为委派启用受信任的计算机和用户帐户
“为委派启用受信任的计算机和用户账户”权限允许用户在 Active Directory 中的一个用户和计算机对象上改变 “允许委派”(Trusted for Delegation)设置。身份验证委派是由多层客户/服务器应用程序所使用的一种功能。它允许前端服务在验证一项后端服务时使用客户机的信任凭据。要使这项操作成立,客户机和服务器都必须运行在允许接收委派的账户下。
对该权限的误用可能会导致未经授权的用户假装网络中的其他用户。攻击者可以利用该权限假扮其他用户访问网络资源,这使得在安全事件出现之后,确定事件原因的工作变得更加困难。
本指南推荐将“为委派启用受信任的计算机和用户账户”权限分配给域控制器中的Administrators 组。
注意:尽管缺省的域控制器策略将该权限分配给管理员组,但DCBP之所以在高安全性环境下加强了该项权限设置是因为它最初是建立在MSBP基础上的,而MSBP给该权限分配了一个NULL值。
安装和卸载设备驱动程序
“安装和卸载设备驱动程序”权限决定了哪些用户有权安装和卸载设备驱动程序。该权限对于安装和卸载即插即用设备是必需的。
不恰当地在域控制器上安装和卸载设备驱动程序可能会对其运行带来不利影响。将有权安装和卸载设备驱动程序的帐户限制在最可信任的用户中,可以降低因为设备驱动程序被误用而破坏域控制器的可能性。
缺省情况下,“Print Operators”组被授予了该权限。正如早先提到的,我们不推荐在域控制器中创建打印机共享。这样,打印操作员就无需获得安装和卸载设备驱动程序的权限。因此,在本指南定义的三种环境下,该权限仅被授予给“Administrators”组。
恢复文件及目录
“恢复文件和目录”用户权限允许用户在恢复备份的文件或文件夹时,避开文件和目录的许可权限,并且作为对象的所有者设置任何有效的安全主体。
如果允许某个用户账户将文件和目录恢复到域控制器的文件系统中,账户所有者将获得轻松修改服务可执行程序的能力。利用该权限提供的访问权限,恶意用户既可能致使一台域控制器瘫痪,也可能破坏整个域或整个森林的安全性。
缺省情况下,Server Operators 和Backup Operators 组被授予了该权限。将该用户权限从这些组中清除,并且仅授予给 Administrators 组,可以减少由于不正确地改变文件系统而导致域控制器被破坏的可能性。因此,在本指南所定义的三种环境下,该权限仅授予给 Administrators 组。
关闭系统
“关闭系统”权限允许用户关闭本地计算机。具有关闭域控制器能力的恶意用户能够轻易地发动拒绝服务(DoS)攻击,这将严重地影响整个域或森林的安全性。
而且,当域控制器系统账户重新启动服务时,该用户权限可被利用来发起权限提升攻击。如果对域控制器的特权提升攻击成功,那将破坏域或者整个森林的安全性。
缺省情况下, Administrators、Server Operators、Print Operators 和 Backup Operators 组被授予了关闭域控制器的权限。为确保环境的安全,除了Administrators组之外,其他组完成管理工作都无需该权限。因此,在本指南定义的三种环境下,只有Administrators 组被授予了本权限。
安全选项
域控制器的大多数安全选项设置与在MSBP中指定的相同。要了解更多信息,请参看第3章“创建成员服务器基线”。下面的部分介绍MSBP和DCBP之间的不同。
网络安全:在下一次修改密码时不存储LAN Manager散列值
“网络安全:在下一次修改密码时不存储LAN Manager 散列值” 安全选项设置决定了当管理员改变密码时,是否存储新密码的LAN Manager (LM))散列值。与更为牢固的Windows NT? 口令散列相比,LM相对较弱而且易受攻击。因此,在本指南所定义的三种环境下,MSBP启用了本设置。
在企业客户机和高安全性环境下,DCBP启用域控制器上的此设置,而在旧有客户机环境下则禁用此设置。如果在旧有客户机环境下该设置被启用,当改变密码之后,Windows 98客户机将无法登录。
注意:当该设置被激活时,旧有操作系统以及某些第三方应用软件将无法使用。而且,启用此设置将要求所有的账户都必须改变其密码。
事件日志设置
域控制器的事件日志设置与在MSBP中指定的设置相同。要了解更多信息,请参看第3章,“创建成员服务器基线。”DCBP中的基线组策略设置确保了所有的相关安全审核信息都被记录在域控制器上,其中包括目录服务访问信息。
系统服务
在所有的Windows Server 2003域控制器上,下面的系统服务必须被启用。DCBP中的基线策略设置可确保所有的系统服务跨越不同的域控制器实现统一配置。
本部分详细介绍了DCBP规定的系统服务设置,这些设置与MSBP中所规定的不同。关于这部分规定设置的总结信息,请参考包括在本指南中的“Windows Server 2003安全性指南设置”Excel工作簿。
注意:如果您从Windows Server 2003 支持工具(Windows Server 2003 Support Tools)中运行DCDiag.exe,它将检查所有在您所在环境中的域控制器上运行的服务。由于某些服务在域控制器基线策略中被禁用,DCDiag.exe将会报告错误——这些服务包括IISADMIN, SMTPSVC,以及 TrkSvr。这些信息并不表明您的配置存在问题。
分布式文件系统
“分布式文件系统(DFS)”服务将完全不同的文件共享分配和集成到一个单一的逻辑名字空间。该服务管理跨越局域网或广域网(LAN)进行分布的逻辑卷,而且是 Active Directory 逻辑卷(SYSVOL)共享所必需的。SYSVOL复制依赖于DFS的正确运行。
使用组策略,将服务的开始模式设置配置为仅仅允许服务器管理员进行访问,,从而防止服务被未经授权或恶意的用户所配置或操作。该组策略还可防止管理员无意禁用该服务。因此,在本指南所定义的三种环境下,该服务在DCBP中配置为自动开始。.
分页: [1] [2]
- 上一篇:为域和信任关系配置防火墙
- 下一篇:Windows2003安装打印机问题一则