Windows Server 2003 安全性指南

第 5 章:網域控制站基準線原則

更新日期: 2006 年 7 月 17 日

本頁內容

概觀
稽核原則設定
使用者權利指派設定
安全性選項
事件記錄設定
受限群組
其他安全性設定
使用 SCW 建立原則
總結

概觀

以網域控制站伺服器角色提供安全性,對於任何含有執行 Microsoft® Windows Server™ 2003 Service Pack 1 (SP1) 和 Active Directory® 目錄服務之電腦的環境來說,是最重要的部份。 在這樣的環境下,網域控制站若有任何損失或損害,都可能嚴重危及需仰賴網域控制站進行驗證、群組原則及中央輕量型目錄存取協定 (LDAP) 目錄的用戶端電腦、伺服器及應用程式。

由於其重要性非同小可,因此網域控制站一定要存放在僅供合格管理人員存取的實體安全地點。 如果網域控制站必須存放在不安全的地點 (例如,分公司),可以調整許多安全性設定,來限制實際威脅可能導致的破壞。

網域控制站基準線原則

網域控制站伺服器角色的群組原則,與本指南稍後將詳述的其他伺服器角色原則不同,它是一種基準線原則,類似第 4 章<成員伺服器基準線原則>所定義的成員伺服器基準線原則。網域控制站基準線原則 (DCBP) 是連結到網域控制站組織單位 (OU),比預設的網域控制站原則更具優先權。 DCBP 所含的原則設定,會加強任何環境中,所有網域控制站的整體安全性。

大部分的 DCBP 都是從 MSBP 複製而來。 因此,您最好仔細閱讀第 4 章<成員伺服器基準線原則>,務必完全瞭解 DCBP 所含的許多原則設定。 本章只記錄與 MSBP 不同的 DCBP 設定。

網域控制站範本是專門針對本指南所定義之三種環境的安全性需求而設計。 下表所列的是本指南所提及,傳統用戶端 (LC)、企業用戶端 (EC) 以及專業安全性限制功能 (SSLF) 環境的網域控制站 .inf 檔。 例如,EC-Domain Controller.inf 檔就是企業用戶端環境的安全性範本。

表 5.1 網域控制站基準線安全性範本

傳統用戶端

企業用戶端

專業安全性限制功能

LC-Domain Controller.inf

EC-Domain Controller.inf

SSLF-Domain Controller.inf


注意:如果將設定不良的群組原則物件 (GPO) 連結到網域控制站 OU,很可能會嚴重損害網域運作。 在將 GPO 連結到網域控制站 OU 之前,凡是要匯入這些安全性範本,以及確認所有匯入的原則設定是否正確時,請務必特別小心。

稽核原則設定

網域控制站的稽核原則設定,與 MSBP 所指定的幾乎完全相同。 如需其他詳細資訊,請參閱第 4 章<成員伺服器基準線原則>。DCBP 中的原則設定可確保網域控制站會記錄所有相關的安全性稽核資訊。

表 5.2 建議的稽核原則設定

設定

傳統用戶端

企業用戶端

專業安全性限制功能

稽核目錄服務存取

沒有稽核

沒有稽核

失敗

稽核目錄服務存取

這個原則設定可決定是否要稽核使用者對具備專屬指定系統存取控制清單 (SACL) 的 Active Directory 物件的存取權。 如果定義 [稽核目錄服務存取] 設定,可以指定是否要稽核成功、稽核失敗,或完全不稽核事件類型。 當使用者順利存取有指定 SACL 的 Active Directory 物件時,成功稽核會產生一個稽核項目。 當使用者無法存取有指定 SACL 的 Active Directory 物件時,失敗稽核會產生一個稽核項目。

如果您在 DCBP 啟用 [稽核目錄服務存取] 設定,並且在目錄物件上設定 SACL 時,便會在網域控制站的安全性記錄中產生大量項目。 除非您真的打算使用建立的資訊,否則最好不要啟用這個設定。

[稽核目錄服務存取] 設定在 LC 和 EC 環境中被設為 [沒有稽核]。 在 SSLF 環境中,則被設定為紀錄「失敗」事件。

下表列了 [稽核目錄服務存取] 設定記錄在安全性記錄中的重要安全性事件。

表 5.3 目錄服務存取事件

事件 ID

事件說明

ID

說明

566

發生一般物件作業。


使用者權利指派設定

DCBP 會針對網域控制站,指定各種使用者權利指派。 除了預設設定之外,還針對本指南所定義之三種環境中的網域控制站,修改了幾個使用者權利設定,加強其安全性。

本節將詳細說明 DCBP 不同於 MSBP 的指定使用者權利設定。 如需本節對指定設定的摘要,請參閱 Microsoft Excel® 活頁簿 <Windows Server 2003 安全性指南設定>,它附隨在本指南的可下載版本中。

下表將總結 DCBP 的建議使用者權利指派設定。 本表下方的段落中,還有各個設定的其他資訊。

表 5.4 建議的使用者權利指派設定

設定

傳統用戶端

企業用戶端

專業安全性限制功能

從網路存取這台電腦

尚未定義

尚未定義

Administrators、Authenticated Users、ENTERPRISE DOMAIN CONTROLLERS

將工作站加入網域

尚未定義

尚未定義

Administrators

允許本機登入

Administrators、Server Operators、Backup Operators

Administrators、Server Operators、Backup Operators

Administrators

允許透過終端機服務登入

Administrators

Administrators

Administrators

變更系統時間

Administrators

Administrators

Administrators

讓電腦及使用者帳戶能夠被信任以便進行委派

尚未定義

尚未定義

Administrators

載入和釋放裝置驅動程式

Administrators

Administrators

Administrators

還原檔案及目錄

Administrators

Administrators

Administrators

系統關機

Administrators

Administrators

Administrators

從網路存取這部電腦

這個原則設定可決定哪些使用者和群組可以透過網路連接到網域控制站。 許多網路作業 (包括網域控制站之間的 Active Directory 複寫、使用者和電腦對網域控制站的驗證要求、以及共用資料夾和印表機的存取權) 都需要具備這項功能。

雖然在 Windows Server 2003 SP1 中,指派給 Everyone 安全性群組的權限,已不再授予存取權給匿名使用者,但是 Guest 群組與帳戶仍可透過 Everyone 安全性群組獲得存取權。

