Windows 2000 安全性設定

  • 發行項

更新日期: 2004 年 5 月 31 日

本頁內容

本單元內容
目標
適用於
如何使用本單元
內建群組
帳戶原則
本機原則
其他安全性設定
其他登錄設定
移除 OS/2 以及 POSIX 子系統
限制 Null 工作階段存取
限制 Null 工作階段存取具名管道與共用請參閱
在網路瀏覽清單中隱藏電腦
Service Pack 3 登錄項目
移除預設的 IPSEC 豁免事項
變更 DLL 搜尋順序
防止應用程式產生之輸入干擾工作階段的鎖定
當稽核記錄檔的閾值百分比到達時,產生稽核事件
鞏固 TCP/IP 堆疊以對抗拒絕服務攻擊
檢閱時間服務驗證
停用建立 LMHash
停用自動執行
LDAP 連結命令要求設定
當稽核記錄檔已滿時,會產生系統管理警示
在資料夾執行網頁檢視
加強 NTLM SSP
稽核記錄檔管理
預設群組帳戶
預設使用者帳戶
系統服務
保障檔案系統安全
分享資料夾使用權限
保障登錄的安全
IPSec 原則
加密檔案系統
啟用自動螢幕鎖定保護
更新系統緊急修復磁片
參考資料

本單元內容

本單元提供如何使用安全性設定來增強 Microsoft® Windows® 2000 作業系統的詳細資訊。本單元中的表格,提供與各項設定所達成的安全性目標,以及需要進行的相關設定動作。設定的分類方式與 SCE 的介面相對應。

回到頁首

目標

透過本單元即可:

  • 指出確保 Windows 2000 系統之安全的原則設定。

  • 找出確保 Windows 2000 系統之安全的登錄設定。

  • 安全地設定 Windows 2000 系統的網路角色。

  • 找出關於 Windows 2000 安全性的參考資料。

回到頁首

適用於

本單元適用於下列產品及技術:

  • Microsoft Windows 2000 作業系統安全性

  • 群組原則

  • 安全性範本

  • Microsoft Windows 2000 Professional 作業系統

    • 網域成員工作站

    • 網域成員膝上型電腦

    • 獨立工作站

  • Microsoft Windows 2000 Server™ 作業系統

    • 網域控制站

    • 網域成員伺服器

    • 獨立伺服器

回到頁首

如何使用本單元

本單元提供如何確保 Microsoft Windows 2000 Professional 以及 Microsoft Windows 2000 Server 系統之安全性的方法。本單元定義了建立安全環境時,所需要套用的「群組原則」以及登錄設定。本單元也說明各項設定及套用這些設定的原因。使用本單元即可為 Windows 2000 系統建立安全的設定。

若要充分瞭解本單元:

  • 請參閱 <Windows 2000 安全性設定工具 >單元。本單元概述了可供套用安全設定的 Windows 2000 工具。

  • 請參閱 <Windows 2000 預設安全性原則設定 >單元。此單元詳述了可套用到各種 Windows 2000 系統角色的預設安全性原則設定。

  • 請參閱 <Windows 2000 使用者權利和權限設定 >單元。此單元詳述了 Windows 2000 系統中預設的使用者權限指派,並提供一份建議變更的清單。

  • 使用檢查清單 「Windows 2000 安全性設定檢查清單 」。其中包含安全性檢查清單,可讓您用於評估系統安全性,以確保所有設定變更均已完成。

  • 使用隨附的 How To 文件:

    • 《如何安全地安裝 Windows 2000》

    • 《如何在 Windows 2000 中設定和套用安全性範本》

      220

  • 下載安全性設定範本。由 https://www.microsoft.com/download/details.aspx?FamilyID=15e83186-a2c8-4c8f-a9d0-a0201f639a56 下載本指南隨附的安全性範本。

回到頁首

內建群組

Windows 2000 有許多內建的群組。其中有一些值得討論。包括:「Power Users」群組 (在工作站、獨立系統以及成員伺服器上)、「Server Operators」、「Print Operators」以及「Backup Operators」(在伺服器上)。這些群組的作用,是要在不授與使用者「系統管理員」權限之下,提升使用者的作業能力。但是,由於這些群組被授與的權限,任何屬於該群組的使用者成員,都可以成為系統管理員。這些「操作員 (Operators)」群組的設計目的,是要避免系統管理員意外地破壞系統。但是它們無法避免蓄意的破壞。

「Power Users」群組的設計,是為了要讓無法以「一般使用者」正確執行的較舊應用程式使用。因此,在某些環境中,當需要決定讓使用者以「Power Users」或「Administrators」的身份執行時,就會用到此群組。很顯然地,當您需要在上述兩者之間做出抉擇時,「Power Users」一定是較為明智的選擇。所以,本指南的用意並非要停用「Power Users」群組,如其他一些參考資料所述。而是要在不需要「Power Users」的環境中,有效地限制與管理「Power Users」群組的使用,亦即系統管理員應當確保該群組中沒有成員。

回到頁首

帳戶原則

帳戶原則中含有規則,是用來控制下列三項主要的帳戶驗證功能:密碼原則、帳戶鎖定以及 Kerberos 驗證。

  • 密碼原則 此原則會決定例如強制執行和存留期的設定。

  • 帳戶鎖定原則 此原則會決定系統上的帳戶何時需要被鎖定,以及被鎖定的時間。

  • Kerberos 原則 Kerberos 驗證是 Microsoft Active Directory® 網域中之成員所採用的驗證機制,包括使用 Windows 2000 和以上版本之作業系統的電腦。此原則可以讓系統管理員設定 Kerberos。

帳戶原則可以套用到網域或 OU 中的使用者帳戶。若要將某個網域中的帳戶原則套用到另一個網域 (即使是子網域),就必須要有群組原則物件的明確連結。另外,使用帳戶原則時,請注意下列各項要點:

  • 透過網域原則套用的網域帳戶原則,僅適用於在該網域或子網域內之網域控制站中所定義的帳戶。其中包括下列三項設定:

    • 登入時間到期時,自動登出使用者

    • 重新命名系統管理員帳戶

    • 重新命名來賓帳戶

  • 根據 OU 定義的帳戶原則,僅適用於屬於該 OU 之成員的電腦中所定義的本機帳戶。

密碼原則

  • 若要檢視與編輯目前的密碼原則設定

    1. 開啟試用的安全性原則,可以透過 GPO、SCE 或透過本機安全性原則

    2. 展開 [安全性設定]。

    3. 在 [安全性設定] 中展開 [帳戶原則],就會看到 [密碼]、[帳戶鎖定] 以及 [Kerberos] 等原則。

    4. 按一下 [密碼原則]。右手邊的詳細資料窗格,會顯示可設定的密碼原則設定。

    5. 依照 [表 1] 的建議設定密碼原則。

[表 1]:密碼原則設定

密碼原則 網域工作站 網域膝上型電腦 DC 網域伺服器 獨立工作站 獨立伺服器
設定密碼歷程記錄的需求
安全性目標:設定重複使用密碼的頻率限制。此設定值會導致系統在接受新密碼之前,先比對先前使用過 (數值代表幾次) 的密碼,如果新密碼與該些密碼相同,就會被拒絕。(請注意:此功能採用非純文字密碼)。
程序:
a. 在右手邊的詳細資料窗格中按兩下 [強制執行密碼歷程記錄],以開啟 [安全性原則設定] 對話方塊。
b. 針對網域等級原則,請勾選 [定義這個原則設定] 方塊。
c. 變更 [記憶的密碼] 欄位 (上限是 24),以設定要系統記憶的密碼數量。
建議:將此值設定為 24。
原因:此設定可確保使用者無法重複使用密碼,無論是不小心或有意,進而強化密碼安全。如此可以降低密碼被盜取之後還能夠被用來進行攻擊的機率。		            
設定密碼最長使用期限
安全性目標:設定使用者必須變更密碼之前能夠持有密碼的時間長度。
程序:
a. 在右手邊的詳細資料窗格中按兩下 [密碼最長使用期限],以開啟相對的 [安全性原則設定] 對話視窗。
b. 針對網域等級原則,請勾選 [定義這個原則設定] 方塊。
c. 將 [天] 欄位中的值,設定為您想要的數值。
建議:70 天。
原因:如此可以確保密碼會定期更新。建議的設定值,不至於讓使用者經常需要變更密碼而難以記住密碼。		            
設定密碼最短使用期限
安全性目標:設定使用者變更密碼之前必須持有密碼的時間長度。
程序:
a. 在右手邊的詳細資料窗格中按兩下 [密碼最短使用期限],以開啟相對的 [安全性原則設定] 對話方塊。
b. 針對網域等級原則,請勾選 [定義這個原則設定] 方塊。
c. 將 [天] 欄位中的值,設定為您想要的數值。
建議:2 天。
原因:此設定可以藉由強迫使用者必須在期間內持續使用該密碼,來幫助使用者記住新的密碼;過了該期間之後,使用者才能重設密碼。如此也可以防止他們快速設定 25 個新密碼,來規避密碼歷程記錄。		            
設定密碼長度下限
安全性目標:設定使用者密碼必須使用的最小字元數。
程序:
a. 在右手邊的詳細資料窗格中按兩下 [密碼長度下限],以開啟相對的 [安全性原則設定] 對話方塊。
b. 針對網域等級原則,請勾選 [定義這個原則設定] 方塊。
c. 將 [個字元] 欄位中的值,設定為您想要的數值。
建議:8 個字元。
請注意:密碼中每多增一個字元,就會使它的複雜度成指數性成長。要求至少 8 個字元,即使採用較弱的 LMHash,也可以增強安全性,讓駭客必須同時破解 LMHash 的兩個 7-字元密碼,而非僅需要破解一半。如果密碼的長度僅有 7 個字元或以下,則 LMHash 的後半段會是特定的值,亦即會讓駭客輕易地知道密碼短於 8 個字元。
但是有另一個觀念則指出,由於 LMHash 的儲存方式不堪理想,所以 8 個字元之密碼的安全性比不上 7 個字元的密碼。採用 8 個字元的密碼時,駭客僅需要針對後半段進行測試,就如前半段的測試一樣,即可破解密碼。然而,需要同時測試前半段與後半段時,由於駭客所需要執行的測試工作量會提高 1/7,所以可以延長破解密碼的時間。較長的密碼向來比較恰當,而如果未存有 LMHash,8 個字元的密碼會比 7 個字元的密碼安全得多。建議使用較短的密碼,原則上是錯誤的觀念。		            
設定密碼原則的複雜性要求
安全性目標:要求使用複雜 (增強式) 密碼。此原則會要求密碼中至少包含下列四種字元集的三種項目:(1) 大寫字母、(2) 小寫字母、(3) 數字,以及 (4) 非英數字元。
建議:啟用密碼複雜性。
原因:密碼的複雜性非常重要,因為可以有效避免密碼輕易地被猜中和破解。		            
啟用密碼可還原的加密。
安全性目標:此設定是為了要降低需要特定回溯相容性之環境的安全性。在某些狀況下,會需要使用者的純文字密碼。採用此設定的狀況下,可以讓系統取得純文字密碼。
建議:不要啟用此設定。確認預設的 [停用] 設定有強制執行。		            

帳戶鎖定原則

帳戶鎖定是用來對付猜測帳戶密碼的行為。帳戶鎖定會在使用者輸入無效密碼數次之後,將帳戶鎖定。鎖定的時間長度可以設定,也可以選擇無限期鎖定,直到系統管理員將帳戶解除鎖定為止。內建的系統管理員 (Administrator) 帳戶無法在本機環境中鎖定,而是僅能針對網路登入時進行鎖定。另外,如果要鎖定其網路登入功能,就必須使用 Windows 2000 Server Resource Kit 中的 passprop.exe 工具。

通常應該避免使用帳戶鎖定原則,原因如下:首先,如果密碼原則採用上述設定,則再使用帳戶鎖定功能就是多餘的,因為攻擊者根本無法在允許的時間內猜出密碼。如果使用者僅使用大寫字母與小寫字母加上數字、不使用字典中的字詞,且附加一個數字,也需要 3,461,760 年才能猜出密碼,即使每一次的猜測僅花費半秒鐘。由於密碼會定期變更,所以攻擊者能夠猜中密碼的機率非常渺茫。事實上,如果密碼每 70 天變更一次,攻擊者將需要以 52,000 條 T3 頻寬的連線速度連到被攻擊系統,才能夠在密碼再次變更之前隨機猜出密碼 (前提是密碼不能採用字典中的字詞)。亦即,如果密碼太容易猜測,讓攻擊者在數次之內就能夠猜中,那麼問題也不在於帳戶鎖定功能的啟用與否,而是使用者所採用的密碼違背了基本原則。

再則,啟用帳戶鎖定原則會使服務支援部門的工作量暴增,因為使用者可能會不小心地鎖定帳戶,例如忘記解除 Caps Lock 鍵或類似的情形。這樣的情形經常發生在要求使用者採用複雜密碼的條件下,這也是採用複雜密碼少許的副作用之一。

比添增服務支援部門的工作量更糟糕的,就是帳戶鎖定功能可能會因為攻擊者造成服務帳戶被鎖定而導致網路停擺的危機。如此一來,許多服務就無法啟動。如果服務因為帳戶被鎖定而無法啟動,系統就無法重試服務的啟動,而需要系統管理員等到鎖定期間過後,手動地將系統的服務啟動。

您應該在所有的環境中,都採用弱點 (漏洞) 掃描器。弱點掃描器通常會針對常用的密碼進行測試,而如果有啟用帳戶鎖定原則,掃描器再進行網路掃描的測試時,就會造成所有的帳戶被鎖定。這可能會對系統的可用性造成負面影響。

另外,帳戶鎖定的預設功能並不會針對最容易遭受攻擊者攻擊的目標帳戶;亦即系統管理員 (Administrator) 帳戶。雖然理論上攻擊者有可能取得其他具系統管理員權限的帳戶清單,但是多數的攻擊者都會針對最常用的帳戶進行密碼猜測攻擊,亦即預設的系統管理員 (Administrator) 帳戶。若要啟用系統管理員 (Administrator) 帳戶的鎖定功能,您必須使用 Resource kit 中的 passprop.exe 公用程式。

最後,由於網路應該會有防火牆來阻擋 Windows 與不受信任的網路進行通訊,所以密碼的猜測攻擊只能來自受信任的網路。在受信任的網路中,試圖進行密碼猜測攻擊的不肖人士,應該很容易透過嘗試登入的記錄揪出並處置。

帳戶鎖定的作用是可以提供系統管理員警示,讓他們知道有心人正在進行密碼猜測攻擊。但是,應該使用入侵偵測系統來偵測此類的攻擊。您不應該使用帳戶鎖定原則來取代所需的入侵偵測系統。然而,如果您的環境中要使用帳戶鎖定來提供警示,建議將閾值設定為 50,而時間則設定為 30 分鐘。

存取 Kerberos 原則設定

Kerberos 原則的預設設定應該足夠。請勿變更預設值。

回到頁首

本機原則

本機原則是用來管理個別電腦或使用者的安全性設定。本機原則區段可以用來設定:

  • 稽核原則 稽核原則會決定哪些安全性事件會被記錄到電腦的安全性事件日誌中 (例如:成功的嘗試、失敗的嘗試、或兩者)。安全性記錄的管理,是透過事件檢視器 MMC 嵌入式管理單元。

  • 使用者權限指派 使用者權限會決定個別使用者或群組能夠執行的動作類型。這些在先前的 Microsoft Windows NT® 版本中,稱為「權限」。

  • 安全性選項 這些是用來管理以登錄為基礎的電腦安全性設定,例如資料的數位簽名、系統管理員 (Administrator) 和來賓 (Guest) 帳戶名稱、軟碟機和 CD ROM 的存取、驅動程式的安裝、以及登入提示。本節所討論的設定,在所述工具的預設檢視中並不會顯示。若要在使用者介面中檢視與管理這些設定,系統管理員必須先套用自訂範本,來修改介面中所顯示的設定。

稽核原則

  • 若要啟用與安全性相關之事件的稽核功能

    1. 開啟適用的安全性原則。

    2. 展開 [安全性設定]。

    3. 在 [安全性設定] 中展開 [本機原則],就會看到 [稽核原則]、[使用者權限指派] 以及 [安全性選項] 等原則。

    4. 按一下 [稽核原則]。右手邊的詳細資料窗格,會顯示可設定的稽核原則設定。

      [圖 1] 稽核原則設定

    5. 若要設定安全性事件的稽核,請在右手邊的詳細資料窗格中,按一下要稽核的原則。如此會開啟 [安全性原則設定] 對話方塊。

[表 2]:稽核原則設定

稽核原則        網域工作站 網域膝上型電腦 DC 網域伺服器 獨立工作站 獨立伺服器
稽核事件類別 成功 失敗            
稽核帳戶登入事件
這會稽核此電腦用來驗證使用者的登入事件。亦即,在 DC 上會稽核所有網域的登入事件,而在網域成員上則僅會稽核使用本機帳戶的事件。		                
稽核帳戶管理
這會稽核任何涉及帳戶管理的事件,例如:帳戶的建立、帳戶的鎖定、帳戶的刪除,等等。		                
稽核目錄服務存取
這會啟用存取 Active Directory 物件的稽核。此設定本身並不會產生任何事件。唯有當物件有定義 SACL 時,才會稽核存取事件。您應該啟用成功與失敗的稽核,才能讓 SACL 生效。		                     
稽核登入事件
這會稽核套用此原則之系統的登入事件,無論帳戶的所在位置。亦即,在網域成員上啟用成功稽核功能之後,就會在每一次有使用者登入系統時產生一個事件。如果用來登入的帳戶是本機帳戶,而且 [稽核帳戶登入事件] 設定有啟用,則登入時會產生兩個事件。		                  
稽核物件存取
這會啟用存取所有可稽核物件 (例如:檔案系統與登錄物件,除了目錄服務物件以外) 的稽核功能。此設定本身並不會導致任何事件的稽核。而是僅會啟用稽核功能,使有定義 SACL 的物件可以被稽核。所以您應該針對此設定啟用成功與失敗的稽核。		                
稽核原則變更
此設定會定義是否要稽核使用者權限指派原則、稽核原則或信任原則的變更。您僅需要針對此進行成功的稽核,因為針對此類別的存取進行失敗的稽核毫無意義。		                    
稽核特殊權限使用
此設定會決定是否每當有人使用權限時,就產生稽核事件。某些權限,例如:略過周遊檢查 (Bypass Traverse Checking) 以及偵錯程式 (Debug Programs),並不會因此設定而被稽核 (該些權限的稽核,可以透過 FullPrivilegeAuditing 登錄值的設定來開啟)。啟用權限稽核會產生大量的事件,所以應該避免開啟此功能。		                        
稽核程序追蹤
此設定會啟用特定處理程序事件的稽核,例如程式的啟動與結束、控制碼的複製、間接物件的存取,等等。啟用此稽核功能會產生「非常」大量的事件,導致事件日誌在很短的時間內就爆滿。基於此理由,您不應該廣泛地啟用此稽核功能,除了用於除錯以外。程序的追蹤也適用於攻擊事件的分析。例如,緩衝區溢位的漏洞通常會被用來啟動命令殼層,如果開啟程序追蹤,就會記錄如此的事件。但是,如果您開啟程序追蹤,就必須採用嚴格的記錄管理制度。		                        
稽核系統事件
稽核各種事件,例如系統關機、開機、或會影響系統和 (或) 安全性記錄的事件 (例如記錄的清除)。		                 

登入權利和權限

登入權利和權限會指定使用者在目標系統上所擁有的權限。這些適用來授與執行動作的權限,例如透過網路登入或僅能從本機登入,以及是否可以執行管理作業 (例如產生新的登入權杖)。

  • 若要修改使用者權限

    1. 開啟適用的安全性原則。

    2. 展開 [安全性設定]。

    3. 在 [安全性設定] 中展開 [本機原則],就會看到 [稽核原則]、[使用者權限指派] 以及 [安全性選項] 等原則。

    4. 按一下 [使用者權限指派]。右手邊的詳細資料窗格,會顯示可設定的使用者權限原則設定。

      [圖 2] 使用者權限指派設定

**注意:**並非所有類型的系統上都會有所有的群組.所以您可能需要在具有目標群組的系統上修改此原則。或者,您可以手動編輯原則範本,以包括適用的群組。

[表 3] 列出您應該要修改的使用者權利和權限指派。其他的權限也會在原則編輯器介面中出現。但是,這些權限的預設設定應該適用,所以不需要修改。此表格中的勾號表示您應該要針對該欄的系統類型,套用相關的修改。

[表 3]:使用者權利和權限

使用者權利和權限指派 網域工作站 網域膝上型電腦 DC 網域伺服器 獨立工作站 獨立伺服器        
權限 預設 已修改                  
從網路存取這台電腦 (Professional/Server) Administrators
Backup Operators
Power Users
Users
Everyone		 Administrators
Backup Operators
Power Users
Users
Authenticated Users		             
從網路存取這台電腦 (網域控制站) Administrators
Authenticated Users
Everyone		 Administrators
Authenticated Users		                 
本機登入 (Professional) Administrators
Backup Operators
Power Users
UsersMachinename\Guest		 Administrators
Backup Operators
Power Users
Users		               
本機登入 (Server) Administrators
Backup Operators
Power Users
Users
Machinename\Guest
Machinename\TsInte
rnetUser		 Administrators
Backup Operators
Power Users
注意:您需要授與此權限給 Terminal Server Application Server 的 Users		                
本機登入 (網域控制站) Administrators
Account Operators
Backup Operators
Print Operators
Server Operators
TsInternetUser		 Administrators
Account Operators
Backup Operators
Print Operators
Server Operators		                 
將工作站加入網域 (網域控制站) Authenticated Users Authenticated Users                 
增加配額 (網域控制站 – 在網域安全性原則中) (尚未定義) Administrators                 
增加排程優先權 (網域控制站 – 在網域安全性原則中) (尚未定義) Administrators                 
載入與卸載裝置驅動程式 (網域控制站 – 在網域安全性原則中) (尚未定義) Administrators                 
管理稽核及安全日誌 (網域控制站 – 在網域安全性原則中) (尚未定義) Administrators                 
修改韌體環境值 (網域控制站 – 在網域安全性原則中) (尚未定義) Administrators                 
設定檔系統效能 (網域控制站 – 在網域安全性原則中) (尚未定義) Administrators                 
關閉系統 (用戶端) Administrators
Backup Operators
Power Users
Users		 Administrators
Backup Operators
Power Users
Authenticated Users		               
關閉系統 (伺服器) Administrators
Power Users
(其他的群組會因系統類型而異)		 Administrators               
取得檔案和其他物件的擁有權 (網域控制站 – 在網域安全性原則中) (尚未定義) Administrators                 
#### 修改安全性選項 - **若要修改預先定義的安全性登錄設定** 1. 開啟適用的安全性原則。 2. 展開 \[安全性設定\]。 3. 在 \[安全性設定\] 中展開 \[本機原則\],就會看到 \[稽核原則\]、\[使用者權限指派\] 以及 \[安全性選項\] 等原則。 4. 按一下 \[安全性選項\]。右手邊的詳細資料窗格,會顯示可設定的安全性選項。 ![](images/Dd548221.secmod220_03(zh-tw,TechNet.10).jpg) *\[圖 3\] 安全性選項設定* 5. 若要設定安全性選項,請在右手邊的詳細資料窗格中,按一下要設定的原則。如此會開啟 \[安全性原則設定\] 對話方塊。 6. 針對網域等級的原則,請核取 \[定義這些原則設定\] 方塊。 7. 在選定之安全性選項的 \[安全性原則設定\] 對話方塊中可以輸入的內容,會因設定需求而異。例如,某些安全性選項可能會需要您從下拉式功能表中選取,或直接輸入文字,如下所示。 ![](images/Dd548221.secmod220_04(zh-tw,TechNet.10).jpg) *\[圖 4\] 智慧卡移除操作* ![](images/Dd548221.secmod220_05(zh-tw,TechNet.10).jpg) *\[圖 5\] 給登入使用者的訊息本文* 8. 依照 \[表 4\] 的建議修改安全性選項。 **\[表 4\]:安全性選項設定**
安全性選項    網域工作站 網域膝上型電腦 DC 網域伺服器 獨立工作站 獨立伺服器
設定匿名連線的其他限制
安全性目標:停用匿名使用者對於 SAM 帳戶和共用的列舉。
建議:針對網域和獨立伺服器,將此設定為 [不允許 SAM 帳戶和共用的匿名列舉 (Do Not Allow Enumeration of SAM Accounts and Shares)]。此設定與將 [RestrictAnonymous] 設定為 1 相同,且該設定通常會如此參照。針對膝上型電腦和工作站,將此設定為 [沒有明確匿名使用權限時不得存取 (No Access Without Explicit Anonymous Permissions) (RestrictAnonymous = 2)。
注意:[沒有明確匿名使用權限時不得存取 (No Access Without Explicit Anonymous Permissions)] 選項,在許多環境中可能會導致連線問題。因此,通常需要接受連入連線的系統,應該不要使用此設定。然而,由於此設定對於安全性有滿大的幫助,因此建議您測底地測試,以評估是否適用於您的環境。目前,此設定的已知嚴重相容性問題包括:
在 Exchange 2000 伺服器上設定為 [沒有明確匿名使用權限時不得存取 (No Access Without Explicit Anonymous Permissions)] 時,用戶端就無法在全域通訊錄 (Global Address Book) 中搜尋資料。此問題已經在 Windows 2000 Service Pack 3 修訂。在 Windows 2000 網域控制站上設定為 [不允許 SAM 帳戶和共用的匿名列舉 (Do Not Allow Enumeration of SAM Accounts and Shares)] 時,使用 Windows XP、NT、以及 Macintosh 用戶端的使用者將無法在登入時變更網域密碼。您可以向「產品支援服務 (PSS)」索取 Windows XP 的修訂程式 (Hotfix 328817)。目前沒有 Microsoft Windows NT® 以及 Macintosh 用戶端的修訂程式。
採用此設定時,舊版的用戶端 (Windows 9x 及較早版本) 將無法獲得網域的驗證。
在信任之 NT 4 網域上的使用者,將無法列出來自信任之 Windows 2000 網域的使用者清單。
「瀏覽器服務」的可靠性會受到影響。
跨樹系的通訊會發生錯誤。
如需詳細資訊,請參閱 Microsoft Knowledge Base 文章 246261,《How to Use the RestrictAnonymous Registry Value in Windows 2000 (英文)》。注意:在 Bastion 主機系統上,您應該將此設定為 [沒有明確匿名使用權限時不得存取 (No Access Without Explicit Anonymous Permissions)]。		            
允許不登入就將系統關機
安全性目標:使用者不應該能夠在沒有登入的狀況下,就將系統關機。這對於終端機伺服器而言特別重要。建議:針對表中的系統,將此原則設定為 [停用]。此設定在沒有啟用終端機服務的系統上,對於安全性並沒有什麼助益。攻擊者需要實體存取沒有終端機服務的系統才能將其關機,亦即攻擊者可以直接把系統的電源插頭拔掉。		               
稽核通用系統物件的存取
安全性目標:啟用此功能即可稽核通用系統物件的存取啟用此原則時,會導致系統物件 (例如 Mutex、事件、信號以及 DOS 裝置) 在建立時採用預設系統存取控制清單 (SACL)。如果 [稽核物件的存取] 稽核原則也有啟用,則會稽核這些系統物件的存取。
建議:保留此原則的停用狀態,除了在極為重要的系統上。在極為重要的系統上,將此原則設定為 [啟用]。
注意:此設定的主要目的,是要讓研發人員針對新程式進行疑難排解。此設定會產生大量的稽核資訊。因此,建議您僅在具有嚴格的稽核管理制度 (會定期檢閱、備份與清除稽核記錄檔) 的情況下,亦即此設定所產生的內容有實際作用時,才啟用此設定。由於記錄事件的量會增加,所以記錄檔的大小上限也需要編輯、調整。		                  
稽核備份和復原權限的使用
安全性目標:啟用此設定,即可在 [備份檔案和目錄] 或 [還原檔案和目錄] 權限被使用時,建立稽核事件日誌。在預設的狀況下,備份和還原權限的使用不會被稽核。若有啟用 [稽核特殊權限使用] 稽核原則,並設定安全性選項,就會稽核備份和還原權限的使用。
建議:此設定會產生大量的事件,所以應該僅有在疑難排解備份的相關問題時,才啟用此設定。		                  
超過登入時數就自動將使用者登出
安全性目標:如果使用者在超過允許的時間範圍之後仍未登出,強迫使用者登出網路。建議:在需要強制管理登入時間的環境中,應該啟用此設定。在其他的環境中,此設定不會有影響。
注意:限制使用者可以登入的時間,並不能單獨構成安全性的措施。如此並無法保護系統不遭惡意使用者的存取。		                  
當系統關機時清除虛擬記憶體分頁檔
安全性目標:系統關機時清除虛擬記憶體分頁檔。分頁檔會在下一次使用者登入時,重新初始化。用意在於不讓下一位登入的使用者存取該分頁檔中可能存有的資訊。
建議:在筆記型電腦和其他無法在關機之後確保實體設備之安全性的機器上,啟用此設定。
注意:啟用此設定時,會造成系統的關機時間大幅增加。		                 
數位簽名用戶端的通訊 (自動)
安全性目標:決定電腦的用戶端通訊是否一定要採用數位簽名。Microsoft Windows 2000 Server™ Message Block (SMB) 驗證通訊協定支援相互驗證,這可以避免「中間人 (man-in-the-middle)」攻擊;另外也支援訊息驗證,即可避免動態訊息的攻擊。SMB 簽名的驗證方法,是將數位簽名加入每一個 SMB,再由用戶端和伺服器進行確認。
在預設的狀況下,此設定為停用。啟用此選項時,Windows 2000 SMB 用戶端子系統就必須執行 SMB 封包簽名。如此一來,該電腦就無法與不支援數位簽名的伺服器通訊。除非這是希望實現的結果,否則請勿設定此選項;只要在所有支援簽名的系統(Windows 2000 和以上版本) 上,啟用 [可能的話] 選項,即可確保此選項在可用時均會使用。
建議:不要啟用此設定。		                  
數位簽名用戶端的通訊 (可能的話)
安全性目標:如果啟用此原則,會導致 Windows 2000 Server Message Block (SMB) 用戶端子系統在與有啟用或需要執行 SMB 封包簽名的 SMB 伺服器通訊時,才會執行 SMB 封包簽名。請參閱本表中的「數位簽名用戶端的通訊 (自動)」部分,以取得詳細資料。
建議:保留此設定的啟用狀態,也就是其預設值。		                  
數位簽名伺服器的通訊 (自動)
安全性目標:如果啟用此原則,當系統作為 SMB 伺服器時,就需要系統執行伺服器訊息區 (Server Message Block,SMB) 封包簽名。此原則在預設的狀況下為停用,因為否則電腦就無法與不執行簽名的用戶端系統通訊。請參閱本表中的「數位簽名用戶端的通訊 (自動)」部分,以取得詳細資料。
建議:在不應該作為 SMB 伺服器以及前版的系統上,請勿啟用此設定。在網域中的用戶端工作站應該很少會需要擔任如此的角色。因此,在用戶端工作站上,您應該啟用此設定。如果在網域控制站上啟用此設定,就可以避免某些類型的攻擊,例如 Microsoft Security Bulletin MS02-070 中所提及的攻擊。然而,必須一併考量前版用戶端無法與網域控制站通訊的負面影響。因此,此設定在 DC 設定範本中應該為停用。在僅有 Windows 2000 或更新版用戶端的環境中,網域控制站上就應該啟用此設定。		               
數位簽名伺服器的通訊 (可能的話)
安全性目標:如果啟用此原則,當系統作為 SMB 伺服器時,就可以讓系統執行伺服器訊息區 (Server Message Block,SMB) 封包簽名。此原則在工作站和伺服器平台的本機電腦原則中均預設為停用。此原則在網域控制站上預設為啟用。請參閱本表中的「數位簽名用戶端的通訊 (自動)」部分,以取得詳細資料。
建議:您應該在所有的系統上啟用此設定。
注意:此設定會造成通訊負荷的增加,在有些狀況下會較為嚴重。因此,您需要評估此設定對於您的環境所造成的影響,以確保網路回應時間不會低於可接受的水準。		            
登入時停用 CTRL+ALT+DEL 鍵
安全性目標:啟用此選項會停用受信任路徑機制。受信任路徑機制的用途,是要避免使用者登入工作階段的詐騙攻擊。此機制是導致作業系統永遠要攔截 CTRL+ALT+DEL 按鍵組合的機制,以避免其他子系統和程序攔截該按鍵組合。如果停用此機制,攻擊者可以輕易地透過按鍵記錄器來詐騙登入介面。因此,您應該「絕對不要」啟用此設定。此選項在 Windows 2000 之電腦上的預設值是「停用」,雖然原則工具會顯示 [尚未定義]。
建議:將此原則設定為停用。
注意:預設值是 [保留原狀],但是停用此設定可以確保被變更過的電腦上的值會被覆寫。		                  
不要在登入視窗中顯示上次登入的使用者名稱
安全性目標:在預設的狀況下,Windows 2000 登入介面會顯示上一次登入該電腦的使用者。啟用此選項可以在登入工作階段中,移除上次登入的使用者名稱。如此一來,嘗試要入侵電腦的攻擊者就不但要猜測密碼,而是連使用者名稱也需要猜對。然而,要取得使用者名稱的清單並不困難,所以還是要採用有效的密碼制度來進行防禦。另外,啟用此設定可能會增加技術支援成本,因為使用者有時候會忘記他們的使用者名稱。
建議:請僅在共用的電腦上啟用此設定,例如電腦室的工作站或終端機伺服器。在其他的電腦上,此設定就沒有太大的價值,至少不足以涵蓋可能增加的技術支援成本。		                  
LAN Manager 驗證層級
安全性目標:此安全性選項是要用來強制 Windows 網路的驗證通訊協定,以及用來啟用新的驗證通訊協定 (NTLMv2)。NTLMv2 是一種新的驗證通訊協定類型,可以大幅增強 Windows 驗證的安全性。這可以避免許多種詐騙攻擊,並允許伺服器向用戶端驗證它的身份。
NTLM 通訊協定的本質會讓密碼駭客使用擷取到的 NTLM 驗證工作階段,來破解密碼。為了防堵此問題,所以研發了第 2 版的 NTLM。NTLMv2 含有其他的安全性功能,包括:
每次連線採用唯一的工作階段索引鍵 (Unique session keys per connection)。建立新的連線時,就會為該工作階段產生新的工作階段索引鍵。這意味著被擷取的工作階段索引鍵,在該連線結束後,就毫無用途。
以金鑰交換保護工作階段索引鍵 (Session keys protected with a key exchange)。除非取得用於保護工作階段索引鍵的金鑰組,否則無法攔截和使用工作階段索引鍵。
用於加密工作階段資料和確保完整性所產生的唯一金鑰。用於加密用戶端傳送到伺服器之資料的金鑰,與用於加密伺服器傳送到用戶端之資料的金鑰不同。
增強式加密演算法。NTLMv2 針對工作階段索引鍵使用增強式的加密演算法通訊協定,更針對訊息的完整性和驗證順序使用增強式的雜湊演算法。
如需 NTLMv2 的詳細資訊,請參閱 Microsoft Knowledge Base 文章 147706,《How to Disable LM Authentication on Windows NT (英文)》。NTLMv2 從 Windows NT 4.0 Service Pack 4 就已經提供,適用於 Windows 9x 的內容則隨附目錄服務用戶端提供,檔案位於 Windows 2000 CD-ROM 的 Clients\Win9x 目錄中。此設定在說明文件中通常稱為「LMCompatibilityLevel 」,這是啟用此功能的實際登錄參數名稱。
該設定會影響驗證之後所使用的驗證通訊協定以及工作階段安全性通訊協定。所有以 Windows NT 為基礎的系統 (從 Windows NT 4.0 SP4 起 - 包括 Windows 2000、Windows XP、以及 Microsoft Windows Server 2003™) 都可以在不需要任何修改的情況下,接受 SMB 用戶端使用 NTLMv2 驗證進行連線。LMCompatibilityLevel 設定是用來修改驗證的方法:
當系統作為用戶端時,修改傳出的驗證通訊協定。當系統作為伺服器時,修改接收的驗證通訊協定。存有帳戶資料庫之電腦的設定值,會決定此行為。亦即,使用網域帳戶時,網域控制站的設定值會生效。使用本機帳戶時,則伺服器上的設定值會生效。
啟用 NTLMv2 工作階段安全性。
一共有 6 種可能的設定,可以決定此行為。括弧中的數值,是 LMCompatibilityLevel 登錄值的實際設定。用戶端行為的欄中,會顯示使用此設定之電腦作為 SMB 用戶端時的行為。伺服器行為的欄中,會顯示如果此設定套用到正在執行驗證的伺服器上,會有什麼樣的行為。使用網域帳戶且可以連接到 DC 時,驗證伺服器就永遠會是 DC。如果無法連線到 DC,或使用本機帳戶,則驗證伺服器就會成為用戶端連線的伺服器。
建議:在環境允許的狀況下,讓此設定越高越好,基本原則如下:
在純 Windows NT 4.0 SP4 和以上的環境中 (包括 Windows 2000 以及 XP),將所有用戶端設定為 5,待所有的用戶端都設定完成之後,再把所有的伺服器設定為 5。唯一的例外是 Windows 2000 RRAS 伺服器,因為如果設定高於 4,它就無法正常運作。
如果您有 Windows 9x 用戶端,但是您可以在這些用戶端上安裝 DSClient,則可將以 Windows NT 為基礎的電腦 (NT、2000 以及 XP) 設定為 5,然後將 Windows 9x 的電腦設定為 3。否則,您就必須將非 Windows 9x 的電腦設定為 3 或以下。
如果您發現某些應用程式會在此設定啟用時中斷,請一步一步地回溯,以找出中斷的原因。此設定在所有的電腦上,至少應該設定為 1,且通常應該可以設定為 3。如果您有優先技術支援 (Priority Support) 合約,請聯絡產品技術支援 (PSS),讓他們知道哪些應用程式會在什麼設定層次中斷。
注意:在同時具有 Windows NT 4.0 以及 Windows 2000 的網域環境中,如果將 LMCompatibility 設定為 2 以上,可能會導致交互操作性的問題。如需詳細資訊,請參閱 Microsoft Knowledge Base 文章 305379,《Authentication Problems in Windows 2000 with NTLM 2 Levels Above 2 in a Windows NT 4.0 Domain (英文)》。
W2KHG-baseline.inf 範本會將 LMCompatibilityLevel 設定為 [只傳送 NTLMv2 回應 (3)]。		            
執行授權的使用警告
安全性目標:設定互動式登入畫面,以顯示具標題和警告的登入橫幅。此橫幅主要是用來通知使用者關於使用原則的資訊,並達到告知的責任。請聯絡法務部門,以瞭解是否有其他的法律考量。建議:此橫幅的設定應符合您的資訊安全性原則。		              
停用登入資訊的快取
安全性目標:Windows 2000 可以將登入資訊快取。如果登入時找不到「網域控制站」,且使用者之前有登入到該系統過,就可以使用該憑證進行登入。這是一項很方便的功能,特別是對於可攜式電腦,因為它們的使用者經常需要從網路以外的地點使用。CachedLogonsCount 登錄值會決定 Windows 2000 需要在本機電腦的登入快取中,儲存幾個使用者帳戶。登入快取在電腦的安全區域中,其中的憑證會採用系統上最強的加密法保護。如果此項目的值是 0,則 Windows 2000 不會在登入快取中儲存任何使用者帳戶資料。如此一來,如果使用者的網域控制站無法使用,且使用者嘗試登入沒有使用者帳戶資訊的電腦,Windows 2000 就會顯示下列訊息:系統目前無法讓您登入,因為 <網域名稱> 無法使用。
即使系統管理員停用使用者的網域帳戶,使用者如果將網路纜線拔除,就仍然可以使用快取進行登入。若要避免此情形,系統管理員可以停用登入資訊的快取。預設的設定,是允許快取 10 組憑證。
建議:將此設定為 2 或以上,以確保在網域控制站當機或無法使用時,系統仍然可以運作。		            
防止電腦帳戶密碼的系統維護
安全性目標:在 Windows 2000 網域中的電腦,需要向網域控制站驗證身份,才能使用網域資源。此設定會決定是否要禁止每週重設電腦帳戶密碼。為了確保 Windows 2000 的安全性,「電腦帳戶」的密碼會在每 7 天自動變更一次。如果啟用此原則,便可防止電腦每週要求變更密碼。如果停用此原則,就會每週為電腦帳戶產生一個新的密碼。此原則預設為停用。
建議:將此設定為停用,以確保被變更過的電腦上的值會被覆寫成正確的值。此原則幾乎沒有啟用的理由。		              
防止使用者安裝印表機驅動程式
安全性目標:決定是否要禁止使用者群組的成員安裝印表機驅動程式。如果啟用此原則,便可防止使用者在本機電腦上安裝印表機驅動程式。如此可以避免使用者在本機電腦上新增電腦上沒有該裝置驅動程式的印表機。如果停用此原則,隸屬「Users」群組的成員,就可以在電腦上安裝印表機驅動程式。在預設的情況下,此設定會在伺服器上啟用,在工作站上則停用,以降低需要由系統管理員安裝印表機驅動程式的需要。雖然啟用此設定可以稍微提高工作站的安全性,但是系統管理員的工作量卻會大幅增加。您必須評估其中的取捨,還有十大安全性定律的第三條:「如果壞人已經可以無限地實際接觸到您的電腦,基本上,該電腦就已經不屬於您的了。」有關安全性定律的其他詳細資訊,請參閱《The Ten Immutable Laws of Security (英文)》,網址為:
https://www.microsoft.com/technet/treeview/default.asp?url=/technet/columns/security/essays/10imlaws.asp.
Recommendation:不要變更此設定。		                  
在密碼過期前提示使用者變更密碼
安全性目標:決定 Windows 2000 要在多久之前警告使用者其密碼即將過期。藉由在事前提醒使用者,可以讓使用者有足夠的時間訂立一個增強式密碼。在預設的狀況下,此值設定為 14 天。
建議:無。預設的設定已經足夠了。		                  

復原主控台:允許自動系統管理登入
安全性目標:在預設的狀況下,「復原主控台」會需要系統管理員 (Administrator) 帳戶的密碼,才能存取系統。如果啟用此選項,「復原主控台」便不會要求提供密碼,並且將自動登入系統。在預設的狀況下,此設定為停用,雖然原則工具可能會將其顯示為 [尚未定義]。
建議:將此選項設定為停用。		            
復原主控台:允許軟碟複製以及存取所有磁碟和所有資料夾
安全性目標:啟用此選項會啟用「復原主控台」的「SET」命令,亦即會設定下列「復原主控台」環境變數:
AllowWildCards - 啟用某些命令的萬用字元支援 (例如
DEL 命令)。
AllowAllPaths - 允許存取電腦上所有的檔案及資料夾。
AllowRemovableMedia - 允許將檔案複製到卸除式媒體,例如軟碟機。
NoCopyPrompt - 執行檔案覆寫操作時不要求使用者確認。在預設的狀況下,SET 命令為停用,且這些變數也都為停用,雖然原則工具可能會將其顯示為 [尚未定義]。
建議:啟用此選項即可增強透過「復原主控台」進行系統修復的能力。		            
重新命名系統管理員帳戶
安全性目標:用於變更關聯到「系統管理員」帳戶之安全性識別元 (SID) 的名稱。這似乎無法提供任何安全性價值,因為要得知系統管理員 (Administrator) 帳戶的名稱非常容易,除非匿名存取功能已經停用。如果將 [為匿名連線設定其他限制] 設定為 [不允許 SAM 帳戶和共用的匿名列舉],此設定就可以稍微提升安全性。然而,使用者名稱沒有密碼好用,所以您應該為系統管理員 (Administrator) 設定增強式密碼,而非僅將名稱改為非標準的名稱。再則,如果您重新命名系統管理員 (Administrator) 帳戶的名稱,會導致某些程式失敗。
建議:除非您可以同時不允許 SAM 帳戶和共用的匿名列舉,否則重新命名系統管理員 (Administrator) 帳戶就沒有安全性的價值。		                  
重新命名來賓帳戶
安全性目標:用於變更關聯到「來賓 (Guest)」帳戶之安全性識別元 (SID) 的名稱。此設定沒有任何安全性的價值。
建議:重新命名來賓帳戶完全沒有安全性的價值。您只需要確認它已停用。		                  

