Windows2003安全指南之创建成员服务器基线.doc

Windows2003安全指南之创建成员服务器基线/server/38769.html概述 本章描述了针对所有运行Microsoft Server 2003的管理基线模板所需的配置需求。此外，本章还将提供在三种企业级运行环境中建立并配置可靠的Server 2003系统所需的管理指导。本章所包含的配置需求为本指南后续章节中所有其它应用特定角色的复杂处理过程提供了基准。 本章提供的建议设置方案为企业级运行环境中的商务应用服务器构建了一种坚实基础。然而，如需在生产环境中实施这些安全配置，您必须首先就其与自身组织机构的商务应用共存情况进行全面。本章提供的建议设置方案适用于绝大多数企业，并且可以在运行Windows Server 2003的现有系统或新增系统上加以部署。这些建议设置方案已针对Windows Server 2003中的缺省安全配置方案进行了必要的研究、审核与。如需获取所有缺省设置信息以及本章所讨论之设置的详细解释内容，请查看参考指南威胁与对策：Windows Server 2003与Windows XP中的安全设置，该书可通过网址获得。尽管如此，我们还是建议您在高于缺省设置的安全级别上部署绝大多数建议配置方案。本章所讨论的针对企业级运行环境中所有Windows Server 2003系统的基准安全设置均与以下所定义的三种运行环境相关联。这三种环境分别是： 旧有客户机提供不会束缚混合状态运行环境的足够安全性。这种旧有客户机级别专门面向于使用旧有客户机的运行环境。这种运行环境处于本指南所定义的最低锁定级别。为进一步确保运行环境安全性，组织机构可以选择移植到下一个锁定级别即企业客户机级别，或者，如果无需确保旧有客户机安全性，则应直接从企业客户机级别开始。这种商务运行环境包括运行Microsoft Windows 98、Microsoft Windows NT 4.0 Workstation、Windows 2000 Professional和Windows XP Professional的工作站系统，并且只包含Windows 2000或更高版本的域控制器。这种运行环境中无法使用Windows NT 4.0域控制器，但却可以存在Windows NT成员服务器。 企业客户机提供专为新型系统运行环境而设计的牢固安全性。这种商务运行环境包含运行Windows 2000 Professional和Windows XP Professional的客户端。从旧版运行环境移植到企业级运行环境所需完成的工作主要是对旧有客户机进行升级，例如将Windows 98和Windows NT 4.0 Workstation升级为Windows 2000或Windows XP。这种运行环境中的所有域控制器均为Windows 2000 Server或更高版本产品。同时，这种运行环境中的成员服务器也必须使用Windows 2000 Server或更高版本操作系统。 高安全性 提供在企业客户机级别基础上进一步增强的安全性标准。从企业级运行环境移植到高安全性运行环境需要确保客户端及服务器均能符合严格的安全策略。这种运行环境包含运行Windows 2000 Professional和Windows XP Professional操作系统的客户端，以及运行Windows 2000 Server或更高版本操作系统的域控制器。在高安全性运行环境中，对安全性的关注首当其冲，以至于为实现高安全性，可以将损失显著功能性与易管理性作为。这种运行环境中的成员服务器必须使用Windows 2000 Server或更高版本操作系统。 以下插图显示了这三种安全性层次以及每种层次所支持的客户端类型。 图 3.1 现有及规划锁定级别 那些希望采取阶段性方式确保运行环境安全性的组织机构可以选择从旧有客户机运行环境开始，并伴随应用程序与客户端计算机陆续升级且通过严格安全设置测试，逐步向更高安全性级别进行移植。以下插图显示了如何将.inf文件安全模板作为企业客户机成员服务器基线策略（MSBP）的基础使用。此外，这张插图还显示了针对组织机构中所有服务器应用成员服务器基线策略的一种可能连接方式。Windows Server 2003本身具备一套能够实现安全可靠状态的缺省设置。在许多实例中，本章内容指定了缺省设置以外的其它设置，并且针对本指南中定义的三种运行环境加强了缺省设置方式。如需获取有关所有缺省设置的信息，请查看参考指南威胁与对策：Windows Server 2003与Windows XP中的安全设置，该书可通过网址获得。图 3.2 用以连接成员服务器组织单元（OU）的安全模板Enterprise Client Member Server Baseline.inf已被导入至MSBP当中。 针对特定服务器角色的强化处理过程将在本指南其余章节中予以定义。本指南所涉及的主要服务器角色包括： 包含域名系统（DNS）服务的域控制器。 包括以下功能特性的基础架构服务器角色： o Windows Internet名称服务（WINS） o 动态主机配置（DHCP） 文件 打印 Internet Information Services（IIS） Microsoft Internet Authentication Server（IAS） 认证服务服务器（CA） 堡垒主机 出现在企业客户机MSBP中的许多设置也将应用于本指南定义的这三种运行环境中所涉及的服务器角色。安全模板是专为满足每一种特定运行环境安全需求而设计的。以下表格显示了基准安全模板与三中运行环境之间的相互关系。如需在旧有客户机、企业客户机或高安全性级别中调出具体细节，与建议基线策略相关联的安全模板将提供用以辨别正确模板的级别标识。举例来说，Enterprise Client Member Server Baseline.inf文件是针对企业客户机运行环境的建议安全模板。表格 3.1： 针对三种运行环境的基准安全模板 旧有客户机企业客户机高安全性Legacy Client Member Server Baseline.infEnterprise Client Member Server Baseline.infHigh Security Member Server Baseline.inf以下Windows Server 2003基线策略部分描述了Member Server Baseline.inf安全模板中适用于所有运行环境的安全设置。这些基准安全模板同时还是第四章“强化域控制器”中所定义域控制器安全模板的出发点。Enterprise Client Domain Controllers Role.inf模板提供了针对域控制器组策略之组策略对象（GPO）的基准，并且与所有三种运行环境中的域控制器组织单元（OU）相连接。旨在帮助用户创建OU和组策略以及向每个OU中导入适当安全模板的逐步操作指导已在第2章“配置域的基础架构”中进行了详细介绍。说明：某些强化处理过程无法通过组策略自动完成；这些处理过程将在本章稍后的附加成员服务器强化处理过程部分中加以描述。Windows Server 2003基线策略 成员服务器OU级别上的设置选项定义了面向域中所有成员服务器的通用设置。这是通过创建与成员服务器OU相连接的GPO称作基线策略实现的。这种GPO将自动完成每台服务器上的特定安全设置配置工作。以下设置内容将在其出现在安全配置编辑器（SCE）管理单元用户界面（UI）中时予以描述。审核策略 管理员应当创建一种审核策略。这种审核策略用于确定需要报告至网络管理员以便使特定事件类别中的用户或系统活动得到及时记录的安全事件。当用户登录到计算机、从计算机上注销，或对审核策略设置进行修改时，管理员可以对诸如特定对象访问者之类的安全活动加以监控。在实现审核策略前，必须首先完成的一项工作便是确定需要在企业运行环境中对哪些事件类别进行审核。管理员针对事件类别所选择的审核设置将用于定义企业审核策略。通过定义针对特定事件类别的审核设置，管理员可以创建出适合于组织机构安全需求的审核策略。如果未对审核方式加以配置，管理员将很难甚至不可能确定在安全事故中发生了哪些事件。相反，如果审核方式过于繁琐，以至于过多授权活动都将生成事件，那么，安全事件日志将被大量无用数据填满。因此，以下建议将帮助您做出对哪些事件进行监控的权衡决策。以下表格包含了针对本指南中所定义的三种运行环境的审核策略设置建议。或许您已经注意到，在这三种运行环境中，针对许多设置的取值都非常近似。以下取值可以在下列位置上的Windows Server 2003域组策略部分中加以配置：Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesAudit Policy如需获取这部分中所描述设置选项的概要信息，请查看名为Windows Server 2003安全指导设置的Microsoft Excel电子表格。如需获取缺省设置信息以及这部分所讨论之设置的详细解释内容，请查看参考指南威胁与对策：Windows Server 2003与Windows XP中的安全设置，该书可通过网址/fwlink/?LinkId=15159获得。审核帐号登录事件表格 3.2：设置成员服务器缺省取值旧有客户机企业客户机高安全性成功成功 失败成功 失败成功 失败审核帐号登录事件设置用于确定是否对每个用户实例登录或注销另一台需要验证帐号的计算机的活动进行审核。在域控制器上对域用户帐号进行身份验证时将产生一个帐号登录事件。这个事件将被记录到域控制器的安全日志中。在本地计算机上对本地用户进行身份验证时将产生一个登录事件。这个事件将被记录到本地安全日志中。对于帐号注销事件，则没有任何信息需要记录。以下表格列出了这项设置在安全事件日志中所记录的某些重要安全事件。表格 3.3：帐号登录事件事件编号事件描述672身份验证服务（AS）票证得到成功发行与验证。673票证授权服务（TGS）票证得到授权。TGS是一份由Kerberos 5.0版票证授权服务（TGS）发行、且允许用户针对域中特定服务进行身份验证的票证。674安全主体重建AS票证或TGS票证。675预身份验证失败。这种事件将在用户输入错误密码时由密钥分发中心（KDC）生成。676身份验证票证请求失败。这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。677TGS票证无法得到授权。这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。678指定帐号成功映射到一个域帐号。681登录失败。域帐号尝试进行登录。这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。682用户重新连接到一个已经断开连接的终端服务器会话上。683用户在没有注销的情况下与终端服务器会话断开连接。以上列出的事件编号可用于创建用以监控各种套装软件例如Microsoft运行管理器（MOM）的自定义报警。审核帐号管理表格 3.4：设置成员服务器缺省取值旧有客户机企业客户机高安全性无审核成功 失败成功 失败成功 失败审核帐号管理设置用于确定是否对计算机上每个帐号管理事件进行审核。帐号管理事件的具体示例包括： 创建、修改或删除一个用户帐号或组 重新命名、禁用或启用一个用户帐号。 设置或修改一个密码。 组织机构需要掌握哪些人员曾经创建、修改或删除过域帐号和本地帐号。未经授权的修改内容既可能是不了解如何遵守企业策略的管理员所进行的错误修改，也可能是蓄谋以久的恶意攻击。举例来说，帐号管理失败事件通常表示低级别管理员或者窃取低级别管理员帐号的非法攻击者试图提升自身权限。从日志记录中，您可以看到攻击者修改并创建了哪些帐号。出于这种原因，针对这项设置所采用的策略是在三种运行环境中均将其取值设置为同时包含成功与失败情况。以下表格列出了这项设置在安全事件日志中所记录的某些重要安全事件。表格 3.5： 帐号管理事件事件编号事件描述624一个用户帐号被创建。627一个用户密码被修改。628一个用户密码被设置。630一个用户密码被删除。631一个全局组被创建。632一个成员被添加到特定全局组中。633一个成员从特定全局组中被删除。634一个全局组被删除。635一个新的本地组被创建。636一个成员被添加到本地组中。637一个成员从本地组中被删除。638一个本地组被删除。639一个本地组帐号被修改。641一个全局组帐号被修改。642一个用户帐号被修改。643一个域策略被修改。644一个用户帐号被自动锁定。645一个计算机帐号被创建。646一个计算机帐号被修改。647一个计算机帐号被删除。648一个禁用安全特性的本地安全组被创建。说明：正式名称中的SECURITY_DISABLED意味着这个组无法用于在访问检查中授予权限。649一个禁用安全特性的本地安全组被修改。650一个成员被添加到一个禁用安全特性的本地安全组中。651一个成员从一个禁用安全特性的本地安全组中被删除。652一个禁用安全特性的本地组被删除。653一个禁用安全特性的全局组被创建。654一个禁用安全特性的全局组被修改。655一个成员被添加到一个禁用安全特性的全局组中。656一个成员从一个禁用安全特性的全局组中被删除。657一个禁用安全特性的全局组被删除。658一个启用安全特性的通用组被创建。659一个启用安全特性的通用组被修改。660一个成员被添加到一个启用安全特性的通用组中。661一个成员从一个启用安全特性的通用组中被删除。662一个启用安全特性的通用组被删除。663一个禁用安全特性的通用组被创建。664一个禁用安全特性的通用组被修改。665一个成员被添加到一个禁用安全特性的通用组中。666一个成员从一个禁用安全特性的通用组中被删除。667一个禁用安全特性的通用组被删除。668一个组类型被修改。684管理组成员的安全描述符被设置。说明：在域控制器上，一个后台线程每60秒将对管理组中的所有成员（如域管理员、企业管理员和架构管理员）进行一次搜索并对其应用一个经过修复的安全描述符。这种事件将被记录下来。685一个帐号名称被修改。以上列出的事件编号可用于创建用以监控各种套装软件如Microsoft Operation Manager（MOM）的自定义报警。大多数运行管理软件能够通过脚本方式加以定制，以便根据上面所列出的事件编号来捕捉或标记相关事件。