因此,在 SSLF 環境的 DCBP 中,[從網路存取這台電腦] 使用者權利已經將 Everyone 安全性群組移除了。 移除這個群組,可以提供額外的安全保護,以對抗針對網域來賓存取權的攻擊。 在 LC 和 EC 環境下,此原則設定已設為 [尚未定義]。

將工作站加入網域

這個原則設定可指定哪些使用者可以將電腦工作站新增至特定的網域。 若要讓這個原則設定生效,必須將它指派給屬於網域「預設網域控制站原則」的使用者。 被授予這個權限的使用者,可以在網域中新增多達 10 個工作站。 只要是被指派某個組織單位之 [建立電腦物件] 權限的使用者,或是 Active Directory 中的電腦容器,都可以在網域中加入數量不限的電腦,無論他們是否已被指派 [將工作站新增至網域] 使用者權利皆可進行此操作。

在預設的情況下,Authenticated Users 群組中所有的使用者,都可以在 Active Directory 網域中,加入多達 10 個電腦帳戶。 這些新電腦帳戶是建立在電腦容器中。

在 Windows 網路中,「安全性主體」這個術語的定義是,被自動指派安全性識別元來控制資源存取權的使用者、群組或電腦。 在 Active Directory 網域中,每個電腦帳戶都是完整的安全性主體,且具備驗證和存取網域資源的能力。 但是,有的公司可能會希望能夠限制 Active Directory 環境中的電腦數量,以方便他們整體追蹤、建置和管理電腦。 如果容許使用者將電腦加入網域中,勢必阻礙追蹤和管理的工作。 此外,由於使用者可以建立其他未經授權的網域電腦,因此很難追蹤他們執行的活動。

因此,在 SSLF 環境中,[將工作站加入網域] 使用者權利只會指派給 DCBP 的 Administrators 群組。 在 LC 和 EC 環境下,此原則設定已設為 [尚未定義]。

允許本機登入

這個原則設定可指定哪些使用者可以在網域控制站啟動互動式工作階段。 即使不具備這個權限,只要被指派 [允許透過終端機服務登入] 使用者權利,仍然可以在網域控制站啟動遠端互動式工作階段。

您最好限制可以登入網域控制站主控台的帳戶數目,以防止未經授權的使用者,存取網域控制站檔案系統和系統服務。 只要能夠登入網域控制站主控台,使用者便可以惡意操作系統,而危害整個網域或樹系的安全性。

在預設的情況下,網域控制站的 Account OperatorsBackup OperatorsPrint OperatorsServer Operators 群組,都會被指派 [允許本機登入] 使用者權利。 這些群組的使用者,不必登入網域控制站即可執行管理工作,也可以從其他工作站執行他們的職責。 只有 Administrators 群組中的使用者,才可以在網域控制站執行維護工作。

如果 [允許本機登入] 使用者權利只指派給 Administrators 群組,則只有高度信任的使用者才擁有實體和互動網域控制站存取權,安全性也因此受到保障。 因此,在 SSLF 環境中,[允許本機登入] 使用者權利只會指派給 DCBP 的 Administrators 群組。 這個原則設定被設為含有 LC 和 EC 環境的 Server OperatorsBackup Operators 群組。

允許透過終端機服務登入

這個原則設定可以指定哪些使用者可以透過遠端桌面連線登入網域控制站。

您最好限制可以透過終端機服務登入網域控制站主控台的帳戶數目,以防止未經授權的使用者,存取網域控制站檔案系統和系統服務。 只要能夠經由終端機服務登入網域控制站主控台,使用者便可以惡意操作系統,而危害整個網域或樹系的安全性。

如果 [允許透過終端機服務登入] 使用者權利僅指派給 Administrators 群組,則只有高度信任的使用者才擁有互動網域控制站存取權,安全性也會受到保障。 因此,在本指南所定義的三種環境中,[允許透過終端機服務登入] 使用者權利只會指派給 DCBP 的 Administrators 群組。 雖然在預設的情況下,您必須具備系統管理權限才能透過終端機服務登入網域控制站,但是這個原則設定,可以幫助您對抗可能危及網路的無意或惡意行動。

DCBP 就像額外的安全措施,拒絕將 [允許透過終端機服務登入] 使用者權利授予預設的 Administrators 帳戶。 這個設定可以防止意圖不良的使用者,企圖以預設的 Administrators 帳戶從遠端入侵網域控制站。 如需這個原則設定的詳細資料,請參閱第 4 章<成員伺服器基準線原則>。

變更系統時間

這個原則設定可指定哪些使用者可以調整電腦內部時鐘的時間。 不過,時區或系統時間的其他顯示特性並不需要變更。

對於 Active Directory 的運作來說,系統時間必須同步化才行。 只有當所有環境的時間都同步化的情況下,Kerberos 驗證通訊協定所用的 Active Directory 複寫和驗證票證產生程序才會正確。

如果網域控制站時鐘與該環境中其他網域控制站的系統時間不同步,可能會干擾網域服務的運作。 只要系統管理員可以修改系統時間,即可將網域控制站系統時間不正確的可能性降到最低。

在預設的情況下,Server Operators 群組有權修改網域控制站的系統時間。 由於這個群組的成員很可能會誤改網域控制站時鐘,因此在本指南所定義的三個環境中,[變更系統時間] 使用者權利只會指派給 DCBP 的 Administrators 群組。

如需有關「Microsoft Windows® 時間服務」的詳細資訊,請參閱 Windows Time 服務技術參考手冊 (英文),網址為:www.microsoft.com/technet/prodtechnol/windowsserver2003/library/TechRef/
a0fcd250-e5f7-41b3-b0e8-240f8236e210.mspx。

讓電腦及使用者帳戶能夠被信任以便進行委派

這個原則設定可指定哪些使用者可以變更 Active Directory 中使用者或電腦物件上的 [受信任可以委派] 設定。 驗證的委派是多層次用戶端/伺服器應用程式所用的功能。 它可以讓前端服務 (例如,應用程式) 使用用戶端的認證,來驗證後端服務 (例如,資料庫)。 若要進行這項驗證工作,用戶端和伺服器都必須採用受到信任可以進行委派的帳戶來執行。

濫用這個使用者權利,可能會讓未經授權的使用者在網路上冒充其他使用者。 攻擊者可以利用這個使用者權利,以另一個使用者的身份存取網路資源,萬一發生安全性事件,就很難判斷真相了。

[讓電腦及使用者帳戶能夠被信任以便進行委派] 使用者權利只會指派給 SSLF 環境的網域控制站上的 Administrators 群組。 在 LC 和 EC 環境下,此原則設定已設為 [尚未定義]。

注意:雖然預設網域控制站原則會將這個使用者權利指派給 Administrators 群組,但 DCBP 在 SSLF 環境中之所以強制使用此權限,完全是根據 MSBP 而來。 MSBP 指派了 NULL 值給這個權限。

載入和釋放裝置驅動程式

這個原則設定可指定哪些使用者可以載入和釋放裝置驅動程式,而且有必要載入和卸載隨插即用的裝置。

如果在網域控制站草率管理裝置驅動程式,可能會讓錯誤或惡意程式碼乘隙而入,對網域控制站的操作產生不利的影響。 在 DCBP 中,如果只有最受信任的使用者才能使用可以載入和釋放裝置驅動程式的帳戶,即可將濫用裝置驅動程式危及網域控制站的可能性降到最低。

在預設的情況下,[載入和釋放裝置驅動程式] 使用者權利是指派給 Print Operators 群組。 我們在前面提過,網域控制站最好不要建立印表機共用,這麼一來,Print Operators 就不必具備載入和釋放置驅動程式的能力了。 因此,在本指南所定義的三種環境中,[載入和釋放裝置驅動程式] 使用者權利只會指派給 DCBP 的 Administrators 群組。

還原檔案及目錄

這個原則設定可指定哪些使用者可以在還原程序中,規避檔案和目錄權限。 任何有效的安全性主體,都可以設為物件的擁有者。

只要是有能力將檔案和目錄還原到網域控制站檔案系統的帳戶,都可以輕易修改執行檔。 意圖不良的使用者便可以利用這個權限,不僅讓網域控制站無法使用,還會危及網域或整個樹系的安全性。

在預設的情況下,[還原檔案及目錄] 使用者權利是指派給 Server OperatorsBackup Operators 群組。 如果您將這個使用者權利從這些群組移除,並且只指派給 Administrators 群組,即可降低不當修改檔案系統而危及網域控制站的可能性。 因此,在本指南所定義的三種環境中,[還原檔案及目錄] 使用者權利只會指派給 DCBP 的 Administrators 群組。

系統關機

這個原則設定可指定哪些使用者可以關閉本機電腦。

只要是有能力關閉網域控制站的惡意使用者,都可以輕易發動拒絕服務 (DoS) 攻擊,而嚴重影響到整個網域或樹系。 當網域控制站帳戶重新啟動服務時,攻擊者可以利用這個使用者權利,對網域控制站帳戶發動本機權限提高攻擊。 在網域控制站提高權限攻擊一旦成功,就會損害網域或整個樹系的安全性。

在預設的情況下,[系統關機] 使用者權利是指派給 AdministratorsServer OperatorsPrint OperatorsBackup Operators 群組。 在安全的環境下,除了 Administrators 之外,這些群組都不需要具有這個權限來執行系統管理工作。 因此,在本指南所定義的三種環境中,[系統關機] 使用者權利只會指派給 DCBP 的 Administrators 群組。

安全性選項

網域控制站大多數的安全性選項設定,都與 MSBP 所指定的完全一樣。 如需其他詳細資訊,請參閱第 4 章<成員伺服器基準線原則>。MSBP 和 DCBP 原則設定之間的差別,將在下列幾節加以說明。

網域控制站設定

表 5.5 安全性選項:網域控制站設定建議

設定

傳統用戶端

企業用戶端

專業安全性限制功能

允許伺服器操作者排程工作

已停用

已停用

已停用

LDAP 伺服器簽章要求

尚未定義

尚未定義

要求簽章

拒絕電腦帳戶密碼變更

已停用

已停用

已停用

網域控制站: 允許伺服器操作者排程工作

這個原則設定可決定 Server Operators 群組的成員,是否可以利用 AT 排程設備來提交工作 。

在本指南所定義的三種環境中,DCBP 的 [網域控制站: 允許伺服器操作者排程工作] 設定是設為 [已停用]。 對大多數的公司來說,這個原則設定的影響並不大。 使用者 (包括 Server Operators 群組的使用者) 仍可經由 [工作排程器精靈] 建立工作,但那些工作將在使用者為設定該工作而建立帳戶時,做為驗證帳戶使用。

注意:您可以修改 [AT 服務帳戶],選取「本機系統」帳戶以外的帳戶。 若要變更帳戶,請開啟 [系統工具]、按一下 [排定的工作]、然後按一下 [附屬應用程式] 資料夾。 接著在 [進階] 功能表按一下 [AT 服務帳戶]。

網域控制站: LDAP 伺服器簽章要求

這個原則設定可決定 LDAP 伺服器是否需要簽章,才能與 LDAP 用戶端交涉。 未經簽章和加密的網路傳輸,很容易受到攔截式攻擊,這種攻擊的侵入者會在伺服器和用戶端之間擷取封包,加以修改之後,再轉寄給用戶端。 對 LDAP 伺服器來說,攻擊者可以讓用戶端根據來自 LDAP 目錄的錯誤記錄做出決定。

如果所有的網域控制站都執行 Windows 2000 或 Windows Server 2003,請將 [網域控制站: LDAP 伺服器簽章要求] 設定設為 [要求簽章]。 另外,請將這個原則設定保留為 [尚未定義],這是 LC 和 EC 環境的 DCBP 設定。 這個原則設定在 SSLF 環境的 DCBP 中,是設為 [要求簽章],因為這個環境中所有的電腦都執行 Windows 2000 或 Windows Server 2003。

網域控制站: 拒絕電腦帳戶密碼變更

這個原則設定可決定網域控制站是否拒絕成員電腦變更電腦帳戶密碼的要求。 如果您在網域中所有的網域控制站上啟用這個原則設定,就無法變更網域成員上的電腦帳戶密碼,因而讓他們更容易受到攻擊。

因此,在本指南所定義的三種環境中,DCBP 的 [網域控制站: 拒絕電腦帳戶密碼變更] 設定是設為 [已停用]。

網路安全性設定

表 5.6 安全性選項:網路安全性設定建議

設定

傳統用戶端

企業用戶端

專業安全性限制功能

下次密碼變更時不儲存 LAN Manager 雜湊數值

已啟用

已啟用

已啟用

網路安全性: 下次密碼變更時不儲存 LAN Manager 雜湊數值

此原則設定會決定密碼變更時是否要儲存新密碼的 LAN Manager 雜湊數值。 LM 雜湊相當脆弱,而且在加密方面與較強的 Windows NT® 雜湊比較起來,更易受到攻擊。

因此,只要是在本指南所定義的三種環境中,DCBP 一律啟用 [網路安全性: 下次密碼變更時不儲存 LAN Manager 雜湊數值]。

注意:啟用這個原則設定,可能會讓舊版作業系統和一些協力廠商應用程式失敗。 比方說,如果 Windows 95 和 Windows 98 沒有安裝 Active Directory Client Extension,就無法運作了。 此外,只要啟用這個原則設定,所有的帳戶都必須變更密碼。

事件記錄設定

網域控制站的事件記錄設定,與 MSBP 所指定的完全一樣。 如需其他詳細資訊,請參閱第 4 章<成員伺服器基準線原則>。DCBP 中的基準線設定可以確保所有相關的安全性稽核資訊,全部記錄到網域控制站,包括「目錄服務存取」在內。

受限群組

根據之前章節所述,[受限群組] 設定可讓您透過 Active Directory 群組原則,管理 Windows Server 2003 SP1 的群組成員資格。 第一,根據貴公司的需要,來決定您要限制的群組。 以網域控制站來說,本指南所定義的三種環境,一律限制 Server OperatorsBackup Operators 群組。 雖然 Server OperatorsBackup Operators 群組的成員,其存取權沒有 Administrators 群組的成員多,仍然具有強大的功能。

注意:如果您的組織使用任何以上群組,請小心控制群組成員,並且不要對 [受限群組] 設定實作此指引。 如果貴公司將使用者新增至 Server Users 群組,您可能會需要執行在前一章<保護檔案系統>一節中說明的選用性檔案系統權限。

表 5.7 受限群組建議

本機群組

傳統用戶端

企業用戶端

專業安全性限制功能

Backup Operators

無成員

無成員

無成員

Server Operators

無成員

無成員

無成員


您可以在 [群組原則物件編輯器] 中,在 Windows Server 2003 SP1 的下述位置設定 [受限群組] 設定:

電腦設定\Windows 設定\安全性設定\受限群組\

若要設定 GPO 的受限群組,系統管理員可將想要的群組,直接加入 GPO 命名空間的 [受限群組] 節點中。

如果群組為受限群組,您可以定義其成員,以及屬於該群組的其他任何群組。 如果您不指定這些群組成員,群組便完全受限。 群組只能使用安全性範本加以限制。

檢視或修改 [受限群組] 設定

  1. 開啟 [安全性範本管理主控台]。

    注意:[安全性範本管理主控台] 並不是預設就加入 [系統管理工具] 功能表中。 若要加入它,請啟動 Microsoft Management Console (mmc.exe),並加入 [安全性範本嵌入式管理單元]。

  2. 按兩下設定檔目錄,再按兩下設定檔。

  3. 按兩下 [受限群組] 項目。

  4. 在 [受限群組] 按下滑鼠右鍵。

  5. 選取 [新增群組]。

  6. 依序按 [瀏覽] 按鈕和 [位置],接著選取您想要瀏覽的位置,然後再按一下 [確定]。

    注意:這個動作通常會使本機電腦顯示在清單最上面。

  7. 在 [輸入物件名稱來選取] 文字方塊中輸入群組名稱,然後按一下 [檢查名稱] 按鈕。

    -或-

    按一下 [進階] 按鈕,再按一下 [立即尋找] 按鈕,列出所有可用的群組。

  8. 選取想要限制的群組,然後按一下 [確定]。

  9. 按一下 [新增群組] 對話方塊上的 [確定] 關閉它。

在本指南中,Server OperatorsBackup Operators 群組的所有成員 (使用者和群組) 都會完全移除,將它們在兩個環境中完全加以限制。 此外,在 SSLF 環境中,Remote Desktop Users 群組的所有成員都會全數移除。 Microsoft 建議您,只要是您不打算在貴公司使用的內建群組,一律加以限制。

注意:本節所說明的受限群組設定相當簡單。 Windows X SP1 和 SP2,以及 Windows Server 2003 的版本,支援更複雜的設計。 如需其他詳細資訊,請參閱 Microsoft 知識庫文件更新使用者定義之本機群組的受限群組 (「的成員」) 行為 (英文),網址為:http://support.microsoft.com/default.aspx?kbid=810076。

其他安全性設定

本節將說明必須手動修改 DCBP 的部份,以及無法經由群組原則執行的其他設定與因應措施。

手動將唯一安全性群組新增至使用者權利指派

大多數透過 DCBP 套用的使用者權利,在本指南所檢附的安全性範本中,均有適當的指定。 然而,有些帳戶和安全性群組無法包含在範本中,因為它們的安全性識別元 (SID) 是個別 Windows Server 2003 網域特有的識別碼。 必須手動設定的使用者權利指派,如下表所示。

警告:下表包含內建 Administrator 帳戶的值。 此帳戶不應該與內建 Administrators 安全性群組混淆。 如果您將 Administrators 安全性群組新增到下面任何一項拒絕存取使用者權利,就必須在本機登入以修正錯誤。

此外,如果您根據第 4 章<成員伺服器基準線原則>的建議,將內建的系統管理員帳戶重新命名,務必確定將帳戶新增至任何拒絕存取使用者權利時,選取剛剛重新命名的系統管理員帳戶。

表 5.8 手動新增使用者權利指派

設定

傳統用戶端

企業用戶端

專業安全性限制功能

拒絕從網路存取這台電腦

內建 Administrator、Support_388945a0、

Guest、所有非作業系統服務帳戶

內建 Administrator、Support_388945a0、

Guest、所有非作業系統服務帳戶

內建 Administrator、Support_388945a0、

Guest、所有非作業系統服務帳戶

拒絕以批次工作登入

Support_388945a0 和 Guest

Support_388945a0 和 Guest

Support_388945a0 和 Guest

拒絕透過終端機服務登入

內建 Administrator、所有非作業系統服務帳戶

內建 Administrator、所有非作業系統服務帳戶

內建 Administrator、所有非作業系統服務帳戶


重要:「所有非作業系統服務帳戶」包括用於企業內特定應用程式的服務帳戶,但不包括 LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE 帳戶 (作業系統所使用的內建帳戶)。

