Windows NT 4.0 與 Windows 98 降低安全性威脅指南

第 5 章:強化 Microsoft Windows 98

發佈日期: 2004 年 9 月 13 日 | 更新日期: 2006 年 3 月 30 日


大多數使用舊版 Windows 作業系統的組織擁有許多 Microsoft® Windows® 98、Windows 98 Second Edition (SE) 或 Windows Millennium Edition (Me) 的桌上型電腦與行動電腦用戶端 (本章將這些版本統稱為 Windows 98)。本章著重探討如何提高 (或強化) 這些用戶端的安全性,以增強網路的整體安全性。

Windows 98 用戶端部署在許多不適合升級作業系統的角色中。例如,Windows 98 是許多獨立式終端機服務台及銷售點終端機、自訂應用程式和學生教室工作站的平台。正確地設定這些電腦的安全性設定,可確保特定業務應用程式持續維持可靠性,不使工作站本身或其他電腦暴露在網路上。

本章討論如何完成下列工作:

  • 安裝 Windows 98 並進行補充程式基礎安裝。

  • 安裝網際網路防火牆。

  • 強化開機順序。

  • 部署 Microsoft Internet Explorer 的基準設定。

  • 安裝 Microsoft Active Directory® 目錄服務用戶端擴充程式。

  • 設定伺服器訊息區 (SMB) 簽章。

  • 選擇 Windows NT LAN Manager (NTLM) 驗證層級。

  • 定義有效的系統原則。

本頁內容

Windows 98 安全性設計
實作
測試解決方案
總結

Windows 98 安全性設計

架構一個安全的 Windows 98 安裝,主要在於識別可能被輕易修改的設定。在安全的環境中,這些設定值會依照公司規格進行設定並加以鎖定,以便使設定維持不變。

安裝 Windows 98 並進行補充程式基礎安裝

含最新安全性補充程式的 Windows 98 基礎部署是實作安全平台原則的已知起點。您可以在 Microsoft Windows 98 下載網站 (http://www.microsoft.com/windows98
/downloads/corporate.asp
) 中找到完整的 Windows 98 補充程式清單 (本指南第 6 章<補充程式管理>將詳細討論補充程式)。首次將 Windows 98 工作站部署到網路時應該針對已知弱點採取補救措施。例如:

  • 所有 Windows 98 工作站均應只針對正常執行網路所需的選項進行設定。例如,如果不需要本機檔案與印表機共用功能,就不需要在網路設定中指定 [檔案及列印分享] 選項。

  • 確定 Microsoft 網站上的所有重大更新均已套用至工作站,並確認已安裝適用於本機運算環境的建議更新。

  • Microsoft Internet Explorer 6 Service Pack 1 (SP1) 包含最新的安全瀏覽增強功能與修正程式。您應該在所有連線到網際網路的電腦加以安裝。您可以直接從 Microsoft Internet Explorer 網站 (http://www.microsoft.com/ie) 安裝、訂購 CD-ROM,或使用 Internet Explorer Administration Kit (IEAK) 自訂設定進行安裝。

  • 安裝最新安全基準設定的極為有效方法是使用 Microsoft Windows Security Update CD,該 CD 可透過 Microsoft Trustworthy Computing 網站 (http://www.microsoft.com/security/protect/) 取得,或致電 Microsoft 產品支援服務。

Trey 選擇透過以 Ghost 映像工具套用至新工作站的通用映像來組建電腦。通用映像的建立方式是透過安裝 Windows 98、Internet Explorer 6.0、所有已發行的補充程式與 Service Pack,及 Windows Security Update CD 中的內容。

安裝網際網路防火牆

防火牆是一種安全性解決方案,可以將網路的一部分與另一部分隔離,並根據流量篩選規則,只允許經過的授權網路流量通過。防火牆可以是硬體或軟體。網際網路防火牆是指位於本機電腦網路與網際網路之間的防火牆,可透過拒絕未明確核准的連入網路流量存取來防止惡意攻擊。在網路環境中,網路本身應該擁有硬體防火牆或類似的安全性產品,以防範外部威脅,例如:Microsoft Internet Security and Acceleration (ISA) Server。您可以安裝軟體防火牆產品以保護個別的工作站;許多廠商均提供這類產品,請參閱本章最後的<其他資訊>章節。

