由于其重要性,域控制器应当总是被安置在物理上安全的地点,仅允许有资格的管理人员访问。当域控制器必须安置在不太安全的地方时,例如分支办公室,应当调整相关的安全性设置以限制来自物理访问威胁的潜在损害。
域控制器基线策略
与本指南后面将要介绍的其他服务器角色策略不同,域控制器服务器的组策略是一种基线策略,与第三章“创建成员服务器基线”所定义的成员服务器基线策略(MSBP)属于同一类。域控制器基线策略(DCBP)与域控制器组织单位(OU)密切相连,并且优先于缺省的域控制器策略。包括在DCBP中的设置将增强任何环境下域控制器的总体安全性。
大多数DCBP是MSBP的直接拷贝。由于DCBP建立在MSBP基础之上,读者应当仔细复习第三章“创建成员服务器基线”,以便充分理解同样包括在DCBP中的许多设置。本章仅仅讨论那些没有包括在MSBP中的DCBP设置。
域控制器模板专门设计用来满足本指南所定义三种环境的安全需要。下表显示了包括在本指南中的域控制器.inf 文件以及这些环境相互之间的关系。例如,文件Enterprise Client – Domain Controller.inf是企业客户机环境下的安全性模板。
注意:将一个配置不正确的组策略对象链接到Domain Controllers OU(域控制器组织单位)可能会严重阻碍域的正常操作。在导入这些安全性模板时应当十分小心,在将GPO到链接到Domain Controllers OU之前,应该确认导入的所有设置都是正确的。
审核策略设置
域控制器的审核策略设置与在MSBP中所指定的一样。要了解更多信息,请参看第3章“创建成员服务器基线”。DCBP中的基线策略确保了所有相关的安全性审核信息都记录在域控制器中。
用户权限分配
DCBP为域控制器指定了许多用户权限的分配方法。除了缺省设置之外,在本指南定义的三种环境下,您可以修改其它 7 种用户权限以强化域控制器的安全性。
该部分详细介绍了DCBP 规定的用户权限设置,这些设置不同于MSBP中的相应设置。关于该部分规定设置的总结信息,请参看包括在本指南中的“Windows Server 2003安全指南设置” Excel 工作簿。
从网络访问您的计算机
“从网络访问该计算机”用户权限确定哪些用户和组能够通过网络连接到该计算机。许多网络协议都要求该用户权限,包括基于服务器信息块(SMB)的协议、网络基本输入/输出系统(NetBIOS)、通用互联网文件系统(CIFS)、超级文本传输协议(HTTP)以及COM+等。
在Windows Server 2003中,尽管您可以为“Everyone”(所有人)安全组授予权限,并不再接受匿名用户的访问,但是“Guest”组和账户仍然可以通过“Everyone”安全组访问。因此,本指南推荐在高安全性环境下,从“从网络访问该计算机”中删除“Everyone”安全组,以便进一步防范利用Guest 帐户对域发起的攻击。
向域中添加工作站
“向域中添加工作站”权限允许用户向指定的域中添加一台计算机。如果希望该权限生效,它必须作为域的缺省域控制器策略的一部分分配给用户。被授予了该权限的用户可以向域中添加10个工作站。被授予了为OU或 Active Directory 的计算机容器“创建计算机对象”权限的用户,也可以向域中加入计算机。被授予了该权限的用户可以无限制地向域中添加计算机,无论他们是否被分配了“向域中添加工作站”用户权限。
缺省情况下,“Authenticated Users”(经过身份验证的用户)用户组具有向 Active Directory 域中添加10个计算机账户的能力。这些新计算机账户在计算机容器中创建。
在一个 Active Directory 域中,每个计算机账户都是一个完整的安全性主体,拥有认证和访问域资源的能力。有些组织希望限制一个 Active Directory 环境中的计算机数量,以便可以持续地跟踪、构建和管理它们。
允许用户向域中添加工作站则会妨碍这项工作。而且,这样做还会为用户执行更加难以跟踪的行为提供了方便,因为他们可能创建了其他未经授权的域计算机。
因此,在本指南定义的三种环境下,“向域中添加工作站”用户权限仅仅授予Administrators 组。
允许从本地登录
“允许本地登录”用户权限允许用户在计算机上开启一个交互式的会话。如果用户不具备该权限,但拥有“允许通过终端服务登录”权限,他仍然能够在计算机上开启一个远程的交互式会话。
通过对可以登录到域控制器控制台的账户加以限制,有助于防止对域控制器文件系统和系统服务进行未授权的访问。能够登录到域控制器控制台的用户可能恶意地利用该系统,并且可能破坏整个域和森林的安全性。
缺省情况下, Account Operators、Backup Operators、Print Operators和Server Operators 组被授予了从本地登录域控制器的权限。但是这些组中的用户不必登录到一台域控制器上完成其管理任务。这些组中的用户通常可以从其它工作站完成其职责。只有“Administrators”组中的用户才必须在域控制器上登录以完成其维护任务。
将该权限仅授予给“Administrators”组,可以将对域控制器的物理和交互式访问限制在受高度信任的用户,从而增强了安全性。因此,在本指南定义的三种环境下,将“允许从本地登录”用户权限仅授予给“Administrators”组。
允许通过终端服务登录
“通过终端服务登录”权限允许用户使用远程桌面连接登录到计算机上。
对通过终端服务登录到域控制器控制台的账户加以限制,有助于防止对域控制器文件系统和系统服务的未经授权访问。能够通过终端服务登录到域控制器控制台的用户可以对该系统进行利用,并且可能破坏整个域或森林的安全性。
通过将该权限仅授予给 Administrators 组,可以将对域控制器的交互访问权限制在高度信任的用户中,从而增强了系统的安全性。因此,在本指南所定义的三种环境下,“允许通过终端服务访问”仅授予给 Administrators 组。尽管在缺省情况下,通过终端服务登录到一台域控制器要求用户具有管理员访问权限,但配置该用户权限有助于防止那些可能破坏该限制的无意或有意行为。
作为一种高级的安全性措施,DCBP 禁止使用缺省的 Administrator 账户通过终端服务登录到域控制器。该设置还可阻止恶意用户企图使用缺省的 Administrator 账户远程强行登录到一台域控制器。要了解该设置的详细信息,请参看第3章“创建成员服务器基线”。
改变系统时间
“改变系统时间”权限允许用户调整计算机内部时钟的时间。该权限对于改变时区或系统时间的其他显示特征不是必需的。
系统时间保持同步对于 Active Directory 的运行至关重要。正确的 Active Directory 复制和KerberosV5身份验证协议使用的身份验证票据生成过程要依赖于整个环境中的时间同步。
如果在环境中,一台域控制器配置的系统时间与另一台域控制器配置的系统时间不同步,则可能妨碍域服务的操作。仅允许管理员改变系统时间可以将域控制器被配置为错误系统时间的可能性降至最小。
缺省情况下, Server Operators 组被授予了改变域控制器系统时间的权限。由于这个组的成员可能会不正确地更改域控制器系统时间,该用户权限在DCBP中进行了配置,以便在本指南定义的三种环境下,只有 Administrators 组有权改变系统时间。
要了解关于Microsoft Windows? 时间服务(Microsoft Windows? Time Service)的更多信息,请参考知识库文章Q224799,“Windows Time Service 的基本操作”:[url]http://support.microsoft.com/default.aspx?scid=224799[/url],以及Q216734,“如何在Windows 2000中配置一台权威的时间服务器”:[url]http://support.microsoft.com/default.aspx?scid=216734.[/url]
分页: [1] [2]
- 上一篇:为域和信任关系配置防火墙
- 下一篇:Windows2003安装打印机问题一则