审核目录服务访问表格3.6：设置成员服务器缺省取值旧有客户机企业客户机高安全性无审核成功 失败成功 失败成功 失败审核目录服务访问 设置选项用于确定是否对那些访问拥有自身系统访问控制列表（SACL）的Microsoft Active Directory目录服务对象的访问事件进行审核。如果将审核目录服务访问选项设置为无审核，管理员将很难甚至无法确定哪些Active Directory对象在安全事故中可能遭到了破坏。如果这个选项未被设置为成功和失败，那么，当安全事故发生后，您将无法获得用以进行分析审核记录证据。如果将审核目录服务访问设置为成功，系统将在用户每次成功访问具备特定SACL的Active Directory对象时生成一条审核记录。如果将其设置为失败，系统将在用户每次尝试访问具备特定SACL的Active Directory对象失败时生成一条审核记录。表格 3.7：目录服务访问事件事件编号事件描述566发生一次普通对象操作。审核登录事件表格 3.8：设置成员服务器缺省取值旧有客户机企业客户机高安全性成功成功 失败成功 失败成功 失败审核登录事件设置选项用于确定是否对用户实例在计算机上的登录或注销事件进行审核。从域控制器帐号登录事件设置中生成的记录将用于监视域帐号活动，而从本地计算机帐号登录事件设置中生成的记录将用于监视本地帐号活动。如果将审核登录事件设置为无审核，管理员将很难甚至无法确定哪些用户曾经登录或尝试登录到企业内部的计算机上。如果在域成员系统中针对审核登录事件选项使用成功取值，当有人登录到系统时，无论其所使用的帐号是否位于系统内部，系统都将生成一个事件。如果用户登录到本地帐号，且审核帐号登录事件设置为启用，用户登录过程将同时产生两个事件。对于本指南中所定义的三种安全运行环境，如果这个选项均未设置为成功和失败，那么，当安全事故发生后，您将无法获得用以进行分析审核记录证据。表格 3.9：审核登录事件事件编号事件描述528用户成功登录到计算机上。529登录失败：试图使用未知用户名或带有错误密码的已知用户名进行登录。530登录失败：试图在允许时间范围以外进行登录。531登录失败：试图通过禁用帐号进行登录。532登录失败：试图通过过期帐号进行登录。533登录失败：试图通过不允许在特定计算机上进行登录的用户帐号进行登录。534登录失败：用户试图通过不允许使用的密码类型进行登录。535登录失败：针对指定帐号的密码已经过期。536登录失败：网络登录服务未被激活。537登录失败：由于其它原因导致登录失败。说明：在某些情况下，登录失败原因可能无法确定。538针对某一用户的注销操作完成。539登录失败：登录帐号在登录时刻已被锁定。540用户成功登录到网络。541本地计算机与所列对等客户身份标识之间的主模式Internet密钥（IKE）身份验证操作已经完成（建立一条安全关联），或者快速模式已经建立一条数据通道。542数据通道被中断。543主模式被中断。说明：这种事件可能在安全关联时间限制到期（缺省值为8小时）、策略修改或对等客户中断时发生。544由于对等客户未能提供合法证书或签署未通过验证导致主模式身份验证失败。545由于Kerberos失败或密码不合法导致主模式身份验证失败。546由于对等客户发送非法了非法提议，IKE 安全关联建立没有成功。收到一个包含非法数据的数据包。547IKE握手过程中发生错误。548登录失败：来自信任域的安全标识符（SID）与客户端的帐号域SID不匹配。549登录失败：在跨域身份验证过程中，所有同非信任名称空间相对应的SID均已被过滤掉。550能够指示可能发生拒绝服务（DoS）攻击的通知消息。551用户发起注销操作。552用户在已经通过其他身份登录的情况下使用明确凭据成功登录到计算机上。682用户重新连接到一个已经断开连接的终端服务器会话上。683用户在没有注销的情况下与终端服务器会话断开连接。说明：这种事件将在用户通过网络与终端服务器会话建立连接时产生。它将出现在终端服务器上。审核对象访问表格 3.10：设置成员服务器缺省取值旧有客户机企业客户机高安全性无审核成功 失败成功 失败成功 失败如果仅仅依靠自身力量，这项设置将无法对任何事件进行审核。审核对象访问设置选项用于确定是否对访问具备特定SACL的对象如文件、文件夹、注册表键、打印机等的用户事件进行审核。SACL由访问控制项（ACE）组成。每个ACE包含三条信息： 需要进行审核的安全主体（用户、计算机或组）。 需要进行审核的特定访问类型，称作访问掩码。 用以指示审核失败访问事件、成功访问事件或同时审核这两种事件的标志。 如果将这个选项设置为成功，系统将在用户每次成功访问具备特定SACL的对象时生成一个审核事件。如果将这个选项设置为失败，系统将在用户每次尝试访问具备特定SACL的对象失败时生成一个审核事件。当配置SACL时，企业应仅仅定义那些他们希望启用的操作。举例来说，您可能希望针对可执行文件启用记录并追加数据审核设置选项，以便对通常可能由计算机病毒、蠕虫程序或特洛伊木马程序导致的文件替换或修改操作进行跟踪。与此类此，您还可能希望对敏感文档的修改甚至读取操作进行跟踪。因此，本指南建议您针对这里所定义的三种运行环境同时启用成功及失败审核取值。表格 3.11：对象访问事件事件编号事件描述560访问由一个已经存在的对象提供授权。562一个对象访问句柄被关闭。563试图打开并删除一个对象。说明：当您在Createfile()函数中指定FILE_DELETE_ON_CLOSE标志时，这种事件将被文件系统所使用。564一个保护对象被删除。565访问由一种已经存在的对象类型提供授权。567一种与句柄相关联的权限被使用。说明：一个授予特定权限（读取、写入等）的句柄被创建。当使用这个句柄时，至多针对所用到的每种权限产生一次审核。568试图针对正在进行审核的文件创建硬连接。569身份验证管理器中的资源管理器试图创建客户端上下文。570客户端试图访问一个对象。说明：针对对象的每次操作尝试都将产生一个事件。571客户端上下文被身份验证管理器应用程序删除。572管理员管理器初始化应用程序。772证书管理器拒绝了挂起的证书申请。773证书服务收到重新提交的证书申请。774证书服务吊销了证书。775证书服务收到发行证书吊销列表(CRL) 的请求。776证书服务发行了证书吊销列表(CRL)。777更改了证书申请扩展。778更改了多个证书申请属性。779证书服务收到关机请求。780已开始证书服务备份。781已完成证书服务备份。782已开始证书服务还原。783已完成证书服务还原。784证书服务已经开始。785证书服务已经停止。786证书服务更改的安全权限。787证书服务检索了存档密钥。788证书服务将证书导入数据库中。789证书服务更改的审核筛选。790证书服务收到证书申请。791证书服务批准了证书申请并颁发了证书。792证书服务拒绝证书申请。793证书服务将证书申请状态设为挂起。794证书服务更改的证书管理器设置795证书服务更改的配置项。796证书服务更改属性。797证书服务存档了密钥。798证书服务导入和存档了密钥。799证书服务将证书发行机构（CA）证书发行到Active Directory。800从证书数据库删除一行或多行。801角色分隔被启用。审核策略更改表格 3.12：设置成员服务器缺省取值旧有客户机企业客户机高安全性无审核成功成功成功审核策略更改设置选项用于确定是否对用户权限分配策略、审核策略或信任策略的每一次更改事件进行审核。其中包括针对审核策略本身所进行的更改。如果将这个选项设置为成功，系统将在每次成功更改用户权限分配策略、审核策略或信任策略时生成一条审核记录。如果将这个选项设置为失败，系统将在每次更改用户权限分配策略、审核策略或信任策略失败时生成一条审核记录。建议设置方式将允许您查看攻击者试图提升的所有帐号权限例如添加程序调试权限或文件与目录备份权限。策略更改审核同时还包含针对审核策略本身以及信任关系所进行的更改。说明：本指南建议将该设置取值指定为成功，其原因非常简单，取值为失败的设置选项将无法提供任何有意义的访问信息。目前，将该选项取值设置为失败将无法捕获任何有意义的事件。表格 3.13：审核策略更改事件事件编号事件描述608用户权限已被分配。609用户权限已被删除。610与另一个域的信任关系已被创建。611与另一个域的信任关系已被删除。612审核策略已被更改。613Internet安全性（IPSec）策略代理已经启动。614IPSec策略代理已被禁用。615IPSec策略代理已被更改。616IPSec策略代理遇到一个潜在的严重问题。617Kerberos 5.0版策略已被更改。618经过加密的数据恢复策略已更改。620与另一个域的信任关系已被修改。621系统访问权限已被授予帐号。622系统访问权限已从帐号中删除。623审核策略以对等用户为单位进行设置。625审核策略以对等用户为单位进行刷新。768检测到一个森林中的名称空间元素与另一个森林中的名称空间元素发生冲突。说明：当一个森林中的名称空间元素与另一个森林中的名称空间元素发生重叠时，它将无法明确解析属于这两个名称空间元素的名称。这种重叠现象也称作冲突。并非针对每种记录类型的参数均合法。举例来说，诸如DNS名称、NetBIOS名称和SID之类的字段对于“TopLevelName”类型的记录便是非法的。769添加了受信任的森林信息说明：这种事件消息将在更新受信任的森林信息以及添加一条或多条记录时生成。针对每条添加、删除或修改的记录都将生成一条事件消息。如果在针对森林信任信息的单一更新操作中添加、删除或修改多条记录，生成的所有事件消息都将被分配一个相同且唯一标识符（称作操作编号）。这种方式使您能够判断出多条事件消息是由一次操作生成的。并非针对每种记录类型的参数均合法。举例来说，诸如DNS名称、NetBIOS名称和SID之类的字段对于“TopLevelName”类型的记录便是非法的。770删除了受信任的森林信息。说明：查看编号为769的事件描述。771修改了受信任的森林信息。说明：查看编号为769的事件描述。805事件日志服务读取针对会话的安全日志配置信息。审核特权使用表格 3.14：设置成员服务器缺省取值旧有客户机企业客户机高安全性无审核无审核失败成功 失败审核特权使用设置选项用于确定是否针对每个行使用户权限的用户实例进行审核。如果将该选项取值设为成功，系统将在每次成功行使用户权限时生成一条审核记录，如果将该选项取值设为失败，系统将在每次行使用户权限失败时生成一条审核记录。当行使以下用户权限时，即便审核特权使用设置选项已被设置为成功或失败，系统也将不会生成任何审核记录。这是因为审核这些用户权限将在安全日志中产生大量事件，从而影响您的计算机性能。如需审核下列这些已被排除在外的权限，您必须在组策略中启用审核：审核备份与恢复权限使用情况安全选项。 绕过遍历检查 程序调试 创建令牌对象 替换进程级令牌 生成安全审核 文件与目录备份 文件与目录恢复 启用权限审核特性将生成数量庞大的事件记录。出于这种原因，本指南中所定义的每种安全运行环境针对这些设置提出了不同的建议。用户权限行使失败表示出现常见网络问题，并且通常预示着试图突破安全防范措施。仅当存在特殊商业原因时，企业才需将审核特权使用选项设置为启用。表格 3.15：权限使用事件事件编号事件描述576特定权限已被添加到用户访问令牌中。说明：这种事件将在用户登录时产生。577用户试图执行受到权限保护的系统服务操作。578在已经处于打开状态的受保护对象句柄上使用权限。审核过程跟踪表格 3.16：设置成员服务器缺省取值旧有客户机企业客户机高安全性无审核无审核无审核无审核审核过程跟踪设置选项用于确定是否针对诸如程序激活、过程退出、句柄复制或间接对象访问之类的事件进行详细跟踪信息审核。如果将这个选项设置为成功，系统将在每次成功跟踪过程时生成一条审核记录。如果将这个选项设置为失败，系统将在每次过程跟踪失败时生成一条审核记录。启用审核过程跟踪选项将产生大量事件，因此，通常情况下应将该选项设置为无审核。然而，通过提供过程启动和开始时间的详细日志记录，这些设置将在发生安全事故时为您提供大量有用信息。表格 3.17：详细跟踪事件事件编号事件描述592已经创建新的过程。593已经退出某过程。594对象的句柄被重复595已经取得对象的间接访问权。596数据保护主密钥备份。说明：主密钥将供CryptProtectData和CryptUnprotectData例程以及加密文件系统（EFS）所使用。这种主密钥将在每次创建新增主密钥时予以备份。（缺省设置为90天。）密钥备份操作通常由域控制器执行。597数据保护主密钥已由恢复服务器恢复完毕。598审核数据已得到保护。599审核数据保护已取消。600分派给进程一个主令牌。601用户尝试安装服务。602一个计划作业已被创建。审核系统事件表格 3.18：设置成员服务器缺省取值旧有客户机企业客户机高安全性无审核成功成功成功审核系统事件设置选项用于确定是否在用户重新启动或关闭计算机以及发生影响系统安全性或安全日志的事件时进行审核。如果将这个选项设置为成功，系统将系统事件执行成功时生成一条审核记录。如果将这个选项设置为失败，系统将在系统事件执行失败时生成一条审核记录。以下表格包含了针对这一类别的某些最为有用的成功事件。表格 3.19：面向审核系统事件的系统事件消息事件编号事件描述512正在启动。513正在关机。514本地机制机构已加载身份验证数据包。515受信任的登录过程已经在本地机制机构注册。516用来列队审核消息的内部资源已经用完，从而导致部分审核数据丢失。517审核日志已经清除。518安全帐户管理器已经加载通知数据包。519一个过程正在试图通过无效本地过程调用（LPC）端口来模拟客户端并针对客户端地址空间执行回复、读取或写入操作。520系统时间已更改。说明：这种审核操作通常成对出现。用户权限分配 用户权限分配用于确定哪些用户或组拥有在组织机构内部计算机上进行登录的权利或特权。登录权限与特权控制着用户在目标系统上所拥有的权限。它们用以授予执行特定操作（例如在网络或本地进行登录）或管理任务（例如生成新的登录令牌）所需的权限。说明：在用户权限分配部分中，“没有定义”表示管理员仍将具备没有定义的各项权限。本地管理员可以更改权限，但所有基于域的组策略设置都将在组策略下次更新或重新应用时被覆盖掉。在Windows Server 2003操作系统中，用户权限分配设置可以在组策略对象编辑器中的以下位置上进行配置。Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment对于企业应用环境中的不同类型，其缺省用户权限分配设置各不相同。举例来说，就成员和域控制器而言，Windows Server 2003在针对内建组的用户权限分配设置方面存在以下区别。成员服务器和域控制器之间设置类似的内建组在以下部分中并未列出。成员服务器 Power Users（高级用户）组 除某些限制条件外，高级用户具备绝大多数管理权限。因此，高级用户能够运行认证应用程序以及所有旧版应用程序。 HelpServicesGroup组 这是一个面向帮助与支持中心的组。缺省情况下，Support_388945a0是该组中的一个成员。 TelnetClients组 这个组的成员有权访问系统中的远程登录服务器。域控制器 Server Operators（服务器操作员）组 这个组的成员可以管理域服务器。 Terminal Server License Services（终端服务器许可证服务）组 这个组的成员有权访问系统中的终端服务器许可授权服务。 Windows许可证访问组 这个组的成员有权访问用户对象中经过计算得出的tokenGroupsGlobalAndUniversal属性。来宾（Guests）组及Guest用户帐号和Support_388945a0在不同域间拥有唯一的SID。因此，这种面向用户权限分配的组策略可能需要在那些只存在特定目标组的系统上予以修改。或者，也可对策略模板进行单独编辑，以便在.inf文件中包含适当的组。举例来说，应当在环境中的某台域控制器上创建一个域控制器组策略。说明：由于Guests组、Support_388945a0帐号和Guest帐号存在各自唯一的SID，因此，某些强化设置无法自动应用本指南中所包含的安全模板，这些强化设置在本章稍后的附加成员服务器强化处理过程部分中进行了描述。这部分内容面向MSBP对本指南定义的三种运行环境中所描述的用户权限分配进行了详细介绍。如需获取针对这部分所描述设置选项的总结归纳，请查看名为Windows Server 2003安全指导设置的Excel电子表格。如需获取缺省设置信息以及这部分所讨论之设置的详细解释内容，请查看参考指南威胁与对策：Windows Server 2003与Windows XP中的安全设置，该书可通过网址/fwlink/?LinkId=15159获得。通过网络访问此计算机表格 3.20：设置成员服务器缺省取值旧有客户机企业客户机高安全性管理员，备份操作员，每个人、高级用户及用户组没有定义没有定义管理员和验证用户组从网络访问此计算机用户权限决定了允许哪些用户和组通过网络与计算机建立连接。包括基于服务器消息块（SMB）的，网络基本输入/输出系统（NetBIOS）、通用Internet文件系统（CIFS）、超文本传输（HTTP）以及组件对象模型+（COM+）在内的许多网络均需要使用这种用户权限。在Windows Server 2003操作系统中，尽管授予Everyone安全组的权限将不再为匿名用户提供访问权限，Guests组和Guest帐号仍将通过Everyone安全组被授予访问权限。由于这种原因，本指南建议在高安全性运行环境中从从网络访问此计算机用户权限中删除Everyone安全组，以便进一步抵御通过来宾访问方式对域发动的攻击。作为操作系统的一部分表格 3.21：设置成员服务器缺省取值旧有客户机企业客户机高安全性没有定义没有定义没有定义吊销所有安全组和帐号作为操作系统的一部分用户权限允许进程假冒用户身份标识并针对其有权访问的资源获取访问权限。通常情况下，只有级别较低的身份验证服务需要使用这种权限。缺省情况下，这种权限未定义任何安全组，因此，这种用户权限对于旧有客户机和企业客户机运行环境而言已经足够。然而，在高安全性运行环境中，则应将这种设置配置为吊销所有安全组和帐号。向域中添加工作站表格 3.22：设置成员服务器缺省取值旧有客户机企业客户机高安全性没有定义没有定义没有定义管理员组向域中添加工作站用户权限允许用户向特定域中添加计算机。如需使相关特权生效，必须将这种权限作为域中缺省域控制器策略的一部分分配给用户。缺省情况下，这种权限未定义任何安全组，因此，这种用户权限对于旧有客户机和企业客户机运行环境而言已经足够。然而，在高安全性运行环境中，这种用户权限将仅仅授予管理员组。调整针对进程的内存配额表格 3.23：设置成员服务器缺省取值旧有客户机企业客户机高安全性管理员、网络服务和本地服务组没有定义没有定义管理员、网络服务和本地服务组调整针对进程的内存配额用户权限允许用户对特定进程可以使用的最大内存空间进行调整。这种权限可以用于系统调节，然而，它也可能遭到滥用。恶意用户可以使用这种用户权限发动拒绝服务（DoS）攻击。对于旧有客户机和企业客户机运行环境而言，针对这种用户权限的缺省安全组已经足够。然而，在高安全性运行环境中，这种用户权限的取值必须强制设为管理员、网络服务和本地服务组。允许在本地登录表格 3.24：设置成员服务器缺省取值旧有客户机企业客户机高安全性管理员、备份操作员、高级用户和用户组管理员、备份操作员和高级用户组管理员、备份操作员和高级用户组管理员、备份操作员和高级用户组允许在本地登录用户权限决定了哪些用户可以通过交互方式登录到指定计算机上。在键盘上通过按下CTRL+ALT+DEL组合键发起的登录操作将要求用户具备这种登录权限。具备这种用户权限的所有帐号均可用于登录到计算机的本地控制台上。将这种特权限制在真正需要登录到系统上的合法用户范围内能够有效防止未经授权的用户提升自身权限或向计算环境中输入病毒。通过终端服务允许登录表格 3.25：设置成员服务器缺省取值旧有客户机企业客户机高安全性管理员和远程桌面用户组管理员和远程桌面用户组管理员和远程桌面用户组管理员组通过终端服务允许登录用户权限决定了哪些用户或组有权以终端服务客户端的形式进行登录。对于旧有客户机和企业客户机运行环境而言，针对这种用户权限的缺省安全组已经足够。然而，在高安全性运行环境中，应当只有管理员组能够以终端服务客户端身份进行登录。更改系统时间表格 3.26：设置成员服务器缺省取值旧有客户机企业客户机高安全性管理员和高级用户组没有定义没有定义管理员组更改系统时间用户权限决定了哪些用户和组能够更改计算机内部时钟的时间与日期。由于事件日志将反映调整后的新时间，而非事件发生的真实时间，因此，具备这种用户权限的用户能够影响事件日志的外观。应将更改系统时间特权限制在哪些真正需要更改时间的合法用户（如IT部门员工）范围内。本地计算机和域控制器之间的时间差异可能造成Kerberos身份验证协议出现问题，从而导致用户无法登录到域中，或在登录成功后无法获取针对域资源的访问授权。调试程序表格 3.27：设置成员服务器缺省取值旧有客户机企业客户机高安全性管理员组吊销所有安全组和帐号吊销所有安全组和帐号吊销所有安全组和帐号调试程序用户权限决定了哪些用户可以在进程或系统内核中附加调试器。这种用户权限提供了针对敏感及关键性操作系统组件的全面访问能力。除极为个别的情况（例如对那些无法在环境中进行有效评估的商务关键性应用进行故障诊断）外，程序调试工作不应在生产环境中进行。拒绝从网络访问这台计算机表格 3.28：设置成员服务器缺省取值旧有客户机企业客户机高安全性SUPPORT_388945a0帐号匿名登录帐号、内建管理员帐号、Guests组、Support_388945a0帐号、Guest帐号以及所有非操作系统服务帐号匿名登录帐号、内建管理员帐号、Guests组、Support_388945a0帐号、Guest帐号以及所有非操作系统服务帐号匿名登录帐号、内建管理员帐号、Guests组、Support_388945a0帐号、Guest帐号以及所有非操作系统服务帐号说明：匿名登录、内建管理员、Support_388945a0、来宾以及所有非操作系统服务帐号均未包含在.inf安全模板中。这些帐号和组在组织机构内部的所有域中拥有唯一SID。因此，它们必须手工予以添加。如需获取更多相关信息，请查看本章最后手工强化处理过程部分。拒绝从网络访问这台计算机用户权限决定了应当防止哪些用户通过网络访问特定计算机。这种用户权限将拒绝包括基于SMB的协议、NetBIOS、CIFS、HTTP以及COM+在内的多种网络协议。当用户帐号同时处于两种策略作用范围内时，这项策略设置将取代从网络访问此计算机用户权限。针对其他用户组设置这项登录权限有可能会对那些在运行环境中被授予特定管理角色的用户造成限制。因此，请验证这项权限是否会对委托任务造成负面影响。拒绝作为批处理作业登录表格 3.29：设置成员服务器缺省取值旧有客户机企业客户机高安全性没有定义Guests组、 Support_388945a0帐号和Guest帐号Guests组、 Support_388945a0帐号和Guest帐号Guests组、 Support_388945a0帐号和Guest帐号说明：匿名登录、内建管理员、Support_388945a0、来宾以及所有非操作系统服务帐号均未包含在.inf安全模板中。这些帐号和组在组织机构内部的所有域中拥有唯一SID。因此，它们必须手工予以添加。如需获取更多相关信息，请查看本章最后手工强化处理过程部分。拒绝作为批处理作业登录用户权限决定了应当防止哪些帐号作为批处理作业登录到系统中。批处理作业并非一个批处理文件（.bat），而是一种批处理队列机制。通过任务计划程序进行作业调度的帐号需要使用这种权限。这种拒绝作为批处理作业登录用户权限设置将覆盖作为批处理作业登录用户权限设置。具备这种登录权限的帐号可用于对消耗过多系统资源以至于可能导致DoS现象的作业进行调度。出于这种原因，请不要将拒绝作为批处理作业登录用户权限分配给那些可能对安全性造成威胁的帐号。通过终端服务拒绝登录表格 3.30：设置成员服务器缺