Windows Server 2003 安全性指南

第 4 章:成員伺服器基準線原則

更新日期: 2006 年 7 月 17 日

本頁內容

概觀
Windows Server 2003 基準線原則
稽核原則
使用者權利指派
安全性選項
事件記錄
其他登錄項目
受限群組
保護檔案系統
其他安全性設定
總結

概觀

本章記載為執行 Microsoft® Windows Server™ 2003 Service Pack 1 (SP1) 的所有伺服器管理基準線安全性範本時,有哪些設定需求。 本章也提出在三種不同環境之中,進行安全 Windows Server 2003 SP1 設定的系統管理指引。 本章所述的設定需求為本指南後段章節所說明一切程序的基準。 這些章節內容說明如何強化特定的伺服器角色。

本章所建議的設定能以企業環境中的商務應用程式伺服器作為基礎,在其上建立安全性。 然而,您必須先充分測試這些安全性設定與您組織的商務應用程式彼此的共存性,然後才在實際執行環境中實作。

本章所提出的建議適用於大多數的組織,可部署在執行 Windows Server 2003 SP1 的現有或新電腦。 Windows Server 2003 SP1 的預設安全性設定是由製作本指南的小組所研究、檢討與測試。 有關本章所討論的預設設定及每一設定的詳細說明等相關資訊,請參閱同系列指南威脅與因應對策:Windows Server 2003 和 Windows XP 中的安全性設定,網址:http://go.microsoft.com/fwlink/?LinkId=15159。 一般而言,下列設定相關建議大多數能比預設設定提供更高的安全性。

本章所討論的安全性設定與下列三種環境相關:

  • 傳統用戶端 (LC)。 這類環境包括執行 Windows NT® 4.0 及 Microsoft Windows® 98 的電腦,有時稱為「舊版」作業系統。 雖然這類環境具有足夠的安全性,但屬於本指南所定義的三種環境中,安全性最低的一種。 若要達到更強的安全性,組織可選擇遷移到更安全的「企業用戶端」環境。 除了所提及的舊版作業系統之外,LC 環境還包括 Windows 2000 Professional 與 Windows XP Professional 工作站。 這類環境只包含 Windows 2000 或 Windows Server 2003 網域控制站。 這類環境不包含 Windows NT 4.0 網域控制站,但可以有 Windows NT 成員伺服器。

  • 企業用戶端 (EC)。 這類環境具有堅實的安全性,是為了較為近期的 Windows 作業系統版本所設計。 EC 環境包含執行 Windows 2000 Professional 及 Windows XP Professional 的用戶端電腦。 將 LC 環境遷移到 EC 環境的工作大多在於傳統用戶端的升級,例如將 Windows 98 及 Windows NT 4.0 工作站升級為 Windows 2000 或 Windows XP。 這類環境中的網域控制站和成員伺服器全部執行 Windows 2000 Server 或 Windows Server 2003。

  • 專業安全性限制功能 (SSLF)。 這類環境具備的安全性遠比 EC 環境強大許多。 從 EC 環境遷移到專業安全性限制功能 (SSLF) 環境時,用戶端電腦與伺服器兩者都必須遵守最嚴格的安全性原則。 這類環境包含執行 Windows 2000 Professional 和 Windows XP Professional 的用戶端電腦,及執行 Windows 2000 Server 或 Windows Server 2003 的網域控制站。 SSLF 環境在安全性方面的顧慮很高,因此為了達到最高安全程度,即使用戶端的功能與管理能力明顯喪失,仍視為可接受的折衷作法。 這類環境中,成員伺服器執行的是 Windows 2000 Server 或 Windows Server 2003。

您會發現在許多情形下,SSLF 環境會明確設定預設值。 您可以認定這樣的設定因為可能會導致嘗試在本機調整部分設定的應用程式執行失敗,所以會影響相容性。 例如,部分應用程式需要調整使用者權利的指派,以授與相關服務帳戶其他權限。 因為群組原則較本機原則優先,所以這類作業會失敗。 將任何建議的設定部署到您實際執行的電腦之前,尤其是 SSLF 的設定,請先徹底測試所有應用程式。

下圖所示為這三種安全性的環境,與每種環境分別適用的用戶端。

圖 4.1 現有與規劃的安全性環境

圖 4.1 現有與規劃的安全性環境

組織若想要以分階段的方式保護環境安全,可選擇從傳統用戶端環境的層級開始,之後再緊縮安全設定來升級與測試應用程式和用戶端電腦,逐漸遷移到更安全的環境。

下圖說明 .inf 檔安全性範本如何用作企業用戶端 - 成員伺服器基準線原則 (MSBP) 的基礎。 此圖也說明連結這個原則,套用到組織內所有伺服器的一種方式。

Windows Server 2003 SP1 隨附有可用來建立安全環境的預設值。 許多情形下,本章指定的設定與預設值不同。 本章也針對所有三種環境,強制使用特定的預設值。 如需所有預設設定的相關資訊,請參閱同系列指南威脅與因應對策:Windows Server 2003 和 Windows XP 中的安全性設定,網址 http://go.microsoft.com/fwlink/?LinkId=15159。

圖 4.2 安全性範本 EC-Member Server Baseline.inf 先匯入到 MSBP,後者再連結到成員伺服器的組織單位 (OU)

圖 4.2 安全性範本 EC-Member Server Baseline.inf 先匯入到 MSBP,後者再連結到成員伺服器的組織單位 (OU)

本指南的其餘章節則訂定強化特定伺服器角色的程序。 本指南所討論的主要伺服器角色包括:

  • 內含 DNS 服務的網域控制站

  • 內含 WINS 與 DHCP 服務的基礎結構伺服器

  • 檔案伺服器

  • 列印伺服器

  • 執行網際網路資訊服務 (IIS) 的網頁伺服器

  • Microsoft 網路驗證伺服器 (IAS) 伺服器

  • 憑證服務 (CA) 伺服器

  • 堡壘主機

出現在企業用戶端 MSBP 的下列設定之中,許多也適用於本指南所定義三種環境中的相關伺服器角色。 這些安全性範本是專為滿足每一種特定環境的安全性需求所設計。 下表所示為這三種環境適用的基準線安全性範本名稱。

表 4.1 三種環境均適用的基準線安全性範本

傳統用戶端

企業用戶端

專業安全性限制功能

LC-Member Server Baseline.inf

EC-Member Server Baseline.inf

SSLF-Member Server Baseline.inf

由於安全性設定在三種環境中為共通的;因此所有「成員伺服器基準線」安全性範本在本章其餘篇幅都有說明。

基準線安全性範本也是第 5 章<網域控制站基準線原則>中所定義網域控制站安全性範本的基礎。「網域控制站角色」安全性範本包含「網域控制站原則 GPO」的基準線設定 (此 GPO 在三種環境中都連結到網域控制站 OU) 。 如需說明如何建立 OU 及群組原則,再將適當的安全性範本匯入每個 GPO 的逐步指示,請參閱第 2 章<Windows Server 2003 強化機制>。

注意:用來強化伺服器的部分程序無法透過群組原則達到自動化。 這類程序的說明請參閱本章<其他的安全性設定>一節。

Windows Server 2003 基準線原則

成員伺服器 OU 層級的設定可定義本指南所討論全部成員伺服器角色的共通設定。 若要套用這些設定,您可以建立連結到成員伺服器 OU 的 GPO,即基準線原則。 此 GPO 可將每一部伺服器的特定安全性設定作業自動化。 您必須依照每一部伺服器的角色,將伺服器帳戶移到成員伺服器 OU 的適當子 OU。

以下依照在 Microsoft Management Console (MMC) 安全性設定編輯器 (SCE) 嵌入式管理單元的使用者介面 (UI) 中出現的順序,說明下列設定。

稽核原則

由系統管理員建立「稽核」原則,以定義須報告哪些安全性事件,並記錄指定事件類別的使用者或電腦活動。 系統管理員可監視安全性相關的活動,例如誰存取了物件、使用者是否登入或登出電腦,或稽核原則設定是否有變更等。

尚未實作稽核原則之前,您必須先決定,環境中必須稽核的事件類別有哪些。 系統管理員為事件類別所選擇的稽核設定即可定義組織的稽核原則。 針對特定事件類別定義稽核設定後,系統管理員就能夠建立一套適合組織安全性需求的稽核原則。

如果沒有稽核原則存在,就難以 (甚至無法) 確定安全性事件當時發生的情況。 不過,如果因為進行了稽核設定而導致許多的授權活動產生事件,安全性記錄檔中就會充滿無用的資料。 以下提出的建議與設定的說明可協助您決定所要監視的項目,以收集適當的資料。

相較於成功事件的記錄,失敗事件記錄通常含有更多的資訊,因為失敗事件通常代表發生了錯誤。 例如,使用者成功登入電腦通常會被視為正常的狀況。 然而,如果有人多次嘗試登入系統但卻失敗,可能表示有人試圖使用別人的帳戶認證資訊侵入電腦。 事件記錄可記錄在電腦上發生的事件。 Microsoft Windows 作業系統中,應用程式、安全性事件與系統事件各有單獨的事件記錄。 安全性記錄會記錄稽核事件。 群組原則的事件記錄檔容器是用於定義有關應用程式、安全性和系統事件記錄檔的屬性,例如,最大的記錄檔容量、每個記錄檔的存取權限以及保留設定和方法。

在採行任何稽核原則以前,組織應該先決定如何收集、組織和分析資料的方式。 大量的稽核資料如果沒有如何運用的計劃,並沒有什麼價值。 此外,若稽核電腦網路,也會影響效能。 特定組合的設定對使用者的電腦影響可能微乎其微,但是對忙碌的伺服器而言,影響卻可能十分顯著。 因此,當您在實際執行環境中部署新稽核設定之前,應該先測試瞭解是否會影響效能。

下表是針對本指南所定義全部三種環境提出的稽核原則設定建議。 您可能會注意到,這三種環境中大多數的設定值彼此相似。 此表下方的段落將提供各個設定的更多資訊。

您可在 [群組原則物件編輯器] 中,從以下位置設定 Windows Server 2003 SP1 的稽核原則設定值:

電腦設定\Windows 設定\安全性設定\本機原則
\稽核原則

如需本節所指定設定的摘要,請參閱 Microsoft Excel® 活頁簿<Windows Server 2003 安全性指南設定>(隨附在本指南的可下載版本中)。 有關本節所討論的預設設定及每一設定的詳細說明等相關資訊,請參閱同系列指南威脅與因應對策:Windows Server 2003 和 Windows XP 中的安全性設定,網址:http://go.microsoft.com/fwlink/?LinkId=15159。

表 4.2 稽核原則設定

設定

傳統用戶端

企業用戶端

專業安全性限制功能

稽核帳戶登入事件

成功

成功

成功失敗

稽核帳戶管理

成功

成功

成功失敗

稽核登入事件

成功

成功

成功失敗

稽核物件存取

沒有稽核

沒有稽核

失敗

稽核原則變更

成功

成功

成功

稽核特殊權限使用

沒有稽核

沒有稽核

失敗

稽核程序追蹤

沒有稽核

沒有稽核

沒有稽核

稽核系統事件

成功

成功

成功

稽核帳戶登入事件

這項原則設定可決定是否稽核使用者在驗證帳戶的另一部電腦登入或登出的每個例項。 若在網域控制站驗證網域使用者帳戶,可產生帳戶登入事件,並記錄在網域控制站的安全性記錄中。 本機使用者若在本機電腦上進行驗證,可產生記錄在本機安全性記錄的登入事件。 帳戶登出事件不列入記錄。

[稽核帳戶登入事件] 這項設定針對 LC 與 EC 基準線原則設為記錄 [成功] 的值,針對 SSLF 基準線原則設為記錄 [成功] 與 [失敗] 兩種事件。

下表包含這項原則設定會在安全性記錄中記載的重要安全性事件。 當您想要建立自訂警示,以監視任何軟體套裝 (例如 Microsoft Operations Manager (MOM) 時),這些事件 ID 格外好用。

表 4.3 帳戶登入事件

事件 ID

事件說明

672

驗證服務 (AS) 票證已成功發出,而且也通過驗證。 在 Windows Server 2003 SP1 中,如果要求成功,這個事件的類型是「稽核成功」,要求失敗時的事件類型則是「稽核失敗」。

673

已授與票證授與服務 (TGS) 的票證。 TGS 為由 Kerberos 第 5 版 TGS 所核發的票證,可讓使用者對網域中的特定服務進行驗證。 Windows Server 2003 SP1 會依照成功與失敗記錄這個事件的類型。

674

安全性主體已更新 AS 票證或 TGS 票證。

675

預先驗證失敗。 此事件是當使用者輸入不正確的密碼時,在金鑰發佈中心 (KDC) 產生的。

676

驗證票證要求失敗。 Windows Server 2003 SP1 不會產生這個事件。 其他版本的 Windows 以這個事件表示並非由於憑證不正確所導致的驗證失敗。

677

未授與 TGS 票證。 Windows Server 2003 SP1 不會產生這個事件;如為此情形,使用的是 ID 672 的失敗稽核事件。

678

帳戶已成功地對應至網域帳戶。

681

登入失敗。 嘗試進行網域帳戶登入。 唯有網域控制站才會產生這個事件。

682

使用者已重新連線至中斷連線的終端機伺服器工作階段。

683

使用者未登出就將終端機伺服器工作階段中斷連線。

稽核帳戶管理

這項原則設定決定是否要稽核電腦上的每一個帳戶管理事件。 帳戶管理事件的例子包括:

  • 建立、變更或刪除使用者帳戶或群組。

  • 重新命名、停用或啟用使用者帳戶。

  • 設定或變更密碼。

組織必須要能判定是誰建立、修改或刪除網域和本機帳戶。 會發生未授權的變更可能是因為系統管理員不了解如何遵循組織原則而做了錯誤更改,但也可能是遭到蓄意攻擊。

例如,帳戶管理失敗事件往往表示層級較低的系統管理員 (或是攻擊者入侵層級較低系統管理員的帳戶) 嘗試提升其權限。 這些記錄可協助您判定攻擊者修改或建立了哪些帳戶。

[稽核帳戶管理] 這項設定針對 LC 與 EC 基準線原則設為記錄 [成功] 的值,針對 SSLF 基準線原則設為記錄 [成功] 與 [失敗] 兩種值。

下表包含此原則設定在安全性記錄中記錄的重要安全性事件。 當您想要建立自訂警示,以監視任何軟體套裝 (例如 MOM 時),這些事件 ID 格外好用。 大多數可運作的管理軟體能利用指令碼加以自訂,以根據這些事件 ID 擷取或標誌事件。

表 4.4 帳戶管理事件

事件 ID

事件說明

624

已建立使用者帳戶。

627

已變更使用者密碼。

628

已設定使用者密碼。

630

已刪除使用者帳戶。

631

已建立通用群組。

632

成員已加入通用群組。

633

已將成員自通用群組中移除。

634

已刪除通用群組。

635

已建立新的本機群組。

636

成員已加入本機群組。

637

已將成員自本機群組中移除。

638

已刪除本機群組。

639

已變更本機群組帳戶。

641

已變更通用群組帳戶。

642

已變更使用者帳戶。

643

已修改網域原則。

644

已自動鎖定使用者帳戶。

645

已建立電腦帳戶。

646

已變更電腦帳戶。

647

已刪除電腦帳戶。

648    

已建立停用安全性的本機安全性群組。

注意:正式名稱中的 SECURITY_DISABLED 表示此群組不能用來授與存取檢查的權限。

649

已變更停用安全性的本機安全性群組。

650

成員已加入停用安全性的本機安全性群組。

651

已將成員自停用安全性的本機安全性群組中移除。

652

已刪除停用安全性的本機群組。

653

已建立停用安全性的通用群組。

654

已變更停用安全性的通用群組。

655

成員已加入停用安全性的通用群組。

656

已將成員自停用安全性的通用群組中移除。

657

已刪除停用安全性的通用群組。

658

已建立啟用安全性的萬用群組。

659

已變更啟用安全性的萬用群組。

660

成員已加入啟用安全性的萬用群組。

661

已將成員自啟用安全性的萬用群組中移除。

662

已刪除啟用安全性的萬用群組。

663

已建立停用安全性的萬用群組。

664

已變更停用安全性的萬用群組。

665

成員已加入停用安全性的萬用群組。

666

已將成員自停用安全性的萬用群組中移除。

667

已刪除停用安全性的萬用群組。

668

已變更群組類型。

684    

已設定管理群組成員的安全性描述元。

注意:在網域控制站上每隔 60 分鐘,幕後執行緒會搜尋管理群組的所有成員 (例如,網域、企業,以及架構系統管理員),並在其上套用固定的安全性描述元。 此事件會記錄下來。

685

已變更帳戶的名稱。

稽核登入事件

這項原則設定可決定是否稽核使用者登入及登出電腦的每一個例項。 [稽核登入事件] 這項設定可產生網域控制站的記錄,以監視網域帳戶的活動,並可產生本機電腦的記錄,以監視本機帳戶的活動。

如果您將 [稽核登入事件] 這項設定設為 [沒有稽核],將難以 (甚至無法) 判定是哪位使用者登入或嘗試登入組織中的電腦。 如果您在網域成員的 [稽核登入事件] 設定啟用 [成功] 這個值,無論帳戶在網路中的哪個位置,每回有人登入網路就會產生事件。 如果使用者登入本機帳戶,同時 [稽核帳戶登入事件] 設定為 [已啟用],該使用者登入作業就會產生兩個事件。

即使您並不修改這項原則設定的預設值,發生安全性事件之後,將沒有稽核記錄的證據可用於分析。 [稽核登入事件] 這項設定針對 LC 與 EC 基準線原則設為記錄 [成功] 的值,針對 SSLF 原則設為記錄 [成功] 與 [失敗] 兩種值。

下表包含此原則設定在安全性記錄中記錄的重要安全性事件。

表 4.5 稽核登入事件    

事件 ID

事件說明

528

使用者已成功地登入電腦。

529

登入失敗。 嘗試進行登入所用的是未知的使用者名稱,或具錯誤密碼的已知使用者名稱。

530

登入失敗。 於允許時限之外嘗試進行登入。

531

登入失敗。 嘗試進行登入所用的是停用帳戶。

532

登入失敗。 嘗試進行登入所用的是過期帳戶。

533

登入失敗。 嘗試進行登入的使用者不允許登入指定電腦。

534

登入失敗。 使用者利用不允許的密碼類型來嘗試登入。

535

登入失敗。 指定帳戶的密碼已經過期。

536

登入失敗。 Net Logon 服務並未啟動。

537    

登入失敗。 基於其他的理由,嘗試登入失敗。

注意:在某些狀況下,可能無法知道登入失敗的理由。

538

使用者的登出程序已完成。

539

登入失敗。 嘗試登入時,帳戶被鎖定。

540

使用者已成功登入網路。

541

主要模式的網際網路金鑰交換 (IKE) 驗證已在本機電腦與列出的對等個體之間完成 (建立安全性關聯),或是快速模式已建立資料通道。

542

資料通道已終止。

543    

主要模式已終止。

注意:發生這種情況可能是因為安全性關聯的時限過期 (預設為 8 小時)、由於原則變更,或對等個體終止的結果。

544

因為對等個體未提供有效的憑證,或是簽章未經驗證,所以主要模式驗證失敗。

545

因為 Kerberos 驗證通訊協定失敗或密碼不正確,所以主要模式驗證失敗。

546

因為對等個體送出無效的提議,所以 IKE 安全性關聯的建立失敗。 已收到包含無效資料的封包。

547

IKE 交握期間發生失敗。

548

登入失敗。 得自信任網域的安全性識別元 (SID) 與用戶端的帳戶網域 SID 不相符。

549

登入失敗。 對應於不受信任命名空間的所有 SID 已於跨越樹系進行驗證的期間遭到濾除。

550

通知訊息表示可能遭到拒絕服務 (DoS) 攻擊。

551

使用者啟動了登出程序。

552

使用者利用明確憑證來成功地登入電腦,但已使用不同的使用者身份登入。

682

使用者已重新連線至中斷連線的終端機伺服器工作階段。

683    

使用者未登出就將終端機伺服器工作階段中斷連線。

注意:使用者透過網路連線至終端機伺服器工作階段時,就會產生這個事件。 它會在終端機伺服器顯示。

稽核物件存取

這項原則設定本身不會導致任何事件受到稽核。 對於具有指定的系統存取控制清單 (SACL) 的物件 (例如:檔案、資料夾、登錄機碼或印表機等),[稽核物件存取] 這項設定可以決定是否要對使用者存取此類物件的事件進行稽核。

一份 SACL 是由幾個存取控制項目(ACE) 所組成。 每個 ACE 各包含三個資訊片段:

  • 所要稽核的安全性主體 (使用者、電腦或群組)。

  • 所要稽核的特定存取類型 (即存取遮罩)。

  • 指示旗標,表示是要稽核失敗的存取事件、成功的存取事件,或是兩者都要稽核。

如果您將 [稽核物件存取] 這項設定設為記錄 [成功] 的值,每回使用者順利存取具有指定 SACL 的物件時,就會產生稽核項目。 如果您將這項原則設定設為記錄 [失敗] 的值,每回使用者嘗試存取具有指定 SACL 的物件但失敗時,就會產生稽核項目。

組織在設定 SACL 時,應該只定義所想啟用的動作。 例如,您可以啟用可執行檔的 [寫入資料] 與 [附加資料] 稽核設定,以追蹤何時遭到變更或取代,因為電腦病毒、蠕蟲和特洛伊木馬程式一般是以可執行檔為攻擊目標。 同樣的道理,您也可以追蹤機密文件被存取或變更的時間。

[稽核物件存取] 這項設定在 LC 與 EC 環境的基準線原則設為預設值 [沒有稽核]。 但在 SSLF 環境的基準線原則中,此原則已設為記錄 [失敗] 值。

下表包含此原則設定在安全性記錄中記錄的重要安全性事件。

表 4.6 物件存取事件

事件 ID

事件說明

560

已將存取權授與早已存在的物件。

562

已關閉物件的控制碼。

563    

為了刪除物件而嘗試加以開啟。

注意:在 Createfile() 中指定 FILE_DELETE_ON_CLOSE 旗標時,這個事件是由檔案系統所使用。

564

已刪除受保護的物件。

565

已將存取權授與早已存在的物件類型。

567    

已使用與控制碼有關聯的權限。

注意:已建立具有某種權限 (例如讀取、寫入) 的控制碼。 在使用控制碼時,會針對使用的每一種權限產生最多一筆稽核。

568

嘗試建立與所要稽核檔案的永久連結。

569

「授權管理員」中的資源管理員嘗試建立用戶端內容。

570    

用戶端嘗試存取物件。

注意:對物件嘗試進行的每一項作業都會產生事件。

571

用戶端內容已由「授權管理員」應用程式刪除。

572

「系統管理員」已初始化應用程式。

772

「憑證管理員」拒絕了擱置憑證的要求。

773

「憑證服務」收到重新提交的憑證要求。

774

「憑證服務」撤銷了一個憑證。

775

「憑證服務」已收到發佈憑證撤銷清單 (CRL) 的要求。

776

「憑證服務」已發佈 CRL。

777

已進行憑證要求延伸。

778

一或多個憑證要求屬性已變更。

779

「憑證服務」已收到關閉的要求。

780

已開始「憑證服務」備份。

781

已完成「憑證服務」備份。

782

已開始「憑證服務」還原。

783

已完成「憑證服務」還原。

784

已開始「憑證服務」。

785

已停止「憑證服務」。

786

已變更「憑證服務」的安全性權限。

787

「憑證服務」已擷取保存的金鑰。

788

「憑證服務」在資料庫中匯入了一個憑證。

789

已變更「憑證服務」的稽核篩選器。

790

「憑證服務」已收到憑證要求。

791

「憑證服務」已核准憑證要求並發行憑證。

792

「憑證服務」已拒絕憑證要求。

793

「憑證服務」已將憑證要求的狀態設定為擱置。

794

「憑證服務」的憑證管理員設定已變更。

795

「憑證服務」中的設定項目已變更。

796

「憑證服務」的內容已變更。

797

「憑證服務」保存了一個金鑰。

798

「憑證服務」匯入並保存了一個金鑰。

799

「憑證服務」已將憑證授權單位 (CA) 憑證發佈到 Active Directory。

800

已從憑證資料庫刪除了一行以上的資料行。

801

已啟用角色分離。

稽核原則變更

這項原則設定可決定是否要稽核使用者權利指派原則、信任原則,或是稽核原則本身的每一個變更事件。

如果您將 [稽核原則變更] 這項設定設為記錄 [成功] 的值,每回對使用者權利指派原則、信任原則,或是稽核原則變更成功時,就會產生稽核項目。 如果您將這項原則設定設為記錄 [失敗] 的值,每回對使用者權利指派原則、信任原則,或是稽核原則變更失敗時,就會產生稽核項目。

建議的設定能讓您看出攻擊者嘗試提高的帳戶權限,例如:嘗試透過新增 [程式偵錯] 權限或 [備份檔案及目錄] 權限。

[稽核原則變更] 這項設定在本指南所定義三種環境的基準線原則中全部設為記錄 [成功] 的值。 目前,[失敗] 設定值不會擷取有意義的事件。

下表包含此原則設定在安全性記錄中記錄的重要安全性事件。

表 4.7 稽核原則變更事件

事件 ID

事件說明

608

已指派使用者權利。

609

已移除使用者權利。

610

已建立與另一個網域的信任關係。

611

已移除與另一個網域的信任關係。

612

已變更稽核原則。

613

已啟動網際網路通訊協定安全性 (IPsec) 原則代理程式。

614

已停用 IPsec 原則代理程式。

615

已變更 IPsec 原則代理程式。

616

IPsec 原則代理程式遇到潛在性嚴重失敗。

617

Kerberos 第 5 版原則已變更。

618

「加密資料修復」原則已變更。

620

已修改與另一個網域的信任關係。

621

系統存取權已授與帳戶。

622

已將系統存取權自帳戶移除。

623

稽核原則是以使用者為單位所設定。

625

稽核原則是以使用者為單位所重新整理。

768    

在兩個樹系中的個別命名空間元素之間偵測出有衝突。

注意:當一個樹系中的命名空間元素與另一樹系中的命名空間元素重疊時,可導致命名空間元素的名稱解析模稜兩可。 此重疊也稱為衝突。 對於每一種項目類型,並非所有參數都有效。 例如,像 DNS 名稱、NetBIOS 名稱,以及 SID 等欄位對於 TopLevelName 類型的項目來說都是無效的。

769    

已新增受信任的樹系資訊。

注意:此事件訊息是在更新樹系的信任資訊,並新增一或多個項目時所產生。 對於每一個新增、刪除,或修改的項目,都會產生一個事件訊息。 如果在樹系信任資訊的單獨一次更新中,新增、刪除,或修改多個項目,則產生的所有事件訊息都會獲指派單一的唯一識別碼,稱為作業 ID 。 這項功能讓您能判定所產生的多個事件訊息是單一作業的結果。 對於每一種項目類型,並非所有參數都有效。 例如,像 DNS 名稱、NetBIOS 名稱,以及 SID 等參數對於 TopLevelName 類型的項目來說都是無效的。

770    

已刪除受信任的樹系資訊。

注意:請參閱事件 769 之事件說明。

771    

已修改受信任的樹系資訊。

注意:請參閱事件 769 之事件說明。

805

事件記錄服務會讀取工作階段的安全性記錄設定。

稽核特殊權限使用

這項原則設定可決定是否要稽核每次行使的使用者權利。 如果您將 [稽核特殊權限使用] 這項設定設為記錄 [成功] 的值,每回使用者權利順利行使時,就會產生稽核項目。 如果您將這項原則設定設為記錄 [失敗] 的值,每回使用者權利行使失敗時,就會產生稽核項目。

即使進行 [稽核特殊權限使用] 設定,行使下列使用者權利時仍不會產生稽核,因為這些使用者權利會在安全性記錄產生很多事件。 如果稽核下列使用者權利,很可能會影響您的電腦效能:

  • 略過周遊檢查

  • 程式偵錯

  • 建立權杖物件

  • 更換處理層權杖

  • 產生安全稽核

  • 備份檔案及目錄

  • 還原檔案及目錄

    注意:如果要稽核這些使用者權利,必須啟用群組原則中的 [稽核: 稽核備份和復原權限的使用] 安全性選項。

[稽核特殊權限使用] 這項設定在 LC 與 EC 環境的基準線原則維持預設值 [沒有稽核]。 但在 SSLF 環境的基準線原則中,此原則已設為記錄 [失敗] 值。 使用者權利運用失敗是一般網路問題的徵兆,往往表示有人企圖破壞安全。 唯有出於特定的商業理由的情況下,組織才應將 [稽核特殊權限使用] 設定設為 [啟用]。

下表包含此設定在安全性記錄中記錄的重要安全性事件。

表 4.8 特殊權限使用事件

事件 ID

事件說明

576    

指定的特殊權限已加入使用者的存取權杖。

注意:此事件是在使用者登入時所產生。

577

使用者嘗試執行需要特殊權限的系統服務作業。

578

特殊權限使用在受保護物件的已開啟控制碼。

稽核程序追蹤

此原則設定會決定是否稽核事件的詳細追蹤資訊,這些事件包括程式啟用、處理序結束、控制碼複製,及間接物件存取。 如果您將這項原則設定設為記錄 [成功] 的值,每回所要追蹤的程序成功時,就會產生稽核項目。 如果您將這項原則設定設為記錄 [失敗] 的值,每回所要追蹤的程序失敗時,就會產生稽核項目。

[稽核程序追蹤] 這項設定會產生大量的事件,所以通常會如同本指南所定義三種環境的基準線原則一般,也設為 [沒有稽核]。 然而,這項原則設定在處理事件時可能非常有用,因為它能提供所啟動的程序以及每一組程序分別啟動時間的詳細記錄。

下表包含此設定在安全性記錄中記錄的重要安全性事件。

表 4.9 程序追蹤事件

事件 ID

事件說明

592

已建立新的程序。

593

程序已結束。

594

已複製物件的控制碼。

595

已取得物件的間接存取權。

596    

已備份資料保護主要金鑰。

注意:主要金鑰是由 CryptProtectData 和 CryptUnprotectData 常式,以及加密檔案系統 (EFS) 所使用。 每一次建立一個新的主要金鑰時都會加以備份。 (預設設定是 90 日) 金鑰通常是由網域控制站所備份。

597

資料保護主要金鑰已利用復原伺服器復原。

598

可稽核的資料已受保護。

599

可稽核的資料未受保護。

600

程序已獲指派主要權杖。

601

使用者嘗試安裝服務。

602

已建立排程器工作。

稽核系統事件

這項原則設定可決定是否要稽核使用者重新啟動電腦或關機,或者發生會影響電腦安全性或安全性記錄檔的事件。 如果您將這項原則設定設為記錄 [成功] 的值,當系統事件順利執行時,就會產生稽核項目。 如果您將這項原則設定設為記錄 [失敗] 事件,當系統事件執行失敗時,就會產生稽核項目。

下表包含這項設定最好用的成功事件。

表 4.10 稽核系統事件的系統事件訊息

事件 ID

事件說明

512

Windows 正在啟動。

513

Windows 正在關機。

514

驗證封裝已由「本機安全性授權」載入。

515

受信任的登入程序已經向「本機安全性授權」註冊。

516

配置給安全性事件訊息佇列的內部資源已用盡,造成某些安全性事件訊息遺失。

517

已清除稽核記錄。

518

通知封裝軟體已由「安全性帳戶管理員」載入。

519

有處理程序使用無效的本機程序呼叫 (LPC) 連接埠,以嘗試模擬用戶端來回應、讀取,或寫入用戶端位址空間。

520    

系統時間已變更。

注意:此稽核通常會出現兩次。


使用者權利指派

使用者權利指派作業可提供使用者及群組對您組織中電腦的登入權利或特殊權限。 登入權利的範例有以互動方式登入電腦的權限。 特殊權限的範例為關閉電腦的權限。 這兩種類型都是由系統管理員指派給個別使用者或群組,部分的電腦安全性設定。

注意:本節全文當中,「尚未定義」僅套用到使用者;Administrators 仍擁有使用者權利。 本機系統管理員可做更改,但下次重新整理與重新套用群組原則時,任何網域架構的群組原則設定都可覆寫這些更改。

您可在 [群組原則物件編輯器] 中,從以下位置進行 Windows Server 2003 SP1 的使用者權利指派設定:

電腦設定\Windows 設定\安全性設定\本機原則
\使用者權利指派

預設的使用者權利指派方式依您組織中的各種伺服器類型而異。 例如,Windows Server 2003 會在成員伺服器與網域控制站指派不同的權限給內建群組。 (以下清單並未記載不同伺服器類型的內建群組彼此類似之處)

  • 成員伺服器

    • Power Users。 擁有大部分的系統管理權力,只有一些限制。 除了通過 Windows Server 2003 SP1 或 Windows XP 認證的應用程式外,Power Users 也可執行舊版應用程式。

    • HelpServicesGroup。 這是「說明及支援中心」的群組。 Support_388945a0 是這個群組預設的一員。

    • TelnetClients。 這個群組的成員可存取網路中的 Telnet 伺服器。

  • 網域控制站

    • Server Operators。 這個群組的成員可管理網域伺服器。

    • Terminal Server License Services。 這個群組的成員可存取網路中的 Terminal Server License Server。

    • Windows Authorization Access Group 這個群組的成員可存取使用者物件的計算後 tokenGroupsGlobalAndUniversal 屬性。

Guests 群組和使用者帳戶的 Guest 與 Support_388945a0 在不同的網域之間使用唯一的 SID。 因此,在只有特定目標群組存在的電腦,使用者權利指派的這個群組原則可能需要修改。 或者,可個別編輯原則範本,以讓 .inf 檔涵蓋適當的群組。 例如,可在測試環境中的網域控制站建立網域控制站的群組原則。

注意:因為 Guests 群組的成員、Support_388945a0 與 Guest 之間存在有唯一的 SID,所以用來強化伺服器的部分設定無法透過本指南所述的安全性範本加以自動化。 這類設定的說明請參閱本章後段<其他的安全性設定>一節。

本節說明適用於本指南所定義的三種環境、指定 MSBP 使用者權利指派設定的詳細資訊。 如需本節所指定設定的摘要,請參閱 Microsoft Excel® 活頁簿<Windows Server 2003 安全性指南設定>(隨附在本指南的可下載版本中)。 有關本節所討論的預設設定及每一設定的詳細說明等相關資訊,請參閱同系列指南《威脅與因應對策:Windows Server 2003 和 Windows XP 中的安全性設定》。

下表是針對本指南所定義全部三種環境提出的使用者權利指派設定建議。 此表下方的段落將提供各個設定的更多資訊。

表 4.11 使用者權利指派設定建議

設定

傳統用戶端

企業用戶端

專業安全性限制功能

從網路存取這台電腦

尚未定義

尚未定義

Administrators、Authenticated Users、ENTERPRISE DOMAIN CONTROLLERS

作為作業系統的一部份

尚未定義

尚未定義

無人

調整處理程序記憶體配額

尚未定義

尚未定義

Administrators、NETWORK SERVICE、LOCAL SERVICE

允許本機登入

Administrators、Backup Operators、Power Users

Administrators、Backup Operators、Power Users

Administrators

允許透過終端機服務登入

Administrators 和 Remote Desktop Users

Administrators 和 Remote Desktop Users

Administrators

備份檔案及目錄

尚未定義

尚未定義

Administrators

略過周遊檢查

尚未定義

尚未定義

Authenticated Users

變更系統時間

尚未定義

尚未定義

Administrators

建立分頁檔

尚未定義

尚未定義

Administrators

建立權杖物件

尚未定義

尚未定義

無人

建立全域物件

尚未定義

尚未定義

Administrators、SERVICE

建立永久共用物件

尚未定義

尚未定義

無人

程式偵錯

尚未定義

Administrators

無人

拒絕從網路存取這台電腦

ANONOYMOUS LOGON、Guests、Support_388945a0、

所有非作業系統服務的帳戶

ANONOYMOUS LOGON、Guests、Support_388945a0、

所有非作業系統服務的帳戶

ANONOYMOUS LOGON、Guests、Support_388945a0、

所有非作業系統服務的帳戶

拒絕以批次工作登入

Guests、Support_388945a0

Guests、Support_388945a0

Guests、Support_388945a0、

拒絕以服務方式登入

尚未定義

尚未定義

無人

拒絕本機登入

尚未定義

尚未定義

Guests、Support_388945a0、

拒絕透過終端機服務登入

Guests

Guests

Guests

讓電腦及使用者帳戶能夠被信任以便進行委派

尚未定義

尚未定義

Administrators

從遠端系統強制關機

尚未定義

尚未定義

Administrators

產生安全稽核

尚未定義

尚未定義

NETWORK SERVICE、LOCAL SERVICE

驗證後模擬用戶端

尚未定義

尚未定義

Administrators、SERVICE

增加排程優先權

尚未定義

尚未定義

Administrators

載入和釋放裝置驅動程式

尚未定義

尚未定義

Administrators

鎖定記憶體分頁

尚未定義

尚未定義

無人

以批次工作登入

尚未定義

尚未定義

尚未定義

以服務方式登入

尚未定義

尚未定義

NETWORK SERVICE

管理稽核及安全日誌

尚未定義

尚未定義

Administrators

修改韌體環境值

尚未定義

尚未定義

Administrators

執行磁碟區維護工作

尚未定義

尚未定義

Administrators

設定檔單一程序

尚未定義

尚未定義

Administrators

設定檔系統執行效能

尚未定義

尚未定義

Administrators

從連接站上移除電腦

尚未定義

尚未定義

Administrators

更換處理層權杖

尚未定義

尚未定義

LOCAL SERVICE、NETWORK SERVICE

還原檔案及目錄

尚未定義

尚未定義

Administrators

系統關機

尚未定義

尚未定義

Administrators

同步處理目錄服務的資料

尚未定義

尚未定義

無人

取得檔案或其他物件的所有權

尚未定義

尚未定義

Administrators

從網路存取這台電腦

這項原則設定可決定哪些使用者和群組能透過網路連線到電腦。 若干網路通訊協定,包括以伺服器訊息區 (SMB) 為基礎的通訊協定、NetBIOS、Common Internet File System (CIFS)、HTTP 以及 Component Object Model Plus (COM+) 等,都需要這項功能。

[從網路存取這台電腦] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 然而,雖然在 Windows Server 2003 SP1 中,指派給 Everyone 安全性群組的權限,已不再授予存取權給匿名使用者,但是 Guest 群組與帳戶仍可透過 Everyone 安全性群組獲得存取權。 因此,Everyone 安全性群組在 SSLF 環境中無法獲得 [從網路存取這台電腦] 使用者權利,以對抗針對網域來賓存取權的攻擊。 在 SSLF 環境中,唯有 AdministratorsAuthenticated UsersENTERPRISE DOMAIN CONTROLLERS 群組才獲得這項使用者權利。

作為作業系統的一部份

這項原則設定決定處理程序是否可以使用任何使用者的識別身分,並因此而得以存取該使用者被授權存取的資源。 通常只有低層級的驗證服務需要這項使用者權利。

[作為作業系統的一部份] 這項使用者權利在 LC 及 EC 環境中設為 [尚未定義]。 但對於 SSLF 環境,這項原則設定設為 Null 值或空白,因此所有安全性群組與帳戶都不能擁有這項使用者權利。

調整處理序的記憶體配額

這項原則設定決定使用者是否可以調整處理程序可使用的記憶體大小上限。 對於電腦調校很有用,但是卻可能遭濫用。 攻擊者可以利用這項使用者權利發動 DoS 攻擊。

[調整處理程序記憶體配額] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 然而在 SSLF 環境中,這項使用者權利僅指派給 Administrators 群組、NETWORK SERVICE 及 LOCAL SERVICE。

允許本機登入

這項原則設定決定哪些使用者能以互動方式登入指定的電腦。 使用者需要有這項使用者權利,才可按 CTRL+ALT+DEL 按鍵組合起始登入。 任何有這項使用者權利的帳戶,都可用來登入電腦的本機主控台。

[允許本機登入] 這項使用者權利在 LC 及 EC 環境中限定 AdministratorsBackup OperatorsPower Users 群組才能擁有,以防止未經授權使用者登入之後,能夠提升權限或將病毒引入環境。 此使用者權利僅指派給 SSLF 環境的 Administrators 群組。

允許透過終端機服務登入

這項原則設定可決定哪些使用者或群組具有權限,能以終端機服務用戶端登入。

在 LC 及 EC 環境中,[允許透過終端機服務登入] 使用者權利限定 AdministratorsRemote Desktop Users 群組才能擁有。 在 SSLF 環境中,唯有 Administrators 群組的成員才獲得這項使用者權利。

備份檔案及目錄

這項原則設定決定使用者是否可以規避檔案與目錄權限,為電腦進行備份。 只有當應用程式嘗試利用備份公用程式 (如 NTBACKUP.EXE) 透過 NTFS 備份應用程式設計介面 (API) 進行存取時,才運用這項使用者權利。 否則只會套用一般的檔案及目錄權限。

[備份檔案及目錄] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 此使用者權利僅指派給 SSLF 環境的 Administrators 群組。

略過周遊檢查

這項原則設定可決定,當使用者瀏覽 NTFS 檔案系統或登錄中的物件路徑時,是否不需檢查特別存取權限 [周遊資料夾],即可通過資料夾。 這項使用者權利並不允許使用者列出資料夾內容,只允許使用者周遊其目錄。

[略過周遊檢查] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 在 SSLF 環境中,這項使用者權利僅指派給 Authenticated Users 群組。

變更系統時間

這項原則設定決定哪些使用者可以調整電腦內部時鐘的時間與日期。 因為電腦的內部時鐘會在事件記錄加上時間戳記,所以擁有這項使用者權利的使用者可影響事件記錄的外觀。 如果電腦的時間被更動,記錄即無法反映事件實際發生的時間。

[變更系統時間] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 此使用者權利僅指派給 SSLF 環境的 Administrators 群組。

注意:本機電腦與網域控制站之間的時間不一致,可能會造成 Kerberos 驗證通訊協定發生問題,導致使用者無法登入網域,或登入之後無法取得存取網域資源的授權。

建立分頁檔

這項原則設定決定使用者是否可以建立分頁檔案及變更其大小。 若要執行這項工作,使用者須指定特定磁碟機的分頁檔案大小,亦即在 [系統內容] 對話方塊中,位於 [進階] 索引標籤的 [效能選項] 方塊內進行設定。

[建立分頁檔] 設定在 LC 及 EC 環境中設為 [尚未定義]。這項使用者權利在 SSLF 環境中僅指派給 Administrators 群組。

建立權杖物件

這項原則設定決定處理程序是否可以建立權杖,以便在處理程序使用 NtCreateToken() 或其他建立權杖的 API 時,用以存取任何本機資源。

[建立權杖物件] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 但對於 SSLF 環境,此原則設定已設為 Null 值或空白,這意味著沒有安全性群組或帳戶擁有此使用者權利。

建立全域物件

這項原則設定可讓使用者建立所有工作階段都可使用的全域物件。 使用者即使沒有這項使用者權利,仍然可以建立其工作階段特定的物件。

[建立全域物件] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 在 SSLF 環境中,這項使用者權利僅指派給 SERVICEAdministrators 群組。

建立永久共用物件

這項原則設定決定使用者是否可在物件管理員中建立目錄物件,也就是能夠建立共用資料夾、印表機與其他物件。 特別適用於延伸物件命名空間的核心模式元件,這類元件在預設的情況下已有這項使用者權利。 因此,通常不必特別指派這項使用者權利給使用者。

[建立永久共用物件] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 但對於 SSLF 環境,此原則設定已設為 Null 值或空白,這意味著沒有安全性群組或帳戶擁有此使用者權利。

程式偵錯

這項原則設定決定哪些使用者可附加偵錯工具到任何程序或核心。 可提供對機密和作業系統元件的完整存取權。 除非極端的狀況下,例如需要疑難排解的關鍵商務應用程式無法在測試環境中有效加以評估,否則不應在實際執行環境中為程式進行偵錯。

[程式偵錯] 這項設定在 LC 環境中設為 [尚未定義]。 在 EC 環境中,這項使用者權利僅指派給 Administrators 群組, 但對於 SSLF 環境,此原則設定已設為 Null 值或空白,這意味著沒有安全性群組或帳戶擁有此使用者權利。

注意:在 Windows Server 2003 SP1 中,若移除 [程式偵錯] 使用者權利可能導致無法使用 Windows Update 服務。 不過仍可透過其他方式手動下載、安裝或套用修補程式。 移除這項使用者權利也可能會干擾叢集服務。 如需其他詳細資訊,請參閱 Microsoft 知識庫文件如何在使用 Windows Server 2003 的叢集伺服器上套用更嚴格的安全性設定 (英文),網址 http://support.microsoft.com/?kbid=891597。

拒絕從網路存取這台電腦

注意:.inf 安全性範本中不包含 ANONOYMOUS LOGON、內建 Administrator、Support_388945a0、Guest 和所有非作業系統服務帳戶。 這些帳戶和群組在您組織的每個網域都有唯一的 SID。 因此,需以手動方式新增。 如需詳細資訊,請參閱本章結尾的<手動強化程序>一節。

這項原則設定決定哪些使用者無法透過網路存取電腦。 可拒絕一些網路通訊協定,包括 SMB 架構的通訊協定、NetBIOS、CIFS、HTTP 和 COM+ 等。 當使用者帳戶同時受限於兩個設定時,此原則設定會取代 [從網路存取這台電腦] 使用者權利。

在本指南所定義的三種環境中,[拒絕從網路存取這台電腦] 使用者權利指派給 Guests 群組、ANONOYMOUS LOGON、Support_388945a0 及不屬於作業系統的所有服務帳戶。

若對其他群組進行這項原則設定,在您的環境中具有特定系統管理角色的使用者,其執行能力可能會受到限制。 您應該確保委派的工作不會受到負面影響。

拒絕以批次工作登入

注意:.inf 安全性範本中不包含 ANONOYMOUS LOGON、內建 Administrator、Support_388945a0、Guest 和所有非作業系統服務帳戶。 這些帳戶和群組在您組織的每個網域都有唯一的 SID。 因此,需以手動方式新增。 如需詳細資訊,請參閱本章結尾的<手動強化程序>一節。

這項原則設定決定哪些帳戶無法以批次工作登入電腦。 批次工作並非批次檔 (.bat),而是批次佇列功能。 用 [工作排程器] 為工作排程的帳戶需要這項使用者權利。

[拒絕以批次工作登入] 使用者權利可覆蓋 [以批次工作登入] 使用者權利,後者可讓帳戶為工作排程時消耗過多系統資源。 發生此情形可導致 DoS 的狀況。 因此,在本指南所定義三種環境的基準線原則中,[拒絕以批次工作登入] 使用者權利指派給 Guests 群組與 Support_388945a0 使用者帳戶。 無法將此使用者權利指派給建議帳戶可能會帶來安全性風險。

拒絕以服務方式登入

這項原則設定決定是否可在指定帳戶的情境下啟動服務。

[拒絕以服務方式登入] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 但對於 SSLF 環境,此原則設定已設為 Null 值或空白,這意味著沒有安全性群組或帳戶擁有此使用者權利。

拒絕本機登入

這項原則設定決定使用者是否可以直接透過電腦的鍵盤登入。

[拒絕本機登入] 這項設定在 EC 及 LC 環境中設為 [尚未定義]。 然而,在 SSLF 環境中,這項使用者權利僅指派給 Guests 群組與 Support_388945a0 使用者帳戶。 無法將此使用者權利指派給建議帳戶可能會帶來安全性風險。

拒絕透過終端機服務登入

注意:.inf 安全性範本中不包含 ANONOYMOUS LOGON、內建 Administrator、Support_388945a0、Guest 和所有非作業系統服務帳戶。 這些帳戶和群組在您組織的每個網域都有唯一的 SID。 因此,需以手動方式新增。 如需詳細資訊,請參閱本章結尾的<手動強化程序>一節。

這項原則設定決定使用者是否能以終端機服務用戶端登入。 將基準線成員伺服器加入網域環境之後,就不需要使用本機帳戶從網路存取伺服器。 網域帳戶能存取伺服器,用於系統管理及使用者的處理程序。

本指南所定義的三種環境中,Guests 群組獲得 [拒絕透過終端機服務登入] 使用者權利,因此無法透過終端機服務登入。

讓電腦及使用者帳戶能夠被信任以便進行委派

這項原則設定決定是否允許使用者變更 Active Directory 中使用者或電腦物件的 [受信任可以委派] 設定。 被指派這項使用者權利的使用者或電腦還必須擁有物件上之帳戶控制旗標的寫入權限。 這項使用者權利若遭誤用,可發生未經授權之下模擬網路中的其他使用者。

[讓電腦及使用者帳戶能夠被信任以便進行委派] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 但在 SSLF 環境下,此使用者權利僅指派給 Administrators 群組。

從遠端系統強制關機

這項原則設定決定使用者是否能從網路中的遠端位置關閉電腦。 任何能關閉電腦的使用者都可能會引發 DoS 的狀況。 所以這項使用者權利應該受到嚴格限制。

[從遠端系統強制關機] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 在 SSLF 環境中,這項使用者權利僅指派給 Administrators 群組。

產生安全稽核

這項原則設定決定處理程序是否能在安全性記錄檔中產生稽核記錄。 由於安全性記錄可用來追蹤未經授權之下的存取,因此攻擊者可透過能寫入安全性記錄的帳戶,在記錄中填滿無意義的事件。 如果將電腦設定為視需要覆寫事件,攻擊者就可以利用這項功能,去除其未經授權之下進行活動的證據。 如果將電腦設定為無法寫入安全性記錄檔時就會關機,攻擊者可利用這項功能引發 DoS 狀況。

[產生安全稽核] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 在 SSLF 環境中,這項使用者權利僅指派給 NETWORK SERVICE 與 LOCAL SERVICE 帳戶。  

驗證後模擬用戶端

這項原則設定可決定,代表已驗證使用者執行的應用程式能否模擬用戶端。 如果這種模擬必須具備這項使用者權利,則未經授權的使用者將無法誘使用戶端連線到 (例如,經由遠端程序呼叫 (RPC) 或具名管道) 為了模擬該用戶端而建立的服務。 未經授權的使用者可利用這項功能將權限提升到系統管理或系統層級。

[驗證後模擬用戶端] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 但在 SSLF 環境下,這項使用者權利僅指派給 Administrators 群組與 SERVICE。

增加排程優先權

這項原則設定決定使用者是否能夠提高處理序的基礎優先順序類別。 在優先權類別內提高相對的優先權並不是具有特殊權限的作業。 作業系統所提供的系統管理工具並不需要這項使用者權利,但是軟體開發工具卻可能需要。 擁有這項使用者權利的使用者可以將處理程序的排程優先權提高為「即時」,如此一來分配給其他所有處理程序的處理時間就會變得很少,因此可能會造成 DoS 的狀況。

[增加排程優先權] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 但在 SSLF 環境下,此使用者權利僅指派給 Administrators 群組。

載入和釋放裝置驅動程式

這項原則設定決定哪些使用者能以動態方式載入和釋放裝置驅動程式。 如果新硬體已簽署的驅動程式已經存在於電腦上的 Driver.cab 檔案中,就不需要這項使用者權利。 裝置驅動程式會以高權限的程式碼來執行。 擁有 [載入和釋放裝置驅動程式] 使用者權利的使用者可能會有意或無意間安裝偽裝成裝置驅動程式的惡意程式碼。 (系統管理員應更加謹慎,只安裝具有已驗證數位簽章的驅動程式)

[載入和釋放裝置驅動程式] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 但在 SSLF 環境下,此使用者權利僅指派給 Administrators 群組。

鎖定記憶體分頁

這項原則設定決定是否允許處理程序將資料保存在實體記憶體中,以免電腦將資料分頁至磁碟上的虛擬記憶體中。 發生此情形可使效能大幅衰退。 擁有這項使用者權利的使用者可指派實體記憶體給數個處理程序,只留給其他處理程序很少甚至沒有隨機存取記憶體 (RAM),因而導致 DoS 狀況發生。

[鎖定記憶體分頁] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 但對於 SSLF 環境,此原則設定已設為 Null 值或空白,這意味著沒有安全性群組或帳戶擁有此使用者權利。

以服務方式登入

這項原則設定決定安全性主體是否能夠以服務方式登入。 服務可以設定為以 Local System、Local Service 或 Network Service 帳戶來執行,這些帳戶都內建以服務方式登入的權限。 您必須將這項使用者權利指派給以不同使用者帳戶執行的任何服務。

[以服務方式登入] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 然而,在 SSLF 環境中,這項使用者權利僅指派給 Network Service 帳戶。

管理稽核及安全日誌

這項原則設定決定使用者是否能針對個別資源 (例如檔案、Active Directory 物件和登錄機碼) 指定物件存取稽核選項。 這項使用者權利功能強大,需要嚴密地防衛。 任何人只要擁有這項使用者權利,都可以清除安全日誌,消除未經授權活動的重要證據。

[管理稽核及安全日誌] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 然而,在 SSLF 環境中,這項使用者權利僅指派給 Administrators

重要:Microsoft Exchange Server 2003 在安裝過程會在「預設網域控制站原則」中修改這項使用者權利。 如需詳細資訊,請參閱 Exchange Server 2003 部署 (英文),網址 http://www.microsoft.com/technet/prodtechnol/exchange/guides/E2k3ADPerm/110e37bf-a68c-47bb-b4d5-1cfd539d9cba.mspx。 如果這項使用者權利以 Administrators 群組為限,Exchange 會經常在應用程式事件記錄中記載錯誤訊息。 如果使用 Exchange Server 2003,您必須為網域控制站調整這項設定的值。 如同本指南所建議的一切設定,您可能需要作一些調整,組織中的應用程式才能正常運作。

修改韌體環境值

這項原則設定決定是否可使用 API 透過處理程序、或由使用者從 [系統內容] 對話方塊修改電腦的環境變數。 任何人只要有這項使用者權利,都能設定硬體元件而造成失敗,導致資料毀損或 DoS 狀況。

[修改韌體環境值] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 但在 SSLF 環境下,此使用者權利僅指派給 Administrators 群組。

執行磁碟區維護工作

這項原則設定決定非系統管理或遠端的使用者能否管理磁碟區或磁碟。 擁有這項使用者權利的使用者可以刪除磁碟區,導致遺失資料或 DoS 狀況發生。

[執行磁碟區維護工作] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 但在 SSLF 環境下,此使用者權利僅指派給 Administrators 群組。

設定檔單一程序

這項原則設定決定哪些使用者能以效能監視工具監視非系統處理序的效能。 這項使用者權利形成中度漏洞,有這項功能的攻擊者可監視電腦的效能,找出所想直接攻擊的關鍵處理序。 攻擊者還能得知電腦中有哪些處理程序正在執行,藉此辨識出應閃避的防禦措施,例如防毒軟體、入侵偵測系統或登入電腦的其他使用者等等。

[設定檔單一程序] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 為達到更高的安全性,請確定在 SSLF 環境中,不要提供給 Power Users 群組這項使用者權利;這樣的環境中,唯有 Administrators 群組的成員才能有這項功能。

設定檔系統執行效能

這項原則設定與前一項設定類似。 可決定使用者是否能監視系統處理程序的效能。 這項使用者權利形成中度漏洞,有這項特殊權限的攻擊者可監視電腦的效能,找出所想直接攻擊的關鍵處理程序。 攻擊者也能判定電腦中執行的處理程序,找出應避開的防範措施,例如防毒軟體或入侵偵測系統。

[設定檔系統執行效能] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 但在 SSLF 環境下,此使用者權利僅指派給 Administrators 群組。

從連接站上移除電腦

這項原則設定決定可攜式電腦的使用者是否在 [開始] 功能表按一下 [退出 PC] 就能卸除電腦。 任何人只要擁有這項使用者權利,都能將可攜式電腦從銜接站移除。

[從連接站上移除電腦] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 但在 SSLF 環境下,此使用者權利僅指派給 Administrators 群組。

更換處理層權杖

這項原則設定決定是否允許父處理程序取代與子處理程序相關的存取權杖。

[更換處理層權杖] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 然而,在 SSLF 環境中,這項使用者權利僅指派給 LOCAL SERVICE 與 NETWORK SERVICE 帳戶。

還原檔案及目錄

這項原則設定決定哪些使用者在還原備份的檔案和目錄時,能略過檔案、目錄、登錄和其他永續性物件權限。 同時也決定哪些使用者能將任何有效的安全性主體設定為物件擁有者。

[還原檔案及目錄] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 但在 SSLF 環境下,此使用者權利僅指派給 Administrators 群組。 檔案還原工作一般是由系統管理員、或其他特定委派的安全性群組成員所執行,特別是對於高機密性的伺服器與網域控制站。

系統關機

這項原則設定決定哪些從本機登入的使用者能以 [關機] 命令關閉作業系統。 因為誤用這項功能可造成 DoS 狀況,所以關閉網域控制站的功能應限定只有極少數的受信任系統管理員才擁有。 即使系統關機需要有登入伺服器的能力,對於您允許能夠關閉網域控制站的帳戶和群組,仍應非常小心。

[系統關機] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 但在 SSLF 環境下,此使用者權利僅指派給 Administrators 群組。

同步處理目錄服務的資料

這項原則設定決定使用者是否可以讀取目錄中的所有物件和屬性,無論物件和屬性是否設有保護。 必須擁有這項使用者權利,才能使用 LDAP 目錄同步化 (Dirsync) 服務。

[同步處理目錄服務的資料] 設定預設為 [尚未定義],這對於 LC 和 EC 環境已經足夠。 但對於 SSLF 環境,此原則設定已設為 Null 值或空白,這意味著沒有安全性群組或帳戶擁有此使用者權利。

取得檔案或其他物件的所有權

這項原則設定決定使用者是否能取得網路中任何可保護物件的擁有權,包括 Active Directory 物件、NTFS 檔案系統 (NTFS) 檔案和資料夾、印表機、登錄機碼、服務、處理程序及執行緒。

[取得檔案或其他物件的所有權] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 然而,在 SSLF 環境中,這項使用者權利僅可指派給本機 Administrators 群組。

安全性選項

群組原則中,[安全性選項] 部份的原則設定可用來啟用或停用例如軟碟機存取、CD-ROM 光碟機存取及登入提示等功能。 這些原則設定也用來進行其他各種設定,例如資料的數位簽章、系統管理員和來賓帳戶名稱,及驅動程式安裝的運作方式。

您可在 [群組原則物件編輯器] 中,從以下位置進行 Windows Server 2003 SP1 安全性選項的設定:

電腦設定\Windows 設定\安全性設定\本機原則\安全性選項

本節所涵蓋的設定不一定存在於所有類型的電腦中。 因此,本節所定義在群組原則中,[安全性選項] 部份的設定,可能需要在呈現這些設定的電腦上進行手動修改,才能充分操作。

下列章節說明本指南所定義的三種環境適用的指定 MSBP 安全性選項設定。 如需所指定設定的摘要,請參閱 Microsoft Excel 活頁簿<Windows Server 2003 安全性指南設定>(隨附在本指南的可下載版本中)。 有關預設設定及每一設定的詳細說明等相關資訊,請參閱同系列指南《威脅與因應對策:Windows Server 2003 和 Windows XP 中的安全性設定》。

以下各節中的表格總結針對不同類型的安全性選項設定所建議的設定。 各表格下方的段落說明設定的詳細資訊。

帳戶設定

表 4.12 安全性選項:帳戶設定建議

設定

傳統用戶端

企業用戶端

專業安全性限制功能

Administrator 帳戶狀態

尚未定義

尚未定義

已啟用

Guest 帳戶狀態

已停用

已停用

已停用

限制使用空白密碼的本機帳戶僅能登入到主控台

已啟用

已啟用

已啟用

帳戶: Administrator 帳戶狀態

這項原則設定可在一般作業期間啟用或停用 Administrator 帳戶。 當您以安全模式啟動電腦時,無論有無這項設定,一律啟用 Administrator 帳戶。

[帳戶: Administrator 帳戶狀態] 這項設定在 LC 及 EC 環境中設為 [尚未定義],在 SSLF 環境中設為 [已啟用]。

帳戶: Guest 帳戶狀態

這項原則設定決定 Guest 帳戶是否啟用。 這個帳戶允許未經驗證的網路使用者以 Guest 登入,存取電腦。

[帳戶: Guest 帳戶狀態] 這項設定在本指南所定義三種環境的基準線原則中全部設為 [已停用]。

帳戶: 限制使用空白密碼的本機帳戶僅能登入到主控台

這項原則設定決定未受密碼保護的本機帳戶是否能用來從實體電腦主控台以外的位置登入。 如果啟用這項原則設定,使用非空白密碼的本機帳戶無法從遠端用戶端登入網路,而沒有密碼保護的本機帳戶只能實際利用電腦鍵盤登入。

[帳戶: 限制使用空白密碼的本機帳戶僅能登入到主控台] 這項設定在本指南所定義三種環境的基準線原則中全部設為預設值 [已啟用]。

稽核設定

表 4.13 安全性選項:稽核設定建議

設定

傳統用戶端

企業用戶端

專業安全性限制功能

稽核通用系統物件的存取

已停用

已停用

已停用

稽核備份和復原權限的使用

已停用

已停用

已停用

當無法記錄安全性稽核時,系統立即關機

已停用

已停用

已啟用

稽核: 稽核通用系統物件的存取

這項原則設定生效時可稽核通用系統物件的存取。 如果 [稽核: 稽核通用系統物件的存取] 與 [稽核物件存取] 稽核原則設定同時啟用,會產生大量的稽核事件。

[稽核: 稽核通用系統物件的存取] 這項設定在本指南所定義三種環境的基準線原則中全部設為預設值 [已停用]。

注意:原則設定的變更必須重新啟動 Windows Server 2003 後才會生效。

稽核: 稽核備份和復原權限的使用

當 [稽核特殊權限使用] 原則設定生效時,這項原則設定可決定是否稽核所有使用者特殊權限的使用,包括備份和復原在內。 如果啟用這項原則設定,可產生大量的安全性事件,導致伺服器回應緩慢,安全性記錄中也記載無數無關緊要的事件。

因此,[稽核: 稽核備份和復原權限的使用] 這項設定在本指南所定義三種環境的基準線原則中全部設為預設值 [已停用]。

注意:原則設定的變更必須重新啟動 Windows Server 2003 後才會生效。

稽核: 當無法記錄安全性稽核時,系統立即關機

這項原則設定決定電腦若無法記載安全性事件時是否立即關機。

一般認為在 LC 和 EC 環境中,啟用 [稽核: 當無法記錄安全性稽核時,系統立即關機] 這項設定所需的系統管理成本過高。 因此,在這些環境的基準線原則中,這項原則設定設為 [已停用]。 然而,這項原則設定在 SSLF 環境的基準線原則中設為 [已啟用],因為除非系統管理員特別決定要刪除安全性紀錄中的事件,否則為了防止安全性記錄中的事件被刪除,額外付出系統管理成本視為合理。

裝置設定

表 4.14 安全性選項:裝置設定建議

設定

傳統用戶端

企業用戶端

專業安全性限制功能

允許卸除而不須登入

已停用

已停用

已停用

允許格式化以及退出卸除式媒體

Administrators

Administrators

Administrators

防止使用者安裝印表機驅動程式

已啟用

已啟用

已啟用

CD-ROM 存取只限於登入本機的使用者

尚未定義

尚未定義

已停用

軟碟機存取只限於登入本機的使用者

尚未定義

尚未定義

已停用

未簽署的驅動程式安裝操作

警告但允許安裝

警告但允許安裝

警告但允許安裝

裝置: 允許卸除而不須登入

這項原則設定決定是否無需使用者登入電腦,即可卸除可攜式電腦。 您可以啟用這項原則設定以免除登入的需要,並允許使用外接硬體退出鈕來卸除電腦。 如果停用這項原則設定,未登入的使用者必須擁有 [從連接站上移除電腦] 使用者權利。

[裝置: 允許卸除而不須登入] 這項設定在本指南所定義三種環境的基準線原則中全部設為 [已停用]。

裝置: 允許格式化以及退出卸除式媒體

這項原則設定決定誰能格式化以及退出卸除式媒體。 只有系統管理員才能退出伺服器的卸除式媒體。

因此,[裝置: 允許格式化以及退出卸除式媒體] 這項設定的建議值是本指南所定義三種環境的基準線原則中的預設值 [Administrators]。

裝置: 防止使用者安裝印表機驅動程式

要讓電腦在網路印表機列印,就需要有該網路印表機的驅動程式。 如果啟用 [裝置: 防止使用者安裝印表機驅動程式] 設定,唯有 AdministratorsPower Users 群組成員、或具有 Server Operator 權限者,才能安裝印表機驅動程式,以新增網路印表機。 如果停用這項原則設定,任何使用者都能安裝印表機驅動程式。

[裝置: 防止使用者安裝印表機驅動程式] 這項設定在本指南所定義三種環境的基準線原則中全部設為預設值 [已啟用]。

裝置: CD-ROM 存取只限於登入本機的使用者

這項原則設定決定 CD-ROM 是否可以同時由本機和遠端使用者存取。 如果啟用這個原則設定,只有以互動方式登入的使用者可以存取卸除式 CD-ROM 媒體。 如果啟用這項原則設定,但並沒有以互動方式登入的使用者,就可由網路存取 CD-ROM。

[裝置: CD-ROM 存取只限於登入本機的使用者] 這項設定在 LC 和 EC 環境的基準線原則中設為 [尚未定義]。 在 SSLF 環境的基準線原則中,此原則設定已設為 [已停用]。

裝置: 軟碟機存取只限於登入本機的使用者

這項原則設定決定卸除式軟碟機媒體是否可以同時由本機和遠端使用者存取。 如果啟用這項原則設定,只有以互動方式登入的使用者可以存取卸除式軟碟機媒體。 如果啟用這項原則設定,但並沒有以互動方式登入的使用者,就可由網路存取軟碟機媒體。

[裝置: 軟碟機存取只限於登入本機的使用者] 這項設定在 LC 和 EC 環境的基準線原則中設為 [尚未定義]。 在 SSLF 環境的基準線原則中,此原則設定已設為 [已停用]。

裝置: 未簽署的驅動程式安裝操作

這項原則設定可決定,若嘗試安裝未經 Windows 硬體相容性小組 (WHQL) 核准簽署的裝置驅動程式 (透過 [安裝 API]),會發生什麼狀況。 依照您的設定方式決定,這項原則設定可防止安裝未簽署的驅動程式,或警告系統管理員未經簽署的驅動程式即將安裝。

[裝置: 未簽署的驅動程式安裝操作] 這項設定可用來防止安裝未經認證為可在 Windows Server 2003 SP1 中執行的驅動程式。 然而,這項設定在本指南所定義三種環境的基準線原則中全部設為 [警告但允許安裝]。 這項設定有一個潛在問題:如果自動安裝指令碼嘗試安裝未簽署的驅動程式,該指令碼會失敗。

網域成員設定

表 4.15 安全性選項:網域成員設定建議

設定

傳統用戶端

企業用戶端

專業安全性限制功能

安全通道資料加以數位加密或簽章 (自動)

已停用

已啟用

已啟用

安全通道資料加以數位加密 (可能的話)

已啟用

已啟用

已啟用

安全通道資料加以數位簽章 (自動)

已啟用

已啟用

已啟用

停用電腦帳戶密碼變更

已停用

已停用

已停用

最長電腦帳戶密碼有效期

30 天

30 天

30 天

要求增強式 (Windows 2000、Windows XP 或 Windows Server 2003) 工作階段索引鍵

已啟用

已啟用

已啟用

網域成員: 安全通道資料加以數位加密或簽章 (自動)

這項原則設定決定,由網域成員啟始的安全通道流量是否全都必須簽署或加密。 如果將電腦設為一律加密或簽署安全通道的資料,即無法與未能為所有安全通道流量簽署或加密的網域控制站之間建立安全通道。

[網域成員: 安全通道資料加以數位加密或簽章 (自動)] 這項設定在 LC 環境的基準線原則中設為 [已停用],在 EC 及 SSLF 環境中設為 [已啟用]。

注意:若要在成員工作站和伺服器享受這項設定的好處,組成成員所屬網域的所有網域控制站都必須執行 Windows NT 4.0 Service Pack 6a,或更新版本的 Windows。 此外,除非 Windows 98 Second Edition 用戶端安裝有 Dsclient,否則不支援這項原則設定。

網域成員: 安全通道資料加以數位加密 (可能的話)

這項原則設定決定網域成員可否嘗試為所啟始的所有安全通道流量交涉加密。 如果啟用這項原則設定,網域成員會要求為所有安全通道流量加密。 如果停用這項原則設定,將不允許網域成員交涉安全通道的加密。

因此,[網域成員: 安全通道資料加以數位加密 (可能的話)] 這項設定在本指南所定義三種環境的基準線原則中全部設為 [已啟用]。

網域成員: 安全通道資料加以數位簽章 (可能的話)

這項原則設定決定網域成員可否嘗試為所啟始的所有安全通道流量交涉簽章。 要求簽章可保護流量,免於任何人擷取資料後加以修改。

[網域成員: 安全通道資料加以數位簽章 (可能的話)] 這項設定在本指南所定義三種環境的基準線原則中全部設為 [已啟用]。

網域控制站: 停用電腦帳戶密碼變更

這項原則設定決定網域成員可否定期變更其電腦帳戶密碼。 如果啟用這項原則設定,網域成員將無法變更其電腦帳戶密碼。 如果停用這項原則設定,網域成員可依照 [網域成員: 最長電腦帳戶密碼有效期] 設定所指定變更其電腦帳戶密碼,預設為每 30 天變更一次。

不再能自動更改帳戶密碼的電腦有被攻擊者判斷出電腦網域帳戶密碼的風險。 因此,[網域控制站: 停用電腦帳戶密碼變更] 這項設定在本指南所定義三種環境的基準線原則中全部設為 [已停用]。

網域控制站: 最長電腦帳戶密碼有效期

這項原則設定決定允許電腦帳戶密碼最長的有效期。 這項設定也可套用在執行 Windows 2000 的電腦,但是無法透過這些電腦的 [安全性設定管理員] 工具使用。 在預設的狀況下,網域成員會每隔 30 天自動變更其網域密碼。 大幅增長時間間隔,或設定為 0 使得電腦不再更改它們的密碼,都會讓攻擊者有更多時間進行暴力密碼猜測,攻擊其中一或多個電腦帳戶。

因此,[網域控制站: 最長電腦帳戶密碼有效期] 這項設定在本指南所定義三種環境的基準線原則中全部設為 30 天。

網域成員: 要求增強式 (Windows 2000 或更新) 工作階段索引鍵

這項原則設定決定加密安全通道的資料是否要求要有 128 位元金鑰的強度。 如果啟用這項原則設定,唯有 128 位元加密之下才能建立安全通道。 如果停用這項原則設定,網域成員必須與網域控制站交涉金鑰強度。 在網域控制站與成員電腦之間建立安全通道通訊所用的工作階段金鑰,在 Windows 2000 中比在舊版 Microsoft 作業系統中強大許多。

因此,由於本指南所敘述三種安全性環境中包含 Windows 2000 或更新版本的網域控制站,所以 [網域成員: 要求增強式 (Windows 2000 或更新) 工作階段索引鍵] 這項設定在全部三種環境的基準線原則中設為 [已啟用]。

注意:如果啟用這項原則設定,便無法將執行 Windows 2000 的電腦加入至 Windows NT 4.0 網域。

互動式登入設定

表 4.16 安全性選項:互動式登入設定建議

設定

傳統用戶端

企業用戶端

專業安全性限制功能

在工作階段被封鎖時顯示使用者資訊

尚未定義

尚未定義

使用者顯示名稱、網域和使用者名稱

不要顯示上次登入的使用者名稱

已啟用

已啟用

已啟用

不要求按 CTRL+ALT+DEL 鍵

已停用

已停用

已停用

給登入使用者的訊息本文

(請諮詢公司相關人員。)

(請諮詢公司相關人員。)

(請諮詢公司相關人員。)

給登入使用者的訊息標題

(請諮詢公司相關人員。)

(請諮詢公司相關人員。)

(請諮詢公司相關人員。)

先前網域控制站無法使用時的登入快取次數

1

0

0

在密碼過期前提示使用者變更密碼

14 天

14 天

14 天

要求網域控制站驗證以解除鎖定工作站

已啟用

已啟用

已啟用

須有智慧卡

尚未定義

尚未定義

已停用

智慧卡移除操作

尚未定義

鎖定工作站

鎖定工作站

互動式登入: 在工作階段被封鎖時顯示使用者資訊

這項原則設定決定是否將登入您組織中用戶端電腦的最後一個使用者帳戶名稱,顯示在每部電腦分別的 Windows 登入畫面中。 如果啟用這項原則設定,入侵者即無法以目視方式從您組織中桌上型或膝上型電腦的畫面收集帳戶名稱。

[互動式登入: 在工作階段被封鎖時顯示使用者資訊] 這項設定在 LC 及 EC 環境中設為 [尚未定義]。 在 SSLF 環境的基準線伺服器原則中設為 [使用者顯示名稱、網域和使用者名稱]。

互動式登入: 不要顯示上次登入的使用者名稱

這項原則設定可決定 Windows 登入畫面中是否要顯示上次登入電腦的使用者名稱。 如果啟用這項原則設定,上次登入的使用者名稱就不會顯示在 [登入 Windows] 對話方塊。

[互動式登入: 不要顯示上次登入的使用者名稱] 這項設定在本指南所定義全部三種環境的基準線伺服器原則中設為 [已啟用]。

互動式登入: 不要求按 CTRL+ALT+DEL 鍵

這項原則設定決定使用者在登入之前是否必須按 CTRL+ALT+DEL 鍵。 如果停用這項原則設定,所有使用者都必須按 CTRL+ALT+DEL 鍵之後才能登入 Windows (除非使用智慧卡登入 Windows)。

[互動式登入: 不要求按 CTRL+ALT+DEL 鍵] 這項設定在本指南所定義三種環境的基準線原則中全部設為 [已停用],以降低攻擊者藉由特洛伊木馬程式攔截使用者密碼的機會。

互動式登入: 給登入使用者的訊息本文

這項原則設定可指定在使用者登入時,畫面顯示的文字訊息。 這段文字通常基於法律因素而使用,例如,警告使用者未經授權之下進行存取、誤用公司資訊的相關事項,或他們所做的動作可能受到稽核。

建議使用 [互動式登入: 給登入使用者的訊息本文] 安全性選項設定。 您應當諮詢組織的相關人員,以決定這段文字的內容。

注意:[互動式登入: 給登入使用者的訊息本文] 與 [互動式登入: 給登入使用者的訊息標題] 兩個設定都必須啟用,其中任一個才能正常運作。

互動式登入: 給登入使用者的訊息標題

這項原則設定允許指定當使用者登入電腦時,所顯示的互動式登入對話方塊中,標題列的標題。 設置這項原則設定的理由與 [給登入使用者的訊息本文] 設定相同。

因此,建議使用 [互動式登入: 給登入使用者的訊息標題] 這項設定。 您應當諮詢組織的相關人員,以決定這段文字的內容。

注意:[互動式登入: 給登入使用者的訊息本文] 與 [互動式登入: 給登入使用者的訊息標題] 兩個設定都必須啟用,其中任一個才能正常運作。

互動式登入: 先前網域控制站無法使用時的登入快取次數

這項原則設定決定使用者是否能以快取的帳戶資訊登入 Windows 網域。 網域帳戶的登入資訊可以在本機快取,因此當後續登入無法聯絡網域控制站時,使用者仍可登入。 因為工作站不與網域控制站通訊,所以這項功能可允許使用者在帳戶已經停用或刪除之後登入。 這項原則設定可決定在本機快取登入資訊的唯一使用者數目。 如果設定為 0,即停用登入快取。

[互動式登入: 先前網域控制站無法使用時的登入快取次數] 這項設定在 EC 與 SSLF 環境的基準線原則設為 0。 在 LC 環境中,這項設定設為 1,以允許合法用戶端無法與網域控制站通訊時也能夠存取。

互動式登入: 在密碼過期前提示使用者變更密碼

這項原則設定可決定要提前幾天警告使用者其密碼即將過期。 第 3 章<帳戶原則>一節建議,應將使用者密碼設為定期過期。 如果不通知使用者其密碼即將過期,恐怕必須等到密碼真的過期之後才會發現這件事,屆時本機使用者變更自己的密碼遇到困難,可能會感到不解。 意外過期的情形也會使得遠端使用者無法透過撥號或虛擬私人網路 (VPN) 連線進行登入。

因此,[互動式登入: 在密碼過期前提示使用者變更密碼] 這項設定在本指南所定義三種環境的基準線原則中全部設為預設的 14 天。

互動式登入: 要求網域控制站驗證以解除鎖定工作站

對於網域帳戶,這項原則設定決定是否必須與網域控制站通訊才能解除電腦鎖定。 這項原則設定可處理與 [互動式登入: 先前網域控制站無法使用時的登入快取次數] 設定類似的潛在漏洞。 使用者可以拔除伺服器的網路纜線,用舊密碼解除伺服器鎖定,於是不必經過驗證即可將伺服器的鎖定解除。

為防止這種情形發生,[互動式登入: 要求網域控制站驗證以解除鎖定工作站] 這項設定在本指南所定義三種環境的基準線原則中全部設為 [已啟用]。

重要:這項原則設定適用於執行 Windows 2000、Windows XP 及 Windows Server 2003 的電腦,但無法透過執行 Windows 2000 電腦的 [安全性設定管理員] 工具使用。

互動式登入: 須有智慧卡

這項原則設定要求使用者以智慧卡登入電腦。 若要求使用者以既長又複雜的密碼進行驗證,尤其又必須定期變更密碼,即可增強安全性。 這種方式可降低攻擊者經由暴力式攻擊猜出使用者密碼的機會。 然而,要求使用者選擇增強式密碼並不容易,再者即使是增強式密碼,遇到暴力式攻擊仍然會有弱點。

若捨棄密碼,改以智慧卡進行驗證,可大幅提高安全性;因為以目前的技術,攻擊者幾乎無法模擬其他使用者。 要求個人識別碼 (PIN) 的智慧卡可提供雙重驗證:使用者必須同時擁有智慧卡,又知道其 PIN。 攻擊者若擷取使用者的電腦與網域控制站之間的驗證流量,會發現要想解密極其困難。 即使能將流量解密,下回使用者登入網路時,還會產生新的工作階段金鑰,將使用者與網域控制站之間的流量加密。

Microsoft 鼓勵組織移轉到智慧卡或其他增強式的驗證技術。 然而,唯有已部署智慧卡,才可啟用 [互動式登入: 須有智慧卡] 設定。 因此,這項原則設定在 LC 和 EC 環境的基準線原則中設為 [尚未定義]。 在 SSLF 環境的基準線原則中,此原則設定已設為 [已停用]。

互動式登入: 智慧卡移除操作

這項原則設定可決定當已登入使用者的智慧卡從智慧卡讀取裝置移除時,發生的後續動作。 若設為 [鎖定工作站],則工作站會在智慧卡移除時鎖定,讓使用者得以攜帶智慧卡離開工作崗位。 如果設為 [強制登出],使用者就會在智慧卡移除時自動登出。

[互動式登入: 智慧卡移除操作] 設定在 LC 環境的基準線原則中設為 [尚未定義],在 EC 與 SSLF 環境中設為 [鎖定工作站]。

Microsoft 網路用戶端設定

表 4.17 安全性選項:Microsoft 網路用戶端設定建議

設定

傳統用戶端

企業用戶端

專業安全性限制功能

數位簽章用戶端的通訊 (自動)

已停用

已啟用

已啟用

數位簽章用戶端的通訊 (如果伺服器同意)

已啟用

已啟用

已啟用

傳送未加密的密碼到其他廠商的 SMB 伺服器

已停用

已停用

已停用

Microsoft 網路用戶端: 數位簽章用戶端的通訊 (自動)

這項原則設定可決定 SMB 用戶端元件是否要求封包簽署。 如果啟用這項設定,除非 Microsoft 網路伺服器同意執行 SMB 封包簽署,否則 Microsoft 網路用戶端無法與該伺服器通訊。 在含有傳統用戶端的混合環境中,這個選項應設為 [已停用],因為這類用戶端將無法驗證或取得網域控制站的存取權。 然而,您可以在執行 Windows 2000、Windows XP 及 Windows Server 2003 的環境中使用這項設定。 本指南所定義的 EC 和 SSLF 環境只含有執行這類作業系統的電腦,全部都能支援數位簽章。

因此,為提高此環境中電腦之間的通訊安全,[Microsoft 網路用戶端: 數位簽章用戶端的通訊 (自動)] 這項設定在 EC 與 SSLF 環境的基準線原則設為 [已啟用]。

Microsoft 網路用戶端: 數位簽章用戶端的通訊 (如果伺服器同意)

這項原則設定可決定 SMB 用戶端是否嘗試交涉進行 SMB 封包簽章。 在 Windows 網路中實施數位簽章,有助於防止工作階段遭到劫持。 如果啟用這項原則設定,成員伺服器上的 Microsoft 網路用戶端唯有所通訊的伺服器可接受數位簽章的通訊,才會要求簽章。

[Microsoft 網路用戶端: 數位簽章用戶端的通訊 (如果伺服器同意)] 這項設定在本指南所定義三種環境的基準線原則中全部設為 [已啟用]。

Microsoft 網路用戶端: 傳送未加密的密碼到其他廠商的 SMB 伺服器

如果啟用這項原則設定,驗證過程中即可允許 SMB 重新導向程式將純文字密碼傳送到不支援密碼加密的非 Microsoft SMB 伺服器。

除非應用程式的需求取代維護安全密碼的需要,否則 [Microsoft 網路用戶端: 傳送未加密的密碼到其他廠商的 SMB 伺服器] 這項設定在本指南所定義三種環境的基準線原則中設為預設值 [已停用]。

Microsoft 網路伺服器設定

表 4.18 安全性選項:Microsoft 網路伺服器設定建議

設定

傳統用戶端

企業用戶端

專業安全性限制功能

暫停工作階段前,要求的閒置時間

15 分鐘

15 分鐘

15 分鐘

數位簽章伺服器的通訊 (自動)

已停用

已啟用

已啟用

數位簽章伺服器的通訊 (如果用戶端同意)

已啟用

已啟用

已啟用

當登入時數過期時,中斷用戶端連線

已啟用

已啟用

已啟用

Microsoft 網路伺服器: 暫停工作階段前,要求的閒置時間

這項原則設定可決定 SMB 工作階段因沒有動作而暫停之前,必須經過的連續閒置時間量。 系統管理員可使用這項原則設定,來控制電腦何時暫停沒有動作的 SMB 工作階段。 如果用戶端恢復活動,就會自動重新建立工作階段。

[Microsoft 網路伺服器: 暫停工作階段前,要求的閒置時間] 這項設定在本指南所定義三種環境的基準線原則中全部設為 15 分鐘。

Microsoft 網路伺服器: 數位簽章伺服器的通訊 (自動)

這項原則設定可決定,允許與 SMB 用戶端更進一步通訊前,SMB 伺服器元件是否要求封包簽署。 Windows 2000 Server、Windows 2000 Professional、Windows Server 2003 和 Windows XP Professional 包含支援相互驗證的 SMB 版本,可防止有人嘗試劫持工作階段,並支援訊息驗證,避免攔截式攻擊。 SMB 簽章會在每個 SMB 封包中放入一個數位簽章以提供此驗證,然後會由用戶端和伺服器同時進行驗證。 若將電腦設定為忽略所有未簽章的 SMB 通訊時,傳統應用程式和作業系統將無法連線。 如果完全停用所有 SMB 簽章,電腦很容易受到嘗試攔截其通訊工作階段的攻擊。

[Microsoft 網路伺服器: 數位簽章伺服器的通訊 (自動)] 這項設定在 LC 環境的基準線原則中設為 [已停用],在 EC 及 SSLF 環境中設為 [已啟用]。

Microsoft 網路伺服器: 數位簽章伺服器的通訊 (如果用戶端同意)

這項原則設定可決定 SMB 伺服器是否與要求的用戶端交涉 SMB 封包簽署。 Windows 2000 Server、Windows 2000 Professional、Windows Server 2003 和 Windows XP Professional 包含支援相互驗證的 SMB 版本,可防止有人嘗試劫持工作階段,並支援訊息驗證,避免攔截式攻擊。 SMB 簽章會在每個 SMB 封包中放入一個數位簽章以提供此驗證,然後會由用戶端和伺服器同時進行驗證。 若將電腦設定為忽略所有未簽章的 SMB 通訊時,傳統應用程式和作業系統將無法連線。 如果完全停用所有 SMB 簽章,電腦很容易受到嘗試攔截其通訊工作階段的攻擊。

[Microsoft 網路伺服器: 數位簽章伺服器的通訊 (如果用戶端同意)] 這項設定在本指南所定義三種環境的基準線原則中全部設為 [已啟用]。

Microsoft 網路伺服器: 當登入時數過期時,中斷用戶端連線

這項原則設定可決定當使用者超過帳戶有效登入時數時,是否要中斷連線到網路電腦的使用者。 此原則設定會影響 SMB 元件。 如果您的組織已為使用者設定登入時數,即適合啟用這項原則設定。 否則,使用者應當無法在登入時數以外存取網路資源,以免利用允許期間所建立的工作階段,繼續使用資源。

[Microsoft 網路伺服器: 當登入時數過期時,中斷用戶端連線] 這項設定在本指南所定義三種環境的基準線原則中全部設為 [已啟用]。

網路存取設定

表 4.19 安全性選項:網路存取設定建議

設定

傳統用戶端

企業用戶端

專業安全性限制功能

允許匿名 SID/名稱轉譯

尚未定義

尚未定義

已停用

不允許 SAM 帳戶的匿名列舉

已啟用

已啟用

已啟用

不允許 SAM 帳戶和共用的匿名列舉

已啟用

已啟用

已啟用

不允許存放網路驗證的認證或 .NET Passport

已啟用

已啟用

已啟用

讓 Everyone 權限套用到匿名使用者

已停用

已停用

已停用

可以匿名存取的具名管道

尚未定義

尚未定義

COMNAP、COMNODE、SQL\QUERY、SPOOLSS、LLSRPC、netlogon、lsarpc、samr、browser

可遠端存取的登錄路徑

System\CurrentControlSet\Control\Product Options

System\CurrentControlSet\Control\

Server Applications;

Software\Microsoft\

Windows NT\Current

Version

System\CurrentControlSet\Control\Product Options

System\CurrentControlSet\Control\

Server Applications

Software\Microsoft\

Windows NT\Current

Version

System\CurrentControlSet\Control\Product Options

System\CurrentControlSet\Control\

Server Applications

Software\Microsoft\

Windows NT\Current

Version

可遠端存取的登錄路徑及子路徑

(如需設定資訊,請參閱下列子章節)

(如需設定資訊,請參閱下列子章節)

(如需設定資訊,請參閱下列子章節)

限制匿名存取已命名的管線和共用

已啟用

已啟用

已啟用

可以匿名存取的共用

尚未定義

尚未定義

共用和安全性模式用於本機帳戶

傳統 - 本機使用者以自身身分驗證

傳統 - 本機使用者以自身身分驗證

傳統 - 本機使用者以自身身分驗證

網路存取:允許匿名 SID/名稱轉譯

這項原則設定可決定匿名使用者是否可以要求另一個使用者的 SID 屬性。 如果啟用這項原則設定,具有本機存取權的使用者可以使用知名的系統管理員 SID 來取得內建系統管理員帳戶的真實名稱,即使該帳戶已經重新命名也一樣。 該人員接著即可利用該帳戶來發動密碼猜測攻擊。

[網路存取: 允許匿名 SID/名稱轉譯] 這項原則設定在 LC 和 EC 環境的基準線原則中設為 [尚未定義]。 在 SSLF 環境的基準線原則中,此原則設定已設為 [已停用]。

網路存取:不允許 SAM 帳戶的匿名列舉

這項原則設定可決定對電腦的匿名連線授與哪些額外權限。 Windows 允許匿名使用者執行特定活動,例如列舉網域帳戶的名稱。 此功能方便實用,例如當系統管理員想要將存取權限授予沒有相互信任關係的受信任網域中的使用者時。 然而,即使啟用這項設定,所具權限明確包含特殊內建群組 ANONYMOUS LOGON 的匿名使用者仍可存取任何資源。

[網路存取: 不允許 SAM 帳戶的匿名列舉] 這項設定在本指南所定義三種環境的基準線原則中全部設為 [已啟用]。

網路存取:不允許 SAM 帳戶和共用的匿名列舉

這項原則設定決定是否允許匿名列舉 SAM 帳戶與共用。

[網路存取: 不允許 SAM 帳戶和共用的匿名列舉] 這項設定在本指南所定義三種環境的基準線原則中全部設為 [已啟用]。

網路存取:不允許存放網路驗證的認證或 .NET Passport

這項原則設定可決定 [已儲存的使用者名稱和密碼] 的設定在網域驗證達成之後是否儲存密碼、憑證或 Microsoft .NET Passports 備用。

[網路存取: 不允許存放網路驗證的認證或 .NET Passport] 這項設定在本指南所定義全部三種安全性環境的基準線原則中設為 [已啟用]。

注意:對這項原則設定所作的變更必須重新啟動 Windows 之後才會生效。

網路存取:讓 Everyone 權限套用到匿名使用者

這項原則設定可決定對電腦的匿名連線授與哪些額外權限。 如果啟用這項原則設定,匿名的 Windows 使用者就能執行特定活動,例如列舉網域帳戶的名稱和網路共用。 未授權的使用者可以匿名的方式列出帳戶名稱及共用的資源,並利用該項資訊猜測密碼,或執行社交工程攻擊。

因此,[網路存取: 讓 Everyone 權限套用到匿名使用者] 這項設定在本指南所定義三種環境的基準線原則中全部設為 [已停用]。

注意:啟用這項原則設定的網域無法建立或維護與 Windows NT 4.0 網域或網域控制站的信任關係。

網路存取:可以匿名存取的具名管道

這項原則設定可決定哪些通訊工作階段 (具名管道) 有允許匿名存取的屬性和權限。

在 SSLF 環境中,應強制使用 [網路存取: 可以匿名存取的具名管道] 設定的預設值。 預設值由下列具名管道組成:

  • COMNAP - SNA 工作階段存取

  • COMNODE - SNA 工作階段存取

  • SQL\QUERY - SQL 例項存取

  • SPOOLSS - Spooler 服務

  • LLSRPC - License Logging 服務

  • Netlogon - Net Logon 服務

  • Lsarpc - LSA 存取

  • Samr - SAM 存取

  • browser - Computer Browser 服務

    重要:如果需要啟用這項原則設定,請確定只新增支援您環境中應用程式所需的具名管道。 如同本指南建議的所有設定,您必須先小心測試這項原則設定之後,再將它部署到實際執行環境。

網路存取:可遠端存取的登錄路徑

這項原則設定決定可透過網路存取哪些登錄路徑。

[網路存取: 可遠端存取的登錄路徑] 這項設定在本指南所定義全部三種安全性環境的基準線安全性範本中設為其預設值。

注意:即使完成這項原則設定,如果授權使用者需要能夠透過網路存取登錄,您仍必須啟動 Remote Registry 系統服務。

網路存取:可遠端存取的登錄路徑及子路徑

這項原則設定決定可透過網路存取哪些登錄路徑與子路徑。

[網路存取: 可遠端存取的登錄路徑及子路徑] 這項設定在本指南所定義全部三種安全性環境的基準線安全性範本中強制設為預設值。 預設值由下列路徑與子路徑所組成:

  • System\CurrentControlSet\Control\Print\Printers

  • System\CurrentControlSet\Services\Eventlog

  • Software\Microsoft\OLAP Server

  • Software\Microsoft\Windows NT\CurrentVersion\Print

  • Software\Microsoft\Windows NT\CurrentVersion\Windows

  • System\CurrentControlSet\Control\ContentIndex

  • System\CurrentControlSet\Control\Terminal Server

  • System\CurrentControlSet\Control\Terminal Server\UserConfig

  • System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration

  • Software\Microsoft\Windows NT\CurrentVersion\Perflib

  • System\CurrentControlSet\Services\SysmonLog

網路存取:限制匿名存取已命名的管線和共用

這項原則設定可以用來限制下列設定中,對共用與已命名管線的匿名存取:

  • 網路存取:可以匿名存取的具名管道

  • 網路存取:可以匿名存取的共用

[網路存取: 限制匿名存取已命名的管線和共用] 這項設定在本指南所定義三種環境的基準線原則中全部設為預設設定 [已啟用]。

網路存取:可以匿名存取的共用

這項原則設定決定匿名使用者可存取哪些網路共用。 這項設定的預設值鮮有影響,因為所有使用者在存取伺服器的共用資源之前都必須通過驗證。

[網路存取: 可以匿名存取的共用] 這項設定在 LC 及 EC 環境中設為 [尚未定義],在 SSLF 環境中設為 [無]。

注意:啟用這項原則設定非常危險,因為任何網路使用者都能存取列出的所有共用。 如果啟用這項原則設定,可能會洩漏或損毀機密資料。

網路存取:共用和安全性模式用於本機帳戶

這項原則設定決定使用本機帳戶的網路登入如何接受驗證。 [傳統] 設定允許對資源的存取權進行細部控制,可讓您為相同資源的不同使用者提供不同類型的存取權。 使用 [僅適用於來賓] 設定可讓您平等對待所有使用者。 此情況下,所有使用者都會以 [僅適用於來賓] 進行驗證,來取得特定資源的相同層級存取權。

[網路存取: 共用和安全性模式用於本機帳戶] 這項設定在本指南所定義三種環境的基準線原則中全部設為預設設定 [傳統]。

網路安全性設定

表 4.20 安全性選項:網路安全性設定建議

設定

傳統用戶端

企業用戶端

專業安全性限制功能

下次密碼變更時不儲存 LAN Manager 雜湊數值

已啟用

已啟用

已啟用

LAN Manager 驗證層級

僅傳送 NTLMv2 回應

僅傳送 NTLMv2 回應\拒絕 LM

僅傳送 NTLMv2 回應\拒絕 LM 和 NTLM

LDAP 用戶端簽章要求

交涉簽章

交涉簽章

交涉簽章

NTLM SSP 為主的 (包含安全 RPC) 用戶端的最小工作階段安全性

無最小值

啟用所有設定

啟用所有設定

NTLM SSP 為主的 (包含安全 RPC) 伺服器的最小工作階段安全性

無最小值

啟用所有設定

啟用所有設定

網路安全性:下次密碼變更時不儲存 LAN Manager 雜湊數值

此原則設定會決定密碼變更時是否要儲存新密碼的 LAN Manager 雜湊數值。 LM 雜湊相當脆弱,與加密方面較強的 Windows NT 雜湊比較起來,更易受到攻擊。

因此,[網路安全性: 下次密碼變更時不儲存 LAN Manager 雜湊數值] 這項設定在本指南所定義全部三種安全性環境的基準線原則中設為 [已啟用]。

注意:若啟用這項原則設定,非常老舊的傳統作業系統和部份應用程式可能會失敗。 此外,啟用這項原則設定後,您還需要變更所有帳戶的密碼。

網路安全性:LAN Manager 驗證層級

這項原則設定可決定網路登入所使用的挑戰/回應驗證通訊協定。 這個選擇影響用戶端電腦使用的驗證通訊協定層級、交涉的安全性層級,及伺服器接受的驗證層級如下。 下表中的數字是 LMCompatibilityLevel 登錄值的實際設定。

表 4.21 LMCompatibilityLevel 登錄值設定

通訊協定

0

用戶端使用 LAN Manager 及 NTLM 驗證,絕不使用 NTLMv2 工作階段安全性。

1

用戶端使用 LAN Manager 及 NTLM 驗證,並在伺服器支援時使用 NTLMv2 工作階段安全性。

2

用戶端僅能使用 NTLM 驗證,並在伺服器支援時使用 NTLMv2 工作階段安全性。

3

用戶端僅能使用 NTLMv2 驗證,並在伺服器支援時使用 NTLMv2 工作階段安全性。

4

用戶端僅能使用 NTLM 驗證,並在伺服器支援時使用 NTLMv2 工作階段安全性。 網域控制站拒絕 LAN Manager 驗證。

5

用戶端僅能使用 NTLMv2 驗證,並在伺服器支援時使用 NTLMv2 工作階段安全性。 網域控制站拒絕 LAN Manager 及 NTLM 驗證,僅接受 NTLMv2。


請依照下列指導原則,將這項原則設定設為您的環境所允許的最高層級:

在只包含 Windows NT 4.0 SP4、Windows 2000 及 Windows XP Professional 的環境中,將所有用戶端的這項原則設定設為 [僅傳送 NTLMv2 回應\拒絕 LM 和 NTLM];用戶端全部設定完成後,接著將所有的伺服器設為 [僅傳送 NTLMv2 回應\拒絕 LM 和 NTLM]。 不適用此建議的例外是 Windows Server 2003 路由及遠端存取伺服器,如果這項原則設定高於 [僅傳送 NTLMv2 回應\拒絕 LM],將無法正常運作。

因為 EC 環境可能需要支援路由及遠端存取伺服器,所以這種環境的基準線原則中,[網路安全性: LAN Manager 驗證層級] 設定設為 [僅傳送 NTLMv2 回應\拒絕 LM]。 SSLF 環境不支援路由及遠端存取伺服器,所以這種環境的原則設定設為 [僅傳送 NTLMv2 回應\拒絕 LM 和 NTLM]。

如果使用可安裝 DSClient 的 Windows 9x 用戶端,請在執行 Windows NT (Windows NT、Windows 2000 及 Windows XP Professional) 的電腦將這項原則設定設為 [僅傳送 NTLMv2 回應\拒絕 LM 和 NTLM]。 否則,對於不執行 Windows 9x 的電腦,您必須將基準線原則中的這項原則設定保持不高於 [僅傳送 NTLMv2 回應],也就是針對 LC 環境的設定方式。

如果您發現啟用這項原則設定後會有應用程式中斷,可一次退回一步,找尋中斷的應用程式。 您至少必須在所有電腦的基準線原則中,將這項原則設定設為 [傳送 LM & NTLM - 如有交涉,使用 NTLMv2 工作階段安全性]。 通常,可在環境中的所有電腦將它設為 [僅傳送 NTLMv2 回應]。

網路安全性:LDAP 用戶端簽章要求

這項原則設定可決定代表發出 LDAP BIND 要求的用戶端所要求的資料簽章層級。 未經簽署的網路流量容易受到攔截式攻擊。 對 LDAP 伺服器來說,攻擊者可使伺服器根據假冒來自 LDAP 用戶端的查詢做出決定。

因此,[網路安全性: LDAP 用戶端簽章要求] 這項設定在本指南所定義三種環境的基準線原則中全部設為 [交涉簽章]。

網路安全性:NTLM SSP 為主的 (包含安全 RPC) 用戶端的最小工作階段安全性

這項原則設定可讓用戶端要求交涉實施訊息機密性 (加密)、訊息簽章、128 位元加密,或 NTLM 第 2 版 (NTLMv2) 工作階段安全性。 請盡可能將此原則設定設為高安全性層級,但請注意,您仍必須允許網路上應用程式正常運作。 適當地進行這項原則設定有助於確保出自 NTLM SSP 架構伺服器的網路流量受到保護,避免攔截式攻擊和資料外洩。

[網路安全性: NTLM SSP 為主的 (包含安全 RPC) 用戶端的最小工作階段安全性] 這項設定在 LC 環境的基準線原則中設為 [無最小值]。 EC 和 SSLF 環境中已啟用所有設定。

網路安全性:以 NTLM SSP 為主的 (包含安全 RPC) 伺服器的最小工作階段安全性

這項原則設定可讓伺服器要求交涉實施訊息機密性 (加密)、訊息完整性、128 位元加密,或 NTLMv2 工作階段安全性。 請盡可能將此原則設定設為高安全性層級,但請注意,您仍必須允許網路上應用程式正常運作。 如同上一項原則設定,適當地進行這項原則設定有助於確保出自 NTLM SSP 架構用戶端的網路流量受到保護,避免攔截式攻擊和資料外洩。

[網路安全性: NTLM SSP 為主的 (包含安全 RPC) 伺服器的最小工作階段安全性] 這項安全性選項設定在 LC 環境的基準線原則中設為 [無最小值]。 EC 和 SSLF 環境中已啟用所有設定。

修復主控台設定

表 4.22 安全性選項:復原主控台設定建議

設定

傳統用戶端

企業用戶端

專業安全性限制功能

允許自動系統管理登入

已停用

已停用

已停用

允許軟碟複製以及存取所有磁碟和所有資料夾

已啟用

已啟用

已停用

復原主控台:允許自動系統管理登入

這項原則設定決定是否必須先輸入 Administrator 帳戶的密碼之後,才能授與電腦存取權。 如果啟用這項原則設定,復原主控台不會要求您提供密碼,而會自動登入電腦。 在您需要處理啟動上發生問題的電腦時,復原主控台格外好用。 然而,啟用這項設定可能有害,因為任何人都可以來到伺服器面前,切斷電源加以關閉之後再重新啟動,然後在 [重新啟動] 功能表中選取 [修復主控台],即可僭取伺服器的完整控制權。

因此,[復原主控台: 允許自動系統管理登入] 這項設定在本指南所定義三種環境的基準線原則中全部設為預設的 [已停用]。 若要在停用這項預設值時使用 [復原主控台],使用者則必須輸入使用者名稱和密碼來存取 Recovery Console 帳戶。

復原主控台:允許軟碟複製以及存取所有磁碟和所有資料夾

啟用這項原則設定即可使用 [復原主控台] 的 SET 命令,讓您能設定下列 [復原主控台] 環境變數:

  • AllowWildCards。 啟用萬用字元支援某些命令 (例如 DEL 命令)。

  • AllowAllPaths。 允許存取電腦中所有的檔案和資料夾。

  • AllowRemovableMedia。 允許複製檔案到卸除式媒體 (如軟碟機)。

  • NoCopyPrompt。 覆寫現存檔案時不要提示。

為達到最高安全性,[復原主控台: 允許軟碟複製以及存取所有磁碟和所有資料夾] 這項設定在 SSLF 環境的基準線原則中設為 [已停用]。 然而,在 LC 和 EC 環境中,這項原則設定設為 [已啟用]。

關機設定

表 4.23 安全性選項:關機設定建議

設定

傳統用戶端

企業用戶端

專業安全性限制功能

允許不登入就將系統關機

已停用

已停用

已停用

清除虛擬記憶體分頁檔

已停用

已停用

已停用

關機:允許不登入就將系統關機

這項原則設定決定電腦可否由不必登入 Windows 作業系統的使用者加以關閉。 能存取主控台的使用者可關閉電腦。 攻擊者或被誤導的使用者可能不須表明身分就可透過「終端機服務」連線到伺服器,並執行關閉或重新啟動。

因此,[關機: 允許不登入就將系統關機] 這項設定在本指南所定義三種環境的基準線原則中全部設為預設的 [已停用]。

關機:清除虛擬記憶體分頁檔

這項原則設定可決定電腦關機時是否應清除虛擬記憶體分頁檔。 啟用這項原則設定時會導致在每次電腦順利關機時都會清除系統分頁檔。 如果啟用這項原則設定,在可攜式電腦停用休眠時,休眠檔 (Hiberfil.sys) 也會實體清空。 關閉及重新啟動伺服器會比較費時,如果伺服器的分頁檔很大,就要花費很長一段時間。

基於這些理由,[關機: 清除虛擬記憶體分頁檔] 這項設定在本指南所定義的三種環境中都設為 [已停用]。

注意:如果攻擊者可以接觸伺服器實體,那麼只需將伺服器的電源拔掉,就能避開這項因應對策。

系統密碼編譯設定

表 4.24 安全性選項:系統密碼編譯設定建議

設定

傳統用戶端

企業用戶端

專業安全性限制功能

對使用者儲存在電腦上的金鑰強制使用增強式金鑰保護

金鑰第一次使用時提示使用者輸入

金鑰第一次使用時提示使用者輸入

使用者必須在每次使用金鑰時輸入密碼

使用 FIPS 相容演算法於加密,雜湊,以及簽章

已停用

已停用

已啟用

系統密碼編譯:對使用者儲存在電腦上的金鑰強制使用增強式金鑰保護

這項原則設定決定是否需要密碼才能使用使用者的私密金鑰 (例如 S-MIME 金鑰)。 如果將這項原則設定設為使用者每次使用金鑰時都必須提供密碼 (不同於網域密碼),即使攻擊者發現登入密碼,依舊難以存取儲存於本機的金鑰。

因為在 LC 與 EC 環境中的可用性需求,基準線原則中的 [系統密碼編譯: 對使用者儲存在電腦上的金鑰強制使用增強式金鑰保護] 設定設為 [金鑰第一次使用時提示使用者輸入]。 為提供更高的安全性,這項原則設定在 SSLF 環境中設為 [使用者必須在每次使用金鑰時輸入密碼]。

系統密碼編譯: 使用 FIPS 相容演算法於加密,雜湊,以及簽章

此原則設定會確定傳輸層安全性/安全通訊端層 (TLS/SSL) 安全性提供者是否只支援 TLS_RSA_WITH_3DES_EDE_CBC_SHA cipher suite。 雖然這項原則設定可提高安全性,但大多數以 TLS 或 SSL 保護的公開網站並不支援這些演算法。 許多用戶端電腦也並未設定為支援這些演算法。

基於這些理由,[系統密碼編譯: 使用 FIPS 相容演算法於加密,雜湊,及簽章] 這項設定在 LC 與 EC 環境的基準線原則中設為 [已停用]。 在 SSLF 環境中,這項原則設定為 [已啟用]。

系統物件設定

表 4.25 安全性選項:系統物件設定建議

設定

傳統用戶端

企業用戶端

專業安全性限制功能

系統管理員群組成員所建立物件的預設擁有者

物件建立程式

物件建立程式

物件建立程式

要求不區分大小寫用於非 Windows 子系統

已啟用

已啟用

已啟用

加強內部系統物件的預設權限 (例如:符號連結)

已啟用

已啟用

已啟用

系統物件:系統管理員群組成員所建立物件的預設擁有者

這項原則設定決定 Administrators 群組或物件建立程式是否為所建立任何系統物件的預設擁有者。 建立系統物件時,擁有權將反映哪個帳戶建立該物件,而不是一般化的 Administrator 群組。

[系統物件: 系統管理員群組成員所建立物件的預設擁有者] 這項設定在本指南所定義三種環境的基準線原則中全部設為 [物件建立程式]。

系統物件:要求不區分大小寫用於非 Windows 子系統

這項原則設定決定是否強制所有子系統不區分大小寫。 Microsoft Win32® 子系統是不區分大小寫的。 然而,其核心支援其他子系統區分大小寫,例如 Portable Operating System Interface for UNIX (POSIX)。 因為 Windows 不區分大小寫,但 POSIX 子系統可支援區分大小寫,如果未強制此設定,POSIX 使用者有可能建立與另一個檔案同名,但混有不同大寫字母的檔案。 如果發生此情形,因為只有其中一個檔案可用,所以使用一般 Win32 工具的其他使用者可能無法存取這類檔案。

為確保檔名的一致性,[系統物件: 要求不區分大小寫用於非 Windows 子系統] 這項設定在本指南所定義三種環境的基準線原則中全部設為 [已啟用]。

系統物件:加強內部系統物件的預設權限 (例如:符號連結)

這項原則設定決定物件的預設判別存取控制清單 (DACL) 強度,保護處理程序之間能夠找到與共用的物件。 為強化 DACL,可使用預設值 [已啟用],使並非系統管理員的使用者能夠讀取共用物件,但無法修改不是自己建立的共用物件。

[系統物件: 加強內部系統物件的預設權限 (例如:符號連結)] 這項設定在本指南所定義三種環境的基準線原則中全部設為預設值 [已啟用]。

系統設定

表 4.26 安全性選項:系統設定建議

設定

傳統用戶端

企業用戶端

專業安全性限制功能

系統設定:選擇性的子系統

系統設定:於軟體限制原則對 Windows 可執行檔使用憑證規則

尚未定義

已停用

已啟用

系統設定:選擇性的子系統

這項原則設定決定以哪些子系統支援您環境中的應用程式。 在 Windows Server 2003 中,這項原則設定的預設值是 [Posix]。

若要停用 POSIX 子系統,[系統設定: 選擇性的子系統] 這項設定在本指南所定義三種環境的基準線原則中全部設為 [無]。

系統設定:於軟體限制原則對 Windows 可執行檔使用憑證規則

這項原則設定決定,若啟用軟體限制原則,當有使用者或處理程序嘗試執行副檔名為 .exe 的軟體時,是否處理數位憑證。 這項設定會啟用或停用憑證規則 (一種軟體限制原則規則)。 透過軟體限制原則,您可建立憑證規則,根據與軟體相關聯的數位憑證,來允許或禁止執行由 Authenticode® 簽署的軟體。 為使軟體限制原則中的憑證規則生效,您必須啟用這項原則設定。

[系統設定: 於軟體限制原則對 Windows 可執行檔使用憑證規則] 這項設定在 SSLF 環境中設為 [已啟用]。 然而,因為可能影響效能,所以在 EC 環境中設為 [已停用],在 LC 環境中設為 [尚未定義]。

事件記錄

事件記錄可記載電腦中發生的事件,安全性記錄則記載稽核事件。 群組原則的事件記錄容器是用於定義應用程式、安全性和系統事件記錄檔的屬性,例如,最大的記錄檔容量、每個記錄檔的存取權限,以及保留設定和方法。 應用程式、安全性和系統事件記錄的設定是在 MSBP 中完成,並套用到網域中所有的成員伺服器。

您可在 [群組原則物件編輯器] 中,從以下位置進行 Windows Server 2003 SP1 事件記錄的設定:

電腦設定\Windows 設定\安全性設定\事件記錄

本節說明適用於本指南所定義的三種環境、指定 MSBP 事件記錄設定的詳細資訊。 如需本節所指定設定的摘要,請參閱 Microsoft Excel 活頁簿<Windows Server 2003 安全性指南設定>(隨附在本指南的可下載版本中)。 有關預設設定及每一設定的詳細說明等相關資訊,請參閱同系列指南《威脅與因應對策:Windows Server 2003 和 Windows XP 中的安全性設定》,網址 http://go.microsoft.com/fwlink/?LinkId=15159。

下表彙總針對本指南所定義三種環境提出的事件記錄設定建議。 此表下方的段落將提供各個設定的更多資訊。

表 4.27 事件記錄設定建議

設定

傳統用戶端

企業用戶端

專業安全性限制功能

應用程式記錄檔大小最大值

16,384 KB

16,384 KB

16,384 KB

安全性記錄檔大小最大值

81,920 KB

81,920 KB

81,920 KB

系統記錄檔大小最大值

16,384 KB

16,384 KB

16,384 KB

不允許本機來賓群組存取應用程式記錄

已啟用

已啟用

已啟用

不允許本機來賓群組存取安全性記錄

已啟用

已啟用

已啟用

不允許本機來賓群組存取系統記錄

已啟用

已啟用

已啟用

應用程式記錄保持方法

視需要

視需要

視需要

安全性記錄保持方法

視需要

視需要

視需要

系統記錄保持方法

視需要

視需要

視需要

應用程式記錄檔大小最大值

這項原則設定指定應用程式事件記錄檔大小的上限,其最大容量為 4 GB。 但由於存在記憶體分散的風險,從而會導致效能降低和事件記錄不可靠,因此不建議採用此容量大小。 依照平台的功能以及應用程式關聯事件的歷程記錄需求,應用程式記錄檔大小的需求會因之而異。

[應用程式記錄檔大小最大值] 這項設定在本指南所定義三種環境的基準線原則中全部設為預設值 16 , 384 KB

安全性記錄檔大小最大值

這項原則設定指定安全性事件記錄檔大小的上限,其最大容量為 4 GB。 網域控制站和獨立作業伺服器的安全性記錄必須設定為至少 80 MB,以足供儲存進行稽核所需的資訊。 至於這項原則在其他電腦的設定方式,依照檢閱記錄的頻率、可用磁碟空間等等因素決定。

[安全性記錄檔大小最大值] 這項安全性設定在本指南所定義三種環境的基準線原則中全部設為 81 , 920 KB

系統記錄檔大小最大值

這項原則設定指定系統事件記錄檔大小的上限,其最大容量為 4 GB。 但由於存在記憶體分散的風險,從而會導致效能降低和事件記錄不可靠,因此不建議採用此容量大小。 依照平台的功能以及歷程記錄需求,系統記錄檔大小的需求會因之而異。

[系統記錄檔大小最大值] 這項設定在本指南所定義三種環境的基準線原則中全部設為預設值 16 , 384 KB

不允許本機來賓群組存取應用程式記錄

這項原則設定決定是否拒絕來賓存取應用程式事件記錄。 根據 Windows Server 2003 SP1 預設值,所有電腦上已禁止來賓存取。 因而,此原則設定對預設電腦設定沒有實際影響。

然而,因為一般認為這項設定是沒有副作用的深入防衛措施,所以 [不允許本機來賓群組存取應用程式記錄] 這項設定在本指南所定義三種環境的基準線原則中全部設為 [已啟用]。

注意:此設定不會在「本機電腦原則」物件中顯示。

不允許本機來賓群組存取安全性記錄

這項原則設定決定是否拒絕來賓存取安全性事件記錄。 使用者必須擁有 [管理稽核及安全日誌] 使用者權利 (未於本指南中定義),才能存取安全性記錄。 因而,此原則設定對預設電腦設定沒有實際影響。

然而,因為一般認為這項設定是沒有副作用的深入防衛措施,所以 [不允許本機來賓群組存取安全性記錄] 這項設定在本指南所定義三種環境的基準線原則中全部設為 [已啟用]。

注意:此設定不會在「本機電腦原則」物件中顯示。

不允許本機來賓群組存取系統記錄

這項原則設定決定是否拒絕來賓存取系統事件記錄。 根據 Windows Server 2003 SP1 預設值,所有電腦上已禁止來賓存取。 因而,此原則設定對預設電腦設定沒有實際影響。

然而,因為一般認為這項設定是沒有副作用的深入防衛設定措施,所以 [不允許本機來賓群組存取系統記錄] 這項設定在本指南所定義三種環境的基準線原則中全部設為 [已啟用]。

注意:此設定不會在「本機電腦原則」物件中顯示。

應用程式記錄保持方法

這項原則設定決定應用程式記錄檔的「包裝」方式。 如果因為討論或疑難排解而需要使用到歷程事件,就必須定期對應用程式記錄備份歸檔。 如果因需要而覆寫了事件,記錄會永遠儲存最新的事件 (儘管此設定會導致舊資料遺失)。

[應用程式記錄保持方法] 這項設定在本指南所定義三種環境的基準線原則中全部設為 [視需要]。

安全性記錄保持方法

這項原則設定決定安全性記錄檔的「包裝」方式。 如果因為討論或疑難排解而需要使用到歷程事件,就必須經常對安全性記錄備份歸檔。 如果因需要而覆寫了事件,記錄會永遠儲存最新的事件 (儘管此設定會導致舊資料遺失)。

[安全性記錄保持方法] 這項設定在本指南所定義三種環境的基準線原則中全部設為 [視需要]。

系統記錄保持方法

這項原則設定決定系統記錄檔的「包裝」方式。 如果因為討論或疑難排解而需要使用到歷程事件,就必須經常對記錄備份歸檔。 如果因需要而覆寫了事件,記錄會永遠儲存最新的事件 (儘管此設定會導致舊資料遺失)。

[系統記錄保持方法] 這項設定在本指南所定義三種環境的基準線原則中全部設為 [視需要]。

其他登錄項目

其他登錄項目 (也稱為「登錄值」) 是為本指南所定義三種安全性環境所適用、預設 Administrative Template (.adm) 檔中所未定義的基準線安全性範本檔所建立。 此類 .adm 檔案可定義 Windows Server 2003 桌面、Shell 和安全性的原則與限制。

這些登錄項目內嵌於安全性範本 ([安全性選項] 部份) 中,以使變更自動化。 如果移除原則,這些登錄項目並不會自動隨著原則一起移除,您必須手動使用登錄編輯工具 (例如 Regedt32.exe) 進行變更。 相同的登錄項目三種環境皆適用。

本指南包含新增到安全性設定編輯器 (SCE) 的其他登錄項目。 若要新增這些登錄項目,您必須修改 Sceregvl.inf 檔 (位於 %windir%\inf 資料夾),並重新登錄 Scecli.dll 檔。 原始以及新增的安全性項目出現在本章前段所列,嵌入式管理單元與工具的 [本機原則\安全性] 之下。 對於您要編輯本指南所說明安全性範本以及群組原則的電腦,您都必須更新 Sceregvl.inf 檔以及重新登錄 Scecli.dll 檔。 如需這些檔案更新方法的詳細資訊,請參閱同系列指南威脅及因應對策:Windows Server 2003 和 Windows XP 中的安全性設定,網址:http://go.microsoft.com/fwlink/?LinkId=15159。

本節僅提供其他登錄項目的彙總,詳細資訊請參閱同系列指南。 有關本節所討論的預設設定及每一設定的詳細說明等相關資訊,請參閱《威脅與因應對策:Windows Server 2003 和 Windows XP 中的安全性設定》。

網路攻擊的安全考量

拒絕服務 (DoS) 攻擊是導致電腦或電腦中的特定服務無法提供給網路使用者的網路攻擊。 DoS 攻擊並不容易防範。

若要防範這類攻擊,請隨時為電腦更新最新版安全性修正程式,並為執行 Windows Server 2003 SP1 並且可能遭受攻擊的電腦強化 TCP/IP 通訊協定堆疊。 預設的 TCP/IP 堆疊設定可以處理標準的內部網路流量。 如果電腦直接連線到網際網路,Microsoft 建議您加強 TCP/IP 堆疊以防 DoS 攻擊。

您可將下表中的登錄值新增到

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\

子機碼的範本檔。

表 4.28 TCP/IP 登錄項目建議

登錄項目

格式

傳統用戶端

企業用戶端

專業安全性限制功能

EnableICMPRedirect

DWORD

0

0

0

SynAttackProtect

DWORD

1

1

1

EnableDeadGWDetect

DWORD

0

0

0

KeepAliveTime

DWORD

300,000

300,000

300,000

DisableIPSourceRouting

DWORD

2

2

2

TcpMaxConnectResponseRetransmissions

DWORD

2

2

2

TcpMaxDataRetransmissions

DWORD

3

3

3

PerformRouterDiscovery

DWORD

0

0

0

其他登錄項目

下表所示為並非 TCP/IP 特有的其他建議登錄項目。 此表下方的段落提供各個項目的更多資訊。

表 4.29 其他登錄項目建議

登錄項目

格式

傳統用戶端

企業用戶端

專業安全性限制功能

MSS:(NoNameReleaseOnDemand) 除非來自 WINS 伺服器否則容許電腦忽略 NetBIOS 名稱釋放要求

DWORD

1

1

1

MSS:(NtfsDisable8dot3NameCreation) 啟用電腦停止產生 8.3 樣式檔案名稱 (建議)

DWORD

0

0

1

MSS:(NoDriveTypeAutoRun) 停用所有磁碟機的自動執行功能 (建議)

DWORD

0xFF

0xFF

0xFF

MSS:(ScreenSaverGracePeriod) 螢幕保護裝置的寬限期到期前的以秒計算時間值 (建議值為 0)

字串

0

0

0

MSS:(WarningLevel) 系統會產生警告的安全性事件日誌的百分比閾值

DWORD

90

90

90

MSS:(SafeDllSearchMode) 啟用安全的 DLL 搜尋模式 (建議)

DWORD

1

1

1

MSS:(AutoReboot) 允許 Windows 在系統當機後自動重新開機 (建議在高度安全環境以外之環境中使用)

DWORD

1

1

0

MSS:(AutoAdminLogon) 啟用自動登入 (不建議)

DWORD

0

0

0

MSS:(AutoShareWks) 啟用系統管理共用 (建議在高度安全環境以外之環境中使用)

DWORD

1

1

0

MSS:(DisableSavePassword) 避免撥接密碼被儲存 (建議使用)

DWORD

1

1

1

MSS:(NoDefaultExempt) 啟用 IPSec 篩選的 NoDefaultExempt (建議)

DWORD

3

3

3

設定 NetBIOS 名稱釋放安全性:除非來自 WINS 伺服器否則容許電腦忽略 NetBIOS 名稱釋放要求

在 SCE 此項目會顯示為 [MSS: (NoNameReleaseOnDemand) 除非來自 WINS 伺服器否則容許電腦忽略 NetBIOS 名稱釋放要求]。

NetBIOS over TCP/IP 是一種網路通訊協定,除了其他功用外,還提供了簡易的解析方法,可以將登錄在 Windows 電腦的 NetBIOS 名稱解析為在這些電腦所設定的 IP 位址。 這個值決定當電腦收到名稱釋出要求時,是否釋出它的 NetBIOS 名稱。

您可以將這個登錄值新增到

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netbt\Parameters\

子機碼的範本檔。

停用自動產生 8.3 檔名:啟用電腦停止產生 8.3 樣式檔案名稱

在 SCE 此項目會顯示為 [MSS: (NtfsDisable8dot3NameCreation) 啟用電腦停止產生 8.3 樣式檔案名稱 (建議)]。

Windows Server 2003 SP1 支援 8.3 檔名格式,以便與 16 位元應用程式回溯相容。 8.3 檔名格式只允許 8 個字元以內的檔名。

您可以將這個登錄值新增到

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem\

子機碼的範本檔。

停用自動執行:停用所有磁碟機的自動執行功能

在 SCE 此項目會顯示為 [MSS: (NoDriveTypeAutoRun) 停用所有磁碟機的自動執行功能 (建議)]。

當媒體插入電腦的磁碟機後,自動執行便會開始讀取。 於是例如 (程式的) 安裝檔或 (音訊內容的) 音效等等就會自動啟動。

您可以將這個登錄值新增到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\

子機碼的範本檔。

立即啟用螢幕保護裝置密碼保護功能:螢幕保護裝置的寬限期到期前的以秒計算時間值 (建議值為 0)

在 SCE 此項目會顯示為 [MSS: (ScreenSaverGracePeriod) 螢幕保護裝置的寬限期到期前的以秒計算時間值 (建議值為 0)]。

若啟用螢幕保護裝置的鎖定功能,在螢幕保護裝置啟動到主控台實際自動鎖定之間,Windows 設置有一段寬限期。

您可以將這個登錄值新增到

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\

子機碼的範本檔。

安全性記錄接近容量警告:系統會產生警告的安全性事件日誌的百分比閾值

在 SCE 此項目會顯示為 [MSS: (WarningLevel) 系統會產生警告的安全性事件日誌的百分比閾值]。

自 Windows 2000 SP3 起開始有這個選項。 當安全性記錄檔的大小達到使用者自訂的閾值時,此功能會在安全性記錄檔中產生一個安全性稽核事件。 例如,若將這個登錄項目的值設為 90,當安全性記錄達到容量的 90%,記錄中就會顯示事件 ID 523 的項目:「安全性記錄目前為百分之 90 滿。」

注意:若將記錄的設定設為 [視需要覆寫事件] 或 [覆寫 x 天之前的事件],則不會產生這個事件。

您可以將這個登錄值新增到

HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\Eventlog\Security\

子機碼的範本檔。

啟用安全的 DLL 搜尋順序:啟用安全的 DLL 搜尋模式 (建議)

在 SCE 此項目會顯示為 [MSS: (SafeDllSearchMode) 啟用安全的 DLL 搜尋模式 (建議)]。

DLL 搜尋順序可以設定為以下列兩種方法之一執行處理程序,搜尋所要求的 DLL:

  • 首先搜尋系統路徑指定的資料夾,然後搜尋目前的工作資料夾。

  • 首先搜尋目前的工作資料夾,然後搜尋系統路徑指定的資料夾。

此登錄值設為 1,也就是電腦首先搜尋系統路徑指定的資料夾,然後搜尋目前的工作資料夾。 如果將這個項目設為 0,電腦首先搜尋目前的工作資料夾,然後搜尋系統路徑指定的資料夾。

您可以將這個登錄值新增到

HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Session Manager\

子機碼的範本檔。

自動重新啟動:允許 Windows 在系統當機後自動重新開機

在 SCE 此項目會顯示為 [MSS: (AutoReboot) 允許 Windows 在系統當機後自動重新開機 (建議在高度安全環境以外之環境中使用)]。

若啟用這個項目,允許伺服器嚴重當機之後自動重新啟動。 預設為啟用,但不適用於高度安全的伺服器。

您可以將這個登錄值新增到

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\CrashControl\

子機碼的範本檔。

自動登入:啟用自動登入

在 SCE 此項目會顯示為 [MSS: (AutoAdminLogon) 啟用自動登入 (不建議)]。 預設不啟用這個項目,實際上任何設想得到的情況下都不可對伺服器使用。

如需其他詳細資訊,請參閱 Microsoft 知識庫文件如何開啟自動登入 Windows XP,網址 http://support.microsoft.com/default.aspx?kbid=315231。

您可以將這個登錄值新增到

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\

子機碼的範本檔。    

系統管理共用:啟用系統管理共用

在 SCE 此項目會顯示為 [MSS: (AutoShareWks) 啟用系統管理共用 (建議在高度安全環境以外之環境中使用)]。 在預設的情況下,當伺服器的 Windows 網路作業進行中時,Windows 會建立隱藏的系統管理共用,這一點不適用於高度安全的伺服器。

您可以將這個登錄值新增到

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\Parameters\

子機碼的範本檔。

停用儲存密碼:避免撥接密碼被儲存

在 SCE 此項目會顯示為 [MSS: (DisableSavePassword) 避免撥接密碼被儲存 (建議使用)]。 在預設的情況下,Windows 會提供選項以儲存撥號和 VPN 連線的密碼,這一點不適用於伺服器。

您可以將這個登錄值新增到

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\
Parameters\

子機碼的範本檔。

啟用 IPSec 以保護 Kerberos RSVP 流量:啟用 IPSec 篩選的 NoDefaultExempt

在 SCE 此項目會顯示為 [MSS: (NoDefaultExempt) 啟用 IPSec 篩選的 NoDefaultExempt (建議)]。 在 Microsoft Windows Server 2003 線上說明中記載有 IPsec 原則篩選器的預設豁免項目。 有了這些篩選器,網際網路金鑰交換 (IKE) 與 Kerberos 驗證通訊協定才能作用。 對於以 IPsec 保護安全的資料流量,以及無法用 IPsec 保護安全的資料流量 (例如多點傳送或廣播流量),這些篩選器也讓網路的服務品質 (QoS) 能夠對外通知 (RSVP)。

您可以將這個登錄值新增到

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC\

子機碼的範本檔。

受限群組

「受限群組」功能可讓您透過原則的機制管理群組成員資格,防止擁有強大使用者權利的群組刻意或無意間利用其中的弱點。 首先,請檢視您組織的需要,決定所想設限的群組。

本指南所定義的三種環境,一律限制 Backup OperatorsPower Users 群組。 雖然 Backup OperatorsPower Users 群組的成員所擁有的存取權沒有 Administrators 群組的成員多,但仍然具有強大的功能。

注意:如果您的組織使用任何以上群組,請小心控制群組成員,並且不要對 [受限群組] 設定實作此指引。 如果您的組織將使用者加入到 Power Users 群組中,您可以實作以下<保護檔案系統>一節所說明的選用檔案系統權限。

您可在 [群組原則物件編輯器] 中,從以下位置進行 Windows Server 2003 SP1 受限群組的設定:

電腦設定\Windows 設定\安全性設定\受限群組\

系統管理員可將想要限制的群組直接加入到 MSBP。 如果群組為受限群組,您可以定義其成員,以及屬於該群組的其他任何群組。 如果您不指定這些群組成員,群組便完全受限。

保護檔案系統

NTFS 檔案系統隨著 Microsoft Windows 的每一個新版本都有加以改良,NTFS 的預設權限對大多數組織而言已經足夠。 本節所討論的設定提供給雖然並未使用受限群組,但仍希望給伺服器多一層級強化的組織作為選用的參考。

您可以在 [群組原則物件編輯器] 中的以下位置進行檔案系統安全性設定:

電腦設定\Windows 設定\安全性設定\檔案系統

注意:對預設檔案系統安全性設定所作的任何變更,在部署到大型組織之前,都應該先在實驗環境裡經過詳細的測試。 曾經發生過案例,檔案權限變更到某個地步時,受影響的電腦需要完全重建。

大部分情形下,Windows Server 2003 SP1 中的預設檔案權限已經足夠使用。 然而,若您不打算用 [受限群組] 功能封鎖 Power Users 群組的成員資格,或是您要啟用 [網路存取: 讓 Everyone 權限套用到匿名使用者] 設定,可以套用下一段所說明的選用權限。 這些選用權限非常特定,可套用其他限制到某些可執行工具,權限獲得提升的惡意使用者可利用這類工具,進一步入侵電腦或網路。

請注意,這些權限的變更不影響多重資料夾或系統磁碟區的根目錄。 以該種方式變更權限可能極有風險,也往往會造成電腦不穩定。 所有下列檔案都位在 %SystemRoot%\System32\ 資料夾,也都給定下列權限:Administrators:完整控制 System:完整控制

  • regedit.exe

  • arp.exe

  • at.exe

  • attrib.exe

  • cacls.exe

  • debug.exe

  • edlin.exe

  • eventcreate.exe

  • eventtriggers.exe

  • ftp.exe

  • nbtstat.exe

  • net.exe

  • net1.exe

  • netsh.exe

  • netstat.exe

  • nslookup.exe

  • ntbackup.exe

  • rcp.exe

  • reg.exe

  • regedt32.exe

  • regini.exe

  • regsvr32.exe

  • rexec.exe

  • route.exe

  • rsh.exe

  • sc.exe

  • secedit.exe

  • subst.exe

  • systeminfo.exe

  • telnet.exe

  • tftp.exe

  • tlntsvr.exe

為了您的方便,這些選用權限已在本指南下載版本隨附的 Optional-File-Permissions.inf 安全性範本中完成設定。

其他安全性設定

為了強化本指南所討論基準線伺服器所用的因應對策,雖然大多數是透過群組原則所套用,但也有其他設定難以 (甚至無法) 利用群組原則套用。 如需本節所討論因應對策分別的詳細資訊,請參閱同系列指南威脅與因應對策:Windows Server 2003 和 Windows XP 中的安全性設定,網址:http://go.microsoft.com/fwlink/?LinkId=15159。

手動強化程序

本節說明部分其他因應對策 (例如保障帳戶安全) 已如何手動實作,以保護本指南所定義每一種安全性環境。

手動將唯一安全性群組新增至使用者權利指派

針對使用者權利指派所建議的安全性群組,大多數是在本指南隨附的安全性範本以內設定。 然而,也有少數權利無法包含在安全性範本中,因為特定安全性群組的 SID 在不同的 Windows Server 2003 網域之間都是唯一的。 問題在於 SID 之中的 RID (相對識別碼) 是唯一的。 下表所示為這些權利。

警告:下表包含內建 Administrator 的值。 內建 Administrator 是內建的使用者帳戶,不是安全性群組 Administrators。 如果 Administrator 安全性群組已新增到下列任何一項拒絕存取使用者權利,您需要從本機登入以修正錯誤。

此外,如果您遵循本指南前文的建議重新命名,內建 Administrator 帳戶可能已經更名。 當您將這個帳戶加入到任何拒絕存取使用者權利時,請確定選取新更名的系統管理員帳戶。

表 4.30 手動新增使用者權利指派

UI 中的設定名稱

傳統用戶端

企業用戶端

專業安全性限制功能

拒絕從網路存取這台電腦

內建 Administrator、Support_388945a0、

Guest、所有非作業系統服務帳戶

內建 Administrator、Support_388945a0、

Guest、所有非作業系統服務帳戶

內建 Administrator、Support_388945a0、

Guest、所有非作業系統服務帳戶

拒絕以批次工作登入

Support_388945a0 和 Guest

Support_388945a0 和 Guest

Support_388945a0 和 Guest

拒絕透過終端機服務登入

內建 Administrator;Guests;Support_388945a0;Guest;所有非作業系統服務帳戶

內建 Administrator;Guests;Support_388945a0;Guest;所有非作業系統服務帳戶

內建 Administrator;Guests;Support_388945a0;Guest;所有非作業系統服務帳戶


重要:所有非作業系統服務帳戶就是您企業中特定應用程式的服務帳戶。 這些帳戶不包含作業系統的內建帳戶 LOCAL SYSTEM、LOCAL SERVICE,或 NETWORK SERVICE 帳戶。

若要手動將列出的安全性群組加入到「企業用戶端成員伺服器基準線原則」,請完成下列步驟。

將安全性群組加入至使用者權利指派

  1. 在 [Active Directory 使用者和電腦] 中,對 [成員伺服器 OU] 按一下滑鼠右鍵,然後選擇 [內容]。

  2. 在 [群組原則] 索引標籤,選取 [企業用戶端成員伺服器基準線原則] 以編輯連結的 GPO。

  3. 選取 [企業用戶端 - 成員伺服器基準線原則],再按一下 [編輯]。

  4. 在 [群組原則] 視窗,依序展開 [電腦設定]、[Windows 設定]、[安全性設定]、[本機原則] 和 [使用者權利指派],將上一個表格中所示的唯一安全性群組,依照每一項權限加以新增。

  5. 關閉已完成修改的群組原則。

  6. 關閉 [成員伺服器 OU 內容] 視窗。

  7. 強迫在網域控制站間複寫,將原則套用到所有的網域控制站;作法如下:

    1. 開啟命令提示字元視窗,鍵入 gpupdate /Force 後按 ENTER 鍵,迫使伺服器重新整理原則。

    2. 重新啟動伺服器。

  8. 請驗證事件記錄檔,確認已成功下載群組原則,並且伺服器可與此網域中的其他網域控制站進行通訊。

保護已知帳戶

Windows Server 2003 SP1 有一些無法刪除但可以重新命名的內建使用者帳戶。 Windows Server 2003 內兩個最眾所皆知的內建帳戶是 Guest 和 Administrator。

在預設的情況下,Guest 帳戶在成員伺服器和網域控制站上,都是停用狀態。 此設定不得變更。 各種型態的惡意程式碼會先利用內建的 Administrator 帳戶來嘗試入侵伺服器。 因此,您應重新命名內建 Administrator 帳戶並修改其說明,以防攻擊者利用此已知帳戶對遠端伺服器進行攻擊。

這項設定變更的價值近年來已經降低,因為已有攻擊工具能透過指定內建 Administrator 帳戶的安全性識別元 (SID) 來判斷真實名稱,然後嘗試破解伺服器。 SID 是用於明確識別網路上每一個使用者、群組、電腦帳戶以及登入工作階段的一個值。 此內建帳戶的 SID 無法變更。 如果以唯一名稱重新命名此 Administrator 帳戶,作業群組就能輕易監視對此帳戶嘗試的攻擊。

請完成以下步驟,來保護網域與伺服器上的已知帳戶:

  • 將每個網域和伺服器的 Administrator 與 Guest 帳戶重新命名,並將密碼變更為一個更長、更複雜的值。

  • 每個伺服器都使用不同的名稱及密碼。 如果所有網域和伺服器都使用相同的帳戶名稱和密碼,攻擊者在取得一個成員伺服器的存取權限之後,就可以使用同一個帳戶名稱和密碼,存取其他所有的伺服器。

  • 將帳戶說明變更成不同於預設值的說明,以協助防止帳戶易於識破。

  • 在安全的地方記錄您所作的任何變更。

    注意:內建 Administrator 帳戶可透過群組原則重新命名。 因為每一組織都應為這個帳戶選用唯一的名稱,所以基準線原則中尚未實作這項設定。 但您可以設定 [帳戶: 重新命名系統管理員帳戶] 設定,以重新命名本指南所定義的三種環境中的系統管理員帳戶。 此原則設定是 GPO 安全性選項設定的一部分。

保護服務帳戶

除非絕對必要,否則切勿將服務設定成在網域帳戶的安全性內容下執行。 如果伺服器實體遭到破壞,網域帳戶密碼就會很容易透過傾印 LSA 機密而洩漏出去。 如需如何保護服務帳戶的詳細資訊,請參閱服務和服務帳戶安全性規劃指南 (英文),網址 http://www.microsoft.com/technet/security/topics/serversecurity/serviceaccount/default.mspx。

NTFS

NTFS 磁碟分割可支援檔案與資料夾層級的 ACL。 檔案配置表 (FAT) 或 FAT32 檔案系統並不提供這項支援。 FAT32 是 FAT 檔案系統的更新版本,允許採取極小的預設叢集大小,且支援高達 2 TB 的硬碟大小。 FAT32 內含在 Windows 95 OSR2、Windows 98、Microsoft Windows Me、Windows 2000、Windows XP Professional 及 Windows Server 2003。

使用 NTFS 格式化每一台伺服器上的所有磁碟分割。 請使用轉換公用程式小心地將 FAT 磁碟分割轉換成 NTFS,但請注意轉換公用程式會將已轉換磁碟的 ACL 設定為 [Everyone:完整控制]。

對於執行 Windows 2003 Server SP1 的電腦,請在本機套用下列兩個安全性範本,分別為成員伺服器和網域控制站設定預設的檔案系統 ACL:

  • %windir%\inf\defltsv.inf

  • %windir%\inf\defltdc.inf

    注意:在伺服器升級為網域控制站的過程中,會套用預設的網域控制站安全性設定。

本指南所定義的三種環境中,伺服器的所有磁碟分割都格式化為 NTFS 磁碟分割,以便透過 ACL 進行檔案與目錄安全性管理。

終端機服務設定

[設定用戶端連線加密等級] 設定會確定環境中「終端機服務」用戶端連線的加密等級。 [高等級] 設定選項是使用 128 位元加密,以防止攻擊者使用封包分析器來竊聽終端機服務的工作階段。 有的舊版終端機服務用戶端並不支援這種高等級的加密。 如果您的網路中包含這類用戶端,請將傳送與接收資料的連線加密等級設定為該用戶端支援的最高加密等級。

您可從以下位置在群組原則中進行這項設定:

電腦設定\系統管理範本\Windows 元件\終端機服務\加密及安全性

表 4.31 用戶端連線加密等級設定建議

UI 中的設定名稱

傳統用戶端

企業用戶端

專業安全性限制功能

設定用戶端連線加密等級

加密的三個可用等級如下表所述:

表 4.32 終端機服務加密等級

加密等級

說明

高等級

以增強式 128 位元加密法,來加密從用戶端傳送到伺服器以及從伺服器傳送到用戶端的資料。 當終端機伺服器在只含 128 位元用戶端 (例如,遠端桌面連線用戶端) 的環境中執行時,請使用這個等級。 不支援這個加密等級的用戶端,將無法連線。

用戶端相容

以用戶端支援的最大金鑰強度,來加密在用戶端和伺服器之間傳送的資料。 當終端機伺服器在包含混合或傳統用戶端的環境中執行時,請使用這個等級。

低等級

以 56 位元加密法,來加密從用戶端傳送到伺服器的資料。

重要:從伺服器傳送到用戶端的資料不會加密。

錯誤報告

表 4.33 建議的錯誤報告設定

設定

傳統用戶端

企業用戶端

專業安全性限制功能

關閉 Windows 錯誤報告

已啟用

已啟用

已啟用


此服務可協助 Microsoft 追蹤和處理錯誤。 您可以設定這個服務,產生作業系統錯誤、Windows 元件錯誤或程式錯誤的報告。 此服務僅在 Windows XP Professional 和 Windows Server 2003 中可用。

「錯誤報告」服務可透過網際網路向 Microsoft 報告這類錯誤,或向內部檔案共用報告錯誤。 雖然錯誤報告可能會包含敏感 (甚至是機密) 的資料,但 Microsoft 有關錯誤報告的隱私權政策會確保 Microsoft 不會不當使用這些資料。 但由於資料是以純文字 HTTP 形式傳輸,因此可能會在網際網路上遭到攔截和被第三方檢視。

[關閉 Windows 錯誤報告] 設定可控制 Error Reporting 服務是否要傳輸任何資料。

您可在 Windows Server 2003 的 [群組原則物件編輯器] 中的下列位置設定此原則設定:

電腦設定\系統管理範本\系統\網際網路通訊管理\網際網路通訊設定

對於本指南定義的三種環境,請在 DCBP 中將 [關閉 Windows 錯誤報告] 設定設為 [已啟用]。

啟用手動記憶體傾印

Windows Server 2003 SP1 有一項功能,您可用來中止電腦,並產生 Memory.dmp 檔。 您必須明確啟用這項功能,它不一定適用於您組織中所有的伺服器。 如果您確定值得擷取部分伺服器的記憶體傾出,可遵循 Windows 的功能可以使用鍵盤產生 Memory.dmp 檔案中的指示進行,網址 http://support.microsoft.com/default.aspx?kbid=244139。

重要:依照參照的文章將記憶體複製到磁碟後,Memory.dmp 檔中可能含有機密資訊。 理想狀況下,所有伺服器都應該受到保護,避免未經授權者的實體存取。 如果您對具有受到實體侵害之虞的伺服器產生記憶體傾印檔,疑難排解完成後務必將傾印檔刪除。

使用 SCW 建立基準線原則

若要部署必要的安全性設定,首先必須建立成員伺服器基準線原則 (MSBP)。 如要進行,您必須使用 SCW ([安全性設定精靈] 工具) 和本指南下載版本中所含的安全性範本。

建立您自己的原則時,請務必略過 [登錄設定] 和 [稽核原則] 區段。 上述設定均為安全性範本針對您所選的環境所提供的設定。 您必須使用此方法,以確保範本所提供的原則元素優先於 SCW 所設定的原則元素。

您應該使用新安裝的作業系統來開始設定工作,以確保不會誤用之前設定的舊設定或軟體。 如有可能,您應該使用您用於部署的類似硬體,以儘量確保相容性。 新安裝的電腦稱為「參照電腦」。

在 MSBP 建立過程中,您可從偵測到的角色清單中移除檔案伺服器角色。 此角色通常是在不需要此角色的伺服器上設定,因此可將其視為一種安全性風險。 若要為需要檔案伺服器角色的伺服器啟用此角色,您可以套用本程序稍後的第二個原則。

建立成員伺服器基準線原則

  1. 在一台新的參照電腦上安裝 Windows Server 2003 SP1。

  2. 在新電腦上,透過 [控制台]、[新增/移除程式]、[新增/移除 Windows 元件] 來安裝「安全性設定精靈」元件。

  3. 將電腦加入到網域中。

  4. 請只安裝與設定您環境中每個伺服器必備的強制應用程式。 例如,軟體和管理代理程式、磁帶備份代理程式,以及防毒或反間諜軟體公用程式。

  5. 啟動 SCW GUI,然後選取 [建立新原則],然後指向參照電腦。

  6. 從偵測到的角色清單中移除檔案伺服器角色。

  7. 確定偵測到的伺服器角色適用於您的環境。

  8. 確保偵測到的用戶端功能適用於您的環境。

  9. 確保偵測到的系統管理選項適用於您的環境。

  10. 確定已偵測到基準線所需的任何其他服務,例如:備份代理程式或防毒軟體。

  11. 決定如何在環境中處理未指定的服務。 如要增強安全性,您可能要將此原則設定設為 [已停用]。 將此設定部署到生產網路中之前,應先對其進行測試。如果生產伺服器執行其他未複製到參照電腦上的服務,此設定可能會導致問題發生。

  12. 確定在 [網路安全性] 區段中未核取 [略過此區段] 核取方塊,然後按一下 [下一步]。 之前識別出的適當連接埠和應用程式已設定為 Windows 防火牆的例外狀況。

  13. 在 [登錄設定] 區段中,按一下 [略過此區段] 核取方塊,然後按一下 [下一步]。 這些原則設定會從提供的 INF 檔案中匯入。

  14. 在 [稽核原則] 一節中,按一下 [略過此區段] 核取方塊,然後按一下 [下一步]。 這些原則設定會從提供的 INF 檔案中匯入。

  15. 包含適當的安全性範本 (例如,EC-Member Server Baseline.inf)。

  16. 以適當的名稱儲存原則 (例如,Member Server Baseline.xml)。

使用 SCW 測試原則

建立並儲存原則之後,Microsoft 強烈建議您將原則部署到測試環境中。 在理想的情況下,您的測試伺服器會擁有與生產伺服器相同的硬體和軟體設定。 此方法可幫您找出並解決潛在的問題,例如,存在特定硬體裝置所需的非預期服務。

您有兩種測試原則的選擇。 您可以使用原生 SCW 部署功能,或透過 GPO 來部署此原則。

開始撰寫原則時,您應考慮使用原生 SCW 部署功能。 您可以使用 SCW 將原則一次推入單一伺服器中,或使用 Scwcmd 將原則推入一群伺服器中。 原生部署方式能提供一個優點,就是在 SCW 內輕易回復已部署的原則。 如果在測試過程中對原則進行多次修訂,則此功能就會變得非常實用。

經過測試的原則可以確保將此原則套用到目標伺服器之後,不會對其重要功能造成負面影響。 套用設定變更後,您應該開始確認電腦的核心功能。 例如,如果將伺服器設定為憑證授權單位 (CA),請確定用戶端可以要求和獲得憑證、下載憑證撤銷清單等。

確定原則設定後,您即可按照下列程序所示,使用 Scwcmd 將原則轉換成 GPO。

如需如何測試 SCW 原則的詳細資料,請參閱安全性設定精靈部署指南 (英文),網址 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/SCWDeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx 及安全性設定精靈說明文件 (英文),網址 http://go.microsoft.com/fwlink/?linkid=43450。

轉換和部署原則

徹底測試原則之後,請完成下列步驟將原則轉換成 GPO 中並進行部署:

  1. 在命令提示字元中,輸入下列命令:


    scwcmd transform 
    /p:<PathToPolicy.xml> 
    /g:<GPODisplayName>
    

    然後按下 ENTER。 例如:


    scwcmd transform 
    /p:"C:\Windows\Security\msscw\Policies\MemberServer Baseline.xml" 
    /g:"Member Server Baseline Policy"
    

    注意:由於版面限制,所以此處所提供的命令提示字元的輸入資訊,呈現出多行的情況。 實際上,所有資訊應輸入於同一行。

  2. 使用「群組原則管理主控台」將新建立的 GPO 連結至適當的 OU。

請注意,如果 SCW 安全性原則檔案包含 Windows 防火牆設定,則您必須在本機電腦上啟用 Windows 防火牆,才能成功完成此程序。 若要確認是否已啟用 Windows 防火牆,請開啟 [控制台],然後連按兩下 [Windows 防火牆]。

此時,您應執行最後測試,以確定 GPO 套用了所需的設定。 若要完成此程序,請確認已設定適當的設定,並且功能不受影響。

總結

本章說明在本指南所定義的三種安全性環境中,最初套用到執行 Windows Server 2003 SP1 的所有伺服器的伺服器強化程序。 這些程序大多數會為每一個安全性環境建立唯一的安全性範本,再匯入到與成員伺服器的上層 OU 連結的 GPO,以達到想要的安全性層級。

不過,部份強化程序無法透過群組原則套用。 關於這類設定,提供有如何手動設定的指引。 另為特定伺服器角色執行其他步驟,以便儘可能安全地依照角色運作。

伺服器角色的特定步驟包括其他的強化程序,與將基準線安全性原則中的安全性設定減少的程序。 本指南的以下幾章將詳細討論這些變更。

其他資訊

下列連結提供更多有關強化執行 Windows Server 2003 SP1 的伺服器的主題。

  • 如需 Windows Server 2003 安全性設定的詳細資訊,請參閱安全設定的說明 (英文) 網頁,網址 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/dd980ca3-f686-4ffc-a617-50c6240f5582.mspx。

  • 如需 Windows Server 2003 安全性的詳細資訊,請參閱 Windows Server 2003 Security Center,網址 http://www.microsoft.com/taiwan/technet/security/prodtech/windowsserver2003.mspx。

  • 如需 Windows Server 2003 稽核原則的詳細資訊,請參閱稽核原則 (英文) 網頁,網址 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/6847e72b-9c47-42ab-b3e3-691addac9f33.mspx。

  • 如需 Microsoft Operations Manger (MOM) 的詳細資訊,請參閱 Microsoft Operations Manager 網頁,網址 http://www.microsoft.com/taiwan/mom/。

  • 如需 Windows Server 2003 中使用者權利的詳細資訊,請參閱使用者權利 (英文) 網頁,網址 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/589980fb-1a83-490e-a745-357750ced3d9.mspx。

  • 如需 Windows Server 2003 預設安全性設定的詳細資訊,請參閱預設安全性設定的差異 (英文) 網頁,網址 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/1494bf2c-b596-4785-93bb-bc86f8e548d5.mspx。

  • 若需如何保護 Windows 2000 終端機服務的詳細資訊,請參閱保護 Windows 2000 終端機服務 (英文),網址 http://www.microsoft.com/technet/prodtechnol/win2kts/maintain/optimize/secw2kts.mspx。

  • 若需如何保護 Windows Server 2003 TCP/IP 堆疊的詳細資訊,請參閱 Microsoft 知識庫文件如何在 Windows Server 2003 中鞏固 TCP/IP 堆疊以防範拒絕服務攻擊 (英文),網址 http://support.microsoft.com/?kbid=324270。

  • 若需如何鞏固 Windows Sockets 應用程式設定的詳細資訊,請參閱 Microsoft 知識庫文件網際網路伺服器由於惡意 SYN 攻擊而無法使用 (英文),網址 http://support.microsoft.com/?kbid=142641。

  • 如需 .adm 檔案位置的詳細資訊,請參閱 Microsoft 知識庫文件 Windows 中的 ADM (系統管理範本) 檔案位置 (英文),網址 http://support.microsoft.com/?kbid=228460。

  • 若需如何自訂 [安全性設定編輯器] 使用者介面的詳細資訊,請參閱 Microsoft 知識庫文件如何新增自訂登錄設定至安全性設定編輯器,網址 http://support.microsoft.com/?kbid=214752。

  • 若需如何在 Windows 中建立自訂系統管理範本檔案的詳細資訊,請參閱 Microsoft 知識庫文件如何在 Windows 2000 中建立自訂系統管理範本 (英文),網址 http://support.microsoft.com/?kbid=323639。 此外亦請參閱白皮書實作登錄架構群組原則 (英文),網址 http://www.microsoft.com/WINDOWS2000/techinfo/howitworks/management/rbppaper.asp。

  • 若需如何確保更安全的 LAN Manager 驗證層級設定能在混合 Windows 2000 和 Windows NT 4.0 電腦的網路中正常運作的詳細資訊,請參閱 Microsoft 知識庫文件 Windows NT 4.0 網域中 Windows 2000 電腦 NTLM 2 層級大於 2 時的驗證問題 (英文),網址 http://support.microsoft.com/?kbid=305379。

  • 如需 NTLMv2 驗證的詳細資訊,請參閱 Microsoft 知識庫文件如何啟用 NTLM 2 驗證 (英文),網址 http://support.microsoft.com/?kbid=239869。

  • 如需 Windows Server 2003 中服務預設設定的詳細資訊,請參閱服務的預設設定 (英文) 網頁,網址 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/2b1dc6cf-2e34-4681-9aa6-8d0ffba2d3e3.mspx。

  • 如需部署智慧卡的詳細資訊,請參閱變得有智慧! 利用智慧卡提振網路 IQ (英文),網址 http://www.microsoft.com/technet/technetmag/issues/2005/01/SmartCards/default.aspx。

  • 如需「限制匿名」登錄值與 Windows 2000 的詳細資訊,請參閱 Microsoft 知識庫文件 "RestrictAnonymous" 登錄值可能破壞 Windows 2000 網域的信任 (英文),網址 http://support.microsoft.com/?kbid=296405。

  • 如需錯誤報告的詳細資訊,請參閱企業的錯誤報告 (英文) 網頁,網址 http://www.microsoft.com/resources/satech/cer/。

  • 如需 Microsoft 應用程式所使用網路連接埠的詳細資訊,請參閱 Microsoft 知識庫文件 Windows Server 系統的服務概觀與網路連接埠需求 (英文),網址 http://support.microsoft.com/kb/832017。


下載

取得 Windows Serve 2003 安全性指南

更新通知

註冊以瞭解更新和新版本

意見

請將您的意見或建議傳送給我們


顯示: