审核策略设置
域控制器的审核策略设置与 MSBP 中所指定的相同。有关详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。DCBP 中的基准策略设置确保所有相关的安全审核信息记录在域控制器中。
用户权限分配
DCBP 为域控制器指定许多用户权限分配。除默认设置外,修改了其他七种用户权限以增强本指南定义的三种环境中域控制器的的安全性。
本节提供与 MSBP 中的设置不同的 DCBP 指定用户权限设置的相关详细信息。有关本节中指定设置的小结,请参阅“Windows Server 2003 Security Guide”附带的Windows Server 2003 Security Guide Settings Excel 工作簿,其网址为:http://go.microsoft.com/fwlink/?LinkId=14846(英文)。
从网络访问此计算机
表 2:设置
| 域控制器默认值 | 旧客户端 | 企业客户端 | 高安全级 |
| Administrators、Authenticated Users、ENTERPRISE DOMAIN CONTROLLERS、Everyone、Pre-Windows 2000 Compatible Access。 |
没有定义。 |
没有定义 |
Administrators、Authenticated Users、ENTERPRISE DOMAIN CONTROLLERS |
“从网络访问此计算机”用户权限将确定哪些用户和组可以通过网络连接到此计算机。此用户权限是许多网络协议所必需的,这些协议包括基于服务器消息块 (SMB) 的协议、网络基本输入输出系统 (NetBIOS)、通用 Internet 文件系统 (CIFS)、超文本传输协议 (HTTP)和组件对象模型 (COM+)。
虽然授予“Everyone”安全组的权限不再向 Windows Server 2003 中的匿名用户授予访问权,但是仍然可以通过“Everyone”安全组向来宾组和帐户授予访问权。出于此原因,本指南推荐在高安全性环境中从“从网络访问此计算机”用户权限删除“Everyone”安全组,以进一步防止针对域来宾访问权的攻击。
域中添加工作站
表 3:设置
| 域控制器默认值 | 旧客户端 | 企业客户端 | 高安全级 |
| Authenticated Users |
Administrators |
Administrators |
Administrators |
“域中添加工作站”用户权限允许用户向特定域中添加计算机。为了使此权限生效,必须将它作为域的默认域控制器策略的一部分分配给用户。授予了此权限的用户可以向域中最多添加 10 个工作站。授予了 Active Directory 中 OU 或计算机容器的“创建计算机对象”权限的用户还可以将计算机加入域。授予了此权限的用户可以向域中添加不限数量的计算机,无论他们是否已被分配“域中添加工作站”用户权限。
默认情况下,“Authenticated Users”组中的所有用户能够向 Active Directory 域中最多添加 10 个计算机帐户。这些新计算机帐户是在计算机容器中创建的。
在 Active Directory 域中,每个计算机帐户是一个完整的安全主体,它能够对域资源进行身份验证和访问。一些组织想限制 Active Directory 环境中的计算机数量,以便他们可以始终跟踪、生成和管理它们。
允许用户向域中添加工作站会妨碍此努力。它还为用户提供了执行更难跟踪的活动的途径,因为他们可以创建其他未授权的域计算机。
出于这些原因,在本指南中定义的三种环境中,“域中添加工作站”用户权限只授予给“Administrators”组。
允许本地登录
表 4:设置
| 域控制器默认值 | 旧客户端 | 企业客户端 | 高安全级 |
| Administrators、Account Operators、Backup Operators、Print Operators 和 Server Operators |
Administrators |
Administrators |
Administrators |
通过“允许本地登录”用户权限,用户可以在计算机上启动一个交互式会话。如果不具有此权限的用户具有“通过终端服务允许登录”权限,则其仍然可以在计算机上启动一个远程交互式会话。
如果对某种环境中可以使用哪些帐户登录到域控制器控制台进行限制,将有助于阻止未经授权的用户访问域控制器文件系统和系统服务。可以登录到域控制器控制台的用户可能会恶意利用此系统,并且可能威胁整个域或林的安全。
默认情况下,向“Account Operators”、“Backup Operators”、“Print Operators”和“Server Operators” 组授予了从本地登录到域控制器的权限。这些组中的用户将不必登录到域控制器来执行其管理任务。这些组中的用户可从其他工作站正常执行其任务。只有“Administrators”组中的用户应该对域控制器执行维护任务。
只向“Administrators”组授予此权限将域控制器的物理和交互式访问权限仅限制在高度信任用户,因此增强了安全性。出于此原因,在本指南中定义的三种环境中,“域中添加工作站”用户权限只授予给“Administrators”组。
通过终端服务允许登录
表 5:设置
| 域控制器默认值 | 旧客户端 | 企业客户端 | 高安全级 |
| 没有定义 |
Administrators |
Administrators |
Administrators |
通过“通过终端服务允许登录”用户权限,用户可以使用远程桌面连接登录到计算机。
如果通过终端服务对可使用哪些帐户登录到域控制器控制台进行限制,将有助于阻止未经授权的用户访问域控制器文件系统和系统服务。通过终端服务可以登录到域控制器控制台的用户可能利用此系统,并且可能威胁整个域或林的安全。
只向“Administrators”组授予此权限将域控制器的交互式访问权仅限制在高度信任用户,因此增强了安全性。出于此原因,在本指南中定义的三种环境中,“域中添加工作站”用户权限只授予给“Administrators”组。默认情况下,虽然通过终端服务登录到域控制器需要管理权限,但是配置此用户权限将有助于防止可能危及此限制的无意或恶意操作。
作为进一步安全措施,DCBP 将拒绝默认的“Administrator”帐户通过终端服务登录域控制器的权限。此设置也将阻止恶意用户试图使用默认的“Administrator”帐户从远程闯入域控制器。有关此设置的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。
更改系统时间
表 6:设置
| 域控制器默认值 | 旧客户端 | 企业客户端 | 高安全级 |
| Administrators、Server Operators |
Administrators |
Administrators |
Administrators |
通过“更改系统时间”用户权限,用户可以调整计算机内部时钟的时间。更改系统时间的时区或其他显示特征不需要此权限。
同步系统时间对于 Active Directory 的操作是关键的。Kerberos v5 身份验证协议所使用的正确的 Active Directory 复制和身份验证票证生成过程均依赖于在任何环境中同步的时间。
如果使用某系统时间配置的域控制器与此环境中其他域控制器的系统时间不同步,此域控制器可能妨碍域服务操作。只有管理员可以修改系统时间,这将使使用错误系统时间配置域控制器的可能性减至最低。
默认情况下,向“Server Operators”组授予了修改域控制器系统时间的权限。由于此组成员错误修改域控制器系统时间可能导致的影响,所以在 DCBP 中配置此用户权限,以便只有“Administrators”组能够在本指南定义三种环境的任何一种中更改系统时间。
有关 Windows 时间服务的更多信息,请参阅知识库文章 Q224799“Basic Operation of the Windows Time Service”,其网址为:http://support.microsoft.com/default.aspx?scid=224799(英文),以及 Q216734“How to Configure an Authoritative Time Server in Windows 2000”,其网址为: http://support.microsoft.com/default.aspx?scid=216734(英文)。
使计算机和用户帐户受信任以进行委派
表 7:设置
| 域控制器默认值 | 旧客户端 | 企业客户端 | 高安全级 |
| Administrators |
没有定义 |
没有定义 |
Administrators |
通过“使计算机和用户帐户受信任以进行委派”用户权限,用户可以更改 Active Directory 中用户或计算机对象的“已为委派信任”设置。身份验证委派是多级客户端/服务器应用程序所使用的功能。通过身份验证委派,前端服务可以在对后端服务进行身份验证时使用对客户端的信任。要使这种功能成为可能,客户端与服务器必须均在受信任进行委派的帐户下运行。
错误使用此权限可能导致未经授权的用户伪装成网络上的其他用户。某攻击者可以伪装成其他用户窃取此权限获得网络资源的访问权,这可能使得某安全事件之后发生的事件更难以解释。
本指南建议将“使计算机和用户帐户受信任以进行委派”权限分配给域控制器上的“Administrators”组。
注意:尽管默认域控制器策略向管理员组分配此权限,但是因为 DCBP 最初基于 MSBP,所以 DCBP 仅强制在高安全级环境中使用此权限。MSBP 向此权限分配一个 NULL 值。
加载和卸载设备驱动程序
表 8:设置
| 域控制器默认值 | 旧客户端 | 企业客户端 | 高安全级 |
| Administrators、Print Operators |
Administrators |
Administrators |
Administrators |
“加载和卸载设备驱动程序”用户权限确定哪类用户可以加载和卸载设备驱动程序。加载和卸载即插即用设备需要此用户权限。
恶意加载或卸载域控制器上的设备驱动程序可能将对其操作产生有害影响。如果将能够加载和卸载设备驱动程序的帐户只限制给予最受信任的用户,则可以将使用设备驱动程序威胁环境中域控制器安全的机会减至最低。
默认情况下,向“Print Operators”组授予此权限。正如前面所提到的一样,不推荐在域控制器上创建“打印机共享”。这使“Print Operators”不必具有加载和卸载设备驱动程序的权限。因此,在本指南所定义的三种环境中,只向“Administrators”组授予此用户权限。
还原文件和目录
表 9:设置
| 域控制器默认值 | 旧客户端 | 企业客户端 | 高安全级 |
| Administrators、Backup Operators、Server Operators |
Administrators |
Administrators |
Administrators |
通过“还原文件和目录”用户权限,用户可以在还原已备份文件和目录时绕过文件和目录权限,并且将任何有效安全主体设置为对象所有者。
使某用户帐户能够将文件和目录还原到域控制器的文件系统,这将使帐户所有者获得更易修改可执行服务的能力。利用此权限提供的访问权的恶意用户
最低0.47元/天 解锁文章
300
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