目錄服務

執行 Windows Server 2003 SP1 的網域控制站會儲存目錄資料,並管理使用者與網域的互動,包括使用者登入程序、驗證及目錄搜尋等。

重新放置資料:Active Directory 資料庫和記錄檔

若要維護目錄完整性和可靠性,必須保護 Active Directory 資料庫及其記錄檔。

您可以把 Ntds.dit、Edb.log 和 Temp.edb 檔從預設位置移到其他位置,萬一網域控制站遭到入侵時,也不致被攻擊者發現。 如果您把檔案從系統磁碟區移到另一個獨立的實體磁碟,可以提高網域控制站的效能,這是附加的好處。

因此,本指南建議您將網域控制站的 Active Directory 資料庫和記錄檔,移到不含作業系統的等量或等量/鏡像磁碟區。 只要是本指南所定義的三個環境,都應該把這些檔案移走。

調整 Active Directory 記錄檔的大小

您必須記錄充分的訊息,才能有效監視和維護 Active Directory 的完整性、可靠性和可用性。 資訊必須來自環境內的所有網域控制站。

您可以提高記錄檔的大小上限,以支援上述操作。 萬一駭客發動攻擊,那麼記錄資訊越多,越能讓系統管理員執行有意義的稽核。

本指南建議您在本指南所定義之三種環境的網域控制站上,將「目錄服務」與「檔案複寫服務」記錄檔的大小上限,從預設值 512 KB 提高到 16 MB。

使用 Syskey

網域控制站上的密碼資訊,是儲存在 Active Directory。 因此密碼破解軟體通常會將「安全性帳戶管理員 (SAM)」資料庫或目錄服務當作目標,企圖存取使用者帳戶的密碼。

「系統金鑰」公用程式 (Syskey) 可以提供防禦離線密碼破解軟體的另一道防線。 Syskey 利用強大的加密技術,保護儲存在網域控制站上 SAM 中的帳戶密碼資訊。

表 5.9 Syskey 模式

系統金鑰選項

安全性等級

說明

模式 1:系統產生的密碼,在本機儲存啟動金鑰

安全

使用電腦產生的隨機金鑰作為系統金鑰,並在本機電腦儲存加密版本的金鑰。 這個選項可以在登錄中,為密碼資訊提供強大的加密,同時,使用者不需要系統管理員輸入密碼或插入磁片,即可重新啟動電腦。

模式 2:系統管理員產生的密碼,以密碼啟動

更安全

使用電腦產生的隨機金鑰作為系統金鑰,並在本機電腦儲存加密版本的金鑰。 這個金鑰也由系統管理員選擇的密碼加以保護。 系統在初始啟動序列中,便會提示使用者提供系統金鑰密碼。 系統金鑰密碼不會儲存在電腦上。

模式 3:系統產生的密碼,將啟動金鑰儲存在磁片上

最安全

使用電腦產生的隨機金鑰,並將金鑰儲存在磁片上。 啟動電腦時須用包含系統金鑰的磁片,您必須在啟動序列時依系統提示插入磁片。 系統金鑰不會儲存在電腦上。


所有 Windows Server 2003 SP1 伺服器上的 Syskey 都已啟用為模式一 (模糊化金鑰)。 從安全性觀點看來,這個設定乍看之下還蠻實用的。 但是,模式一的 Syskey 可讓攻擊者讀取和改變目錄內容,這麼一來,網域控制站就容易受到攻擊者的實際存取傷害。

對於暴露在實體安全性威脅的網域控制站,我們建議您使用 Syskey 模式二 (主控台密碼) 或模式三 (磁片儲存 Syskey 密碼)。 但這麼一來,就必須重新啟動網域控制站了,因此在支援上,Syskey 模式二或模式三會較困難。 為了充分利用這些 Syskey 模式所提供的增強保護,您必須在環境中實作適當的操作程序,以符合網域控制站專屬的可用性需求。

Syskey 密碼或磁片管理的邏輯可能很複雜,尤其對分公司而言。 例如,要求一位分公司經理或當地管理人員在凌晨 3 點來到辦公室, 輸入密碼或插入磁片,讓使用者得以存取。這可是要付出相當昂貴的成本。 如此昂貴的需求,可能會讓達到高可用性服務層次協議 (SLA) 面臨極大的挑戰。

另外,如果您決定容許集中安置的 IT 操作人員,從遠端提供 Syskey 密碼,則需要另備其他硬體。 有的硬體廠商會提供附加解決方案,容許您在遠端存取伺服器主控台。

最後,如果遺失 Syskey 密碼或磁片,網域控制站便無法重新啟動。 萬一遺失 Syskey 密碼或磁片,就無法還原網域控制站。 這時候就必須重建網域控制站了。

不過,經由適當的操作程序,Syskey 仍可提供加強等級的安全性,來保護網域控制站上的機密目錄資訊。 基於這些理由,建議您在沒有強大實體儲存安全性的位置上,對網域控制站採用 Syskey 模式二或模式三。 這個設定適用於本指南所說明之三種環境的網域控制站。

建立或更新系統金鑰

  1. 按一下 [開始],再按一下 [執行],輸入 syskey 之後,再按一下 [確定]。

  2. 按一下 [啟用加密],再按一下 [更新]。

  3. 按一下您想要的選項,然後再按一下 [確定]。

Active Directory 整合的 DNS

Microsoft 建議您在本指南所定義的三種環境中,使用 Active Directory 整合的 DNS。 部分原因是採用 Active Directory 區域整合之後,在使用 Active Directory 整合 DNS 的環境中,比在不使用 Active Directory 整合 DNS 的環境中,更容易保護 DNS 基礎結構。

保護 DNS 伺服器

無論在哪一個 Active Directory 環境中,都必須保護 DNS 伺服器。 下列幾節將提供幾項關於捍衛 DNS 伺服器的建議和解說。

當 DNS 伺服器遭受攻擊時,攻擊者的可能目標就是控制回應 DNS 用戶端查詢所傳回的 DNS 資訊。 攻擊者一旦控制了這項訊息,用戶端可能會在不知不覺的情況下,被重新導向未經授權的電腦。 IP 詐騙與快取定位就屬於這類攻擊。

如果是 IP 詐騙,則會傳輸授權使用者的 IP 位址,以取得電腦或網路的存取權。 快取定位攻擊則是由未經授權的主機,將有關其他主機的錯誤資訊傳輸到 DNS 伺服器的快取中。 這項攻擊會使用戶端被重新導向未經授權的電腦。

如果用戶端電腦可以和未經授權的電腦通訊,未經授權的電腦可能會企圖在用戶端電腦上存取資訊。

不過並非所有的攻擊者都會把目標集中在詐騙 DNS 伺服器。 有些 DoS 攻擊可能會更改合法 DNS 伺服器中的 DNS 記錄,在回應用戶端查詢時提供無效的位址。 如果 DNS 伺服器以無效位址作為回應,用戶端與伺服器便找不到它們需要運作的網域控制站、網路伺服器或檔案共用等資源。

因此,在本指南所定義之三種環境中使用的路由器,就設定為要刪除詐騙的 IP 封包,以幫助您確保 DNS 伺服器的 IP 位址不受到其他電腦的詐騙。

設定安全動態更新

Windows Server 2003 SP1 中的「DNS 用戶端服務」支援動態 DNS 更新,此舉可讓用戶端電腦直接將 DNS 記錄加入資料庫中。 如果動態 DNS 伺服器被設定接受不可靠的更新,攻擊者便可以傳送來自支援 DNS 動態更新通訊協定之用戶端電腦的惡意或未授權的更新。

攻擊者至少可以將錯誤項目新增至 DNS 資料庫。 最壞的情況是,攻擊者可以覆寫或刪除 DNS 資料庫中合法的項目。 下面是這類攻擊者可能會做的事情:

  • 將用戶端導向到未經授權的網域控制站。 當用戶端提交 DNS 查詢來尋找網域控制站位址時,遭到入侵的 DNS 伺服器會按照指示,傳回未經授權的伺服器位址。 之後再經過幾次與 DNS 無關的攻擊之後,用戶端可能就因此相信對方,而傳送安全資訊給未經授權的伺服器了。

  • 以無效位址回應 DNS 查詢。 用戶端與伺服器會因而找不到對方。 如果用戶端找不到伺服器,便無法存取目錄。 一旦網域控制站找不到其他網域控制站,就會停止目錄複寫,因而產生可能影響整個樹系使用者的 DoS 狀況。

  • 建立 DoS 狀況。 伺服器的磁碟空間,可能會被充滿虛假記錄或大量降低複製速度之大量項目。

使用安全的動態 DNS 更新,可以保證只處理 Active Directory 樹系中有效用戶端所送出的登錄要求。 這個方法可以大幅限制攻擊者危害 DNS 伺服器完整性的能力。

因此,在本指南所定義的三種環境中,Active Directory DNS 伺服器皆設為只接受安全動態更新。

限制只有授權系統方可執行區域轉送

由於區域在 DNS 中扮演著重要的角色,因此它們應該可以從網路上多個 DNS 伺服器上使用,在解析名稱查詢方面提供充分的可用性與容錯能力。 如果有其他伺服器主控了某個區域,就必須進行區域轉送,針對每部設定要主控該區域的伺服器,將該區域的所有副本加以複寫和同步化。

再者,沒有限制誰能夠要求區域轉送的 DNS 伺服器,很容易遭受攻擊,而將整個 DNS 區域轉送給任何要求者。 這類傳輸作業可以利用像 Nslookup.exe 這類工具輕易做到。 這類工具會揭露整個網域的 DNS 資料集,包括哪些主機要作為網域控制站、目錄整合網頁伺服器或 Microsoft SQL Server™ 資料庫等。

因此,在本指南所定義的三種環境內,雖然將 Active Directory 整合的 DNS 伺服器設定為可以進行區域轉送,但是會限制只有哪些電腦可以轉送要求。

調整事件記錄與 DNS 服務記錄的大小

它必須記錄充分的訊息,才能有效監視和維護 DNS 服務。 資訊必須來自環境內的所有網域控制站。

您可以提高 DNS 服務記錄檔的大小上限,讓系統管理員在攻擊事件中,執行有意義的稽核。

本指南建議您,在本指南所定義之三種環境的網域控制站上,將 DNS 服務記錄檔的大小上限,提高到 16 MB 以上。 此外,請務必選取 DNS 服務中的 [視需要覆寫事件] 選項,將保留的記錄項目數加到最大。

保護已知帳戶

Windows Server 2003 SP1 有一些無法刪除但可以重新命名的內建使用者帳戶。 Windows Server 2003 內兩個最眾所皆知的內建帳戶是 Guest 和 Administrator。

在預設的情況下,成員伺服器與網域控制站的 Guest 帳戶是停用狀態。 此設定不得變更。 許多意圖不良的程式碼會利用內建的 Administrator 帳戶,初步嘗試侵入伺服器。 因此,您應該重新命名內建 Administrator 帳戶並修改其說明,以防攻擊者利用此已知帳戶對遠端伺服器進行攻擊。

這個設定變更的值,在過去幾年中已經降低,因為已有攻擊工具能透過指定內建 Administrator 帳戶的安全性識別元 (SID) 來判斷真實名稱,然後嘗試破解伺服器。 SID 是能唯一識別網路上每個使用者、群組、電腦帳戶和登入工作階段的數值。 這個內建帳戶的 SID 無法變更。 如果以唯一名稱重新命名了此 Administrator 帳戶,操作群組就能輕易監視對此帳戶的攻擊嘗試。

請完成以下步驟,來保護網域與伺服器上的已知帳戶:

  • 將每個網域和伺服器的 Administrator 與 Guest 帳戶重新命名,並將密碼變更為一個更長、更複雜的值。

  • 每個伺服器均使用不同的名稱及密碼。 如果所有網域和伺服器都使用相同的帳戶名稱和密碼,攻擊者在取得一個成員伺服器的存取權限之後,就可以使用同一個帳戶名稱和密碼,存取其他所有的伺服器。

  • 將帳戶說明改成不同於預設值的說明,以避免帳戶易於識破。

  • 在安全的地方記錄您所作的任何變更。

    注意:內建 Administrator 帳戶可以透過群組原則重新命名。 本指南提供的所有安全性範本均未實作此原則設定,因為每個組織都應該為此帳戶選擇唯一的名稱。 但您可以設定 [帳戶: 重新命名系統管理員帳戶] 設定,以重新命名本指南所定義的三種環境中的系統管理員帳戶。 此原則設定是 GPO 安全性選項設定的一部分。

保護服務帳戶

除非絕對必要,否則切勿將服務設定成在網域帳戶的安全性內容下執行。 如果伺服器實體遭到破壞,網域帳戶密碼就會很容易透過傾印 LSA 機密而洩漏出去。 如需如何保護服務帳戶的詳細資訊,請參閱服務和服務帳戶安全性規劃指南 (英文),網址為:www.microsoft.com/technet/security/topics/serversecurity/serviceaccount/default.mspx。

終端機服務設定

表 5.10 建議的終端機服務設定

預設值

傳統用戶端

企業用戶端

專業安全性限制功能

設定用戶端連線加密等級


[設定用戶端連線加密等級] 設定會確定環境中「終端機服務」用戶端連線的加密等級。 [高等級] 選項是使用 128 位元加密,以防止攻擊者使用封包分析器來竊聽終端機服務工作階段。 有的舊版終端機服務用戶端並不支援這種高等級的加密。 如果您的網路中包含這類用戶端,請將傳送與接收資料的連線加密等級設定為該用戶端支援的最高加密等級。

[設定用戶端連線加密等級] 設定被設為 [已啟用],而在本指南所定義的三種安全性環境的 DCBP 中,則是選取 [高等級] 加密。

您可在 Windows Server 2003 的 [群組原則物件編輯器] 中的下列位置設定此原則設定:

電腦設定\系統管理範本\Windows 元件\終端機服務\加密及安全性

加密的三個可用等級如下表所述:

表 5.11 終端機服務加密等級

加密等級

說明

高等級

以增強式 128 位元加密法,來加密從用戶端傳送到伺服器以及從伺服器傳送到用戶端的資料。 當終端機伺服器在只含 128 位元用戶端 (例如,遠端桌面連線用戶端) 的環境中執行時,請使用這個等級。 不支援這個加密等級的用戶端,將無法連線。

用戶端相容

以用戶端支援的最大金鑰強度,來加密在用戶端和伺服器之間傳送的資料。 當終端機伺服器在包含混合或傳統用戶端的環境中執行時,請使用這個等級。

低等級

以 56 位元加密法,來加密從用戶端傳送到伺服器的資料。

重要:從伺服器傳送到用戶端的資料不會加密。

錯誤報告

表 5.12 建議的錯誤報告設定

設定

傳統用戶端

企業用戶端

專業安全性限制功能

關閉 Windows 錯誤報告

已啟用

已啟用

已啟用


此服務可協助 Microsoft 追蹤和處理錯誤。 您可以設定這個服務,產生作業系統錯誤、Windows 元件錯誤或程式錯誤的報告。 此服務僅在 Windows XP Professional 和 Windows Server 2003 中可用。

Error Reporting 服務可透過網際網路向 Microsoft 報告這類錯誤,或向內部檔案共用報告錯誤。 雖然錯誤報告可能會包含敏感 (甚至是機密) 的資料,但 Microsoft 有關錯誤報告的隱私權政策會確保 Microsoft 不會不當使用這些資料。 但由於資料是以純文字 HTTP 形式傳輸,因此可能會在網際網路上遭到攔截和被第三方檢視。

[關閉 Windows 錯誤報告] 設定可控制 Error Reporting 服務是否要傳輸任何資料。

您可在 Windows Server 2003 的「群組原則物件編輯器」中的下列位置設定此原則設定:

電腦設定\系統管理範本\系統\網際網路通訊管理\網際網路通訊設定

對於本指南定義的三種環境,請在 DCBP 中將 [關閉 Windows 錯誤報告] 設定設為 [已啟用]。

使用 SCW 建立原則

若要部署必要的安全性設定,必須使用「安全性設定精靈 (SCW)」和本指南之下載版本中所含的安全性範本,來建立網域控制站基準線原則。

建立您自己的原則時,請務必略過 [登錄設定] 和 [稽核原則] 區段。 上述原則設定均為安全性範本針對您所選的環境所提供的設定。 您必須使用這個方法,才能確保範本所提供的原則元素,優先於 SCW 所設定的原則元素。

您應該使用新安裝的作業系統來開始設定工作,以確保不會誤用之前設定的舊設定或軟體。 如有可能,您應將作業系統安裝到與您部署所用的類似硬體上,以儘量確保相容性。 新安裝的電腦稱為「參照電腦」。

建立網域控制站基準線原則

您必須使用一部設定為網域控制站的電腦,建立「網域控制站基準線原則」。 您可以使用現有網域控制站,也可以建立參照電腦,然後再使用 Dcpromo 工具將電腦設定為網域控制站。 但大多數組織並不想在其生產環境中新增網域控制站,因為這樣做可能會違反其安全性原則。 如果使用現有的網域控制站,請確定您未使用 SCW 對其套用任何設定或修改其設定。

  1. 在新電腦上,透過 [控制台]、[新增/移除程式]、[新增/移除 Windows 元件] 來安裝「安全性設定精靈」元件。

  2. 啟動 SCW GUI,然後選取 [建立新原則],然後指向參照電腦。

  3. 確定偵測到的伺服器角色適用於您的環境。 如果您希望網域控制站能正常運作,請不要移除檔案伺服器角色。

  4. 確保偵測到的用戶端功能適用於您的環境。

  5. 確保偵測到的系統管理選項適用於您的環境。

    注意:如果您的環境含有好幾個站台的網域控制站,請務必選取 [郵件型 Active Directory 複寫]。

  6. 確定已偵測到基準線所需的任何其他服務,例如:備份代理程式或防毒軟體。

  7. 決定如何在環境中處理未指定的服務。 如要增強安全性,您可能要將此原則設定設為 [停用]。 將此設定部署到生產網路中之前,應先對其進行測試。如果生產伺服器執行其他未複製到參照電腦上的服務,此設定可能會導致問題發生。

  8. 不要勾選 [網路安全性] 區段中的 [略過此區段] 核取方塊,然後按 [下一步]。 之前識別出的適當連接埠和應用程式已設定為 Windows 防火牆的例外狀況。

    注意:請務必選取 [系統 RPC 應用程式的連接埠]。

  9. 在 [登錄設定] 區段中,按一下 [略過此區段] 核取方塊,然後按一下 [下一步]。 這些原則設定會從提供的 INF 檔案中匯入。

  10. 在 [稽核原則] 一節中,按一下 [略過此區段] 核取方塊,然後按一下 [下一步]。 這些原則設定會從提供的 INF 檔案中匯入。

  11. 包含適當的安全性範本 (例如,EC-Domain Controller.inf)。

  12. 以適當的名字儲存原則 (例如,Domain Controller.xml)。

使用 SCW 測試原則

建立並儲存原則之後,Microsoft 強烈建議您將原則部署到測試環境中。 在理想的情況下,您的測試伺服器會擁有與生產伺服器相同的硬體和軟體設定。 此方法可幫您找出並解決潛在的問題,例如,存在特定硬體裝置所需的非預期服務。

您有兩種測試原則的選擇。 您可以使用原生 SCW 部署功能,或透過 GPO 來部署此原則。

開始撰寫原則時,您應考慮使用原生 SCW 部署功能。 您可以使用 SCW 將原則一次推入單一伺服器中,或使用 Scwcmd 將原則推入一群伺服器中。 原生部署方式能提供一個優點,就是在 SCW 內輕易回復已部署的原則。 如果在測試過程中對原則進行多次修訂,則此功能就會變得非常實用。

經過測試的原則可以確保將此原則套用到目標伺服器之後,不會對其重要功能造成負面影響。 套用設定變更後,您應該開始確認電腦的核心功能。 例如,如果將伺服器設定為憑證授權單位 (CA),請確定用戶端可以要求和獲得憑證、下載憑證撤銷清單等。

確定原則設定後,您即可按照下列程序所示,使用 Scwcmd 將原則轉換成 GPO。

如需如何測試 SCW 原則的詳細資料,請參閱安全性設定精靈部署指南 (英文),網址為:www.microsoft.com/technet/prodtechnol/windowsserver2003/
library/SCWDeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx 安全性設定精靈說明文件 (英文),網址為:http://go.microsoft.com/fwlink/?linkid=43450。

轉換和部署原則

徹底測試原則之後,請完成下列步驟將原則轉換成 GPO 中並進行部署:

  1. 在命令提示字元中,輸入下列命令:

    scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>
    

    然後按下 ENTER。 例如:

    scwcmd transform /p:"C:\Windows\Security\msscw\Policies\Domain
    Controller.xml" /g:"Domain Controller Policy"
    

    注意:由於版面限制,所以此處所提供的命令提示字元的輸入資訊,呈現出多行的情況。 實際上,所有資訊應輸入於同一行。

  2. 使用 [群組原則管理主控台],把剛剛建立的 GPO 連結到網域控制站 OU,而且務必將它移到預設網域控制站原則的上方,讓它取得最高的優先順序。

請注意,如果 SCW 安全性原則檔案包含 Windows 防火牆設定,則您必須在本機電腦上啟用 Windows 防火牆,才能成功完成此程序。 若要確認是否已啟用 Windows 防火牆,請開啟 [控制台],然後連按兩下 [Windows 防火牆]。

請記住,剛剛建立的 GPO 可能要花一點時間才能將所有的網域控制站複寫完畢,尤其是在含有多個站台的網域控制站時更是如此。 當您確認 GPO 已經順利複寫以後,最好能夠再執行一次最終測試,以確保 GPO 所套用的是您所要求的原則設定。 若要完成此程序,請確認已設定適當的設定,並且功能不受影響。

總結

本章主要在解說,如何加強在本指南所定義之三種環境中執行 Windows Server 2003 SP1 的網域控制站伺服器。 大部份所討論的原則設定,都是透過群組原則加以設定和套用。 補充預設網域控制站原則的網域控制站基準線原則 (DCBP),被連結到網域控制站 OU。

DCBP 設定會加強任何環境中的網域控制站的整體安全性。 使用兩個 GPO 來保護網域控制站,可以保留預設環境,並簡化疑難排解。

當然此處所討論的設定,也有一些是無法透過群組原則加以套用的。 本指南亦已提供這些設定的手動設定詳細資料。

當您針對安全性來設定網域控制站之後,即可加強其他伺服器角色的安全性。 本指南的下列幾章,將著重說明如何保護其他幾個特定的伺服器角色。

其他資訊

下列連結將提供更多有關強化執行 Windows Server 2003 SP1 之網域控制站的主題。

  • 如需有關《Microsoft 系統架構:企業資料中心制式架構指南》的詳細資訊,請參閱 MSA EDC 制式架構指南 (英文) 網頁,網址為:www.microsoft.com/resources/documentation/msa/edc/all/solution/
    en-us/pak/pag/default.mspx。

  • 如需有關匿名存取 Active Directory 的詳細資訊,請參閱 Microsoft 知識庫文件選擇 Dcpromo 權限的說明 (英文),網址為:http://support.microsoft.com/?kbid=257988。

  • 如需有關 Windows 2000 DNS 的資訊,請參閱 Windows 2000 DNS 白皮書 (英文),網址為 www.microsoft.com/windows2000/techinfo/howitworks/communications/
    nameadrmgmt/w2kdns.asp。

  • 如需關於 Windows 2000 DNS 的詳細資訊,請參閱 Windows 2000 Server Resource Kit 中,TCP/IP 核心網路指南 (英文) 線上版的第 6 章,網址為:www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp。

  • 如需關於 Windows 2003 DNS 的詳細資訊,請參閱變更 Windows Server 2003 中的 DNS (英文) 網頁,網址為:www.microsoft.com/windows2000/technologies/communications/dns/dns2003.asp。

  • 如需關於限制 Active Directory 的詳細資訊,請參閱 Microsoft 知識庫文件將 Active Directory 複寫流量限制在特定的連接埠 (英文),網址為:http://support.microsoft.com/?kbid=224196。

  • 如需有關限制 FRS 複寫流量的詳細資訊,請參閱 Microsoft 知識庫文件如何將 FRS 複寫流量限制在特定的靜態埠 (英文),網址為:http://support.microsoft.com/?kbid=319553。

  • 如需關於「Windows 時間服務」的詳細資訊,請參閱 Windows 時間服務技術參考手冊 (英文),網址為:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/
    library/TechRef/a0fcd250-e5f7-41b3-b0e8-240f8236e210.mspx。

  • 如需關於 IP 詐騙的詳細資訊,請參閱 IP 詐騙簡介 (英文) 這篇文章,網址為:www.giac.org/practical/gsec/Victor_Velasco_GSEC.pdf。


下載

取得 Windows Serve 2003 安全性指南

更新通知

註冊以瞭解更新和新版本

意見

請將您的意見或建議傳送給我們



顯示: