第 3 章：Windows XP 客户端.doc

Windows XP 安全指南第 3 章：Windows XP 客户端安全设置更新日期： 2006年07月17日本页内容概述帐户策略设置本地策略设置审核策略设置用户权限分配设置安全选项设置事件日志安全设置受限制的组系统服务其他注册表设置如何修改安全配置编辑器用户界面其他安全设置保护文件系统总结概述本章中详细介绍通过 Microsoft Windows 2000 或 Windows Server 2003 Active Directory 目录服务域中组策略配置主要安全设置。实施规定的策略设置可以确保安全地配置组织中运行带有 Service Pack 2 (SP2) 的 Microsoft WindowsXP Professional 的桌面计算机和便携式计算机。本章并不为 Windows XP 中所有可用的策略设置提供指导，而只为与计算机安全直接相关的策略设置提供指导。按照第 1 章“Windows XP 安全指南简介”所述，本章提供的指导特定于本指南中定义的企业客户端 (EC) 环境和专用安全 限制功能 (SSLF) 环境。在某些情况下，本章建议对于便携式计算机和桌面计算机使用不同的策略设置，因为便携式计算机是移动的，并不始终通过组织网络连接到环境中的域控制器。本章还假定便携式计算机用户通常在不提供现场技术支持的不同时间工作。因此，对于便携式客户端计算机来说，需要连接到域控制器或者控制登录时间的策略设置会有所不同。如第 2 章“配置 Active Directory 域基础结构”所述，域级别有时定义了没有为特定环境指定的策略设置。本章的某些其他策略设置是作为“没有定义”列出的，这是因为对于该特定环境，默认值足以确保安全。并且，这些组策略对象 (GPO) 中的未定义策略设置便于部署安装期间需要修改设置的应用程序。例如，企业管理工具可能需要向托管计算机上的本地服务帐户分配特定用户权限。本章中的指导仅仅是一些建议，您应该在对环境做任何更改之前始终认真考虑自己的业务需求。下表定义本指导中提供的基础结构 (.inf) 文件。这些文件包含本章中论述的两种环境的基准安全设置建议。表 3.1 基准安全模板描述ECSSLF桌面计算机的基准安全模板EC-Desktop.infSSLF-Desktop.inf便携式计算机的基准安全模板EC-Laptop.infSSLF-Laptop.inf有关本章中论述的策略设置的详细信息，请参阅附加指南威胁和安全：Windows Server 2003 和 Windows XP 的安全设置，该指南可从 /china/technet/security/guidance/secmod48.mspx 下载。返回页首帐户策略设置本章不提供帐户策略设置信息。这些设置会在本指南的第 2 章“配置 Active Directory 域基础结构”中进行论述。返回页首本地策略设置本地策略设置可以通过本地安全策略控制台或基于 ActiveDirectory 域的 GPO 在运行 Windows XP Professional 的任何计算机上进行配置。本地策略设置包括“审核策略”、“用户权利指派”和“安全选项”。返回页首审核策略设置审核策略确定要向管理员报告的安全事件，以便记录具有指定事件类别的用户或系统活动。管理员可以监视与安全有关的活动，如谁访问某个对象、用户何时登录或注销计算机、是否对审核策略设置进行过更改。基于所有这些原因，Microsoft 建议您为管理员创建一个可在您的环境中实施的审核策略。但是，实施审核策略之前，您必须确定在您的环境中需要审核哪些事件类别。审核策略由您在事件类别中选择的审核设置来定义。当您为特定事件类别定义审核设置时，管理员可以根据组织的安全需求创建审核策略。如果未配置任何审核设置，将很难或者不可能确定在遇到安全事件时所发生的情况。不过，如果由于配置了审核设置而导致出现太多的授权活动生成事件，则安全事件日志将被无用的数据填满。以下部分中的信息旨在帮助您确定要监视的内容以及如何为组织收集相关审核数据。您可以使用组策略对象编辑器在以下位置配置 Windows XP 的审核策略设置:计算机配置Windows 设置安全设置本地策略审核策略下表针对本章中论述的两种安全环境汇总了桌面和便携式客户端计算机的审核策略设置建议。企业客户端环境被称为 EC，专用安全 限制功能环境被称为 SSLF。您应该检查这些建议并根据组织的需要进行调整。但是，对于可能生成大量通信的审核设置应该慎重考虑。例如，如果对“审核特权使用”启用成功或失败审核，则将生成过多的审核事件，从而无法查找安全事件日志中其他类型的条目。这种配置也可能对性能产生重大影响。下列小节提供了每个设置的详细信息。表 3.2 审核策略设置建议设置EC 桌面计算机EC 便携式计算机SSLF 桌面计算机SSLF 便携式计算机审核帐户登录事件成功成功成功、失败成功、失败审核帐户管理成功成功成功、失败成功、失败审核目录服务访问没有定义没有定义没有定义没有定义审核登录事件成功成功成功、失败成功、失败审核对象访问无审核无审核失败失败审核策略更改成功成功成功成功审核特权使用无审核无审核失败失败审核过程追踪无审核无审核无审核无审核审核系统事件成功成功成功成功审核帐户登录事件如果启用此策略设置，则生成用于凭据验证的事件。这些事件是在对于凭据具有权威性的计算机上发生的。对于域帐户，域控制器具有权威性；而对于本地帐户，本地计算机具有权威性。在域环境中，大多数帐户登录事件在对于域帐户具有权威性的域控制器的安全日志中发生。然而，这些事件也可能在组织的其他计算机上发生，具体取决于用于登录的帐户。在本指导中，“审核帐户登录事件”设置仅针对 EC 环境配置为“成功”；而对于 SSLF 环境则配置为“成功”和“失败”。审核帐户管理此策略设置用于跟踪以下企图：新建用户或组、重命名用户或组、启用或禁用用户帐户、更改帐户密码、启用对帐户管理事件的审核。如果启用此审核策略设置，管理员可以跟踪事件，以检测恶意创建、意外创建和授权创建用户帐户和组帐户的情况。对于 EC 环境，“审核帐户管理”设置配置为“成功”；对于 SSLF 环境则配置为“成功”和“失败”。审核目录服务访问启用此策略设置只是为了对域控制器执行审核任务。因此，未在工作站级别定义该设置。此策略设置不适用于运行 Windows XP Professional 的计算机。因此，对于本章中论述的两种环境，确保“审核目录服务访问”设置被配置为“没有定义”。审核登录事件此策略设置生成记录创建和销毁登录会话的事件。这些事件在所访问的计算机上发生。为进行交互式登录，将在所登录的计算机上生成这些事件。如果执行网络登录是为了访问共享，则将在宿主所访问资源的计算机上生成这些事件。如果将“审核登录事件”设置配置为“无审核”，则很难或无法确定哪些用户访问或尝试访问了组织中的计算机。对于 EC 环境，请将“审核登录事件”设置配置为记录“成功”事件。对于 SSLF 环境，请将此策略设置配置为“成功”和“失败”事件。审核对象访问就其自身而言，本策略设置不会导致任何事件被审核。它确定是否审核某个用户对于具有指定的系统访问控制列表 (SACL) 的对象的访问，这些对象可以是文件、文件夹、注册表项或打印机。SACL 由访问控制项 (ACE) 组成。每个 ACE 包含三部分信息： 审核的安全主体（用户、计算机或组）。 要审核的特定访问类型，称作访问掩码。 一个标记，表示是审核失败的访问事件，还是审核成功的访问事件或两者全部都进行审核。如果将“审核对象访问”设置配置为“成功”，则每当用户成功访问具有指定 SACL 的对象时均会生成一个审核项目。如果将此策略设置配置为“失败”，则每当用户尝试访问具有指定 SACL 的对象失败时均会生成一个审核项目。组织应该仅定义它们配置 SACL 时想要启用的操作。例如，可能需要在可执行文件上启用“写入和添加数据审核”设置以跟踪那些文件的更改或替换操作，因为计算机病毒、蠕虫和特洛伊木马通常会以可执行文件为目标。同样，可能需要跟踪访问或更改敏感文档的时间。对于 EC 环境，将“审核对象访问”设置配置为“无审核”；对于 SSLF 环境则配置为“失败”。启用此设置之后，下列过程才会生效。下列过程详述如何对文件或文件夹手动设置审核规则，以及如何针对指定文件或文件夹中的每个对象测试每个审核规则。测试过程可以通过脚本文件自动执行。为文件或文件夹定义审核规则1. 使用 Windows 资源管理器定位该文件或文件夹，然后选择它。2. 单击“文件”菜单并选择“属性”。3. 单击“安全”选项卡，然后单击“高级”按钮。4. 单击“审核”选项卡。5. 单击“添加”按钮，随后将出现“选择用户、计算机或组”对话框。6. 单击“对象类型.”按钮，在“对象类型”对话框中选择要查找对象类型。注意：“用户”、“组”和“内置安全性原则”对象类型会默认选中。7. 单击“位置.”按钮，在“位置”对话框中选择域或本地计算机。8. 在“选择用户或组”对话框中，键入要审核的组或用户的名称。然后在“输入要选择的对象名称”对话框中，键入Authenticated Users（审核所有经过身份验证的用户的访问），然后单击“确定”。此时将显示“审核项目”对话框。9. 使用“审核项目”对话框确定要针对文件或文件夹进行审核的访问类型。注意：记住，每次访问都会在事件日志中生成多个事件，这会导致日志迅速变大。10. 在“审核项目”对话框中，选择“列出文件夹/读取数据”旁边的“成功”和“失败”，然后单击“确定”。11. 已启用的审核项目将出现在“高级安全设置”对话框的“审核”选项卡下面。12. 单击“确定”关闭“属性”对话框。测试文件或文件夹的审核规则1. 打开该文件或文件夹。2. 关闭该文件或文件夹。3. 启动事件查看器。安全事件日志中将出现几个事件 ID 为 560 的对象访问事件。4. 根据需要双击这些事件，查看其详细信息。审核策略更改此策略设置确定是否审核对权限分配策略、Windows 防火墙策略、信任策略进行更改或者对审核策略本身进行更改的每个事件。您可以通过推荐的设置查看攻击者试图提升的任何帐户特权，例如添加“调试程序”特权或“备份文件和目录”特权。对于本章中论述的两种环境，“审核策略更改”设置均配置为“成功”。如果包括“失败”这一设置值，将不会在安全事件日志中提供有意义的访问信息。审核特权使用此策略设置确定是否对用户行使用户权限的每个实例进行审核。如果将此值配置为“成功”，则每当成功行使用户权限时均会生成一个审核项目。如果将此值配置为“失败”，则每当行使用户权限成功时均会生成一个审核项目。此策略设置可生成非常多的事件记录。对于 EC 环境中的计算机，“审核特权使用”设置被配置为“无审核”，而对于 SSLF 环境则配置为“失败”以审核所有使用特权的不成功尝试。审核过程追踪此策略设置确定是否审核事件的详细跟踪信息，如程序激活、进程退出、句柄复制和间接对象访问等。启用“审核过程追踪”将生成大量事件，因此通常将它设置为“无审核”。但是，在事件响应期间，即过程详细日志开始记录和这些过程被启动的时间，此设置会发挥很大的作用。对于本章中论述的两种环境，“审核过程追踪”设置均配置为“无审核”。审核系统事件此策略设置非常重要，因为它允许您监视成功和失败的系统事件，并提供这些事件的记录，从而帮助确定未经授权的系统访问的实例。系统事件包括启动或关闭环境中的计算机、全部事件日志或其他影响整个系统的安全相关事件。对于本章中论述的两种环境，“审核系统事件”设置均配置为“成功”。返回页首用户权限分配设置除了 Windows XP Professional 中的许多特权组之外，还可以为特定用户和组分配普通用户没有的用户权限。要将用户权限的值设置为“No One”，请启用此设置，但是不向其中添加任何用户或组。要将用户权限的值设置为“没有定义”，请不要启用此设置。您可以在组策略对象编辑器的下列位置配置用户权限分配设置：计算机配置Windows 设置安全设置本地策略用户权利指派下表汇总了以字母 A 到 E 开头的用户权限的用户权限分配设置建议。建议内容涵盖本章中论述的两种安全环境中的桌面和便携式客户端计算机。下列小节提供了每个设置的详细信息。表 3.4 汇总了以字母表中其余字母开头的用户权限的建议。该表后面的小节提供了有关那些用户权限的附加详细信息。注意：Internet Information Server (IIS) 中的许多功能需要特定帐户具有特定权限，例如 IUSR_、IWAM_。有关 IIS 相关帐户所需的用户权限的详细信息，请参阅“IIS and Built-in Accounts (IIS 6.0)”，网址为 /technet/prodtechnol/WindowsServer2003/Library/IIS/3648346f-e4f5-474b-86c7-5a86e85fa1ff.mspx。用户权限 A - E表 3.3 用户权限分配设置建议 - 第 1 部分设置EC 桌面计算机EC 便携式计算机SSLF 桌面计算机SSLF 便携式计算机从网络访问此计算机没有定义没有定义AdministratorsAdministrators以操作系统方式操作No OneNo OneNo OneNo One调整进程的内存配额没有定义没有定义Administrators、Local Service、Network ServiceAdministrators、Local Service、Network Service在本地登录Users、AdministratorsUsers、AdministratorsUsers、AdministratorsUsers、Administrators通过终端服务允许登录没有定义没有定义No OneNo One备份文件和目录没有定义没有定义AdministratorsAdministrators跳过遍历检查没有定义没有定义Administrators、UsersAdministrators、Users更改系统时间AdministratorsAdministratorsAdministratorsAdministrators创建页面文件AdministratorsAdministratorsAdministratorsAdministrators创建永久共享对象没有定义没有定义No OneNo One创建记号对象没有定义没有定义No OneNo One调试程序AdministratorsAdministratorsNo OneNo One拒绝从网络访问这台计算机Support_388945a0、GuestSupport_388945a0、GuestSupport_388945a0、GuestSupport_388945a0、Guest拒绝作为批作业登录没有定义没有定义Support_388945a0、GuestSupport_388945a0、Guest拒绝本地登录没有定义没有定义Support_388945a0、Guest、任何服务帐户Support_388945a0、Guest、任何服务帐户通过终端服务拒绝登录没有定义没有定义EveryoneEveryone允许计算机和用户帐户被信任以便用于委任没有定义没有定义No OneNo One从网络访问此计算机此策略设置允许网络上的其他用户连接到该计算机，它是各种网络协议所必需的。这些协议包括基于服务器消息块 (SMB) 的协议、NetBIOS、通用 Internet 文件系统 (CIFS) 和组件对象模型 (COM+)。对于 EC 环境，“从网络访问此计算机”设置被配置为“未定义”，对于 SSLF 环境则配置为Administrators。以操作系统方式操作此策略设置允许进程采用任何用户的标识，来获取对该用户被授权访问的资源的访问权限。因此，对于本章中论述的两种环境，“以操作系统方式操作”设置均限于No One。调整进程的内存配额此策略设置允许用户调整可用于进程的最大内存量。调整内存配额这一能力对于系统优化非常有用，但可能会被滥用。误用此用户权限可能导致拒绝服务 (DoS) 攻击。对于 SSLF 环境的两种计算机类型，“调整进程的内存配额”设置限于Administrators、Local Service和Network Service；而对于 EC 环境的计算机则配置为“没有定义”。在本地登录此策略设置确定哪些用户可以通过交互方式登录到您的环境中的计算机。通过在客户端计算机键盘上按 Ctrl+Alt+Del 键序列而启动的登录要求此用户权限。尝试通过终端服务或 Microsoft Internet 信息服务 (IIS) 进行登录的用户也需要此用户权限。默认情况下向Guest帐户分配了此用户权限。尽管此帐户在默认情况下已禁用，但是 Microsoft 建议通过组策略来启用此设置。不过，此用户权限通常应仅限于Administrators和Users组。如果您的组织要求Backup Operators组具有此能力，请将此用户权限分配给该组。对于本章中论述的两种环境，“在本地登录”设置限于Users和Administrators组。通过终端服务允许登录此策略设置确定哪些用户或组有权作为终端服务客户端进行登录。远程桌面用户需要此用户权限。如果您的组织使用远程协助作为其帮助台策略的一部分，请创建组并通过组策略向该组分配此用户权限。如果您的组织中的帮助台不使用远程协助，请仅将此用户权限分配给Administrators组或使用限制组功能，以确保Remote Desktop Users组中没有用户帐户。如果将此用户权限限于Administrators组（可能还包括Remote Desktop Users组），则可以防止非法用户通过 Windows XP Professional 中新的“远程协助”功能从网络访问计算机。在 EC 环境中，“通过终端服务允许登录”设置被配置为“没有定义”。在 SSLF 环境中，此策略设置被配置为No One，以便实现额外的安全性。备份文件和目录此策略设置允许用户越过文件和目录权限来备份系统。只有当某个应用程序（例如 NTBACKUP）尝试通过 NTFS 文件系统备份应用程序编程接口 (API) 访问文件或目录时，才启用此用户权限。否则，应使用分配的文件和目录权限。对于 EC 环境中的计算机，“备份文件和目录”设置被配置为“未定义”。对于 SSLF 环境，此策略设置被配置为Administrators组。跳过遍历检查当用户导航 NTFS 文件系统或注册表中的对象路径时，此策略设置允许没有特殊访问权限“遍历文件夹”的用户“跳过”文件夹。此用户权限并不允许用户列出文件夹的内容，但只允许他们遍历目录。对于 EC 环境中的计算机，“跳过遍历检查”设置被配置为“未定义”。对于 SSLF 环境，该设置被配置为Administrators和Users组。更改系统时间此策略设置确定哪些用户和组能够更改环境中计算机内部时钟的时间和日期。分配了此用户权限的用户可以影响事件日志的外观。当计算机的时间设置发生更改时，记录的事件会反映新时间，而不是事件发生的实际时间。对于本章中论述的两种环境，“更改系统时间”设置被配置为Administrators组。注意：环境中本地计算机与域控制器之间的时间差异可能会对 Kerberos 身份验证协议造成问题，这可能会使用户无法登录到域，或者在登录之后无法获得访问域资源的授权。另外，如果系统时间和域控制器的时间不同步，则在向客户端计算机应用组策略时将出现问题。创建页面文件此策略设置允许用户更改页面文件大小。攻击者可以通过创建非常大或非常小的页面文件，轻松影响受到破坏的计算机的性能。对于 EC 环境和 SSLF 环境中的所有计算机，“创建页面文件”设置被配置为Administrators。创建永久共享对象此策略设置允许用户在对象管理器中创建目录对象。此用户权限对于扩展对象命名空间的内核模式组件非常有用。但是，在内核模式中运行的组件本身具有此用户权限。因此，通常没有必要特别分配此用户权限。对于 EC 环境，“创建永久共享对象”设置被配置为“没有定义”，而对于 SSLF 环境则配置为No One。创建记号对象此策略设置允许进程创建访问令牌，这可能提供提升权限来访问敏感数据。在安全具有高优先级的环境中，不应向任何用户分配此用户权限。需要此功能的任何进程应该使用本地系统帐户，该帐户默认分配了此用户权限。对于 EC 环境，“创建记号对象”设置被配置为“没有定义”，而对于 SSLF 环境则配置为No One。调试程序此策略设置确定哪些用户可以将调试程序附加到任何进程或附加到内核中，它提供对敏感和关键操作系统组件的完整访问权限。当管理员需要利用支持“内存中的修补”（也称为“热修补”）技术的修补程序时，需要此用户权限。有关 Microsoft 安装程序包中最新功能的详细信息，请参阅“The Package Installer (Formerly Called Update.exe) for Microsoft Windows Operating Systems and Windows Components”，网址为 /technet/prodtechnol/windowsserver2003/deployment/winupdte.mspx。由于攻击者可能利用此用户权限，默认情况下仅向Administrators组分配该权限。注意：Microsoft 在 2003 年 10 月发布了许多安全修补程序，它们使用的 Update.exe 版本要求管理员拥有“调试程序”用户权限。没有此用户权限的管理员无法安装这些修补程序，直到他们重新配置了其用户权限。有关详细信息，请参阅 Microsoft 知识库文章“Windows 产品更新可能停止响应或者可能使用大部分或全部 CPU 资源”，网址为 /default.aspx?kbid=830846。“调试程序”用户权限非常强大。因此，对于 EC 环境，此策略设置被配置为Administrators，对于 SSLF 环境则保持其默认设置No One。拒绝从网络访问这台计算机此策略设置禁止用户从网络连接到计算机，该网络允许用户远程访问并可能修改数据。在高安全级环境中，远程用户应不需要访问计算机上的数据。相反，文件共享应通过使用网络服务器实现。对于本章中论述的两种环境中的计算机，“拒绝从网络访问这台计算机”设置被配置为Support_388945a0和Guest帐户。拒绝作为批作业登录此策略设置禁止用户通过批处理队列工具登录，该工具是 Windows Server 2003 中的一项功能，用于安排作业在将来自动运行一次或多次。对于 EC 环境，“拒绝作为批作业登录”设置被配置为“没有定义”，对于 SSLF 环境则配置为Support_388945a0和Guest。拒绝本地登录此策略设置禁止用户本地登录到计算机控制台。如果未授权用户本地登录到计算机，则可能在计算机上下载恶意代码或提升其特权。（如果攻击者能够物理访问控制台，则要考虑其他风险。）不应向需要物理访问计算机控制台的用户分配此用户权限。对于 EC 环境，“拒绝本地登录”设置被配置为“没有定义”，对于 SSLF 环境则配置为Support_388945a0和Guest。另外，应向计算机中添加的任何 SSLF 环境服务帐户分配此用户权限以防止其滥用。通过终端服务拒绝登录此策略设置禁止用户通过远程桌面连接登录环境中的计算机。如果将此用户权限分配给Everyone组，还可以防止默认Administrators组的成员使用终端服务登录到您的环境中的计算机。对于 EC 环境，“通过终端服务拒绝登录”设置被配置为“没有定义”，对于 SSLF 环境则配置为Everyone组。允许计算机和用户帐户被信任以便用于委任此策略设置允许用户更改 Active Directory 中计算机对象上的“信任委派”设置。滥用此特权可能允许未授权用户模拟网络上的其他用户。因此，对于 EC 环境，“允许计算机和用户帐户被信任以便用于委任”设置被配置为“没有定义”，对于 SSLF 环境则配置为No One。用户权限 F - T表 3.4 用户权限分配设置建议 - 第 2 部分设置EC 桌面计算机EC 便携式计算机SSLF 桌面计算机SSLF 便携式计算机从远端系统强制关机AdministratorsAdministratorsAdministratorsAdministrators产生安全审核Local Service、Network ServiceLocal Service、Network ServiceLocal Service、Network ServiceLocal Service、Network Service增加进度优先级AdministratorsAdministratorsAdministratorsAdministrators装载和卸载设备驱动程序AdministratorsAdministratorsAdministratorsAdministrators内存中锁定页No OneNo OneNo OneNo One作为批处理作业登录没有定义没有定义No OneNo One作为服务登录没有定义没有定义Network Service、Local ServiceNetwork Service、Local Service管理审核和安全日志AdministratorsAdministratorsAdministratorsAdministrators修改固件环境值AdministratorsAdministratorsAdministratorsAdministrators执行卷维护任务AdministratorsAdministratorsAdministratorsAdministrators配置单一进程没有定义没有定义AdministratorsAdministrators配置系统性能AdministratorsAdministratorsAdministratorsAdministrators从插接工作站中取出计算机Administrators、UsersAdministrators、UsersAdministrators、UsersAdministrators、Users替换进程级记号Local Service、Network ServiceLocal Service、Network ServiceLocal Service、Network ServiceLocal Service、Network Service还原文件和目录没有定义没有定义AdministratorsAdministrators关闭系统Administrators、UsersAdministrators、UsersAdministrators、UsersAdministrators、Users取得文件或其它对象的所有权AdministratorsAdministratorsAdministratorsAdministrators此表汇总了以字母 F 到 T 开头的用户权限的用户权限分配设置建议。下列小节提供了每个设置的详细信息。从远端系统强制关机此策略设置允许用户从网络上的远程位置关闭基于 Windows XP 的计算机。任何分配了此用户权限的用户都可能引起拒绝服务 (DoS) 情况，这将使该计算机无法为用户请求提供服务。因此，Microsoft 建议仅向高度信任的管理员分配此用户权限。对于本章中论述的两种环境，“从远端系统强制关机”设置被配置为Administrators组。产生安全审核此策略设置确定哪些用户或进程可以在安全日志中生成审核记录。攻击者可能使用此功能创建大量审核事件，这会使系统管理员更难找到任何非法活动。另外，如果事件日志配置为根据需要覆盖事件，则未授权活动的任何证据可能会被大量不相关事件覆盖。因此，对于本章中论述的两种环境，“产生安全审核”设置被配置为Local Service和Network Service组。增加进度优先级此策略设置允许用户更改进程利用的处理器时间量。攻击者可能使用此功能将进程的优先级提高为实时，并为计算机创建一个拒绝服务情形。因此，对于本章中论述的两种环境，“增加进度优先级”设置被配置为Administrators组。装载和卸载设备驱动程序此策略设置允许用户在系统上动态装载新的设备驱动程序。攻击者可能使用此功能安装显示为设备驱动程序的恶意代码。用户需要此用户权限和Power Users组或Administrators组的成员资格才能在 WindowsXP 中添加本地打印机或打印机驱动程序。攻击者可能利用此用户权限，因此对于本章中论述的两种环境，“装载和卸载设备驱动程序”设置被配置为Administrators组。内存中锁定页此策略设置允许进程将数据保存在物理内存中，这样可以防止系统将数据分页存储到磁盘的虚拟内存。如果分配了此用户权限，系统性能可能显著降低。因此，对于本章中论述的两种环境，“内存中锁定页”设置被配置为No One。作为批处理作业登录此策略设置允许帐户使用 Task Scheduler 服务登录。Task Scheduler 通常用于管理目的，因此可能需要在 EC 环境中使用。但是，在 SSLF 环境中使用时，它应该仅限于防止滥用系统资源或防止攻击者获得计算机的用户级别访问权限之后使用该权限启动恶意代码。因此，对于 EC 环境，“作为批处理作业登录”用户权限被配置为“没有定义”，对于 SSLF 环境则配置为No One。作为服务登录此策略设置允许帐户启动网络服务或将进程注册为系统上运行的服务。在 SSLF 环境中的任何计算机上均应限制此用户权限，因为许多应用程序可能需要此特权。在 EC 环境中配置此用户权限之前，应仔细地进行评估和测试。对于 EC 环境，“作为服务登录”设置被配置为“没有定义”，对于 SSLF 环境则配置为Network Service和Local Service。管理审核和安全日志此策略设置确定哪些用户可以更改文件和目录的审核选项以及清除安全日志。由于此功能的威胁相对较小，因此对于本章中论述的两种环境，“管理审核和安全日志”设置强制使用默认值Administrators组。修改固件环境值此策略设置允许用户配置影响硬件配置的系统范围环境变量。此信息通常存储在“最后一次正确的配置”中。修改这些值可能造成会导致拒绝服务情形的硬件故障。由于此功能的威胁相对较小，因此对于本章中论述的两种环境，“修改固件环境值”设置强制使用默认值Administrators组。执行卷维护任务此策略设置允许用户管理系统卷或磁盘配置，它可能允许用户删除卷并导致数据丢失以及拒绝服务情形。对于本章中论述的两种环境，“执行卷维护任务”设置强制使用默认值Administrators组。配置单一进程此策略设置确定哪些用户可以使用工具来监视非系统进程的性能。通常，您无需将此用户权限配置为使用 Microsoft 管理控制台 (MMC) 性能管理单元。但是，如果“系统监视器”被配置为使用 Windows Management Instrumentation (WMI) 收集数据，则确实需要此用户权限。限制“配置单一进程”用户权限将防止入侵者获取某些附加信息（这些信息可用于在系统上发起攻击）。对于 EC 环境中的计算机，“配置单一进程”设置被配置为“没有定义”，对于 SSLF 环境则配置为Administrators组。配置系统性能此策略设置允许用户使用工具查看不同系统进程的性能，它可能会被滥用以允许攻击者确定系统的活动进程并深入了解计算机的潜在攻击面。对于本章中论述的两种环境，“配置系统性能”设置强制使用默认值Administrators组。从插接工作站中取出计算机此策略设置允许便携式计算机用户通过单击“开始”菜单上的“弹出 PC”来移除计算机。对于本章中论述的两种环境，“从插接工作站中取出计算机”设置被配置为Administrators和Users组。替换进程级记号此策略设置允许某个进程或服务使用不同的安全访问令牌启动其他服务或进程，它可用于修改子进程的安全访问令牌并导致特权提升。对于本章中论述的两种环境，“替换进程级记号”设置被配置为默认值Local Service和Network Service。还原文件和目录此策略设置确定在从环境中运行 Windows XP 的计算机上还原备份的文件和目录时，哪些用户可以跳过文件、目录、注册表和其他永久对象权限。此用户权限还确定哪些用户可以设置有效的安全主体作为对象所有者；它类似于“备份文件和目录”用户权限。对于 EC 环境，“还原文件和目录”设置被配置为“没有定义”，对于 SSLF 环境则配置为Administrators组。关闭系统此策略设置确定在本地登录到您环境中的计算机上的用户中，哪些用户可以使用“关机”命令关闭操作系统。误用此用户权限可能导致拒绝服务情形。在高安全级环境中，Microsoft 建议仅向Administrators和Users组分配此权限。对于本章中论述的两种环境，“关闭系统”设置被配置为Administrators和Users组。取得文件或其它对象的所有权此策略设置允许用户获得文件、文件夹、注册表项、进程或线程的所有权。此用户权限绕过现有用于保护对象的任何权限，并向指定用户授予所有权。对于本章中论述的两种环境，“取得文件或其它对象的所有权”设置被配置为默认值Administrators组。返回页首安全选项设置在环境中运行 Windows XP 的计算机上，通过组策略应用的安全选项设置用于启用或禁用多种功能，如软盘驱动器访问、CDROM 驱动器访问和登录提示。这些设置也用于配置各种其他设置，例如数据的数字签名、管理员和来宾帐户名称以及驱动程序安装如何工作。您可以在组策略对象编辑器的下列位置配置安全选项设置：计算机配置Windows 设置安全设置本地策略安全选项这一部分中包括的设置并非在所有类型的系统上都有。因此，对于那些在这一部分中定义且构成组策略中“安全选项”部分的设置，可能需要在包含它们的系统上手动修改，才能使它们完全正常运行。或者，分别编辑“组策略”模板，使其包括相应的设置选项，以便规定的设置完全生效。以下部分提供安全选项设置建议，并按对象类型进行分组。每节均包含一个汇总设置的表格，表格后面的小节提供详细信息。建议内容涵盖本章所论述的下列两种安全环境中的桌面和便携式客户端计算机：企业客户端 (EC) 环境和专用安全 - 限制功能 (SSLF) 环境。帐户下表汇总了帐户的安全选项设置建议。表格后面的小节提供了附加信息。表 3.5 安全选项设置建议 - 帐户设置EC 桌面计算机EC 便携式计算机SSLF 桌面计算机SSLF 便携式计算机帐户：管理员帐户状态没有定义没有定义已启用已启用帐户：来宾帐户状态已禁用已禁用已禁用已禁用帐户：使用空白密码的本地帐户只允许进行控制台登录已启用已启用已启用已启用帐户：重命名系统管理员帐户推荐推荐推荐推荐帐户：重命名来宾帐户推荐推荐推荐推荐帐户：管理员帐户状态此策略设置在正常操作期间启用或禁用 Administrator 帐户。当计算机启动到安全模式时，无论此设置如何配置，Administrator 帐户始终处于启用状态。对于 EC 环境，“帐户：管理员帐户状态”设置被配置为“没有定义”，对于 SSLF 环境则配置为“已启用”。帐户：来宾帐户状态此策略设置确定是启用还是禁用 Guest 帐户。Guest 帐户允许未经身份验证的网络用户访问系统。对于本章中论述的两种环境，“帐户：来宾帐户状态”安全选项设置被配置为“已禁用”。帐户：使用空白密码的本地帐户只允许进行控制台登录此策略设置确定是否可以使用没有密码保护的本地帐户从物理计算机控制台以外的位置登录。如果启用此策略设置，则具有空白密码的本地帐户无法从远程客户端计算机登录到网络。这些帐户仅可以在计算机的键盘处登录。对于本章中论述的两种环境，“帐户：使用空白密码的本地帐户只允许进行控制台登录”设置被配置为“已启用”。帐户：重命名系统管理员帐户内置的本地管理员帐户是众所周知的帐户名，易于成为攻击者的目标。Microsoft 建议您为此帐户选择其他名称，并避免表示管理或提升访问帐户的名称。同时，务必通过计算机管理控制台来更改本地管理员的默认描述。“帐户：重命名管理员帐户”设置的使用建议对于本章中论述的两种环境均适用。注意：此策略设置既未在安全模板中进行配置，也不是本指导所建议帐户的新用户名。请忽略建议的用户名，确保实施本指导的组织不会在其环境中使用同一新用户名。帐户：重命名来宾帐户内置的本地来宾帐户是另一个为黑客所共知的名称。Microsoft 也建议将此帐户重命名为不表明其目的的名称。即使您禁用了此帐户（推荐），请确保重命名该帐户以增加安全性。“帐户：重命名来宾帐户”设置的使用建议对于本章中论述的两种环境均适用。注意：此策略设置既未在安全模板中进行配置，也不是此处所建议帐户的新用户名。请忽略建议的用户名，确保实施本指导的组织不会在其环境中使用同一新用户名。审核下表汇总了推荐的审核设置。表格后面的小节提供了附加信息。表 3.6 安全选项设置建议 - 审核设置EC 桌面计算机EC 便携式计算机SSLF 桌面计算机SSLF 便携式计算机审计：对全局系统对象的访问进行审计没有定义没有定义已禁用已禁用审计：对备份和还原权限的使用进行审计没有定义没有定义已禁用已禁用审计：如果无法纪录安全审计则立即关闭系统没有定义没有定义没有定义没有定义审计：对全局系统对象的访问进行审计此策略设置为系统对象（例如，多用户终端执行程序、事件、信号和 MS-DOS 设备）创建默认的系统访问控制列表 (SACL)，从而导致这些系统对象被审核。如果启用“审计：对全局系统对象的访问进行审计”设置，则大量安全事件会迅速填充安全事件日志。因此，对于 EC 环境，此策略设置被配置为“没有定义”，对于 SSLF 环境则配置为“已禁用”。审计：对备份和还原权限的使用进行审计此策略设置确定当“审核特权使用”生效时是否审核所有用户特权的使用，包括“备份和还原”。如果同时启用两个策略，则对于备份或还原的每个文件均将生成一个审核事件。如果启用“审计：对备份和还原权限的使用进行审计”设置，则大量安全事件会迅速填充安全事件日志。因此，对于 EC 环境，此策略设置被配置为“没有定义”，对于 SSLF 环境则配置为“已禁用”。审计：如果无法纪录安全审计则立即关闭系统此策略设置确定无法记录安全事件时是否关闭系统。此设置是可信计算机系统评测标准 (TCSEC)（C2 和通用标准认证）的一个要求 - 在审核系统无法记录可审核事件时，防止出现这些事件。Microsoft 已经选择通过以下方法来满足这一要求：在无法审核系统时，暂停系统并显示一个 Stop 消息。启用此策略设置时，如果由于某种原因无法记录安全审核，则系统将关闭。如果启用“审计：如果无法纪录安全审计则立即关闭系统”设置，则可能发生意外系统故障。因此，对于本章中论述的两种环境，此策略设置被配置为“没有定义”。设备下表汇总了设备的安全选项设置建议。表格后面的小节提供了附加信息。表 3.7 安全选项设置建议 - 设备设置EC 桌面计算机EC 便携式计算机SSLF 桌面计算机SSLF 便携式计算机设备：允许不登录脱离没有定义没有定义已禁用已禁用设备：允许格式化和弹出可移动媒体Administrator、Interactive UsersAdministrator、Interactive UsersAdministratorsAdministrators设备：防止用户安装打印机驱动程序已启用已禁用已启用已禁用设