確保 Windows 2000 網域控制站的安全

Overview

發佈日期: 2003 年 5 月 22 日 | 更新日期: 2006 年 4 月 13 日

本頁內容

簡介
開始之前
確保網域控制站的安全
啟用網域控制站上的其他服務
保持您網域控制站的安全
相關資訊

簡介

因為電腦系統遭受蓄意攻擊而導致資料或金錢上的損失,對於任一家公司都是項災難。為保護您公司的電腦系統和資料免於遭受目前電腦病毒程式的威脅和惡意攻擊,最重要的是採行安全方法幫助您公司減少資產遭受攻擊的機會。

網路中的網域控制站是 Active Directory® 目錄服務的重要元件。它們內含所有使用者的帳戶資訊,沒有了它使用者將無法登入您的網路,存取執行工作所需要的資源。

由於網域控制站內含的資訊以及在任何環境下所扮演的重要角色,讓他們成為惡意攻擊的顯著目標。因此您應該儘可能將網域控制站放在最安全的場所,讓網域控制站保有最新的安全性更新,關閉不必要的服務減少遭受電腦病毒和惡意攻擊的機會。

本指南將逐步引導您執行安全措施,幫助您鎖住網域控制站的設定。

您可以套用「群組原則」來改善環境的安全性,它是內含在 Active Directory 的變更和設定管理技術。本指南將引導您完成以下的工作:

  • 使用「群組原則」確保網域控制的安全。

  • 設定「群組原則」提供其他的網域控制站功能。

  • 讓您的網域控制站保有最新的安全性更新。

注意:在您網域控制站上設定「群組原則」,只是向強化您的網域控制站和整體環境的安全性方面邁出第一步。

請檢視和完成《Security Guidance Kit (英文)》內<Securing Windows 2000 Professional Clients in a Windows Server Environment>和<Securing Windows XP Professional Clients in a Windows Server Environment>的工作。完成這些指南中的工作後,將可大幅強化您網域控制站的安全性。

完成這些工作之後網域控制站將具有基本的安全性,有助於保護您的環境免於遭受許多安全性威脅。完成這些工作可確保網域控制站只提供環境所需要的服務。進一步則設定「自動更新」,幫助您在 Microsoft 發行更新時,可藉由自動下載和安裝最新的安全性更新來保持網域控制站的更新。

重要:本文件中所含括的逐步指示,都是使用安裝作業系統時所預設的「開始」功能表開始。如果您已經修改過「開始」功能表,步驟可能稍有不同。

開始之前

您必須登入網域控制站成為 Domain Admins 帳戶的成員,並完成本指南中的工作。請注意,其中某些步驟必須重新啟動網域控制站,因此您需要在非上班時段完成這些步驟才能將使用者所遭受到的衝擊減到最低。

本指南假設用戶端環境的電腦都在執行 Microsoft® Windows® 2000 Service Pack 2 (SP2) 或以後的版本和 Windows® XP SP1。本指南中詳述的一些工作和建議事項與舊版的 Windows 不相容。

如果您的電腦未安裝或者不確定是否安裝這些 Service Pack,請到 Microsoft 網站上的 Windows Update 網頁,網址是 http://go.microsoft.com/fwlink/?LinkID=22630,讓它掃描您的系統加以更新。如果 Service Pack 顯示有更新,則在進行本文件的工作之前要先安裝。本文件稍後將提供有關如何使用 Windows Update 的詳細資料。

確保網域控制站的安全

您可以使用「群組原則」來改善您網域控制站的安全性。下列步驟告訴您如何設定「群組原則」,關閉網域控制站上不必要或不用的服務,這些服務若不關閉可能會增加遭受攻擊的機會。若要設定您網域控制站上的「群組原則」,請先完成下列工作:

  • 建立新的群組原則物件 (GPO),然後將它連結到網域控制站的組織單元 (OU)。

  • 使用本指南提供的範本,將基準線安全性設定匯入到新的 GPO 內。

  • 檢視您網域控制站上的「應用程式」記錄檔,確認您的新設定。

執行網域控制站基準線原則

您需要一次就完成下列步驟。設定完「網域控制站基準線原則」之後,您所有的網域控制站都會同時加強安全性。

重要:必須重新啟動您所有的網域控制站,「網域控制站基準線原則」才會發生作用。請在非辦公時間完成這些步驟,減低對使用者的衝擊。

需求

  • 認證:您必須登入成為 Domain Admins 群組的一員。

  • 工具:Active Directory 使用者及電腦。
    若要存取這項工具,請按一下 [開始],按一下 [設定],按一下 [控制台],按兩下 [系統管理工具],然後按兩下 [Active Directory 使用者及電腦]。

  • 檔案:您需要下載檔案 MSS DCBaseline Role.inf ,隨附在《Securing Windows 2000 Server Guide (英文)》內。下載完這個檔案之後,將它複製到網域控制站的資料夾 systemroot\Security\Templates,然後在這裡執行這些步驟。 (例如,在一般的組態中需要將 .inf 檔案複製到 C:\Windows\Security\Templates 資料夾。)

  • 若要下載 MSS DCBaseline Role.inf 檔案

    1. 請在網域控制站上開啟網頁瀏覽器,然後到 Microsoft Download Center (英文) 網站 http://go.microsoft.com/fwlink/?LinkID=22720Securing Windows 2000 Server (英文) 網頁。

    2. 在網頁下方 [Files in this Download] 底下,按一下 [Securing_Windows_2000_Server.exe]。

    3. 在 [檔案下載] 對話方塊中,按一下 [儲存]。

    4. 當系統提示要求位置時,請展開 [儲存位置] 清單方塊,選取 [桌面],然後藉由做下列工作建立儲存檔案的新資料夾:

      1. 對 [另存新檔] 對話方塊中的空白處按一下滑鼠右鍵,指向 [新增],然後按一下 [資料夾]。

      2. 輸入資料夾名稱 (使用說明性名稱取代反白文字「新資料夾」),按兩下將新資料夾選到 [儲存位置] 清單方塊中,然後按一下 [儲存]。

    5. 完成下載之後,在 [下載完成] 方塊中,按一下 [關閉]。

    6. 在桌面上的新資料夾中,按兩下檔案 Securing_Windows_2000_Server.exe,開啟 [WinZip Self-Extractor]。

    7. 在 [WinZip Self-Extractor] 對話方塊中:

      1. 按一下 [Browse],選取先前為下載所建立的資料夾,按一下開啟資料夾,然後再按一下 [確定]。

      2. 在 [WinZip Self-Extractor] 對話方塊中,按一下 [Unzip]。
        於是您會收到確認檔案解壓縮成功的訊息。

    8. 在已解壓縮的檔案和資料夾集中,按兩下開啟 [Tools and Templates] 資料夾,之後開啟 [Security Guide] 資料夾,再開啟 [Security Templates] 資料夾。

    9. 在 [Security Templates] 資料夾中,對檔案 MSS DCBaseline Role.inf 按一下滑鼠右鍵,並且將這個檔案複製到網域控制站用來執行這些步驟的資料夾 systemroot\Security\Templates。

  • 若要在網域控制站 OU 中建立新的 GPO

    1. 按一下 [開始],按一下 [設定],按一下 [控制台],按兩下 [系統管理工具],按兩下 [Active Directory 使用者及電腦],然後按一下您的網域展開網域樹狀目錄。

    2. 對 [Domain Controllers] OU 按一下滑鼠右鍵,然後按一下 [內容]。

      Active Directory 使用者及電腦

      注意:本文件中的螢幕擷取畫面所顯示的是測試環境。您環境中的網域和伺服器也許和這些螢幕擷取畫面稍有出入。

    3. 在 [Domain Controllers 內容] 對話方塊中,按一下 [群組原則] 索引標籤,再按一下 [新增] 建立新的 GPO。

    4. 將原則命名為「網域控制站基準線原則」,然後按一下 [關閉]。

      網域控制站內容

  • 若要將基準線安全性設定匯入到網域控制站基準線原則

    1. 對 [Domain Controllers] OU 按一下滑鼠右鍵,然後按一下 [內容]。

    2. 在 [Domain Controllers 內容] 對話方塊中,按一下 [群組原則] 索引標籤,再選取 [網域控制站基準線原則]。

    3. 按一下 [向上] 將新的 GPO 移到清單頂端,然後按一下 [編輯]。

      網域控制站內容

      重要: 請確定您在編輯的是新建立的「網域控制站基準線原則」而非「預設網域控制站原則」。若是誤修改到「預設網域控制站原則」可能會對您的環境有不利的影響,因而造成排解疑難的困難。

    4. 按兩下 [電腦設定] 底下的 [Windows 設定] 資料夾,對 [安全性設定] 按一下滑鼠右鍵,然後選取 [匯入原則]。

      群組原則

    5. 在 [從以下匯入原則] 對話方塊中,選取檔案 MSS DCBaseline Role.inf,然後按一下 [開啟]。

      從以下匯入原則

    6. 關閉 [群組原則],按一下 [確定] 來關閉 [Domain Controllers 內容] 對話方塊,然後結束 [Active Directory 使用者及電腦]。

    7. 重新啟動您的網域控制站,一次一台。不要讓您所有的網域控制站同時重新啟動,因為如果沒有網域控制站可用,使用者要登入網路或存取網路資源時會有困難。

確認新的設定

設定「群組原則」的安全性設定之後,請確認是否成功的套用了這些原則。

需求

  • 認證:您必須登入成為 Domain Admins 群組的成員。

  • 工具:事件檢視器和服務。

確認您每一台網域控制站上的「應用程式」記錄檔都有事件 ID 1704。

  • 若要檢查應用程式事件日誌

    1. 按一下 [開始],按一下 [設定],按一下 [控制台],按兩下 [系統管理工具],然後按兩下 [事件檢視器]。

    2. 在 [事件檢視器] 中,按一下 [應用程式記錄檔] 然後尋找最近的事件:

      • 類型:Information

      • 來源:SceCli

      • 事件識別碼: 704

    3. 如果按兩下這個事件,您將會看到類似下面的 [事件內容] 視窗:

      事件內容

    4. 按一下 [確定],然後關閉「事件檢視器」。

接著,確認網域控制站上已經停用不必要的服務。

  • 若要檢查已停用的服務

    1. 按一下 [開始],按一下 [設定],按一下 [控制台],按兩下 [系統管理工具],然後按兩下 [服務]。

    2. 請確認「警訊器」、「信差」和 Task Scheduler 等服務未在執行中,而且它們的「啟動類型」被設定為 [已停用]。

      注意:步驟 2 中所列的三項服務在 Windows 2000 中被預設為停用。「網域控制站基準線原則」所停用的服務不只這些,但是檢查它們的設定將可清楚指出新的「群組原則」設定是否已經發生作用。

    3. 關閉 [服務] 工具。


啟用網域控制站上的其他服務

您在前一章節所執行的「網域控制站基準線原則」,停用了幾個不常提供網域控制站基本功能的服務。做這項設定變更將會大幅增加網域控制站的安全性;不過,這項變更會讓通常網域控制站會提供給中小型企業的一些服務無法正常操作。

下列步驟告訴您如何修改「群組原則」,以便重新啟用這些其他服務。請檢視下列工作,並且只在網路需要這些服務所提供的其他功能時才在您的網域控制站上完成這些工作:

  • 啟用 DHCP 服務

  • 啟用 WINS 服務

  • 啟用列印服務

  • 啟用憑證服務

  • 啟用 IAS 服務

  • 啟用和確保 Task Scheduler 服務的安全

啟用 DHCP 服務

如果您的網域控制站被設定成為「動態主機設定通訊協定 (DHCP)」伺服器,您將需要修改網域控制站的「群組原則」設定,才能提供 DHCP 服務給您的環境。本章節提供設定「群組原則」的逐步指示,以便重新啟用 DHCP 服務。

設定群組原則來啟用 DHCP 服務

您必須編輯 [網域控制站基準線原則] 來重新啟用您網域控制站上的「DHCP Server」服務。請遵循下列步驟,在所有提供 DHCP 服務的網域控制站上,啟用「DHCP 伺服器」服務。

需求

  • 認證:您必須登入成為 Domain Admins 群組的成員。

  • 對使用者的衝擊考量:您需要重新啟動網域控制站才能完成這些步驟。您應該在非營運時間來完成這些步驟,才能將對使用者的衝擊降到最低。

  • 若要設定群組原則來啟用 DHCP 服務

    1. 按一下 [開始],按一下 [設定],按一下 [控制台],按兩下 [系統管理工具],按兩下 [Active Directory 使用者及電腦],然後按一下網域展開網域樹狀目錄。

    2. 對 [Domain Controllers] OU 按一下滑鼠右鍵,然後按一下 [內容]。

    3. 在 [Domain Controllers 內容] 對話方塊中,按一下 [群組原則] 索引標籤,按一下 [網域控制站基準線原則],然後按一下 [編輯]。

      重要:請確定您在編輯的是「網域控制站基準線原則」而非「預設網域控制站原則」。若是誤修改到「預設網域控制站原則」,對您的環境可能會有不利的影響,因而造成排解疑難的困難。

    4. 按兩下 [電腦設定] 底下的 [Windows 設定] 資料夾,按兩下 [安全性設定],然後按一下 [系統服務]。

    5. 在詳細資料窗格 (右窗格) 中,按兩下 [DHCP Server],按一下 [自動],然後按一下 [確定]。

      DHCP 伺服器內容

    6. 關閉「群組物件編輯器」,按一下 [確定] 關閉內容對話方塊,然後結束 [Active Directory 使用者及電腦]。

    7. 請確定使用一次一台的方式,重新啟動提供 DHCP 服務的網域控制站。

      重要:不要讓所有的網域控制站同時重新啟動,因為如果沒有網域控制站可用時,使用者登入網路或存取網路資源會有困難。

確認新的設定

在將「群組原則」設定修改為啟用「DHCP Server」服務之後,請確認這些服務在執行。

  • 若要確認 DHCP Server 服務正在執行

    1. 按一下 [開始],按一下 [設定],按一下 [控制台],按兩下 [系統管理工具],然後按兩下 [服務]。

    2. 確認已啟動 [DHCP 伺服器] 服務,並且被設定為自動執行。

重要:同時確認用戶端電腦從您的網域控制站獲取 DHCP Server 的 IP 位址。

啟用 WINS 服務

如果網域控制站被設定成為 Windows 網際網路名稱服務 (WINS) 伺服器,您將需要為您的網域控制站修改「群組原則」設定,才能提供 WINS 服務給您的環境。章節提供設定「群組原則」的逐步指示,以便重新啟用 WINS 服務。

設定允許 WINS 服務的「群組原則」

您必須編輯「網域控制站基準線原則」群組原則物件,才能啟用您網域控制站上的 WINS 服務。請遵循這些步驟,啟用您所有網域控制站上的 WINS 服務。

需求

  • 認證:您必須登入成為 Domain Admins 群組的一員。

  • 對使用者的衝擊考量:您需要重新啟動網域控制站才能完成這些步驟。您應該在非營運時間來完成這些步驟,才能將對使用者的衝擊減到最低。

  • 若要編輯群組原則來啟用 WINS 服務

    1. 按一下 [開始],按一下 [設定],按一下 [控制台],按兩下 [系統管理工具],按兩下 [Active Directory 使用者及電腦],然後按一下您的網域展開網域樹狀目錄。

    2. 對 [Domain Controllers] OU 按一下滑鼠右鍵,然後按一下 [內容]。

    3. 在內容對話方塊中,按一下 [群組原則] 索引標籤,按一下 [網域控制站基準線原則],然後按一下 [編輯]。

      重要:請確定您在編輯的是「網域控制站基準線原則」而非「預設網域控制站原則」。若是誤修改到「預設網域控制站原則」,對您的環境可能會有不利的影響,因而造成排解疑難的困難。

    4. 展開 [電腦設定] 底下的資料夾 [Windows 設定],按一下 [安全性設定],然後按一下 [系統服務]。

    5. 在詳細資料窗格中,按兩下 [WINS],按一下 [自動],然後按一下 [確定]。

      WINS 內容

    6. 關閉「群組原則物件編輯器」,按一下 [確定] 關閉內容對話方塊,然後結束 [Active Directory 使用者及電腦]。

    7. 請確定以一次一台的方式,重新啟動提供 WINS 服務的網域控制站。

      重要:不要讓所有的網域控制站同時重新啟動,因為如果沒有網域控制站可用,使用者登入網路或存取網路資源時會有困難。

確認新的設定

在修改完「群組原則」設定啟用 WINS 服務之後,請確認這項服務是否在執行。

  • 若要確認 WINS 正在執行

    1. 按一下 [開始],按一下 [設定],按一下 [控制台],按兩下 [系統管理工具],然後按兩下 [服務]。

    2. 確認 [Windows 網際網路名稱服務 (WINS)] 已經啟動,並且被設定為自動執行。

啟用檔案和列印服務

在先前章節執行的「網域控制站基準線原則」,並不會影響到您網域控制站上共用檔案的存取。您不需要修改您的網域控制站,來確保檔案共用服務的安全。

不過,如果您的網域控制站被設定為「列印」伺服器,您就需要設定「群組原則」來啟用網域控制站的「列印多工緩衝處理器」服務,以提供「列印」服務給您的環境使用。

設定群組原則啟用列印服務

您必須編輯「網域控制站基準線原則」群組原則物件,才能啟用網域控制站上的「列印多工緩衝處理器」服務。遵循下列步驟啟用您所有網域控制站上的「列印多工緩衝處理器」服務。

需求

  • 認證:您必須登入成為 Domain Admins 群組的一員。

  • 對使用者的衝擊考量:您需要重新啟動網域控制站才能完成這些步驟。您應該在非營運時間來完成這些步驟,才能將對使用者的衝擊減到最低。

  • 若要設定群組原則啟用網域控制站上的列印服務

    1. 按一下 [開始],按一下 [設定],按一下 [控制台],按兩下 [系統管理工具],按兩下 [Active Directory 使用者及電腦],然後按一下您的網域展開網域樹狀目錄。

    2. 對 [網域控制站 OU] 按一下滑鼠右鍵,然後按一下 [內容]。

    3. 在內容對話方塊中,按一下 [群組原則] 索引標籤,按一下 [網域控制站基準線原則],然後按一下 [編輯]。

      重要:請確定您在編輯的是「網域控制站基準線原則」而非「預設網域控制站原則」。若是誤修改到「預設網域控制站原則」,對您的環境可能會有不利的影響,因而造成排解疑難的困難。

    4. 按兩下 [電腦設定] 底下的 [Windows 設定] 資料夾,按兩下 [安全性設定],然後按一下 [系統服務]。

    5. 在詳細資料窗格中,按兩下 [列印多工緩衝處理器],按一下 [自動],然後按一下 [確定]。

      WINS 內容

    6. 關閉 [群組原則],按一下 [確定] 關閉內容對話方塊,然後結束 [Active Directory 使用者及電腦]。

    7. 請確定以一次一台的方式,重新啟動提供「列印」服務的網域控制站。

      重要:不要讓所有的網域控制站同時重新啟動,因為如果沒有網域控制站可用,使用者登入網路或存取網路資源時會有困難。

確認新的設定

在修改完群組原則設定,啟用了「列印多工緩衝處理器」服務之後,請確認該項服務在執行。

  • 若要確認列印多工緩衝處理器服務正在執行

    1. 按一下 [開始],按一下 [設定],按一下 [控制台],按兩下 [系統管理工具],然後再按兩下 [服務]。

    2. 確認已經啟動「列印多工緩衝處理器」服務,而且被設定為自動執行。

重要:同時確認用戶端電腦,是否可以使用網域控制站上的共用印表機列印。

啟用 IAS 服務

如果您的網域控制站有被設定成為「網際網路確認服務 (IAS)」伺服器,您將需要修改網域控制站的「群組原則」,以提供 IAS 服務給您的環境。本章節提供設定「群組原則」的逐步指示,以便重新啟用 IAS 服務。

設定群組原則來啟用 IAS 服務

您必須編輯「網域控制站基準線原則」,才能重新啟用您網域控制站上的 IAS 服務。請遵循步驟啟用所有提供 IAS 服務的網域控制站上的「憑證服務」。

需求

  • 認證:您必須登入成為 Domain Admins 群組的一員。

  • 對使用者的衝擊考量:您需要重新啟動網域控制站才能完成這些步驟。您應該在非營運時間來完成這些步驟,才能將對使用者的衝擊減到最低。

  • 若要設定群組原則來啟用 IAS 服務

    1. 按一下 [開始],按一下 [設定],按一下 [控制台],按兩下 [系統管理工具],按兩下 [Active Directory 使用者及電腦],然後按兩下您的網域展開網域樹狀目錄。

    2. 對 [Domain Controllers] OU 按一下滑鼠右鍵,然後按一下 [內容]。

    3. 在內容對話方塊中,按一下 [群組原則] 索引標籤,按一下 [網域控制站基準線原則],然後按一下 [編輯]。

      重要:請確定您在編輯的是「網域控制站基準線原則」而非「預設網域控制站原則」。若是誤修改到「預設網域控制站原則」,對您的環境可能會有不利的影響,因而造成排解疑難的困難。

    4. 按兩下 [電腦設定] 底下的 [Windows 設定] 資料夾,按兩下 [安全性設定],然後再按一下 [系統服務]。

    5. 在詳細資料窗格中 (右窗格),按兩下 [IAS],按一下 [自動],然後再按一下 [確定]。

      WINS 內容

    6. 關閉「群組原則物件編輯器」,按一下 [確定] 關閉內容對話方塊,然後結束 [Active Directory 使用者及電腦]。

    7. 重新啟動使用 IAS 的網域控制站,請確定一次只重新啟動一台。

      重要:不要讓所有的網域控制站同時重新啟動,因為如果沒有網域控制站可用,使用者登入網路或存取網路資源時會有困難。

確認新的設定

在修改完「群組原則」設定啟用了 IAS 服務之後,請確認該項服務在執行。

  • 若要確認 IAS 服務正在執行

    1. 按一下 [開始],按一下 [控制台],按一下 [設定],按兩下 [系統管理工具],然後再按兩下 [服務]。

    2. 確認 IAS 服務正在執行,而且被設定成自動啟動。

啟用憑證服務

如果您的網域控制站有被設定成為憑證授權 (CA) 伺服器,您需要修改網域控制站的「群組原則」設定,才能提供「憑證服務」給您的環境。本章節提供設定「群組原則」的逐步指示,以便重新啟用「憑證服務」。

設定群組原則啟用憑證服務

您必須編輯網域控制站基準線原則,才能重新啟用您網域控制站上的「憑證服務」。請遵循下列步驟,啟用所有提供「憑證服務」的網域控制站上的「憑證服務」。

需求

  • 認證:您必須登入成為 Domain Admins 群組的一員。

  • 對使用者的衝擊考量:您需要重新啟動您的網域控制站才能完成這些步驟。您應該在非營運時間來完成這些步驟,才能將對使用者的衝擊減到最低。

  • 若要設定群組原則啟用憑證服務

    1. 按一下 [開始],按一下 [設定],按一下 [控制],按兩下 [系統管理工具],按兩下 [Active Directory使用者和電腦],然後按一下您的網域展開網域樹狀目錄。

    2. 對 [Domain Controllers] OU 按一下滑鼠右鍵,然後按一下 [內容]。

    3. 在內容對話方塊中,按一下 [群組原則] 索引標籤,再按一下 [網域控制站基準線原則],然後按一下 [編輯]。

      重要:請確定您在編輯的是「網域控制站基準線原則」而非「預設網域控制站原則」。若是誤修改到「預設網域控制站原則」,對您的環境可能會有不利的影響,因而造成排解疑難的困難。

    4. 按兩下 [電腦設定] 的 [Windows 設定] 資料夾,再按兩下 [安全性設定],然後按一下 [系統服務]。

    5. 在詳細資料窗格中,按兩下 [CertSvc],按一下 [自動],然後按一下 [確定]。

      CertSvc 內容

    6. 關閉 [群組原則物件編輯器],按一下 [確定] 關閉內容對話方塊,然後結束 [Active Directory 使用者及電腦]。

    7. 以一次一台的方式重新啟動您的網域控制站。

      重要:不要讓所有的網域控制站同時重新啟動,因為如果沒有網域控制站可用,使用者登入網路或存取網路資源時會有困難。

確認新的設定

在修改完「群組原則」設定啟用了「憑證」服務之後,請確認這項服務在執行。

  • 若要確認憑證服務正在執行

    1. 按一下 [開始],按一下 [設定],按一下 [控制台],按兩下 [系統管理工具],然後按兩下 [服務]。

    2. 確認「憑證服務」正在執行,而且被設定成自動啟動。

啟用並確保 Task Scheduler 服務的安全

如果您的網域控制站使用已排程的工作來自動執行指令碼或程式,您需要修改網域控制站的「群組原則」設定以便執行 Task Scheduler 服務。

為協助改善您網域控制站的安全性,在重新啟用 Task Scheduler 服務之後,請限制任何使用 AT 命令排程的工作使用本機系統帳戶。如果維持預設的帳戶設定,您的網域控制站將遭受惡意使用者的攻擊。

本章節提供以下的逐步指示:

  • 設定「群組原則」啟用 Task Scheduler。

  • 藉由修改「AT 服務帳戶」,確保 Task Scheduler 服務的安全。

設定群組原則來啟用 Task Scheduler

您必須編輯「網域控制站基準線原則」GPO,才能啟用您網域控制站上的 Task Scheduler 服務。請遵循下列步驟,啟用您所有網域控制站上的 Task Scheduler 服務。

需求

  • 認證:您必須登入成為 Domain Admins 群組的成員。

  • 對使用者的衝擊考量:您需要重新啟動網域控制站才能完成這些步驟。同時重新啟動您所有的網域控制站,可能會讓使用者暫時無法登入網路或存取網路資源。為了將對使用者的衝擊減到最低,您應該在非營運時間來完成這些步驟。

  • 若要設定群組原則來啟用您網域控制站上的 Task Scheduler

    1. 按一下 [開始],按一下 [設定],按一下 [控制台],按兩下 [系統管理工具],按兩下 [Active Directory 使用者及電腦],然後按兩下您的網域展開網域樹狀目錄。

    2. 對 [Domain Controllers] OU 按一下滑鼠右鍵,然後按一下 [內容]。

    3. 在內容對話方塊中,按一下 [群組原則] 索引標籤,再按一下 [網域控制站基準線原則],然後按一下 [編輯]。

      重要:請確定您在編輯的是「網域控制站基準線原則」而非「預設網域控制站原則」。若是誤修改到「預設網域控制站原則」,對您的環境可能會有不利的影響,因而造成排解疑難的困難。

    4. 按兩下 [電腦設定] 底下的 [Windows 設定] 資料夾,再按兩下 [安全性設定],然後按一下 [系統服務]。

    5. 在詳細資料窗格中,按兩下 [Task Scheduler],按一下 [自動],然後按一下 [確定]。

      工作排程器內容

    6. 關閉「群組原則物件編輯器」,按一下 [確定]來關閉內容對話方塊,然後結束 [Active Directory 使用者及電腦]。

    7. 重新啟動使用工作排程器的網域控制站時,請確定一次只啟動一台。

      重要:不要讓所有的網域控制站同時重新啟動,因為如果沒有網域控制站可用,使用者登入網路或存取網路資源時會有困難。

確認新的設定

在修改完「群組原則」設定啟用了 Task Scheduler 服務之後,請確認該項服務在執行。

  • 若要確認 Task Scheduler 服務正在執行

    1. 按一下 [開始],按一下 [設定],按一下 [控制台],按兩下 [系統管理工具],然後按兩下 [服務]。

    2. 確認 Task Scheduler 服務正在執行,而且被設定成自動啟動。

藉由修改 AT 服務帳戶確保 Task Scheduler 的安全

您也可以使用 AT 命令編排 Task Scheduler 中的工作。預設上,使用 AT 命令排程的工作,不論哪個使用者登入電腦都是以 Local System 帳戶來執行。通常系統管理員不會注意到這些在背景執行的工作。

Local System 帳戶是一種特殊、預先定義的帳戶,被用來啟動和執行您網域控制站上的許多服務。這個帳戶允許完全存取您的網域控制站,也可以存取網路資源。因此許多與安全有關的攻擊,都試圖利用使用 Local System 帳戶執行的服務。

為協助改善您網域控制站的安全性,您可以禁止有惡意的使用者執行使用 Local System 帳戶的程式。本指南建議您修改 Task Scheduler 的設定,以便使用 AT 命令排程的工作不得使用本 Local System 帳戶來執行。

您完成下列步驟之後,任何使用 AT 命令排程的工作只能使用您指定的帳戶來執行。

需求

  • 認證:您必須登入成為 Domain Admins 群組的一員。

  • 重複這些步驟:您必須在每一台網域控制站上完成這些步驟。

  • 若要修改 AT 服務帳戶設定

    1. 按一下 [開始],按一下 [設定],按一下 [控制台],然後按兩下 [已排程的工作]。

    2. 從 [進階] 功能表選取 [AT 服務帳戶]。

    3. 按一下 [這個帳戶] 選項,輸入不提供您網域控制站的系統管理權限的帳戶名稱和密碼,然後按一下 [確定]。

      AT服務帳戶設定

      重要:請確定所使用的帳戶不屬於任何的系統管理群組 (例如,Enterprise Admins、Domain Admins 或 Administrators)。建議您為此目的建立特定的服務帳戶,並且定期監視帳戶群組的成員。

      如果您需要執行使用系統管理員認證的工作,您就必須使用 Task Scheduler 中的「新增排定的工作」精靈來為此工作排程。


保持您網域控制站的安全

為了讓您的網域控制站保持最新狀態,您必須定期下載和安裝最新的 Microsoft 安全性更新。這些更新在協助解決已知的問題,和保護您電腦的安全性弱點。

下列步驟提供您自動和手動的方法,利用可用的安全性更新來維持網域控制站的最新狀態。您要完成下列工作:

  • 設定「自動更新」,以便在您指定的排程上自動下載和安裝安全性更新。

  • 檢視如何使用 Windows Update 來以手動方式下載和安裝安全性更新。

重要:您應該利用最新的安全性更新,讓網路上所有的電腦都保持最新狀態。設定「自動更新」和使用您網域控制站上的 Windows Update,能讓您的網域控制站保持最新的狀態。請確定已設定「自動更新」和 Windows Update,並且為您網路上所有執行 Windows 2000、Microsoft® Windows Server™ 2003 和 Windows XP 的電腦使用。

設定自動更新套件

您可以將 Windows 2000 的網域控制站設定為,在開啟電腦和連接到網際網路時,自動下載和安裝最新的 Microsoft 安全性更新。

需求

  • 認證:您必須登入成為 Domain Admins 群組的成員。

  • 重複這些步驟:您必須在您每一台網域控制站上完成這些步驟。

  • 若要設定您的網域控制站,自動下載和安裝安全性更新

    1. 按一下 [開始],按一下 [設定],按一下 [控制台],按兩下 [系統管理工具],然後按兩下 [自動更新]。

    2. 選取標示著 [將我的電腦保持在最新狀態] 的核取方塊。啟用這項設定後,Windows Update 軟體可能會在套用其他更新之前先自動更新。

    3. 選取選項 [自動下載更新,並在我指定的排程安裝它們]。

    4. 選取安裝更新的日期和時間,然後按一下 [確定] 關閉 [自動更新] 視窗。

      重要:安全性更新經常需要重新啟動您的網域控制站。請選擇對使用者影響最小的日期和時間。

      自動更新

使用 Windows Update

Windows Update 是 Windows 的線上延伸,它可協助您讓連接網際網路的電腦保持最新狀態。您可以執行 Windows Update,確保「自動更新」已經安裝所有最新的安全性更新。若 Microsoft 通知出現新的安全性問題,而您想立即知道電腦是否為最新狀態,Windows Update 便能發揮強大功效。

需求

  • 認證:您必須登入成為 Server Operators 群組或 Domain Admins 群組的一員。

  • 重複這些步驟:您必須在每一台網域控制站上完成這些步驟。

  • 若要執行 Windows Update 以手動方式下載和安裝安全性更新

    1. 按一下 [開始],按一下 [程式集],然後按一下 [Windows Update]。

    2. 在 Internet Explorer 中,按一下 [掃描更新檔項目],然後等到 100% 完成掃描。

    3. Windows Update 會自動選取您網域控制站所缺的必備重要安全性更新。如果有更新,則按一下 [檢視並安裝更新檔],再按一下 [立即安裝],然後遵循畫面上的安裝指示。

    4. 重複這些步驟直到沒有重要的更新可供您的網域控制站使用。

注意:安全性更新程經常需要您重新啟動網域控制站。在執行 Windows Update 的時候,請確實考量重新啟動網域控制站對您的使用者的衝擊。

相關資訊

如需關於確保 Windows 2000 安全的詳細資訊,請參閱下列連結:

如需關於 Windows 2000 的詳細資訊,請參閱下列連結:


顯示: