安全模板
正如模塊 1“Windows XP 安全指南簡介”中所述,本模塊中提供的指導特定於在本指南中定義的企業客戶端環境和高安全級環境。在某些情況下,本指南建議在便攜式計算機上使用與台式計算機不同的設置,這是由於便攜式計算機是移動的,並且不總是通過企業網絡連接到環境中的域控制器。本指南還假設便攜式計算機用戶在非正常工作時間工作,而此時沒有現場技術支持。因此,對於便攜式客戶端來說,需要連接到域控制器或者控制登錄時間的設置會有所不同。請記住,本模塊中的指導所提出的建議只是為了讓您便於根據自己的業務需求對其進行調整。
下表定義本指南中提供的基礎結構 (。inf) 文件。這些文件包含在本指南中定義的兩種環境的所有基准安全設置建議。
表 3.1:基准安全模板
有關本模塊中所討論的設置的更多詳細信息,請參見配套指南《Threats and Countermeasures Security Settings in Windows Server 2003 and Windows XP》。
帳戶策略設置
本模塊中未涵蓋“帳戶策略”設置,這些設置將在本指南的模塊 2 “配置 Active Directory 域基礎結構”中討論。
本地策略設置
“本地策略設置”可在運行 Windows XP Professional 的任何計算機上進行本地配置,這可通過使用“本地安全策略控制台”或通過基於 Microsoft Active Directory? 域的組策略對象 (GPO) 來配置。“本地策略”設置包括“審核策略”、“用戶權限分配”和“安全選項”。
審核策略設置
“審核策略”用於確定要向管理員報告的安全事件,以便記錄具有指定事件類別的用戶或系統活動。管理員可以監視與安全有關的活動,如誰訪問某個對象、用戶何時登錄或注銷某台計算機、是否對審核策略設置進行過更改。基於所有這些原因,Microsoft 建議您為管理員創建一個可在您的環境中實現的審核策略。
在實現審核策略之前,必須確定在您的企業環境中需要審核哪些類別的事件。企業審核策略由您在事件類別中選擇的審核設置來定義。通過為特定的事件類別定義審核策略設置,管理員可以根據組織的安全需求創建審核策略。
如果未配置任何審核設置,將很難或者不可能確定在遇到安全事件時所發生的情況。不過,如果因為配置了審核而導致有太多的授權活動生成事件的話,安全事件日志中則將充滿無用的數據。下面的建議旨在幫助您在確定要監視的內容以及確定如何為組織收集相關審核數據時找到平衡點。
可以使用“組策略對象編輯器”在以下位置配置 Windows XP 的審核策略設置:
計算機配置\Windows 設置\安全設置\本地策略\審核策略
表 3.2:用於保護 Windows XP 計算機的審核策略設置
審核帳戶登錄事件
表 3.3:設置
“審核帳戶登錄事件”設置用於跟蹤使用域登錄憑據從本地控制台、網絡或服務帳戶進行的登錄嘗試。要准確地確定用戶何時成功或不成功地登錄系統,必須啟用此審核設置。
啟用此審核策略設置後,管理員可以跟蹤在您的環境中,組織中的網絡上有哪些系統正由運行 Windows XP 的計算機訪問。因此,在本指南中定義的兩種環境中,“審核帳戶登錄事件”設置被配置為“成功”和“失敗”。
審核帳戶管理
表 3.4:設置
“審核帳戶管理”設置用於跟蹤以下企圖:新建用戶或組、重命名用戶或組、啟用或禁用用戶帳戶、更改帳戶密碼、啟用對帳戶管理事件的審核。
啟用此審核策略設置後,管理員可跟蹤事件,以檢測惡意創建、意外創建和授權創建用戶帳戶和組帳戶的情況。因此,在本指南中定義的兩種環境中,“審核帳戶管理”設置被配置為“成功”和“失敗”。
審核目錄服務訪問
表 3.5:設置
無審核
無審核 無審核無審核
啟用“審核目錄服務訪問”設置只是為了針對域控制器執行審核。因此,未在工作站級別定義此設置。
此設置不適用於運行 Windows XP Professional 的計算機。因此,在本指南中定義的兩種環境中,確保“審核目錄服務訪問”設置被配置為“無審核”。
審核登錄事件
表 3.6:設置
企業客戶端台式計算機 企業客戶端便攜式計算機 高安全級台式計算機 高安全級便攜式計算機 成功、失敗 成功、失敗 成功、失敗 成功、失敗“審核登錄事件”設置用於跟蹤使用本地計算機登錄憑據從本地控制台和網絡以及批帳戶或服務帳戶進行的成功和失敗的登錄嘗試。
啟用此審核策略設置後,管理員可以跟蹤這些事件並獲得如下記錄:誰成功和誰未能成功登錄到組織中運行 Windows XP 的計算機。因此,在本指南中定義的兩種環境中,“審核登錄事件”設置被配置為“成功”和“失敗”。
審核對象訪問
表 3.7:設置
企業客戶端台式計算機 企業客戶端便攜式計算機 高安全級台式計算機 高安全級便攜式計算機 成功、失敗 成功、失敗 成功、失敗 成功、失敗在 Windows XP 中,可以跟蹤用戶對特定文件和文件夾的訪問。“審核對象訪問”設置允許您跟蹤那些通過某些對象來對敏感數據的訪問,這些對象可以是特定於文件、文件夾、打印機、注冊表項的對象,還可以是其他可設置為要審核的對象。要跟蹤用戶對這些對象的訪問,必須首先訪問每個文件或文件夾,然後啟用該對象的安全屬性,以審核用戶訪問。而後必須啟用“審核對象訪問”設置,以返回成功和失敗記錄。
啟用此審核策略設置可按照為特定對象定義的審核規則來記錄事件。在此審核策略中選中“失敗”選項,可確保能夠監視入侵者對敏感數據的訪問企圖。隨後,在安全事件日志中,將針對滿足此審核功能的審核要求的指定文件和文件夾生成有關訪問事件的記錄。
因此,在本指南中定義的兩種環境中,“審核對象訪問”設置被配置為“成功”和“失敗”。
下列過程詳述如何對文件或文件夾手動設置審核規則,然後針對指定文件或文件夾中的每個對象測試每個審核規則。此過程可通過腳本自動執行。
為文件或文件夾定義審核規則
1.使用 Windows 資源管理器定位該文件或文件夾,然後選擇它。
2.單擊“文件”菜單並選擇“屬性”。
3.單擊“安全”選項卡,然後單擊“高級”按鈕。
4.單擊“審核”選項卡。
5.單擊“添加”按鈕,隨後將出現“選擇用戶、計算機或組”對話框。
6.單擊“對象類型”按鈕,然後在“對象類型”對話框中,選擇要查找的對象類型。
注意:“用戶、組和內置安全主體”對象類型會默認選中。
7.單擊“位置”按鈕,然後在“位置”對話框中,選擇域中的計算機或本地計算機。
8.在“選擇用戶或組”對話框中,鍵入要審核的組或用戶的名稱。然後,在“輸入要選擇的對象名稱”對話框中,鍵入 Authenticated Users,以審核所有經過驗證的用戶的訪問,然後單擊“確定”。將打開“審核項目”對話框。
9.使用“審核項目”對話框,確定要針對文件或文件夾進行審核的訪問類型。
注意:請記住,每次訪問都會在事件日志中生成多個事件,這會導致日志迅速變大。
10.在“審核項目”對話框中,選中“列出文件夾/讀取數據”旁邊的“成功”和“失敗”,然後單擊“確定”。
11.已啟用的審核項目將出現在“高級安全設置”對話框的“審核”選項卡下面。
12.單擊“確定”關閉“屬性”對話框。
使用下列過程測試已配置的每個審核規則。
測試文件或文件夾的審核規則
1.打開該文件或文件夾。
2.關閉該文件或文件夾。
3.啟動“事件查看器”。
將在“安全事件日志”中出現幾個事件 ID 為 560 的對象訪問事件。
4.根據需要雙擊這些事件,查看有關它們的詳細信息。
審核策略更改
表 3.8:設置
企業客戶端台式計算機 企業客戶端便攜式計算機 高安全級台式計算機 高安全級便攜式計算機 成功 成功 成功 成功“審核策略更改”設置允許您跟蹤對用戶權限、審核策略或信任策略進行的更改。如果為該設置配置值,可確保您能夠驗證對組策略的授權更改,並檢測任何未經授權的更改。啟用此設置後,可將對用戶權限、審核策略或信任策略進行的更改作為事件記錄在安全事件日志中。
因此,在本指南中描述的兩種環境中,“審核策略更改”設置被配置為“成功”。如果包括“失敗”這一設置值,將不會在安全事件日志中提供有意義的訪問信息。有關其他信息,請參見本模塊“其他信息”部分中提到的“Microsoft Windows Security Resource Kit”。
審核特權使用
表 3.9:設置
企業客戶端台式計算機 企業客戶端便攜式計算機 高安全級台式計算機 高安全級便攜式計算機 無審核 無審核 失敗 失敗“審核特權使用”設置允許您審核符合以下條件的任何操作:要求用戶帳戶使用已分配給它的任何額外特權的任何操作。啟用此設置後,如果有用戶或進程嘗試回避遍歷檢查、調試程序、創建令牌對象、替換進程級令牌或生成安全審核,則會導致在安全事件日志中記錄已審核的事件。使用此設置,還可以在某個用戶或帳戶嘗試使用“備份”或“還原”用戶權限備份或還原文件或目錄時,生成事件。但是,只有在啟用了用來審核備份和還原企圖的安全選項時,這些審核事件才會觸發。
所有用戶帳戶都會定期使用特權。如果將此設置配置為同時審核成功和失敗的事件,將導致在安全事件日志中快速聚積大量事件記錄。如此之大的數量反映的是正常用戶行為,對這些事件進行排序也就成為了詳細審核開銷成本的一部分。
對於企業客戶端環境未提供有關此設置的指導,這是由於在該安全環境中建議不對大多數用戶權限使用組策略。如果您的組織將用戶權限分配給用戶帳戶或組,請考慮啟用此設置,以審核組織中較高權限的使用情況。本指南中定義的高安全級環境中啟用了此設置,這是因為在該環境中 Windows XP 中可用的大多數用戶權限都是建議使用的。
因此,在企業客戶端環境中,“審核特權使用”設置被配置為“無審核”。但是在高安全級環境中,此設置配置為“失敗”,以便審核所有失敗的使用額外特權的嘗試。
審核過程跟蹤
表 3.10:設置
企業客戶端台式計算機 企業客戶端便攜式計算機 高安全級台式計算機 高安全級便攜式計算機 無審核 無審核 無審核 無審核“審核過程跟蹤”設置允許您在應用程序或用戶啟動、停止或更改進程時進行審核,並在安全事件日志中記錄有關每個實例的事件。啟用過程跟蹤對於排除應用程序故障和了解應用程序工作方式非常有用;只有在跟蹤特定應用程序行為時,才建議使用此設置。但是,啟用此設置將在安全事件日志中快速生成大量事件。
因此,在本指南中定義的兩種環境中,“審核過程跟蹤”設置被配置為“無審核”。
審核系統事件
表 3.11:設置
“審核系統事件”設置非常重要,因為它允許您監視成功和失敗的系統事件,並提供有關這些事件的記錄,從而幫助您確定未經授權的系統訪問的實例。系統事件包括啟動或關閉環境中的計算機、全部事件日志或其他與影響整個系統的安全相關事件。
因此,在企業客戶端環境中,“審核系統事件”設置被配置為“成功”。但是,在高安全級環境中,此設置被配置為“成功”和“失敗”,以便實現額外的安全性。
用戶權限分配設置
除了 Windows XP Professional 中的許多特權組之外,還可以為用戶和組分配許多用戶權限,以便授予他們高於普通用戶的特權。在這些額外的用戶權限中,有許多(但並非全部)用戶權限都適用於 Windows XP Professional.
要將用戶權限的值設置為“No One”,請啟用此設置,但是不向其中添加任何用戶或組。要將用戶權限的值設置為“沒有定義”,請不要啟用此設置。
在 Windows XP 中,“用戶權限分配”設置可在組策略對象編輯器中的如下位置進行配置:
計算機配置\Windows 設置\安全設置\本地策略\用戶權限分配
表 3.12:用於保護 Windows XP 計算機的“用戶權限分配”設置