内置帐户是由操作系统创建的、一类较为特别的帐户或组,例如 System 帐户、Network Service 和 Everyone 组。这些对象的重要特征之一就是,它们在所有系统上都拥有一个相同的、众所周知的 SID。当将分配了 NTFS 权限的文件复制到内置帐户时,权限在服务器之间是有效的,因为内置帐户的 SID 在所有服务器上都是相同的。Windows Server 2003 服务中的 Network Service 帐户是特别设计的,专用于为应用程序提供访问网络的足够权限,而且在 IIS 6 中,无需提升权限即可运行 Web 应用程序。这对于 IIS 安全性来说,是一个特大的消息,因为不存在缓冲溢出,怀有恶意的应用程序无法破译进程标识,或是对应用程序的攻击不能进入 System 用户环境。更为重要的一点是,再也不能形成针对 System 帐户的“后门”,例如,再也无法通过 InProcessIsapiApps 元数据库项利用加载到 Inetinfo 的应用程序。
服务仅在登录到某一帐户的情况下才能访问操作系统中的资源和对象。大多数的服务都不更改默认的登录帐户。更改默认帐户可能导致服务失败。如果选定帐户没有登录服务的权限,Microsoft 管理控制台 (MMC) 的服务管理单元将自动为该帐户授予登录所管理计算机中服务的用户权限。但这并不保证启动服务。Windows Server 2003 包括三个内置的本地帐户,分别用作各系统服务的登录帐户:
• 本地系统帐户:本地系统帐户功能强大,它可对系统进行完全访问,并作为网络中的计算机工作。如果某服务登录到域控制器的“本地系统”帐户,则该服务可访问整个域。有些服务的默认配置是登录到“本地系统”帐户。不要更改默认服务设置。帐户名称是 LocalSystem。该帐户没有密码。
• 本地服务帐户:本地服务帐户是一种特殊的内置帐户,类似于经身份验证的用户帐户。就访问的资源的对象而言,“本地服务”帐户与“Users”(用户)组成员权限等同。这种限制性访问有助于在个别服务或进程受损时保障系统安全。以“本地服务”帐户运行的服务使用有匿名凭据的空会话来访问网络资源。帐户名称是 NT AUTHORITY/LocalService。该帐户没有密码。
• 网络服务帐户:网络服务帐户也是一种特殊的内置帐户,类似于经身份验证的用户帐户。就访问的资源的对象而言,“网络服务”帐户与“Users”(用户)组成员权限等同。这种限制性访问有助于在个别服务或进程受损时保障系统安全。以“网络服务”帐户运行的服务可使用计算机帐户的凭据来访问网络资源。帐户名称是 NT AUTHORITY/NetworkService。该帐户没有密码。
要点:如果更改默认服务设置,重要的服务可能无法正常运行。最重要的是,更改启动类型一定要谨慎,要使用配置了自动启动服务的设置来登录。
漏洞
任何服务或应用程序都是潜在的攻击点。因此,必须禁用或删除系统环境中不需要的服务或可执行文件。Windows Server 2003 的一些附加可选服务(如证书服务)在 windows Server 2003 默认安装中不安装。
可将这些可选服务添加至现有系统,方法是使用“控制面版”中的“添加/删除程序”、“Windows Server 2003 配置服务器向导”或创建 windows Server 2003 的自定义自动安装。在“成员服务器基准策略”(MSBP) 中,这些可选服务以及所有不必要的服务都被禁用。
要点:如果启用附加服务,它们反过来会因依赖关系而要求提供其他服务。首先明确在组织中执行任务的服务器角色,然后将特定服务器角色所必需的所有服务添加到策略中。
对策
禁用所有不必要的服务。
这些“组策略”设置的可能值是:
• 自动
• 手动
• 禁用
• 未定义
此外,还可通过配置用户定义帐户列表的访问控制列表 (ACL) 来编辑服务安全性。
潜在影响
禁用某些服务(如 Security Accounts Manager)将导致系统无法引导。禁用其他关键服务可能使计算机无法通过域控制器的身份验证。如果要禁用系统的服务,请先在非生产系统中测试。
您可在“组策略对象编辑器”的下列位置配置“系统服务”设置:
计算机配置/Windows 设置/安全设置/系统服务/
----------------------------
windows 2003内置用户组
Administrators 属于该administators本地组内的用户,都具备系统管理员的权限,它们拥有对这台计算机最大的控制权限,可以执行整台计算机的管理任务。内置的系统管理员帐房Administrator就是本地组的成员,而且无法将它从该组删除。
如果这台计算机已加入域,则域的Domain Admins会自动地加入到该计算机的Administrators组内。也就是说,域上的系统管理员在这台计算机上也具备着系统管理员的权限。
Backup OPerators 在该组内的成员,不论它们是否有权访问这台计算机中的文件夹或文件,都可以通过“开始”-“所有程序”-“附件”-“系统工具”-“备份”的途径,备份与还原这些文件夹与文件。
Guests 该组是提供没有用户帐户,但是需要访问本地计算机内资源的用户使用,该组的成员无法永久地改变其桌面的工作环境。该组最常见的默认成员为用户帐号Guest。
Network Configuration Operators 该组内的用户可以在客户端执行一般的网络设置任务,例如更改IP地址,但是不可以安装/删除驱动程序与服务,也不可以执行与网络服务器设置有关的任务,例如DNS服务器、DHCP服务器的设置。
Power Users 该组内的用户具备比Users组更多的权利,但是比Administrators组拥有的权利更少一些,例如,可以:
创建、删除、更改本地用户帐户
创建、删除、管理本地计算机内的共享文件夹与共享打印机
自定义系统设置,例如更改计算机时间、关闭计算机等
Power Users 组的成员不可以更改Administrators与Backup Operators、无法夺取文件的所有权、无法备份与还原文件、无法安装删除与删除设备驱动程序、无法管理安全与审核日志。
Remote Desktop Users 该组的成员可以通过远程计算机登录,例如,利用终端服务器从远程计算机登录。
Users 该组员只拥有一些基本的权利,例如运行应用程序,但是他们不能修改操作系统的设置、不能更改其它用户的数据、不能关闭服务器级的计算机。
所有添加的本地用户帐户者自动属于该组。
如果这台计算机已经加入域,则域的Domain Users会自动地被加入到该计算机的Users组中。
内置特殊组:
Everone 任何一个用户都属于这个组。注意,如果Guest帐号被启用时,则给Everone这个组指派权限时必须小心,因为当一个没有帐户的用户连接计算机时,他被允许自动利用Guest帐户连接,但是因为Guest也是属于Everone组,所以他将具备Everyone所拥有的权限。
Authenticated Users 任何一个利用有效的用户帐户连接的用户都属于这个组。建议在设置权限时,尽量针对Authenticated Users组进行设置,而不要针对Everone进行设置。
Interactive 任何在本地登录的用户都属于这个组。
Network 任何通过网络连接此计算机的用户都属于这个组。
Creator Owner 文件夹、文件或打印文件等资源的创建者,就是该资源的Creator Owner(创建所有者)。不过,如果创建者是属于Administrators组内的成员,则其Creator Owner为Administrators组。
Anonymous Logon 任何未利用有效的Windows Server 2003帐户连接的用户,都属于这个组。注意,在windows 2003内,Everone 组内并不包含“Anonymous Logon”组。
4051
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
