終端系統的資料安全性及資料可用性

Cc722919.community-sm(zh-tw,TechNet.10).gif 本頁索引

本文的重點
保護 Web 上的伺服器及工作站安全
使用原則來套用安全設定
建立稽核及監視策略
設定容錯解決方案
附錄 A:解釋使用者權限 (來自 Resource Kit)
附錄 B:本機安全設定 (來自 Resource Kit)
附錄 C:HighSecweb.inf 檔

Tom Dodds, MCS Principal Consultant, MCS Southern California

Warren Kerby, Consultant, MCS Southern California

Michael Howard, Program Manager, Microsoft Corporation

Microsoft Solutions Framework

企業安全的最佳實例

附註 本白皮書是一系列文件之一。企業安全的最佳實例
 (http://www.microsoft.com/technet/archive/security/bestprac/bpent/bpentsec.mspx)
包含此系列所有文章的完整清單。另請參閱〈Security Entities Building Block Architecture〉
(http://www.microsoft.com/technet/security/bestprac/bpent/sec2/secentbb.mspx)。
 

本文的重點

概觀

本白皮書是依據最近在一家大銀行完成的安全協議 Microsoft Consulting Services (MCS)。它討論在下列幾個領域中的 MCS 最佳實例:

  • 保護 Web 上的伺服器及工作站安全。 本節概述,為保護伺服器或工作站免遭入侵,您所應該考量的眾多概念及關鍵考量因素。
  • 使用原則來套用安全設定。 本節提供關於如何套用安全模型的建議。
  • 建立稽核及監視策略。 本節概述可用來自動管理安全模型的工具。
  • 設計容錯解決方案。 本節概述 MCS 如何為帳戶建立一個既可靠又可擴充的解決方案。

本白皮書中概述之安全工作的評估和完成,有助於公司建立更安全的環境和網際網路形象。

保護 Web 上的伺服器及工作站安全

一般攻擊

駭客試圖存取或破壞公司系統的方式有很多種。這些攻擊大部份都為人所知,許多安全網站上都有記載。以下列出一些較常見的攻擊方式。

詐騙使用者的身分識別

詐騙使用者的身分識別是指,駭客去取得使用者的個人資訊或是能讓駭客重新進行驗證程序的資料。詐騙威脅與駭客能夠扮演一個有效系統使用者或資源去存取系統而危及系統安全有關。

擅改資料

未經授權而變更已儲存或傳輸中的資訊、格式化硬碟、惡意入侵者在通訊中引進一個無法偵測到的網路封包、 入侵者對機密檔案進行無法偵測到的變更...等等,這些全都是擅改威脅。

可否認性

使用者執行不合法操作卻沒有被追蹤的能力,叫作「可否認性」(Repudiability);可否認性威脅與下列使用者有關,他們可以否認作壞事 (不論是否惡意) 並讓您無法加以證明。

資訊透露

透露私人或企業重要資訊會危及企業安全。資訊透露威脅會將資訊曝光給不應該看該資訊的人。使用者能夠讀取其未經授權存取的檔案,以及入侵者能夠讀取兩部電腦之間傳輸的資料,都是資料透露威脅。請注意,此威脅不同於詐騙威脅,因為罪犯是直接存取資訊而不必先詐騙合法使用者。

拒絕服務

「拒絕服務」(Denial of Service, DoS) 攻擊會妨礙合法使用者使用服務。DoS 攻擊的影響力由三種方式來衡量:

  • 努力程度。 衡量若要攻擊成功所需的努力。最少的努力是能夠損毀電腦的單一封包。最大的努力是許多大型封包,可能由多個攻擊者傳送。
  • 嚴重性。 衡量服務程度降級的情況。嚴重攻擊將阻礙所有合法使用者存取服務。中度的攻擊會減慢存取速度,但不會完全停工。
  • 持續性。 如果在停止攻擊之後該攻擊的效用仍然在持續作用中,則此攻擊具有持續性。最強的攻擊即使在入侵者無法存取服務的情況下仍然會持續。有些攻擊會一直持續到伺服器重新啟動為止。弱小攻擊的影響會在攻擊之後立刻結束。

DoS 攻擊的範圍很廣,從中度的困擾到真正的安全風險都有。一般而言,理想的防火牆應該可以防止此類攻擊的發生。(如需防止 DoS 攻擊的相關資訊,請參閱本白皮書後面的〈防止拒絕服務攻擊〉。)

專用權的提升

專用權提升威脅是指,沒有專用權的使用者取得了專用權,進而有足夠的權限危及甚至摧毀整個系統。這類威脅更危險的層面是,使用者在系統管理員不知情的情況下,利用專用權以無法偵測到的方式來危及系統。專用權提升威脅包括這些情況: 允許攻擊者得到超過應該授與的適當專用權、危及整個系統的安全以及造成極大的系統損害。攻擊者有效地穿過所有系統防衛, 成為可靠系統本身的一部份,而能夠為所欲為。

決定要保護的資訊

您必須採取的第一個步驟是決定環境中每一部系統所需的安全層級。例如,對外的 Web 伺服器通常包含公用資訊, 因此需要不同於像是儲存機密資訊的資料庫伺服器的安全模型。另一種提供安全的裝置就是防火牆。防火牆通常是用來限制企業內外的使用者存取資訊。因此,您如何設計和實施安全防火牆對計劃而言非常重要。但在採取任何實際動作之前,您必須先定義資訊安全。

在為我們的銀行專案定義資訊安全時,我們問了下列幾個問題:

  • 哪些資訊應該定義為最高機密、機密、保密和不保密?
  • 組織的網路之外是否存有不應該被匿名使用者存取的資訊 (定義為保密、機密或最高機密)?
  • 是否有資訊只能讓一組特定人士存取?
  • 是否有允許內部使用者直接存取外部資源的適當連線?
  • 是否有適當的機能來允許外部人士進行內部存取?
  • 應用程式套件需要何種存取類型,使用者必須透過防火牆才能進行此存取嗎?

銀行概述了所有這些議題,建立了一個安全小組,指派了安全主管,並建立了整個企業的安全原則。完成這些工作之後,我們就開發出適當的安全模型並完成建立銀行安全基礎結構所需的細節。

決定安全層級

根據資訊分類來分類及瞭解必要的安全性是很重要的。例如,您可以從決定可存取的安全資訊層級開始。企業安全有兩個極端:

  • 若無適當權限,不應該存取不允許的資訊。在此情況下,由資訊技術 (IT) 部門決定誰可以存取何種資訊。這是有約束力的安排,但是可控制的安排。這也是一個已知模型,已實施多年。此結構的困難在於要控制所有不同的必要安全登入來存取所有必要資源。
  • 任何人可存取未禁止存取的資訊。這讓使用者在以匿名方式存取資訊時負責控制其動作。Web 使用者特別偏好此種安排,但是從安全觀點來看,它頗為麻煩—它使資料存取難以控制,因為使用者不必提供任何憑證即可登入。

以我們的銀行專案為例,我們採取的安全原則跨立於這兩個極端之間, 它讓我們可以一方面控制一方面提升資料存取,讓使用者能夠存取他們需要的資訊。

實體安全

實體安全是關於保護用來儲存及處理機密資料及/或珍貴資料的電腦 (不論是伺服器還是工作站)。防止遭受意外或蓄意的存取 (包括變更電腦設定方式),不過,不應防止使用者執行工作,也不應設立對使用者資源不實際或不方便的障礙。

標準安全

在標準安全方面,電腦系統必須受到保護,就像任何貴重設備一樣。以我們的銀行專案為例, 這就涉及將電腦存放在有上鎖的大樓內,未經授權的使用者不得進入。

如上一節中所提到,建立安全基礎結構的第一步,是評估每一部伺服器和工作站目前的安全層級。從標準安全模型的實體安全觀點來看,其中一些主要議題概述如下。本節後面的幾節將詳述組建安全模型的重要議題。這些建議的實際應用概述於本文件的第 3 個部份〈使用原則來套用安全設定〉,它將詳細描述在 Windows 2000 環境套用這些設定。並請牢記, 要經常到 http://www.microsoft.com/taiwan/security/ 網站查看本清單是否有新增項目。

在伺服器或用戶端上首先要評估的是產品和環境的實體安全。下圖顯示我們對於銀行保護其用戶端或伺服器所做的一些建議。
 

實體安全用戶端或伺服器
防止意外遭竊用戶端及伺服器
上鎖的房間伺服器
空調環境伺服器
控制進入伺服器
上鎖的纜線室 (集線器不外曝) 伺服器
鎖定電腦桌面。在伺服器方面,機架上鎖,且該區域使用公司識別證進行安全管制 (大門上鎖,機房上鎖)。用戶端及伺服器
實體管理/維修的程序 (現場零配件)用戶端及伺服器
電源/突波 (surge) 保護器用戶端及伺服器
停用軟碟機 (或至少需要使用者以系統管理員身份登入才能使用該裝置)用戶端及伺服器
取出軟碟機 (如果不需要它的話)高度安全環境下的用戶端及伺服器
開機密碼高度安全環境下的用戶端及伺服器
編輯 boot.ini 檔,將開機逾時設定為 0 秒高度安全環境下的用戶端及伺服器
所有磁碟機都只使用 NTFS 檔案系統高度安全環境下的用戶端及伺服器

備份

定期備份可保護資料免於一切危險:硬體失效、正當的犯錯、病毒和惡意欺騙。在我們的銀行專案中, 因為檔案必須先讀取才能備份,且必須寫入才能還原,所以備份專用權僅限系統管理員和備份操作員才有。

稽核

通常公司並不知道有安全漏洞,常常要等到稽核網路時才會發現它。有效稽核也可以發現有安全風險之虞的動作並識別採取這些動作的使用者帳戶。建立稽核原則需要您權衡稽核成本 (在磁碟空間及 CPU 週期) 及其優點。系統安裝及容量可指定您可實際稽核多少個功能。至少,銀行決定稽核失敗的登入嘗試、存取機密資料的嘗試,以及安全設定的變更。

建立高度安全環境

根據所需的安全層級,可實施其他安全措施來建立高度安全環境。若要決定我們銀行專案的其他安全措施的需求,首先我們必須識別哪幾部電腦包含機密資料 (如果有的話)、處於遭竊或遭故意侵犯和破壞的高風險之中。為了這些機器或其子網路的安全,我們決定增加比網路其餘部份所使用的更嚴格的安全功能。

控制存取

如果未經授權的使用者可以隨便坐下來亂碰電腦,那麼沒有一部電腦是絕對安全的。以我們的銀行專案為例,銀行試圖以下列方式將登入主控台的使用者所能造成的影響降至最低:

  • 停用軟碟型開機 (如果電腦硬體有提供此選項的話)。如果電腦不需要軟碟機,則將它移除。
  • 將 CPU 盒上鎖,並將鑰匙存放在遠離電腦之處。
  • 整個硬碟使用 NT 檔案系統 (NTFS)。
  • 如果電腦不需要網路存取,則移除網路卡。

如果可行的話,銀行會儘量讓未經授權的使用者遠離電腦電源及重設開關。大部份安全電腦 (除了那些已上鎖和有守衛的機房內的電腦之外) 僅允許使用者存取鍵盤、監視器、滑鼠和印表機。銀行將 CPU 和抽取式磁碟機上鎖,只讓獲授權的人員存取它們。

在預設狀況下,Microsoft® Windows® 2000 允許任何程式存取軟碟和 CD 上的檔案。高度安全的多使用者環境只允許以交互動方式登入的人員存取那些裝置,因此互動使用者可以把機密資訊寫入這些磁碟機上,並且相信沒有其他使用者或程式會看到或修改它 (關於如何完成此動作的詳細步驟包含在〈附錄〉中)。此模式會配置系統軟碟或 CD 給使用者, 此為互動登入處理的一部份,然後自動釋出它們供一般使用,或在該使用者登出時重新配置。以我們的銀行專案為例,我們制定了一個準則,就是在登出之前會先從軟碟機或光碟機中移除機密資料。

網路層級安全

在網路上放置一台電腦,等於為該電腦新增一條存取路徑, 而該電腦應該受到保護以防止受到某種程度的入侵—,不論是意外的或故意的。在標準層級安全方面,使用者對檔案及其他物件的驗證及保護已足夠,但高層級安全需要實體網路受到保護。

主要風險是未經授權的網路點選。如果網路完全設定在一棟安全的建築物內 (極罕見),那麼未經授權的點選風險將降到最低或零風險。如果網路並非完全在直接實體控制下,您必須從實體安全開始,決定一個實際保護層級並制定它。例如,如果纜線會通過不安全區域,請考慮使用光纖連結代替雙絞線—要從光纖和虹吸管取得資料比較困難。

最近網際網路通訊越來越普遍。安全議題是雙向的,因為這種連線提供網際網路社群雙向存取。在本質上,這表示全世界任何人只要能夠存取電腦,就有機會存取企業內的部份或全部系統。不過,若要進入,必須先通過我們建立的一系列護城河或保護牆才能存取系統。

