本模块内容
本模块含有一张介绍 Microsoft® Windows 2000® 操作系统上的默认用户权限指派的表,并提供一张模块 Windows 2000 安全配置中建议的更改列表。
目标
使用本模块可以实现:
| • | 了解 Windows 2000 系统上的默认用户权限指派。 |
| • | 了解对默认权限指派建议的更改,以提供更安全的环境。 |
适用范围
本模块适用于下列产品和技术:
| • | Microsoft Windows 2000 操作系统 |
| • | Microsoft Windows 2000 操作系统域控制器 |
| • | Microsoft Windows 2000 域 |
如何使用本模块
使用本模块可了解 Windows 2000 的默认用户权限指派设置,并检验对默认设置的建议更改,以创建更安全的环境。
为了充分理解本模块内容,请
| • | 阅读模块 Windows 2000 安全配置。本模块提供有关这些安全设置的的详细文档资料,这些安全设置可用于提高 Windows 2000 的安全性。 | ||||
| • | 阅读模块 Windows 2000 默认安全策略设置。本模块介绍应用于不同 Windows 2000 系统角色的默认安全策略设置。 | ||||
| • | 阅读模块 Windows 2000 安全配置工具。本模块着重说明可用于应用安全配置的 Windows 2000 工具。 | ||||
| • | 使用检查表 Windows 2000 安全配置检查表。本模块包含评估系统时可以使用的安全检查表,用以确保所有的配置更改已完成。 | ||||
| • | 使用附带的“如何”模块:
|
用户权限和特权
表 1 介绍在独立的 Windows 2000 Professional 和 Server 系统上以及在 Windows 2000 域控制器上指派给用户的默认用户权限。同时介绍域安全策略中的默认用户权限(默认情况下未定义的所有用户权限)。在域安全策略中的指派覆盖域成员的本地安全策略设置。
可在“本地安全策略”和“域安全策略”图形用户界面中找到用户权限/特权指派,如下所示:
| • | Windows 2000 Professional: “管理工具”->“本地安全策略”-> 安全设置/本地策略/用户权限指派 |
| • | Windows 2000 Server: “管理工具”->“本地安全策略”-> 安全设置/本地策略/用户权限指派 |
| • | Windows 2000 域控制器: “管理工具”->“域控制器安全策略”-> Windows 设置/安全设置/本地策略/用户权限指派 “管理工具”->“域安全策略”-> Windows 设置/安全设置/本地策略/用户权限指派 |
表 1:用户权限和特权
| 用户权限/特权 | 说明 | 在独立的 Windows 2000 Professional 计算机上将此权限指派给的组 | 在独立的 Windows 2000 Server 计算机上将此权限指派给的组 | 在 Windows 2000 域安全策略(位于域控制器上)中将此权限指派给的组 | 在具有 AD 服务(域控制器安全策略)的 Windows 2000 域控制器上将此权限指派给的组 |
| 登录权限 |
|
|
|
|
|
| 从网络 (SeNetwork | 确定允许哪些用户可以从网络上连接到该计算机。 | 默认: 建议 | 默认: 建议 | 默认: 建议: | 默认: 建议 |
| 作为批处理作业 (SeBatch | 允许用户使用批处理队列功能登录。 | 默认: 建议: | 默认: 建议: | 默认: 建议: | 默认: 建议: |
| 在本地登录 (SeInteractive | 允许用户本地登录计算机。 | 默认: 建议更改: | 默认: 建议 | 默认: 建议: | 默认: 建议 |
| 作为服务登录 (SeService | 允许安全主体作为服务登录。可以将服务配置为运行 LocalSystem 帐户下,该帐户具有一个可作为服务登录的内置权限。必须将该权限指派给任何运行在独立帐户下的服务。 | 默认: 建议: | 默认: 建议: | 默认: 建议: | 默认: 建议: |
| 拒绝从网络 (SeDenyNetwork | 防止用户或组从网络连接这台计算机。 | 默认: 建议: | 默认: 建议: | 默认: 建议: | 默认: 建议: |
| 拒绝本地登录 (SeDenyInteractive | 防止用户或组本地登录计算机。 | 默认: 建议: | 默认: 建议: | 默认: 建议: | 默认: 建议: |
| 拒绝作为 (SeDenyBatch | 防止用户或组通过批处理队列功能登录。 | 默认: 建议: | 默认: 建议: | 默认: 建议: | 默认 建议: |
| 拒绝作为 (SeDenyService | 防止用户或组作为服务登录。 | 默认: 建议: | 默认: 建议: | 默认: 建议: | 默认: 建议: |
| 以操作系统方式 (SeTcbPrivilege) | 允许进程作为用户进行验证,以此访问与用户相同的资源。只有低级别验证服务才需要这种服务。 默认情况下,潜在的访问不限于与用户相关的范围,因为调用进程可能要求将其余任意访问放在访问令牌中。更重要的是,调用进程可以构建提供任何访问的匿名令牌。而且,匿名令牌不提供用于在审核日志中跟踪事件的主标识。 默认情况下,LocalSystem 帐户使用此特权。 | 默认: 建议: | 默认: 建议: | 默认: 建议: | 默认: 建议: |
| 域中添加 (SeMachineAccount | 允许用户将计算机添加到特定域中。为使该权限有效,在域中必须将它作为域控制器的本地安全策略的一部分指派给用户。具有此权限的用户最多可以将 10 个工作站添加到域中。 在 Windows 2000 中,可通过组织部门的“创建计算机对象”权限和 Microsoft Active Directory® 中的默认计算机容器复制此特权的行为。使用“创建计算机对象”权限的用户可以将数量不限的计算机添加到域中。 | 默认: 建议: | 默认: 建议: | 默认: 建议: | 默认: 建议 |
| 备份文件和 (SeBackup | 允许用户绕过文件和目录权限以备份系统。只有在应用程序试图通过 NTFS 备份应用程序界面访问时才选择该特权。否则,正常的文件和目录权限被应用。 | 默认: 建议: | 默认: 建议: | 默认: 建议: | 默认: 建议: |
| 跳过遍历 (SeChangeNotify | 允许用户在任何 Microsoft Windows 文件系统或注册表中导航对象路径时通过用户没有访问权限的文件夹。此特权不允许用户列出文件夹的内容;它只允许用户遍历文件夹。 | 默认: 建议: | 默认: 建议: | 默认: 建议: | 默认: 建议: |
| 更改系统 (SeSystemTime | 允许用户设置计算机内部时钟的时间。 | 默认: 建议: | 默认: 建议: | 默认: 建议: | 默认: 建议: |
| 创建记号 (SeCreateToken | 允许进程通过调用 NtCreateToken 或其它创建令牌的 API 来创建访问令牌。 | 默认: 建议: | 默认: 建议: | 默认: 建议: | 默认: 建议: |
| 创建永久 (SeCreate | 允许进程在 Windows 2000 对象管理器中创建目录对象。此特权对于扩展 Windows 2000 对象命名空间的内核模式组件非常有用。以内核模式运行的组件已具有此特权;不必将它指派给这些组件。 | 默认: 建议: | 默认: 建议: | 默认: 建议: | 默认: 建议: |
| 创建页面文件 (SeCreatePagefile | 允许用户创建页面文件和更改其大小。 | 默认: 建议: | 默认: 建议: | 默认: 建议 | 默认: 建议: |
| 调试程序 (SeDebugPrivilege) | 允许用户将调试器附加到任一进程上。 | 默认: 建议: | 默认: 建议: | 默认: 建议: | 默认: 建议: |
| 允许计算机 (SeEnable | 允许用户在 Active Directory 中更改用户或计算机的“已为委派信任”设置。而且,被授予此特权的用户或计算机必须对对象上的帐户控制标记具有写权限。 | 默认: 建议: | 默认: 建议: | 默认: 建议: | 默认: 建议: |
| 从远端 (SeRemote | 允许用户在网络上远程关闭计算机。 | 默认: 建议: | 默认: 建议: | 默认: 建议 | 默认: Server Operators |
| 产生安全 (SeAuditPrivilege) | 允许进程在安全日志中产生条目。安全日志用于跟踪未经授权的系统访问以及其它与安全相关的活动。 |
建议: |
建议: |
建议: |
建议: |
| 添加配额 (SeIncrease | 允许对另一进程具有“写属性”权限的进程增加指派给其它进程的处理器配额。此特权对于系统优化非常有用,但可能会被滥用,如在拒绝服务攻击中。 | 默认: 建议: | 默认: 建议: | 默认: 建议 | 默认: 建议: |
| 增加进度 (SeIncreaseBase | 允许对另一进程具有“写属性”权限的进程增加其它进程的执行优先级。 | 默认: 建议: | 默认: 建议: | 默认: 建议 | 默认: 建议: |
| 装载和卸载 (SeLoadDriver | 允许用户安装和卸载即插即用设备驱动程序。此特权不适用非即插即用的设备驱动程序;仅 Administrators 可以安装这些设备驱动程序。注意,设备驱动程序作为受信任(有高度特权的)的进程运行;用户可以通过安装恶意程序,使它们对资源进行破坏性访问,而滥用此特权。 | 默认: 建议: | 默认: 建议: | 默认: 建议 | 默认: 建议: |
| 内存中锁定页 (SeLockMemory | 允许进程将数据保存在物理内存中,这样,便防止了系统将数据分页存储到磁盘的虚拟内存上。指派此特权可能会使系统性能严重降低。 | 默认: 建议: | 默认: 建议: | 默认: 建议: | 默认: 建议: |
| 管理审核 (SeSecurity | 允许用户指定文件、Active Directory 对象和注册表项等各个资源的对象访问审核选项。实际上,只有在“审核策略”中启用了对象访问审核后,才能执行对象访问审核。具有此特权的用户还可以从事件查看器查看和清除安全日志。 | 默认: 建议: | 默认: 建议: | 默认: 建议 | 默认: 建议: |
| 修改固件 (SeSystem | 允许进程通过 API 或用户通过“系统属性”小程序修改系统环境变量。 | 默认: 建议: | 默认: 建议: | 默认: 建议更改: | 默认: 建议: |
| 配置单一 (SeProfile | 允许用户运行 Microsoft Windows NT 和 Windows 2000 性能监视工具监视非系统进程的性能。 | 默认: 建议: | 默认: 建议: | 默认: 建议: | 默认: 建议: |
| 配置系统 (SeSystemProfile | 允许用户运行 Microsoft Windows NT 和 Windows 2000 性能监视工具监视系统进程的性能。 | 默认: 建议: | 默认: 建议: | 默认: 建议 | 默认: 建议: |
| 从插接 (SeUndock | 允许便携式计算机的用户通过单击“开始”菜单上的“弹出 PC”解除对计算机的锁定。 | 默认: 建议: | 默认: 建议: | 默认: 建议: | 默认: 建议: |
| 替换进程级记号 (SeAssignPrimaryToken | 允许父进程替换与子进程相关联的访问令牌。 | 默认: 建议: | 默认: 建议: | 默认: 建议: | 默认: 建议: |
| 还原文件和 (SeRestore | 允许用户在还原已备份文件和目录时绕过文件和目录权限,并将任何有效的安全主体设置为某一对象的所有者。 | 默认: 建议: | 默认: 建议: | 默认: 建议: | 默认: |
| 关闭 (SeShutdown | 允许用户关闭本地计算机。 | 默认: 建议 | 默认: 建议 | 默认:(未定义) 建议: | 默认: 建议: |
| 同步 (SeSyncAgent | 允许服务提供目录同步服务。此特权仅在域控制器上适用。 域控制器要使用 LDAP 目录同步服务,必须要有此特权。它使拥有者可以读取目录中的所有对象和属性,无论这些对象和属性是否受到保护。默认情况下,它被指派给域控制器上的 Administrator 和 LocalSystem 帐户 | 默认: 建议: | 默认: | 默认: 建议: | 默认: 建议: |
| 取得 (SeTakeOwnership | 允许用户取得系统中任何安全对象的所有权,包括 Active Directory 对象、文件和文件夹、打印机、注册表项、进程和线程。 | 默认:
建议: | 默认: 建议: | 默认: 建议更改: | 默认: 建议: |
| 从终端设备 (SeUnsolicited | 要从终端设备读取未经请求的输入,需要此权限。此特权已过时,已不被使用。其在系统上无效。 | 默认: 建议: | 默认: 建议: | 默认: 建议: | 默认: 建议: |
扫一扫
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
