對於 Windows XP Professional,還有額外的可選服務(例如 IIS),在操作系統的默認安裝中並不會安裝它們。通過使用“添加/刪除程序”或創建 Windows XP Professional 的自定義自動安裝,您可以在現有系統中添加這些可選服務。
重要:請記住,任何服務或應用程序都是潛在的受攻擊點。因此,應該禁用或刪除環境中任何不需要的服務或可執行文件。
“系統服務”設置可在 Windows XP Professonal 的“組策略對象編輯器”中如下位置進行配置:
計算機配置\Windows 設置\安全設置\系統服務
管理員可以設置系統服務的啟動模式,並更改每個服務的安全設置。
查看“系統服務”設置:
1.打開“安全模板管理控制台?±。
注意:默認情況下,“安全模板管理控制台”並沒有添加到菜單中。要添加它,請啟動 Microsoft 管理控制台 (mmc.exe) 並添加“安全模板”加載項。
2.雙擊安全模板文件目錄,然後雙擊安全模板文件。
3.雙擊“系統服務”項後,右側窗格中將顯示可用的服務。
4.雙擊需配置的服務,服務的屬性對話框將打開。
5.選中“在模板中定義這個策略設置”復選框。
6.在“選擇服務啟動模式”中選擇“自動”、“手動”或“已禁用”。
7.單擊“編輯安全設置……”按鈕,訪問安全權限選項以更改服務。
注意:通過組策略更改安全權限前應在實驗室環境中對此操作進行徹底的測試。
8.單擊“確定”關閉安全設置對話框,然後再次單擊“確定”關閉服務屬性對話框。
本節針對本指南所定義的兩種環境詳細說明了所描述的系統服務。在《Windwos XP Security Guide Settings》Excel 工作手冊(英文)中同樣可以找到下表所描述的設置的摘要。有關默認設置的信息和本節所討論的每個設置的詳細解釋,請參閱配套指南《Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP》(英文),可在如下位置找到該指南:http://go.microsoft.com/fwlink/?LinkId=15159.
表 3.81:Windows XP 計算機的系統服務設置
自動
自動 已禁用 已禁用 Telnet TlntSvr 已禁用 已禁用 已禁用 已禁用 World Wide Web Publishing Service W3SVC 已禁用 已禁用 已禁用 已禁用 Alerter表 3.82:設置“Alerter”服務可將管理警報通知給選中的用戶和計算機。請使用 Alerter 服務將警報消息發送給網絡中的特定用戶。禁用此服務將導致使用管理警報的程序無法接收到警報。
在本指南定義的兩種環境中,為了保證更好的安全性,Alerter 服務在這兩種環境中都被配置為“已禁用”,這可以防止通過網絡發送信息。
注意:禁用此服務會破壞不間斷電源 (UPS) 警報消息系統的功能。
Background Intelligent Transfer Service
表 3.83:設置
“Background Intelligent Transfer Service”(BITS) 是一種後台文件傳輸機制和隊列管理器。BITS 用於在客戶端和 HTTP 服務器之間異步傳輸文件。提交 BITS 服務請求後,文件的傳輸將使用空閒的網絡帶寬,這樣,其他的網絡相關活動(例如浏覽)將不受影響。
象 Background Intelligent Transfer Service 這樣的自動網絡服務為攻擊者提供了利用這些服務的可能。
因此,在“企業客戶端”環境中,Background Intelligent Transfer Service 被配置為“手動”,而在“高安全級”環境中則被配置為“已禁用”。
注意:禁用此服務會使大多數修補管理解決方案不可用,包括“軟件更新服務”和“Windows 自動更新”。如果禁用此服務,則必須在環境中的每台台式計算機和便攜式計算機上都手動執行修補管理,或者為環境中要安裝修補程序的用戶提供媒體。
ClipBook
表 3.84:設置
“ClipBook”服務允許“剪貼薄查看器”創建並共享可供遠程計算機查看的數據“頁”。此服務依賴“Network Dynamic Data Exchange”(NetDDE) 服務創建其他計算機可以連接的實際文件共享,而“Clipbook”應用程序和服務則允許您創建要共享的數據頁。任何顯式依賴於此服務的服務都將失敗。但 clipbrd.exe 可用來查看本地的“剪貼板”,這是用戶選中文本後單擊“編輯”菜單中的“復制”或按下 CTRL+C 後保存數據的位置。
在本指南定義的兩種環境中,為了保證更好的安全性,“ClipBook”服務被配置為“已禁用”。
Fax Service
表 3.85:設置
“Fax Service”服務是一種兼容“Telephony API”(TAPI) 的服務,用於為環境中的客戶端提供傳真功能。Fax Service 允許用戶使用本地傳真設備或共享的網絡傳真設備從他們的桌面應用程序收發傳真。
因此,在“企業客戶端”中,“傳真服務”被配置為“手動”。而在“高安全級”環境中,為了保證更好的安全性,此服務被設為“已禁用”。
FTP Publishing Service
表 3.86:設置
“FTP Publishing Service”通過 IIS 管理單元提供連接和管理。Microsoft 建議您不要在環境中的 Windows XP 客戶端上安裝 FTP Publishing Service,除非確實存在需要此服務的業務。
因此,在本指南定義的兩種環境中,“FTP 發布服務”被配置為“已禁用”。
IIS Admin Service
表 3.87:設置
“ IIS Admin Service”允許對 IIS 組件(例如 FTP、應用程序池、網站和 Web 服務擴展)進行管理。禁用此服務後,用戶將無法運行計算機上的 Web 或 FTP 站點。在大多數 Windows XP 客戶端計算機上都不需要此功能。
因此,在本指南定義的兩種環境中,IIS Admin Service 被配置為“已禁用”。
Messenger
表 3.88:設置
服務名 企業客戶端台式計算機 企業客戶端便攜式計算機 高安全級台式計算機 高安全級便攜式計算機 Messenger 已禁用 已禁用 已禁用 已禁用“Messenger”服務用於在客戶端和服務器間傳輸和發送“Alerter”服務的消息。此服務與 Windows Messenger 沒有關系,它並不是 Windows XP 客戶端計算機所必需的服務。
因此,在本指南定義的兩種環境中,“Messenger”服務被配置為“已禁用”。
NetMeeting Remote Desktop Sharing
表 3.89:設置
服務名 企業客戶端台式計算機 企業客戶端便攜式計算機 高安全級台式計算機 高安全級便攜式計算機 mnmsrvc 手動 手動 已禁用 已禁用“NetMeeting Remote Desktop Sharing”服務允許未經授權的用戶使用 Microsoft NetMeeting通過企業 Intranet 遠程訪問客戶端。此服務必須在 NetMeeting 中顯式啟用。您也可以在 NetMeeting 中禁用此服務或通過 Windows 任務欄圖標關閉此服務。Microsoft 建議禁用此服務以防止用戶遠程訪問您環境中的客戶端。
因此,為了保證更好的安全性,在“高安全級”環境中 NetMeeting Remote Desktop Sharing 服務被配置為“已禁用”。而在“企業客戶端”環境中此服務保留默認的“手動”。
Network DDE
表 3.90:設置
服務名 企業客戶端台式計算機 企業客戶端便攜式計算機 高安全級台式計算機 高安全級便攜式計算機 NetDDE 手動 手動 已禁用 已禁用“Network DDE”服務為同一計算機或不同計算機上運行的“動態數據交換”(DDE) 程序提供網絡傳輸和安全性。攻擊者可以利用 Network DDE 服務和其他類似的自動網絡服務。
因此,為了保證更好的安全性,在“高安全級”環境中“Network DDE”設置被配置為“已禁用”。而在“企業客戶端”環境中此服務保留默認的“手動”。
Network DDE DSDM
表 3.91:設置
服務名 企業客戶端台式計算機 企業客戶端便攜式計算機 高安全級台式計算機 高安全級便攜式計算機 NetDDEdsdm 手動 手動 已禁用 已禁用“Network DDE DSDM”服務用於管理 DDE 網絡共享。此服務僅供 Network DDE 服務管理共享 DDE 會話之用。攻擊者可以利用 Network DDE DSDM.
因此,為了保證更好的安全性,在“高安全級”環境下,Network DDE DSDM 服務被配置為“已禁用”。而在“企業客戶端”環境中此服務保留默認的“手動”。
Remote Registry Service
表 3.92:設置
服務名 企業客戶端台式計算機 企業客戶端便攜式計算機 高安全級台式計算機 高安全級便攜式計算機 RemoteRegistry 自動 自動 已禁用 已禁用“Remote Registry Service”允許遠程用戶修改您計算機上的注冊表設置 — 只要他們擁有所需的權限。此服務主要由遠程管理員和性能計數器使用。禁用“Remote Registry 服務”將修改注冊表的能力限制於本地計算機,並且任何明確依賴於此服務的服務都將失敗。在本指南定義的“高安全級”環境中,此設置僅用於阻止對注冊表的訪問。
因此,在“企業客戶端”環境中,Remote Registry 服務被配置為“自動”,而在“高安全級”環境中則配置為“已禁用”。
注意:禁用此服務後,大多數修補管理解決方案會不可用,包括“軟件更新服務”和“Windows 自動更新”。如果禁用此服務,則必須在環境中的每台台式計算機和便攜式計算機上都手動執行修補管理,或者為環境中要安裝修補程序的用戶提供媒體。
Telnet
表 3.93:設置
服務名 企業客戶端台式計算機 企業客戶端便攜式計算機 高安全級台式計算機 高安全級便攜式計算機 TlntSvr 已禁用 已禁用 已禁用 已禁用Windows 的“Telnet”服務可為 Telnet 客戶端提供 ASCII 終端會話。此服務支持兩種身份驗證和以下四種終端:ANSI、VT-100、VT-52 和 VTNT.但在大多數 Windows XP 客戶端上,此服務並不是必需的。
因此,在本指南定義的兩種環境中,“Telnet”服務被配置為“已禁用”。
World Wide Web Publishing Service
表 3.94:設置
服務名 企業客戶端台式計算機 企業客戶端便攜式計算機 高安全級台式計算機 高安全級便攜式計算機 W3SVC 已禁用 已禁用 已禁用 已禁用“World Wide Web Publishing Service”通過 IIS 管理單元提供 Web 連接和管理。但在大多數 Windows XP 客戶端上此服務並不是必需的。
因此,在本指南定義的兩種環境中,World Wide Web Publishing Service 被配置為“已禁用”。
保護文件系統
在每個新版本的 Microsoft Windows中 NTFS 文件系統都會得到改進。NTFS 的默認權限對大多數組織而言都已夠用。本節所討論的設置是針對在本指南定義的“高安全級”環境中使用便攜式計算機和台式計算機的組織。
文件系統的安全設置可以使用“組策略”修改。“文件系統”設置可在“組策略對象編輯器”的如下位置進行配置:
計算機配置\Windows 設置\安全設置\文件系統
注意:將對默認文件系統安全設置的任何更改部署到大型組織中之前,都應在實驗室環境中進行徹底的測試。在某些情況下,由於文件權限的變動,受影響的計算機不得不進行徹底重建。
高級權限
“權限”對話框初始出現時只提供部分權限控制,您可以通過單擊“高級”按鈕設置更多的文件權限控制。下表列舉了這些高級權限。
表 3.95:高級文件權限和描述
下面三個附加術語用於說明應用於文件和文件夾的權限的繼承關系。
“傳播”是指將可繼承的權限傳播給所有子文件夾和文件。只要子對象沒有設置為不接受權限繼承,那麼,任何子對象都會繼承父對象的安全設置。如果存在沖突,子對象上的明確權限將覆蓋從父對象繼承的權限。
“替換”是指用可繼承權限替換所有子文件夾和文件上的現有權限。父對象的權限項將取代子對象上的任何安全設置,而不論子對象上的設置如何。子對象將擁有與父對象相同的訪問控制項。
“忽略”是指不允許替換文件或文件夾(或項)上的權限。如果您不希望為對象或其任何子對象配置或分析安全性,請使用此設置選項。
文件系統設置
下面的文件系統設置約定的邏輯是刪除“Everyone”組的文件和文件夾權限,然後將該權限授予本地“Users”組。您也可以按照相同的策略來限制“Power User”組。但如果通過“組策略”來配置和應用“受限制的組”設置,這將更容易。
Microsoft 建議刪除“Everyone”組的權限,因為該組中包含的用戶的帳戶和密碼可能未經身份驗證。
表 3.96:文件系統安全設置
文件夾或文件 用戶組 推薦權限 適用於 繼承方法 %AllUsersProfile%(含有所有用戶桌面和配置文件屬性的文件夾,通常位於 C:\Documents and Settings\All Users 下。) Administrators
SYSTEM
Users
1.完全控制
2.完全控制
3.讀取和執行
4.遍歷文件夾、執行文件、列出文件夾、讀取數據、讀取屬性、讀取擴展屬性、創建文件、寫入數據、創建文件夾、追加數據、寫入屬性、寫入擴展屬性、刪除子文件夾和文件、刪除、讀取權限
文件夾、子文件夾和文件
替換 %AllUsersProfile%\Application Data\Microsoft\Crypto\DSS\MachineKeys 1.Administrators1.完全控制
2.完全控制
3.列出文件夾、讀取屬性、讀取擴展屬性、創建文件、創建文件夾、寫入屬性、寫入擴展屬性、讀取權限文件夾、子文件夾和文件
1.完全控制
2.完全控制
3.讀取和執行
4.修改
1.Administrators
2.SYSTEM
3.Users
4.Users
5.Users
6.Power Users
1.Administrators
2.CREATOR OWNER
3.SYSTEM
4.Users
1.完全控制
2.完全控制
3.完全控制
4.讀取和執行
1.Administrators
2.SYSTEM
3.Users
4.Power Users
