某企业部署AD DS域服务,客户端计算机运行Windows操作系统,大部分用户使用Internet Explorer浏览器访问互联网(开放式访问),经常被网页病毒和***搞得心力憔悴,尤其是浏览器方面的问题更是让ITPro叫苦不迭。如果搬掉这座 “拦路虎”,称为ITPro的棘手难题。
基本安全性保护措施
网络环境
·服务器端使用Windows Server 2012操作系统。
·部署AD DS域服务
·客户端使用Windows XP操作系统并升级到SP3
·客户端计算机以域用户身份登录
·域用户添加到“Power Users”中。
·允许域用户在本地计算机中安装软件
·浏览器版本为Internet Explorer 8.0
域中采取的措施
针对以上需求,采取以下安全措施
·部署补丁更新系统(例如WSUS或者其他方式),并及时更新补丁。
·网络中的客户端计算机统一安装“安全卫士”之类的安全软件,但是部分计算机配置较低。
·网络中统一部署防病毒软件,并及时更新病毒库。
·客户端计算机打开Windows防火墙,Windows XP操作系统更新到SP3之后默认已经打开防火墙。如果防火墙没有开启,可以通过组策略统一部署强制打开防火墙。
保护浏览器
本例中域用户添加到“Power Users”组,该组中用户具备较高权限,因此通过Internet Explorer浏览器访问Internet时,由于权限继承关系Internet Explorer浏览器具备较高权限。
安全级别
Windows XP以上版本操作系统中提供5个系统安全级别:不允许的、不信任的、受限的、基本用户以及不受限的。各个安全级别简单说明如下。
·不允许的。无论用户的访问权限如何,软件都不会运行,无条件地阻止程序执行和文件打开操作。
·不信任的。允许程序访问已授权的资源,不允许访问管理员、“Power User”特权以及个人授权的特殊权限资源。表现形式是程序无法运行。
·受限的。无论用户的访问权限如何,软件都无法访问某些资源,例如加密密钥和凭据。比“基本用户”限制更多,仅享有“跳过遍历检查”的特权。
·基本用户。允许程序访问一般用户可以访问的资源,但没有管理员、“PowerUser”的访问权限,具备“跳过遍历检查”的特权。
·不受限的。软件访问权由用户的访问权来决定。最高权限,并不是完全不受限制,而是由父进程权限决定受限制的程度。
安全级别的访问权限由高到低依次为不受限的—基本用户—受限的—不信任的—不允许的。
权限分析
1.管理员身份打开IE浏览器安全性
当用户以管理员身份登录并打开Internet Explorer浏览器时,默认开启以下5项特权。
·SeChangeNotifyPrivilege(跳过遍历检查)。
·SeCreateGlobalPrivilege(创建全局对象)。
·SeImpersonatePrivilege(身份验证后模拟客户端)
·SeLoadDriversPrivilege(装载或卸载设备驱动程序)。
·SeUndockPrivilege(从插接工作站中取出计算机)
通 过“Process Explorer”工具可以查看Internet Explorer浏览器默认启用的特权。因此,以管理员方式打开的Internet Explorer浏览器,通过地址栏打开Windows系统文件夹和“Program files”文件夹具备“只读”权限,“Document and Setting”文件夹中对当前用户具备“完全控制”的权限,其他目录具备“拒绝”访问的权限。对系统注册表除“HKCU”之外仅具备“读取”权限。
当 以“基本用户”身份打开Internet Explorer浏览器时,默认开启“SeChangeNotifyPrivilege(跳过遍历检查)”一项特权。通过“Process Explorer”工具可以查看Internet Explorer浏览器默认启用的特权。该特权仅在浏览文件夹时起作用。
继承权限
1.继承权限
Windows 系统默认开启“权限继承”功能,如果以管理员身份打开“iexplore.exe(Internet Explorer浏览器主程序)”,通过“iexplore.exe”在地址栏中打开其他应用程序(例如“cmd.exe”),打开的程序将以管理员身份 运行。打开命令行窗口后运行“net.exe”命令,能够完成创建用户、删除用户以及更改密码等操作。“iexplore.exe”成为 “cmd.exe”的父进程,“cmd.exe”是“net.exe”的父进程,“net.exe”继承“cmd.exe”的权限,“cmd.exe”继 承“iexplore.exe”的权限,由于在应用程序没有部署限制策略的情况下,IE浏览器以管理员身份运行,因此“cmd.exe”、 “net.exe”都以管理身份运行。
权限继承模式:iexplore.exe(管理员)——cmd.exe(管理员)——net.exe(管理员)
2.最小权限原则
如果将“cmd.exe”的安全级别设置为“基本用户”,“iexplore.exe”以管理员身份运行并打开“cmd.exe”应用程序,运行“net.exe”程序执行删除用户操作,将提示“发生系统错误 5,拒绝访问”信息
权限继承模式:iexplore.exe(管理员)—cmd.exe(基本用户)—net.exe(基本用户),最后执行程序最终权限取决于父进程权限和当前进程权限中的最低权限,即最小权限原则。
3.保护模式
如 果IE浏览器以“基本用户”方式运行,通过IE浏览器执行应用程序的最高权限将不高于“基本用户”所属的安全级别,即使病毒或者***下载到本地计算机中, 由于权限限制,也无法对Windows系统文件夹、Program File文件夹以及注册表位置进行更改,从而达到保护客户端计算机的目的。
设置安全级别
1.查看安全级别
Windows XP操作系统安装完成后,当前用户默认安全级别是“不允许的”和“不受限的”。通过“sunas /showtrustlevels”命令,可以查看计算机的安全级别。
2.手动启用所有安全级别
启 用其他安全级别,可以通过修改注册表方式完成。打开注册表编辑器“regedit”,在“HKEY_LOCAL_MACHINE\SOFTWARE \Policies\Microsoft\Windows\Safer\CodeIdentifiers”下新建类型为“DWWORD”的 “Levels”键,键值为0x31000,即可打开所有安全级别:
安全级别在注册表中的键值所示。默认安全级别 “DefaultLevel”键值为“0x400000”,对应的安全级别为“不允许的”和“不受限的”。安全级别“Levels”键值为 “0x31000”,计算模型为0x01000+0x10000+0x2000,即启用“不信任的”、“受限的”以及“基本用户”安全级别。当前操作系统 所有安全级别为Levels+DefaultLevel两者之和,即0x31000+0x40000=0x71000.
安全级别列表
| 键值名称(英文) | 键值名称(中文) | 键值 |
| SAFER_LEVELID_DISALLOWED | 不允许的 | 0x00000 |
| SAFER_LEVELID_UNTRUSTED | 不信任的 | 0x01000 |
| SAFER_LEVELID_CONSTRAINED | 受限的 | 0x10000 |
| SAFER_LEVELID_NORMALUSER | 基本用户 | 0x20000 |
| SAFER_LEVELID_FULLYTRUSTED | 不受限的 | 0x40000 |
关闭注册表编辑器后,通过“Runas /showtrustlevels”查看用户已经启用的安全级别
3.脚本启用安全级别
将下列内容保存为“sec.reg”注册表文件。双击该注册表文件,根据提示信息确认即可导入到注册表中。脚本内容:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers]
“Levels”=dword:00031000
将上述注册表文件保存到网络中文件服务器共享文件夹中,新建批处理文件(sec.bat),内容如下。执行该批处理文件同样可以完成注册表设置功能。
Regedit -s \\192.168.0.1\software\sec.reg
部署用户策略限制
以域管理员身份登录域控制器,使用GPMC打开组策略管理控制台,新建名称为“浏览器安全策略”组策略对象,部署计算机启动脚本策略和浏览器限制策略。
1.计算机启动策略
编辑“浏览器安全策略”对象,打开“组策略管理编辑器”,选择“计算机配置”-“策略”-“Windows设置”-“脚本”选项。
右 侧窗格中选择“启动”选项,打开“启动 属性”对话框,单击“添加”按钮,选择脚本“sec.bat”,注意脚本位于“Sysvol”共享文件夹(\\book.com\SysVol \book.com\Policies\{3553201C-7B18-413B-AAB5-5BCB637E9ABC}\Machine \Scripts\Startup)中。完成策略部署。策略生效后,组织单位中所有计算机中将自动创建“Level”注册表,目标计算机中打开所有安全级 别。
2.浏览器限制策略
打开“组策略管理编辑器”,选择“计算机配置”-“策略”-“Windows设置”-“软件闲置策略”-“其他规则”选项,右侧窗格中单击鼠标右键,在弹出的快捷菜单中选择“新建路径规则”选项。
命令执行后,打开“新建路径规则”对话框。在路径文本框中键入Internet Explorer浏览器完整名称“IPXPLORE.EXE”,“安全级别”设置为“基本用户”。单击“确定”按钮,完成Internet Explorer浏览器的降权设置。
同样的方法降低网络中其他浏览器的安全级别。
注意:
软 件限制策略编写方式。应用程序“ieplore.exe”匹配操作系统所有名称为“iexplore.exe”应用程序,应用程序改名后策略将不再生效。 应用程序路径为“C:\Program Files\Internet Explorer\iexplore.exe”,仅对“C:\Program files\Internet Explorer”路径下的“iexploreexe”程序生效,其他目录中的“iexplore.exe”不受策略影响。含有绝对路径的策略优先级高于 以“iexplore.exe”方式部署的策略。
保护IE存储区域
网页存储访问保护机制
网页存储
浏览网页时页面中的所有内容,首先保存到IE临时文件夹中,然后从临时文件夹中加载需要打开的
网页。网页内容(无论安全与否)默认存储在系统指定位置,网页病毒或者***通过此方式下载到本地计算机后,如果具备较高的权限(administrators组、Power Users组),病毒或者***将在客户端计算机安装运行。
2.网页保护模式
通过软件限制策略,对浏览器临时存储目录设置“不允许的”权限,目标文件夹的病毒或者***因为权限不足不能执行,从而达到保护浏览器的目的。
Windows XP系统中浏览器临时文件默认存储位置包括两部分。
·%USERPROFILE%\Local Settings\Temorary Internet Files
·%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5\
后者是通过浏览器下载的应用程序执行目录,对上述文件夹部署软件限制策略,限制两个文件夹中应用程序的运行。
限制存储区域中应用程序运行
打开“组策略控制台”,创建“新路径规则”策略,在“路径”文本框中键入需要禁止的目标文件夹,在“安全级别”列表中选择“不允许的”,即不允许该文件夹中的应用程序执行。单击“确定”按钮,创建该策略。
根据需要创建其他策略。
策略生效后,客户端计算机使用Internet Explorer浏览器下载并执行应用程序后,将显示错误程序。
最佳实践
当前案例中的客户端计算机以域用户身份登录网络,域用户添加到“Power Users”组中,建议域用户不要添加到该组中,添加到本地“Users”组中即可。“Users”组中的用户对Windows系统文件夹、Program Files文件夹以及注册表非HKCU项具备“读取”的权限,“Documents and Settings”文件夹中非当前用户目录不能访问。因此当访问Internet时,即使有网页病毒或者***通过Internet Explorer浏览器下载到客户端计算机中,因为权限的原因也不能将病毒或者***主体文件写入到系统文件夹中,不能修改关键注册表值,在辅助“安全卫士”等其他安全性产品,将有效地防止网页病毒和***。
以“Users”组身份的域用户登录计算机,打开使用Internet Explorer浏览器时,仍然具备“SeChangeNotifyPrivilege(跳过遍历检查)”、“SeCreateGlobalPrivilege(创建全局对象)”以及“SeUndockPrivilege(从插接工作站取出计算机)”特权,通过“Process Explorer”工具查看IE浏览器安全性。因此建议通过“保护Internet Explorer浏览器”方式对Internet Explorer浏览器使用降权以及及时清除IE浏览器临时文件。
案例中的域用户具备安装软件的能力,客户端计算机需要安全软件时,建议通过组策略控制台通过“软件安装”策略统一部署软件,尽量降低域用户独立安装软件的权限。
通过以上设置,即使将域用户添加到“Power Users”组中,域用户也可以畅游互联网,无须担心网页病毒和***,同时良好的使用习惯也是保证计算机安全的重要措施。
转载于:https://blog.51cto.com/rainy0426/1789239
扫一扫
1817
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
