1、Windows XP 安全指南第 3 章:Windows XP 客户端安全设置更新日期: 2006年07月17日本页内容概述帐户策略设置本地策略设置审核策略设置用户权限分配设置安全选项设置事件日志安全设置受限制的组系统服务其他注册表设置如何修改安全配置编辑器用户界面其他安全设置保护文件系统总结概述本章中详细介绍通过 Microsoft Windows 2000 或 Windows Server 2003 Active Directory 目录服务域中组策略配置主要安全设置。实施规定的策略设置可以确保安全地配置组织中运行带有 Service Pack 2 (SP2) 的 Microsoft WindowsXP Professional 的桌面计算机和便携式计算机。本章并不为 Windows XP 中所有可用的策略设置提供指导,而只为与计算机安全直接相关的策略设置提供指导。按照第 1 章“Windows XP 安全指南简介”所述,本章提供的指导特定于本指南中定义的企业客户端 (EC) 环境和专用安全 限制功能 (SSLF) 环境。在某些情况下,本章建议对于便携式计算机和桌面计算机使用不同的
2、策略设置,因为便携式计算机是移动的,并不始终通过组织网络连接到环境中的域控制器。本章还假定便携式计算机用户通常在不提供现场技术支持的不同时间工作。因此,对于便携式客户端计算机来说,需要连接到域控制器或者控制登录时间的策略设置会有所不同。如第 2 章“配置 Active Directory 域基础结构”所述,域级别有时定义了没有为特定环境指定的策略设置。本章的某些其他策略设置是作为“没有定义”列出的,这是因为对于该特定环境,默认值足以确保安全。并且,这些组策略对象 (GPO) 中的未定义策略设置便于部署安装期间需要修改设置的应用程序。例如,企业管理工具可能需要向托管计算机上的本地服务帐户分配特定用户权限。本章中的指导仅仅是一些建议,您应该在对环境做任何更改之前始终认真考虑自己的业务需求。下表定义本指导中提供的基础结构 (.inf) 文件。这些文件包含本章中论述的两种环境的基准安全设置建议。表 3.1 基准安全模板描述ECSSLF桌面计算机的基准安全模板EC-Desktop.infSSLF-Desktop.inf便携式计算机的基准安全模板EC-Laptop.infSSLF-Laptop.i
3、nf有关本章中论述的策略设置的详细信息,请参阅附加指南威胁和安全:Windows Server 2003 和 Windows XP 的安全设置,该指南可从 http:/ 下载。返回页首帐户策略设置本章不提供帐户策略设置信息。这些设置会在本指南的第 2 章“配置 Active Directory 域基础结构”中进行论述。返回页首本地策略设置本地策略设置可以通过本地安全策略控制台或基于 ActiveDirectory 域的 GPO 在运行 Windows XP Professional 的任何计算机上进行配置。本地策略设置包括“审核策略”、“用户权利指派”和“安全选项”。返回页首审核策略设置审核策略确定要向管理员报告的安全事件,以便记录具有指定事件类别的用户或系统活动。管理员可以监视与安全有关的活动,如谁访问某个对象、用户何时登录或注销计算机、是否对审核策略设置进行过更改。基于所有这些原因,Microsoft 建议您为管理员创建一个可在您的环境中实施的审核策略。但是,实施审核策略之前,您必须确定在您的环境中需要审核哪些事件类别。审核策略由您在事件类别中选择的审核设置来定义。当您为特定事件类
4、别定义审核设置时,管理员可以根据组织的安全需求创建审核策略。如果未配置任何审核设置,将很难或者不可能确定在遇到安全事件时所发生的情况。不过,如果由于配置了审核设置而导致出现太多的授权活动生成事件,则安全事件日志将被无用的数据填满。以下部分中的信息旨在帮助您确定要监视的内容以及如何为组织收集相关审核数据。您可以使用组策略对象编辑器在以下位置配置 Windows XP 的审核策略设置:计算机配置Windows 设置安全设置本地策略审核策略下表针对本章中论述的两种安全环境汇总了桌面和便携式客户端计算机的审核策略设置建议。企业客户端环境被称为 EC,专用安全 限制功能环境被称为 SSLF。您应该检查这些建议并根据组织的需要进行调整。但是,对于可能生成大量通信的审核设置应该慎重考虑。例如,如果对“审核特权使用”启用成功或失败审核,则将生成过多的审核事件,从而无法查找安全事件日志中其他类型的条目。这种配置也可能对性能产生重大影响。下列小节提供了每个设置的详细信息。表 3.2 审核策略设置建议设置EC 桌面计算机EC 便携式计算机SSLF 桌面计算机SSLF 便携式计算机审核帐户登录事件成功成功成功
5、、失败成功、失败审核帐户管理成功成功成功、失败成功、失败审核目录服务访问没有定义没有定义没有定义没有定义审核登录事件成功成功成功、失败成功、失败审核对象访问无审核无审核失败失败审核策略更改成功成功成功成功审核特权使用无审核无审核失败失败审核过程追踪无审核无审核无审核无审核审核系统事件成功成功成功成功审核帐户登录事件如果启用此策略设置,则生成用于凭据验证的事件。这些事件是在对于凭据具有权威性的计算机上发生的。对于域帐户,域控制器具有权威性;而对于本地帐户,本地计算机具有权威性。在域环境中,大多数帐户登录事件在对于域帐户具有权威性的域控制器的安全日志中发生。然而,这些事件也可能在组织的其他计算机上发生,具体取决于用于登录的帐户。在本指导中,“审核帐户登录事件”设置仅针对 EC 环境配置为“成功”;而对于 SSLF 环境则配置为“成功”和“失败”。审核帐户管理此策略设置用于跟踪以下企图:新建用户或组、重命名用户或组、启用或禁用用户帐户、更改帐户密码、启用对帐户管理事件的审核。如果启用此审核策略设置,管理员可以跟踪事件,以检测恶意创建、意外创建和授权创建用户帐户和组帐户的情况。对于 EC 环境
6、,“审核帐户管理”设置配置为“成功”;对于 SSLF 环境则配置为“成功”和“失败”。审核目录服务访问启用此策略设置只是为了对域控制器执行审核任务。因此,未在工作站级别定义该设置。此策略设置不适用于运行 Windows XP Professional 的计算机。因此,对于本章中论述的两种环境,确保“审核目录服务访问”设置被配置为“没有定义”。审核登录事件此策略设置生成记录创建和销毁登录会话的事件。这些事件在所访问的计算机上发生。为进行交互式登录,将在所登录的计算机上生成这些事件。如果执行网络登录是为了访问共享,则将在宿主所访问资源的计算机上生成这些事件。如果将“审核登录事件”设置配置为“无审核”,则很难或无法确定哪些用户访问或尝试访问了组织中的计算机。对于 EC 环境,请将“审核登录事件”设置配置为记录“成功”事件。对于 SSLF 环境,请将此策略设置配置为“成功”和“失败”事件。审核对象访问就其自身而言,本策略设置不会导致任何事件被审核。它确定是否审核某个用户对于具有指定的系统访问控制列表 (SACL) 的对象的访问,这些对象可以是文件、文件夹、注册表项或打印机。SACL 由访问控制
7、项 (ACE) 组成。每个 ACE 包含三部分信息: 审核的安全主体(用户、计算机或组)。 要审核的特定访问类型,称作访问掩码。 一个标记,表示是审核失败的访问事件,还是审核成功的访问事件或两者全部都进行审核。如果将“审核对象访问”设置配置为“成功”,则每当用户成功访问具有指定 SACL 的对象时均会生成一个审核项目。如果将此策略设置配置为“失败”,则每当用户尝试访问具有指定 SACL 的对象失败时均会生成一个审核项目。组织应该仅定义它们配置 SACL 时想要启用的操作。例如,可能需要在可执行文件上启用“写入和添加数据审核”设置以跟踪那些文件的更改或替换操作,因为计算机病毒、蠕虫和特洛伊木马通常会以可执行文件为目标。同样,可能需要跟踪访问或更改敏感文档的时间。对于 EC 环境,将“审核对象访问”设置配置为“无审核”;对于 SSLF 环境则配置为“失败”。启用此设置之后,下列过程才会生效。下列过程详述如何对文件或文件夹手动设置审核规则,以及如何针对指定文件或文件夹中的每个对象测试每个审核规则。测试过程可以通过脚本文件自动执行。为文件或文件夹定义审核规则1. 使用 Windows 资源管理
8、器定位该文件或文件夹,然后选择它。2. 单击“文件”菜单并选择“属性”。3. 单击“安全”选项卡,然后单击“高级”按钮。4. 单击“审核”选项卡。5. 单击“添加”按钮,随后将出现“选择用户、计算机或组”对话框。6. 单击“对象类型.”按钮,在“对象类型”对话框中选择要查找对象类型。注意:“用户”、“组”和“内置安全性原则”对象类型会默认选中。7. 单击“位置.”按钮,在“位置”对话框中选择域或本地计算机。8. 在“选择用户或组”对话框中,键入要审核的组或用户的名称。然后在“输入要选择的对象名称”对话框中,键入Authenticated Users(审核所有经过身份验证的用户的访问),然后单击“确定”。此时将显示“审核项目”对话框。9. 使用“审核项目”对话框确定要针对文件或文件夹进行审核的访问类型。注意:记住,每次访问都会在事件日志中生成多个事件,这会导致日志迅速变大。10. 在“审核项目”对话框中,选择“列出文件夹/读取数据”旁边的“成功”和“失败”,然后单击“确定”。11. 已启用的审核项目将出现在“高级安全设置”对话框的“审核”选项卡下面。12. 单击“确定”关闭“属性”对话框
9、。测试文件或文件夹的审核规则1. 打开该文件或文件夹。2. 关闭该文件或文件夹。3. 启动事件查看器。安全事件日志中将出现几个事件 ID 为 560 的对象访问事件。4. 根据需要双击这些事件,查看其详细信息。审核策略更改此策略设置确定是否审核对权限分配策略、Windows 防火墙策略、信任策略进行更改或者对审核策略本身进行更改的每个事件。您可以通过推荐的设置查看攻击者试图提升的任何帐户特权,例如添加“调试程序”特权或“备份文件和目录”特权。对于本章中论述的两种环境,“审核策略更改”设置均配置为“成功”。如果包括“失败”这一设置值,将不会在安全事件日志中提供有意义的访问信息。审核特权使用此策略设置确定是否对用户行使用户权限的每个实例进行审核。如果将此值配置为“成功”,则每当成功行使用户权限时均会生成一个审核项目。如果将此值配置为“失败”,则每当行使用户权限成功时均会生成一个审核项目。此策略设置可生成非常多的事件记录。对于 EC 环境中的计算机,“审核特权使用”设置被配置为“无审核”,而对于 SSLF 环境则配置为“失败”以审核所有使用特权的不成功尝试。审核过程追踪此策略设置确定是否审核事件的详细跟踪信息,如程序激活、进程退出、句柄复制和间接对象访问等。启用“审核过程追踪”将生成大量事件,因此通常将它设置为“无审核”。但是,在事件响应期间,即过程详细日志开始记
《第 3 章:Windows XP 客户端》由会员汽***分享,可在线阅读,更多相关《第 3 章:Windows XP 客户端》请在金锄头文库上搜索。