了解防火牆設計和實作已超出本文件的範疇,但這將是我們的第一個護城河。本文件的其餘內容會詳細敘述在第一道防火牆後面為該銀行建立的安全鎖定和安全結構 MCS。

重要的一般安全考量

已知狀態和可重複性

建立一個可重複的處理程序來設定伺服器。啟動作業系統的全新安裝,而且始終要使用 NTFS。如此一來,您可獲得一組一致的檔案,並適當地設定其許可權。雖然執行全新安裝的額外工作看起來令人怯步,但請注意,如果有硬體故障的情形或您要新增或取代伺服器,則您多半需還是要執行全新安裝。如果您升級一組伺服器,它們很可能安裝了不同組的檔案。IIS 及其他元件可以用指令檔設定。建立指令檔,並用它來進行所有的更新。您不會忘記設定,如果您必須新增另一個伺服器,可以一直使用該指令檔。

要使用一個完全鎖定的伺服器很難。例如,當伺服器處於「生產」模式時,應該關閉未使用的服務。不過,在設定伺服器時,有些服務必須保持在執行中。請建立兩個指令檔:一個指令檔會在「生產」模式中鎖定伺服器,另一個指令檔則會將伺服器置於「維護」模式。由於安全設定會因維護而「暫時」關閉,伺服器被駭客攻擊就不會再開啟。

元件

如果您不使用元件或功能,請勿安裝它。請刪除它或停用它。這點很重要。移除可以移除的任何元件,但要讓網站仍可運作。

將服務設定為「手動」

關閉所有未使用的服務。若要幫助決定有使用哪些服務,請將您認為沒有使用的服務的 [啟動類型] 設定為 [手動]。重新啟動伺服器並使用所有的應用程式。然後使用「服務 MMC 嵌入式管理單元」,查看哪些服務已啟動。那些未啟動的服務可能是設定為 [停用] 的。

密碼

任何工作站或伺服器的安全幾乎就看密碼的品質。使用強化安全密碼並依據原則經常變更它們。最近的研究建議您,選擇至少七個字元的密碼,並在其中參雜包含字母、數字和標點符號。

使用事件日誌記錄服務

「事件日誌記錄」服務通常含有可幫助您偵測問題的資訊。它們也是系統上可能發生的惡意活動的一大資訊來源。

保留變更的記錄

按時間先後順序列出您做的所有變更。這可方便您設定新機器,它也提供您已完成作業的記錄。

確認

將伺服器連接到網際網路之前,一定要再次確認您的設定。在所有的安全措施準備就緒之前,絕對不要讓伺服器連線到網際網路。請使用檢查清單來追蹤檢查安全措施。攻擊者會不停地掃描 IP 位址來尋找新機器。協助弱點偵測的軟體有很多,包括需購買的以及免費的。請使用這些產品來確認您的安全措施準備就緒並且可以運作。

深入防禦

不要仰賴單一防禦來保護您。讓攻擊者對您的周嚴防禦措施望而卻步。將系統設計成像城堡一樣,有護城河、吊橋、外牆、內牆和要塞。這並不表示一定要讓合法使用者很難從您的網站取得資訊。唯讀存取通常很容易達成。在網站上變更、編輯、新增或公佈資訊的所有方法都必須小心保護才行。

維護

對任何安全網站來說,維護是不斷進行的活動。最簡單、最重要的維護活動就是盯緊安全公告及施行任何建議。維護也包括定期檢查,以確保所有安全程序仍然就緒且可運作。

經常測試所有功能

定期停止電腦、重新開機及測試應用程式。如果您發現有程式停止運作或它的操作改變了,您可以查看變更清單,以找出是哪一項設定造成改變。

使用網路探測程式來偵測流量

網路探測程式或監視程式會提供您關於哪些服務正在執行的線索。請利用
http://www.isi.edu/in-notes/iana/assignments/port-numbers
網址上的「已知的連接埠號碼」文件,來判斷哪些服務正在使用連接埠。

套用最新的 Service Pack 及 Hotfix

您在伺服器及工作站上,使用的所有產品之安全資訊一定要保持最新,這一點非常重要。一旦公開某個安全相關議題,就要儘快實施所建議的修正程式。攻擊者也會監視此資訊,並使用它來對付任何未更新的用戶端或網站。攻擊者會撰寫指令檔來測試系統中所有已知的弱點。系統因為這些已知的行為而經常遭到攻擊。因此,我們一再強調安全更新和修補程式要保持最新的重要性。

一發現問題,Microsoft 就會自動以電子郵件傳送安全公告。若要查看先前的公告及簽署接收以後的公告,請至 http://www.microsoft.com/taiwan/technet/security/
在檢閱所有 Microsoft 安全公告之後,請確定所有最新修補程式已套用至周邊網路 (亦稱為 DMZ 或非軍事區) 伺服器。目前,Windows NT® 4.0 Service Pack 6 (SP6) 是最新的 Service Pack,建議安全的 Internet Information Server 4(IIS4) 網站使用它。請到 http://www.microsoft.com/taiwan/security/ 網站檢閱最新 Microsoft 安全相關新聞。

防止 DoS 攻擊

「拒絕服務」攻擊 (Denial of Service, DoS) 很難防禦。同樣有一件最重要的事要做,就是到 http://www.microsoft.com/taiwan/security/ 網站了解張貼的最新 DoS 攻擊的資訊。另一個方式是在 Windows 2000 伺服器或工作站上加強 TCP/IP 堆疊,以幫助防止影響系統效能或使系統停頓的一般 DoS 攻擊。

加強 TCP/IP 堆疊

在預設狀況下,TCP/IP 堆疊是設定來處理正常流量並在正常工作狀況下健全系統。如果 Windows 2000 伺服器或工作站要出現在網際網路上,則應該重新設定 TCP/IP 堆疊來應付各種 TCP/IP 通訊協定攻擊。如需相關資訊,請參閱 Knowledge Base 文章〈Internet Server Unavailable Because of Malicious SYN Attacks〉,網址為
http://support.microsoft.com/default.aspx?scid=kb;zh-tw;Q142641&sd=tech

為了加強銀行的堆疊,我們設定了下列機碼。所有 TCP/IP 參數均位於此登錄機碼之下:

HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services

SynAttackProtect
 

機碼:Tcpip\Parameters
值類型:REG_DWORD—Boolean
有效範圍:0, 1, 2
預設值:0
描述:啟用後,本參數會使 TCP 去調整 SYN-ACKS 的重新傳輸,讓連線回應更快逾時 (如果看起來 SYN-ATTACK 正在進行中的話)。此決定是以 TcpMaxPortsExhausted 參數為依據。

參數:
 

0:預設值 – 正常保護防止 SYN 攻擊。
1:較佳保護 – 本參數會使 TCP 去調整 SYN-ACKS 的重新傳輸,使連線回應更快逾時 (如果看起來 SYN-ATTACK 正在進行中的話)。此決定是以 TcpMaxPortsExhausted、TCPMaxHalfOpen 及 TCPMaxHalfOpenRetried 為依據。
2:最佳保護 – 新增其他延遲至連線指示,當 SYN=ATtack 正在進行時,使 TCP 連線要求快速逾時。這是建議的設定。使用此設定時,請注意,下列 Socket 選項對任何 Socket 不再有效:可調整的視窗 (RFC 1323) 以及每一個配接卡設定的 TCP 參數 (起始 RTT,視窗大小)。

EnableDeadGWDetect
 

機碼:Tcpip\Parameters
值類型:REG_DWORD—Boolean
有效範圍:0, 1 (False, True)
預設值:1 (True)
描述:當此參數為 1 時,允許 TCP 執行死閘道偵測 (dead-gateway detection)。啟用此功能之後,如果有許多連線遭遇困難,TCP 會要求 IP 變更為備份閘道。您可以在 [網路] 控制台,於 TCP/IP 設定對話方塊的 [進階] 區段中定義備用閘道。 請參閱此白皮書的〈死閘道偵測〉一節,以取得詳細資料。
建議:0 – 攻擊會強迫使用它來切換閘道,而造成切換至非預期的閘道

EnablePMTUDiscovery
 

機碼:Tcpip\Parameters
值類型:REG_DWORD—Boolean
有效範圍:0, 1 (False, True)
預設值:1 (True)
描述:當此參數設為 1 (True) 時,TCP 會嘗試在通往遠端主機的路徑上探索傳輸單元最大值 (MTU 或最大封包大小)。透過探查出路徑 MTU,並將 TCP 區段限制在此大小之內, TCP 就能在以不同 MTU 連接網路的路徑上,消除路由的片段。 片段化對 TCP 輸送量及網路阻塞情況有負面影響。將此參數設定為 0 會造成 576 位元組的 MTU 使用於本機子網路上非連接到主機的所有連線。
建議:0 – 攻擊者會強迫 MTU 變成很小,使堆疊超負荷。

KeepAliveTime

機碼:Tcpip\Parameters
值類型:REG_DWORD—時間 (毫秒)
有效範圍:1–0xFFFFFFFF
預設值:7,200,000 (兩小時)
描述:此參數控制 TCP 嘗試多久傳送一次持續作用封包來驗證閒置連線保持原封不動。如果遠端系統仍可存取及作用中,則它會接受持續作用傳輸。在預設狀況下,不會傳送持續作用封包。此功能可由應用程式在連線中啟用。
建議:300,000 (5 分鐘)

NoNameReleaseOnDemand
 

機碼:Netbt\Parameters
值類型:REG_DWORD—Boolean
有效範圍:0, 1 (False, True)
預設值:0 (False)
描述:此參數可決定,當電腦收到來自網路的 name-release 要求時是否釋放其 NetBIOS 名稱。新增它是為了讓系統管理員能夠保護電腦免於遭到惡意的 name-release 攻擊。

PerformRouterDiscovery
 

機碼:Tcpip\Parameters\Interfaces\<interface>
值類型:REG_DWORD--BOOLEAN
有效範圍:0: 停用
1: 啟用
2: 預設為 Off,DHCP 控制
預設值:2
描述:此參數可控制 Windows NT 是否根據 RFC 1256,逐一介面嘗試執行路由器探索。
建議:0 – 這可防止虛假路由器通告
注意事項:在 Tcpip\Parameters\Adapters 中使用此值,以得知 Interfaces 下的哪一個值符合網路卡。

網路設定

停用 [NetBIOS over TCP/IP]

防止惡意使用者透過 TCP/IP 以外的其他機能來存取您的伺服器或工作站的另一個方式是,停用 [NetBIOS (網路基本輸入/輸出系統) over TCP/IP]。這會停用所有使用 \\Name\Share 命令集來存取您電腦的預設共用和印表機。這些作業包括目錄及印表機共用、NetDDE (網路動態資料交換) 及遠端管理。

您可以到 [進階 TCP/IP 設定值] 去停用 [NetBIOS over TCP/IP] 來控制 NetBIOS over TCP/IP 的使用。如此一來, 誰都無法從遠端裝載磁碟機或從遠端編輯登錄。Windows NT 網路服務若透過多個傳輸執行會很混亂; 因此,您的電腦仍可以在內部透過內部通訊協定彼此交談。

datava01

連接埠及通訊協定設定

對於在網際網路上出現的任何 NIC (網路介面卡), 下一個重要步驟是設定 TCP/IP 篩選來控制允許與系統通訊的流量類型。許多人都落入這樣的陷阱: 當他們與網際網路之間有防火牆時,就不做這些變更。他們假設防火牆會提供完全的保護。就是這樣的想法, 讓駭客得以存取連接到 Web 的 Web 伺服器、纜線或 DSL (Digital Subscriber Line) 電腦。對出現的 NIC 新增這些變更, 會在您的防禦中建立另一道護城河,駭客必須通過它才能獲勝。我們在銀行使用了進階 TCP/IP 設定, 為我們的網際網路 NIC 設定篩選。下圖顯示這些設定。

datava02


基本上,銀行只允許 TCP 連接埠 80 供 HTTP 存取,以及 443 供 Secure Sockets Layer (SSL) 存取。它們不允許「使用者資料包通訊協定 (UDP)」連接埠,僅允許 IP 通訊協定 6 (TCP)。特定公司的連接埠需求必須基於個別需求加以識別及驗證,這點很重要。同時,一定要充份了解啟用連接埠或通訊協定的安全涵意。

從網際網路介面卡切斷不必要的服務及通訊協定

駭客存取遠端機器的另一個方式是,利用本機使用者不知道自己已啟用的服務的一些資訊。因此,一定要停用任何未使用的服務。

停用不需要的預設服務

您應該停用下列服務。這些變更已在銀行的安全範本內實施。如果取消此範本,這些服務仍保持停用,需要手動變更才能啟用它們。銀行在其 IIS 伺服器上停用的服務包括:

  • Alerter
  • ClipBook
  • Distributed File System
  • Distributed Link Tracking Client
  • Distributed Ling Tracking Server
  • Fax Service
  • Internet Connection Sharing
  • Intersite Messaging

附註 如果使用了多個網站,則此服務必須在所有 DC 上執行。

  • Messenger
  • NetMeeting Remote Desktop Sharing
  • Network DDE
  • Network DDE DSDM
  • Task Scheduler
  • Telnet
  • Terminal Service
  • Utility Manager
  • File Replication
  • Print Spooler
  • Remote Registry Service

附註 您必須將這一項設為手動,然後啟動該服務來使用 BackupExec 或 Netdiags.exe。

限制預設的 NTFS 權限

對於銀行系統上的每一個硬碟機,我們修改了根目錄中的 ACL:

  1. 在 [Windows 檔案總管] 中,在硬碟機的圖示上按一下滑鼠右鍵。
  2. 按一下 [內容],再按一下 [安全] 索引標籤。
  3. 新增具有 [完全控制] 權限的本機 [系統管理員] 群組。
  4. 將 [Everyone] 要套用的權限變更為 [Domain Users]。按一下 [進階]。 選取 [Everyone] 項目,然後按一下 [檢視/編輯]。按一下 [變更]。選取網域範圍,然後選取 [Domain Users]。
  5. 按四次 [確定] 來關閉所有對話方塊並接受變更。

該小組修改了這些資料夾上的 ACL,它們並未從根目錄 (即 [Documents and Settings]、[Program Files] 及 [WINNT]) 繼承權限,來變成下列權限:

  • 將「使用者」要套用的權限變更為 [Authenticated Users]。
  • 刪除 [Power Users] 及 [Everyone] 的權限。

我們也將 Winnt\System32\config 和 Winnt\Repair 上的 ACL 做了下列修改,來限制系統本機安全帳戶管理員 (SAM) 資料庫的存取權:

  • 將「使用者」要套用的權限變更為 [Authenticated Users]。
  • 刪除 [Power Users] 及 [Everyone] 的權限。

移除不需要的檔案系統存取

為了與 16 位元應用程式舊版的相容性,下一步是停用 8.3 檔名的自動產生。在安全環境中,避免使用 16 位元應用程式很重要。此小組設定 HKLM\System\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation = reg_dword : 1 來關閉此功能。另一個重要步驟是停用管理共用中的組建,其方式是:

    移除預設系統管理網路檔案共用。

    • 對於所有系統上的每一個硬碟機,移除預設共用 (C$D$...等等)。開啟 [Windows 檔案總管],並在硬碟機的圖示上按一下滑鼠右鍵。按一下 [共用]。
    • 選取 [不共用此資料夾]。
    • 按一下 [確定] 以接受變更。
    • 對於系統磁碟區,移除預設管理共用 (Admin$)。在 %windir% 目錄上按一下滑鼠右鍵。如前述繼續進行。
    • 若要確定預設共用不會重建,請設定此登錄機碼:HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
      \AutoShareServer = reg_dword : 0

附註 在備份伺服器之前,BackupExec 需要上述共用名稱。

保護本機使用者帳戶

另一個重要步驟是,控制內建帳戶,它們是 Windows 2000 的一部份。許多駭客在嘗試攻破伺服器帳戶登入結構時會利用此種資訊。我們小組所做的一些變更包括:

  • 重新命名系統管理員帳戶,然後建立一個沒有權限的假系統管理員帳戶。確定兩帳戶都有健全的密碼。同時,一定要停用 [NetBIOS over TCP/IP] 以防止透過網際網路進行的字典攻擊類型成功。(這在前面已討論過)。

重要事項 在網域控制站,請勿重新命名系統管理員帳戶。請複製它,以建立一個工作用的系統管理員帳戶,並移除正本的所有專用權/群組成員資格。這樣可避免使用已知管理帳戶 RID。

  • 限制本機系統管理員群組的成員資格。
  • 停用 Guest 帳戶並提供一個強化安全密碼給它。
  • 停用 TsInternetUser 帳戶並提供一個強化安全密碼給它。當您安裝 OS 時,即使您沒有安裝 [終端機服務],也會自動建立此帳戶 (在本機和網域上)。停用帳戶而非刪除它,因為如果您稍後要安裝 OS 升級版,而如果此帳戶不存在,就會重建它。
  • 停用 Web 伺服器上的 IUSR_<machine> 帳戶,並提供一個強化安全密碼給它。
  • 停用本機系統管理員及系統管理員帳戶的網路登入。強迫這些帳戶要求互動登入。

保護系統登錄

此登錄是 Windows 2000 系統的核心,一定要限制匿名存取此登錄,以防止未驗證過的使用者執行像列舉共用及本機/網域使用者之類的動作 (KB 文章 Q143474)。請參閱群組原則,或設定 LM\System\CurrentControlSet\Control\LSA\RestrictAnonymous = reg_dword : 1。其他需要注意的事項包括:

  • 限制網路存取此登錄。建立 Winreg 機碼並設定它的 ACL 僅授與存取權給 [網域管理] (KB 文章 Q155363)。新增 HKLM\System\CurrentControlSet\Control\SecurePipeServers\winreg。
  • 將 .REG 副檔名的檔案關聯變更為像 NOTEPAD.EXE 這樣的檔名。這可防止惡意網站在您瀏覽網站時將新的機碼插入您的登錄中。

設定使用者權限指派

伺服器或工作站安全策略的下一個主要元件,是控制當 Windows 2000 伺服器或工作站安裝時,在預設狀況下所設定的進階使用者權限。同樣地,一定要使用本白皮書的〈群組原則〉這一節的〈使用原則來套用安全設定〉所概述的步驟來套用這些設定。下圖列出銀行 .inf 檔中關於其安全 Web 伺服器的設定。

datava03


我們在新增這些設定時所面臨的挑戰之一,是要充份了解每一項設定對已安裝及執行的應用程式有何影響。這就是為什麼在套用範本之前一定要先充份了解每一項設定的用途。我們發現較好的方案是在伺服器進入生產階段之前,在包括開發伺服器在內的所有伺服器上設定安全,然後在一個模仿最後生產環境的安全環境中建立應用程式。如果開發伺服器有不同的安全設定,那麼要在套用範本之後追蹤哪一項設定造成問題時,會變得很難。如需每一項設定的完整解釋,請參閱〈附錄〉。

加強系統

Windows 2000 系統上有許多設定可用來加強預設安裝。由安全小組決定他們需要實施何種安全層級以及這些設定需要做多少變更。同樣地,銀行決定從 Microsoft 在 Web 上提供的高度安全網站 INF 檔開始 (如需最新版本,請到 http://www.microsoft.com/taiwan/technet/security/ 網站),並根據銀行的內部需求加以自訂。 下圖顯示 HighSecWeb 範本所做的變更 (如需銀行 Highsecweb 範本的複本,請參閱〈附錄 C〉)。

datava04


同樣地,在套用此範本之前,一定要先充份了解每一項設定變更的影響。如需前一範本所變更的設定的解釋,請參閱〈附錄〉(未定義者未列出)。同時,在採用 HighSecWeb 範本時一定要根據個別的安全需求加以自訂。

稽核

稽核伺服器是監視策略的主要元件之一。定期追蹤它們及設定入侵警示是非常重要的。有許多協力廠商產品可協助此處理程序。如需建議,請參考以下的監視及稽核小節。下圖所提供的範例說明了我們如何為銀行專案設定稽核。
 

稽核
原則設定
稽核帳戶登入事件成功及失敗
稽核帳戶管理成功及失敗
稽核目錄存取未定義
稽核登入事件成功及失敗
稽核物件存取成功
稽核原則變更成功及失敗
稽核專用權使用成功及失敗
稽核處理追蹤未定義
稽核系統事件成功及失敗

其他系統變更

在檔案和系統層級上還需要做其他重要變更。在銀行的預設安全設定方面,我們設定系統開機時間為零秒,如下圖所示。

設定系統開機時間為零秒。

若要防止未經授權的使用者略過預設 Windows NT 開機及安全登入處理:

請到 [控制台] [系統] [進階] [啟動及修復],並設定 [顯示作業系統清單的時間] 為 0

datava05


我們也移動了所有的存取控制清單 (ACL) 重要檔案。我們的作法是,把所有常用的系統管理工具放在 %systemroot% 以外的一個特殊目錄下,並以 ACL 限制它們,如此一來,僅系統管理員有這些檔案的完整存取權。移動 ACL 重要檔案是很重要的事, 因為駭客可能使用這些工具取得珍貴資訊以及從命令行啟動惡意的程式。這適用於工作站或伺服器。

例如,建立一個叫作 \tools 的目錄,然後將下列檔案放在該目錄下:
 

xcopy.exewscript.execscript.exenet.exeftp.exetelnet.exe
arp.exeedlin.exeping.exeroute.exeat.exefinger.exe
posix.exersh.exeatsvc.exeqbasic.exerunonce.exesyskey.exe
cacls.exeipconfig.exercp.exesecfixup.exenbtstat.exerdisk.exe
debug.exeregedt32.exeregedit.exeedit.comnetstat.exetracert.exe
nslookup.exerexec.execmd.exe


原則及稽核變更

任何安全策略的主要元件之一,是要確定伺服器及工作站的設定符合原則文件中的安全委員會所設定的原則。 下圖概述銀行的設定集。請參考本白皮書後面的〈群組原則〉一節的〈使用原則來套用安全設定〉, 以了解套用這些原則的建議方式。
 

帳戶
原則設定
對於系統管理活動及一般使用者活動使用個別的帳戶。設定於原則中。
重新命名系統管理員帳戶成為較不明顯的名稱。設定於原則中。
禁止來賓 (Guest) 寫入或刪除任何檔案、目錄或登錄機碼 (可留下資訊的目錄例外)。停用來賓。
設定伺服器未使用一段指定的時間之後自動鎖定。 使用 alt-ctrl-del 32 位元螢幕保護裝置配合「密碼保護」選項。登入螢幕保護裝置設定為五分鐘。

密碼
原則設定
最長密碼期限。設定為 30 天。
強制密碼唯一性。設定為五個唯一密碼。
密碼由數字、特殊字元及混合大小寫字母所組成。 (安裝的強化安全密碼選項 [請參閱 Q161990])。需要強制強化安全密碼
在第三次失敗嘗試之後鎖定帳戶。有六十分鐘來重設重試及帳戶存取。
長度至少八個字元。設定為八個字元。

使用者名稱原則設定
請勿使用公司名稱或應用程式名稱的一部份。原則。
使用者名稱長度至少八個字元。設定為八個。
在第三次失敗嘗試之後鎖定帳戶。設定於安全原則中。

Internet Information Server 檔案系統變更

銀行安全模型的另一個重要層面是,為所有 Web 元件建立一個安全的主機環境。根據從 Microsoft Security 網站取得的資訊, 銀行設定適當的虛擬目錄權限/Web 應用程式空間,設定適當的 IIS 記錄檔 ACL,啟用記錄機制, 及選擇停用或移除所有範例應用程式。

設定目錄權限/Web 應用程式空間

在設定適當的虛擬目錄權限/Web 應用程式空間時,控制 IIS 應用程式目錄是很重要的。 這視應用程式而定,但下列一般規則適用:
 

檔案類型
ACL
CGI etc .EXE、.DLL、.CMD、.PL每個人 (X)
系統管理員 (完全控制)
系統 (完全控制)
指令檔 .ASP 等每個人 (X)
系統管理員 (完全控制)
系統 (完全控制)
併入檔 .INC、.SHTML、.SHTM每個人 (X)
系統管理員 (完全控制)
系統 (完全控制)
Static 內容 .HTML、.GIF、.JPEG每個人 (R)
系統管理員 (完全控制)
系統 (完全控制)

這些設定會套用至任何執行網站的電腦。

不要在每一個檔案上設定 ACL,我們建議為每一個檔案類型設定新目錄,然後在該目錄上設定 ACL,並允許檔案繼承 ACL。例如,目錄結構如下:

c:\inetpub\wwwroot\myserver\static (.html)

C:\inetpub\wwwroot\myserver\include (.inc)

C:\inetpub\wwwroot\myserver\script (.asp)

c:\inetpub\wwwroot\myserver\executable (.dll)

c:\inetpub\wwwroot\myserver\images (.gif, .jpeg)

真正的 ACL 繼承是有安裝「安全性設定編輯器」的 Windows NT4 SP4 的一項特性。

而且,如果您使用 FTP 和 SMTP,則需要特別注意其目錄。

設定 IIS 記錄檔 ACL

若要防止惡意的使用者刪除檔案來遮蓋其行動歷程,請設定適當的 IIS 記錄檔 ACL。 我們建議在 IIS 產生的記錄檔上設定 ACL (%systemroot%\system32\LogFiles) 為:

  • 系統管理員 (完全控制)
  • 系統 (完全控制)

這些設定套用至任何執行網站的電腦。

啟用記錄設定

如果您想知道伺服器是否遭到攻擊,則記錄是最重要的。您應該載入 IIS MMC 嵌入管理單元, 來使用全球資訊網協會 (W3C) 的擴充記錄格式。然後:

  1. 在網站上按一下滑鼠右鍵。
  2. 按一下 [內容]。
  3. 選擇 [記錄 W3C 擴充記錄]。

同時,要記得在記錄檔的 [內容] 方塊中設定所有必要的一般內容及擴充內容。

這些設定套用至任何執行網站的電腦。

停用或移除所有範例應用程式

範例只是範例,絕對不可以安裝在生產伺服器上。這包括說明文件 (Software Development Kit [SDK] 文件包括範例程式碼)、 來自 SDK 的 Exploration Air 範例網站以及其他。以下是一部份範例的預設位置:
 

技術
位置
IISc:\inetpub\iissamples
IIS SDKc:\inetpub\iissamples\sdk
管理指令檔c:\inetpub\AdminScripts
資料存取c:\Program Files\Common Files\System\msadc\Samples

這些設定套用至任何執行網站的電腦。

使用原則來套用安全設定

建立和套用安全原則的目標,是要在 Windows 2000 Server 的網路周邊簡化和集中設定及管理安全的處理程序。使用組織單位是區分特定伺服器與其他伺服器 (例如,IIS 伺服器) 的特定安全需求的最佳方法。使用組織單位區分伺服器的特定安全需求來規劃原則結構很重要,因為一旦基礎結構進入生產階段,原則可能由於發生問題而需要取消或變更,而只有屬於該組織單位的伺服器會受到影響,網路周邊的其他伺服器不受影響。

原則階層及繼承

「群組原則」是依階層套用,從限制最少的容器群組 (本機群組) 到限制最多的容器群組 (組織單位)。在預設狀況下, 較低層的容器群組會繼承較高層的容器群組的「群組原則」。套用原則的順序, 從最小到最大依序為本機伺服器群組、網站群組、網域群組,然後是組織單位。銀行的實作,是對一般安全需求使用全網域原則, 對特定伺服器安全需求使用組織單位,它會覆寫預設本機伺服器群組原則。

網域原則

除了使用組織單位管理安全之外,實施的全網域原則將指派網路周邊所需的一般安全原則 (例如帳戶、稽核及使用者權限) 給所有伺服器。建立網域時,會建立預設網域原則。目標是「不要修改」預設原則,在網域原則之上建立新原則及連結它,將它置換為特定參數。只有定義於連結原則中的參數才會置換預設網域原則。如果有問題,則可停用置換原則,以確保預設網域原則重新取得控制權。

網域控制站原則

建立網域時,會為網域控制站建立個別的預設原則。需要套用特定安全原則來覆寫網域控制站預設原則。新的網域控制站原則將在預設網域控制站原則之上建立及連結,就像網域原則一樣。利用建立新的網域原則,萬一發生問題時,要取消覆寫會比較容易。取消覆寫原則將回復預設原則。

套用群組原則

當伺服器重新啟動時就會套用群組原則。在預設狀況下,Windows 2000 電腦的群組原則重新整理間隔為 90 分鐘。也可以在電腦上發出下列命令,立即套用群組原則至伺服器:

Secedit /refreshpolicy machine_policy

原則設計及實作

修改電腦安全設定的群組原則分成幾個區段:

    帳戶原則區段

    • 密碼原則
    • 帳戶鎖定原則
    • Kerberose 原則

    本機原則區段

    • 稽核原則
    • 使用者權限原則
    • 安全選項原則
  • 系統服務原則

為銀行設定的網域原則修改了「帳戶原則」及「稽核原則」,這些原則被網路周邊的所有伺服器所共用。此外,針對每一個特定伺服器類別而建立的每一個組織單位,對其設定及套用「安全選項原則」及「系統服務」。有關登錄的其他修改也可新增及內嵌於為組織單位建立的安全範本中,例如對於 IIS Server 的 TCP/IP 參數的加強。下列步驟是用來建立及實作銀行的安全原則:

  1. 了解並記錄預設本機及網域原則。
  2. 建立組織單位來區分不同伺服器類別的群組原則。
  3. 建立組織單位中所定義的每一個伺服器群組的特定安全範本或 inf 檔。
  4. 將安全範本安裝至新建的「群組原則」。
  5. 建立及安裝「網域控制站」的安全範本。
  6. 建立及安裝「網域群組原則」的安全範本。

記錄預設本機及網域原則

開始建立網域時,會建立含有預設設定的網域原則及網域控制站原則。對網路周邊套用原則的變更之前,需要檢閱及記錄成員伺服器和網域控制站的現行預設原則設定。請參閱〈附錄〉以取得關於預設網域原則的詳細資料。

在 AD 為每一個伺服器類別建立組織單位

個別的組織單位簡化部署「群組原則」的處理,以便將自訂的安全範本套用至每一個伺服器類別。在預設狀況下,網域控制站是在個別的組織單位中。我們根據網路周邊的不同伺服器類別,為銀行建立了四個組織單位。以下是所建立的組織單位名稱以及對每一個組織單位套用的安全之摘要說明:

IIS 伺服器。這些伺服器需要套用最嚴謹的安全原則,因為它們位於網路周邊的前線。為 IIS 伺服器建立的安全模型可加強安全原則。這包括加強 TCP/IP 堆疊、停用不需要的服務,以及加強限制來置換群組原則的預設安全選項。請參閱本節最後的 IIS 範本。

FTP 伺服器。 套用與 IIS 伺服器相同的安全模型外加啟用 FTP。請參閱本節最後的 IIS 範本。

LDAP 伺服器。 對 IIS 建立的相同安全原則套用至 LDAP 伺服器,且停用相同服務。不套用加強的 TCP/IP 參數。

為每一個伺服器類別建立自訂的安全範本

每一個伺服器類型授權給不同的安全設定。雖然差別不大,但是為每一個伺服器類型建立不同範本可達到最佳的自動化管理。我們為銀行的每一個伺服器類別建立了下列範本。這些範本儲存在網路周邊的網域控制站。

  • Bank IIS.inf,將安裝在「IIS 伺服器」組織單位中
  • Bank FTP.inf,將安裝在「FTP 伺服器」組織單位中
  • Bank LDAP.inf,將安裝在「LDAP 伺服器」組織單位中
  • Bank SQL.inf,將安裝在「SQL 伺服器」組織單位中
  • Bank Domain.inf,將安裝在「網域」容器內
  • Bank Domain Controller.inf,安裝在「網域控制站」組織單位中

若要檢閱或修改範本,請開啟 [安全範本] MMC 嵌入式管理單元,展開預設 Templates 目錄 (它位於 %systemroot%\security\templates 之下),並選取上述其中一個範本來檢視其現行設定。若要變更,連按兩下範本內的其中一個原則,然後作適當的變更。若要儲存範本,在範本名稱上按一下滑鼠右鍵 (例如,Bank IIS.INF),然後按一下 [儲存] 來取代設定,或按一下 [另新存檔] 來建立要測試的新範本。

在每一個組織單位容器中安裝「群組原則」

一旦建立了安全範本,就可以為每一個組織單位建立新的「群組原則」,然後安全範本 (inf 檔) 就可以匯入到新建的原則中。若要完成此動作,請開啟 [Active Directory 使用者和電腦],然後尋找要在其中建立此原則的組織單位。

  1. 選取要變更的組織單位,並按一下 [內容]。
  2. 按一下 [群組原則] 索引標籤。
  3. 按一下 [新增],然後為新原則輸入一個有意義的名稱。
  4. 按一下 [關閉]。
  5. 選取新原則,然後按一下 [編輯]。
  6. 在 Windows [設定] 下,按一下 [安全設定] 資料夾上的 [內容]。
  7. 選取 [匯入原則],然後匯入在前一個步驟所建立的安全範本。
  8. 選取 [匯入前清除這個資料庫] 方塊。
  9. 按一下 [關閉]。

現在建立了原則並以正確範本載入。現在電腦可以移至組織單位並套用該原則。請遵循同一組步驟來安裝「網域控制站」及「網域原則」。

原則範本

下列參數及值是該銀行環境中有加入該網域的所有伺服器及工作站的預設網域設定。網域控制站原則只修改網域控制站的使用者權限原則。網域原則只修改已加入該網域的所有伺服器的帳戶原則。

帳戶原則 – 密碼原則
強制執行密碼歷程記錄0
最短密碼期限42
密碼最短使用期限0
密碼必須符合複雜性需求停用
使用可回復加密來儲存網域中所有使用者的密碼停用
帳戶原則 – 帳戶鎖定原則
帳戶鎖定期限0
帳戶鎖定閾值0
重設帳戶鎖定計數器的時間間隔30
帳戶原則 – Kerberose 原則
強制執行使用者登入限制啟用
服務票證最長存留期600 分鐘
使用者票證最長存留期10 小時
使用者票證續訂的最長存留期7 天
電腦時鐘同步處理的最大容錯性5 分鐘
本機原則 – 稽核原則
帳戶登入事件沒有稽核
帳戶管理沒有稽核
目錄服務沒有稽核
登入事件沒有稽核
物件存取沒有稽核
原則變更沒有稽核
專用權使用沒有稽核
程序追蹤沒有稽核
系統事件沒有稽核
本機原則 – 應用程式事件日誌記錄
應用程式事件日誌記錄 – MaximumLogSize未定義
應用程式事件日誌記錄 – AuditLogRetentionPeriod未定義
應用程式事件日誌記錄 – RestrictGuestAccess未定義
本機原則 – 安全事件日誌記錄
應用程式事件日誌記錄 – MaximumLogSize未定義
應用程式事件日誌記錄 – AuditLogRetentionPeriod未定義
應用程式事件日誌記錄 – RestrictGuestAccess未定義
本機原則 – 系統事件日誌記錄

應用程式事件日誌記錄 – MaximumLogSize未定義
應用程式事件日誌記錄 – RestrictGuestAccess未定義
使用者權限 - 從預設的網域控制站原則建立
從網路存取這台電腦Admins、BK Ops、Power Users、Users、Everyone、IUSRs
扮演作業系統的一部份LocalSystem
新增工作站至網域Authenticated Users
備份檔案及目錄Admins、BK Ops
略過周遊檢查Admins、BK Ops、Power Users、Users、Everyone、IUSRs
變更系統時間Admins、Svr Ops
建立分頁檔Admins
建立記號物件LocalSystem
建立永久共用物件LocalSystem
偵錯程式Admins、Local System
拒絕從網路存取這台電腦無人被拒絕
拒絕以批次工作登入無人被拒絕
拒絕以服務方式登入無人被拒絕
拒絕本機登入無人被拒絕
讓電腦及使用者帳戶受信任可以委派

強制從遠端系統關機Admins, Svr Ops
產生安全性稽核Local System
增加配額Admins
增加排程優先順序 Admins
載入及卸載裝置驅動程式Admins
鎖定記憶體分頁原則已廢除
以批次工作登入LocalSystem
以服務方式登入沒有帳戶有使用權限
本機登入Admins、BK Ops、Power Users、Users、ISInternet User
管理稽核及安全性記錄Admins
修改韌體環境值Admins、LocalSystem
設定檔單一處理程序Admins、LocalSystem
設定檔系統效能Admins、LocalSystem
從銜接站移除電腦Admins、Power Users、Users
取代處理層級記號LocalSystem
還原檔案及目錄Admins、BK Ops、Svr Ops
關閉系統Admins、BK Ops、Svr Ops
同步處理目錄服務資料目前,未使用
取得檔案或其他物件的擁有權Admins
安全選項
匿名連線的其他限制無。仰賴預設權限
允許伺服器操作員排定工作 (僅限 DC)未定義
允許系統關機而不必登入停用
允許退出抽取式 NTFS 媒體系統管理員
切斷工作階段之前所需的閒置時間量15 分鐘
稽核通用系統物件的存取停用
稽核備份及還原專用權的使用啟用
當登入時間到期時自動登出使用者 (本機)啟用
當系統關機時清除虛擬記憶體分頁檔案停用
用戶端通訊加以數位簽名 (一律使用)啟用
用戶端通訊加以數位簽名 (可能的話)啟用
伺服器通訊加以數位簽名 (一律使用)啟用
伺服器通訊加以數位簽名 (可能的話)啟用
登入時不需要按 CTRL+ALT+DEL停用
勿在登入畫面上顯示最後一個使用者名稱啟用
LAN Manager 驗證層級傳送 LM & NTLM 回應
給嘗試登入使用者的訊息文字

給嘗試登入使用者的訊息標題

先前的登入快取次數10 次登入
防止系統維護電腦帳戶密碼停用
防止使用者安裝印表機驅動程式啟用
在密碼過期前提示使用者變更密碼14 天
修復主控台:允許自動系統管理登入停用
修復主控台:允許軟碟複製以及存取磁碟機和資料夾停用
重新命名系統管理員帳戶未定義
重新命名來賓帳戶未定義
CD-ROM 存取只限於使用本機登入的使用者啟用
軟碟存取只限於使用本機登入的使用者

啟用

安全通道:安全通道資料加以數位加密或簽章 (一律使用)停用
安全通道:安全通道資料加以數位加密 (可能的話)啟用
安全通道:安全通道資料加以數位簽名 (可能的話)啟用
安全通道:需要強的 (Windows 2000 或更新版本) 工作階段機碼停用
傳送未加密的密碼來連接協力廠商的 SMB 伺服器
停用
當無法記錄安全性稽核時,系統立即關機停用
智慧卡移除行為沒有動作
加強通用系統物件的預設權限啟用
未簽署的驅動程式安裝行為未定義
未簽署的非驅動程式安裝行為未定義

IIS 群組原則安全設定

下一步是建立及套用 Web 安全範本至在周邊網域中代表範例 Web 伺服器的組織單位。建立的安全範本 (Bank Secweb.INF) 包含下表中的所有參數,並使用 MMC 嵌入式管理單元安全設定及分析工具加以套用。此範本是 Microsoft IIS 安全小組提供的 highsecweb.inf 檔的自訂版本。下列參數及其相關值是針對該銀行的網路周邊伺服器而套用至組織單位的本機原則的現行設定。
 

安全選項
匿名連線的其他限制無。根據預設權限
允許伺服器操作員排定工作 (僅限 DC)未定義
允許系統關機而不必登入停用
允許退出抽取式 NTFS 媒體系統管理員
切斷工作階段之前所需的閒置時間量15 分鐘
稽核通用系統物件的存取停用
稽核備份及還原專用權的使用啟用
當登入時間到期時自動登出使用者 (本機)啟用
當系統關機時清除虛擬記憶體分頁檔案停用
用戶端通訊加以數位簽名 (一律使用)停用
用戶端通訊加以數位簽名 (可能的話)啟用
伺服器通訊加以數位簽名 (一律使用)停用
伺服器通訊加以數位簽名 (可能的話)啟用
登入不需要按 CTRL+ALT+DEL停用
勿在登入畫面上顯示最後一個使用者名稱啟用
LAN Manager 驗證層級僅傳送 NTLMv2 回應
給嘗試登入使用者的訊息文字未經授權的存取訊息
給嘗試登入使用者的訊息標題重要須知!!
先前的登入快取次數10 次登入
防止系統維護電腦帳戶密碼停用
防止使用者安裝印表機驅動程式啟用
在密碼過期前提示使用者變更密碼14 天
修復主控台:允許自動系統管理登入停用
修復主控台:允許軟碟複製以及存取磁碟機和資料夾停用
重新命名系統管理員帳戶未定義
重新命名來賓帳戶訪客
CD-ROM 存取只限於使用本機登入的使用者啟用
軟碟存取只限於使用本機登入的使用者啟用
安全通道:安全通道資料加以數位加密或簽章 (一律使用)啟用
安全通道:安全通道資料加以數位加密 (可能的話)啟用
安全通道:安全通道資料加以數位簽名 (可能的話)啟用
安全通道:需要強的 (Windows 2000 或更新版本) 工作階段機碼啟用
傳送未加密的密碼來連接協力廠商的 SMB 伺服器停用
當無法記錄安全性稽核時,系統立即關機停用
智慧卡移除行為沒有動作
加強通用系統物件的預設權限啟用
未簽署的驅動程式安裝行為警告但允許安裝
未簽署的非驅動程式安裝行為警告但允許安裝

所獲經驗

在套用這些原則時我們所獲得的一些經驗包括:

  • 如果列印多工緩衝處理器停用,則 WinMgmt (WMI) 將在應用程式事件日誌記錄中產生事件 id 37-錯誤訊息。
  • 如果啟用了 [伺服器通訊加以數位簽名 (可能的話)],則 Netlogon 服務將在事件日誌記錄中產生錯誤訊息,說它找不到網域控制站。在網域的任何伺服器上實施之前,安全通道設定必須先套用至網域控制站。
  • 若要從遠端安裝 BackupExec 代理程式至網域中的伺服器,在安裝之前必須先啟動伺服器上的 Remote Registry Service。這項服務已停用,此為安全性鎖定處理程序的一部份。同時,在安裝之前,必須先在伺服器上建立 C$ 共用。
  • 開發指令檔或安全範本,來自動停用非必要的服務。此外,把作業系統從 NT4.0 升級到 Windows 2000 會重新啟用在安全鎖定期間停用的某些服務。

安全工具

既然我們已概述 Windows 2000 安全模型,而且也了解如何保護基礎結構,下一個重要步驟就是要充份了解公司如何主動偵測安全性的曝露或漏洞。由於專案的安全最重要,因此需要採取這些措施,以確保能夠抵抗可能的入侵者。

為了符合已定義的安全原則,需要採取許多步驟。驗證安全性原則設定的處理程序非常繁瑣,因為要涵蓋的區域很多。有幾個可用的安全性工具,可用來簡化此處理程序。這些工具的功能很廣泛,從連接埠掃描器 (低階工具) 到全面的安全性掃描器都有。以下是這些工具通常隸屬的類別之清單:

  • 弱點掃描器及/或連接埠掃描器
  • 檔案系統檢查程式
  • 事件日誌記錄分析程式
  • 登錄分析程式
  • 存取控制 (ACL) 分析程式
  • 封包探測程式
  • 密碼破解程式
  • 整體安全掃描器

若要進一步了解這些安全工具,就必須了解它們的功能。我們將更深入說明每一個類別,以便了解它們的功能及設定值。

弱點掃描器及/或連接埠掃描器

在 Windows 2000 上的每一個網路服務通常會監聽特定的連接埠 (已知連接埠) 來服務用戶端要求。Web 伺服器使用連接埠 80,SSL 通訊則使用連接埠 443。「已知連接埠」清單列舉所有已保留的連接埠及它們提供的服務。在我們的銀行專案中,在遠端產品上掃描連接埠的能力會讓駭客猜到進入銀行系統的可能入口。連接埠掃描器通常是駭客用來識別目標連接埠的第一組工具。因此,一定要使用此類工具來了解目前已開啟和關閉的連接埠設定。

檔案系統檢查程式

掃描系統在系統層級上是否有異常的另一組主動工具是來自 Pedestal Software 的 Intact。Intact 會先掃描電腦,然後建立系統檔案的資料庫—此為系統在已知安全狀態下的 CD 快照 (Snapshot)。使用者可以非常精確地設定軟體,指定個別檔案及目錄來監視每一台電腦,或者為企業環境中的每一台電腦建立標準範本。一旦建立此基準資料庫之後,系統管理員就可以部署 Intact 軟體,以便隨時檢查系統的完整性。掃描目前的系統,並將該資訊與儲存在資料庫中的資料作比較之後,Intact 會偵測及報告是否對該系統有超出指定範圍以外的任何新增、刪除或變更。如果這些變更有效,系統管理員可以用新的資訊來更新基準資料庫。如果發現惡意的變更,系統管理員會「立即」知道網路有哪些元件的哪些部份受到影響。(http://www.pedestalsoftware.com/)。

事件日誌記錄分析程式

當安全原則就緒後,事件日誌記錄就會變成珍貴稽核資訊的存放庫。很可惜,除非有人檢閱此存放庫的內容,否則它毫無用處。事件日誌記錄方面有一些難題,最明顯的主要難題就是它的發佈問題。公司必須在伺服器群組中查看每一個伺服器才能識別及提出任何安全議題。將所有記錄轉送至單一的存放庫 (例如資料庫),可簡化檢閱這些記錄的處理程序,以我們的銀行專案為例,這樣也可以讓銀行發現多個產品上的可疑活動之間的時間關聯。

有兩個工具可用來匯出記錄以進行合併:

登錄分析程式

Windows NT 登錄的功能就像所有設定及安全資訊的中央存放庫一樣。監視它是否有任何可疑活動非常重要。像 SomarSoft 的 DumpReg 這樣的工具可用來追蹤登錄變更及監視惡意活動。SomarSoft 的 RegMon 公用程式可幫助您了解不同應用程式如何使用登錄。相關資訊,請參閱下列網站:

存取控制分析程式

監視存取控制清單 (ACL) 也很重要。所有 Windows 安全都一律拿 ACL 來作為最後一道防禦線。假設所有檔案及目錄都有個自的 ACL,則要監視的資訊還真不少。為了有效率地完成這些工作,公司可以使用下列工具:

封包探測程式

封包探測功能能夠檢視實際的網路活動。即使駭客能夠有技巧地刪除其活動的歷程,也會即時記錄網路歷程,且無法加以竄改。使用此工具來捕捉可疑活動需要很大的技巧。此種工具有許多來源。「網路監視器 (Network Monitor)」是 Windows 的標準配備 (請注意,標準工具限於查看它自己的網路卡與其餘網路之間的流量)。為取得能夠探測所有流量的版本,您必須使用 Systems Management Sever 附帶的工具版本。另一個解決方案是使用來自 Network Associates 的 Total Network Visibility 產品。

密碼破解程式

現在有一些工具可讓駭客破解 Windows NT 密碼。或許最常用的就是一個叫作 L0phtCrack 的工具,它來自 L0pht Heavy Industries。此工具能夠使用字典攻擊,即試圖用字典中的每一個字來猜出密碼。它也可以使用一種沒有理性的強制攻擊。這種攻擊會嘗試將所有您提供給它的字元組合起來以找出相符者。L0phtCrack 有能力找出相符密碼來因應從網路探測的或使用本機登錄的驗證要求,因此,它是我們應強化安全密碼原則的一大理由。我們使用本文件中概述的安全措施來防止在銀行網站上使用 L0phtCrack。如需 L0phtCrack 的相關資訊,請造訪 http://www.l0pht.com

整體安全掃描器

以上提及的所有工具類別雖然可協助建立安全網路,但它們不允許公司系統管理員追蹤多個安全曝露、主動監視公司網站及測試公司伺服器,以確定它們符合安全模型。所幸協力廠商了解這項需求而建立了一組工具,可用來掃描及監視公司系統是否符合安全標準或遭到入侵。這些工具使安全防護變得比較簡易可行,也使它們成為系統管理員要在整個網路上衍生及強制施行安全原則時的第一選擇。

部份此類工具包括 Internet Security Systems 的 Internet Security Scanner (ISS) 及 Internet Security Systems 的 Database Scanner (DBScanner)。ISS 可執行系統掃描來驗證公司的安全設定。它提供一個完整掃描一個報告建立工具,按嚴重性詳述安全議題,並概述可能的解決方案。此工具可對目標伺服器執行「模擬」攻擊,以驗證安全鎖定程序的加強執行情況。ISS 也提供即時監視產品來偵測任何安全漏洞,並警示管理人員有關入侵類型以及為了要堵塞漏洞所應採取的步驟。如需 ISS 的相關資訊,請造訪 http://www.iss.net

Internet Security Systems 的 DBScanner 評估資料庫的安全設定。它執行密碼攻擊並提供使公司資料庫更安全的建議。切記,如果資料庫儲存重要資訊,則必須將它併入作為安全模型的一部份。如需 DBScanner 的相關資訊,請造訪 http://www.iss.net

具有類似功能的協力廠商工具包括:

IIS 監視工具

我們測試過下列清單中的工具,讓銀行能夠主動監視其網站的健全狀態。這些工具提供的監視層級及類型各不相同。我們也建議銀行下載這些工具並在實驗室測試它們。

  • 可監視事件、服務、網路裝置、效能計數器、ASCII 記錄、應用程式及安全參數的 NT Systems Management 軟體 (http://www.logcaster.com)。
  • 來自 NetIQ 的全功能工具,它使 Windows NT 和 Windows 2000 系統的效能及可用性達到最佳化 (http://www.netiq.com)。

一般來說,上述大部份工具均可讓公司有能力符合其安全原則所指出的要求。以我們的銀行專案為例,銀行會分析每一個伺服器,並對目前的承諾狀態快速提供回饋。 此外,這些工具也可以用來簡化稽核處理程序、執行模擬攻擊、監視網站及檢查所有伺服器的目前修補程式層級。

設計容錯解決方案

設計元件

在我們的銀行專案中,該銀行的容錯策略與 Windows DNA 說明文件中所建議之結構是一致的。基本上,該銀行組建一個三層級結構,每一層級都包括備援。下圖概述此設計的主要元件。

DATAVA06.GIF

防火牆結構


該銀行的所有低階網路元件的標準是 Cisco。因此,容錯的起始層級包括兩個 PIX 防火牆作為網際網路及公司網路的進入點。使用「PIX 防火牆容錯轉移選項」,專案小組排除了網際網路及公司後端網路的單一失敗點。基本上,當兩個 PIX 防火牆並列執行時,如果其中一個故障,第二個 PIX 防火牆便可無礙障地接手執行。請記住,這第二個防火牆是一個待命的緊急失敗替換,不提供任何層級的負載平衡。

Web Farm 及 Cisco Local Director

銀行結構的主要需求是建立備援 Web 伺服器群組的能力,這些伺服器會被負載平衡,但仍有能力管理狀態。同樣,依據銀行的 Cisco 標準來實施 Local Director 產品。Cisco System 的 Local Director 讓小組能夠達到高可用性及延展性,同時仍能夠使多個伺服器上的 TCP/IP 流量負載平衡。Local Director 產品也會管理狀態,並方便小組管理交易型處理程序。在容錯方面,Local Director 具有緊急待命容錯轉移機制,避免成為伺服器群組的單一失敗點。Local Director 讓伺服器能夠從伺服器群組中無障礙地移除,而達到它的 Web 伺服器備援及延展性需求。同時,Cisco 還提供數字,概述產品在一些高流量網際網路網站上的效能因素。

NLBS LDAP Farm

第二層利用「網路負載平衡服務」(Network Load Balancing Service, NLBS) 來達到負載平衡,以及提供 Lightweight Directory Access Protocol (LDAP) 伺服器的備援。這會模擬一家線上銀行分公司。在此情況下,所有重要元件都必須在伺服器失敗時還仍然能夠運作。網站的所有使用者都需要建立線上帳戶,它將儲存在 LDAP 伺服器群組中的成員資料庫中。因此,結構中的這個元件一定要隨時可用。這個問題已利用 Windows 2000 內建的 NLBS 建立最多 32 個伺服器的伺服器群組或叢集,以及在該群組中的所有伺服器上分散 Web 流量,而獲得解決。銀行可使用 NLBS 來處理 LDAP 伺服器群組上的多個要求,使可用的資源達到最佳運用。銀行範例顯示客戶如何結合 Microsoft 及其他廠商的技術 (Cisco PIX 及 LocalDirector) 來組建能夠因應目前及未來需要而擴充的 Web 伺服陣列。

安全及 SQL 叢集

當銀行的小組建立其安全模型時,資料庫就是「系統御寶」。換句話說,一位惡意使用者對資料庫的任何直接存取都將被嚴格禁止。要達到此目的,請將伺服器置於內部防火牆後面的個別網路區段 (請參考上圖)。這樣可讓銀行使用防火牆安全技術及原則來控制往返於 LDAP 伺服器的所有流量。例如,銀行使用存取篩選、位址隱藏、IPSec 及可以設定狀況的檢查來建立一個周邊安全模型,以控制及加密從周邊網路到 SQL 叢集的主電腦通訊。有關如何建立防火牆安全原則的詳細描述,請參閱
http://www.cisco.com/univercd/cc/td/doc/product/ismg/security/tutorial/defpol.htm

後端 SQL 叢集是由兩個伺服器所組成,每一個各有兩個 NIC (一個給私人網路使用,一個給活動訊號使用),它們位於防火牆後面。銀行以主動對主動模式設定此叢集。 換句話說,兩伺服器均提供服務,而非一個伺服器提供所有服務,另一個緊急待命 (主動對被動模式)。後端叢集只提供單一服務,即對 SQL 資料庫的存取,而且受到嚴格管制。

此設定滿足銀行對資料庫元件的嚴格安全容錯結構的需求。例如,如果第一個伺服器發生硬體故障,那麼叢集中的另一個伺服器會立刻接管當機伺服器的服務。伺服器故障不會造成任何銀行服務中斷。當硬體問題解決之後,伺服器可立即回到線上,並重新加入叢集中。另一個在叢集上實施的容錯層級 (就所有伺服器而言) 是 RAID 5 磁碟陣列。如果磁碟機故障,可在不中斷 Web 銀行服務的情況下更換磁碟機。

同時,銀行使用 EMC Symmetrix Enterprise Storage 系統,它連接到兩個叢集式 IBM Netfinity Windows 2000 伺服器。Microsoft Cluster Server (MSCS) 及 EMC 的 Symmetrix Remote Data Facility (SRDF) 軟體這兩者的組合提供該小組最高層級的重要任務資訊保護及可用性。

附錄 A:解釋使用者權限 (來自 Resource Kit)

保護進階使用者權限—Windows 2000 Server (來自 Resource Kit)

使用者權限
登錄機碼及描述 (Resource Kit)
從網路存取這台電腦

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定哪些使用者及群組可以透過網路連接到電腦。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
對每一個平台均擁有此權限的預設群組是:
‧ 工作站及伺服器
‧ 系統管理員
‧ 備份操作員
‧ 進階使用者
‧ 使用者
‧ 每個人
‧ 網域控制站
‧ 系統管理員
‧ 已驗證的使用者
‧ 每個人

扮演作業系統的一部份

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
此原則允許處理程序驗證為任何使用者,而取得和任何使用者一樣的資源存取權。僅低階驗證服務才需要此專用權。
可能的存取權不限於在預設狀況下與該使用者相關的存取權,因為呼叫處理程序可能要求在存取記號中放置另一個任意存取權。更重要的是,呼叫處理程序可組建一個匿名記號來提供任何及全部存取權。另外,匿名記號不提供主要身分識別來追蹤稽核記錄中的事件。
需要此專用權的處理程序應該使用 LocalSystem 帳戶,它已包括此專用權,而不要使用特別指派此專用權的個別使用者帳戶。
在預設狀況下,僅 LocalSystem 帳戶有專用權作為作業系統的一部份。

備份檔案及目錄

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定哪些使用者可以因為備份系統的目的而規避檔案及目錄權限。
具體而言,專用權類似授與下列權限給要求該系統上所有檔案和資料夾的使用者或群組:
‧ 周遊資料夾/執行檔案
‧ 列出資料夾/讀取資料
‧ 讀取屬性
‧ 讀取擴充屬性
‧ 讀取權限
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
對每一個平台均擁有此權限的預設群組是:
‧ 工作站及伺服器
‧ 系統管理員
‧ 備份操作員
‧ 網域控制站
‧ 系統管理員
‧ 備份操作員

略過周遊檢查

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定哪些使用者可以周遊樹狀目錄,即使該使用者對所周遊的目錄沒有權限也可以。此專用權不允許使用者列出目錄內容,僅允許周遊目錄。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
對每一個平台均擁有此權限的預設群組是:
‧ 工作站及伺服器
‧ 系統管理員
‧ 備份操作員
‧ 進階使用者
‧ 使用者
‧ 每個人
‧ 網域控制站
‧ 系統管理員
‧ 已驗證的使用者
‧ 每個人

變更系統時間

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定哪些使用者及群組可變更電腦內部時鐘的時間和日期。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
對每一個平台均擁有此權限的預設群組是:
‧ 工作站及伺服器
‧ 系統管理員
‧ 進階使用者
‧ 網域控制站
‧ 系統管理員
‧ 伺服器操作員

建立分頁檔

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定哪些使用者及群組可以建立及變更分頁檔的大小。藉由在 [系統內容效能選項] 中指定某給定磁碟機的分頁檔大小來完成建立分頁檔。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
預設值是讓系統管理員有建立分頁檔的能力。

建立記號

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定處理程序可使用哪些帳戶來建立記號,當處理程序使用 NtCreateToken() 或其他建立記號的 API 時,這些記號可用來取得任何本機資源的存取權。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
建議需要此專用權的處理程序使用 LocalSystem 帳戶,它已包括此專用權,而不要使用特別指派此專用權的個別使用者帳戶。

除錯程式

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定哪些使用者可將除錯程式連接到任何處理程序。此專用權提供對機密和重要作業系統元件的強大存取權。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
在預設狀況下,僅系統管理員及 LocalSystem 帳戶具有除錯程式的專用權。

拒絕從網路存取這台電腦

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定哪些使用者不得從網路存取電腦。如果使用者帳戶受兩原則支配,則此原則設定會取代 [從網路存取這台電腦] 原則設定。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
在預設狀況下,僅 LocalSystem 帳戶有專用權供處理程序用來產生安全性稽核。

拒絕以批次工作登入

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定哪些帳戶不得以批次工作登入。如果使用者帳戶受兩原則支配,則此原則設定取代 [以批次工作登入] 原則設定。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
在預設狀況下,沒有使用者被拒絕以批次工作登入。

拒絕以服務方式登入

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定哪些服務帳戶不得以服務登錄某處理程序。如果帳戶受兩原則支配,則此原則設定會取代 [以服務方式登入] 原則設定。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
在預設狀況下,沒有帳戶被拒絕以服務登入。

拒絕本機登入

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定哪些使用者不得在電腦上登入。如果帳戶受兩原則支配,則此原則設定會取代 [本機登入] 原則設定。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
在預設狀況下,沒有帳戶被拒絕本機登入。

讓電腦及使用者帳戶受信任

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定哪些使用者可對使用者或電腦物件設定 [受信任可以委派] 選項。
被授與此專用權的使用者或物件必須對使用者或電腦物件上的帳戶控制旗標具有寫入權。在電腦上執行的伺服器處理程序 (或依據使用者上下文) 已受信任可以委派,因此,只要用戶端的帳戶沒有設定 [無法委派帳戶] 帳戶控制旗標,就可以使用用戶端的委派認證來存取另一台電腦上的資源。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
對每一個平台均擁有此權限的預設群組是:
‧ 工作站及伺服器
‧ (無)
‧ 網域控制站
‧ 系統管理員
誤用此專用權或 [受信任可以委派] 設定會使網路容易遭受複雜攻擊,這些攻擊使用特洛伊木馬程式模擬傳入用戶端及使用其認證取得網路資源的存取權。

強制從遠端系統關機

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定哪些使用者可以從網路上的遠端位置關機。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
對每一個平台均擁有此權限的預設群組是:
‧ 工作站及伺服器
‧ 系統管理員
‧ 網域控制站
‧ 系統管理員
‧ 伺服器操作員

產生安全性稽核

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定處理程序可使用哪些帳戶來新增項目至安全記錄中。安全記錄是用來追蹤未經授權的系統存取。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
在預設狀況下,僅 LocalSystem 帳戶有專用權供處理程序用來產生安全性稽核。

增加配額

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定哪些帳戶可使用對另一個處理程序具有 [寫入屬性] 存取權的處理程序,來增加已指派給另一個處理程序的處理器配額。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
對每一個平台均擁有此權限的預設群組是:
‧ 工作站及伺服器
‧ 系統管理員
‧ 網域控制站
‧ 系統管理員
此專用權對系統調整很有幫助,但可能會在拒絕服務攻擊中被濫用。

增加排程優先順序

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定哪些帳戶可使用對另一個處理程序具有 [寫入屬性] 存取權的處理程序,來增加已指派給另一個處理程序的執行優先順序。具有此專用權的使用者可以透過 [工作管理員] 使用者介面來變更處理程序的排程優先順序。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
對每一個平台均擁有此權限的預設群組是:
‧ 工作站及伺服器
‧ 系統管理員
‧ 網域控制站
‧ 系統管理員

載入及卸載裝置驅動程式

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定哪些使用者可以動態載入及卸載裝置驅動程式。此專用權是安裝隨插即用裝置的驅動程式所必需的。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
對每一個平台均擁有此權限的預設群組是:
‧ 工作站及伺服器
‧ 系統管理員
‧ 網域控制站
‧ 系統管理員

鎖定記憶體分頁

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
此專用權太過老舊,因此不會選取。
此原則決定哪些帳戶可使用處理程序將資料保留在實體記憶體中,以防止系統將資料傳至磁碟上的虛擬記憶體。運用此專用權會大大影響系統效能。

以批次工作登入

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
允許使用者利用批次佇列機能登入。
例如,當使用者利用工作排程器提出工作時,工作排程式會記錄該使用者為批次使用者而非互動使用者。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
在預設狀況下,僅 LocalSystem 帳戶具有專用權以批次工作登入。
另請參閱 [拒絕以批次工作登入] 原則。
在 Windows 2000 的初始版次中,工作排程器會在必要時自動授與此權限。

以服務方式登入

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定哪些服務帳戶可以將處理程序登錄為服務。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
在預設狀況下,沒有帳戶具有專用權以服務登入。

登入
本機

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定哪些使用者可以在電腦上登入。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
對每一個平台均擁有此權限的預設群組是:
‧ 工作站及伺服器
‧ 系統管理員
‧ 備份操作員
‧ 進階使用者
‧ 使用者
‧ 來賓
‧ 網域控制站
‧ 帳戶操作員
‧ 系統管理員
‧ 備份操作員
‧ 列印操作員
若要允許使用者在本機登入網域控制站,您必須經由 [預設網域控制站群組原則] 物件授與此權限。

管理稽核及安全記錄

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定哪些使用者可指定物件存取稽核選項給個別資源,如檔案、Active Directory 物件及登錄機碼。
具有此權限的使用者可以使用安全權限設定編輯器的 [內容] 對話方塊中的 [安全] 索引標籤,指定所選定物件的稽核選項。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
在預設狀況下,僅系統管理員有專用權來管理稽核及安全記錄。
一般而言,此原則不允許使用者指定啟用檔案和物件存取稽核。若要進行此類稽核,必須設定 [稽核原則] 下的稽核物件存取設定。

設定檔單一處理程序

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定哪些使用者可使用 Windows NT 及 Windows 2000 效能監視工具來監視非系統處理程序的效能。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
在預設狀況下,僅系統管理員及 LocalSystem 帳戶具有設定單一非系統處理程序的專用權。

設定檔系統效能

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定哪些使用者可使用 Windows NT 及 Windows 2000 效能監視工具來監視系統處理程序的效能。此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
在預設狀況下,僅系統管理員及 LocalSystem 帳戶具有設定單一非系統處理程序的專用權。

從銜接站移除電腦

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定哪些使用者可以從銜接站卸除筆記型電腦。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
在伺服器及工作站上,系統管理員、進階使用者及使用者有權限在包含 Windows 2000「全新安裝」的電腦上 (亦即,它們不是從舊版 Windows 升級) 從銜接站移除膝上型電腦。如果您將電腦的作業系統從 Windows NT 升級至 Windows 2000,則從銜接站移除筆記型電腦的這個權限必須明確地授與適當群組或使用者。

取代處理層級記號

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定哪些使用者帳戶可起始處理程序來取代與已啟用的子處理有關聯的預設記號。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
在預設狀況下,僅 LocalSystem 帳戶具有此專用權。

還原檔案及目錄

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定哪些使用者在還原備份檔案及目錄時可以規避檔案及目錄權限,以及哪些使用者可以作為物件的擁有者來設定任何有效的安全原則。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
對每一個平台均擁有此權限的預設群組是:
‧ 工作站及伺服器
‧ 系統管理員
‧ 備份操作員
‧ 網域控制站
‧ 系統管理員
‧ 備份操作員
‧ 伺服器操作員

關閉系統

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定哪些在本機登入電腦的使用者可以使用 Shut Down 命令關閉作業系統。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
對每一個平台均擁有此權限的預設群組是:
‧ 工作站及伺服器
‧ 系統管理員
‧ 備份操作員
‧ 進階使用者
‧ 使用者
‧ 網域控制站
‧ 帳戶操作員
‧ 系統管理員
‧ 備份操作員
‧ 伺服器操作員
‧ 列印操作員

同步處理目錄服務資料

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
Windows 2000 的初始版次沒有使用此原則設定。

取得檔案及其他目錄的擁有權

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
決定哪些使用者可取得系統上任何受保護物件的擁有權,包括 Active Directory 物件、檔案及資料夾、印表機、登錄機碼、處理程序及執行緒。
此使用者權限是定義在「預設網域控制站群組原則」物件及工作站和伺服器的本機安全原則中。
在預設狀況下,僅系統管理員有專用權可取得檔案或其他物件的擁有權。


附錄 B:本機安全設定 (來自 Resource Kit)

匿名連線的其他限制

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Windows 2000 允許匿名使用者執行特定活動,例如列舉網域帳戶名稱及網路共用。例如,當系統管理員想要授與存取權給受信任網域中的使用者,但該網域中並未保持對等信任時,這很方便。在預設狀況下,匿名使用者具有已授與 Everyone 群組對某給定資源的相同存取權。

此安全選項允許對匿名連線加諸其他限制,如下所示:

  • 無。仰賴預設權限。
  • 不允許列舉 SAM 帳戶及共用。

    在資源的安全權限中,此選項以 [Authenticated Users] 取代 [Everyone]。

無明確匿名權限不得存取。
此選項從匿名使用者記號中移除 [Everyone] 及 [Network];因此需要對 [Anonymous] 提供明確存取權,使其得以存取任何必要資源。

允許系統關機而不必登入

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

決定電腦是否可以關機而不必登入 Windows。

啟用此原則之後,Shut Down 命令即出現在 Windows 登入畫面上。

停用此原則之後,關閉電腦的選項就不會出現在 Windows 登入畫面上。在此情況下,使用者必須能夠順利登入電腦而且具有 [將系統關機] 使用者權限,才能執行系統關機。

在預設狀況下,在 [本機電腦原則] 中,工作站上會啟用此選項,伺服器上會停用此選項。

允許退出抽取式 NTFS 媒體

登錄設定

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

決定誰可以從電腦中退出抽取式 NTFS 媒體。

依預設,此原則會定義在 [本機電腦原則] 中。在預設狀況下,僅系統管理員有權限退出抽取式 NTFS 媒體。可修改此原則設定,來提供任何互動使用者從電腦中退出抽取式 NTFS 媒體的能力。

切斷工作階段之前的閒置時間量

登錄設定

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

決定誰可以從電腦中退出抽取式 NTFS 媒體。

依預設,此原則會定義在 [本機電腦原則] 中。在預設狀況下,僅系統管理員有權限退出抽取式 NTFS 媒體。可修改此原則設定,來提供任何互動使用者從電腦中退出抽取式 NTFS 媒體的能力。

稽核通用系統物件的存取

登錄設定

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

決定是否稽核通用系統物件的存取。啟用此原則之後,它會造成系統物件如互斥旗標、事件、信號及 DOS 裝置以預設系統存取控制清單 (SACL) 建立。如果也啟用了 [稽核物件存取] 稽核原則,則會稽核這些系統物件的存取。

依預設,此原則會定義在 [本機電腦原則] 中,且在預設狀況下它是停用的。

稽核所有權限的使用,包括備份及還原專用權在內

登錄設定

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

決定是否稽核每一個使用者權限的使用,包括 [備份] 及 [還原]。如果您啟用此原則,而且 [稽核] 專用權使用原則也啟用及生效,則任何運用的使用者權限例項都將記錄在安全記錄中。如果您停用此原則,當使用者使用 [備份] 或 [還原] 專用權時,不會稽核那些事件,即使啟用了 [稽核專用權使用] 也一樣。如果您想要控制安全記錄大小,您應該停用此原則。

依預設,此原則會定義在 [本機電腦原則] 中,且在預設狀況下它是停用的。

在登入時間到之後自動登出使用者

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

決定超出使用者帳戶有效登入時數時,是否要切斷已連接本機機器的使用者。此設定會影響到 Windows 2000 伺服器的 Server Message Block (SMB) 元件。啟用此原則之後,它會在用戶端登入時間超過之後強制切斷 SMB 伺服器的用戶端工作階段。如果停用此原則,則允許在用戶端登入時數到達之後繼續維持已建立的用戶端工作階段。

在登入時間超過之後「自動」登出使用者 (本機) 只影響套用此原則的個別機器,而此原則影響網域中的所有機器。

系統關機時清除虛擬記憶體分頁檔

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

決定系統關機時是否清除虛擬記憶體分頁檔。Windows 2000 虛擬記憶體支援使用系統分頁檔,當記憶體頁未使用時將它們切換至磁碟。在執行的系統上,此分頁檔特別開啟供作業系統使用,並受到完善保護。不過,已設定為允許開機至其他作業系統的系統,可能想確定當 Windows 2000 關機時系統分頁檔是否清除乾淨。這可確保未經授權的使用者若想要直接存取分頁檔,不會存取到處理程序記憶體中的分頁檔內的機密資訊。

啟用此原則之後,它會在完全關機時清除系統分頁檔。啟用此安全選項,也會在筆記型電腦系統上停用休眠時,造成休眠檔案 (hiberfil.sys) 歸零。停用此原則之後,系統關機期間不會清除虛擬記憶體分頁檔。

依預設,此原則會定義在 [本機電腦原則] 中,且在預設狀況下它是停用的。

用戶端通訊加以數位簽名 (一律使用)

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

決定電腦是否對用戶端通訊一律加以數位簽名。Windows 2000 Server Message Block (SMB) 驗證通訊協定支援相互驗證,它會關閉「攔截式攻擊」(man-in-the-middle),並支援訊息驗證,防止主動訊息攻擊。SMB 簽署提供此驗證的方式是把數位簽名放進每一個 SMB,然後由用戶端和伺服器共同加以驗證。

若要使用 SMB 簽署,您必須啟用它,或同時在 SMB 用戶端及 SMB 伺服器上要求它。如果伺服器上已啟用 SMB 簽署,則在所有後續工作階段中,也啟用了 SMB 簽署的用戶端將使用封包簽署通訊協定。如果伺服器上需要 SMB 簽署,則用戶端必須至少啟用了 SMB 簽署才能建立工作階段。如果已啟用此原則,則它需要 Windows 2000 SMB 用戶端執行 SMB 封包簽署。如果已停用此原則,它就不需要 SMB 用戶端簽署封包。

依預設,此原則會定義在 [本機電腦原則] 中,且在預設狀況下它是停用的。

請注意,SMB 簽署會對系統效能造成負面影響。雖然它不會耗用更多網路頻寬,但它會在用戶端及伺服器上使用更多 CPU 週期。

用戶端通訊加以數位簽名 (可能的話)

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

如果已啟用此原則,它會在與 SMB 伺服器通訊時造成 Windows 2000 Server Message Block (SMB) 用戶端執行 SMB 封包簽署,該 SMB 伺服器已啟用或需要執行 SMB 封包簽署。

依預設,此原則會定義在 [本機電腦原則] 中,且在預設狀況下它是啟用的。

伺服器通訊加以數位簽名 (一律使用)

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

如果已啟用此原則,則它需要 Windows 2000 Server Message Block (SMB) 伺服器執行 SMB 封包簽署。依預設,此原則會定義在 [本機電腦原則] 中,且在預設狀況下它是停用的。

關於在主從架構通訊中使用數位簽名的進一步詳細資料,請參閱〈用戶端通訊加以數位簽名 (一律使用)〉。

伺服器端通訊加以數位簽名 (可能的話)

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

如果已啟用此原則,它會造成 Windows 2000 Server Message Block (SMB) 伺服器執行 SMB 封包簽署。在預設狀況下,在 [本機電腦原則] 中,此原則在工作站及伺服器平台上是停用的。在預設狀況下,此原則在網域控制站的 [預設網域控制站群組原則] 物件中是啟用的。

關於在主從架構通訊中使用數位簽名的進一步詳細資料,請參閱〈用戶端通訊加以數位簽名 (自動)〉。

登入不需要按 CTRL+ALT+DEL

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

決定使用者登入之前是否需要按 CTRL+ALT+DEL。如果電腦上已啟用此原則,則使用者就不需要按 CTRL+ALT+DEL 即可登入。不必按 CTRL+ALT+DEL 會讓使用者容易遭受到試圖攔截使用者密碼的攻擊。登入前需要按 CTRL+ALT+DEL 可確保使用者在輸入其密碼時是經由受信任路徑進行通訊。

如果停用了此原則,則任何使用者在登入 Windows 之前都必須按 CTRL+ALT+DEL (除非他們是使用智慧卡登入 Windows)。在預設狀況下,此原則在已加入網域的工作站及伺服器上是停用的。在預設狀況下,它在單機工作站上是啟用的。

不要在登入畫面上顯示上次登入的使用者名稱

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

決定上次登入電腦的使用者名稱是否顯示在 Windows 登入畫面上。如果已啟用此原則,則 [登入 Windows] 對話方塊上不會顯示上次成功登入的使用者名稱。如果已停用此原則,則會顯示上次登入的使用者名稱。

依預設,此原則會定義在 [本機電腦原則] 中,且在預設狀況下它是停用的。

LAN Manager 驗證層級

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

決定網路登入使用何種挑戰/回應驗證通訊協定。此選擇影響用戶端使用的驗證通訊協定層級、交涉的工作階段安全層級和伺服器接受的驗證層級,如下所示:

  • 傳送 LM & NTLM 回應:用戶端使用 LM 及 NTLM 驗證,絕不使用 NTLMv2 工作階段安全;DC 接受 LM、NTLM 及 NTLMv2 驗證。
  • 傳送 LM & NTLM - 如有交涉,使用 NTLMv2 工作階段安全性:用戶端使用 LM 及 NTLM 驗證,如果伺服器支援也使用 NTLMv2 工作階段安全性;DC 接受 LM、NTLM 及 NTLMv2 驗證。
  • 只傳送 NTLM 回應:用戶端只使用 NTLM 驗證,如果伺服器支援也使用 NTLMv2 工作階段安全性;DC 接受 LM、NTLM 及 NTLMv2 驗證。
  • 只傳送 NTLMv2 回應:用戶端只使用 NTLMv2 驗證,如果伺服器支援也使用 NTLMv2 工作階段安全性;DC 接受 LM、NTLM 及 NTLMv2 驗證。
  • 只傳送 NTLMv2 回應\拒絕 LM:用戶端只使用 NTLMv2 驗證,如果伺服器支援也使用 NTLMv2 工作階段安全性;DC 拒絕 LM (只接受 NTLM 及 NTLMv2 驗證)。
  • 只傳送 NTLMv2 回應\拒絕 LM & NTLM:用戶端只使用 NTLMv2 驗證,如果伺服器支援也使用 NTLMv2 工作階段安全性;DC 拒絕 LM 及 NTLM (只接受 NTLM 及 NTLMv2 驗證)。

伺服器的預設設定是 [傳送 LM & NTLM 回應]。

此設定會影響 Windows 2000 電腦與 Windows NT 4.0 及較舊用戶端透過網路通訊的能力。例如,在撰寫本文時,SP4 以前的 Windows NT 4.0 電腦並不支援 NTLMv2。Win9x 電腦不支援 NTLM。

給登入使用者的訊息文字及標題

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options (Title)

允許標題設定出現在視窗標題列,它包含要給嘗試登入使用者的訊息文字。

在伺服器方面,此原則已啟用,但未指定預設文字。在預設狀況下,不對工作站定義此原則。

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options (Text)

指定要顯示給登入中使用者的文字訊息。此文字通常基於法律原因而使用,例如警告使用者誤用公司資訊的各種後果或警告他們動作可能會受到稽核。在伺服器方面,此原則已啟用,但未指定預設文字。在預設狀況下,不對工作站定義此原則。

先前的登入快取次數

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

決定使用者可使用快取帳戶資訊登入 Windows 網域的次數。Windows 2000 在本機快取前一個使用者的登入資訊,以便萬一在後續登入嘗試期間網域控制站無法使用時他們能夠登入。如果網域控制站無法使用,且未快取使用者的登入資訊,則會提示使用者此訊息:

現在系統無法讓您登入,因為 <DOMAIN_NAME> 網域無法使用。

在此原則設定中,0 值會停用登入快取。而超過 50 的值也只會快取 50 次登入嘗試。在伺服器方面,在預設狀況下,此原則會定義在 [本機電腦原則] 中,其預設值為 10 次登入。

防止系統維護電腦帳戶密碼

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

決定是否防止每週重設電腦帳戶密碼。作為 Windows 2000 安全的一部份,電腦帳戶密碼每七天會自動變更一次。如果已啟用此原則,就會防止機器要求每週密碼變更。如果停用此原則,就會每週產生電腦帳戶的新密碼。

依預設,此原則會定義在 [本機電腦原則] 中,且在預設狀況下它是停用的。

防止使用者安裝印表機驅動程式

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

決定是否要防止使用者群組成員安裝列印驅動程式。如果已啟用此原則,會防止使用者在本機機器上安裝印表機驅動程式。當裝置驅動程式不存在於本機機器時,這會防止使用者「新增印表機」。如果停用此原則,使用者群組的成員就可以在電腦上安裝印表機驅動程式。

依預設,此設定在伺服器上啟用的,且在工作站是停用的。

在密碼過期前提示使用者變更密碼

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

決定 Windows 2000 要提早多久警告使用者其密碼即將過期。事先警告使用者,讓使用者有足夠的時間想出一個十分理想的密碼。

在預設狀況下,此值設定為 14 天。

修復主控台:允許自動系統管理登入

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

決定 Windows 2000 要提早多久警告使用者其密碼即將過期。事先警告使用者,讓使用者有足夠的時間想出一個十分理想的密碼。

在預設狀況下,此值設定為 14 天。

修復主控台:允許軟碟複製及存取所有磁碟機

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

啟用此選項會啟用修復主控台 SET 命令,它可讓您設定下列修復主控台環境變數:

  • AllowWildCards - 對部份命令啟用萬用字元支援 (例如 DEL 命令)。
  • AllowAllPaths - 允許存取電腦上的所有檔案及資料夾。
  • AllowRemovableMedia - 允許檔案複製至抽取式媒體,例如軟碟。
  • NoCopyPrompt - 執行檔案覆寫操作時不要求使用者確認。

在預設狀況下,會停用 SET 命令,且所有這些變數都未啟用

CD-ROM 存取只限於使用本機登入的使用者

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

決定 CD-ROM 是否可供本機及遠端使用者同時存取。如果已啟用,此原則只允許以互動方式登入的使用者存取抽取式 CD-ROM 媒體。如果沒有人以交談方式登入,則可以透過網路共用 CD-ROM。

如果已停用此原則,本機使用者及遠端使用者可同時存取 CD-ROM。

軟碟存取只限於使用本機登入的使用者

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

決定抽取式軟碟媒體是否可供本機及遠端使用者同時存取。如果已啟用,此原則只允許以互動方式登入的使用者存取抽取式軟碟媒體。如果沒有人以交互動談方式登入,則可以透過網路共用軟碟媒體。

如果已停用此原則,本機使用者及遠端使用者可同時存取軟碟媒體。

安全通道:安全通道資料加以數位加密或簽章 (一律使用)

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

決定電腦是否要讓安全通道資料一律加以數位加密或簽章。當 Windows 2000 系統加入網域時,會建立一個電腦帳戶。此後,當系統開機時,它會使用該帳戶的密碼為其網域建立與網域控制站間的安全通道。在安全通道上傳送的要求會被驗證,而機密資訊 (例如密碼) 會加密,但通道不會進行完整性檢查,而且不會加密所有資訊。

如果已啟用此原則,所有傳出的安全通道流量必須加以簽章或加密。

如果停用此原則,會與網域控制站交涉簽署和加密。

在預設狀況下,此原則是停用的。

注意事項:只有在所有信任網域中的所有網域控制站都支援簽署及加密時,才要啟用此選項。

如果已啟用此參數,則會自動啟用 [安全通道:安全通道資料加以數位簽名 (可能的話)]。

安全通道:安全通道資料加以數位加密 (可能的話)

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

決定電腦是否要讓安全通道資料一律加以數位加密或簽章。當 Windows 2000 系統加入網域時,會建立一個電腦帳戶。此後,當系統開機時,它會使用該帳戶的密碼為其網域建立與網域控制站間的安全通道。在安全通道上傳送的要求會被驗證,而機密資訊 (例如密碼) 會加密,但通道不會進行完整性檢查,而且不會加密所有資訊。

如果已啟用此原則,所有傳出的安全通道流量都應該加密。

如果停用此原則,傳出的安全通道流量就不會加密。

在預設狀況下,此選項是啟用的。

安全通道:安全通道資料加以數位簽名 (可能的話)

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

決定電腦是否要讓安全通道資料一律加以數位加密或簽章。當 Windows 2000 系統加入網域時,會建立一個電腦帳戶。此後,當系統開機時,它會使用該帳戶的密碼為其網域建立與網域控制站間的安全通道。在安全通道上傳送的要求會被驗證,而機密資訊 (例如密碼) 會加密,但通道不會進行完整性檢查,而且不會加密所有資訊。

如果已啟用此原則,所有傳出的安全通道流量都應該簽署。

如果停用此原則,傳出的安全通道流量就不會簽署。

在預設狀況下,此選項是啟用的。

附註 如果已啟用 [安全通道:安全通道資料加以數位加密 (可能的話)],它就會覆寫此選項的任何設定並強制啟用它。

安全通道:需要強的 (Windows 2000 或更新版本) 工作階段機碼

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

如果已啟用此原則,所有傳出的安全通道流量都需要強的 (Windows 2000 或更新版本) 加密金鑰。 如果停用此原則,會與 DC 交涉金鑰效力。唯有當所有信任網域中的所有 DC 都支援強的金鑰時,才要啟用此選項。

在預設狀況下會停用此值。

傳送未加密的密碼來連接協力廠商的 SMB 伺服器

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

如果已啟用此原則,在驗證期間,將允許 Server Message Block (SMB) 重新導向器傳送純文字密碼給不支援密碼加密的非 Microsoft SMB 伺服器。

在預設狀況下,此選項是停用的。

如果無法記錄安全性稽核則立即關閉系統

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

決定如果系統無法記錄安全事件時是否關機。如果啟用此原則,當安全性稽核基於任何原因而無法記錄時它會使系統暫停。通常,當安全性稽核記錄已滿且指定的安全性記錄保持方法為 [不要覆寫事件] 或 [依日期覆寫事件] 時,將無法記錄事件。如果安全性記錄已滿,且無法覆寫現有的項目,而且已啟用此安全選項,則會出現下列藍色畫面:

STOP: C0000244 {稽核失敗}
嘗試產生安全性稽核時失敗。

若要修復,系統管理員必須登入、保存該記錄 (如果要的話)、清除記錄,並重設此選項。

在預設狀況下,此原則是停用的

智慧卡移除行為

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

決定當從讀卡機中移除某登入使用者的智慧卡時會發生什麼事。選項如下:

  • 沒有動作
  • 鎖定工作站
  • 強制登出

在預設狀況下會指定 [沒有動作]。

如果指定了 [鎖定工作站],則當智慧卡移除時會鎖定工作站,讓使用者離開該區域並帶走智慧卡後,仍能維護一個受保護的工作階段。如果指定了 [強制登出],則當取出智慧卡時會自動登出使用者。

加強通用系統物件的預設權限

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

決定物件的預設任意存取控制清單 (DACL) 的效力。Windows 2000 維護一個共用系統資源的通用清單,例如 DOS 裝置名稱、互斥旗標及信號。如此一來,就可找到物件並在處理程序之間共用之。每一種物件都是以預設 DACL 建立,指定誰可以存取物件以及具有何種權限。

如果已啟用此原則,預設 DACL 效力會更強化,讓非管理使用者能夠讀取共用物件,但不能夠修改不是由他們建立的共用物件。

在預設狀況下,此選項是啟用的。

附錄 C:HighSecweb.inf 檔

接下來的幾頁是銀行小組用來建立其自訂安全範本的 Highsecweb.inf。如需本檔案的最新版本,請參考 http://www.microsoft.com/taiwan/security/

; Template Version: 05.00.HB.0000
;
; -------------------------------------------------------------------
; Revision History
; -------------------------------------------------------------------
; Date Comment
; 03-Sep-1999 Original, based on the following assumptions:
; The computer is a not a domain controller.
; DCs should not be Web servers.
; The computer is a standalone server.
; If the computer is joined to a domain,
; then domain-level policies may (or may not)
; overwrite these settings.
; If computer is joined to a domain,
; it should be in its own OU, and you should
; apply this template at the OU level.
; Computer is a dedicated Web server and physically protected.
; Computer has the Windows 2000 clean-install defaults
; No modifications have been made to ACLs, User Rights, etc.
; No one is allowed to log on locally to the computer except an admin.
; Admins are not allowed to log on over
; the network (they have to go to the Web server to administer it).
; Admin\Guest accounts are not renamed via this template.
; 24-Jan-2000 Updated registry entries
; -------------------------------------------------------------------

[version]
signature="$CHICAGO$"
Revision=1

[System Access]
MinimumPasswordAge = 2
MaximumPasswordAge = 42
MinimumPasswordLength = 8
PasswordComplexity = 1
PasswordHistorySize = 24
LockoutBadCount = 5
ResetLockoutCount = 30
LockoutDuration = -1
RequireLogonToChangePassword = 0
ClearTextPassword = 0

[System Log]
RestrictGuestAccess = 1

[Security Log]
MaximumLogSize = 10240
AuditLogRetentionPeriod = 0
RestrictGuestAccess = 1

[Application Log]
RestrictGuestAccess = 1

;----------------------------------------------------------------------
; Local Policies\Audit Policy
;----------------------------------------------------------------------
[Event Audit]
AuditSystemEvents = 3
AuditLogonEvents = 3
AuditObjectAccess = 1
AuditPrivilegeUse = 3
AuditPolicyChange = 3
AuditAccountManage = 3
AuditAccountLogon = 3

[Privilege Rights]
SeInteractiveLogonRight = %SceInfAuthUsers%
SeNetworkLogonRight = %SceInfAuthUsers%
SeDenyNetworkLogonRight = %SceInfAdmins%

[Group Membership]
%SceInfPowerUsers%__Memberof =
%SceInfPowerUsers%__Members =

[Strings]
SceInfAdministrator = Administrator
SceInfAdmins = Administrators
SceInfAcountOp = Account Operators
SceInfAuthUsers = Authenticated Users
SceInfBackupOp = Backup Operators
SceInfDomainAdmins = Domain Admins
SceInfDomainGuests = Domain Guests
SceInfDomainUsers = Domain Users
SceInfEveryone = Everyone
SceInfGuests = Guests
SceInfGuest = Guest
SceInfPowerUsers = Power Users
SceInfPrintOp = Print Operators
SceInfReplicator = Replicator
SceInfServerOp = Server Operators
SceInfUsers = Users

[HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT\CurrentVersion\SeCEdit\Reg Values\MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/SynAttackProtect]

"ValueType"=dword:00000004

"DisplayType"=dword:00000000

"DisplayName"="TCPIP: Syn Attack Protection"

[Registry Values]

MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel=4,5

MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymous=4,2

MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management
\ClearPageFileAtShutdown=4,1

MACHINE\System\CurrentControlSet\Control\Session Manager\ProtectionMode=4,1

MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
\EnableSecuritySignature=4,1

MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
\RequireSecuritySignature=4,1

MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
\EnableForcedLogOff=4,1

MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters
\EnableSecuritySignature=4,1

MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters
\RequireSecuritySignature=4,1

MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters
\EnablePlainTextPassword=4,0

MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
\DisablePasswordChange=4,0

MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
\SignSecureChannel=4,1

MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
\SealSecureChannel=4,1

MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
\RequireSignOrSeal=4,1

MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
\RequireStrongKey=4,1

MACHINE\Software\Microsoft\Driver Signing\Policy=3,2

MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
\DisableCAD=4,0

MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
\DontDisplayLastUserName=4,1

MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
\ShutdownWithoutLogon=4,0

MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole
\SecurityLevel=4,0

MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole
\SetCommand=4,0

MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
\AllocateCDRoms=1,1

MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
\AllocateDASD=1,0

MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
\AllocateFloppies=1,1

MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers
\DisableWebPrinting=4,1

MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
\NtfsDisable8dot3NameCreation=4,1

MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
\AutoShareServer=4,0

MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
\EnableICMPRedirect=4,0

MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
\EnableSecurityFilters=4,1

MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
\SynAttackProtect=4,1

MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
\EnableDeadGWDetect=4,0

MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
\EnablePMTUDiscovery=4,0

MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
\KeepAliveTime=4,300000

MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
\DisableIPSourceRouting=4,1

MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
\TcpMaxConnectResponseRetransmissions=4,2

MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
\TcpMaxDataRetransmissions=4,3

MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
\NoNameReleaseOnDemand=4,1

MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters
\DynamicBacklogGrowthDelta=4,10

MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters
\EnableDynamicBacklog=4,1

MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters
\MinimumDynamicBacklog=4,20

MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters
\MaximumDynamicBacklog=4,20000

MACHINE\System\CurrentControlSet\Control\Lsa\FullPrivilegeAuditing=3,1

MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
\LegalNoticeText=1,This is a private computer system. <add your own text>

MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
\LegalNoticeCaption=1,A T T E N T I O N !

[Service General Setting]

Alerter,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

ClipSrv,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

Browser,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

Dhcp,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

Fax,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

SharedAccess,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

Messenger,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

mnmsrvc,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

Spooler,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

RasAuto,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

RasMan,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

RemoteRegistry,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

Schedule,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

TapiSrv,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

TermService,4,"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

PolicyAgent,2,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)"

W3SVC,2,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)"

IISADMIN,4,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)"

Irmon,4,"D:AR(A;;RPWPDTRC;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)"

c 2000 Microsoft Corporation. All rights reserved.

本文件所包含的資訊代表自發行日起,Microsoft Corporation 對於所討論的問題的最新看法。因為 Microsoft 必須對瞬息萬變的市場狀況做出回應,所以不得解釋為 Microsoft 所做的承諾,且在發行日之後 Microsoft 不保證所提出的任何資訊的正確性。

本文件僅供參考。MICROSOFT 在本文件中不做任何明示或默示的保證。

Microsoft、BackOffice、MS-DOS、Outlook、PivotTable、PowerPoint、Microsoft Press、Visual Basic、Windows、Windows NT 及 Office 標誌為 Microsoft 在美國及/或其他國家的商標或註冊商標。
 

顯示: