終端系統的資料安全性及資料可用性
.gif)
本頁索引
本文的重點
保護 Web 上的伺服器及工作站安全
使用原則來套用安全設定
建立稽核及監視策略
設定容錯解決方案
附錄 A:解釋使用者權限 (來自 Resource Kit)
附錄 B:本機安全設定 (來自 Resource Kit)
附錄 C:HighSecweb.inf 檔
Tom Dodds, MCS Principal Consultant, MCS Southern California
Warren Kerby, Consultant, MCS Southern California
Michael Howard, Program Manager, Microsoft Corporation
Microsoft Solutions Framework
企業安全的最佳實例
附註 本白皮書是一系列文件之一。企業安全的最佳實例 (https://www.microsoft.com/technet/archive/security/bestprac/bpent/bpentsec.mspx) 包含此系列所有文章的完整清單。另請參閱〈Security Entities Building Block Architecture〉 (https://www.microsoft.com/technet/security/bestprac/bpent/sec2/secentbb.mspx)。
本文的重點
概觀
本白皮書是依據最近在一家大銀行完成的安全協議 Microsoft Consulting Services (MCS)。它討論在下列幾個領域中的 MCS 最佳實例:
- 保護 Web 上的伺服器及工作站安全。 本節概述,為保護伺服器或工作站免遭入侵,您所應該考量的眾多概念及關鍵考量因素。
- 使用原則來套用安全設定。 本節提供關於如何套用安全模型的建議。
- 建立稽核及監視策略。 本節概述可用來自動管理安全模型的工具。
- 設計容錯解決方案。 本節概述 MCS 如何為帳戶建立一個既可靠又可擴充的解決方案。
本白皮書中概述之安全工作的評估和完成,有助於公司建立更安全的環境和網際網路形象。
保護 Web 上的伺服器及工作站安全
一般攻擊
駭客試圖存取或破壞公司系統的方式有很多種。這些攻擊大部份都為人所知,許多安全網站上都有記載。以下列出一些較常見的攻擊方式。
詐騙使用者的身分識別
詐騙使用者的身分識別是指,駭客去取得使用者的個人資訊或是能讓駭客重新進行驗證程序的資料。詐騙威脅與駭客能夠扮演一個有效系統使用者或資源去存取系統而危及系統安全有關。
擅改資料
未經授權而變更已儲存或傳輸中的資訊、格式化硬碟、惡意入侵者在通訊中引進一個無法偵測到的網路封包、 入侵者對機密檔案進行無法偵測到的變更...等等,這些全都是擅改威脅。
可否認性
使用者執行不合法操作卻沒有被追蹤的能力,叫作「可否認性」(Repudiability);可否認性威脅與下列使用者有關,他們可以否認作壞事 (不論是否惡意) 並讓您無法加以證明。
資訊透露
透露私人或企業重要資訊會危及企業安全。資訊透露威脅會將資訊曝光給不應該看該資訊的人。使用者能夠讀取其未經授權存取的檔案,以及入侵者能夠讀取兩部電腦之間傳輸的資料,都是資料透露威脅。請注意,此威脅不同於詐騙威脅,因為罪犯是直接存取資訊而不必先詐騙合法使用者。
拒絕服務
「拒絕服務」(Denial of Service, DoS) 攻擊會妨礙合法使用者使用服務。DoS 攻擊的影響力由三種方式來衡量:
- 努力程度。 衡量若要攻擊成功所需的努力。最少的努力是能夠損毀電腦的單一封包。最大的努力是許多大型封包,可能由多個攻擊者傳送。
- 嚴重性。 衡量服務程度降級的情況。嚴重攻擊將阻礙所有合法使用者存取服務。中度的攻擊會減慢存取速度,但不會完全停工。
- 持續性。 如果在停止攻擊之後該攻擊的效用仍然在持續作用中,則此攻擊具有持續性。最強的攻擊即使在入侵者無法存取服務的情況下仍然會持續。有些攻擊會一直持續到伺服器重新啟動為止。弱小攻擊的影響會在攻擊之後立刻結束。
DoS 攻擊的範圍很廣,從中度的困擾到真正的安全風險都有。一般而言,理想的防火牆應該可以防止此類攻擊的發生。(如需防止 DoS 攻擊的相關資訊,請參閱本白皮書後面的〈防止拒絕服務攻擊〉。)
專用權的提升
專用權提升威脅是指,沒有專用權的使用者取得了專用權,進而有足夠的權限危及甚至摧毀整個系統。這類威脅更危險的層面是,使用者在系統管理員不知情的情況下,利用專用權以無法偵測到的方式來危及系統。專用權提升威脅包括這些情況: 允許攻擊者得到超過應該授與的適當專用權、危及整個系統的安全以及造成極大的系統損害。攻擊者有效地穿過所有系統防衛, 成為可靠系統本身的一部份,而能夠為所欲為。
決定要保護的資訊
您必須採取的第一個步驟是決定環境中每一部系統所需的安全層級。例如,對外的 Web 伺服器通常包含公用資訊, 因此需要不同於像是儲存機密資訊的資料庫伺服器的安全模型。另一種提供安全的裝置就是防火牆。防火牆通常是用來限制企業內外的使用者存取資訊。因此,您如何設計和實施安全防火牆對計劃而言非常重要。但在採取任何實際動作之前,您必須先定義資訊安全。
在為我們的銀行專案定義資訊安全時,我們問了下列幾個問題:
- 哪些資訊應該定義為最高機密、機密、保密和不保密?
- 組織的網路之外是否存有不應該被匿名使用者存取的資訊 (定義為保密、機密或最高機密)?
- 是否有資訊只能讓一組特定人士存取?
- 是否有允許內部使用者直接存取外部資源的適當連線?
- 是否有適當的機能來允許外部人士進行內部存取?
- 應用程式套件需要何種存取類型,使用者必須透過防火牆才能進行此存取嗎?
銀行概述了所有這些議題,建立了一個安全小組,指派了安全主管,並建立了整個企業的安全原則。完成這些工作之後,我們就開發出適當的安全模型並完成建立銀行安全基礎結構所需的細節。
決定安全層級
根據資訊分類來分類及瞭解必要的安全性是很重要的。例如,您可以從決定可存取的安全資訊層級開始。企業安全有兩個極端:
- 若無適當權限,不應該存取不允許的資訊。在此情況下,由資訊技術 (IT) 部門決定誰可以存取何種資訊。這是有約束力的安排,但是可控制的安排。這也是一個已知模型,已實施多年。此結構的困難在於要控制所有不同的必要安全登入來存取所有必要資源。
- *任何人可存取未禁止存取的資訊。*這讓使用者在以匿名方式存取資訊時負責控制其動作。Web 使用者特別偏好此種安排,但是從安全觀點來看,它頗為麻煩—它使資料存取難以控制,因為使用者不必提供任何憑證即可登入。
以我們的銀行專案為例,我們採取的安全原則跨立於這兩個極端之間, 它讓我們可以一方面控制一方面提升資料存取,讓使用者能夠存取他們需要的資訊。
實體安全
實體安全是關於保護用來儲存及處理機密資料及/或珍貴資料的電腦 (不論是伺服器還是工作站)。防止遭受意外或蓄意的存取 (包括變更電腦設定方式),不過,不應防止使用者執行工作,也不應設立對使用者資源不實際或不方便的障礙。
標準安全
在標準安全方面,電腦系統必須受到保護,就像任何貴重設備一樣。以我們的銀行專案為例, 這就涉及將電腦存放在有上鎖的大樓內,未經授權的使用者不得進入。
如上一節中所提到,建立安全基礎結構的第一步,是評估每一部伺服器和工作站目前的安全層級。從標準安全模型的實體安全觀點來看,其中一些主要議題概述如下。本節後面的幾節將詳述組建安全模型的重要議題。這些建議的實際應用概述於本文件的第 3 個部份〈使用原則來套用安全設定〉,它將詳細描述在 Windows 2000 環境套用這些設定。並請牢記, 要經常到 https://www.microsoft.com/taiwan/security/ 網站查看本清單是否有新增項目。
在伺服器或用戶端上首先要評估的是產品和環境的實體安全。下圖顯示我們對於銀行保護其用戶端或伺服器所做的一些建議。
| 實體安全 | 用戶端或伺服器 |
|---|---|
| 防止意外遭竊 | 用戶端及伺服器 |
| 上鎖的房間 | 伺服器 |
| 空調環境 | 伺服器 |
| 控制進入 | 伺服器 |
| 上鎖的纜線室 (集線器不外曝) | 伺服器 |
| 鎖定電腦桌面。在伺服器方面,機架上鎖,且該區域使用公司識別證進行安全管制 (大門上鎖,機房上鎖)。 | 用戶端及伺服器 |
| 實體管理/維修的程序 (現場零配件) | 用戶端及伺服器 |
| 電源/突波 (surge) 保護器 | 用戶端及伺服器 |
| 停用軟碟機 (或至少需要使用者以系統管理員身份登入才能使用該裝置) | 用戶端及伺服器 |
| 取出軟碟機 (如果不需要它的話) | 高度安全環境下的用戶端及伺服器 |
| 開機密碼 | 高度安全環境下的用戶端及伺服器 |
| 編輯 boot.ini 檔,將開機逾時設定為 0 秒 | 高度安全環境下的用戶端及伺服器 |
| 所有磁碟機都只使用 NTFS 檔案系統 | 高度安全環境下的用戶端及伺服器 |
備份
定期備份可保護資料免於一切危險:硬體失效、正當的犯錯、病毒和惡意欺騙。在我們的銀行專案中, 因為檔案必須先讀取才能備份,且必須寫入才能還原,所以備份專用權僅限系統管理員和備份操作員才有。
稽核
通常公司並不知道有安全漏洞,常常要等到稽核網路時才會發現它。有效稽核也可以發現有安全風險之虞的動作並識別採取這些動作的使用者帳戶。建立稽核原則需要您權衡稽核成本 (在磁碟空間及 CPU 週期) 及其優點。系統安裝及容量可指定您可實際稽核多少個功能。至少,銀行決定稽核失敗的登入嘗試、存取機密資料的嘗試,以及安全設定的變更。
建立高度安全環境
根據所需的安全層級,可實施其他安全措施來建立高度安全環境。若要決定我們銀行專案的其他安全措施的需求,首先我們必須識別哪幾部電腦包含機密資料 (如果有的話)、處於遭竊或遭故意侵犯和破壞的高風險之中。為了這些機器或其子網路的安全,我們決定增加比網路其餘部份所使用的更嚴格的安全功能。
控制存取
如果未經授權的使用者可以隨便坐下來亂碰電腦,那麼沒有一部電腦是絕對安全的。以我們的銀行專案為例,銀行試圖以下列方式將登入主控台的使用者所能造成的影響降至最低:
- 停用軟碟型開機 (如果電腦硬體有提供此選項的話)。如果電腦不需要軟碟機,則將它移除。
- 將 CPU 盒上鎖,並將鑰匙存放在遠離電腦之處。
- 整個硬碟使用 NT 檔案系統 (NTFS)。
- 如果電腦不需要網路存取,則移除網路卡。
如果可行的話,銀行會儘量讓未經授權的使用者遠離電腦電源及重設開關。大部份安全電腦 (除了那些已上鎖和有守衛的機房內的電腦之外) 僅允許使用者存取鍵盤、監視器、滑鼠和印表機。銀行將 CPU 和抽取式磁碟機上鎖,只讓獲授權的人員存取它們。
在預設狀況下,Microsoft® Windows® 2000 允許任何程式存取軟碟和 CD 上的檔案。高度安全的多使用者環境只允許以交互動方式登入的人員存取那些裝置,因此互動使用者可以把機密資訊寫入這些磁碟機上,並且相信沒有其他使用者或程式會看到或修改它 (關於如何完成此動作的詳細步驟包含在〈附錄〉中)。此模式會配置系統軟碟或 CD 給使用者, 此為互動登入處理的一部份,然後自動釋出它們供一般使用,或在該使用者登出時重新配置。以我們的銀行專案為例,我們制定了一個準則,就是在登出之前會先從軟碟機或光碟機中移除機密資料。
網路層級安全
在網路上放置一台電腦,等於為該電腦新增一條存取路徑, 而該電腦應該受到保護以防止受到某種程度的入侵—,不論是意外的或故意的。在標準層級安全方面,使用者對檔案及其他物件的驗證及保護已足夠,但高層級安全需要實體網路受到保護。
主要風險是未經授權的網路點選。如果網路完全設定在一棟安全的建築物內 (極罕見),那麼未經授權的點選風險將降到最低或零風險。如果網路並非完全在直接實體控制下,您必須從實體安全開始,決定一個實際保護層級並制定它。例如,如果纜線會通過不安全區域,請考慮使用光纖連結代替雙絞線—要從光纖和虹吸管取得資料比較困難。
最近網際網路通訊越來越普遍。安全議題是雙向的,因為這種連線提供網際網路社群雙向存取。在本質上,這表示全世界任何人只要能夠存取電腦,就有機會存取企業內的部份或全部系統。不過,若要進入,必須先通過我們建立的一系列護城河或保護牆才能存取系統。
了解防火牆設計和實作已超出本文件的範疇,但這將是我們的第一個護城河。本文件的其餘內容會詳細敘述在第一道防火牆後面為該銀行建立的安全鎖定和安全結構 MCS。
重要的一般安全考量
已知狀態和可重複性
建立一個可重複的處理程序來設定伺服器。啟動作業系統的全新安裝,而且始終要使用 NTFS。如此一來,您可獲得一組一致的檔案,並適當地設定其許可權。雖然執行全新安裝的額外工作看起來令人怯步,但請注意,如果有硬體故障的情形或您要新增或取代伺服器,則您多半需還是要執行全新安裝。如果您升級一組伺服器,它們很可能安裝了不同組的檔案。IIS 及其他元件可以用指令檔設定。建立指令檔,並用它來進行所有的更新。您不會忘記設定,如果您必須新增另一個伺服器,可以一直使用該指令檔。
要使用一個完全鎖定的伺服器很難。例如,當伺服器處於「生產」模式時,應該關閉未使用的服務。不過,在設定伺服器時,有些服務必須保持在執行中。請建立兩個指令檔:一個指令檔會在「生產」模式中鎖定伺服器,另一個指令檔則會將伺服器置於「維護」模式。由於安全設定會因維護而「暫時」關閉,伺服器被駭客攻擊就不會再開啟。
元件
如果您不使用元件或功能,請勿安裝它。請刪除它或停用它。這點很重要。移除可以移除的任何元件,但要讓網站仍可運作。
將服務設定為「手動」
關閉所有未使用的服務。若要幫助決定有使用哪些服務,請將您認為沒有使用的服務的 [啟動類型] 設定為 [手動]。重新啟動伺服器並使用所有的應用程式。然後使用「服務 MMC 嵌入式管理單元」,查看哪些服務已啟動。那些未啟動的服務可能是設定為 [停用] 的。
密碼
任何工作站或伺服器的安全幾乎就看密碼的品質。使用強化安全密碼並依據原則經常變更它們。最近的研究建議您,選擇至少七個字元的密碼,並在其中參雜包含字母、數字和標點符號。
使用事件日誌記錄服務
「事件日誌記錄」服務通常含有可幫助您偵測問題的資訊。它們也是系統上可能發生的惡意活動的一大資訊來源。
保留變更的記錄
按時間先後順序列出您做的所有變更。這可方便您設定新機器,它也提供您已完成作業的記錄。
確認
將伺服器連接到網際網路之前,一定要再次確認您的設定。在所有的安全措施準備就緒之前,絕對不要讓伺服器連線到網際網路。請使用檢查清單來追蹤檢查安全措施。攻擊者會不停地掃描 IP 位址來尋找新機器。協助弱點偵測的軟體有很多,包括需購買的以及免費的。請使用這些產品來確認您的安全措施準備就緒並且可以運作。
深入防禦
不要仰賴單一防禦來保護您。讓攻擊者對您的周嚴防禦措施望而卻步。將系統設計成像城堡一樣,有護城河、吊橋、外牆、內牆和要塞。這並不表示一定要讓合法使用者很難從您的網站取得資訊。唯讀存取通常很容易達成。在網站上變更、編輯、新增或公佈資訊的所有方法都必須小心保護才行。
維護
對任何安全網站來說,維護是不斷進行的活動。最簡單、最重要的維護活動就是盯緊安全公告及施行任何建議。維護也包括定期檢查,以確保所有安全程序仍然就緒且可運作。
經常測試所有功能
定期停止電腦、重新開機及測試應用程式。如果您發現有程式停止運作或它的操作改變了,您可以查看變更清單,以找出是哪一項設定造成改變。
使用網路探測程式來偵測流量
網路探測程式或監視程式會提供您關於哪些服務正在執行的線索。請利用 https://www.isi.edu/in-notes/iana/assignments/port-numbers 網址上的「已知的連接埠號碼」文件,來判斷哪些服務正在使用連接埠。
套用最新的 Service Pack 及 Hotfix
您在伺服器及工作站上,使用的所有產品之安全資訊一定要保持最新,這一點非常重要。一旦公開某個安全相關議題,就要儘快實施所建議的修正程式。攻擊者也會監視此資訊,並使用它來對付任何未更新的用戶端或網站。攻擊者會撰寫指令檔來測試系統中所有已知的弱點。系統因為這些已知的行為而經常遭到攻擊。因此,我們一再強調安全更新和修補程式要保持最新的重要性。
一發現問題,Microsoft 就會自動以電子郵件傳送安全公告。若要查看先前的公告及簽署接收以後的公告,請至 https://www.microsoft.com/taiwan/technet/security/。 在檢閱所有 Microsoft 安全公告之後,請確定所有最新修補程式已套用至周邊網路 (亦稱為 DMZ 或非軍事區) 伺服器。目前,Windows NT® 4.0 Service Pack 6 (SP6) 是最新的 Service Pack,建議安全的 Internet Information Server 4(IIS4) 網站使用它。請到 https://www.microsoft.com/taiwan/security/ 網站檢閱最新 Microsoft 安全相關新聞。
防止 DoS 攻擊
「拒絕服務」攻擊 (Denial of Service, DoS) 很難防禦。同樣有一件最重要的事要做,就是到 https://www.microsoft.com/taiwan/security/ 網站了解張貼的最新 DoS 攻擊的資訊。另一個方式是在 Windows 2000 伺服器或工作站上加強 TCP/IP 堆疊,以幫助防止影響系統效能或使系統停頓的一般 DoS 攻擊。
加強 TCP/IP 堆疊
在預設狀況下,TCP/IP 堆疊是設定來處理正常流量並在正常工作狀況下健全系統。如果 Windows 2000 伺服器或工作站要出現在網際網路上,則應該重新設定 TCP/IP 堆疊來應付各種 TCP/IP 通訊協定攻擊。如需相關資訊,請參閱 Knowledge Base 文章〈Internet Server Unavailable Because of Malicious SYN Attacks〉,網址為 https://support.microsoft.com/default.aspx?scid=kb;zh-tw;Q142641&sd=tech
為了加強銀行的堆疊,我們設定了下列機碼。所有 TCP/IP 參數均位於此登錄機碼之下:
HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services
SynAttackProtect
| 機碼: | Tcpip\Parameters |
| 值類型: | REG_DWORD—Boolean |
| 有效範圍: | 0, 1, 2 |
| 預設值: | 0 |
| 描述: | 啟用後,本參數會使 TCP 去調整 SYN-ACKS 的重新傳輸,讓連線回應更快逾時 (如果看起來 SYN-ATTACK 正在進行中的話)。此決定是以 TcpMaxPortsExhausted 參數為依據。 |
參數:
| 0: | 預設值 – 正常保護防止 SYN 攻擊。 |
| 1: | 較佳保護 – 本參數會使 TCP 去調整 SYN-ACKS 的重新傳輸,使連線回應更快逾時 (如果看起來 SYN-ATTACK 正在進行中的話)。此決定是以 TcpMaxPortsExhausted、TCPMaxHalfOpen 及 TCPMaxHalfOpenRetried 為依據。 |
| 2: | 最佳保護 – 新增其他延遲至連線指示,當 SYN=ATtack 正在進行時,使 TCP 連線要求快速逾時。這是建議的設定。使用此設定時,請注意,下列 Socket 選項對任何 Socket 不再有效:可調整的視窗 (RFC 1323) 以及每一個配接卡設定的 TCP 參數 (起始 RTT,視窗大小)。 |
EnableDeadGWDetect
| 機碼: | Tcpip\Parameters |
| 值類型: | REG_DWORD—Boolean |
| 有效範圍: | 0, 1 (False, True) |
| 預設值: | 1 (True) |
| 描述: | 當此參數為 1 時,允許 TCP 執行死閘道偵測 (dead-gateway detection)。啟用此功能之後,如果有許多連線遭遇困難,TCP 會要求 IP 變更為備份閘道。您可以在 [網路] 控制台,於 TCP/IP 設定對話方塊的 [進階] 區段中定義備用閘道。 請參閱此白皮書的〈死閘道偵測〉一節,以取得詳細資料。 |
| 建議: | 0 – 攻擊會強迫使用它來切換閘道,而造成切換至非預期的閘道 |
EnablePMTUDiscovery
| 機碼: | Tcpip\Parameters |
| 值類型: | REG_DWORD—Boolean |
| 有效範圍: | 0, 1 (False, True) |
| 預設值: | 1 (True) |
| 描述: | 當此參數設為 1 (True) 時,TCP 會嘗試在通往遠端主機的路徑上探索傳輸單元最大值 (MTU 或最大封包大小)。透過探查出路徑 MTU,並將 TCP 區段限制在此大小之內, TCP 就能在以不同 MTU 連接網路的路徑上,消除路由的片段。 片段化對 TCP 輸送量及網路阻塞情況有負面影響。將此參數設定為 0 會造成 576 位元組的 MTU 使用於本機子網路上非連接到主機的所有連線。 |
| 建議: | 0 – 攻擊者會強迫 MTU 變成很小,使堆疊超負荷。 |
KeepAliveTime
| 機碼: | Tcpip\Parameters |
| 值類型: | REG_DWORD—時間 (毫秒) |
| 有效範圍: | 1–0xFFFFFFFF |
| 預設值: | 7,200,000 (兩小時) |
| 描述: | 此參數控制 TCP 嘗試多久傳送一次持續作用封包來驗證閒置連線保持原封不動。如果遠端系統仍可存取及作用中,則它會接受持續作用傳輸。在預設狀況下,不會傳送持續作用封包。此功能可由應用程式在連線中啟用。 |
| 建議: | 300,000 (5 分鐘) |
NoNameReleaseOnDemand
| 機碼: | Netbt\Parameters |
| 值類型: | REG_DWORD—Boolean |
| 有效範圍: | 0, 1 (False, True) |
| 預設值: | 0 (False) |
| 描述: | 此參數可決定,當電腦收到來自網路的 name-release 要求時是否釋放其 NetBIOS 名稱。新增它是為了讓系統管理員能夠保護電腦免於遭到惡意的 name-release 攻擊。 |
PerformRouterDiscovery
| 機碼: | Tcpip\Parameters\Interfaces\<interface> |
| 值類型: | REG_DWORD--BOOLEAN |
| 有效範圍: | 0: 停用 1: 啟用 2: 預設為 Off,DHCP 控制 |
| 預設值: | 2 |
| 描述: | 此參數可控制 Windows NT 是否根據 RFC 1256,逐一介面嘗試執行路由器探索。 |
| 建議: | 0 – 這可防止虛假路由器通告 |
| 注意事項: | 在 Tcpip\Parameters\Adapters 中使用此值,以得知 Interfaces 下的哪一個值符合網路卡。 |
-
移除預設系統管理網路檔案共用。
- 對於所有系統上的每一個硬碟機,移除預設共用 (**C$**、**D$**...等等)。開啟 \[Windows 檔案總管\],並在硬碟機的圖示上按一下滑鼠右鍵。按一下 \[共用\]。
- 選取 \[不共用此資料夾\]。
- 按一下 \[確定\] 以接受變更。
- 對於系統磁碟區,移除預設管理共用 (**Admin$**)。在 %windir% 目錄上按一下滑鼠右鍵。如前述繼續進行。
- 若要確定預設共用不會重建,請設定此登錄機碼:HKLM\\System\\CurrentControlSet\\Services\\LanmanServer\\Parameters
\\AutoShareServer = reg\_dword : 0
| 稽核 |
原則設定 |
|---|---|
| 稽核帳戶登入事件 | 成功及失敗 |
| 稽核帳戶管理 | 成功及失敗 |
| 稽核目錄存取 | 未定義 |
| 稽核登入事件 | 成功及失敗 |
| 稽核物件存取 | 成功 |
| 稽核原則變更 | 成功及失敗 |
| 稽核專用權使用 | 成功及失敗 |
| 稽核處理追蹤 | 未定義 |
| 稽核系統事件 | 成功及失敗 |
| xcopy.exe | wscript.exe | cscript.exe | net.exe | ftp.exe | telnet.exe |
| arp.exe | edlin.exe | ping.exe | route.exe | at.exe | finger.exe |
| posix.exe | rsh.exe | atsvc.exe | qbasic.exe | runonce.exe | syskey.exe |
| cacls.exe | ipconfig.exe | rcp.exe | secfixup.exe | nbtstat.exe | rdisk.exe |
| debug.exe | regedt32.exe | regedit.exe | edit.com | netstat.exe | tracert.exe |
| nslookup.exe | rexec.exe | cmd.exe |
| 帳戶 |
原則設定 |
|---|---|
| 對於系統管理活動及一般使用者活動使用個別的帳戶。 | 設定於原則中。 |
| 重新命名系統管理員帳戶成為較不明顯的名稱。 | 設定於原則中。 |
| 禁止來賓 (Guest) 寫入或刪除任何檔案、目錄或登錄機碼 (可留下資訊的目錄例外)。 | 停用來賓。 |
| 設定伺服器未使用一段指定的時間之後自動鎖定。 使用 alt-ctrl-del 32 位元螢幕保護裝置配合「密碼保護」選項。 | 登入螢幕保護裝置設定為五分鐘。 |
| 密碼 |
原則設定 |
|---|---|
| 最長密碼期限。 | 設定為 30 天。 |
| 強制密碼唯一性。 | 設定為五個唯一密碼。 |
| 密碼由數字、特殊字元及混合大小寫字母所組成。 (安裝的強化安全密碼選項 [請參閱 Q161990])。 | 需要強制強化安全密碼 |
| 在第三次失敗嘗試之後鎖定帳戶。 | 有六十分鐘來重設重試及帳戶存取。 |
| 長度至少八個字元。 | 設定為八個字元。 |
| 使用者名稱 | 原則設定 |
|---|---|
| 請勿使用公司名稱或應用程式名稱的一部份。 | 原則。 |
| 使用者名稱長度至少八個字元。 | 設定為八個。 |
| 在第三次失敗嘗試之後鎖定帳戶。 | 設定於安全原則中。 |
| 檔案類型 |
ACL |
|---|---|
| CGI etc .EXE、.DLL、.CMD、.PL | 每個人 (X) 系統管理員 (完全控制) 系統 (完全控制) |
| 指令檔 .ASP 等 | 每個人 (X) 系統管理員 (完全控制) 系統 (完全控制) |
| 併入檔 .INC、.SHTML、.SHTM | 每個人 (X) 系統管理員 (完全控制) 系統 (完全控制) |
| Static 內容 .HTML、.GIF、.JPEG | 每個人 (R) 系統管理員 (完全控制) 系統 (完全控制) |
這些設定會套用至任何執行網站的電腦。
不要在每一個檔案上設定 ACL,我們建議為每一個檔案類型設定新目錄,然後在該目錄上設定 ACL,並允許檔案繼承 ACL。例如,目錄結構如下:
c:\inetpub\wwwroot\myserver\static (.html)
C:\inetpub\wwwroot\myserver\include (.inc)
C:\inetpub\wwwroot\myserver\script (.asp)
c:\inetpub\wwwroot\myserver\executable (.dll)
c:\inetpub\wwwroot\myserver\images (.gif, .jpeg)
真正的 ACL 繼承是有安裝「安全性設定編輯器」的 Windows NT4 SP4 的一項特性。
而且,如果您使用 FTP 和 SMTP,則需要特別注意其目錄。
設定 IIS 記錄檔 ACL
若要防止惡意的使用者刪除檔案來遮蓋其行動歷程,請設定適當的 IIS 記錄檔 ACL。 我們建議在 IIS 產生的記錄檔上設定 ACL (%systemroot%\system32\LogFiles) 為:
- 系統管理員 (完全控制)
- 系統 (完全控制)
這些設定套用至任何執行網站的電腦。
啟用記錄設定
如果您想知道伺服器是否遭到攻擊,則記錄是最重要的。您應該載入 IIS MMC 嵌入管理單元, 來使用全球資訊網協會 (W3C) 的擴充記錄格式。然後:
- 在網站上按一下滑鼠右鍵。
- 按一下 [內容]。
- 選擇 [記錄 W3C 擴充記錄]。
同時,要記得在記錄檔的 [內容] 方塊中設定所有必要的一般內容及擴充內容。
這些設定套用至任何執行網站的電腦。
停用或移除所有範例應用程式
範例只是範例,絕對不可以安裝在生產伺服器上。這包括說明文件 (Software Development Kit [SDK] 文件包括範例程式碼)、 來自 SDK 的 Exploration Air 範例網站以及其他。以下是一部份範例的預設位置:
| 技術 |
位置 |
|---|---|
| IIS | c:\inetpub\iissamples |
| IIS SDK | c:\inetpub\iissamples\sdk |
| 管理指令檔 | c:\inetpub\AdminScripts |
| 資料存取 | c:\Program Files\Common Files\System\msadc\Samples |
-
帳戶原則區段
- 密碼原則
- 帳戶鎖定原則
- Kerberose 原則
本機原則區段
- 稽核原則
- 使用者權限原則
- 安全選項原則
- 系統服務原則
| 帳戶原則 – 密碼原則 | |
|---|---|
| 強制執行密碼歷程記錄 | 0 |
| 最短密碼期限 | 42 |
| 密碼最短使用期限 | 0 |
| 密碼必須符合複雜性需求 | 停用 |
| 使用可回復加密來儲存網域中所有使用者的密碼 | 停用 |
| 帳戶原則 – 帳戶鎖定原則 | |
| 帳戶鎖定期限 | 0 |
| 帳戶鎖定閾值 | 0 |
| 重設帳戶鎖定計數器的時間間隔 | 30 |
| 帳戶原則 – Kerberose 原則 | |
| 強制執行使用者登入限制 | 啟用 |
| 服務票證最長存留期 | 600 分鐘 |
| 使用者票證最長存留期 | 10 小時 |
| 使用者票證續訂的最長存留期 | 7 天 |
| 電腦時鐘同步處理的最大容錯性 | 5 分鐘 |
| 本機原則 – 稽核原則 | |
| 帳戶登入事件 | 沒有稽核 |
| 帳戶管理 | 沒有稽核 |
| 目錄服務 | 沒有稽核 |
| 登入事件 | 沒有稽核 |
| 物件存取 | 沒有稽核 |
| 原則變更 | 沒有稽核 |
| 專用權使用 | 沒有稽核 |
| 程序追蹤 | 沒有稽核 |
| 系統事件 | 沒有稽核 |
| 本機原則 – 應用程式事件日誌記錄 | |
| 應用程式事件日誌記錄 – MaximumLogSize | 未定義 |
| 應用程式事件日誌記錄 – AuditLogRetentionPeriod | 未定義 |
| 應用程式事件日誌記錄 – RestrictGuestAccess | 未定義 |
| 本機原則 – 安全事件日誌記錄 | |
| 應用程式事件日誌記錄 – MaximumLogSize | 未定義 |
| 應用程式事件日誌記錄 – AuditLogRetentionPeriod | 未定義 |
| 應用程式事件日誌記錄 – RestrictGuestAccess | 未定義 |
| 本機原則 – 系統事件日誌記錄 | |
| 應用程式事件日誌記錄 – MaximumLogSize | 未定義 |
| 應用程式事件日誌記錄 – RestrictGuestAccess | 未定義 |
| 使用者權限 - 從預設的網域控制站原則建立 | |
| 從網路存取這台電腦 | Admins、BK Ops、Power Users、Users、Everyone、IUSRs |
| 扮演作業系統的一部份 | LocalSystem |
| 新增工作站至網域 | Authenticated Users |
| 備份檔案及目錄 | Admins、BK Ops |
| 略過周遊檢查 | Admins、BK Ops、Power Users、Users、Everyone、IUSRs |
| 變更系統時間 | Admins、Svr Ops |
| 建立分頁檔 | Admins |
| 建立記號物件 | LocalSystem |
| 建立永久共用物件 | LocalSystem |
| 偵錯程式 | Admins、Local System |
| 拒絕從網路存取這台電腦 | 無人被拒絕 |
| 拒絕以批次工作登入 | 無人被拒絕 |
| 拒絕以服務方式登入 | 無人被拒絕 |
| 拒絕本機登入 | 無人被拒絕 |
| 讓電腦及使用者帳戶受信任可以委派 | |
| 強制從遠端系統關機 | Admins, Svr Ops |
| 產生安全性稽核 | Local System |
| 增加配額 | Admins |
| 增加排程優先順序 | Admins |
| 載入及卸載裝置驅動程式 | Admins |
| 鎖定記憶體分頁 | 原則已廢除 |
| 以批次工作登入 | LocalSystem |
| 以服務方式登入 | 沒有帳戶有使用權限 |
| 本機登入 | Admins、BK Ops、Power Users、Users、ISInternet User |
| 管理稽核及安全性記錄 | Admins |
| 修改韌體環境值 | Admins、LocalSystem |
| 設定檔單一處理程序 | Admins、LocalSystem |
| 設定檔系統效能 | Admins、LocalSystem |
| 從銜接站移除電腦 | Admins、Power Users、Users |
| 取代處理層級記號 | LocalSystem |
| 還原檔案及目錄 | Admins、BK Ops、Svr Ops |
| 關閉系統 | Admins、BK Ops、Svr Ops |
| 同步處理目錄服務資料 | 目前,未使用 |
| 取得檔案或其他物件的擁有權 | Admins |
| 安全選項 | |
| 匿名連線的其他限制 | 無。仰賴預設權限 |
| 允許伺服器操作員排定工作 (僅限 DC) | 未定義 |
| 允許系統關機而不必登入 | 停用 |
| 允許退出抽取式 NTFS 媒體 | 系統管理員 |
| 切斷工作階段之前所需的閒置時間量 | 15 分鐘 |
| 稽核通用系統物件的存取 | 停用 |
| 稽核備份及還原專用權的使用 | 啟用 |
| 當登入時間到期時自動登出使用者 (本機) | 啟用 |
| 當系統關機時清除虛擬記憶體分頁檔案 | 停用 |
| 用戶端通訊加以數位簽名 (一律使用) | 啟用 |
| 用戶端通訊加以數位簽名 (可能的話) | 啟用 |
| 伺服器通訊加以數位簽名 (一律使用) | 啟用 |
| 伺服器通訊加以數位簽名 (可能的話) | 啟用 |
| 登入時不需要按 CTRL+ALT+DEL | 停用 |
| 勿在登入畫面上顯示最後一個使用者名稱 | 啟用 |
| LAN Manager 驗證層級 | 傳送 LM & NTLM 回應 |
| 給嘗試登入使用者的訊息文字 | |
| 給嘗試登入使用者的訊息標題 | |
| 先前的登入快取次數 | 10 次登入 |
| 防止系統維護電腦帳戶密碼 | 停用 |
| 防止使用者安裝印表機驅動程式 | 啟用 |
| 在密碼過期前提示使用者變更密碼 | 14 天 |
| 修復主控台:允許自動系統管理登入 | 停用 |
| 修復主控台:允許軟碟複製以及存取磁碟機和資料夾 | 停用 |
| 重新命名系統管理員帳戶 | 未定義 |
| 重新命名來賓帳戶 | 未定義 |
| CD-ROM 存取只限於使用本機登入的使用者 | 啟用 |
| 軟碟存取只限於使用本機登入的使用者 | 啟用 |
| 安全通道:安全通道資料加以數位加密或簽章 (一律使用) | 停用 |
| 安全通道:安全通道資料加以數位加密 (可能的話) | 啟用 |
| 安全通道:安全通道資料加以數位簽名 (可能的話) | 啟用 |
| 安全通道:需要強的 (Windows 2000 或更新版本) 工作階段機碼 | 停用 |
| 傳送未加密的密碼來連接協力廠商的 SMB 伺服器 | 停用 |
| 當無法記錄安全性稽核時,系統立即關機 | 停用 |
| 智慧卡移除行為 | 沒有動作 |
| 加強通用系統物件的預設權限 | 啟用 |
| 未簽署的驅動程式安裝行為 | 未定義 |
| 未簽署的非驅動程式安裝行為 | 未定義 |
下一步是建立及套用 Web 安全範本至在周邊網域中代表範例 Web 伺服器的組織單位。建立的安全範本 (Bank Secweb.INF) 包含下表中的所有參數,並使用 MMC 嵌入式管理單元安全設定及分析工具加以套用。此範本是 Microsoft IIS 安全小組提供的 highsecweb.inf 檔的自訂版本。下列參數及其相關值是針對該銀行的網路周邊伺服器而套用至組織單位的本機原則的現行設定。
| 安全選項 | |
|---|---|
| 匿名連線的其他限制 | 無。根據預設權限 |
| 允許伺服器操作員排定工作 (僅限 DC) | 未定義 |
| 允許系統關機而不必登入 | 停用 |
| 允許退出抽取式 NTFS 媒體 | 系統管理員 |
| 切斷工作階段之前所需的閒置時間量 | 15 分鐘 |
| 稽核通用系統物件的存取 | 停用 |
| 稽核備份及還原專用權的使用 | 啟用 |
| 當登入時間到期時自動登出使用者 (本機) | 啟用 |
| 當系統關機時清除虛擬記憶體分頁檔案 | 停用 |
| 用戶端通訊加以數位簽名 (一律使用) | 停用 |
| 用戶端通訊加以數位簽名 (可能的話) | 啟用 |
| 伺服器通訊加以數位簽名 (一律使用) | 停用 |
| 伺服器通訊加以數位簽名 (可能的話) | 啟用 |
| 登入不需要按 CTRL+ALT+DEL | 停用 |
| 勿在登入畫面上顯示最後一個使用者名稱 | 啟用 |
| LAN Manager 驗證層級 | 僅傳送 NTLMv2 回應 |
| 給嘗試登入使用者的訊息文字 | 未經授權的存取訊息 |
| 給嘗試登入使用者的訊息標題 | 重要須知!! |
| 先前的登入快取次數 | 10 次登入 |
| 防止系統維護電腦帳戶密碼 | 停用 |
| 防止使用者安裝印表機驅動程式 | 啟用 |
| 在密碼過期前提示使用者變更密碼 | 14 天 |
| 修復主控台:允許自動系統管理登入 | 停用 |
| 修復主控台:允許軟碟複製以及存取磁碟機和資料夾 | 停用 |
| 重新命名系統管理員帳戶 | 未定義 |
| 重新命名來賓帳戶 | 訪客 |
| CD-ROM 存取只限於使用本機登入的使用者 | 啟用 |
| 軟碟存取只限於使用本機登入的使用者 | 啟用 |
| 安全通道:安全通道資料加以數位加密或簽章 (一律使用) | 啟用 |
| 安全通道:安全通道資料加以數位加密 (可能的話) | 啟用 |
| 安全通道:安全通道資料加以數位簽名 (可能的話) | 啟用 |
| 安全通道:需要強的 (Windows 2000 或更新版本) 工作階段機碼 | 啟用 |
| 傳送未加密的密碼來連接協力廠商的 SMB 伺服器 | 停用 |
| 當無法記錄安全性稽核時,系統立即關機 | 停用 |
| 智慧卡移除行為 | 沒有動作 |
| 加強通用系統物件的預設權限 | 啟用 |
| 未簽署的驅動程式安裝行為 | 警告但允許安裝 |
| 未簽署的非驅動程式安裝行為 | 警告但允許安裝 |
在套用這些原則時我們所獲得的一些經驗包括:
- 如果列印多工緩衝處理器停用,則 WinMgmt (WMI) 將在應用程式事件日誌記錄中產生事件 id 37-錯誤訊息。
- 如果啟用了 [伺服器通訊加以數位簽名 (可能的話)],則 Netlogon 服務將在事件日誌記錄中產生錯誤訊息,說它找不到網域控制站。在網域的任何伺服器上實施之前,安全通道設定必須先套用至網域控制站。
- 若要從遠端安裝 BackupExec 代理程式至網域中的伺服器,在安裝之前必須先啟動伺服器上的 Remote Registry Service。這項服務已停用,此為安全性鎖定處理程序的一部份。同時,在安裝之前,必須先在伺服器上建立 C$ 共用。
- 開發指令檔或安全範本,來自動停用非必要的服務。此外,把作業系統從 NT4.0 升級到 Windows 2000 會重新啟用在安全鎖定期間停用的某些服務。
建立稽核及監視策略
安全工具
既然我們已概述 Windows 2000 安全模型,而且也了解如何保護基礎結構,下一個重要步驟就是要充份了解公司如何主動偵測安全性的曝露或漏洞。由於專案的安全最重要,因此需要採取這些措施,以確保能夠抵抗可能的入侵者。
為了符合已定義的安全原則,需要採取許多步驟。驗證安全性原則設定的處理程序非常繁瑣,因為要涵蓋的區域很多。有幾個可用的安全性工具,可用來簡化此處理程序。這些工具的功能很廣泛,從連接埠掃描器 (低階工具) 到全面的安全性掃描器都有。以下是這些工具通常隸屬的類別之清單:
- 弱點掃描器及/或連接埠掃描器
- 檔案系統檢查程式
- 事件日誌記錄分析程式
- 登錄分析程式
- 存取控制 (ACL) 分析程式
- 封包探測程式
- 密碼破解程式
- 整體安全掃描器
若要進一步了解這些安全工具,就必須了解它們的功能。我們將更深入說明每一個類別,以便了解它們的功能及設定值。
弱點掃描器及/或連接埠掃描器
在 Windows 2000 上的每一個網路服務通常會監聽特定的連接埠 (已知連接埠) 來服務用戶端要求。Web 伺服器使用連接埠 80,SSL 通訊則使用連接埠 443。「已知連接埠」清單列舉所有已保留的連接埠及它們提供的服務。在我們的銀行專案中,在遠端產品上掃描連接埠的能力會讓駭客猜到進入銀行系統的可能入口。連接埠掃描器通常是駭客用來識別目標連接埠的第一組工具。因此,一定要使用此類工具來了解目前已開啟和關閉的連接埠設定。
檔案系統檢查程式
掃描系統在系統層級上是否有異常的另一組主動工具是來自 Pedestal Software 的 Intact。Intact 會先掃描電腦,然後建立系統檔案的資料庫—此為系統在已知安全狀態下的 CD 快照 (Snapshot)。使用者可以非常精確地設定軟體,指定個別檔案及目錄來監視每一台電腦,或者為企業環境中的每一台電腦建立標準範本。一旦建立此基準資料庫之後,系統管理員就可以部署 Intact 軟體,以便隨時檢查系統的完整性。掃描目前的系統,並將該資訊與儲存在資料庫中的資料作比較之後,Intact 會偵測及報告是否對該系統有超出指定範圍以外的任何新增、刪除或變更。如果這些變更有效,系統管理員可以用新的資訊來更新基準資料庫。如果發現惡意的變更,系統管理員會「立即」知道網路有哪些元件的哪些部份受到影響。(https://www.pedestalsoftware.com/)。
事件日誌記錄分析程式
當安全原則就緒後,事件日誌記錄就會變成珍貴稽核資訊的存放庫。很可惜,除非有人檢閱此存放庫的內容,否則它毫無用處。事件日誌記錄方面有一些難題,最明顯的主要難題就是它的發佈問題。公司必須在伺服器群組中查看每一個伺服器才能識別及提出任何安全議題。將所有記錄轉送至單一的存放庫 (例如資料庫),可簡化檢閱這些記錄的處理程序,以我們的銀行專案為例,這樣也可以讓銀行發現多個產品上的可疑活動之間的時間關聯。
有兩個工具可用來匯出記錄以進行合併:
- 來自 SomarSoft 的 DUMPEVT (https://somarsoft.com)
- 來自 System Tools 的 Event Log Monitor (https://www.systemtools.com)
登錄分析程式
Windows NT 登錄的功能就像所有設定及安全資訊的中央存放庫一樣。監視它是否有任何可疑活動非常重要。像 SomarSoft 的 DumpReg 這樣的工具可用來追蹤登錄變更及監視惡意活動。SomarSoft 的 RegMon 公用程式可幫助您了解不同應用程式如何使用登錄。相關資訊,請參閱下列網站:
- 若要取得 SomarSoft 的 DUMPSEC 之相關資訊,請造訪 https://somarsoft.com。
- 若要取得有關 Pedestal Software 的 Intact 之相關資訊,請造訪 https://www.pedestalsoftware.com/。
存取控制分析程式
監視存取控制清單 (ACL) 也很重要。所有 Windows 安全都一律拿 ACL 來作為最後一道防禦線。假設所有檔案及目錄都有個自的 ACL,則要監視的資訊還真不少。為了有效率地完成這些工作,公司可以使用下列工具:
- 來自 Windows NT 2000 Resource Kit 的 CACLS 工具
- 來自 System Tools 的 Security Explorer (https://www.SystemTools.Com)
封包探測程式
封包探測功能能夠檢視實際的網路活動。即使駭客能夠有技巧地刪除其活動的歷程,也會即時記錄網路歷程,且無法加以竄改。使用此工具來捕捉可疑活動需要很大的技巧。此種工具有許多來源。「網路監視器 (Network Monitor)」是 Windows 的標準配備 (請注意,標準工具限於查看它自己的網路卡與其餘網路之間的流量)。為取得能夠探測所有流量的版本,您必須使用 Systems Management Sever 附帶的工具版本。另一個解決方案是使用來自 Network Associates 的 Total Network Visibility 產品。
密碼破解程式
現在有一些工具可讓駭客破解 Windows NT 密碼。或許最常用的就是一個叫作 L0phtCrack 的工具,它來自 L0pht Heavy Industries。此工具能夠使用字典攻擊,即試圖用字典中的每一個字來猜出密碼。它也可以使用一種沒有理性的強制攻擊。這種攻擊會嘗試將所有您提供給它的字元組合起來以找出相符者。L0phtCrack 有能力找出相符密碼來因應從網路探測的或使用本機登錄的驗證要求,因此,它是我們應強化安全密碼原則的一大理由。我們使用本文件中概述的安全措施來防止在銀行網站上使用 L0phtCrack。如需 L0phtCrack 的相關資訊,請造訪 https://www.l0pht.com
整體安全掃描器
以上提及的所有工具類別雖然可協助建立安全網路,但它們不允許公司系統管理員追蹤多個安全曝露、主動監視公司網站及測試公司伺服器,以確定它們符合安全模型。所幸協力廠商了解這項需求而建立了一組工具,可用來掃描及監視公司系統是否符合安全標準或遭到入侵。這些工具使安全防護變得比較簡易可行,也使它們成為系統管理員要在整個網路上衍生及強制施行安全原則時的第一選擇。
部份此類工具包括 Internet Security Systems 的 Internet Security Scanner (ISS) 及 Internet Security Systems 的 Database Scanner (DBScanner)。ISS 可執行系統掃描來驗證公司的安全設定。它提供一個完整掃描一個報告建立工具,按嚴重性詳述安全議題,並概述可能的解決方案。此工具可對目標伺服器執行「模擬」攻擊,以驗證安全鎖定程序的加強執行情況。ISS 也提供即時監視產品來偵測任何安全漏洞,並警示管理人員有關入侵類型以及為了要堵塞漏洞所應採取的步驟。如需 ISS 的相關資訊,請造訪 https://www.iss.net。
Internet Security Systems 的 DBScanner 評估資料庫的安全設定。它執行密碼攻擊並提供使公司資料庫更安全的建議。切記,如果資料庫儲存重要資訊,則必須將它併入作為安全模型的一部份。如需 DBScanner 的相關資訊,請造訪 https://www.iss.net。
具有類似功能的協力廠商工具包括:
- ODS Security Systems 的 Kane Security Analyst and Monitor (https://www.systemoptions.com)
- Network Associates 的 CyberCop 產品 (https://www.nai.com)
- WebTrends 的 WebTrends Security Analyzer (https://www.webtrends.com)
- 用於安全入侵偵測的 Cisco systems NetRanger (https://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/index.shtml)
IIS 監視工具
我們測試過下列清單中的工具,讓銀行能夠主動監視其網站的健全狀態。這些工具提供的監視層級及類型各不相同。我們也建議銀行下載這些工具並在實驗室測試它們。
- 可監視事件、服務、網路裝置、效能計數器、ASCII 記錄、應用程式及安全參數的 NT Systems Management 軟體 (https://www.logcaster.com)。
- 來自 NetIQ 的全功能工具,它使 Windows NT 和 Windows 2000 系統的效能及可用性達到最佳化 (https://www.netiq.com)。
一般來說,上述大部份工具均可讓公司有能力符合其安全原則所指出的要求。以我們的銀行專案為例,銀行會分析每一個伺服器,並對目前的承諾狀態快速提供回饋。 此外,這些工具也可以用來簡化稽核處理程序、執行模擬攻擊、監視網站及檢查所有伺服器的目前修補程式層級。
設計容錯解決方案
設計元件
在我們的銀行專案中,該銀行的容錯策略與 Windows DNA 說明文件中所建議之結構是一致的。基本上,該銀行組建一個三層級結構,每一層級都包括備援。下圖概述此設計的主要元件。
.gif)
防火牆結構
該銀行的所有低階網路元件的標準是 Cisco。因此,容錯的起始層級包括兩個 PIX 防火牆作為網際網路及公司網路的進入點。使用「PIX 防火牆容錯轉移選項」,專案小組排除了網際網路及公司後端網路的單一失敗點。基本上,當兩個 PIX 防火牆並列執行時,如果其中一個故障,第二個 PIX 防火牆便可無礙障地接手執行。請記住,這第二個防火牆是一個待命的緊急失敗替換,不提供任何層級的負載平衡。
Web Farm 及 Cisco Local Director
銀行結構的主要需求是建立備援 Web 伺服器群組的能力,這些伺服器會被負載平衡,但仍有能力管理狀態。同樣,依據銀行的 Cisco 標準來實施 Local Director 產品。Cisco System 的 Local Director 讓小組能夠達到高可用性及延展性,同時仍能夠使多個伺服器上的 TCP/IP 流量負載平衡。Local Director 產品也會管理狀態,並方便小組管理交易型處理程序。在容錯方面,Local Director 具有緊急待命容錯轉移機制,避免成為伺服器群組的單一失敗點。Local Director 讓伺服器能夠從伺服器群組中無障礙地移除,而達到它的 Web 伺服器備援及延展性需求。同時,Cisco 還提供數字,概述產品在一些高流量網際網路網站上的效能因素。
NLBS LDAP Farm
第二層利用「網路負載平衡服務」(Network Load Balancing Service, NLBS) 來達到負載平衡,以及提供 Lightweight Directory Access Protocol (LDAP) 伺服器的備援。這會模擬一家線上銀行分公司。在此情況下,所有重要元件都必須在伺服器失敗時還仍然能夠運作。網站的所有使用者都需要建立線上帳戶,它將儲存在 LDAP 伺服器群組中的成員資料庫中。因此,結構中的這個元件一定要隨時可用。這個問題已利用 Windows 2000 內建的 NLBS 建立最多 32 個伺服器的伺服器群組或叢集,以及在該群組中的所有伺服器上分散 Web 流量,而獲得解決。銀行可使用 NLBS 來處理 LDAP 伺服器群組上的多個要求,使可用的資源達到最佳運用。銀行範例顯示客戶如何結合 Microsoft 及其他廠商的技術 (Cisco PIX 及 LocalDirector) 來組建能夠因應目前及未來需要而擴充的 Web 伺服陣列。
安全及 SQL 叢集
當銀行的小組建立其安全模型時,資料庫就是「系統御寶」。換句話說,一位惡意使用者對資料庫的任何直接存取都將被嚴格禁止。要達到此目的,請將伺服器置於內部防火牆後面的個別網路區段 (請參考上圖)。這樣可讓銀行使用防火牆安全技術及原則來控制往返於 LDAP 伺服器的所有流量。例如,銀行使用存取篩選、位址隱藏、IPSec 及可以設定狀況的檢查來建立一個周邊安全模型,以控制及加密從周邊網路到 SQL 叢集的主電腦通訊。有關如何建立防火牆安全原則的詳細描述,請參閱 https://www.cisco.com/univercd/cc/td/doc/product/ismg/security/tutorial/defpol.htm。
後端 SQL 叢集是由兩個伺服器所組成,每一個各有兩個 NIC (一個給私人網路使用,一個給活動訊號使用),它們位於防火牆後面。銀行以主動對主動模式設定此叢集。 換句話說,兩伺服器均提供服務,而非一個伺服器提供所有服務,另一個緊急待命 (主動對被動模式)。後端叢集只提供單一服務,即對 SQL 資料庫的存取,而且受到嚴格管制。
此設定滿足銀行對資料庫元件的嚴格安全容錯結構的需求。例如,如果第一個伺服器發生硬體故障,那麼叢集中的另一個伺服器會立刻接管當機伺服器的服務。伺服器故障不會造成任何銀行服務中斷。當硬體問題解決之後,伺服器可立即回到線上,並重新加入叢集中。另一個在叢集上實施的容錯層級 (就所有伺服器而言) 是 RAID 5 磁碟陣列。如果磁碟機故障,可在不中斷 Web 銀行服務的情況下更換磁碟機。
同時,銀行使用 EMC Symmetrix Enterprise Storage 系統,它連接到兩個叢集式 IBM Netfinity Windows 2000 伺服器。Microsoft Cluster Server (MSCS) 及 EMC 的 Symmetrix Remote Data Facility (SRDF) 軟體這兩者的組合提供該小組最高層級的重要任務資訊保護及可用性。
附錄 A:解釋使用者權限 (來自 Resource Kit)
保護進階使用者權限—Windows 2000 Server (來自 Resource Kit)
| 使用者權限 |
登錄機碼及描述 (Resource Kit) |
|---|---|
| 從網路存取這台電腦 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定哪些使用者及群組可以透過網路連接到電腦。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 對每一個平台均擁有此權限的預設群組是: ‧ 工作站及伺服器 ‧ 系統管理員 ‧ 備份操作員 ‧ 進階使用者 ‧ 使用者 ‧ 每個人 ‧ 網域控制站 ‧ 系統管理員 ‧ 已驗證的使用者 ‧ 每個人 |
| 扮演作業系統的一部份 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 此原則允許處理程序驗證為任何使用者,而取得和任何使用者一樣的資源存取權。僅低階驗證服務才需要此專用權。 可能的存取權不限於在預設狀況下與該使用者相關的存取權,因為呼叫處理程序可能要求在存取記號中放置另一個任意存取權。更重要的是,呼叫處理程序可組建一個匿名記號來提供任何及全部存取權。另外,匿名記號不提供主要身分識別來追蹤稽核記錄中的事件。 需要此專用權的處理程序應該使用 LocalSystem 帳戶,它已包括此專用權,而不要使用特別指派此專用權的個別使用者帳戶。 在預設狀況下,僅 LocalSystem 帳戶有專用權作為作業系統的一部份。 |
| 備份檔案及目錄 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定哪些使用者可以因為備份系統的目的而規避檔案及目錄權限。 具體而言,專用權類似授與下列權限給要求該系統上所有檔案和資料夾的使用者或群組: ‧ 周遊資料夾/執行檔案 ‧ 列出資料夾/讀取資料 ‧ 讀取屬性 ‧ 讀取擴充屬性 ‧ 讀取權限 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 對每一個平台均擁有此權限的預設群組是: ‧ 工作站及伺服器 ‧ 系統管理員 ‧ 備份操作員 ‧ 網域控制站 ‧ 系統管理員 ‧ 備份操作員 |
| 略過周遊檢查 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定哪些使用者可以周遊樹狀目錄,即使該使用者對所周遊的目錄沒有權限也可以。此專用權不允許使用者列出目錄內容,僅允許周遊目錄。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 對每一個平台均擁有此權限的預設群組是: ‧ 工作站及伺服器 ‧ 系統管理員 ‧ 備份操作員 ‧ 進階使用者 ‧ 使用者 ‧ 每個人 ‧ 網域控制站 ‧ 系統管理員 ‧ 已驗證的使用者 ‧ 每個人 |
| 變更系統時間 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定哪些使用者及群組可變更電腦內部時鐘的時間和日期。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 對每一個平台均擁有此權限的預設群組是: ‧ 工作站及伺服器 ‧ 系統管理員 ‧ 進階使用者 ‧ 網域控制站 ‧ 系統管理員 ‧ 伺服器操作員 |
| 建立分頁檔 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定哪些使用者及群組可以建立及變更分頁檔的大小。藉由在 [系統內容效能選項] 中指定某給定磁碟機的分頁檔大小來完成建立分頁檔。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 預設值是讓系統管理員有建立分頁檔的能力。 |
| 建立記號 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定處理程序可使用哪些帳戶來建立記號,當處理程序使用 NtCreateToken() 或其他建立記號的 API 時,這些記號可用來取得任何本機資源的存取權。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 建議需要此專用權的處理程序使用 LocalSystem 帳戶,它已包括此專用權,而不要使用特別指派此專用權的個別使用者帳戶。 |
| 除錯程式 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定哪些使用者可將除錯程式連接到任何處理程序。此專用權提供對機密和重要作業系統元件的強大存取權。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 在預設狀況下,僅系統管理員及 LocalSystem 帳戶具有除錯程式的專用權。 |
| 拒絕從網路存取這台電腦 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定哪些使用者不得從網路存取電腦。如果使用者帳戶受兩原則支配,則此原則設定會取代 [從網路存取這台電腦] 原則設定。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 在預設狀況下,僅 LocalSystem 帳戶有專用權供處理程序用來產生安全性稽核。 |
| 拒絕以批次工作登入 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定哪些帳戶不得以批次工作登入。如果使用者帳戶受兩原則支配,則此原則設定取代 [以批次工作登入] 原則設定。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 在預設狀況下,沒有使用者被拒絕以批次工作登入。 |
| 拒絕以服務方式登入 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定哪些服務帳戶不得以服務登錄某處理程序。如果帳戶受兩原則支配,則此原則設定會取代 [以服務方式登入] 原則設定。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 在預設狀況下,沒有帳戶被拒絕以服務登入。 |
| 拒絕本機登入 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定哪些使用者不得在電腦上登入。如果帳戶受兩原則支配,則此原則設定會取代 [本機登入] 原則設定。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 在預設狀況下,沒有帳戶被拒絕本機登入。 |
| 讓電腦及使用者帳戶受信任 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定哪些使用者可對使用者或電腦物件設定 [受信任可以委派] 選項。 被授與此專用權的使用者或物件必須對使用者或電腦物件上的帳戶控制旗標具有寫入權。在電腦上執行的伺服器處理程序 (或依據使用者上下文) 已受信任可以委派,因此,只要用戶端的帳戶沒有設定 [無法委派帳戶] 帳戶控制旗標,就可以使用用戶端的委派認證來存取另一台電腦上的資源。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 對每一個平台均擁有此權限的預設群組是: ‧ 工作站及伺服器 ‧ (無) ‧ 網域控制站 ‧ 系統管理員 誤用此專用權或 [受信任可以委派] 設定會使網路容易遭受複雜攻擊,這些攻擊使用特洛伊木馬程式模擬傳入用戶端及使用其認證取得網路資源的存取權。 |
| 強制從遠端系統關機 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定哪些使用者可以從網路上的遠端位置關機。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 對每一個平台均擁有此權限的預設群組是: ‧ 工作站及伺服器 ‧ 系統管理員 ‧ 網域控制站 ‧ 系統管理員 ‧ 伺服器操作員 |
| 產生安全性稽核 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定處理程序可使用哪些帳戶來新增項目至安全記錄中。安全記錄是用來追蹤未經授權的系統存取。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 在預設狀況下,僅 LocalSystem 帳戶有專用權供處理程序用來產生安全性稽核。 |
| 增加配額 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定哪些帳戶可使用對另一個處理程序具有 [寫入屬性] 存取權的處理程序,來增加已指派給另一個處理程序的處理器配額。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 對每一個平台均擁有此權限的預設群組是: ‧ 工作站及伺服器 ‧ 系統管理員 ‧ 網域控制站 ‧ 系統管理員 此專用權對系統調整很有幫助,但可能會在拒絕服務攻擊中被濫用。 |
| 增加排程優先順序 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定哪些帳戶可使用對另一個處理程序具有 [寫入屬性] 存取權的處理程序,來增加已指派給另一個處理程序的執行優先順序。具有此專用權的使用者可以透過 [工作管理員] 使用者介面來變更處理程序的排程優先順序。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 對每一個平台均擁有此權限的預設群組是: ‧ 工作站及伺服器 ‧ 系統管理員 ‧ 網域控制站 ‧ 系統管理員 |
| 載入及卸載裝置驅動程式 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定哪些使用者可以動態載入及卸載裝置驅動程式。此專用權是安裝隨插即用裝置的驅動程式所必需的。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 對每一個平台均擁有此權限的預設群組是: ‧ 工作站及伺服器 ‧ 系統管理員 ‧ 網域控制站 ‧ 系統管理員 |
| 鎖定記憶體分頁 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 此專用權太過老舊,因此不會選取。 此原則決定哪些帳戶可使用處理程序將資料保留在實體記憶體中,以防止系統將資料傳至磁碟上的虛擬記憶體。運用此專用權會大大影響系統效能。 |
| 以批次工作登入 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 允許使用者利用批次佇列機能登入。 例如,當使用者利用工作排程器提出工作時,工作排程式會記錄該使用者為批次使用者而非互動使用者。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 在預設狀況下,僅 LocalSystem 帳戶具有專用權以批次工作登入。 另請參閱 [拒絕以批次工作登入] 原則。 在 Windows 2000 的初始版次中,工作排程器會在必要時自動授與此權限。 |
| 以服務方式登入 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定哪些服務帳戶可以將處理程序登錄為服務。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 在預設狀況下,沒有帳戶具有專用權以服務登入。 |
| 登入 本機 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定哪些使用者可以在電腦上登入。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 對每一個平台均擁有此權限的預設群組是: ‧ 工作站及伺服器 ‧ 系統管理員 ‧ 備份操作員 ‧ 進階使用者 ‧ 使用者 ‧ 來賓 ‧ 網域控制站 ‧ 帳戶操作員 ‧ 系統管理員 ‧ 備份操作員 ‧ 列印操作員 若要允許使用者在本機登入網域控制站,您必須經由 [預設網域控制站群組原則] 物件授與此權限。 |
| 管理稽核及安全記錄 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定哪些使用者可指定物件存取稽核選項給個別資源,如檔案、Active Directory 物件及登錄機碼。 具有此權限的使用者可以使用安全權限設定編輯器的 [內容] 對話方塊中的 [安全] 索引標籤,指定所選定物件的稽核選項。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 在預設狀況下,僅系統管理員有專用權來管理稽核及安全記錄。 一般而言,此原則不允許使用者指定啟用檔案和物件存取稽核。若要進行此類稽核,必須設定 [稽核原則] 下的稽核物件存取設定。 |
| 設定檔單一處理程序 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定哪些使用者可使用 Windows NT 及 Windows 2000 效能監視工具來監視非系統處理程序的效能。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 在預設狀況下,僅系統管理員及 LocalSystem 帳戶具有設定單一非系統處理程序的專用權。 |
| 設定檔系統效能 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定哪些使用者可使用 Windows NT 及 Windows 2000 效能監視工具來監視系統處理程序的效能。此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 在預設狀況下,僅系統管理員及 LocalSystem 帳戶具有設定單一非系統處理程序的專用權。 |
| 從銜接站移除電腦 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定哪些使用者可以從銜接站卸除筆記型電腦。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 在伺服器及工作站上,系統管理員、進階使用者及使用者有權限在包含 Windows 2000「全新安裝」的電腦上 (亦即,它們不是從舊版 Windows 升級) 從銜接站移除膝上型電腦。如果您將電腦的作業系統從 Windows NT 升級至 Windows 2000,則從銜接站移除筆記型電腦的這個權限必須明確地授與適當群組或使用者。 |
| 取代處理層級記號 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定哪些使用者帳戶可起始處理程序來取代與已啟用的子處理有關聯的預設記號。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 在預設狀況下,僅 LocalSystem 帳戶具有此專用權。 |
| 還原檔案及目錄 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定哪些使用者在還原備份檔案及目錄時可以規避檔案及目錄權限,以及哪些使用者可以作為物件的擁有者來設定任何有效的安全原則。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 對每一個平台均擁有此權限的預設群組是: ‧ 工作站及伺服器 ‧ 系統管理員 ‧ 備份操作員 ‧ 網域控制站 ‧ 系統管理員 ‧ 備份操作員 ‧ 伺服器操作員 |
| 關閉系統 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定哪些在本機登入電腦的使用者可以使用 Shut Down 命令關閉作業系統。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 對每一個平台均擁有此權限的預設群組是: ‧ 工作站及伺服器 ‧ 系統管理員 ‧ 備份操作員 ‧ 進階使用者 ‧ 使用者 ‧ 網域控制站 ‧ 帳戶操作員 ‧ 系統管理員 ‧ 備份操作員 ‧ 伺服器操作員 ‧ 列印操作員 |
| 同步處理目錄服務資料 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Windows 2000 的初始版次沒有使用此原則設定。 |
| 取得檔案及其他目錄的擁有權 |
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment 決定哪些使用者可取得系統上任何受保護物件的擁有權,包括 Active Directory 物件、檔案及資料夾、印表機、登錄機碼、處理程序及執行緒。 此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。 在預設狀況下,僅系統管理員有專用權可取得檔案或其他物件的擁有權。 |
附錄 B:本機安全設定 (來自 Resource Kit)
匿名連線的其他限制
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Windows 2000 允許匿名使用者執行特定活動,例如列舉網域帳戶名稱及網路共用。例如,當系統管理員想要授與存取權給受信任網域中的使用者,但該網域中並未保持對等信任時,這很方便。在預設狀況下,匿名使用者具有已授與 Everyone 群組對某給定資源的相同存取權。
此安全選項允許對匿名連線加諸其他限制,如下所示:
無。仰賴預設權限。
不允許列舉 SAM 帳戶及共用。
在資源的安全權限中,此選項以 [Authenticated Users] 取代 [Everyone]。
無明確匿名權限不得存取。 此選項從匿名使用者記號中移除 [Everyone] 及 [Network];因此需要對 [Anonymous] 提供明確存取權,使其得以存取任何必要資源。
允許系統關機而不必登入
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
決定電腦是否可以關機而不必登入 Windows。
啟用此原則之後,Shut Down 命令即出現在 Windows 登入畫面上。
停用此原則之後,關閉電腦的選項就不會出現在 Windows 登入畫面上。在此情況下,使用者必須能夠順利登入電腦而且具有 [將系統關機] 使用者權限,才能執行系統關機。
在預設狀況下,在 [本機電腦原則] 中,工作站上會啟用此選項,伺服器上會停用此選項。
允許退出抽取式 NTFS 媒體
登錄設定
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
決定誰可以從電腦中退出抽取式 NTFS 媒體。
依預設,此原則會定義在 [本機電腦原則] 中。在預設狀況下,僅系統管理員有權限退出抽取式 NTFS 媒體。可修改此原則設定,來提供任何互動使用者從電腦中退出抽取式 NTFS 媒體的能力。
切斷工作階段之前的閒置時間量
登錄設定
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
決定誰可以從電腦中退出抽取式 NTFS 媒體。
依預設,此原則會定義在 [本機電腦原則] 中。在預設狀況下,僅系統管理員有權限退出抽取式 NTFS 媒體。可修改此原則設定,來提供任何互動使用者從電腦中退出抽取式 NTFS 媒體的能力。
稽核通用系統物件的存取
登錄設定
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
決定是否稽核通用系統物件的存取。啟用此原則之後,它會造成系統物件如互斥旗標、事件、信號及 DOS 裝置以預設系統存取控制清單 (SACL) 建立。如果也啟用了 [稽核物件存取] 稽核原則,則會稽核這些系統物件的存取。
依預設,此原則會定義在 [本機電腦原則] 中,且在預設狀況下它是停用的。
稽核所有權限的使用,包括備份及還原專用權在內
登錄設定
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
決定是否稽核每一個使用者權限的使用,包括 [備份] 及 [還原]。如果您啟用此原則,而且 [稽核] 專用權使用原則也啟用及生效,則任何運用的使用者權限例項都將記錄在安全記錄中。如果您停用此原則,當使用者使用 [備份] 或 [還原] 專用權時,不會稽核那些事件,即使啟用了 [稽核專用權使用] 也一樣。如果您想要控制安全記錄大小,您應該停用此原則。
依預設,此原則會定義在 [本機電腦原則] 中,且在預設狀況下它是停用的。
在登入時間到之後自動登出使用者
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
決定超出使用者帳戶有效登入時數時,是否要切斷已連接本機機器的使用者。此設定會影響到 Windows 2000 伺服器的 Server Message Block (SMB) 元件。啟用此原則之後,它會在用戶端登入時間超過之後強制切斷 SMB 伺服器的用戶端工作階段。如果停用此原則,則允許在用戶端登入時數到達之後繼續維持已建立的用戶端工作階段。
在登入時間超過之後「自動」登出使用者 (本機) 只影響套用此原則的個別機器,而此原則影響網域中的所有機器。
系統關機時清除虛擬記憶體分頁檔
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
決定系統關機時是否清除虛擬記憶體分頁檔。Windows 2000 虛擬記憶體支援使用系統分頁檔,當記憶體頁未使用時將它們切換至磁碟。在執行的系統上,此分頁檔特別開啟供作業系統使用,並受到完善保護。不過,已設定為允許開機至其他作業系統的系統,可能想確定當 Windows 2000 關機時系統分頁檔是否清除乾淨。這可確保未經授權的使用者若想要直接存取分頁檔,不會存取到處理程序記憶體中的分頁檔內的機密資訊。
啟用此原則之後,它會在完全關機時清除系統分頁檔。啟用此安全選項,也會在筆記型電腦系統上停用休眠時,造成休眠檔案 (hiberfil.sys) 歸零。停用此原則之後,系統關機期間不會清除虛擬記憶體分頁檔。
依預設,此原則會定義在 [本機電腦原則] 中,且在預設狀況下它是停用的。
用戶端通訊加以數位簽名 (一律使用)
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
決定電腦是否對用戶端通訊一律加以數位簽名。Windows 2000 Server Message Block (SMB) 驗證通訊協定支援相互驗證,它會關閉「攔截式攻擊」(man-in-the-middle),並支援訊息驗證,防止主動訊息攻擊。SMB 簽署提供此驗證的方式是把數位簽名放進每一個 SMB,然後由用戶端和伺服器共同加以驗證。
若要使用 SMB 簽署,您必須啟用它,或同時在 SMB 用戶端及 SMB 伺服器上要求它。如果伺服器上已啟用 SMB 簽署,則在所有後續工作階段中,也啟用了 SMB 簽署的用戶端將使用封包簽署通訊協定。如果伺服器上需要 SMB 簽署,則用戶端必須至少啟用了 SMB 簽署才能建立工作階段。如果已啟用此原則,則它需要 Windows 2000 SMB 用戶端執行 SMB 封包簽署。如果已停用此原則,它就不需要 SMB 用戶端簽署封包。
依預設,此原則會定義在 [本機電腦原則] 中,且在預設狀況下它是停用的。
請注意,SMB 簽署會對系統效能造成負面影響。雖然它不會耗用更多網路頻寬,但它會在用戶端及伺服器上使用更多 CPU 週期。
用戶端通訊加以數位簽名 (可能的話)
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
如果已啟用此原則,它會在與 SMB 伺服器通訊時造成 Windows 2000 Server Message Block (SMB) 用戶端執行 SMB 封包簽署,該 SMB 伺服器已啟用或需要執行 SMB 封包簽署。
依預設,此原則會定義在 [本機電腦原則] 中,且在預設狀況下它是啟用的。
伺服器通訊加以數位簽名 (一律使用)
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
如果已啟用此原則,則它需要 Windows 2000 Server Message Block (SMB) 伺服器執行 SMB 封包簽署。依預設,此原則會定義在 [本機電腦原則] 中,且在預設狀況下它是停用的。
關於在主從架構通訊中使用數位簽名的進一步詳細資料,請參閱〈用戶端通訊加以數位簽名 (一律使用)〉。
伺服器端通訊加以數位簽名 (可能的話)
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
如果已啟用此原則,它會造成 Windows 2000 Server Message Block (SMB) 伺服器執行 SMB 封包簽署。在預設狀況下,在 [本機電腦原則] 中,此原則在工作站及伺服器平台上是停用的。在預設狀況下,此原則在網域控制站的 [預設網域控制站群組原則] 物件中是啟用的。
關於在主從架構通訊中使用數位簽名的進一步詳細資料,請參閱〈用戶端通訊加以數位簽名 (自動)〉。
登入不需要按 CTRL+ALT+DEL
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
決定使用者登入之前是否需要按 CTRL+ALT+DEL。如果電腦上已啟用此原則,則使用者就不需要按 CTRL+ALT+DEL 即可登入。不必按 CTRL+ALT+DEL 會讓使用者容易遭受到試圖攔截使用者密碼的攻擊。登入前需要按 CTRL+ALT+DEL 可確保使用者在輸入其密碼時是經由受信任路徑進行通訊。
如果停用了此原則,則任何使用者在登入 Windows 之前都必須按 CTRL+ALT+DEL (除非他們是使用智慧卡登入 Windows)。在預設狀況下,此原則在已加入網域的工作站及伺服器上是停用的。在預設狀況下,它在單機工作站上是啟用的。
不要在登入畫面上顯示上次登入的使用者名稱
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
決定上次登入電腦的使用者名稱是否顯示在 Windows 登入畫面上。如果已啟用此原則,則 [登入 Windows] 對話方塊上不會顯示上次成功登入的使用者名稱。如果已停用此原則,則會顯示上次登入的使用者名稱。
依預設,此原則會定義在 [本機電腦原則] 中,且在預設狀況下它是停用的。
LAN Manager 驗證層級
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
決定網路登入使用何種挑戰/回應驗證通訊協定。此選擇影響用戶端使用的驗證通訊協定層級、交涉的工作階段安全層級和伺服器接受的驗證層級,如下所示:
- 傳送 LM & NTLM 回應:用戶端使用 LM 及 NTLM 驗證,絕不使用 NTLMv2 工作階段安全;DC 接受 LM、NTLM 及 NTLMv2 驗證。
- 傳送 LM & NTLM - 如有交涉,使用 NTLMv2 工作階段安全性:用戶端使用 LM 及 NTLM 驗證,如果伺服器支援也使用 NTLMv2 工作階段安全性;DC 接受 LM、NTLM 及 NTLMv2 驗證。
- 只傳送 NTLM 回應:用戶端只使用 NTLM 驗證,如果伺服器支援也使用 NTLMv2 工作階段安全性;DC 接受 LM、NTLM 及 NTLMv2 驗證。
- 只傳送 NTLMv2 回應:用戶端只使用 NTLMv2 驗證,如果伺服器支援也使用 NTLMv2 工作階段安全性;DC 接受 LM、NTLM 及 NTLMv2 驗證。
- 只傳送 NTLMv2 回應\拒絕 LM:用戶端只使用 NTLMv2 驗證,如果伺服器支援也使用 NTLMv2 工作階段安全性;DC 拒絕 LM (只接受 NTLM 及 NTLMv2 驗證)。
- 只傳送 NTLMv2 回應\拒絕 LM & NTLM:用戶端只使用 NTLMv2 驗證,如果伺服器支援也使用 NTLMv2 工作階段安全性;DC 拒絕 LM 及 NTLM (只接受 NTLM 及 NTLMv2 驗證)。
伺服器的預設設定是 [傳送 LM & NTLM 回應]。
此設定會影響 Windows 2000 電腦與 Windows NT 4.0 及較舊用戶端透過網路通訊的能力。例如,在撰寫本文時,SP4 以前的 Windows NT 4.0 電腦並不支援 NTLMv2。Win9x 電腦不支援 NTLM。
給登入使用者的訊息文字及標題
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options (Title)
允許標題設定出現在視窗標題列,它包含要給嘗試登入使用者的訊息文字。
在伺服器方面,此原則已啟用,但未指定預設文字。在預設狀況下,不對工作站定義此原則。
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options (Text)
指定要顯示給登入中使用者的文字訊息。此文字通常基於法律原因而使用,例如警告使用者誤用公司資訊的各種後果或警告他們動作可能會受到稽核。在伺服器方面,此原則已啟用,但未指定預設文字。在預設狀況下,不對工作站定義此原則。
先前的登入快取次數
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
決定使用者可使用快取帳戶資訊登入 Windows 網域的次數。Windows 2000 在本機快取前一個使用者的登入資訊,以便萬一在後續登入嘗試期間網域控制站無法使用時他們能夠登入。如果網域控制站無法使用,且未快取使用者的登入資訊,則會提示使用者此訊息:
現在系統無法讓您登入,因為 <DOMAIN_NAME> 網域無法使用。
在此原則設定中,0 值會停用登入快取。而超過 50 的值也只會快取 50 次登入嘗試。在伺服器方面,在預設狀況下,此原則會定義在 [本機電腦原則] 中,其預設值為 10 次登入。
防止系統維護電腦帳戶密碼
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
決定是否防止每週重設電腦帳戶密碼。作為 Windows 2000 安全的一部份,電腦帳戶密碼每七天會自動變更一次。如果已啟用此原則,就會防止機器要求每週密碼變更。如果停用此原則,就會每週產生電腦帳戶的新密碼。
依預設,此原則會定義在 [本機電腦原則] 中,且在預設狀況下它是停用的。
防止使用者安裝印表機驅動程式
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
決定是否要防止使用者群組成員安裝列印驅動程式。如果已啟用此原則,會防止使用者在本機機器上安裝印表機驅動程式。當裝置驅動程式不存在於本機機器時,這會防止使用者「新增印表機」。如果停用此原則,使用者群組的成員就可以在電腦上安裝印表機驅動程式。
依預設,此設定在伺服器上啟用的,且在工作站是停用的。
在密碼過期前提示使用者變更密碼
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
決定 Windows 2000 要提早多久警告使用者其密碼即將過期。事先警告使用者,讓使用者有足夠的時間想出一個十分理想的密碼。
在預設狀況下,此值設定為 14 天。
修復主控台:允許自動系統管理登入
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
決定 Windows 2000 要提早多久警告使用者其密碼即將過期。事先警告使用者,讓使用者有足夠的時間想出一個十分理想的密碼。
在預設狀況下,此值設定為 14 天。
修復主控台:允許軟碟複製及存取所有磁碟機
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
啟用此選項會啟用修復主控台 SET 命令,它可讓您設定下列修復主控台環境變數:
- AllowWildCards - 對部份命令啟用萬用字元支援 (例如 DEL 命令)。
- AllowAllPaths - 允許存取電腦上的所有檔案及資料夾。
- AllowRemovableMedia - 允許檔案複製至抽取式媒體,例如軟碟。
- NoCopyPrompt - 執行檔案覆寫操作時不要求使用者確認。
在預設狀況下,會停用 SET 命令,且所有這些變數都未啟用
CD-ROM 存取只限於使用本機登入的使用者
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
決定 CD-ROM 是否可供本機及遠端使用者同時存取。如果已啟用,此原則只允許以互動方式登入的使用者存取抽取式 CD-ROM 媒體。如果沒有人以交談方式登入,則可以透過網路共用 CD-ROM。
如果已停用此原則,本機使用者及遠端使用者可同時存取 CD-ROM。
軟碟存取只限於使用本機登入的使用者
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
決定抽取式軟碟媒體是否可供本機及遠端使用者同時存取。如果已啟用,此原則只允許以互動方式登入的使用者存取抽取式軟碟媒體。如果沒有人以交互動談方式登入,則可以透過網路共用軟碟媒體。
如果已停用此原則,本機使用者及遠端使用者可同時存取軟碟媒體。
安全通道:安全通道資料加以數位加密或簽章 (一律使用)
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
決定電腦是否要讓安全通道資料一律加以數位加密或簽章。當 Windows 2000 系統加入網域時,會建立一個電腦帳戶。此後,當系統開機時,它會使用該帳戶的密碼為其網域建立與網域控制站間的安全通道。在安全通道上傳送的要求會被驗證,而機密資訊 (例如密碼) 會加密,但通道不會進行完整性檢查,而且不會加密所有資訊。
如果已啟用此原則,所有傳出的安全通道流量必須加以簽章或加密。
如果停用此原則,會與網域控制站交涉簽署和加密。
在預設狀況下,此原則是停用的。
注意事項:只有在所有信任網域中的所有網域控制站都支援簽署及加密時,才要啟用此選項。
如果已啟用此參數,則會自動啟用 [安全通道:安全通道資料加以數位簽名 (可能的話)]。
安全通道:安全通道資料加以數位加密 (可能的話)
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
決定電腦是否要讓安全通道資料一律加以數位加密或簽章。當 Windows 2000 系統加入網域時,會建立一個電腦帳戶。此後,當系統開機時,它會使用該帳戶的密碼為其網域建立與網域控制站間的安全通道。在安全通道上傳送的要求會被驗證,而機密資訊 (例如密碼) 會加密,但通道不會進行完整性檢查,而且不會加密所有資訊。
如果已啟用此原則,所有傳出的安全通道流量都應該加密。
如果停用此原則,傳出的安全通道流量就不會加密。
在預設狀況下,此選項是啟用的。
安全通道:安全通道資料加以數位簽名 (可能的話)
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
決定電腦是否要讓安全通道資料一律加以數位加密或簽章。當 Windows 2000 系統加入網域時,會建立一個電腦帳戶。此後,當系統開機時,它會使用該帳戶的密碼為其網域建立與網域控制站間的安全通道。在安全通道上傳送的要求會被驗證,而機密資訊 (例如密碼) 會加密,但通道不會進行完整性檢查,而且不會加密所有資訊。
如果已啟用此原則,所有傳出的安全通道流量都應該簽署。
如果停用此原則,傳出的安全通道流量就不會簽署。
在預設狀況下,此選項是啟用的。
附註 如果已啟用 [安全通道:安全通道資料加以數位加密 (可能的話)],它就會覆寫此選項的任何設定並強制啟用它。
安全通道:需要強的 (Windows 2000 或更新版本) 工作階段機碼
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
如果已啟用此原則,所有傳出的安全通道流量都需要強的 (Windows 2000 或更新版本) 加密金鑰。 如果停用此原則,會與 DC 交涉金鑰效力。唯有當所有信任網域中的所有 DC 都支援強的金鑰時,才要啟用此選項。
在預設狀況下會停用此值。
傳送未加密的密碼來連接協力廠商的 SMB 伺服器
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
如果已啟用此原則,在驗證期間,將允許 Server Message Block (SMB) 重新導向器傳送純文字密碼給不支援密碼加密的非 Microsoft SMB 伺服器。
在預設狀況下,此選項是停用的。
如果無法記錄安全性稽核則立即關閉系統
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
決定如果系統無法記錄安全事件時是否關機。如果啟用此原則,當安全性稽核基於任何原因而無法記錄時它會使系統暫停。通常,當安全性稽核記錄已滿且指定的安全性記錄保持方法為 [不要覆寫事件] 或 [依日期覆寫事件] 時,將無法記錄事件。如果安全性記錄已滿,且無法覆寫現有的項目,而且已啟用此安全選項,則會出現下列藍色畫面:
STOP: C0000244 {稽核失敗} 嘗試產生安全性稽核時失敗。
若要修復,系統管理員必須登入、保存該記錄 (如果要的話)、清除記錄,並重設此選項。
在預設狀況下,此原則是停用的**。**
智慧卡移除行為
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
決定當從讀卡機中移除某登入使用者的智慧卡時會發生什麼事。選項如下:
- 沒有動作
- 鎖定工作站
- 強制登出
在預設狀況下會指定 [沒有動作]。
如果指定了 [鎖定工作站],則當智慧卡移除時會鎖定工作站,讓使用者離開該區域並帶走智慧卡後,仍能維護一個受保護的工作階段。如果指定了 [強制登出],則當取出智慧卡時會自動登出使用者。
加強通用系統物件的預設權限
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
決定物件的預設任意存取控制清單 (DACL) 的效力。Windows 2000 維護一個共用系統資源的通用清單,例如 DOS 裝置名稱、互斥旗標及信號。如此一來,就可找到物件並在處理程序之間共用之。每一種物件都是以預設 DACL 建立,指定誰可以存取物件以及具有何種權限。
如果已啟用此原則,預設 DACL 效力會更強化,讓非管理使用者能夠讀取共用物件,但不能夠修改不是由他們建立的共用物件。
在預設狀況下,此選項是啟用的。
附錄 C:HighSecweb.inf 檔
接下來的幾頁是銀行小組用來建立其自訂安全範本的 Highsecweb.inf。如需本檔案的最新版本,請參考 https://www.microsoft.com/taiwan/security/。
; Template Version: 05.00.HB.0000
;
; -------------------------------------------------------------------
; Revision History
; -------------------------------------------------------------------
; Date Comment
; 03-Sep-1999 Original, based on the following assumptions:
; The computer is a not a domain controller.
; DCs should not be Web servers.
; The computer is a standalone server.
; If the computer is joined to a domain,
; then domain-level policies may (or may not)
; overwrite these settings.
; If computer is joined to a domain,
; it should be in its own OU, and you should
; apply this template at the OU level.
; Computer is a dedicated Web server and physically protected.
; Computer has the Windows 2000 clean-install defaults
; No modifications have been made to ACLs, User Rights, etc.
; No one is allowed to log on locally to the computer except an admin.
; Admins are not allowed to log on over
; the network (they have to go to the Web server to administer it).
; Admin\Guest accounts are not renamed via this template.
; 24-Jan-2000 Updated registry entries
; -------------------------------------------------------------------
[version]
signature="$CHICAGO$"
Revision=1
[System Access]
MinimumPasswordAge = 2
MaximumPasswordAge = 42
MinimumPasswordLength = 8
PasswordComplexity = 1
PasswordHistorySize = 24
LockoutBadCount = 5
ResetLockoutCount = 30
LockoutDuration = -1
RequireLogonToChangePassword = 0
ClearTextPassword = 0
[System Log]
RestrictGuestAccess = 1
[Security Log]
MaximumLogSize = 10240
AuditLogRetentionPeriod = 0
RestrictGuestAccess = 1
[Application Log]
RestrictGuestAccess = 1
;----------------------------------------------------------------------
; Local Policies\Audit Policy
;----------------------------------------------------------------------
[Event Audit]
AuditSystemEvents = 3
AuditLogonEvents = 3
AuditObjectAccess = 1
AuditPrivilegeUse = 3
AuditPolicyChange = 3
AuditAccountManage = 3
AuditAccountLogon = 3
[Privilege Rights]
SeInteractiveLogonRight = %SceInfAuthUsers%
SeNetworkLogonRight = %SceInfAuthUsers%
SeDenyNetworkLogonRight = %SceInfAdmins%
[Group Membership]
%SceInfPowerUsers%__Memberof =
%SceInfPowerUsers%__Members =
[Strings]
SceInfAdministrator = Administrator
SceInfAdmins = Administrators
SceInfAcountOp = Account Operators
SceInfAuthUsers = Authenticated Users
SceInfBackupOp = Backup Operators
SceInfDomainAdmins = Domain Admins
SceInfDomainGuests = Domain Guests
SceInfDomainUsers = Domain Users
SceInfEveryone = Everyone
SceInfGuests = Guests
SceInfGuest = Guest
SceInfPowerUsers = Power Users
SceInfPrintOp = Print Operators
SceInfReplicator = Replicator
SceInfServerOp = Server Operators
SceInfUsers = Users
[HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT\CurrentVersion\SeCEdit\Reg Values\MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/SynAttackProtect]
"ValueType"=dword:00000004
"DisplayType"=dword:00000000
"DisplayName"="TCPIP: Syn Attack Protection"
[Registry Values]
MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel=4,5
MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymous=4,2
MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management \ClearPageFileAtShutdown=4,1
MACHINE\System\CurrentControlSet\Control\Session Manager\ProtectionMode=4,1
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters \EnableSecuritySignature=4,1
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters \RequireSecuritySignature=4,1
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters \EnableForcedLogOff=4,1
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters \EnableSecuritySignature=4,1
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters \RequireSecuritySignature=4,1
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters \EnablePlainTextPassword=4,0
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters \DisablePasswordChange=4,0
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters \SignSecureChannel=4,1
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters \SealSecureChannel=4,1
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters \RequireSignOrSeal=4,1
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters \RequireStrongKey=4,1
MACHINE\Software\Microsoft\Driver Signing\Policy=3,2
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System \DisableCAD=4,0
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System \DontDisplayLastUserName=4,1
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System \ShutdownWithoutLogon=4,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole \SecurityLevel=4,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole \SetCommand=4,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon \AllocateCDRoms=1,1
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon \AllocateDASD=1,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon \AllocateFloppies=1,1
MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers \DisableWebPrinting=4,1
MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem \NtfsDisable8dot3NameCreation=4,1
MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters \AutoShareServer=4,0
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \EnableICMPRedirect=4,0
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \EnableSecurityFilters=4,1
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \SynAttackProtect=4,1
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \EnableDeadGWDetect=4,0
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \EnablePMTUDiscovery=4,0
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \KeepAliveTime=4,300000
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \DisableIPSourceRouting=4,1
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \TcpMaxConnectResponseRetransmissions=4,2
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \TcpMaxDataRetransmissions=4,3
MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters \NoNameReleaseOnDemand=4,1
MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters \DynamicBacklogGrowthDelta=4,10
MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters \EnableDynamicBacklog=4,1
MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters \MinimumDynamicBacklog=4,20
MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters \MaximumDynamicBacklog=4,20000
MACHINE\System\CurrentControlSet\Control\Lsa\FullPrivilegeAuditing=3,1
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System \LegalNoticeText=1,This is a private computer system. <add your own text>
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System \LegalNoticeCaption=1,A T T E N T I O N !
[Service General Setting]
Alerter,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
ClipSrv,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Browser,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Dhcp,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Fax,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
SharedAccess,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Messenger,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
mnmsrvc,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Spooler,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
RasAuto,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
RasMan,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
RemoteRegistry,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Schedule,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
TapiSrv,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
TermService,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
PolicyAgent,2,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)"
W3SVC,2,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)"
IISADMIN,4,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)"
Irmon,4,"D:AR(A;;RPWPDTRC;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)"
c 2000 Microsoft Corporation. All rights reserved.
本文件所包含的資訊代表自發行日起,Microsoft Corporation 對於所討論的問題的最新看法。因為 Microsoft 必須對瞬息萬變的市場狀況做出回應,所以不得解釋為 Microsoft 所做的承諾,且在發行日之後 Microsoft 不保證所提出的任何資訊的正確性。
本文件僅供參考。MICROSOFT 在本文件中不做任何明示或默示的保證。
Microsoft、BackOffice、MS-DOS、Outlook、PivotTable、PowerPoint、Microsoft Press、Visual Basic、Windows、Windows NT 及 Office 標誌為 Microsoft 在美國及/或其他國家的商標或註冊商標。