CD-ROM 存取只限於登入本機的使用者
安全性目標:決定 CD-ROM 是否可以同時由本機和遠端使用者存取。如果啟用,此原則僅會允許互動式登入的使用者存取卸除式 CD-ROM 媒體。如果停用此原則,CD-ROM 就可以在沒有互動式登入使用者時,透過網路進行共用。
建議:此設定的無法提供太多的安全性,因為僅有使用者登入時才能生效。不要啟用此設定		                  
軟碟機存取只限於登入本機的使用者
安全性目標:決定軟碟機是否可以同時由本機和遠端使用者存取。如果啟用,此原則僅會允許互動式登入的使用者存取卸除式軟碟機媒體。如果停用此原則,軟碟就可以在沒有互動式登入使用者時,透過網路進行共用。
建議:此設定的無法提供太多的安全性,因為僅有使用者登入時才能生效。不要啟用此設定		                  
安全通道:安全通道資料加以數位加密或簽名 (自動)
安全性目標:決定電腦是否永遠將安全通道資料加以數位加密或簽名。安全通道是提供給網域控制站和網域成員通訊的管道。當 Windows 2000 系統加入網域時,就會建立一個電腦帳戶。之後,當系統重新開機時,就會使用該帳戶的密碼來建立安全通道,以便與其網域的網域控制站通訊。會經由安全通道傳輸的資料範例,包括登入資料的傳輸。透過安全通道傳送的要求都會經過驗證,機密的資料 (例如密碼) 會經過加密,但是通道的完整性並不會受到檢查,且並非所有的資料都會經過加密。如果啟用此原則,所有透過安全通道傳出的資料,都必須經過簽名或加密。如果停用此原則,簽名與加密的需要,就會透過與網域控制站的交涉決定。在預設的狀況下,此原則為停用。
建議:除非您要避免系統與前版的網域通訊,否則請勿啟用此原則。		                  
安全通道:安全通道資料加以數位加密 (可能的話)
安全性目標:決定電腦是否要與網域控制站交涉為安全通道加密。在預設的狀況下,所有的機密資料都會加密。如果啟用此原則,當系統與支援此原則的網域控制站通訊時,就會加密所有透過安全通道傳輸的資料。在預設的狀況下,此原則為啟用。
建議:請勿變更預設值。		                  
安全通道:安全通道資料加以數位簽名 (可能的話)
安全性目標:決定電腦是否要交涉為安全通道資料的完整性簽名。透過安全通道傳送的要求都會經過驗證,機密的資料 (例如密碼) 會經過加密,但是通道的完整性並不會受到檢查,且並非所有的資料都會經過加密。如果啟用此原則,與支援此原則的網域控制站通訊時,就會為透過安全通道傳輸的資料加以數位簽名。在預設的狀況下,此原則為啟用。
建議:請勿變更預設值。		                  
安全通道:要求增強式 (Windows 2000 或更新) 工作階段機碼
安全性目標:如果啟用此原則,所有透過安全通道傳出的資料,都必須有增強式 (Windows 2000 或更新) 加密金鑰。如果停用此原則,金鑰增強度就會透過與 DC 的交涉決定。唯有全部受信任網域中的所有 DC 都支援增強式金鑰時,才應該啟用此選項。在預設的狀況下,此值為停用。
建議:如果所有合法的 DC 都執行 Windows 2000 或以上的版本,才可以啟用此原則。否則,請保留停用的設定。		              
傳送未加密的密碼以便連線到其他廠商的 SMB 伺服器
安全性目標:如果啟用此原則,即可允許 SMB 重新導向程式將純文字密碼傳送到在驗證過程中不支援密碼加密的非 Microsoft SMB 伺服器。在預設的狀況下,此原則為停用。
建議:將此設定為停用,以確保個別電腦上的變更會被覆寫		            
當無法記錄安全性稽核時,立即關機系統
安全性目標:決定當系統無法記錄安全性事件時,是否要關機。如果啟動此原則,無論任何原因,當安全性稽核無法記錄時,就會導致系統關機。通常當安全性稽核記錄已滿,而且安全性記錄所指定的保持方法是 [不覆寫事件] 或 [依日期覆寫事件] 時,就無法記錄事件。
如果安全性記錄已滿,造成現有的項目無法被覆寫,而且此安全性選項已啟用,就會出現下列藍色螢幕錯誤:
停止:C0000244 {稽核失敗}
嘗試產生安全性稽核時發生失敗。若要修復,就必須以系統管理員的身份登入、封存記錄檔 (若要的話)、清除記錄檔、然後依需要重設此選項。在預設的狀況下,此原則為停用。如果啟用此原則,攻擊者只要產生大量的事件日誌項目,即可很容易地達成拒絕服務攻擊。建議:不要啟用此原則。正確的記錄檔管理策略,可以避免事件的遺失,同時預防遭受拒絕服務攻擊。		                  
智慧卡移除操作
安全性目標:決定當登入使用者的智慧卡從智慧卡讀取裝置移除時,發生的後續動作。選項包括:
沒有動作。
鎖定工作站
強制登出
在預設的狀況下,會指定 [沒有動作]。如果指定「鎖定工作站」,則工作站會在智慧卡移除時鎖定,讓使用者得以攜帶智慧卡離開工作崗位,但是仍然維持受保護的工作階段。如果指定「強制登出」,使用者就會在智慧卡移除時自動登出。將智慧卡移除操作設定為 [鎖定工作站]。注意:唯有在網域環境中才支援智慧卡登入功能。因此,在獨立系統上,此設定並沒有任何作用。		              
加強通用系統物件的預設權限 (例如:符號連結)
安全性目標:決定針對系統物件之預設存取控制清單 (DACL) 判別的強度。Windows 2000 會維護一個共用系統資源的全域清單,其中包括 DOS 裝置名稱、Mutexes、以及信號。物件可以在各個程序之間找到和共用。每一種物件的類型在建立時,都會有預設的 DACL,其中指定誰可以存取該物件,以及授與的存取權限。如果啟用此原則,可加強預設 DACL,使非系統管理員使用者能夠讀取共用物件,但無法修改不是自己建立的共用物件。在預設的狀況下,此選項在 Windows 2000 Professional 以及 Server 上為啟用,但是並未在「網域安全性原則」中定義。
建議:確定此設定已經 [啟用]。		            
未簽署的驅動程式安裝操作
安全性目標:決定當嘗試安裝未經驅動程式發行者認證的裝置驅動程式時,發生的後續動作。
無訊息式成功
警告但允許安裝
不允許安裝
預設的設定為 [警告但允許安裝]。
建議:預設的設定已經足夠了。		                  
未簽署的非驅動程式安裝操作
安全性目標:決定當嘗試安裝未經簽名的非裝置驅動程式軟體時,發生的後續動作。
選項包括:
無訊息式成功
警告但允許安裝
不允許安裝
預設的設定為 [無訊息式成功]。
建議:目前的軟體很少有數位簽名。因此,此設定並沒有實際的作用。保留預設值即可。		                  
[](#mainsection)[回到頁首](#mainsection) ### 其他安全性設定 本節所描述的其他安全性設定,並不在預設的安全性原則 GUI 中。這些設定可以透過 \[登錄編輯器\] 來設定,或藉由安裝本指南隨附的自訂範本 (sceregvl.inf) 來設定。自訂範本 sceregvl.inf 會將這些設定加入到預設安全性原則 GUI 中。 \[登錄編輯器\] 中的 \[說明\] 工具有如何編輯登錄的資訊。例如,若要檢視如何在加入登錄機碼,請採用下列程序。 - **若要檢視如何加入登錄機碼的指示** 1. 從 \[開始\] 功能表,按一下 \[執行...\]。 2. 在文字方塊中鍵入「**regedt32**」,然後按一下 \[確定\] 來開啟 \[登錄編輯程式\] (Regedt32.exe)。 3. 從 \[說明\] 功能表中選取 \[內容\]。 4. 在 \[登錄編輯器\] 之 \[說明\] 工具的右邊窗格中,按一下 \[新增及刪除登錄中的資訊 (Add and Delete Information in the Registry) 超連結。 5. 窗格會變更,以提供新增及刪除登錄中之資訊的說明主題清單。按一下 \[新增登錄機碼 (Add A Key to the Registry)\] 超連結,即可獲得詳細的指示。 **注意:**您應該用 regedt32.exe (亦即「Windows NT 登錄編輯器」) 而非 regedit.exe (亦即「Windows 95 登錄編輯器」),來修改登錄設定。這兩個編輯器都隨附 Windows 2000 一併出貨,但 regedit.exe 是大家認為較為易用的編輯器。然而 regedit.exe 無法支援所有的登錄資料類型,所以會轉換其無法瞭解的特定類型。某些值在轉換之後,會使系統無法正確讀取而導致問題,包括無法開機的問題。**若您手動編輯登錄,就必須自行負責一切後果。**修改登錄之前,請務必先備份,並確保您瞭解如何在發生問題時,將登錄資料還原。有關如何備份、還原、以及編輯登錄的詳細資料,請參閱 Microsoft Knowledge Base 文章 256986,《Description of the Microsoft Windows Registry (英文)》。 [](#mainsection)[回到頁首](#mainsection) ### 其他登錄設定 本節中所描述的設定可以用來進一步加強作業系統的安全性。除了「Service Pack 3 登錄項目」區段中的設定以外,這些設定在所有的 Windows 2000 版本中均適用。 [](#mainsection)[回到頁首](#mainsection) ### 移除 OS/2 以及 POSIX 子系統 所包括的 OS/2 以及 POSIX 子系統,僅用於提供與 POSIX 以及 OS/2 應用程式的相容性。這些應用程式很少會需要在 Windows 2000 上執行,在大多數的情況下,這些子系統可以安全地移除。然而,手動將此登錄機碼移除之前,您應該先備份 (或使用範本,即可將設定還原)。若要將 Windows 2000 的 OS/2 以及 POSIX 支援移除,請依下表所示編輯登錄,將相關的值刪除。 **\[表 5\]:移除 POSIX 以及 OS/2 支援的登錄機碼**
機碼路徑:HKLM\SYSTEM\CurrentControlSet\Control\Session Manager 類型
機碼:SubSystems
值的名稱:Optional		 REG_MULTI_SZ 刪除所有項目
**注意:**如果您手動進行變更,請務必使用 regedt32.exe。Regedit.exe 無法處理 **REG\_MULTI\_SZ** 值。如果使用 regedit.exe 將 \[Optional\] 中的值全部刪除,就會導致系統無法開機。如需強係資訊,請參閱上一頁的「注意」事項。您也可以使用「群組原則」執行此變更。 **注意:**Dell 電腦先前有附一些更新檔案,其中的解壓縮器是針對 OS/2 編寫的。移除 OS/2 子系統之後,這些更新檔案就無法使用。 **注意:**Microsoft Services for Unix 產品需要 Posix 子系統。如果電腦需要執行 Services for Unix,請勿移除該子系統。 [](#mainsection)[回到頁首](#mainsection) ### 限制 Null 工作階段存取 Null 工作階段適用於各種沒有驗證的舊版通訊。這些可以被用來利用電腦上的各種共用資源。若要防止他人透過 Null 工作階段存取電腦,請在登錄中加入一個稱為「**RestrictNullSessAccess** 」的值。將此值設定為 1 即可限制 Null 工作階段存取任何伺服器通道和共用,除了列於「**NullSessionPipes** 」以及「**NullSessionShares** 」中的項目以外。 **\[表 6\]:防止 Null 工作階段的登錄機碼**
機碼路徑:HKLM\SYSTEM\ CurrentControlSet\Services\LanmanServer 類型
機碼:Parameters
值的名稱:RestrictNullSessAccess		 REG_DWORD 1
[](#mainsection)[回到頁首](#mainsection) ### 限制 Null 工作階段存取具名管道與共用請參閱 限制這些項目的存取,可以防止未授權的網路存取。若要限制 Null 工作階段存取具名管道與共用目錄,請編輯登錄並如下表所示刪除相關的值。 **\[表 7\]:防止 Null 工作階段存取具名管道與共用的登錄機碼**
機碼路徑:HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer 類型
機碼:Parameters
值的名稱:NullSessionPipesNullSessionShares		 REG_MULTI_SZ 刪除所有的值
**注意:**有些服務會需要用到 Null 工作階段的存取。例如:Microsoft Commercial Internet System 1.0 會需要其使用之 Microsoft SQL Server™ 電腦上的 SQL\\query 管道,POP3 服務才能正常執行。 [](#mainsection)[回到頁首](#mainsection) ### 在網路瀏覽清單中隱藏電腦 在 Windows 網域以及工作群組中,會有一部電腦維護網路資源的清單。該清單稱為「瀏覽清單」,含有網路上的共用、印表機等等資源的清單。在預設的狀況下,有安裝 SMB 通訊協定的所有電腦,都會在此清單中呈現,並由「主瀏覽器」維護,無論它們是否有提供資源。在許多狀況下,這會無謂地增加網路的負荷,也會讓攻擊者更容易侵入防火牆,並產生可用網路資源的清單。因此,您應該將沒有提供資源之電腦的瀏覽器宣告功能關閉。達成此目的的方法之一,是將「電腦瀏覽器」服務關閉。但是,這也會防止用戶端電腦取得瀏覽清單,使一般使用者無法便捷地找到可用的網路資源。所以,較為理想的解決方案,是在瀏覽清單中隱藏電腦。這通常只需要在工作站與膝上型電腦上設定。所以,本指南隨附的兩個工作站範本與一個膝上型電腦範本都將此設定關閉。 **\[表 8\]:在網路瀏覽清單中隱藏電腦的登錄機碼**
機碼路徑:HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer 類型
機碼:Parameters
值的名稱:hidden		 REG_DWORD 1
**注意:**這無法防止攻擊者產生網路資源的清單。此清單可以透過不同的方法產生,特別是當 SAM 帳戶和共用的匿名列舉沒有關閉時。然而,這可以大幅延長產生清單所需的時間。 [](#mainsection)[回到頁首](#mainsection) ### Service Pack 3 登錄項目 Service Pack 3 含有一些新的登錄項目,可以用來增強作業系統的安全性。 [](#mainsection)[回到頁首](#mainsection) ### 移除預設的 IPSEC 豁免事項 有些傳輸在預設的狀況下不會受到 IPSec 的保護,即使 IPSec 原則指定所有的 IP 傳輸都應該要被保護。IPSec 豁免適用於廣播、多點傳送、RSVP、IKE、以及 Kerberos 傳輸。有關這些豁免的詳細資訊,請參閱 Microsoft Knowledge Base 文章:254949《Client-to-Domain Controller and Domain Controller-to-Domain Controller IPSec Support (英文)》。此豁免可以被攻擊者用來規避 IPSec 限制。因此,您應該儘量將它們移除。在不使用 IPSec 的系統上,此設定沒有作用。 **\[表 9\]:防止 IPSec 豁免的登錄機碼**
機碼路徑:HKLM\SYSTEM\CurrentControlSet\Services 類型
機碼:IPSEC
值的名稱:NoDefaultExempt		 REG_DWORD 1
有關此參數的詳細資訊,請參閱 Microsoft Knowledge Base 文章 811832,《IPSec Default Exemptions Can Be Used to Bypass IPsec Protection in Some Scenarios (英文)》。 [](#mainsection)[回到頁首](#mainsection) ### 變更 DLL 搜尋順序 Windows 平台的大多數程式都會使用「動態連結程式庫 (Dynamic Link Libraries,DLL)」來避免重新實作功能。作業系統會根據程式的類別,為各個程式載入數個 DLL。當程式沒有指定 DLL 的絕對位置時,就會採用預設的搜尋順序來尋找。在預設的狀況下,作業系統所使用的搜尋順序如下: 1. 記憶體 (Memory) 2. 已知 DLL (KnownDLLs) 3. 顯示 (Manifests) 以及 .local 4. 應用程式目錄 5. 目前的工作目錄 6. 系統目錄 (%systemroot%、%systemroot%\\system、以及 %systemroot%\\system32) 7. 路徑 (Path) 變數 由於目前的工作目錄會比系統目錄更早搜尋,能夠存取檔案系統的人士可以利用此點,導致由使用者啟動的程式載入詐騙 DLL。如果使用者在文件上按兩下來啟動程式,則目前的工作目錄就會成為文件的位置。如果該目錄中的 DLL 與系統的 DLL 同名,則該位置的 DLL 就會被載入,而非系統的 DLL。此攻擊方法正是 Nimda 病毒所採取的方法。 為了避免此問題,Service Pack 3 中建立了新的設定,在搜尋順序中將目前的工作目錄移到系統目錄的後面。但是,為了要避免應用程式相容性問題,所以此參數在預設的情況下不會開啟。若要將其開啟,請設定下列登錄值: **\[表 10\]:變更 DLL 搜尋順序的登錄機碼**
機碼路徑:HKLM\SYSTEM\CurrentControlSet\Control 類型
機碼:Session Manager
值的名稱:SafeDllSearchMode		 REG_DWORD 1
[](#mainsection)[回到頁首](#mainsection) ### 防止應用程式產生之輸入干擾工作階段的鎖定 Service Pack 3 中有一項新的登錄值,可以用來防止應用程式產生之輸入干擾工作階段的鎖定。在預設的狀況下,應用程式可以產生假的輸入訊號,以避免螢幕保護程式逾時而啟動。該值的名稱是「**BlockSendInputResets** 」,與大多數原則設定一樣,它也存在 software\\policy 樹狀目錄中: HKCU\\Software\\Policies\\Microsoft\\Windows\\Control Panel\\Desktop 原則比使用者套用的設定更具優先權。該值為 \[REG\_SZ\],以維持與其他相關機碼的一致性,如果值不是零,就會被轉譯成布林值,亦即會以該值啟動功能。如果值是零,或缺乏任何值,則會維持目前的狀態。 有設定值時,唯有「真實」(滑鼠或鍵盤) 的輸入才會重設螢幕保護程式的計時器。目前有 3 種情況,會使「注入」輸入重設時間。 透過「**SendInput** 注入輸入– 這是應用程式刻意要模擬輸入,這會被阻擋。 Window 啟動 – 新的視窗成為作用中視窗時,計時器就會重設。除非已經有作用中的螢幕保護程式,否則這會被阻擋。 會設定 **SPI\_SETSCREENSAVETIMEOUT**、**SPI\_SETSCREENSAVEACTIVE**、**SPI\_SETLOWPOWERTIMEOUT**、**SPI\_SETLOWPOWERACTIVE**、**SPI\_SETPOWEROFFTIMEOUT**、**SPI\_SETPOWEROFFACTIVE** 的 **SystemParametersInfo** 呼叫。如果有設定 **BlockSendInputResets** ,這些就不會造成計時器的重設。這應該不會影響使用者經驗,因為如果使用者設定這些值,就需要有「實際」的滑鼠和鍵盤輸入。 若要啟用此功能,請如下表所示編輯下列登錄值。您可能需要建立路徑。 **\[表 11\]:防止應用程式產生之輸入干擾工作階段的鎖定之登錄機碼**
機碼路徑:(原則)
HKCU\Software\Policies\Microsoft\Windows\Control Panel		 類型
機碼:Desktop
值的名稱:BlockSendInputResets		 REG_SZ 1
**注意:**請注意您必須配合此值來設定適當的螢幕保護程式設定,才能發揮效用。必要的螢幕保護程式設定如下: - 選取螢幕保護程式 - 密碼保護 - 螢幕保護程式的逾時期間 如果螢幕保護程式沒有正確設定,此功能就無法對於電腦的整體安全性發揮任何作用。有關如何在螢幕保護程式中設定密碼保護,請參閱本單元的<啟用自動螢幕鎖定保護>一節。 [](#mainsection)[回到頁首](#mainsection) ### 當稽核記錄檔的閾值百分比到達時,產生稽核事件 Service Pack 3 包含一項新的功能,可以在安全性記錄的容量到達設定的閾值時,產生安全性稽核。若要啟用此功能,請如下表所示建立數值。數值中的資料指定的是百分比,亦即會導致事件日誌到安全性記錄中的閾值。下列表中所示的值是建議值,您可以依照作業需求進行自設。例如,如果您採用表中所示的設定,則當安全性記錄檔的大小到達所示百分比 (90) 時,安全性記錄就會顯示一項事件,eventID 523,內容如下:**安全性記錄目前為百分之 90 滿**。可以設定 IDS,來根據該事件鍵入動作,使記錄檔傾印並重設。 **\[表 12\]:當稽核記錄檔的閾值百分比到達時,產生稽核事件的登錄機碼**
機碼路徑:HKLM\SYSTEM\CurrentControlSet\Services\Eventlog 格式
機碼:Security
值的名稱:WarningLevel		 REG_DWORD 90
**注意:**如果記錄檔設定為 \[視需要覆寫事件\],就無法使用此功能。 [](#mainsection)[回到頁首](#mainsection) ### 鞏固 TCP/IP 堆疊以對抗拒絕服務攻擊 拒絕服務攻擊是要導致電腦或其特定服務無法提供給網路使用者的網路攻擊。下列登錄 TCP/IP 相關的值,可以協助 Windows 2000 中的 Windows 2000 TCP/IP Stack 抵抗拒絕服務的網路攻擊。下列 \[表 13\] 中所示的設定值可以在所有的系統上使用,但是可能會需要在特定的登錄機碼中加上某些值。其他的細節可以在 Microsoft Knowledge Base 文章 315669,《HOW TO:Harden the TCP/IP Stack Against Denial of Service Attacks in Windows 2000 (英文)》中找到。 **\[表 13\]:鞏固 TCP/IP 堆疊以對抗拒絕服務攻擊的登錄機碼**
機碼路徑:HKLM\SYSTEM\CurrentControlSet\Services\Tcpip 格式
機碼:Parameters
值的名稱:DisableIPSourceRouting		 REG_DWORD 2
機碼:Parameters
值的名稱:EnableDeadGWDetect		 REG_DWORD 0
機碼:Parameters
值的名稱:EnableICMPRedirect		 REG_DWORD 0
機碼:Parameters
值的名稱:EnableSecurityFilters		 REG_DWORD 1
機碼:Parameters
值的名稱:KeepAliveTime		 REG_DWORD 300,000
機碼:Parameters
值的名稱:PerformRouterDiscovery		 REG_DWORD 0
機碼:Parameters
值的名稱:SynAttackProtect		 REG_DWORD 2
機碼:Parameters
值的名稱:TcpMaxConnectResponseRetransmissions		 REG_DWORD 2
機碼:Parameters
值的名稱:TcpMaxConnectRetransmissions		 REG_DWORD 3
機碼:Parameters
值的名稱:TcpMaxDataRetransmissions		 REG_DWORD 3
機碼:Parameters
值的名稱:TCPMaxPortsExhausted		 REG_DWORD 5
**\[表 14\] 以及 \[表 15\]:進一步增強伺服 SMB 傳輸之重要伺服器 (例如檔案伺服器或網域控制站) 的安全性之登錄機碼**
機碼路徑:HKLM\SYSTEM\CurrentControlSet\Services\Tcpip 格式
機碼:Parameters
值的名稱:EnablePMTUDiscovery		 REG_DWORD 0
機碼路徑:HKLM\SYSTEM\CurrentControlSet\Services\NetBT 格式
機碼:Parameters
值的名稱:NoNameReleaseOnDemand		 REG_DWORD 1
您不應該在用戶端上設定這些值。**EnablePMTUDiscovery** 會停用 Maximum Transfer Unit 的搜索,以防止堆疊因攻擊者將 MTU 設定為極小值而溢位。在用戶端系統上,如果保留此值的預設值 (1),效能會比較好。**NoNameReleaseOnDemand** 設定會使系統拒絕名稱釋放要求,不釋放其 SMB 名稱。此設定可以防止攻擊者傳送名稱釋放要求到伺服器上,而導致伺服器無法被合法的用戶端存取。但是,如果將此設定套用到用戶端,且用戶端的名稱誤設為與重要伺服器相同的名稱,則伺服器就無法復原名稱,導致合法的要求被導向 Rogue 伺服器,因而至少會造成拒絕服務的狀況。 [](#mainsection)[回到頁首](#mainsection) ### 檢閱時間服務驗證 檢閱下表所示的機碼,確保 \[類型\] 值設定為「NT5DS」。這會確保系統是使用通過驗證的時間服務來執行作業。 **\[表 16\]:確保系統是使用通過驗證的時間服務來執行作業的登錄機碼**
機碼路徑:HKLM\SYSTEM\CurrentControlSet\Services\W32Time 格式
機碼:Parameters
值的名稱:type		 REG_SZ Nt5DS
**注意:**由於「安全性設定編輯器」介面的限制,此設定無法在該使用者介面中顯示。但是,它可以被設定,因為它會在基礎範本中設定。 [](#mainsection)[回到頁首](#mainsection) ### 停用建立 LMHash Windows 2000 的伺服器可以驗證所有執行先前之 Windows 版本的電腦。但是,先前的 Windows 版本並不使用 Kerberos 進行驗證,所以 Windows 2000 支援 LAN Manager (LM)、Windows NT (NTLM) 以及 NTLM 第 2 版 (NTLMv2)。雖然 NTLM、NTLMv2、以及 Kerberos 都使用 Unicode 雜湊,亦稱為「NT 雜湊 (NT Hash)」,LM 驗證通訊協定則使用 LM 雜湊 (LM Hash)。與 NT 雜湊相較之下,LM 雜湊比較弱,所以比較容易屈服於猛烈的攻擊。LM 雜湊也移除了複雜密碼所造成的混亂。因此,除非您有回溯相容性的需要,否則請避免 LM 雜湊的儲存。在僅有 Windows 95 及更新之用戶端的環境中,不需要 LM 雜湊。但是,沒有 LM 雜湊的使用者將無法連線到採用 Win9x 作為伺服器的電腦。 Windows 2000 Service Pack 2 及以上,均提供停用儲存 LM 雜湊的登錄設定。如需詳細資訊,請參閱 Microsoft Knowledge Base 文章 299656,《New Registry Key to Remove LM Hashes from Active Directory and Security Account Manager (英文)》。 **\[表 17\]:停用建立 LMHash 的登錄機碼**
機碼路徑:HKLM\SYSTEM\CurrentControlSet\Control\LSA 格式
機碼:NoLMHash 不適用 不適用
在 Windows 2000 上,此設定是稱為「**NoLMHash**」的機碼。但是,在 Windows XP 或 Windows Server 2003 上建立該機碼不會有任何作用。在該些作業系統上的設定是稱為「**NoLMHash**」的 DWORD 值。如果您要建立可以在所有該些作業系統上使用的自訂原則範本,可以同時建立機碼以及值 (值的位置相同,設定 1 即可停用 LM 雜湊的建立)。當 Windows 2000 系統升級至 Windows Server 2003 時,雖然會同時升級該機碼,但是即使登錄中有兩個設定,也不會有負面影響。 **注意:**此原則會透過基礎範本設定。如果您有執行 Windows 3.1 的用戶端或原始的 Windows 95 版本,而且需要連線到 Windows 2000 系統,則您絕對不可以在 Windows 2000 的系統上啟用此設定。 [](#mainsection)[回到頁首](#mainsection) ### 停用自動執行 自動執行會在媒體插入磁碟機/光碟機之後,自動進行讀取。結果是,程式的安裝檔案以及音效媒體的音效,就會馬上啟動。若要防止可能的惡意程式在媒體插入之後立即啟動,請建立下列登錄機碼,以停用所有磁碟機/光碟機的自動執行功能。 **\[表 18\]:停用自動執行的登錄機碼**
機碼路徑:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies 格式
機碼:Explorer
值的名稱:NoDriveTypeAutoRun		 REG_DWORD 255
請注意:自動執行通常是使用者預期會有的功能。因此,您僅應該在系統管理員會登入的伺服器和工作站上變更此設定。 [](#mainsection)[回到頁首](#mainsection) ### LDAP 連結命令要求設定 這個值是用來決定 LDAP 伺服器 (ldapagnt.lib) 如何處理 LDAP 連結命令要求,如下所述。 - 1 (預設) 或尚未定義:當處理一個指定 SASL 驗證機制的 LDAP 連結指令要求時,AD 的 LDAP 代理程式會自動支援 LDAP 用戶端對 LDAP 流量簽名的要求。 - 2: 除非輸入要求已經被 TLS/SSL 保護,否則 AD 的 LDAP 代理程式在 LDAP 連結指令要求時,只支援 SASL。如果使用其他類型的驗證時,LDAP 連結命令要求會被拒絕。如果 LDAP 連結命令要求並不是經由 TLS/SSL 而來的,則在用戶端安全性內容中需要有 LDAP 流量簽名的選項。 若要設定此值,請依下表所示編輯登錄機碼,先建立 **LdapServerIntegrity** 值,然後設定其值為 **2**。 **\[表 19\]:LDAP 連結命令要求設定的登錄機碼**
機碼路徑:HKLM\System\CurrentControlSet\Services\NTDS 格式
機碼:Parameters
值的名稱:LdapServerIntegrity		 REG_DWORD 2
注意:此設定對用戶端系統沒有任何影響。 [](#mainsection)[回到頁首](#mainsection) ### 當稽核記錄檔已滿時,會產生系統管理警示 若要在以 Windows 2000 為基礎的電腦,請依下表所示編輯登錄 (使用 Regedt32.exe),以新增警訊器服務接收者。**值**的項目就是各個會收到系統管理警示的接收者名稱 (使用者名稱或電腦名稱)。在 \[資料\] 對話方塊中,每一個接收者都必須分開在不同的行上。 **注意:**系統管理警示有賴於警訊器服務和信差服務二者。請確定來源電腦上正在執行警訊器服務,而接收者的電腦上正在執行信差服務。 **\[表 20\]:設定系統管理警示接收者的登錄機碼**
機碼路徑:HKLM\SYSTEM\CurrentControlSet\Services\Alerter 格式
機碼:Parameters
值的名稱:AlertNames		 REG_MULTI_SZ 如上所述
[](#mainsection)[回到頁首](#mainsection) ### 在資料夾執行網頁檢視 資料夾網頁檢視 (在 Windows XP 也稱作公用工作) 允許使用背景圖片和其他的主動式內容來自訂資料夾。如果在資料夾中有選定的話,也可以分析內容。如果內容中含有惡意的程式碼,例如已感染病毒的網頁或 Word 文件,當文件被選取時,惡意的程式碼就會立即執行。因此,至少應該關閉系統管理工作站的網頁檢視功能。可以透過 GUI,在 \[資料夾選項\] 對話方塊中選取 \[使用 Windows 傳統資料夾\] 來完成此設定。也可以經由在登錄中,設定下列的登錄值來完成: **\[表 21\]:關閉資料夾網頁檢視的登錄機碼**
機碼路徑:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced 格式
機碼:Advanced
值的名稱:WebView		 REG_DWORD 1
[](#mainsection)[回到頁首](#mainsection) ### 加強 NTLM SSP 使用 NTLM 安全性支援提供者 (SSP) 的程式 - 包括經由 RPC 通訊的程式 - 並不受到本單元之前所說明的 **LMCompatibilityLevel** 設定的直接影響。NTLM SSP 會使用自己的安全性設定來控制其行為。作為用戶端或伺服器時,經由各別建立名稱為 **NtlmMinClientSec** 和 **NtlmMinServerSec** 的數值,就可以控制系統的行為。 此設定是一個位元遮罩,實際上的資料是一個邏輯運算的「或 (OR)」,其值如下: - **0x00000010** 訊息完整性 - **0x00000020** 訊息機密性 - **0x00080000** NTLMv2 工作階段安全性 - **0x20000000** 128 位元加密 - **0x80000000** 56 位元加密 也就是說,要使用 NTLMv2 和 128 位元加密來加強訊息的完整性及機密性,就要將值設為 **0x20080030**。此設定設得越高越好,只要網路上所使用的應用程式還能運作即可。 **\[表 22\]:加強 NTLM SSP 的登錄機碼**
機碼路徑:HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA 格式
機碼:MSV1_0
值的名稱:NtlmMinClientSecNtlmMinServerSec		 REG_DWORD 0x20080030
**注意:**此設定「會」中斷應用程式的執行。下面是已知的不相容問題: - FrontPage 2000 與 **0x20080000** 不相容。當使用該設定時,FrontPage 用戶端無法和 FrontPage 伺服器延伸伺服器進行通訊 - 當設定 **NtlmMinServerSec** 時,節點將無法加入叢集 同時也必須確認用戶端和伺服器的設定相符。許多本機系統管理工具是使用 RPC 來進行通訊的,如果用戶端和伺服器的設定不相符,則工具就很可能無法進行本機連線。如果用戶端的 **NtlmMinClientSec** 設定和伺服器的 **NtlmMinServerSec** 設定不相符,進行遠端連線時將會失敗。因此,在網路中,這兩個設定必須一致。 [](#mainsection)[回到頁首](#mainsection) ### 稽核記錄檔管理 在網域中所有電腦的事件日誌管理選項,包括安全性記錄檔,都可以使用網域安全性原則的事件日誌資料夾,或者關聯於網域、OU 和站台 (網域) 的特定群組原則物件來加以設定。事件日誌資料夾並不會顯示在本機安全性原則物件中。在那些系統上,這些設定是由事件日誌嵌入式管理單元直接管理的。 對於網域成員,可以使用事件檢視器嵌入式管理單元來設定本機稽核的管理選項。從事件檢視器可以選取適用的內容介面,來設定特定記錄 (例如安全性記錄檔) 的管理選項。 這些介面允許事件日誌的檢視、排序、篩選和搜尋,也可以設定最大記錄檔大小或刪除記錄。要成功的檢視事件日誌檔案,使用者必須要有存取的權限。使用者必須以管理員群組成員的身分登入,才能檢視安全性記錄檔的內容。使用事件檢視器並不需要特別的權限。 這是由記錄檔的 ACL 和某些登錄設定所強制執行的。 #### 存取事件日誌的設定 - **若要檢視事件日誌目前的設定以及允許編輯網域和網域控制站的原則** 1. 開啟可用的 \[網域安全性原則\] 或 \[網域控制站安全性原則\]。 2. 展開 \[安全性設定\]。 3. 在 \[安全性設定\] 展開 \[事件日誌\] 就會看到 \[事件日誌檔設定值\]。 4. 按一下 \[事件日誌檔設定值\]。右手邊的詳細資料窗格會顯示可設定的稽核記錄檔管理設定。 5. 依照 \[表 23\] 的建議設定稽核原則。 ![](images/Dd548221.secmod220_07(zh-tw,TechNet.10).jpg) *\[圖 6\] 事件日誌的原則設定* - **若要檢視事件日誌目前的設定,並允許編輯獨立工作站和伺服器** 1. 開啟 \[事件檢視器\],按一下 \[開始\],依序指向 \[程式集\] 和 \[系統管理工具\],然後按一下 \[事件檢視器\]。 2. 在 \[安全性記錄檔\] 按一下滑鼠右鍵,然後選取 \[內容\]。\[安全性記錄檔內容\] 視窗就會出現,顯示出可設定的稽核記錄檔管理設定。 ![](images/Dd548221.secmod220_08(zh-tw,TechNet.10).jpg) *\[圖 7\] 安全性記錄檔內容* 3. 依照 \[表 23\] 的建議設定稽核原則。 **\[表 23\]:稽核管理設定**
稽核管理和設定 網域工作站 網域膝上型電腦 DC 網域伺服器 獨立工作站 獨立伺服器
設定應用程式記錄檔最大值
安全性目標:指定應用程式事件記錄檔大小的最大值。預設值是 512KB,最大值是 4GB (4,194,240KB)。依照平台的功能以及應用程式關聯事件的歷程記錄需求,應用程式記錄檔大小的需求會因之而異。
建議:對大部分的系統而言,預設的設定已經足夠了。		                  
設定安全性記錄檔最大值
安全性目標:指定安全性事件記錄檔大小的最大值。預設值是 512KB,最大值是 4GB。
建議:在 DC 和伺服器上設定至少 20 MB。其他的系統則根據記錄檔檢查的頻率、可用的磁碟空間等等,來設定足夠的記錄檔大小。在範本中,所有其他系統記錄檔的大小均設定為 5 MB。		            
設定系統記錄檔最大值
安全性目標:指定系統事件記錄檔大小的最大值。預設值是 512KB,最大值是 4GB。
建議:對大部分的環境而言,預設的設定已經足夠了。		                  
限制來賓存取應用程式記錄檔
安全性目標:不允許匿名存取應用程式記錄檔。如果啟用這個原則,來賓就不能存取應用程式記錄檔。在預設的狀況下,在所有的 Windows 2000 作業系統本機上,這個原則是停用的。
建議:在所有的系統上將此設為啟用。注意:在預設的狀況下,在所有的系統上是禁止來賓存取的。因此,在預設的系統上這個設定並沒有真正的效果。然而,這是一個沒有什麼副作用的潛在性防衛設定。		            
限制來賓存取安全記錄檔
安全性目標:不允許匿名存取安全性事件記錄檔。如果啟用這個原則,來賓就不能存取安全性事件記錄檔。在預設的狀況下,在所有的 Windows 2000 作業系統本機上,這個原則是停用的。使用者必須擁有管理稽核及安全性記錄檔使用者權限才能存取安全性記錄檔。由於來賓並沒有該權限,此設定只是單純的潛在性防衛。
建議:在所有的系統上將此設定為 [啟用]。		            
限制來賓存取系統記錄檔
安全性目標:不允許匿名存取系統事件記錄檔。如果啟用這個原則,來賓就不能存取系統事件記錄檔。在預設的狀況下,在所有的 Windows 2000 作業系統本機上,這個原則是停用的。
建議:在所有的系統上將此設定為 [啟用]。		            
應用程式記錄保持天數
安全性目標:如果在網域原則中應用程式記錄保留的方法設定為 [依日期覆寫事件],或在獨立工作站或伺服器的 [應用程式記錄檔內容] 視窗中選取了 [覆寫事件舊於] 選項,就會決定應用程式記錄保留的天數。「只有」在記錄檔依排定的間隔備份歸檔,並且確認應用程式記錄檔最大值足以容納該間隔,才能設定此值。
建議:不要改變尚未定義的預設設定。		                  
安全性記錄保持天數
安全性目標:如果在網域原則中應用程式記錄保留的方法設定為 [依日期覆寫事件],或在獨立工作站或伺服器的 [安全性記錄檔內容] 視窗中選取了 [覆寫事件舊於] 選項,就會決定安全性記錄保留的天數。「只有」在記錄檔依排定的間隔備份歸檔,並且確認安全性記錄檔最大值足以容納該間隔,才能設定此值。
建議:不要改變尚未定義的預設設定。		                  
系統記錄保持天數
安全性目標:如果在網域原則中應用程式記錄保留的方法設定為 [依日期覆寫事件],或在獨立工作站或伺服器的 [系統記錄檔內容] 視窗中選取了 [覆寫事件舊於] 選項,就會決定系統記錄保留的天數。「只有」在記錄檔依排定的間隔備份歸檔,並且確認系統記錄檔最大值足以容納該間隔,才能設定此值。
建議:不要改變尚未定義的預設設定。		                  
應用程式記錄保持方法
安全性目標:決定當應用程式記錄的大小達到最大值時,作業系統如何處理。
建議:設定為 [視需要覆寫事件] 以確保記錄最新的事件。注意:如果因為討論或疑難排解而需要使用到歷程事件,就必須經常對記錄備份歸檔。依要求覆寫事件以確保記錄最新的事件,雖然這樣會導致歷程資料遺失。		            
安全性記錄保持方法
安全性目標:決定當安全性記錄的大小達到最大值時,作業系統如何處理。
建議:設定為 [視需要覆寫事件] 以確保記錄最新的事件。注意:如果因為討論或疑難排解而需要使用到歷程事件,就必須經常對記錄備份歸檔。依要求覆寫事件以確保記錄最新的事件,雖然這樣會導致歷程資料遺失。		            
系統記錄保持方法
安全性目標:決定當系統記錄的大小達到最大值時,作業系統如何處理。
建議:設定為 [視需要覆寫事件] 以確保記錄最新的事件。注意:如果因為討論或疑難排解而需要使用到歷程事件,就必須經常對記錄備份歸檔。依要求覆寫事件以確保記錄最新的事件,雖然這樣會導致歷程資料遺失。		            
安全性稽核記錄檔已滿時關閉系統
安全性目標:決定當系統無法記錄安全性事件時,是否要關機。如果啟動這個原則,無論任何原因,當安全性稽核無法記錄時,就會導致系統中止。通常當安全性稽核記錄已滿,而且安全性記錄所指定的保持方法是 [不覆寫事件] 或 [依日期覆寫事件] 時,事件將無法被記錄。
建議:不要啟用此設定。如此將會使拒絕服務攻擊很容易成功,並嚴重影響系統的執行時間。		                  
[](#mainsection)[回到頁首](#mainsection) ### 預設群組帳戶 本節討論在預設 Windows 2000 作業系統安裝時,內建群組的預設群組成員資格所需要及建議的變更。內建群組和群組成員都有一組預先定義的使用者權限和權限。有五種群組類型定義如下: - 通用群組 當 Windows 2000 網域建立時,在 Active Directory 存放區會建立內建通用群組。通用群組是用來分組用於整個網域的一般類型使用者和群組帳戶。在原始模式網域中通用群組可以包含其他群組。 - 網域本機群組 網域本機群組提供使用者在網域控制站和 Active Directory 存放區執行工作的權限。網域本機群組僅可用在同一個網域裡,而且不可以匯出到 Active Directory 樹狀目錄上的其他網域。 - 全域群組 全域群組僅適用於原始 Windows 2000 網域。它們可以跨整個樹系使用。 - 本機群組 獨立 Windows 2000 伺服器、成員伺服器和工作站有內建的本機群組。這些內建本機群組提供成員只有在群組所屬的特定電腦上執行工作的能力。 - 系統群組。 系統群組並沒有可以修改的特定成員資格。每一個都是用來表示一種特定類別的使用者,或表示系統本身。這些群組在 Windows 2000 作業系統上是自動建立的,但是在群組管理 GUI 上並不顯示。這些群組僅用來控制對資源的存取。 #### 檢視 / 修改網域中的群組帳戶成員資格 - **若要存取網域中的群組帳戶** 1. 以系統管理員帳戶登入網域控制站。 2. 由 \[開始\] 功能表,依序指向 \[程式集\] 及 \[系統管理工具\],然後再按 \[Active Directory 使用者和電腦\]。 3. 在主控台樹狀目錄中,連按兩下網域節點。在**內建 (Builtin)**和**使用者 (Users)**容器中可以找到群組帳戶。 ![](images/Dd548221.secmod220_09(zh-tw,TechNet.10).jpg) *\[圖 8\] 內建 (Builtin) 帳戶* #### 檢視 / 修改獨立或成員電腦的群組帳戶成員資格 - **若要存取獨立或個別網域成員電腦的群組帳戶** 1. 用系統管理員的帳戶登入。 2. 由 \[開始\] 功能表,依序指向 \[程式集\] 及 \[系統管理工具\],然後再按 \[電腦管理\]。 3. 在主控台樹狀目錄中,連按兩下 \[本機使用者和群組\]。在**群組**容器中可以找到群組帳戶。 ![](images/Dd548221.secmod220_10(zh-tw,TechNet.10).jpg) *\[圖 9\] 群組帳戶* **注意:**依照 \[表 24\] 的建議設定群組成員資格。此表列出預設群組。在特定系統角色上的勾選標記表示,此群組是該系統類型自有的,而且必須在該系統上進行管理。 #### 變更帳戶的主要群組成員資格 在下表中為確認所要求的群組成員資格變更完成,必須從指定的群組中移除一個帳戶。為了和其他網路通訊協定相容,例如 AppleTalk,在網域中的帳戶必須指定一個主要群組。因此必須變更當電腦加入網域時,預設設定的帳戶主要群組成員資格。如果在 \[Active Directory 電腦和使用者\] GUI 上,嘗試將帳戶從其主要群組移除,動作會被拒絕並出現下面的訊息: ![](images/Dd548221.secmod220_11(zh-tw,TechNet.10).jpg) *\[圖 10\] 主要群組移除訊息* - **若要變更帳戶的主要群組** 1. 以系統管理員帳戶登入網域控制站。 2. 由 \[開始\] 功能表,依序指向 \[程式集\] 及 \[系統管理工具\],然後再按 \[Active Directory 使用者和電腦\]。 3. 在主控台樹狀目錄中,連按兩下網域節點。 4. 在**使用者**容器中可以找到使用者帳戶。 5. 在帳戶名稱上按一下滑鼠右鍵,再從清單中選取 \[內容\]。帳戶的 \[內容\] GUI 會出現。 6. 選取 \[成員隸屬\] 索引標籤來顯示帳戶所屬的群組清單。請觀察當選按 \[成員隸屬:\] 視窗上的任一群組時,\[設定主要群組\] 按鈕可能是可使用的或不可使用的。對於可被設為主要群組的群組,\[設定主要群組\] 按鈕是可使用的,而對於不可被設為主要群組或已經是主要群組的群組,\[設定主要群組\] 按鈕是不可使用的。 ![](images/Dd548221.secmod220_12(zh-tw,TechNet.10).jpg) *\[圖 11\] 來賓帳戶內容* 7. 若要變更帳戶的主要群組,先選取將成為新的主要群組的群組,然後按 \[設定主要群組\] (\[設定主要群組\] 按鈕必須是可使用的)。請注意,\[設定主要群組\] 按鈕上所確認為 \[主要群組:\] 的群組會變更為新的選取項目。 8. 按一下 \[套用\],然後再按一下 \[確定\]。 **注意 1:**如果使用群組原則 GUI 將帳戶由群組中移除,有可能帳戶仍被保留著,但是沒有主要群組。除非 Posix 應用程式或 Macintosh 用戶端要使用到此帳戶,否則這並沒有什麼負面的影響。 **注意 2:**下表是 SID 的參照。SID 是安全性識別元,是一個用來代表特定使用者或群組的值。例如,匿名登入群組是由 SID S-1-5-7 來表示。詳細資料請參閱在 Technet

回到頁首

預設使用者帳戶

本節討論在預設 Windows 2000 作業系統安裝時,內建使用者帳戶所需要及建議的變更。內建使用者帳戶包括 Administrator、Guest 和 TsInternetUser。

檢視 / 修改網域的預設使用者帳戶

  • 若要檢視或修改使用者帳戶以評估安全性

    1. 若要存取網域的使用者帳戶,請以系統管理員帳戶登入網域控制站。

    2. 由 [開始] 功能表,依序指向 [程式集] 及 [系統管理工具],然後再選取 [Active Directory 使用者和電腦]。

    3. 在主控台樹狀目錄中,展開網域節點。

    4. 使用者 (Users) 容器中可以找到使用者帳戶。

      [圖 12] 使用者帳戶

檢視 / 修改本機的預設使用者帳戶

  • 若要在獨立或個別網域成員電腦,檢視或修改使用者帳戶以評估安全性

    1. 由 [開始] 功能表,依序指向 [程式集] 及 [系統管理工具],然後再選取 [電腦管理]。

    2. 在主控台樹狀目錄中,展開 [本機使用者和群組]。

    3. 使用者容器中可以找到使用者帳戶。

      [圖 13] 本機使用者帳戶

    4. 依照 [表 25] 的建議修改使用者帳戶。

[表 25]:預設使用者帳戶

使用者帳戶的修改 網域工作站 網域膝上型電腦 DC 網域伺服器 獨立工作站 獨立伺服器        
Administrator 用來管理電腦 / 網域的內建帳戶。 不要使用此帳戶做日常管理。指派兩個帳戶給每一個系統管理員,一個供日常使用,如讀取電子郵件,另一個則用於系統管理。為了安全性,系統管理帳戶絕對不能用於電子郵件的用途。            
Guest 用來讓來賓存取電腦 / 網域的內建帳戶。 此帳戶應該停用            
TsInternetUser 用於終端機服務的使用者帳戶。用於終端機服務網際網路連接器授權,且適用於 Windows 2000 伺服器。當啟用網際網路連接器授權時,以 Windows 2000 為基礎的伺服器可以接受 200 個匿名的連線。終端機服務用戶端上並不會出現登入對話方塊,而是以 TsInternetUser 帳戶自動登入。 將此帳戶視為其他的匿名帳戶。不要在網域控制站上給予匿名帳戶權限。               

回到頁首

系統服務

[表 25] 列出在安全的 Windows 2000 電腦上應該啟用的系統服務。

若要啟用或停用網域中 Windows 2000 平台的所有或一組服務,請設定網域安全性原則。針對網域控制站,請使用網域控制站安全性原則介面來設定。在獨立 Windows 2000 平台上的本機設定,可經由電腦管理介面、本機安全性原則介面或使用 secedit.exe 套用安全性範本來加以設定。

停用在網域電腦上不需要的系統服務

  • 若要停用在網域或網域控制站上不需要的系統服務

    1. 開啟可用的 [網域安全性原則] 或 [網域控制站安全性原則]。

    2. 展開 [安全性設定],然後按一下 [系統服務]。

    3. 從右手邊的資料窗格中,選取服務以停用。在所選取的服務上按一下滑鼠右鍵,然後選取 [安全性]。

    4. 在 [安全性原則設定] 對話方塊中,勾選 [定義這個原則設定] 方塊,然後按 [停用] 選項按鈕。

      [圖 14] 在原則中停用服務

    5. 按一下 [確定]。

停用不需要的本機系統服務

  • 若要在獨立或工作群組 Windows 2000 伺服器或 Professional 作業系統上停用不需要的本機系統服務

    1. 開啟 [電腦管理] 介面。

    2. 在主控台樹狀目錄中,展開 [服務及應用程式],然後選取 [服務]。

    3. 從右手邊的資料窗格中,選取服務以停用。在所選取的服務上按一下滑鼠右鍵,然後選取 [內容]。

    4. 所選取服務的 [內容] 對話方塊會出現。從 [啟動類型:] 下拉式功能表,選取 [停用]。

      [圖 15] 停用本機服務

    5. 在 [服務狀態:] 下選取 [停止]。

    6. 按一下 [確定]。

基本所需的系統服務

[表 26] 列出在安全的 Windows 2000 電腦上應該啟用的系統服務。

[表 26]:安全的 Windows 2000 電腦可接受的服務

   
  • 警訊器服務
  • 自動更新
  • COM+ 事件系統
  • 電腦瀏覽器
  • DHCP 用戶端
  • DHCP 伺服器
  • 分散式檔案系統 (DFS)
  • 散佈式連結追蹤用戶端
  • 散佈式連結追蹤伺服器
  • DNS 用戶端
  • DNS 伺服器
  • 事件日誌
  • 檔案複寫服務
  • IIS 管理服務 (僅在網站伺服器上)
  • 索引服務 (僅在需要檔案索引的系統上)
  • 站台間訊息處理
  • IPSec 原則代理程式
  • Kerberos 金鑰發佈中心
  • 授權記錄服務
  • 邏輯磁碟管理員
  • 邏輯磁碟管理員管理服務
  • 信差
  • 網路登入
  • 網路連線
  • NTLM 安全性支援提供者
  • 隨插即用
  • 列印多工緩衝處理器
  • 受保護的存放裝置
  • 遠端程序呼叫 (RPC)
  • 遠端登錄服務
  • 卸除式存放裝置
  • RunAs 服務
  • 安全性帳戶管理員
  • 伺服器服務
  • 系統事件通知
  • 工作排程器
  • TCP/IP NetBIOS Helper Service
  • 電話語音
  • 終端機服務 (僅支援伺服器)
  • Windows 網際網路名稱服務 (WINS)
  • Windows 管理工具
  • Windows 管理工具
    驅動程式延伸
  • Windows 時間
  • 工作站
  • World Wide Web 發行服務、
    Simple Mail Transport 服務、
    NNTP 服務和 FTP 服務
    應該只在真實的 IIS 伺服器上啟用。請確認上述服務均已停用,或已從其他的電腦上解除安裝。

回到頁首

保障檔案系統安全

Windows 2000 包含有使用任意存取控制清單 (DACL) 保護檔案的能力,該清單又稱為「使用權限」。一旦套用了 Service Pack 3,檔案和目錄的預設使用權限設定,就足以提供大多數應用程式環境適當的安全性等級。然而,某些 DACL 可以加強這些預設設定。當作業系統經由「setup security.inf」安全性範本檔案進行安裝期間,就會套用預設的檔案和目錄使用權限,這稱為「產品現有的預設安全性設定」。

為了增強安全性,在安裝完作業系統並套用最新的 service pack 及後來發行的所有修補檔之後,應該依 (下列) [表 27] 的建議,立即修改檔案、目錄和子目錄的使用權限。使用 Windows 2000 的繼承功能,儘可能將使用權限設定在樹狀目錄結構最高的位置上。這樣會大幅簡化使用權限的管理。以下建議的使用權限變更,適用於所有的 Windows 2000 作業系統。使用「群組原則」,即可對網域中的所有或一組 Windows 2000 平台執行使用權限。建議在 OU 等級設定使用權限,而非在網域等級進行設定。OU 可以很容易的建立來容納有特別安全性需求的所有機器。您可以使用「安全性設定編輯器」介面內含的範本,來設定個別 Windows 2000 平台的本機使用權限。

經由網域原則設定使用權限

  • 若要設定網域或網域控制站的檔案和資料夾使用權限原則

    1. 開啟適當的群組原則物件。

    2. 展開 [安全性設定]。

    3. 在 [安全性設定] 的 [檔案系統] 按一下滑鼠右鍵。

    4. 選取 [新增檔案]。

    5. 從 [新增檔案或資料夾] 視窗,移至所要的檔案或資料夾並選取它。

      [圖 16] 在原則中設定檔案使用權限

    6. 按一下 [確定]。標示著 [資料庫安全性 路徑\檔案名稱 內容] 的視窗會出現。

      [圖 17] 在原則中設定檔案使用權限

    7. 依需要設定使用權限。[表 27] 提供檔案及資料夾使用權限設定。

經由安全性設定編輯器設定本機使用權限

在獨立系統或本機以重複方式設定使用權限,最簡單方法是使用安全性設定編輯器工具。以下的說明示範在一新增磁碟根目錄上,如何定義和設定使用權限。

  • 若要在一新增磁碟根目錄上定義和設定使用權限

    1. 從 [開始] 功能表,按一下 [執行...],然後鍵入 MMC。如此會開啟 Microsoft Management Console。

    2. 選取 [主控台:新增 / 移除嵌入式管理單元],然後按一下 [新增...]。

    3. 對 [安全性設定及分析] 和 [安全性範本] 都連按兩下,然後按一下 [關閉]。按一下 [確定]。如果有需要就儲存主控台。

    4. 展開 [安全性範本] 節點,並選取 [新增範本...]。使用描述性的命名儲存新範本。

      [圖 18] 建立新的安全性範本

    5. 展開新範本後可以看到 [檔案系統] 節點

    6. 在 [檔案系統] 按一下滑鼠右鍵,並選取 [新增檔案]。選取新的磁碟代號,在本例中是 D。

    7. 依照圖片所示設定使用權限:

      [圖 19] 在安全性範本中設定磁碟存取控制

    8. 按一下 [確定],關閉所有的對話方塊。在新範本上按一下滑鼠右鍵,然後選取 [儲存]。

    9. 在 [安全性設定及分析] 上按一下滑鼠右鍵,然後選取 [開啟資料庫]。

    10. 鍵入任何資料庫名稱,然後按一下 [確定]。

      如果是開啟一個已經存在的資料庫,則「必須」在下一個對話方塊切換,選取 [匯入前清除這個資料庫]。然後選取剛才建立的新範本,並按一下 [開啟]。

      [圖 20] 匯入新的安全性範本

    11. 在 [安全性設定及分析] 上按一下滑鼠右鍵,然後選取 [立即設定電腦...]。選取錯誤記錄檔的路徑 (預設路徑即可)。

    12. 現在可以核對 Windows 檔案總管標準 ACL 編輯器的使用權限。無論如何,這些 ACL 可以儲存以供日後使用,或套用到另一個系統。

[表 27]:檔案及資料夾使用權限設定

檔案及資料夾 DACL 設定 繼承方法 (經由安全性原則工具設定) 網域工作站 網域膝上型電腦 DC 網域伺服器 獨立工作站 獨立伺服器
%SystemDrive%注意:安裝 Windows 2000 作業系統的磁碟機。注意:這些使用權限也應該套用到其他所有的非卸除式磁碟。如果這些使用權限是設定在所有磁碟的根目錄,將允許使用者在那些資料夾中建立資料夾及檔案,然而會防止它們修改磁碟上不是它們自己建立的任何項目。也請注意 Everyone 的使用。如果限制對系統的匿名存取,當來賓 (Guest) 帳戶維持停用時,Everyone 就等於任何已驗證的使用者。 Administrators:完全控制
CREATOR OWNER:完全控制 (子目錄及檔案)
SYSTEM:完全控制
Users:讀取及執行 (此資料夾、子資料夾及檔案)
Users:建立資料夾 / 附加資料 (此資料夾及子資料夾)
Users:建立檔案 / 寫入資料 (僅子資料夾)
Everyone:讀取及執行		 傳播            

回到頁首

分享資料夾使用權限

原始 Windows 2000 是使用以 SMB 為基礎的伺服器和重新導向器服務來提供檔案分享服務的。雖然只有系統管理員可以建立分享,但是分享的預設安全性卻允許 Everyone 群組有完全控制存取。這些使用權限允許存取到在網路可被看見的分享本身。存取經由分享顯示的檔案及子資料夾是由 NTFS 使用權限所控制的,該權限是設定在分享所對應的資料夾之下。因此必須經由 NTFS 使用權限,將適當的安全性套用到分享所對應的任何檔案及資料夾。實際上,設定完全控制給 Everyone 等於只有管理到下面的檔案系統使用權限,而非分享本身。

回到頁首

保障登錄的安全

除了在本單元說明的標準安全性的考量外,安全性系統管理員也要在 Windows 2000 登錄的某些機碼加強保護。在預設的狀況下,保護是設定在登錄的不同元件上,以允許在提供標準等級安全性時,工作能順利完成。當作業系統經由「setup security.inf」安全性範本檔案進行安裝期間,就會套用預設的登錄機碼使用權限,就如同在《out of box default security settings (英文)》內容中的描述一樣。

針對 Windows NT 4.0 上已確認的有關於預設登錄 ACL 設定的安全疑慮,Microsoft 已在 Windows 2000 上設定預設登錄 ACL 設定,處理那些安全性的議題。此外,Service Packs 2 以上版本也加強登錄在預設設定的部分。因此,在 [表 28] 定義的 ACL 變更僅提供很少數的改變,使對應用程式的影響降到最低,並且保護登錄上的敏感資料。當在做這類變更時請特別小心,因為還是有可能造成少數未經測試的其他廠商應用程式無法正常運作。建議的使用權限變更,適用於所有的 Windows 2000 作業系統。然而,由於在不同的平台上有不同的群組使用方法,使用權限在用戶端、伺服器和網域控制站之間有著微妙的差異。因此,不應該將用戶端的使用權限套用到用戶端以外的任何事物,以此類推。如果犯了錯誤,可能會降低系統的功能。然而,錯誤通常都可以經由重新套用正確的範本來解決。

若要針對網域中所有或一組 Windows 2000 平台執行使用權限,請設定網域安全性原則。針對網域控制站,請使用網域控制站安全性原則介面來設定。可以經由 Regedt32.exe 介面或使用安全性範本和 secedit.exe 公用程式,來設定個別 Windows 2000 平台的本機使用權限。

經由網域原則設定登錄使用權限

  • 若要設定網域和網域控制站的登錄使用權限原則。

    1. 開啟可用的 [網域安全性原則] 或 [網域控制站安全性原則]。

    2. 展開 [安全性設定]。

    3. 在安全性設定的 [登錄] 按一下滑鼠右鍵。選取 [新增機碼]。

    4. 從 [選取登錄機碼] 視窗,移至所要的機碼並選取。

      [圖 21] 在原則中選取登錄機碼

    5. 按一下 [確定]。標示著 [資料庫安全性 路徑 內容] 的視窗會出現。

      [圖 22] 在原則中設定登錄使用權限

    6. 依需要設定使用權限。[表 28] 提供需要的 DACL 變更。

經由 Regedt32.exe 設定登錄使用權限

  • 若要設定本機登錄使用權限

    1. 從 [開始] 功能表,按一下 [執行...]。

    2. 鍵入 regedt32 並按一下 [確認] 來開啟登錄編輯程式 (Regedt32.exe)。

    3. 移至所要的機碼並選取。

      [圖 23] 存取本機登錄機碼

    4. 從 [安全性] 功能表,選取 [權限]。會出現 [...的權限] 對話視窗。按一下 [進階] 可做更詳細的權限設定。

      [圖 24] 設定本機登錄權限

    5. 依需要設定使用權限。[表 28] 提供 DACL 變更。

      **注意:**如果要管理傳播或取代行為,必須使用 [進階] 按鈕。經由 [進階] 按鈕,可以套用使用權限到目前的機碼及其子機碼來進行傳播。在預設的狀況下,使用權限只能以套用它們到目前的機碼來取代。

      在 Regedt32.exe 的「讀取控制」ACE 在安全性原則工具中被稱為「讀取使用權限」。

      下表所示的 Power Users 群組並不適用於網域控制站,並且不能由網域控制站設定到遠端 Windows 2000 電腦。然而,套用到群組原則物件的安全性範本可以為此群組設定使用權限。

[表 28]:需要的登錄使用權限變更

登錄機碼 子機碼 DACL 設定 繼承方法 網域工作站 網域膝上型電腦 DC 網域伺服器 獨立工作站 獨立伺服器
\SOFTWARE\Microsoft\Windows NT\CurrentVersion Users:讀取;此機碼及子機碼
Power Users:查詢數值、設定數值、建立子機碼、列舉子機碼、通知、刪除、讀取權;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼
TERMINAL SERVER USER:查詢數值、設定數值、建立子機碼、列舉子機碼、通知、刪除、讀取權;此機碼及子機碼		 取代                
\SOFTWARE\Microsoft\Windows NT\CurrentVersion Authenticated Users:讀取;此機碼及子機碼
Server Operators:查詢數值、設定數值、建立子機碼、列舉子機碼、通知、刪除、讀取權;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代                 
\SOFTWARE\Microsoft\Windows NT\CurrentVersion Users:讀取;此機碼及子機碼
Power Users:查詢數值、設定數值、建立子機碼、列舉子機碼、通知、刪除、讀取權;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代               
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Authenticated Users:讀取;此機碼及子機碼
Server Operators:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代                 
剩下的設定會對數個有明確 DACL 的子機碼,重設預設的 DACL。如果沒有設定這些設定值,則這些設定會被以上所做的變更所修改。                        
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Users:讀取;此機碼及子機碼
Power Users:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代             
剩下的設定會對數個有明確 DACL 的子機碼,重設預設的 DACL。如果沒有設定這些設定值,則這些設定會被以上所做的變更所修改。                        
HKLM\System\Software \Microsoft\Windows NT\ CurrentVersion\ProfileList Users:讀取;此機碼及子機碼
Power Users:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 不可允許此機碼的使用權限被取代             
HKLM\System\Software\ Microsoft\Windows NT\Current Version\AEDebug Users:讀取;此機碼及子機碼
Power Users:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代             
HKLM\System\Software\ Microsoft\Windows NT\ CurrentVersion\Accessibility Users:讀取;此機碼及子機碼
Power Users:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代             
HKLM\System\Software\ Microsoft\Windows NT\Current Version\AsrCommands Users:讀取;此機碼及子機碼
Power Users:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼
Backup Operators:查詢數值、設定數值、建立子機碼、列舉子機碼、通知、刪除、讀取權;此機碼及子機碼		 取代             
HKLM\System\Software\ Microsoft\Windows NT\ CurrentVersion\Classes Users:讀取;此機碼及子機碼
Power Users:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代             
HKLM\System\Software\ Microsoft\Windows NT\ CurrentVersion\Drivers32 Users:讀取;此機碼及子機碼
Power Users:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代             
HKLM\System\Software\ Microsoft\Windows NT\ CurrentVersion\EFS Users:讀取;此機碼及子機碼
Power Users:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代             
HKLM\System\Software\ Microsoft\Windows NT \CurrentVersion \IniFileMapping Users:讀取;此機碼及子機碼
Power Users:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代             
HKLM\System\Software\ Microsoft\Windows NT\Current Version\Image File Execution Options Users:讀取;此機碼及子機碼
Power Users:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代             
HKLM\System\Software\ Microsoft\Windows NT\Current Version\FontMapper Users:讀取;此機碼及子機碼
Power Users:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代             
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Font Drivers Users:讀取;此機碼及子機碼
Power Users:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代             
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Windows Users:讀取;此機碼及子機碼
Power Users:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代             
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Time Zones Users:讀取;此機碼及子機碼
Power Users:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代             
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Svchost Users:讀取;此機碼及子機碼
Power Users:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代             
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Setup\ RecoveryConsole Users:讀取;此機碼及子機碼
Power Users:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代             
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\SecEdit Users:讀取;此機碼及子機碼
Power Users:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代             
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Perflib INTERACTIVE:讀取;此機碼及子機碼
Power Users:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代             
HKLM\System\Software \Microsoft\Windows NT\Current Version\ProfileList Authenticated Users:讀取;此機碼及子機碼
Server Operators:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 不可允許此機碼的使用權限被取代                 
HKLM\System\Software \Microsoft\Windows NT\Current Version\AEDebug Authenticated Users:讀取;此機碼及子機碼
Server Operators:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代                 
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Accessibility Authenticated Users:讀取;此機碼及子機碼
Server Operators:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代                 
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\AsrCommands Authenticated Users:讀取;此機碼及子機碼
Server Operators:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼
Backup Operators:查詢數值、設定數值、建立子機碼、列舉子機碼、通知、刪除、讀取權;此機碼及子機碼		 取代                 
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Classes Authenticated Users:讀取;此機碼及子機碼
Server Operators:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代                 
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Drivers32 Authenticated Users:讀取;此機碼及子機碼
Server Operators:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代                 
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\EFS Authenticated Users:讀取;此機碼及子機碼
Server Operators:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代                 
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion \IniFileMapping Authenticated Users:讀取;此機碼及子機碼
Server Operators:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代                 
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options Authenticated Users:讀取;此機碼及子機碼
Server Operators:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代                 
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\FontMapper Authenticated Users:讀取;此機碼及子機碼
Server Operators:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代                 
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Font Drivers Authenticated Users:讀取;此機碼及子機碼
Server Operators:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代                 
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Windows Authenticated Users:讀取;此機碼及子機碼
Server Operators:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代                 
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Time Zones Authenticated Users:讀取;此機碼及子機碼
Server Operators:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代                 
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Svchost Authenticated Users:讀取;此機碼及子機碼
Server Operators:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代                 
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Setup \RecoveryConsole Authenticated Users: 讀取;此機碼及子機碼
Server Operators: 讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代                 
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\SecEdit Authenticated Users:讀取;此機碼及子機碼
Server Operators:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代                 
HKLM\System\Software\Microsoft\ Windows NT\CurrentVersion\Perflib INTERACTIVE:讀取;此機碼及子機碼
Server Operators:讀取;此機碼及子機碼
Administrators:完全控制;此機碼及子機碼
SYSTEM:完全控制;此機碼及子機碼
CREATOR OWNER:完全控制;僅子機碼		 取代                 
[](#mainsection)[回到頁首](#mainsection) ### IPSec 原則 使用 IPSec 原則而非應用程式設計介面 (API) 來設定 IPSec 安全性服務。對大多數現存網路的大多數流量類型,此原則提供不同程度的保護。IPSec 原則可以設定為符合使用者、群組、應用程式、網域、站台或全球企業的安全性需求。Microsoft Windows 2000 提供一個叫做 IPSec 原則管理的管理介面,為任何網域 Active Directory 層級的電腦或非網域成員的本機電腦定義 IPSec 原則。 IPSec 原則可以套用到電腦、網域或建立在 Active Directory 中的任何組織單位。IPSec 原則應該以組織的安全操作指南為基礎。安全性動作的使用稱為「規則」,一個原則可以套用到電腦或組織位的異質安全性群組。 IPSec 原則的管理是一個複雜的主題,不在本單元所討論的範圍中。IPSec 原則在保障 Windows 2000 系統的安全上,提供了非常有用的效果,多閱讀如何使用 IPSec 的特定文件是很有用的,例如《Using IPSec to Lock Down a Server (英文)》文章,網址為: