Windows2003安全指南之創(chuàng)建成員服務(wù)器基線(doc 49頁).doc

Windows2003安全指南之創(chuàng)建成員服務(wù)器基線/server/38769.html概述 本章描述了針對所有運(yùn)行Microsoft Server 2003的管理基線模板所需的配置需求。此外，本章還將提供在三種企業(yè)級運(yùn)行環(huán)境中建立并配置可靠的Server 2003系統(tǒng)所需的管理指導(dǎo)。本章所包含的配置需求為本指南后續(xù)章節(jié)中所有其它應(yīng)用特定角色的復(fù)雜處理過程提供了基準(zhǔn)。 本章提供的建議設(shè)置方案為企業(yè)級運(yùn)行環(huán)境中的商務(wù)應(yīng)用服務(wù)器構(gòu)建了一種堅(jiān)實(shí)基礎(chǔ)。然而，如需在生產(chǎn)環(huán)境中實(shí)施這些安全配置，您必須首先就其與自身組織機(jī)構(gòu)的商務(wù)應(yīng)用共存情況進(jìn)行全面。本章提供的建議設(shè)置方案適用于絕大多數(shù)企業(yè)，并且可以在運(yùn)行Windows Server 2003的現(xiàn)有系統(tǒng)或新增系統(tǒng)上加以部署。這些建議設(shè)置方案已針對Windows Server 2003中的缺省安全配置方案進(jìn)行了必要的研究、審核與。如需獲取所有缺省設(shè)置信息以及本章所討論之設(shè)置的詳細(xì)解釋內(nèi)容，請查看參考指南威脅與對策：Windows Server 2003與Windows XP中的安全設(shè)置，該書可通過網(wǎng)址獲得。盡管如此，我們還是建議您在高于缺省設(shè)置的安全級別上部署絕大多數(shù)建議配置方案。本章所討論的針對企業(yè)級運(yùn)行環(huán)境中所有Windows Server 2003系統(tǒng)的基準(zhǔn)安全設(shè)置均與以下所定義的三種運(yùn)行環(huán)境相關(guān)聯(lián)。這三種環(huán)境分別是： 舊有客戶機(jī)提供不會(huì)束縛混合狀態(tài)運(yùn)行環(huán)境的足夠安全性。這種舊有客戶機(jī)級別專門面向于使用舊有客戶機(jī)的運(yùn)行環(huán)境。這種運(yùn)行環(huán)境處于本指南所定義的最低鎖定級別。為進(jìn)一步確保運(yùn)行環(huán)境安全性，組織機(jī)構(gòu)可以選擇移植到下一個(gè)鎖定級別即企業(yè)客戶機(jī)級別，或者，如果無需確保舊有客戶機(jī)安全性，則應(yīng)直接從企業(yè)客戶機(jī)級別開始。這種商務(wù)運(yùn)行環(huán)境包括運(yùn)行Microsoft Windows 98、Microsoft Windows NT 4.0 Workstation、Windows 2000 Professional和Windows XP Professional的工作站系統(tǒng)，并且只包含Windows 2000或更高版本的域控制器。這種運(yùn)行環(huán)境中無法使用Windows NT 4.0域控制器，但卻可以存在Windows NT成員服務(wù)器。 企業(yè)客戶機(jī)提供專為新型系統(tǒng)運(yùn)行環(huán)境而設(shè)計(jì)的牢固安全性。這種商務(wù)運(yùn)行環(huán)境包含運(yùn)行Windows 2000 Professional和Windows XP Professional的客戶端。從舊版運(yùn)行環(huán)境移植到企業(yè)級運(yùn)行環(huán)境所需完成的工作主要是對舊有客戶機(jī)進(jìn)行升級，例如將Windows 98和Windows NT 4.0 Workstation升級為Windows 2000或Windows XP。這種運(yùn)行環(huán)境中的所有域控制器均為Windows 2000 Server或更高版本產(chǎn)品。同時(shí)，這種運(yùn)行環(huán)境中的成員服務(wù)器也必須使用Windows 2000 Server或更高版本操作系統(tǒng)。 高安全性 提供在企業(yè)客戶機(jī)級別基礎(chǔ)上進(jìn)一步增強(qiáng)的安全性標(biāo)準(zhǔn)。從企業(yè)級運(yùn)行環(huán)境移植到高安全性運(yùn)行環(huán)境需要確?？蛻舳思胺?wù)器均能符合嚴(yán)格的安全策略。這種運(yùn)行環(huán)境包含運(yùn)行Windows 2000 Professional和Windows XP Professional操作系統(tǒng)的客戶端，以及運(yùn)行Windows 2000 Server或更高版本操作系統(tǒng)的域控制器。在高安全性運(yùn)行環(huán)境中，對安全性的關(guān)注首當(dāng)其沖，以至于為實(shí)現(xiàn)高安全性，可以將損失顯著功能性與易管理性作為。這種運(yùn)行環(huán)境中的成員服務(wù)器必須使用Windows 2000 Server或更高版本操作系統(tǒng)。 以下插圖顯示了這三種安全性層次以及每種層次所支持的客戶端類型。 圖 3.1 現(xiàn)有及規(guī)劃鎖定級別 那些希望采取階段性方式確保運(yùn)行環(huán)境安全性的組織機(jī)構(gòu)可以選擇從舊有客戶機(jī)運(yùn)行環(huán)境開始，并伴隨應(yīng)用程序與客戶端計(jì)算機(jī)陸續(xù)升級且通過嚴(yán)格安全設(shè)置測試，逐步向更高安全性級別進(jìn)行移植。以下插圖顯示了如何將.inf文件安全模板作為企業(yè)客戶機(jī)成員服務(wù)器基線策略（MSBP）的基礎(chǔ)使用。此外，這張插圖還顯示了針對組織機(jī)構(gòu)中所有服務(wù)器應(yīng)用成員服務(wù)器基線策略的一種可能連接方式。Windows Server 2003本身具備一套能夠?qū)崿F(xiàn)安全可靠狀態(tài)的缺省設(shè)置。在許多實(shí)例中，本章內(nèi)容指定了缺省設(shè)置以外的其它設(shè)置，并且針對本指南中定義的三種運(yùn)行環(huán)境加強(qiáng)了缺省設(shè)置方式。如需獲取有關(guān)所有缺省設(shè)置的信息，請查看參考指南威脅與對策：Windows Server 2003與Windows XP中的安全設(shè)置，該書可通過網(wǎng)址獲得。圖 3.2 用以連接成員服務(wù)器組織單元（OU）的安全模板Enterprise Client Member Server Baseline.inf已被導(dǎo)入至MSBP當(dāng)中。 針對特定服務(wù)器角色的強(qiáng)化處理過程將在本指南其余章節(jié)中予以定義。本指南所涉及的主要服務(wù)器角色包括： 包含域名系統(tǒng)（DNS）服務(wù)的域控制器。 包括以下功能特性的基礎(chǔ)架構(gòu)服務(wù)器角色： o Windows Internet名稱服務(wù)（WINS） o 動(dòng)態(tài)主機(jī)配置（DHCP） 文件 打印 Internet Information Services（IIS） Microsoft Internet Authentication Server（IAS） 認(rèn)證服務(wù)服務(wù)器（CA） 堡壘主機(jī) 出現(xiàn)在企業(yè)客戶機(jī)MSBP中的許多設(shè)置也將應(yīng)用于本指南定義的這三種運(yùn)行環(huán)境中所涉及的服務(wù)器角色。安全模板是專為滿足每一種特定運(yùn)行環(huán)境安全需求而設(shè)計(jì)的。以下表格顯示了基準(zhǔn)安全模板與三中運(yùn)行環(huán)境之間的相互關(guān)系。如需在舊有客戶機(jī)、企業(yè)客戶機(jī)或高安全性級別中調(diào)出具體細(xì)節(jié)，與建議基線策略相關(guān)聯(lián)的安全模板將提供用以辨別正確模板的級別標(biāo)識。舉例來說，Enterprise Client Member Server Baseline.inf文件是針對企業(yè)客戶機(jī)運(yùn)行環(huán)境的建議安全模板。表格 3.1： 針對三種運(yùn)行環(huán)境的基準(zhǔn)安全模板 舊有客戶機(jī)企業(yè)客戶機(jī)高安全性Legacy Client Member Server Baseline.infEnterprise Client Member Server Baseline.infHigh Security Member Server Baseline.inf以下Windows Server 2003基線策略部分描述了Member Server Baseline.inf安全模板中適用于所有運(yùn)行環(huán)境的安全設(shè)置。這些基準(zhǔn)安全模板同時(shí)還是第四章“強(qiáng)化域控制器”中所定義域控制器安全模板的出發(fā)點(diǎn)。Enterprise Client Domain Controllers Role.inf模板提供了針對域控制器組策略之組策略對象（GPO）的基準(zhǔn)，并且與所有三種運(yùn)行環(huán)境中的域控制器組織單元（OU）相連接。旨在幫助用戶創(chuàng)建OU和組策略以及向每個(gè)OU中導(dǎo)入適當(dāng)安全模板的逐步操作指導(dǎo)已在第2章“配置域的基礎(chǔ)架構(gòu)”中進(jìn)行了詳細(xì)介紹。說明：某些強(qiáng)化處理過程無法通過組策略自動(dòng)完成；這些處理過程將在本章稍后的附加成員服務(wù)器強(qiáng)化處理過程部分中加以描述。Windows Server 2003基線策略 成員服務(wù)器OU級別上的設(shè)置選項(xiàng)定義了面向域中所有成員服務(wù)器的通用設(shè)置。這是通過創(chuàng)建與成員服務(wù)器OU相連接的GPO稱作基線策略實(shí)現(xiàn)的。這種GPO將自動(dòng)完成每臺(tái)服務(wù)器上的特定安全設(shè)置配置工作。以下設(shè)置內(nèi)容將在其出現(xiàn)在安全配置編輯器（SCE）管理單元用戶界面（UI）中時(shí)予以描述。審核策略 管理員應(yīng)當(dāng)創(chuàng)建一種審核策略。這種審核策略用于確定需要報(bào)告至網(wǎng)絡(luò)管理員以便使特定事件類別中的用戶或系統(tǒng)活動(dòng)得到及時(shí)記錄的安全事件。當(dāng)用戶登錄到計(jì)算機(jī)、從計(jì)算機(jī)上注銷，或?qū)徍瞬呗栽O(shè)置進(jìn)行修改時(shí)，管理員可以對諸如特定對象訪問者之類的安全活動(dòng)加以監(jiān)控。在實(shí)現(xiàn)審核策略前，必須首先完成的一項(xiàng)工作便是確定需要在企業(yè)運(yùn)行環(huán)境中對哪些事件類別進(jìn)行審核。管理員針對事件類別所選擇的審核設(shè)置將用于定義企業(yè)審核策略。通過定義針對特定事件類別的審核設(shè)置，管理員可以創(chuàng)建出適合于組織機(jī)構(gòu)安全需求的審核策略。如果未對審核方式加以配置，管理員將很難甚至不可能確定在安全事故中發(fā)生了哪些事件。相反，如果審核方式過于繁瑣，以至于過多授權(quán)活動(dòng)都將生成事件，那么，安全事件日志將被大量無用數(shù)據(jù)填滿。因此，以下建議將幫助您做出對哪些事件進(jìn)行監(jiān)控的權(quán)衡決策。以下表格包含了針對本指南中所定義的三種運(yùn)行環(huán)境的審核策略設(shè)置建議?；蛟S您已經(jīng)注意到，在這三種運(yùn)行環(huán)境中，針對許多設(shè)置的取值都非常近似。以下取值可以在下列位置上的Windows Server 2003域組策略部分中加以配置：Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesAudit Policy如需獲取這部分中所描述設(shè)置選項(xiàng)的概要信息，請查看名為Windows Server 2003安全指導(dǎo)設(shè)置的Microsoft Excel電子表格。如需獲取缺省設(shè)置信息以及這部分所討論之設(shè)置的詳細(xì)解釋內(nèi)容，請查看參考指南威脅與對策：Windows Server 2003與Windows XP中的安全設(shè)置，該書可通過網(wǎng)址/fwlink/?LinkId=15159獲得。審核帳號登錄事件表格 3.2：設(shè)置成員服務(wù)器缺省取值舊有客戶機(jī)企業(yè)客戶機(jī)高安全性成功成功 失敗成功 失敗成功 失敗審核帳號登錄事件設(shè)置用于確定是否對每個(gè)用戶實(shí)例登錄或注銷另一臺(tái)需要驗(yàn)證帳號的計(jì)算機(jī)的活動(dòng)進(jìn)行審核。在域控制器上對域用戶帳號進(jìn)行身份驗(yàn)證時(shí)將產(chǎn)生一個(gè)帳號登錄事件。這個(gè)事件將被記錄到域控制器的安全日志中。在本地計(jì)算機(jī)上對本地用戶進(jìn)行身份驗(yàn)證時(shí)將產(chǎn)生一個(gè)登錄事件。這個(gè)事件將被記錄到本地安全日志中。對于帳號注銷事件，則沒有任何信息需要記錄。以下表格列出了這項(xiàng)設(shè)置在安全事件日志中所記錄的某些重要安全事件。表格 3.3：帳號登錄事件事件編號事件描述672身份驗(yàn)證服務(wù)（AS）票證得到成功發(fā)行與驗(yàn)證。673票證授權(quán)服務(wù)（TGS）票證得到授權(quán)。TGS是一份由Kerberos 5.0版票證授權(quán)服務(wù)（TGS）發(fā)行、且允許用戶針對域中特定服務(wù)進(jìn)行身份驗(yàn)證的票證。674安全主體重建AS票證或TGS票證。675預(yù)身份驗(yàn)證失敗。這種事件將在用戶輸入錯(cuò)誤密碼時(shí)由密鑰分發(fā)中心（KDC）生成。676身份驗(yàn)證票證請求失敗。這種事件在Windows XP Professional操作系統(tǒng)或Windows Server產(chǎn)品家族成員中將不會(huì)產(chǎn)生。677TGS票證無法得到授權(quán)。這種事件在Windows XP Professional操作系統(tǒng)或Windows Server產(chǎn)品家族成員中將不會(huì)產(chǎn)生。678指定帳號成功映射到一個(gè)域帳號。681登錄失敗。域帳號嘗試進(jìn)行登錄。這種事件在Windows XP Professional操作系統(tǒng)或Windows Server產(chǎn)品家族成員中將不會(huì)產(chǎn)生。682用戶重新連接到一個(gè)已經(jīng)斷開連接的終端服務(wù)器會(huì)話上。683用戶在沒有注銷的情況下與終端服務(wù)器會(huì)話斷開連接。以上列出的事件編號可用于創(chuàng)建用以監(jiān)控各種套裝軟件例如Microsoft運(yùn)行管理器（MOM）的自定義報(bào)警。審核帳號管理表格 3.4：設(shè)置成員服務(wù)器缺省取值舊有客戶機(jī)企業(yè)客戶機(jī)高安全性無審核成功 失敗成功 失敗成功 失敗審核帳號管理設(shè)置用于確定是否對計(jì)算機(jī)上每個(gè)帳號管理事件進(jìn)行審核。帳號管理事件的具體示例包括： 創(chuàng)建、修改或刪除一個(gè)用戶帳號或組 重新命名、禁用或啟用一個(gè)用戶帳號。 設(shè)置或修改一個(gè)密碼。 組織機(jī)構(gòu)需要掌握哪些人員曾經(jīng)創(chuàng)建、修改或刪除過域帳號和本地帳號。未經(jīng)授權(quán)的修改內(nèi)容既可能是不了解如何遵守企業(yè)策略的管理員所進(jìn)行的錯(cuò)誤修改，也可能是蓄謀以久的惡意攻擊。舉例來說，帳號管理失敗事件通常表示低級別管理員或者竊取低級別管理員帳號的非法攻擊者試圖提升自身權(quán)限。從日志記錄中，您可以看到攻擊者修改并創(chuàng)建了哪些帳號。出于這種原因，針對這項(xiàng)設(shè)置所采用的策略是在三種運(yùn)行環(huán)境中均將其取值設(shè)置為同時(shí)包含成功與失敗情況。以下表格列出了這項(xiàng)設(shè)置在安全事件日志中所記錄的某些重要安全事件。表格 3.5： 帳號管理事件事件編號事件描述624一個(gè)用戶帳號被創(chuàng)建。627一個(gè)用戶密碼被修改。628一個(gè)用戶密碼被設(shè)置。630一個(gè)用戶密碼被刪除。631一個(gè)全局組被創(chuàng)建。632一個(gè)成員被添加到特定全局組中。633一個(gè)成員從特定全局組中被刪除。634一個(gè)全局組被刪除。635一個(gè)新的本地組被創(chuàng)建。636一個(gè)成員被添加到本地組中。637一個(gè)成員從本地組中被刪除。638一個(gè)本地組被刪除。639一個(gè)本地組帳號被修改。641一個(gè)全局組帳號被修改。642一個(gè)用戶帳號被修改。643一個(gè)域策略被修改。644一個(gè)用戶帳號被自動(dòng)鎖定。645一個(gè)計(jì)算機(jī)帳號被創(chuàng)建。646一個(gè)計(jì)算機(jī)帳號被修改。647一個(gè)計(jì)算機(jī)帳號被刪除。648一個(gè)禁用安全特性的本地安全組被創(chuàng)建。說明：正式名稱中的SECURITY_DISABLED意味著這個(gè)組無法用于在訪問檢查中授予權(quán)限。649一個(gè)禁用安全特性的本地安全組被修改。650一個(gè)成員被添加到一個(gè)禁用安全特性的本地安全組中。651一個(gè)成員從一個(gè)禁用安全特性的本地安全組中被刪除。652一個(gè)禁用安全特性的本地組被刪除。653一個(gè)禁用安全特性的全局組被創(chuàng)建。654一個(gè)禁用安全特性的全局組被修改。655一個(gè)成員被添加到一個(gè)禁用安全特性的全局組中。656一個(gè)成員從一個(gè)禁用安全特性的全局組中被刪除。657一個(gè)禁用安全特性的全局組被刪除。658一個(gè)啟用安全特性的通用組被創(chuàng)建。659一個(gè)啟用安全特性的通用組被修改。660一個(gè)成員被添加到一個(gè)啟用安全特性的通用組中。661一個(gè)成員從一個(gè)啟用安全特性的通用組中被刪除。662一個(gè)啟用安全特性的通用組被刪除。663一個(gè)禁用安全特性的通用組被創(chuàng)建。664一個(gè)禁用安全特性的通用組被修改。665一個(gè)成員被添加到一個(gè)禁用安全特性的通用組中。666一個(gè)成員從一個(gè)禁用安全特性的通用組中被刪除。667一個(gè)禁用安全特性的通用組被刪除。668一個(gè)組類型被修改。684管理組成員的安全描述符被設(shè)置。說明：在域控制器上，一個(gè)后臺(tái)線程每60秒將對管理組中的所有成員（如域管理員、企業(yè)管理員和架構(gòu)管理員）進(jìn)行一次搜索并對其應(yīng)用一個(gè)經(jīng)過修復(fù)的安全描述符。這種事件將被記錄下來。685一個(gè)帳號名稱被修改。以上列出的事件編號可用于創(chuàng)建用以監(jiān)控各種套裝軟件如Microsoft Operation Manager（MOM）的自定義報(bào)警。大多數(shù)運(yùn)行管理軟件能夠通過腳本方式加以定制，以便根據(jù)上面所列出的事件編號來捕捉或標(biāo)記相關(guān)事件。審核目錄服務(wù)訪問表格3.6：設(shè)置成員服務(wù)器缺省取值舊有客戶機(jī)企業(yè)客戶機(jī)高安全性無審核成功 失敗成功 失敗成功 失敗審核目錄服務(wù)訪問 設(shè)置選項(xiàng)用于確定是否對那些訪問擁有自身系統(tǒng)訪問控制列表（SACL）的Microsoft Active Directory目錄服務(wù)對象的訪問事件進(jìn)行審核。如果將審核目錄服務(wù)訪問選項(xiàng)設(shè)置為無審核，管理員將很難甚至無法確定哪些Active Directory對象在安全事故中可能遭到了破壞。如果這個(gè)選項(xiàng)未被設(shè)置為成功和失敗，那么，當(dāng)安全事故發(fā)生后，您將無法獲得用以進(jìn)行分析審核記錄證據(jù)。如果將審核目錄服務(wù)訪問設(shè)置為成功，系統(tǒng)將在用戶每次成功訪問具備特定SACL的Active Directory對象時(shí)生成一條審核記錄。如果將其設(shè)置為失敗，系統(tǒng)將在用戶每次嘗試訪問具備特定SACL的Active Directory對象失敗時(shí)生成一條審核記錄。表格 3.7：目錄服務(wù)訪問事件事件編號事件描述566發(fā)生一次普通對象操作。審核登錄事件表格 3.8：設(shè)置成員服務(wù)器缺省取值舊有客戶機(jī)企業(yè)客戶機(jī)高安全性成功成功 失敗成功 失敗成功 失敗審核登錄事件設(shè)置選項(xiàng)用于確定是否對用戶實(shí)例在計(jì)算機(jī)上的登錄或注銷事件進(jìn)行審核。從域控制器帳號登錄事件設(shè)置中生成的記錄將用于監(jiān)視域帳號活動(dòng)，而從本地計(jì)算機(jī)帳號登錄事件設(shè)置中生成的記錄將用于監(jiān)視本地帳號活動(dòng)。如果將審核登錄事件設(shè)置為無審核，管理員將很難甚至無法確定哪些用戶曾經(jīng)登錄或嘗試登錄到企業(yè)內(nèi)部的計(jì)算機(jī)上。如果在域成員系統(tǒng)中針對審核登錄事件選項(xiàng)使用成功取值，當(dāng)有人登錄到系統(tǒng)時(shí)，無論其所使用的帳號是否位于系統(tǒng)內(nèi)部，系統(tǒng)都將生成一個(gè)事件。如果用戶登錄到本地帳號，且審核帳號登錄事件設(shè)置為啟用，用戶登錄過程將同時(shí)產(chǎn)生兩個(gè)事件。對于本指南中所定義的三種安全運(yùn)行環(huán)境，如果這個(gè)選項(xiàng)均未設(shè)置為成功和失敗，那么，當(dāng)安全事故發(fā)生后，您將無法獲得用以進(jìn)行分析審核記錄證據(jù)。表格 3.9：審核登錄事件事件編號事件描述528用戶成功登錄到計(jì)算機(jī)上。529登錄失?。涸噲D使用未知用戶名或帶有錯(cuò)誤密碼的已知用戶名進(jìn)行登錄。530登錄失?。涸噲D在允許時(shí)間范圍以外進(jìn)行登錄。531登錄失?。涸噲D通過禁用帳號進(jìn)行登錄。532登錄失?。涸噲D通過過期帳號進(jìn)行登錄。533登錄失?。涸噲D通過不允許在特定計(jì)算機(jī)上進(jìn)行登錄的用戶帳號進(jìn)行登錄。534登錄失敗：用戶試圖通過不允許使用的密碼類型進(jìn)行登錄。535登錄失?。横槍χ付◣ぬ柕拿艽a已經(jīng)過期。536登錄失敗：網(wǎng)絡(luò)登錄服務(wù)未被激活。537登錄失?。河捎谄渌?qū)е碌卿浭?。說明：在某些情況下，登錄失敗原因可能無法確定。538針對某一用戶的注銷操作完成。539登錄失?。旱卿泿ぬ栐诘卿洉r(shí)刻已被鎖定。540用戶成功登錄到網(wǎng)絡(luò)。541本地計(jì)算機(jī)與所列對等客戶身份標(biāo)識之間的主模式Internet密鑰（IKE）身份驗(yàn)證操作已經(jīng)完成（建立一條安全關(guān)聯(lián)），或者快速模式已經(jīng)建立一條數(shù)據(jù)通道。542數(shù)據(jù)通道被中斷。543主模式被中斷。說明：這種事件可能在安全關(guān)聯(lián)時(shí)間限制到期（缺省值為8小時(shí)）、策略修改或?qū)Φ瓤蛻糁袛鄷r(shí)發(fā)生。544由于對等客戶未能提供合法證書或簽署未通過驗(yàn)證導(dǎo)致主模式身份驗(yàn)證失敗。545由于Kerberos失敗或密碼不合法導(dǎo)致主模式身份驗(yàn)證失敗。546由于對等客戶發(fā)送非法了非法提議，IKE 安全關(guān)聯(lián)建立沒有成功。收到一個(gè)包含非法數(shù)據(jù)的數(shù)據(jù)包。547IKE握手過程中發(fā)生錯(cuò)誤。548登錄失敗：來自信任域的安全標(biāo)識符（SID）與客戶端的帳號域SID不匹配。549登錄失?。涸诳缬蛏矸蒡?yàn)證過程中，所有同非信任名稱空間相對應(yīng)的SID均已被過濾掉。550能夠指示可能發(fā)生拒絕服務(wù)（DoS）攻擊的通知消息。551用戶發(fā)起注銷操作。552用戶在已經(jīng)通過其他身份登錄的情況下使用明確憑據(jù)成功登錄到計(jì)算機(jī)上。682用戶重新連接到一個(gè)已經(jīng)斷開連接的終端服務(wù)器會(huì)話上。683用戶在沒有注銷的情況下與終端服務(wù)器會(huì)話斷開連接。說明：這種事件將在用戶通過網(wǎng)絡(luò)與終端服務(wù)器會(huì)話建立連接時(shí)產(chǎn)生。它將出現(xiàn)在終端服務(wù)器上。審核對象訪問表格 3.10：設(shè)置成員服務(wù)器缺省取值舊有客戶機(jī)企業(yè)客戶機(jī)高安全性無審核成功 失敗成功 失敗成功 失敗如果僅僅依靠自身力量，這項(xiàng)設(shè)置將無法對任何事件進(jìn)行審核。審核對象訪問設(shè)置選項(xiàng)用于確定是否對訪問具備特定SACL的對象如文件、文件夾、注冊表鍵、打印機(jī)等的用戶事件進(jìn)行審核。SACL由訪問控制項(xiàng)（ACE）組成。每個(gè)ACE包含三條信息： 需要進(jìn)行審核的安全主體（用戶、計(jì)算機(jī)或組）。 需要進(jìn)行審核的特定訪問類型，稱作訪問掩碼。 用以指示審核失敗訪問事件、成功訪問事件或同時(shí)審核這兩種事件的標(biāo)志。 如果將這個(gè)選項(xiàng)設(shè)置為成功，系統(tǒng)將在用戶每次成功訪問具備特定SACL的對象時(shí)生成一個(gè)審核事件。如果將這個(gè)選項(xiàng)設(shè)置為失敗，系統(tǒng)將在用戶每次嘗試訪問具備特定SACL的對象失敗時(shí)生成一個(gè)審核事件。當(dāng)配置SACL時(shí)，企業(yè)應(yīng)僅僅定義那些他們希望啟用的操作。舉例來說，您可能希望針對可執(zhí)行文件啟用記錄并追加數(shù)據(jù)審核設(shè)置選項(xiàng)，以便對通?？赡苡捎?jì)算機(jī)病毒、蠕蟲程序或特洛伊木馬程序?qū)е碌奈募鎿Q或修改操作進(jìn)行跟蹤。與此類此，您還可能希望對敏感文檔的修改甚至讀取操作進(jìn)行跟蹤。因此，本指南建議您針對這里所定義的三種運(yùn)行環(huán)境同時(shí)啟用成功及失敗審核取值。表格 3.11：對象訪問事件事件編號事件描述560訪問由一個(gè)已經(jīng)存在的對象提供授權(quán)。562一個(gè)對象訪問句柄被關(guān)閉。563試圖打開并刪除一個(gè)對象。說明：當(dāng)您在Createfile()函數(shù)中指定FILE_DELETE_ON_CLOSE標(biāo)志時(shí)，這種事件將被文件系統(tǒng)所使用。564一個(gè)保護(hù)對象被刪除。565訪問由一種已經(jīng)存在的對象類型提供授權(quán)。567一種與句柄相關(guān)聯(lián)的權(quán)限被使用。說明：一個(gè)授予特定權(quán)限（讀取、寫入等）的句柄被創(chuàng)建。當(dāng)使用這個(gè)句柄時(shí)，至多針對所用到的每種權(quán)限產(chǎn)生一次審核。568試圖針對正在進(jìn)行審核的文件創(chuàng)建硬連接。569身份驗(yàn)證管理器中的資源管理器試圖創(chuàng)建客戶端上下文。570客戶端試圖訪問一個(gè)對象。說明：針對對象的每次操作嘗試都將產(chǎn)生一個(gè)事件。571客戶端上下文被身份驗(yàn)證管理器應(yīng)用程序刪除。572管理員管理器初始化應(yīng)用程序。772證書管理器拒絕了掛起的證書申請。773證書服務(wù)收到重新提交的證書申請。774證書服務(wù)吊銷了證書。775證書服務(wù)收到發(fā)行證書吊銷列表(CRL) 的請求。776證書服務(wù)發(fā)行了證書吊銷列表(CRL)。777更改了證書申請擴(kuò)展。778更改了多個(gè)證書申請屬性。779證書服務(wù)收到關(guān)機(jī)請求。780已開始證書服務(wù)備份。781已完成證書服務(wù)備份。782已開始證書服務(wù)還原。783已完成證書服務(wù)還原。784證書服務(wù)已經(jīng)開始。785證書服務(wù)已經(jīng)停止。786證書服務(wù)更改的安全權(quán)限。787證書服務(wù)檢索了存檔密鑰。788證書服務(wù)將證書導(dǎo)入數(shù)據(jù)庫中。789證書服務(wù)更改的審核篩選。790證書服務(wù)收到證書申請。791證書服務(wù)批準(zhǔn)了證書申請并頒發(fā)了證書。792證書服務(wù)拒絕證書申請。793證書服務(wù)將證書申請狀態(tài)設(shè)為掛起。794證書服務(wù)更改的證書管理器設(shè)置795證書服務(wù)更改的配置項(xiàng)。796證書服務(wù)更改屬性。797證書服務(wù)存檔了密鑰。798證書服務(wù)導(dǎo)入和存檔了密鑰。799證書服務(wù)將證書發(fā)行機(jī)構(gòu)（CA）證書發(fā)行到Active Directory。800從證書數(shù)據(jù)庫刪除一行或多行。801角色分隔被啟用。審核策略更改表格 3.12：設(shè)置成員服務(wù)器缺省取值舊有客戶機(jī)企業(yè)客戶機(jī)高安全性無審核成功成功成功審核策略更改設(shè)置選項(xiàng)用于確定是否對用戶權(quán)限分配策略、審核策略或信任策略的每一次更改事件進(jìn)行審核。其中包括針對審核策略本身所進(jìn)行的更改。如果將這個(gè)選項(xiàng)設(shè)置為成功，系統(tǒng)將在每次成功更改用戶權(quán)限分配策略、審核策略或信任策略時(shí)生成一條審核記錄。如果將這個(gè)選項(xiàng)設(shè)置為失敗，系統(tǒng)將在每次更改用戶權(quán)限分配策略、審核策略或信任策略失敗時(shí)生成一條審核記錄。建議設(shè)置方式將允許您查看攻擊者試圖提升的所有帳號權(quán)限例如添加程序調(diào)試權(quán)限或文件與目錄備份權(quán)限。策略更改審核同時(shí)還包含針對審核策略本身以及信任關(guān)系所進(jìn)行的更改。說明：本指南建議將該設(shè)置取值指定為成功，其原因非常簡單，取值為失敗的設(shè)置選項(xiàng)將無法提供任何有意義的訪問信息。目前，將該選項(xiàng)取值設(shè)置為失敗將無法捕獲任何有意義的事件。表格 3.13：審核策略更改事件事件編號事件描述608用戶權(quán)限已被分配。609用戶權(quán)限已被刪除。610與另一個(gè)域的信任關(guān)系已被創(chuàng)建。611與另一個(gè)域的信任關(guān)系已被刪除。612審核策略已被更改。613Internet安全性（IPSec）策略代理已經(jīng)啟動(dòng)。614IPSec策略代理已被禁用。615IPSec策略代理已被更改。616IPSec策略代理遇到一個(gè)潛在的嚴(yán)重問題。617Kerberos 5.0版策略已被更改。618經(jīng)過加密的數(shù)據(jù)恢復(fù)策略已更改。620與另一個(gè)域的信任關(guān)系已被修改。621系統(tǒng)訪問權(quán)限已被授予帳號。622系統(tǒng)訪問權(quán)限已從帳號中刪除。623審核策略以對等用戶為單位進(jìn)行設(shè)置。625審核策略以對等用戶為單位進(jìn)行刷新。768檢測到一個(gè)森林中的名稱空間元素與另一個(gè)森林中的名稱空間元素發(fā)生沖突。說明：當(dāng)一個(gè)森林中的名稱空間元素與另一個(gè)森林中的名稱空間元素發(fā)生重疊時(shí)，它將無法明確解析屬于這兩個(gè)名稱空間元素的名稱。這種重疊現(xiàn)象也稱作沖突。并非針對每種記錄類型的參數(shù)均合法。舉例來說，諸如DNS名稱、NetBIOS名稱和SID之類的字段對于“TopLevelName”類型的記錄便是非法的。769添加了受信任的森林信息說明：這種事件消息將在更新受信任的森林信息以及添加一條或多條記錄時(shí)生成。針對每條添加、刪除或修改的記錄都將生成一條事件消息。如果在針對森林信任信息的單一更新操作中添加、刪除或修改多條記錄，生成的所有事件消息都將被分配一個(gè)相同且唯一標(biāo)識符（稱作操作編號）。這種方式使您能夠判斷出多條事件消息是由一次操作生成的。并非針對每種記錄類型的參數(shù)均合法。舉例來說，諸如DNS名稱、NetBIOS名稱和SID之類的字段對于“TopLevelName”類型的記錄便是非法的。770刪除了受信任的森林信息。說明：查看編號為769的事件描述。771修改了受信任的森林信息。說明：查看編號為769的事件描述。805事件日志服務(wù)讀取針對會(huì)話的安全日志配置信息。審核特權(quán)使用表格 3.14：設(shè)置成員服務(wù)器缺省取值舊有客戶機(jī)企業(yè)客戶機(jī)高安全性無審核無審核失敗成功 失敗審核特權(quán)使用設(shè)置選項(xiàng)用于確定是否針對每個(gè)行使用戶權(quán)限的用戶實(shí)例進(jìn)行審核。如果將該選項(xiàng)取值設(shè)為成功，系統(tǒng)將在每次成功行使用戶權(quán)限時(shí)生成一條審核記錄，如果將該選項(xiàng)取值設(shè)為失敗，系統(tǒng)將在每次行使用戶權(quán)限失敗時(shí)生成一條審核記錄。當(dāng)行使以下用戶權(quán)限時(shí)，即便審核特權(quán)使用設(shè)置選項(xiàng)已被設(shè)置為成功或失敗，系統(tǒng)也將不會(huì)生成任何審核記錄。這是因?yàn)閷徍诉@些用戶權(quán)限將在安全日志中產(chǎn)生大量事件，從而影響您的計(jì)算機(jī)性能。如需審核下列這些已被排除在外的權(quán)限，您必須在組策略中啟用審核：審核備份與恢復(fù)權(quán)限使用情況安全選項(xiàng)。 繞過遍歷檢查 程序調(diào)試 創(chuàng)建令牌對象 替換進(jìn)程級令牌 生成安全審核 文件與目錄備份 文件與目錄恢復(fù) 啟用權(quán)限審核特性將生成數(shù)量龐大的事件記錄。出于這種原因，本指南中所定義的每種安全運(yùn)行環(huán)境針對這些設(shè)置提出了不同的建議。用戶權(quán)限行使失敗表示出現(xiàn)常見網(wǎng)絡(luò)問題，并且通常預(yù)示著試圖突破安全防范措施。僅當(dāng)存在特殊商業(yè)原因時(shí)，企業(yè)才需將審核特權(quán)使用選項(xiàng)設(shè)置為啟用。表格 3.15：權(quán)限使用事件事件編號事件描述576特定權(quán)限已被添加到用戶訪問令牌中。說明：這種事件將在用戶登錄時(shí)產(chǎn)生。577用戶試圖執(zhí)行受到權(quán)限保護(hù)的系統(tǒng)服務(wù)操作。578在已經(jīng)處于打開狀態(tài)的受保護(hù)對象句柄上使用權(quán)限。審核過程跟蹤表格 3.16：設(shè)置成員服務(wù)器缺省取值舊有客戶機(jī)企業(yè)客戶機(jī)高安全性無審核無審核無審核無審核審核過程跟蹤設(shè)置選項(xiàng)用于確定是否針對諸如程序激活、過程退出、句柄復(fù)制或間接對象訪問之類的事件進(jìn)行詳細(xì)跟蹤信息審核。如果將這個(gè)選項(xiàng)設(shè)置為成功，系統(tǒng)將在每次成功跟蹤過程時(shí)生成一條審核記錄。如果將這個(gè)選項(xiàng)設(shè)置為失敗，系統(tǒng)將在每次過程跟蹤失敗時(shí)生成一條審核記錄。啟用審核過程跟蹤選項(xiàng)將產(chǎn)生大量事件，因此，通常情況下應(yīng)將該選項(xiàng)設(shè)置為無審核。然而，通過提供過程啟動(dòng)和開始時(shí)間的詳細(xì)日志記錄，這些設(shè)置將在發(fā)生安全事故時(shí)為您提供大量有用信息。表格 3.17：詳細(xì)跟蹤事件事件編號事件描述592已經(jīng)創(chuàng)建新的過程。593已經(jīng)退出某過程。594對象的句柄被重復(fù)595已經(jīng)取得對象的間接訪問權(quán)。596數(shù)據(jù)保護(hù)主密鑰備份。說明：主密鑰將供CryptProtectData和CryptUnprotectData例程以及加密文件系統(tǒng)（EFS）所使用。這種主密鑰將在每次創(chuàng)建新增主密鑰時(shí)予以備份。（缺省設(shè)置為90天。）密鑰備份操作通常由域控制器執(zhí)行。597數(shù)據(jù)保護(hù)主密鑰已由恢復(fù)服務(wù)器恢復(fù)完畢。598審核數(shù)據(jù)已得到保護(hù)。599審核數(shù)據(jù)保護(hù)已取消。600分派給進(jìn)程一個(gè)主令牌。601用戶嘗試安裝服務(wù)。602一個(gè)計(jì)劃作業(yè)已被創(chuàng)建。審核系統(tǒng)事件表格 3.18：設(shè)置成員服務(wù)器缺省取值舊有客戶機(jī)企業(yè)客戶機(jī)高安全性無審核成功成功成功審核系統(tǒng)事件設(shè)置選項(xiàng)用于確定是否在用戶重新啟動(dòng)或關(guān)閉計(jì)算機(jī)以及發(fā)生影響系統(tǒng)安全性或安全日志的事件時(shí)進(jìn)行審核。如果將這個(gè)選項(xiàng)設(shè)置為成功，系統(tǒng)將系統(tǒng)事件執(zhí)行成功時(shí)生成一條審核記錄。如果將這個(gè)選項(xiàng)設(shè)置為失敗，系統(tǒng)將在系統(tǒng)事件執(zhí)行失敗時(shí)生成一條審核記錄。以下表格包含了針對這一類別的某些最為有用的成功事件。表格 3.19：面向?qū)徍讼到y(tǒng)事件的系統(tǒng)事件消息事件編號事件描述512正在啟動(dòng)。513正在關(guān)機(jī)。514本地機(jī)制機(jī)構(gòu)已加載身份驗(yàn)證數(shù)據(jù)包。515受信任的登錄過程已經(jīng)在本地機(jī)制機(jī)構(gòu)注冊。516用來列隊(duì)審核消息的內(nèi)部資源已經(jīng)用完，從而導(dǎo)致部分審核數(shù)據(jù)丟失。517審核日志已經(jīng)清除。518安全帳戶管理器已經(jīng)加載通知數(shù)據(jù)包。519一個(gè)過程正在試圖通過無效本地過程調(diào)用（LPC）端口來模擬客戶端并針對客戶端地址空間執(zhí)行回復(fù)、讀取或?qū)懭氩僮鳌?20系統(tǒng)時(shí)間已更改。說明：這種審核操作通常成對出現(xiàn)。用戶權(quán)限分配 用戶權(quán)限分配用于確定哪些用戶或組擁有在組織機(jī)構(gòu)內(nèi)部計(jì)算機(jī)上進(jìn)行登錄的權(quán)利或特權(quán)。登錄權(quán)限與特權(quán)控制著用戶在目標(biāo)系統(tǒng)上所擁有的權(quán)限。它們用以授予執(zhí)行特定操作（例如在網(wǎng)絡(luò)或本地進(jìn)行登錄）或管理任務(wù)（例如生成新的登錄令牌）所需的權(quán)限。說明：在用戶權(quán)限分配部分中，“沒有定義”表示管理員仍將具備沒有定義的各項(xiàng)權(quán)限。本地管理員可以更改權(quán)限，但所有基于域的組策略設(shè)置都將在組策略下次更新或重新應(yīng)用時(shí)被覆蓋掉。在Windows Server 2003操作系統(tǒng)中，用戶權(quán)限分配設(shè)置可以在組策略對象編輯器中的以下位置上進(jìn)行配置。Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment對于企業(yè)應(yīng)用環(huán)境中的不同類型，其缺省用戶權(quán)限分配設(shè)置各不相同。舉例來說，就成員和域控制器而言，Windows Server 2003在針對內(nèi)建組的用戶權(quán)限分配設(shè)置方面存在以下區(qū)別。成員服務(wù)器和域控制器之間設(shè)置類似的內(nèi)建組在以下部分中并未列出。成員服務(wù)器 Power Users（高級用戶）組 除某些限制條件外，高級用戶具備絕大多數(shù)管理權(quán)限。因此，高級用戶能夠運(yùn)行認(rèn)證應(yīng)用程序以及所有舊版應(yīng)用程序。 HelpServicesGroup組 這是一個(gè)面向幫助與支持中心的組。缺省情況下，Support_388945a0是該組中的一個(gè)成員。 TelnetClients組 這個(gè)組的成員有權(quán)訪問系統(tǒng)中的遠(yuǎn)程登錄服務(wù)器。域控制器 Server Operators（服務(wù)器操作員）組 這個(gè)組的成員可以管理域服務(wù)器。 Terminal Server License Services（終端服務(wù)器許可證服務(wù)）組 這個(gè)組的成員有權(quán)訪問系統(tǒng)中的終端服務(wù)器許可授權(quán)服務(wù)。 Windows許可證訪問組 這個(gè)組的成員有權(quán)訪問用戶對象中經(jīng)過計(jì)算得出的tokenGroupsGlobalAndUniversal屬性。來賓（Guests）組及Guest用戶帳號和Support_388945a0在不同域間擁有唯一的SID。因此，這種面向用戶權(quán)限分配的組策略可能需要在那些只存在特定目標(biāo)組的系統(tǒng)上予以修改?；蛘?，也可對策略模板進(jìn)行單獨(dú)編輯，以便在.inf文件中包含適當(dāng)?shù)慕M。舉例來說，應(yīng)當(dāng)在環(huán)境中的某臺(tái)域控制器上創(chuàng)建一個(gè)域控制器組策略。說明：由于Guests組、Support_388945a0帳號和Guest帳號存在各自唯一的SID，因此，某些強(qiáng)化設(shè)置無法自動(dòng)應(yīng)用本指南中所包含的安全模板，這些強(qiáng)化設(shè)置在本章稍后的附加成員服務(wù)器強(qiáng)化處理過程部分中進(jìn)行了描述。這部分內(nèi)容面向MSBP對本指南定義的三種運(yùn)行環(huán)境中所描述的用戶權(quán)限分配進(jìn)行了詳細(xì)介紹。如需獲取針對這部分所描述設(shè)置選項(xiàng)的總結(jié)歸納，請查看名為Windows Server 2003安全指導(dǎo)設(shè)置的Excel電子表格。如需獲取缺省設(shè)置信息以及這部分所討論之設(shè)置的詳細(xì)解釋內(nèi)容，請查看參考指南威脅與對策：Windows Server 2003與Windows XP中的安全設(shè)置，該書可通過網(wǎng)址/fwlink/?LinkId=15159獲得。通過網(wǎng)絡(luò)訪問此計(jì)算機(jī)表格 3.20：設(shè)置成員服務(wù)器缺省取值舊有客戶機(jī)企業(yè)客戶機(jī)高安全性管理員，備份操作員，每個(gè)人、高級用戶及用戶組沒有定義沒有定義管理員和驗(yàn)證用戶組從網(wǎng)絡(luò)訪問此計(jì)算機(jī)用戶權(quán)限決定了允許哪些用戶和組通過網(wǎng)絡(luò)與計(jì)算機(jī)建立連接。包括基于服務(wù)器消息塊（SMB）的，網(wǎng)絡(luò)基本輸入/輸出系統(tǒng)（NetBIOS）、通用Internet文件系統(tǒng)（CIFS）、超文本傳輸（HTTP）以及組件對象模型+（COM+）在內(nèi)的許多網(wǎng)絡(luò)均需要使用這種用戶權(quán)限。在Windows Server 2003操作系統(tǒng)中，盡管授予Everyone安全組的權(quán)限將不再為匿名用戶提供訪問權(quán)限，Guests組和Guest帳號仍將通過Everyone安全組被授予訪問權(quán)限。由于這種原因，本指南建議在高安全性運(yùn)行環(huán)境中從從網(wǎng)絡(luò)訪問此計(jì)算機(jī)用戶權(quán)限中刪除Everyone安全組，以便進(jìn)一步抵御通過來賓訪問方式對域發(fā)動(dòng)的攻擊。作為操作系統(tǒng)的一部分表格 3.21：設(shè)置成員服務(wù)器缺省取值舊有客戶機(jī)企業(yè)客戶機(jī)高安全性沒有定義沒有定義沒有定義吊銷所有安全組和帳號作為操作系統(tǒng)的一部分用戶權(quán)限允許進(jìn)程假冒用戶身份標(biāo)識并針對其有權(quán)訪問的資源獲取訪問權(quán)限。通常情況下，只有級別較低的身份驗(yàn)證服務(wù)需要使用這種權(quán)限。缺省情況下，這種權(quán)限未定義任何安全組，因此，這種用戶權(quán)限對于舊有客戶機(jī)和企業(yè)客戶機(jī)運(yùn)行環(huán)境而言已經(jīng)足夠。然而，在高安全性運(yùn)行環(huán)境中，則應(yīng)將這種設(shè)置配置為吊銷所有安全組和帳號。向域中添加工作站表格 3.22：設(shè)置成員服務(wù)器缺省取值舊有客戶機(jī)企業(yè)客戶機(jī)高安全性沒有定義沒有定義沒有定義管理員組向域中添加工作站用戶權(quán)限允許用戶向特定域中添加計(jì)算機(jī)。如需使相關(guān)特權(quán)生效，必須將這種權(quán)限作為域中缺省域控制器策略的一部分分配給用戶。缺省情況下，這種權(quán)限未定義任何安全組，因此，這種用戶權(quán)限對于舊有客戶機(jī)和企業(yè)客戶機(jī)運(yùn)行環(huán)境而言已經(jīng)足夠。然而，在高安全性運(yùn)行環(huán)境中，這種用戶權(quán)限將僅僅授予管理員組。調(diào)整針對進(jìn)程的內(nèi)存配額表格 3.23：設(shè)置成員服務(wù)器缺省取值舊有客戶機(jī)企業(yè)客戶機(jī)高安全性管理員、網(wǎng)絡(luò)服務(wù)和本地服務(wù)組沒有定義沒有定義管理員、網(wǎng)絡(luò)服務(wù)和本地服務(wù)組調(diào)整針對進(jìn)程的內(nèi)存配額用戶權(quán)限允許用戶對特定進(jìn)程可以使用的最大內(nèi)存空間進(jìn)行調(diào)整。這種權(quán)限可以用于系統(tǒng)調(diào)節(jié)，然而，它也可能遭到濫用。惡意用戶可以使用這種用戶權(quán)限發(fā)動(dòng)拒絕服務(wù)（DoS）攻擊。對于舊有客戶機(jī)和企業(yè)客戶機(jī)運(yùn)行環(huán)境而言，針對這種用戶權(quán)限的缺省安全組已經(jīng)足夠。然而，在高安全性運(yùn)行環(huán)境中，這種用戶權(quán)限的取值必須強(qiáng)制設(shè)為管理員、網(wǎng)絡(luò)服務(wù)和本地服務(wù)組。允許在本地登錄表格 3.24：設(shè)置成員服務(wù)器缺省取值舊有客戶機(jī)企業(yè)客戶機(jī)高安全性管理員、備份操作員、高級用戶和用戶組管理員、備份操作員和高級用戶組管理員、備份操作員和高級用戶組管理員、備份操作員和高級用戶組允許在本地登錄用戶權(quán)限決定了哪些用戶可以通過交互方式登錄到指定計(jì)算機(jī)上。在鍵盤上通過按下CTRL+ALT+DEL組合鍵發(fā)起的登錄操作將要求用戶具備這種登錄權(quán)限。具備這種用戶權(quán)限的所有帳號均可用于登錄到計(jì)算機(jī)的本地控制臺(tái)上。將這種特權(quán)限制在真正需要登錄到系統(tǒng)上的合法用戶范圍內(nèi)能夠有效防止未經(jīng)授權(quán)的用戶提升自身權(quán)限或向計(jì)算環(huán)境中輸入病毒。通過終端服務(wù)允許登錄表格 3.25：設(shè)置成員服務(wù)器缺省取值舊有客戶機(jī)企業(yè)客戶機(jī)高安全性管理員和遠(yuǎn)程桌面用戶組管理員和遠(yuǎn)程桌面用戶組管理員和遠(yuǎn)程桌面用戶組管理員組通過終端服務(wù)允許登錄用戶權(quán)限決定了哪些用戶或組有權(quán)以終端服務(wù)客戶端的形式進(jìn)行登錄。對于舊有客戶機(jī)和企業(yè)客戶機(jī)運(yùn)行環(huán)境而言，針對這種用戶權(quán)限的缺省安全組已經(jīng)足夠。然而，在高安全性運(yùn)行環(huán)境中，應(yīng)當(dāng)只有管理員組能夠以終端服務(wù)客戶端身份進(jìn)行登錄。更改系統(tǒng)時(shí)間表格 3.26：設(shè)置成員服務(wù)器缺省取值舊有客戶機(jī)企業(yè)客戶機(jī)高安全性管理員和高級用戶組沒有定義沒有定義管理員組更改系統(tǒng)時(shí)間用戶權(quán)限決定了哪些用戶和組能夠更改計(jì)算機(jī)內(nèi)部時(shí)鐘的時(shí)間與日期。由于事件日志將反映調(diào)整后的新時(shí)間，而非事件發(fā)生的真實(shí)時(shí)間，因此，具備這種用戶權(quán)限的用戶能夠影響事件日志的外觀。應(yīng)將更改系統(tǒng)時(shí)間特權(quán)限制在哪些真正需要更改時(shí)間的合法用戶（如IT部門員工）范圍內(nèi)。本地計(jì)算機(jī)和域控制器之間的時(shí)間差異可能造成Kerberos身份驗(yàn)證協(xié)議出現(xiàn)問題，從而導(dǎo)致用戶無法登錄到域中，或在登錄成功后無法獲取針對域資源的訪問授權(quán)。調(diào)試程序表格 3.27：設(shè)置成員服務(wù)器缺省取值舊有客戶機(jī)企業(yè)客戶機(jī)高安全性管理員組吊銷所有安全組和帳號吊銷所有安全組和帳號吊銷所有安全組和帳號調(diào)試程序用戶權(quán)限決定了哪些用戶可以在進(jìn)程或系統(tǒng)內(nèi)核中附加調(diào)試器。這種用戶權(quán)限提供了針對敏感及關(guān)鍵性操作系統(tǒng)組件的全面訪問能力。除極為個(gè)別的情況（例如對那些無法在環(huán)境中進(jìn)行有效評估的商務(wù)關(guān)鍵性應(yīng)用進(jìn)行故障診斷）外，程序調(diào)試工作不應(yīng)在生產(chǎn)環(huán)境中進(jìn)行。拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)表格 3.28：設(shè)置成員服務(wù)器缺省取值舊有客戶機(jī)企業(yè)客戶機(jī)高安全性SUPPORT_388945a0帳號匿名登錄帳號、內(nèi)建管理員帳號、Guests組、Support_388945a0帳號、Guest帳號以及所有非操作系統(tǒng)服務(wù)帳號匿名登錄帳號、內(nèi)建管理員帳號、Guests組、Support_388945a0帳號、Guest帳號以及所有非操作系統(tǒng)服務(wù)帳號匿名登錄帳號、內(nèi)建管理員帳號、Guests組、Support_388945a0帳號、Guest帳號以及所有非操作系統(tǒng)服務(wù)帳號說明：匿名登錄、內(nèi)建管理員、Support_388945a0、來賓以及所有非操作系統(tǒng)服務(wù)帳號均未包含在.inf安全模板中。這些帳號和組在組織機(jī)構(gòu)內(nèi)部的所有域中擁有唯一SID。因此，它們必須手工予以添加。如需獲取更多相關(guān)信息，請查看本章最后手工強(qiáng)化處理過程部分。拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)用戶權(quán)限決定了應(yīng)當(dāng)防止哪些用戶通過網(wǎng)絡(luò)訪問特定計(jì)算機(jī)。這種用戶權(quán)限將拒絕包括基于SMB的協(xié)議、NetBIOS、CIFS、HTTP以及COM+在內(nèi)的多種網(wǎng)絡(luò)協(xié)議。當(dāng)用戶帳號同時(shí)處于兩種策略作用范圍內(nèi)時(shí)，這項(xiàng)策略設(shè)置將取代從網(wǎng)絡(luò)訪問此計(jì)算機(jī)用戶權(quán)限。針對其他用戶組設(shè)置這項(xiàng)登錄權(quán)限有可能會(huì)對那些在運(yùn)行環(huán)境中被授予特定管理角色的用戶造成限制。因此，請驗(yàn)證這項(xiàng)權(quán)限是否會(huì)對委托任務(wù)造成負(fù)面影響。拒絕作為批處理作業(yè)登錄表格 3.29：設(shè)置成員服務(wù)器缺省取值舊有客戶機(jī)企業(yè)客戶機(jī)高安全性沒有定義Guests組、 Support_388945a0帳號和Guest帳號Guests組、 Support_388945a0帳號和Guest帳號Guests組、 Support_388945a0帳號和Guest帳號說明：匿名登錄、內(nèi)建管理員、Support_388945a0、來賓以及所有非操作系統(tǒng)服務(wù)帳號均未包含在.inf安全模板中。這些帳號和組在組織機(jī)構(gòu)內(nèi)部的所有域中擁有唯一SID。因此，它們必須手工予以添加。如需獲取更多相關(guān)信息，請查看本章最后手工強(qiáng)化處理過程部分。拒絕作為批處理作業(yè)登錄用戶權(quán)限決定了應(yīng)當(dāng)防止哪些帳號作為批處理作業(yè)登錄到系統(tǒng)中。批處理作業(yè)并非一個(gè)批處理文件（.bat），而是一種批處理隊(duì)列機(jī)制。通過任務(wù)計(jì)劃程序進(jìn)行作業(yè)調(diào)度的帳號需要使用這種權(quán)限。這種拒絕作為批處理作業(yè)登錄用戶權(quán)限設(shè)置將覆蓋作為批處理作業(yè)登錄用戶權(quán)限設(shè)置。具備這種登錄權(quán)限的帳號可用于對消耗過多系統(tǒng)資源以至于可能導(dǎo)致DoS現(xiàn)象的作業(yè)進(jìn)行調(diào)度。出于這種原因，請不要將拒絕作為批處理作業(yè)登錄用戶權(quán)限分配給那些可能對安全性造成威脅的帳號。通過終端服務(wù)拒絕登錄表格 3.