強化開機順序

其中一個 Windows 98 潛在安全性弱點是開機順序,它可以在原則套用之前中斷,進而允許系統存取。若要確保系統不受此類危害,您必須使用 [記事本] 或其他文字編輯器來編輯 Msdos.sys 系統檔案,以保護開機程序 (本章後面將提供詳細說明)。系統管理員應該瞭解此設定會使電腦無法以安全模式開機,此舉的目的是防止惡意使用者跳過安全性防範措施。然而,此設定會增加系統疑難排解的難度,如果要使用替代開機順序進行系統維護時必須重設此設定。

由於從卸除式存放裝置開機會中斷開機程序,因此電腦的基本輸出入系統 (BIOS) 應設定為僅從主要硬碟開機。大多數電腦均可在系統啟動時使用控制鍵進入 BIOS 設定。針對安全開機設定 BIOS 後,您可以設定系統管理密碼,進一步保護開機程序。此方法不是百分之百安全;網站上通常會公布可以重設系統 BIOS 設定的「緊急」按鍵組合,而且只要打開系統機殼並變更硬體跳線器的位置,幾乎所有系統的 BIOS 設定都可以重設。在電腦的實體安全性有疑慮的環境中,您應該為系統機殼上鎖。

Trey 的工程師為網域中所有 Windows 98 電腦修改了開機逾時值。所有桌上型電腦與行動電腦使用者都配備了纜線鎖以保護電腦的安全。此外,如果電腦支援,工程師也變更了 BIOS 設定以限制替代開機的使用。

部署 Internet Explorer 的基準設定

Internet Explorer Administration Kit (IEAK) 包含許多自訂、部署及維護 Internet Explorer 6 的工具。透過 IEAK,網路系統管理員可以識別可部署到網路用戶端的安全設定。部署可能包括自訂應用程式、預先建立的 [我的最愛] 清單、隱私與安全性設定、Proxy 伺服器規格,以及幾乎自訂 Internet Explorer 的動作。當新的網際網路弱點出現時,進行這類設定維護可便於更新任何安全性元件。

Internet Explorer 可讓您設定安全性區域,以便允許或封鎖下載或主動式內容。可以設定的四個區域如下:

  • 網際網路。包含不屬於其他區域的所有網站。

  • 近端內部網路。包含區域網路內的所有網站。

  • 信任的網站。包含確信其中沒有惡意內容的網站。

  • 受限制的網站。包含其中可能有惡意內容的網站。

您可以在四個安全性區域中分別自訂安全性設定,也可以從下拉式清單中選取從 [低] 到 [高] 的預設安全性層級。

為了部署 Internet Explorer 6.0,Trey 使用 IEAK 建立一套自訂設定,其中包含信任主機安全性區域設定的完整清單;IEAK 程序在 IEAK 文件中有詳細說明,請到:http://www.microsoft.com/windows/ieak/

部分惡意程式碼可能來自會叫用新 Internet Explorer 工作階段或「快顯」視窗的主動式內容。許多快顯視窗會試圖誘騙使用者安裝特洛伊木馬程式 (此程式看似有用,但實際上包含利用弱點或損害電腦系統的隱藏程式碼)、病毒 (經設計可在多台電腦上自我複製的程式),或間諜軟體 (未經使用者同意即在電腦上執行特定活動的程式)。阻擋快顯視窗泛濫的簡單方法是安裝快顯封鎖程式。Microsoft 的 MSN 工具列有免費提供快顯封鎖程式,您可以到下列網址下載:http://toolbar.msn.com。Trey 部署了 MSN 工具列,作為 Windows 98 映像更新的一部分。

安裝 Active Directory Client Extensions

Windows 98 用戶端與較新的作業系統不同,並不具備所有利用 Active Directory 服務的功能。為此 Microsoft 發佈了 Active Directory Client Extension Add-On (DSClient) for Windows 98,提供存取 Active Directory 網路的功能。透過 DSClient,Windows 98 用戶端可以使用下列 Active Directory 功能:

  • 感知 Active Directory 網站。這個感知功能可讓用戶端登入網路上最近的網域控制站,而不是網域主控站 (PDC) 或 PDC 模擬器角色持有者。它還可讓用戶端對任何網域控制站重設密碼。在 Windows NT 4.0 版網域中,PDC 負責處理所有密碼變更,但在 Active Directory 中,任何網域控制站都能處理這些要求。DSClient 將此功能延伸至 Windows 98 用戶端。這些增強功能有助於降低 PDC 上的網路流量與負載。

  • NTLM 2 版 (NTLMv2) 驗證。NTLMv2 驗證比 Windows 98 隨附的 LAN Manager (LM) 驗證更加安全。NTLMv2 雖然沒有 Kerberos 驗證那樣強大,但比 LM 安全得多。

  • Active Directory 服務介面 (ADSI)。ADSI 為應用程式提供通用的應用程式發展介面 (API),並為 Active Directory 提供指令碼介面。

  • 分散式檔案系統 (DFS) 容錯。DSClient 提供 Windows 2000 與 Microsoft Windows Server™ 2003 DFS 容錯移轉共用區的存取權限,如在 Active Directory 中指定。

  • Active Directory 的 Windows 通訊錄內容。DSClient 延伸 Windows 98 環境,透過 [開始] 功能表的 [搜尋] 命令公開延伸的 Active Directory 結構描述元素。它還讓擁有權限的使用者可以編輯 Active Directory 中的使用者物件內容。

Active Directory Client Extensions 提供下列 Active Directory 功能:

  • Kerberos 支援。只有 Windows 2000 與更新的用戶端才具備完整的 Kerberos 支援。

  • 群組原則支援。裝有舊版作業系統的用戶端無法參與群組原則或管理 IntelliMirror 物件。

  • 網際網路通訊協定安全性 (IPSec) 與 L2TP 支援這些進階安全網路通訊協定均無法使用。

  • 服務主要名稱 (SPN) 或相互驗證這些功能無法透過 DSClient 啟用。

強烈建議您透過 Microsoft 產品支援服務取得最新版本的 DSClient。DSClient 2003 以 Hotfix 形式提供;相關詳細資訊請參閱 KB 文章 323455<Windows 98 的目錄服務用戶端更新>(英文),網址是:http://support.microsoft.com/?id=323455。在安裝 DSClient 之前,請確定您的工作站執行的是 Internet Explorer 6 加上 SP1 或是更新的版本。

Trey IT 人員將 DSClient 手動部署到網域中執行 Windows 98 的每台電腦上。他們這樣做的目的是為了整合 Kerberos 驗證,並使 Windows 98 電腦可使用更高的 NTLM 驗證層級。

設定 SMB 簽章

SMB 簽章是一種加密技術,讓在用戶端與伺服器之間傳送的每個封包都進行數位簽章以確認真實性。此技術可防止嘗試插入通訊中途的電腦在網路中模擬用戶端或伺服器,並可確認所有網路通訊來源。

SMB 簽章功能在 Windows NT 4.0 Service Pack 3 (SP3) 中開始使用;KB 文章 161372<如何啟用在 Windows NT 中啟用 SMB 簽章>(英文) 中提供描述說明,文章網址是:http://support.microsoft.com/?id=161372。若要在 Windows 98 中啟用此功能,您必須在 HKLM\SYSTEM\CurrentControlSet\Services\VxD\VNetsup 機碼中建立登錄項目 DWORD,以便要求簽章或在通訊夥伴要求簽章時加以支援。DWORD 有兩個值,控制是否使用 SMB 簽章:

  • 如果您將 EnableSecuritySignature 設定為 1、將 RequireSecuritySignature 設定為 0,則在用戶端與伺服器都支援時將會使用 SMB 簽章。此設定允許適時使用簽章,但不能防止用戶端連線至其他不支援簽章的用戶端或伺服器。

  • 如果您將 RequireSecuritySignature 設定為 1、將 EnableSecuritySignature 設定為 0,用戶端只會與支援 SMB 簽章的伺服器進行通訊。

SMB 簽章在使用時,應該在所有參與網路的電腦中加以設定。沒有這些登錄項目的電腦無法與其他網路主機通訊。SMB 簽章負荷通常會使網路效能降低 10% 到 15%。

Trey 選擇停用 SMB 簽章,以使 Windows 98 用戶端與現有環境完全相容。對於伺服器和網域控制站,以及 Windows NT 和 Windows 2000 用戶端,SMB 簽章已啟用,但不要求簽章。而在 Windows 98 用戶端中,所用的用戶端設定為 EnableSecuritySignature=0RequireSecuritySignature=0,避免 Windows 98 用戶端要求或接受簽署的連線。雖然此方法使這些用戶端不具備抵禦詐騙和攔截式攻擊的額外安全性,但關閉 SMB 簽章可保持相容性,Trey 評估後認為對企業營運而言,相容性比額外安全性更為重要。此變更還要求 Trey 變更 Windows Server 2003 網域控制站上的設定,因為 Windows Server 2003 預設為啟用 SMB 簽章。

選擇 NTLM 驗證層級

Windows 98 預設為使用較舊、較不安全的 LM 加密驗證。針對此驗證方法的弱點與利用的方式已經公布,Microsoft 已增強驗證安全性通訊協定以降低這些弱點的影響。設定 DS 附加元件用戶端後,您可以將它設定為使用更安全的 NTLMv2 驗證方法。

安裝 DSClient 後,Windows 98 支援兩個層級的 NTLM 與 NTLMv2 驗證,它們都受本章後面所述的 LMCompatibility 登錄值控制。這些值是:

  • 0 (傳送 LM 和 NTLM 回應)。提供最強的互通性。用戶端可以使用 LM 或任一 NTLM 版本進行驗證。

  • 3 (僅傳送 NTLMv2 回應)。請僅在所有舊版作業系統用戶端都安裝了 DSClient 時才使用此值。

Trey 最初部署登錄機碼時將值設定為 0,反映出目前的環境。如第 4 章<強化 Microsoft Windows NT 4.0>中所述,Trey 升級 Windows NT 4.0 伺服器後,他們將 Windows 98 電腦上的 LMCompatibility 值重設為 3

預設安裝的 NTLMv2 加密可在安裝有 56 位元 Internet Explorer 的系統中提供 56 位元的金鑰長度。1999 年之後安裝 Internet Explorer 的系統很可能具有 128 位元版本;舊用戶端可如前一章中所述升級至 128 位元加密。如果在安裝 DSClient 之前已安裝 128 位元版本的 Internet Explorer,則 128 位元 NTLMv2 驗證會啟用。如第 4 章<強化 Microsoft Windows NT 4.0>中所述,Trey 為 Windows 98 電腦安裝了 128 位元更新,並為所有電腦部署 NTLMv2 驗證支援。完成這些變更後,Trey 就可以在伺服器與網域控制站上啟用 NTLMv2 支援。

定義有效的系統原則

系統原則可讓您集中套用安全性原則,以覆寫本機電腦登錄中的預設設定。網路系統管理員識別 Windows 98 電腦中的弱點後,可以進行許多設定,保持電腦的最大安全性。

Windows 98 用戶端將套用位於 PDC 的 Netlogon 共用區內 Config.pol 檔案中的原則 (因為執行 Windows 98 的電腦只能列舉 PDC 中的網域使用者群組成員資格,而不能列舉任何備份網域控制站 (BDC) 中的網域使用者群組成員資格)。由於 Trey 的網域控制站執行的是 Windows Server 2003,因此該環境中不存在此問題;執行 Windows NT® 4.0 網域控制站的站台可使用 KB 文章 150687<Windows NT 網域未套用的原則>(英文) 中的建議部署使用者特定原則,文章網址是:http://support.microsoft.com/?id=150687

大多數 Windows 98 原則的目標是限制使用者變更桌面環境的能力。Trey 選擇不使用這些原則,因為它們對增強安全性並沒有太大的幫助。相反地,Trey 選擇套用的原則設定會使惡意攻擊者難以造成損害,並使沒有惡意但未受訓練的使用者不容易意外損害必要功能。Trey 選擇套用符合下列要求的原則:

  • 要求登入安全性並顯示說明組織原則的登入標題。

  • 設定密碼原則,使用者輸入密碼時會隱藏字元,且密碼必須是包含英數字元的長密碼。

  • 停用檔案及列印共用,以及遠端撥入存取。

  • 防止使用者執行登錄編輯工具。

請注意,選擇錯誤的原則容易過度保護電腦,反而鎖定使用或管理電腦所需的功能。因此,最好的作法是使用非主要工作站且可以重新設定的電腦。另一種建議是為系統管理員建立群組專屬原則或使用者專屬原則,以放鬆部分限制,讓系統管理員可以輕易地存取登錄編輯工具與疑難排解工具。Trey 制訂了一個測試排程,並根據該排程在實驗室環境中,使用與其生產主機完全相同的電腦部署建議的原則設定;此測試排程用來確認這些原則能否按預期方式運作,而不會產生非預期的副作用。

實作

Windows 98 缺少 Windows 較新版本中具備的大多數設定與管理工具。此限制表示 Trey Research 人員必須選擇要先建立安全的 Windows 98 設定,然後透過映像套用至目前的所有工作站,還是選擇手動套用安全性設定。由於他們的 IT 現代化計畫中已規劃為所有電腦部署 Windows XP Service Pack 2,因此他們選擇使用手動設定,以避免重複建置受影響的電腦,儘管短期內工作的複雜度會因此增加。

實作的先決條件

為了使這些實作細節能夠正常運作,您必須依照第 2 章<Trey Research 安全性風險管理法則應用案例>所述,實作基本的 Trey Research 基礎結構。

實作概觀

此解決方案案例的實作包含下列活動:

  • 安裝 Windows 98 並進行補充程式基礎安裝。

  • 安裝網際網路防火牆。

  • 強化開機順序。

  • 部署 Internet Explorer。

  • 安裝 Active Directory Client Extensions for Windows 98。

  • 設定 SMB 簽章。

  • 選擇 NTLM 驗證層級。

  • 定義有效的系統原則。

安裝 Windows 98 並進行補充程式基礎安裝

Trey 以 Windows 98 標準預設值將 Windows 98 重新安裝到測試電腦上,並安裝安全性更新套件中的補充程式,然後透過 Windows Update 新增最新的補充程式集,藉此完成標準的 Windows 98 設定。安裝結束後,Trey 使用 Windows Update 目錄工具分析測試系統,並列印列出已套用補充程式的報告。接著使用此補充程式清單,將其他 Windows 98 系統更新至相同基準。

安裝網際網路防火牆

在評估許多個人防火牆產品後,Trey IT 主管選擇使用可進行集中式設定並能報告意圖攻擊與滲入的防火牆。然後將此防火牆產品部署到所有執行 Windows 98 的桌上型電腦與行動電腦中。Microsoft 不會推薦特定防火牆產品或為其背書,但您可在本章結尾的<其他資訊>部分找到一些市面上可購得的產品。

強化開機順序

若要防止 Windows 98 電腦中斷作業系統啟動,您必須修改 Msdos.sys 系統檔案,並設定電腦的 BIOS,禁止將卸除式媒體作為開機裝置。

保護開機程序

若要防止開機順序在強制使用安全性原則之前中斷,您可以編輯 Msdos.sys 系統檔案,停用變更啟動行為和規避原則的功能。KB 文章 118579<Windows Msdos.sys 檔案的內容>(英文) 說明了如何尋找與編輯此檔案,文章網址是:http://support.microsoft.com/?kbid=118579

由於 Msdos.sys 檔案是隱藏檔案並標示為唯讀,請在編輯此檔案之前先修改移除這些屬性。

使用記事本修改 Msdos.sys

  1. 按一下 [開始]、指向 [尋找],然後按一下 [檔案或資料夾]。

  2. 在 [名稱] 方塊中輸入 msdos.sys

  3. 在 [查詢] 方塊中,按一下開機磁碟機 (通常為磁碟機 C)。

  4. 按一下 [立即尋找] 按鈕。

  5. Msdos.sys 檔案上按一下滑鼠右鍵,然後選取 [內容]。

  6. 清除 [唯讀] 與 [隱藏] 核取方塊以移除檔案的這些屬性,然後按一下 [確定]。

  7. Msdos.sys 檔案上按一下滑鼠右鍵,然後選取 [開啟檔案]。

  8. 在 [選擇要用的程式] 方塊中,按一下 [Notepad],然後按一下 [確定]。

  9. 將下列兩行內容新增至 [Options] 部分:

    • BootKeys=0

    • BootSafe=0

    BootKeys 布林值指定是否允許在系統啟動時使用鍵盤的功能鍵。由於多個按鍵都可中斷開機程序,因此安全的系統會將此值指派為 0,停用這些按鍵。

    BootSafe 是另一個允許以安全模式開機的布林設定。將 BootSafe 設定為 0 可防止電腦以安全模式開機。

  10. 儲存檔案並關閉記事本。

  11. Msdos.sys 檔案上按一下滑鼠右鍵,然後選取 [內容]。

  12. 選取 [唯讀] 與 [隱藏] 核取方塊以設定檔案的屬性,然後按一下 [確定]。關閉 [尋找] 對話方塊。

  13. 重新開機以讓變更生效。

    注意:前面提到的 KB 文章另外提供詳細的 Msdos.sys 內容討論。

禁止將卸除式媒體作為開機裝置

如果電腦可以從卸除式媒體開機,系統安全性設定就可能被完全跳過並重新設定。請參閱系統製造商的指南瞭解有關存取系統 BIOS 的說明。

停用卸除式媒體開機功能

  1. 將主要硬碟設定為第一個開機裝置。

  2. 停用磁片與 CD-ROM 裝置的開機功能。

  3. 如果您的企業環境用不到通用序列匯流排 (USB) 與 FireWire 連接埠,請考慮停用這兩種連接埠。

  4. 設定 BIOS 密碼 (如果可以設定) 避免他人重設這些安全性措施。

部署 Internet Explorer

大型網路的系統管理員可以透過 Internet Explorer Administration Kit (可到 http://www.microsoft.com/windows/ieak/ 下載) 建置 Internet Explorer 6.0 SP1 的自訂安裝,以確保工作站執行的 Internet Explorer 是最新的安全版本。IEAK 可讓系統管理員設定系統管理設定檔,預先設定 Internet Explorer 安全性設定、鎖定 Microsoft NetMeeting® 與 Microsoft Outlook® Express,以及控制使用者可以變更的功能。

注意:如 KB 文章 555038<如何使 Windows 98/ME/NT 用戶端登入 Windows 2003 網域>(英文) 中所述,最新版本的 Active Directory Client Extensions 要求使用 Internet Explorer 6.0;文章網址是:http://support.microsoft.com/?kbid=555038

安裝 Active Directory Client Extensions for Windows 98

Microsoft 為 Windows 98 建立的擴充程式使 Windows 98 能夠加入 Active Directory 網域。此用戶端必須安裝到這些環境中的所有 Windows 98 工作站。雖然 Active Directory Client Extensions for Windows 98 已隨 Windows 2000 一起發行,但 Microsoft 產品支援服務仍有提供免費 Hotfix 形式的更新版。

為網路通訊設定 SMB 簽章

SMB 簽章可確保每個透過網路傳輸的封包都會經過簽署,在此情況下可獲得更高的安全性,但會使網路效能降低 10% 到 15%。設定 SMB 簽章後,網路中的所有系統都應該會設定為使用 SMB 簽章。但是,為了確保最高的相容性,Trey 以安全性為代價,選擇強制其 Windows 98 用戶端停用 SMB 簽章。他們的設定實作方式如下。

在 Windows 98 用戶端上停用 SMB 簽章

  1. 在命令提示字元中輸入 Regedit.exe 啟動登錄編輯程式,然後按一下 ENTER

  2. 尋找機碼 HKEY_LOCAL_MACHINE\System\CurrentControlSet
    \Services\VxD\VNetsup

  3. 將下列兩個值新增至此機碼:

    • 值名稱:EnableSecuritySignature

      資料類型:REG_DWORD

      值:0 (在伺服器支援簽章時停用簽章)

    • 值名稱:RequireSecuritySignature

      類型:REG_DWORD

      值:0 (即使伺服器不支援簽章也允許進行通訊)

  4. 結束登錄編輯程式。

  5. 重新啟動電腦。

變更 Windows Server 2003 預設要求 SMB 簽章的設定

  1. 使用具有網域系統管理權限的帳戶登入 Windows Server 2003 網域控制站。

  2. 啟動 Microsoft Management Console (MMC.exe),並新增群組原則物件編輯器嵌入式管理單元。將群組原則物件編輯器嵌入式管理單元指向網域的 [預設網域控制站原則] 物件,然後按一下 [完成]。

  3. 展開預設網域控制站原則物件,然後展開 Computer Configuration \ Windows Settings \ Security Settings \ Local Policies \ Security Options

  4. 按兩下 [Microsoft 網路伺服器: 數位簽章伺服器的通訊 (自動)]。

  5. 選取 [定義這個原則設定] 核取方塊,然後確定已選取 [已停用] 按鈕。按一下 [確定]。

  6. 關閉 [Microsoft Management Console] 視窗。

選擇 NTLM 驗證層級

安裝 Active Directory Client Extensions 後,請啟用 NTLMv2 驗證。KB 文章 239869<如何啟用 NTLM 2 驗證>(英文) 中提供了有關啟用這些設定的指引。

設定 NTLMv2 驗證層級

  1. 在命令提示字元中輸入 Regedit.exe 啟動登錄編輯程式,然後按一下 ENTER

  2. 在登錄中找出並按一下下列機碼:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\

  3. Control 建立名為 LSA 的新子機碼。

  4. 建立名為 LMCompatibilityDWORD 值,並將其設定為 3 (請參閱本章前面的<選擇 NTLM 驗證層級>以取得允許值的相關討論)。

  5. 重新啟動電腦。

注意在更新 Windows NT 伺服器以允許使用 NTLMv2 之前,請勿將 LMCompatibility 的值設定為 3。如果該環境包含未設定為使用 NTLMv2 的電腦,通訊將會失敗。請務必在整個企業中採用這些設定,確保通訊不會中斷。如需有關在 Windows NT 中限制 LM 相容性層級的詳細資訊,請參閱第 4 章<強化 Microsoft Windows NT 4.0>。

設定安全性系統原則

系統原則編輯器是一套功能強大的工具,可用來精確地限制 Windows 98 電腦的存取權限;它可防止使用者變更安全性設定,但又允許使用者完成其工作。您應該建立系統原則以協助保護工作站免遭竄改,並強制使用自訂安全性設定。

安裝系統原則編輯器

您必須在要建立原則的相同平台上安裝系統原則編輯器。也就是說,如果要為 Windows 98 系統建立原則,您必須透過 Windows 98 工作站編輯與儲存原則檔案。

從 Windows 98 CD-ROM 安裝系統原則編輯器

  1. 按一下 [開始] 並指向 [設定],然後按一下 [控制台]。

  2. 按一下 [新增/移除程式]。

  3. 按一下 [Windows 安裝程式] 索引標籤,然後按一下 [從磁片安裝]。

  4. 將 Windows 98 光碟放入 CD-ROM 光碟機中。

  5. 在 [從磁片安裝] 對話方塊中,瀏覽至 CD 上的 \Tools\Reskit\Netadmin\Poledit 資料夾,選取 [Poledit.inf] 檔案,然後按一下 [確定]。

  6. 在 [從磁片安裝] 對話方塊中,選取系統原則編輯器元件,然後按一下 [安裝]。

此安裝會將 Poledit.exe 複製到 Windows 資料夾中,並將 Windows.adm、Common.adm 及 Poledit.inf 複製到 \Windows\Inf 資料夾中。它還會對登錄進行必要的變更,並將開始功能表項目新增至 Programs\Accessories\System Tools 資料夾。

警告:編輯登錄之前,您應該先備份登錄檔案 (System.dat 與 User.dat),這些檔案是 Windows 系統資料夾中的隱藏檔案。

建議的原則設定

安裝系統原則編輯器後,您可以用它來建立本機安裝或散佈原則。當您變更原則設定時請注意,每個原則設定的核取方塊都有三種狀態:已選取、已清除及已停用 (顯示成灰色)。如果核取方塊已選取,表示原則將按指定方式進行套用。如果核取方塊顯示成灰色,表示原則設定將被忽略。如果核取方塊已清除,表示原則的登錄設定可能無意間被刪除。

使用建議的電腦層級設定建立原則

  1. 按兩下 C:\Windows\poledit.exe。

  2. 按一下 [檔案],然後按一下 [新增原則]。

  3. 按兩下 [預設電腦] 圖示。畫面會顯示 [預設電腦內容] 對話方塊。

  4. 展開 [Windows 98 網路] 節點。建議的網路內容設定如下。

    在 [登入] 下,選取下列核取方塊:

    • 登入旗號。新增啟動橫幅,用來說明如何使用電腦的組織原則。

    • 存取 Windows 時要求網路驗證。要求使用者透過網路 (而不是在本機電腦) 進行驗證。

    • 登入時不要顯示最後的使用者。強制使用者輸入有效的使用者名稱,而不顯示上次輸入的值。

    • 不要顯示登入進度。隱藏登入工作階段的進度。

    在 [密碼] 下,選取下列核取方塊:

    • 用星號隱藏資源分享密碼。輸入密碼時隱蔽密碼。

    • 關閉密碼快取處理。強制用戶端從更加安全的網路控制站進行驗證,而不是將密碼儲存於不太安全的本機快取中。

    • 需要英數字元的 Windows 密碼。強制使用更加複雜的本機密碼。

    • 最短的 Windows 密碼長度。可讓您指定密碼所需的字元數。8 個字元是相對較為安全的密碼長度。

    在 [Microsoft Client for Windows 網路] 下,選取下列核取方塊:

    • 登入 Windows NT。可讓系統管理員對授權工作站登入的網域進行硬式編碼。

    • 關閉網域密碼的快取處理。將本機快取密碼的暴露風險降至最低。

    • 工作群組。可讓系統管理員對工作站將要登入的網域進行硬式編碼。這是網域登入的必要設定。

    • 清除 [其他工作群組] 核取方塊,讓使用者無法登入指定的工作群組。

    在 [File and Print Sharing for Microsoft Networks] 下,清除所有核取方塊。檔案及列印共用功能在本機工作站中通常應該停用。如果使用者要共用檔案或印表機,請使用專用伺服器並加以保護。

    在 [撥號網路] 下,選取 [關閉撥入] 核取方塊以確保電腦無法從遠端存取。

  5. 按一下 [確定]。

使用建議的使用者層級設定建立原則

本程序要求您先完成上述程序並開啟系統原則編輯器。Windows 98 只支援從網域控制站下載單一原則,因此必須將使用者層級與電腦層級的設定合併。

  1. 按兩下 [預設的使用者]。

  2. 在 [預設的使用者內容] 對話方塊中,按兩下 [Windows 98 系統]。

  3. 按兩下 [控制台]。

  4. 展開 [網路],然後按一下 [限制網路控制台]。

  5. 展開 [系統],然後按一下 [限制系統控制台]。

  6. 展開 [限制],然後按一下 [關閉登錄編輯工具]。

  7. 按一下 [確定]。

  8. 將原則儲存到適當位置中。

部署原則

為您的組織設定原則後,請完成下列步驟以將原則檔案命名為 Config.pol,並儲存到正確的網路位置中,以便用戶端工作站能夠自動下載並套用這些設定。

部署原則

  1. 在 [檔案] 功能表中選取 [另存新檔]。

  2. 將檔案命名為 Config.pol,並儲存在下列其中一個位置中:

    • 對於 Windows NT 4.0 網域控制站,請將檔案儲存為 %systemroot%\WINNT\System32\Repl\Import\Scripts\Config.pol

    • 對於 Windows 2000 與 Windows Server 2003 網域控制站,請將檔案儲存為 %systemroot%\sysvol\sysvol\網域名稱\scripts\Config.pol

為 Windows 98 用戶端啟用自動下載原則功能

  1. 登入 Windows 98 電腦。

  2. 開啟 [控制台]。

  3. 按兩下 [網路]。

  4. 確定在 [主網路登入] 下拉式清單中已選取 [Client for Microsoft Networks]。

  5. 按一下 [識別資料] 索引標籤,確定 [工作群組] 欄位中的值與網域名稱相符,然後按一下 [確定]。


測試解決方案

完成案例的實作後,您可以開始驗證實作是否可以達成要求。

驗證

您可以利用下表中的資訊測試 Trey 案例,並驗證依照本指南進行的實作。

表 5.1:驗證測試

說明

測試步驟

預測結果

驗證 Hotfix 的安裝

執行 QFECheck.exe 公用程式 (位於 Windows 安裝資料夾中)。

您可以取得目前符合基準的 Hotfix 清單。

驗證 Internet Explorer 6 SP1 安裝

啟動 Internet Explorer,然後在 [說明] 功能表中按一下 [關於 Internet Explorer]。

版本資訊應該顯示 6.0.2800.xxxx。

驗證 DSClient 安裝成功

按一下 [開始],然後依次按一下 [搜尋] 與 [人員]。

如果能夠搜尋 Active Directory,就代表 DSClient 安裝成功。

驗證 NTLMv2 驗證方式

設定網域控制站要求 NTLMv2 驗證。

用戶端登入成功。

驗證 SMB 簽章

設定網路資源以要求在通訊時進行 SMB 簽章。

用戶端存取網路資源成功。

驗證系統原則

試著存取系統原則限制的資源。

無法存取受限資源。

驗證系統 BIOS 安全性

嘗試使用製造商指定的逸出序列存取系統 BIOS。

用戶端將要求您驗證密碼。

嘗試規避開機裝置

插入可開機磁片與 CD。

用戶端不會從卸除式媒體開機。

嘗試規避開機順序

在系統啟動時按一下 F5 或 F8。

用戶端不會顯示允許以替代方式開機的功能表。

嘗試跳過網路登入

嘗試在用戶端顯示登入畫面時按一下 ESC。

成功進行網域認證之前,無法存取 Windows 98 桌面。


總結

許多組織對 Windows 98 系統的投資非常大,但因種種原因,不能將這些系統升級至具有強大內建安全性的較新作業系統。只要維護得當,這些系統就會變得比較安全,並能抵禦可能會影響組織的弱點之侵害。最好的作法就是採取積極的安全性管理態度,透過慎重的初始安裝與設定,以及套用作業系統與應用程式的最新安全性補充程式來降低威脅。Active Directory Client Extensions for Windows 98 允許這些工作站加入 Active Directory 網域,並透過使用 NTLMv2 安全驗證取得其中的部分優勢。使用 SMB 簽章還可以抵禦偽裝成有效用戶端的電腦所發動的攔截式攻擊。此外,您可以使用 Windows 98 系統原則編輯器實作強大的原則,使知識工作者在正常履行工作職責的同時,保護電腦免遭無意或有意的錯誤設定。

建立穩固的基礎後,您可以使用有效的補充程式管理作法與防毒技術來保護投資。本指南的第 6 章<補充程式管理>和第 7 章<防毒保護>分別介紹了補充程式管理作法與防毒技術。

其他資訊


顯示: