1.用户权限允许用户在计算机上或域中执行任务。用户权限包括“登录权限”和“特权”。登录权限控制为谁授予登录计算机的权限以及他们的登录方式。特权控制计算机和域资源的访问,并且可以覆盖特定对象上设置的权限。
2.登录权限的一个示例是在本地登录计算机的能力。特权的一个示例是关闭计算机的能力。这两种用户权限都由管理员作为计算机安全设置的一部分分配给单个用户或组。
用户权限分配设置
用户权限分配设置
您可以在组策略对象编辑器的以下位置配置用户权限分配设置:
计算机配置\Windows 设置\安全设置\本地策略\用户权限分配
从网络访问此计算机
此策略设置确定用户是否可以从网络连接到计算机。许多网络协议均需要此功能,包括基于服务器消息块 (SMB) 的协议、NetBIOS、通用 Internet 文件系统 (CIFS) 和组件对象模型 (COM+)。
1.“从网络访问此计算机”设置的可能值为:?
用户定义的帐户列表
没有定义
漏洞:用户只要可以从其计算机连接到网络,即可访问目标计算机上他们具有权限的资源。例如,用户需要“从网络访问此计算机”用户权限以连接到共享打印机和文件夹。如果将此用户权限分配给 Everyone 组,并且某些共享文件夹配置了共享和 NTFS 文件系统 (NTFS) 权限,以便相同组具有读取访问权限,那么组中的任何用户均能够查看那些共享文件夹中的文件。但是,此情况与带有 Service Pack 1 (SP1) 的 Microsoft Windows Server? 2003 的全新安装不同,因为 Windows Server 2003 中的默认共享和 NTFS 权限不包括 Everyone 组。对于从 Windows NT? 4.0 或 Windows 2000 升级的计算机,此漏洞可能具有较高级别的风险,因为这些操作系统的默认权限不如 Windows Server 2003 中的默认权限那样严格。
对策:将“从网络访问此计算机”用户权限仅授予需要访问服务器的那些用户。例如,如果将此策略设置配置为 Administrators 和 Users 组,倘若本地 Users 组中包括 Domain Users 组中的成员,登录到域的用户将能够从域中的服务器访问共享资源。
潜在影响:如果在域控制器上删除所有用户“从网络访问此计算机”的用户权限,则任何人都不能登录到域或使用网络资源。如果在成员服务器上删除此用户权限,用户将无法通过网络连接到这些服务器。如果已安装可选组件,如 ASP.NET 或 Internet 信息服务 (IIS),可能需要将此用户权限分配给那些组件所需的其他帐户。验证是否为其计算机需要访问网络的授权用户分配了此用户权限,这一点很重要。
以操作系统方式操作
此策略设置确定进程是否可采用任何用户的标识,从而获得用户被授权访问的资源的访问权限。通常,只有低级别的身份验证服务需要此用户权限。请注意,在默认情况下,潜在访问不局限于与该用户相关的范围。调用进程可能请求将任意其他特权添加到访问令牌中。调用进程还可能生成不提供用于在系统事件日志中审核的主标识的访问令牌。
2.“以操作系统方式操作”设置的可能值为:?
用户定义的帐户列表
没有定义
漏洞:“以操作系统方式操作”用户权限的功能非常强大。任何具有此用户权限的人员都可以完全控制计算机并清除其活动的证据。
对策:将“以操作系统方式操作”用户权限授予尽可能少的帐户,在一些典型情况下甚至不应将其分配给 Administrators 组。当某个服务需要此用户权限时,请将此服务配置为使用本地系统帐户登录,该帐户本身具有此特权。不要单独创建一个帐户,然后将此用户权限分配给它。
潜在影响:应该没有或几
最低0.47元/天 解锁文章
4871
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
