用户账户安全策略.ppt

Windows用户账户安全策略 在用户账户安全方面 与用户用户有关的安全因素还有许多如用户密码策略 账户锁定策略 共享文件夹共享权限 NTFS文件访问权限等 这些安全因素配置不当都有可能给整个企业网络带来安全威胁 特别是用户账户密码策略 文件夹共享和文件访问权限这几个方面 本章重点如下 WindowsServer2003系统的主要安全功能WindowsServer2003系统用户密码 账户锁定和Kerberos策略WindowsServer2003系统用户权限的配置默认共享的取消和文件夹共享权限的配置NTFS文件访问权限配置WindowsXP系统私人文件夹的创建 6 1WindowsServer2003系统安全概述 WindowsServer2003家族安全模型的主要功能是用户身份验证和访问控制 6 1 1安全模型功能在WindowsServer2003系统中 主要安全模型功能有以下几个 身份验证基于对象的访问控制安全策略审核ActiveDirectory和安全性数据保护公钥基础结构信任本节详细内容参见书本的P186 P187页 6 1 2WindowsServer2003系统新安全功能 1 新功能授权管理器存储用户名和密码软件限制策略2 更改成现有的技术证书颁发机构受限委派有效权限工具加密文件系统 EFS Everyone成员身份基于操作的审核重新应用安全默认值本节详细内容参见书本的P187 P188页 6 1 3与以前系统相比的新增或更新的安全功能 1 自WindowsNT4 0系统以后新增和更新的功能加密文件系统Internet协议安全性2 自Windows2000系统以后的新增和更新功能TCP UDP端口所有权加密文件系统改进功能软件限制策略Internet协议安全性监视改进功能本节详细内容参见书本的P188页 6 2域账户策略设置 本节要向大家介绍的就是这个域安全策略设置 不过它的基本设置方法基本上都适用于单机的本地安全设置 6 2 1域账户和本地策略简介对于域账户 只有一种账户策略 账户策略必须在 默认域策略设置 中定义 并且由组成该域的域控制器实施 如图6 1所示 这一管理工具界面打开的方法是执行 开始 管理工具 域安全策略 操作 注意不要选择了 域控制器安全策略 选项 因为那只是针对域控制器本身 而不是针对整个域网络 域控制器始终从 默认域策略设置 中获得账户策略 即使已经存在了一个应用到包括该域控制器在内的组织单位的不同账户策略 默认情况下 加入到域 例如成员计算机 中的工作站和服务器会接收到相同的账户策略用于本地账户 然而 本地账户策略可能不同于域账户策略 图6 1默认域安全策略 在WindowsServer2003系统中账户策略包含密码策略 账户锁定策略和Kerberos策略三个子集 而在WindowsServer2003系统中的本地策略中包含审核策略 用户权限分配和安全选项三个子集 本节详细内容参见书本的P189 P190页 6 2 2域账户密码概述 密码为抵御对企业的非法访问构筑了第一道防线 WindowsServer2003家族拥有一项新增功能 可以在操作系统启动时检查Administrator账户密码的复杂程度 如果密码为空或者不满足复杂性要求 将显示WindowsInstaller对话框 警告您Administrator账户不使用强密码可能存在危险 如果继续使用空密码 您将无法通过网络访问该账户 弱密码会使得攻击者易于访问您的计算机和网络 而强密码则难以破解 即使使用当今的密码破解软件也难以办到 密码破解工具正在不断进步 而用于破解密码的计算机也比以往更为强大 密码破解软件使用下面三种方法之一 巧妙猜测 词典攻击和自动尝试字符的各种可能的组合 只要有足够时间 这种自动方法可以破解任何密码 即便如此 破解强密码也远比破解弱密码困难得多 因为安全的计算机需要对所有用户账户都使用强密码 通常所说的弱密码主要体现在以下几个方面 根本没有密码 就是不设密码 这是许多初级网络管理员最经常使用的 包含用户名 真实姓名或公司名称 这也是我们日常经常使用的 包含完整的字典词汇 例如 Password就属于弱密码 这很容易受到字典类的网络攻击 而在WindowsServer2003系统中所规定的强密码则至少需要满足以下条件 密码长度至少有七个字符 不包含用户名 真实姓名或公司名称 不包含完整的字典词汇 与先前使用过的密码大不相同 递增密码 Password1 Password2 Password3 不能算作强密码 包含书中表6 1所列的全部四组字符类型中三组或以上 有的密码虽然可以满足大多数强密码的条件 但仍然较弱 例如 Hello2U 就是一个相对而言的弱密码 因为包括一个完整 且顺序一致的单词 6 2 3域账户密码使用原则 密码的使用最好遵循以下几个主要原则 1 鼓励用户遵循最佳密码保护策略始终使用强密码 如果不得不将密码写在纸上 请将纸张保存在安全的位置 并在不再需要时销毁 永远不要与任何人共享密码 对所有用户账户都分别使用不同的密码 密码一旦泄露 应立即更改密码 谨慎选择密码在计算机上保存的位置 2 定义密码策略 用强密码保护所有用户账户定义 强制密码历史 策略设置 可以使系统记忆几个以前用过的密码 定义 密码最长期限 策略设置 可以使密码的到期时间尽可能短 通常的间隔是30至90天 定义 最短密码期限 策略设置 可以使密码在指定的天数内无法更改 定义 最短密码长度 策略设置 可以使密码必须至少包含指定个数的字符 启用 密码必须符合复杂性要求 策略设置 3 谨慎定义账户锁定策略不要随意使用账户锁定策略如果决定采用账户锁定策略 应设置足够高的 账户锁定阈值 策略设置 使合法用户不至于仅因敲错了密码而被锁定 如果合法用户在一台计算机上更改了密码 但没有同时更改另一台计算机上的密码 这时合法用户将被锁定 本节详细内容参见书本的P191 P192页 6 2 4域账户密码策略的设置 密码策略的设置方法同样适用于域账户或本地用户账户 这部分设置项目包括 强制密码历史密码最长使用期限密码最短使用期限密码长度最小值密码必须符合复杂性要求用可还原的加密来存储密码本节详细内容参见书本的P192 P194页 6 2 5系统密钥实用程序 用户账户的密码信息存储在工作站和成员服务器注册表的安全账户管理器 SAM 数据库中 在域控制器上 密码信息存储在目录服务中 通常情况下 密码破解软件大都针对SAM数据库或目录服务来获取用户账户的密码 系统密钥实用程序 Syskey 为对抗密码破解软件建立了另一道防线 它使用强加密技术来保证存储在SAM数据库或目录服务中的账户密码信息的安全 破解经过加密的账户密码会变得更加困难 更为耗时 创建或更新系统密钥的具体步骤参见书中P195页介绍 但执行该过程时需要视环境的不同而使用不同的管理凭据 如果创建或更新系统密钥用于本地计算机 要执行该过程 您必须是本地计算机Administrators组的成员 或者您必须被委派适当的权限 如果将计算机加入域 DomainAdmins组的成员可能也可以执行这个过程 作为安全性的最佳操作 可以考虑使用运行方式来执行这个过程 如果创建或更新系统密钥用于域控制器 若要执行此过程 您必须是ActiveDirectory中DomainAdmins组或EnterpriseAdmins组的成员 或者您必须被委派了适当的权限 作为安全性的最佳操作 可以考虑使用运行方式来执行这个过程 如果存储系统密钥的磁盘丢失 或在选择了 密码启动 方式后又忘记了系统密钥密码 您将无法启动计算机 除非将注册表还原到使用系统密钥之前的状态 对于密码策略的设置和应用还可以在组策略中进行 具体方法是在 ActiveDirectory用户和计算机 管理工具中 在域控制器上单击右键 在弹出菜单中选择 属性 选项 然后在打开的对话框中选择 组策略 选项卡 具体配置方法参见书本P196页介绍 技巧 因为系统管理员账户Administrator大家都知道 所以出于安全考虑 通常把系统管理员账户名称进行更改 注意 包括账户说明 而为了欺骗那些非法用户 通常把一个具有较低权限的用户名改为administrator 如果当前是采用administrator系统管理员账户登录域控制器的 则在管理员账户名更改后系统要求注销当前用户 重新以新名称登录 6 2 6账户锁定策略配置 账户锁定策略就是让在指定的时间段内 输入不正确的密码达到了指定的次数 将禁用用户账户 这些策略设置有助于防止攻击者猜测用户密码 并由此减少成功袭击所在网络的可能性 账户锁定策略用于域账户或本地用户账户 它们确定某个账户被系统锁定的情况和时间长短 这部分包含以下三个方面 账户锁定时间账户锁定阈值复位账户锁定计数器以上策略的具体设置方法参见书本P197 P199页介绍 6 2 7Kerberos身份验证策略配置 KerberosV5身份验证协议是用于确认用户或主机身份的身份验证机制 也是Windows2000和WindowsServer2003系统默认的身份验证服务 Internet协议安全性 IPSec 可以使用Kerberos协议进行身份验证 对于在安装过程中所有加入到WindowsServer2003或Windows2000域的计算机都默认启用KerberosV5身份验证协议 Kerberos可对域内的资源和驻留在受信任的域中的资源提供单一登录 可通过那些作为账户策略一部分的Kerberos安全设置来控制Kerberos配置的某些方面 例如 可设置用户的Kerberos5票证生存周期 作为管理员 可以使用默认的kerberos策略 也可以更改它以适应环境的需要 使用KerberosV5进行成功的身份验证需要两个客户端系统都必须运行Windows2000 WindowsServer2003家族或WindowsXPProfessional操作系统 如果客户端系统尝试向运行其他操作系统的服务器进行身份验证 则使用NTLM协议作为身份验证机制 NTLM身份验证协议是用来处理两台计算机 其中至少有一台计算机运行WindowsNT4 0或更早版本 之间事务的协议 使用Kerberos进行身份验证的计算机必须使其时间设置在5分钟内与常规时间服务同步 否则身份验证将失败 运行WindowsServer2003家族成员 WindowsXPProfessional或Windows2000的计算机将自动更新当前时间 并将域控制器用作网络时间服务 Kerberos策略用于域用户账户 同样既可在 默认域安全策略 中配置 又可在域的组策略中配置 Kerberos策略选项包括 强制用户登录限制 服务票证最长寿命 用户票证最长寿命 用户票证续订最长寿命 计算机时钟同步的最大容差 域账户的Kerberos策略既可以在 默认域安全策略 中设置 又可以在域组策略中设置 但它们的设置方法都是一样的 不同的只是打开两者窗口的方式不一样 Kerberos策略的具体设置方法参见书本P200 P202页介绍 6 3封死黑客的 后门 一个操作系统 特别是一个服务器操作系统中 由于开放了许多网络服务 所以可以作为黑客攻击 后门 的有许多 在此仅以最主要几种类型介绍 6 3 1禁用Guest账户和更改管理员账户名有很多入侵都是通过Guest 来宾 账户进一步获得管理员密码或者权限 进而实现他们攻击的目的 Guest账户可以为我们用户间文件共享提供方便 因为它可以使其他用户以匿名方式访问自己的共享文件 而无需输入正确的用户名和密码 也正因如此 它给我留下了相当大的安全隐患 有些黑客可以通过这个账户先登录系统 然后通过账户复制功能 把管理员权限复制到这个来宾账户上 这样黑客们就可以为所欲为了 禁用这个账户的方法很简单 而且方法有多种 书中介绍一种同时适用于Windows2000 XP Server2003系统的方法 参见书本P202 P203页 从用户列表中删除这个账户即可 或者把Guest账户访问此文件夹的权限仅设置为 列出文件夹目录 或 读取 之类较低的权限 这样就安全多了 系统管理员 Administrator 账户拥有最高的系统权限 一旦该账户被人利用 后果不堪设想 黑客入侵的常用手段之一就是试图获得Administrator账户的密码 所以我们要重新配置Administrator帐号 首先是为Administrator账户设置一个强大复杂的密码 然后我们重命名Administrator账户 再创建一个没有管理员权限的Administrator账户欺骗入侵者 注意 要对相应账户的描述重新描述 以蒙骗那些非法用户 这样一来 入侵者就很难搞清哪个账户真正拥有管理员权限 也就在一定程度上减少了危险性 至于管理员账户Administrator的更改可以在该账户上单击右键 在弹出菜单中选择 重命名 选项 然后按平常所进行的重命名方法一样重命名即可 6 3 2关闭 文件和打印共享 功能 文件和打印共享是一个非常有用的功能 但在不需要它的时候 也是黑客入侵的很好的安全漏洞 所以在没有必要共享的情况下 最好也将它们禁用 方法很简单 在Windwos2000 XP Server2003系统中的方法参见书本P203 P204页介绍 6 3 3删掉不必要的协议对于服务器和主机来说 一般只安装TCP IP协议就够了 因为现在主流的操作系统都是采用TCP IP协议进行网络通信的 如果安装了其他协议 可以对那些定无用的协议彻底删除 具体方法参见书本P204 P205页介绍 6 4用户账户权限分配 用户权限的分配主要是通过两种方式进行的 系统默认用户或组账户已具有相应的权限 但不是所有默认组都有的 其他新建用户和组则是通过隶属于系统默认组账户来获取相应权限 所以 我们在为用分配权限时先要清楚系统默认的用户和组账户 以及它们各自的权限 6 4 1WindowsServer2003域默认账户及权限在图6 2所示的 ActiveDirectory用户和计算机 管理工具中的 Users 容器中包含了系统默认的三个用户账户 它们分别是Administrator 系统管理员账户 Guest 来宾账户 和HelpAssistant 远程协助账户 Administrator Guest和HelpAssistant三个用户账户是系统安装并创建域时自动创建的 其他用户账户是在安装一些服务器服务和应用程序后自动创建的 每个内置账户均有不同的权利和权限组合 Administrator账户具有最广泛的权利和权限 而Guest账户的权利和权限则有限 图6 2 ActiveDirectory用户和计算机 管理工具窗口 这三个默认用户账户的相应权限参见书本P206页的表6 3 6 4 2域默认组账户 默认组是当创建ActiveDirectory域时自动创建的安全组 可以使用这些预定义的组帮助您控制对共享资源的访问 并委派特定的域范围的管理角色 许多默认组被自动指派一组用户权利 授权组中的成员执行域中的特定操作 例如 BackupOperators组的成员有权对域中的所有域控制器执行备份操作 当您将用户添加到组中时 用户将接受指派给该组的所有用户权利以及指派给该组的有关任何共享资源的所有权限 可以通过使用 ActiveDirectory用户和计算机 管理工具来管理组 默认组位于 Builtin 容器和 Users 容器中 Builtin 容器包含用本地域作用域定义的组 Users 容器包含通过全局作用域定义的组和通过本地域作用域定义的组两类 可将这些容器中的组移动到域中的其他组或组织单位 但不能将它们移动到其他域 详细的默认组功能和权限参见书本P207页的表6 4和P208页的表6 5 6 4 3域用户权限分配 域用户和组的权限可以在服务器和各工作站计算机中分别设置 当然并不一定要求对以下介绍的选项进行全面设置 只是对有需要的进行设置就可以了 管理员可以指派特定权限给组账户或单个用户账户 这些权利批准用户执行特定的操作 如交互式登录系统或备份文件和目录 在WindowsServer2003系统中 可以给用户配置的权限比较多 总的来说可以分为大类 特权和用户登录权利 对于域控制器的域用户权限设置是在 域控制器安全策略 中进行的 具体步骤和各种用户权限功能说明均可参见书中介绍 而在工作站中 如Windows2000Professional XP系统中 都可以在 控制面板 中的 管理工具 中找到 本地安全策略 选项 这些用户权限的配置就是在这里配置的 配置方法与在域组策略中配置用户权限的方法类似 各用户权限项参见书本P209 P217页 6 5共享文件夹访问权限 从安全角度考虑 我们应尽可能地减少网络中的共享文件夹数量 如果确实需要共享 也应尽可能减少拥有高共享权限的用户数 或者降低每个共享用户的共享权限 6 5 1取消系统默认共享本节要介绍的是取消系统默认的共享磁盘分区 系统文件夹和命名管道等资源的共享设置 对于这些系统默认的共享配置 我们可以通过在 计算机管理 工具的 共享 选项中全面查看到 如图6 3所示 实践证明不能直接在以上 计算机管理 或文件服务器 窗口中取消 因为这样取消后在重新启动后系统又会把这些驱动器和文件夹自动重新设为共享 况且像远程连接所需的IP管道共享 IPC 根本找不到共享路径 虽然手动方式行不通 但是还是可以有解决方法的 其实很简单 只需一个简单的设置即可全面取消系统默认的共享设置 包括那个IP管道共享 图6 3 计算机管理 窗口 方法是在 运行 窗口中输入regedt32命令 在注册表编辑器中找到HKEY LOCAL MACHINE SYSTEM CurrentControlSet Sevices Lanmanserver parameters键项 通过编辑这个键值项来实现 具体参见书本P218 P219页 对于IP管首共享IPC 通常不是采取禁用方式 而是采用限用方式 在注册表中找到 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control Lsa键项 双击更改键值项restrictanonymous双字节键值 默认为0 就是不限制 但可以更改 除以注册表方式外 还有一种就是批处理方式 用户自己编写一个批处理文件 它所用的命令就是netuse 然后把批处理文件放在随系统的启动的项目中 配置方法可以有两种方法 其中一种方法是注册表法 在注册表中找到HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Run键项下添加一个字符串键值项 项名就为netshare bat 键值为该批处理文件所在绝对路径 一定要输入正确 以方便系统启动时调用 另一种方法就是在把所编写的批处理文件直接放在相应用户账户文件夹下的 启动 文件夹下 可以在资源管理器中直接查找到 这样系统启动时也会自动运行这个批处理文件 删除系统默认共享 以上详细的设置方法参见书本P219 P221介绍 6 5 2共享权限类型 共享权限是保护FAT和FAT32卷上的网络资源的唯一方法 NTFS文件格式的文件夹还可以通过文件的安全访问权限配置 在NTFS格式磁盘或文件夹上 用户的最终访问权限是受两者共同决定的 当然如果该磁盘分区或文件夹没有设置成共享 则也只由NTFS安全访问权限决定 共享文件夹访问权限的配置方法很简单 都是在文件夹 不能对单独文件设置共享 属性对话框中进行 但权限配置选项要根据具体情况而定 一要看是FAT格式 还是NTFS格式 虽然配置方法基本一样 但其中的共享权限选项不完全相同 另外 还要区分是否是简单文件共享方式 因为它也关系到具体的配置方法 除了文件夹上默认的共享权限外 我们还可以自己添加需要共享该文件夹文件的用户 具体用户的共享权限配置方法参见书本P221 P222页 6 5 3创建私人文件夹 在WindowsXP系统中有一项新的功能 那就是可以为用户建立私人文件夹 我们知道 在Windows2000Server Server2003家族服务器系统中 我们可以为每个用户创建只有自己能访问的主文件夹 现在这一功能在WindowsXP系统也可以实现 对需要多人共用一台电脑的企业来说非常有用 因为不同员工用户可以在同一台电脑中创建只有自己才可以访问的私人文件夹 具体配置步骤参见书本P223页介绍 注意 创建私人文件的功能仅可用于包含在用户配置文件中的文件夹 其中包括了 我的文档 及其子文件夹 桌面 开始 菜单 Cookies和收藏夹 而且这些文件夹所在磁盘分获必须是NTFS文件格式 其他格式的无效 配置成私人文件夹后 其他所有用户均不可访问 但如果这些文件夹尚未设置为私人文件夹 则任何使用该计算机的人都可使用这些文件夹 将一个文件夹设置为私人文件夹时 则该文件夹中的所有子文件夹也将成为私人文件夹 6 6NTFS文件访问权限的配置 与共享文件夹的访问权限一样 NTFS文件夹的访问权限对于整个系统 特别是本地计算机系统的的安全非常重要 共享文件夹的访问权限是用户通过网络进行文件访问的权限 而NTFS访问权限则是用户在本地计算机中的文件访问权限 相比之下之下 共享文件夹的访问权限设置对于网络安全更重要 而本节所要介绍的NTFS访问权限则对于各服务器和工作站的本地系统安全更为重要 但是共享文件夹的访问权限与NTFS文件访问权限又不完全独立的 在NTFS文件格式磁盘中的共享文件夹中 两个权限是相互影响的 这在上节已有说明 在FAT和NTFS文件格式的文件夹中都可以设置共享权限 但只有NTFS格式的文件夹可以配置NTFS本地文件访问权限 而且共享权限只能在文件夹中中配置 而NTFS访问权限却可以同时在文件和文件夹中配置 如图6 4所示的是NTFS文件访问权限的配置对话框 而如图6 5所示的是NTFS文件夹访问权限配置对话框 图6 4文件属性 安全 选项卡对话框图6 5文件夹属性 安全 选项卡对话框 进入的方法都是在相应的文件或文件夹上单击右键 然后选择 属性 选项 再在打开的对话框中选择 安全 选项卡即可 对比两个对话框可以看出 文件和文件夹的NTFS访问权限选项并不完全相同 6 6 1文件和文件夹的NTFS访问权限 NTFS文件夹访问权限包括 完全控制 修改 读取和运行 列出文件夹目录 读取 写入 和 特别权限 共七项 而NTFS文件访问权限仅包括 完全控制 修改 读取和运行 读取 写入 和 特别权限 共六项 因为它不属于文件夹 所以没有NTFS文件夹访问权限中的 列出文件夹目录 权限选项 这些只是一些大的权限权限类型 具体包括许多细的权限选项 都可以在 特别权限 选项中设置 以上具体权限选项说明参见书本P225页的表6 6 用户对NTFS文件和文件夹的访问权限是由书本P225中的表6 6所列出特别权限逻辑组成 具体参见书本P225页的表6 7 6 6 2文件服务器的最佳权限设置 对于共享文件夹的访问通过两个权限项集来确定 共享上的权限集 称为 共享权限 和文件夹上的权限集 称为 NTFS文件和文件夹权限 共享权限时常用于管理使用FAT32文件系统的计算机或不使用NTFS文件系统的其他计算机 共享权限和NTFS权限是独立的 即它们不彼此更改 但对于共享文件夹的最终访问权限是考虑共享权限和NTFS权限项后确定的 书中P226页的表6 8的建议权限配置是管理员可以为Users组授予的对于某些共享文件夹类型的权限 推荐的权限已经过测试 并且正确工作 但还存在一些其他方法 例如 一些有经验的管理员始终喜欢将Everyone的