admin管理员组文章数量:1535489
2024年3月7日发(作者:)
这是一篇科普文 老鸟请一笑飘过
1.用户权限允许用户在计算机上或域中执行任务。用户权限包括“登录权限”和“特权”。登录权限控制为谁授予登录计算机的权限以及他们的登录方式。特权控制计算机和域资源的访问,并且可以覆盖特定对象上设置的权限。
2.登录权限的一个示例是在本地登录计算机的能力。特权的一个示例是关闭计算机的能力。这两种用户权限都由管理员作为计算机安全设置的一部分分配给单个用户或组。
用户权限分配设置
用户权限分配设置
您可以在组策略对象编辑器的以下位置配置用户权限分配设置:
计算机配置Windows 设置安全设置本地策略用户权限分配
从网络访问此计算机
此策略设置确定用户是否可以从网络连接到计算机。许多网络协议均需要此功能,包括基于服务器消息块 (SMB) 的协议、NetBIOS、通用 Internet 文件系统 (CIFS) 和组件对象模型
(COM+)。
1.“从网络访问此计算机”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:用户只要可以从其计算机连接到网络,即可访问目标计算机上他们具有权限的资源。例如,用户需要“从网络访问此计算机”用户权限以连接到共享打印机和文件夹。如果将此用户权限分配给 Everyone 组,并且某些共享文件夹配置了共享和 NTFS 文件系统 (NTFS)
权限,以便相同组具有读取访问权限,那么组中的任何用户均能够查看那些共享文件夹中的文件。但是,此情况与带有 Service Pack 1 (SP1) 的 Microsoft Windows Server™ 2003 的全新安装不同,因为 Windows Server 2003 中的默认共享和 NTFS 权限不包括 Everyone
组。对于从 Windows NT® 4.0 或 Windows 2000 升级的计算机,此漏洞可能具有较高级别的风险,因为这些操作系统的默认权限不如 Windows Server 2003 中的默认权限那样严格。
对策:将“从网络访问此计算机”用户权限仅授予需要访问服务器的那些用户。例如,如果将此策略设置配置为 Administrators 和 Users 组,倘若本地 Users 组中包括 Domain Users
组中的成员,登录到域的用户将能够从域中的服务器访问共享资源。
潜在影响:如果在域控制器上删除所有用户“从网络访问此计算机”的用户权限,则任何人都不能登录到域或使用网络资源。如果在成员服务器上删除此用户权限,用户将无法通过网络
连接到这些服务器。如果已安装可选组件,如 或 Internet 信息服务 (IIS),可能需要将此用户权限分配给那些组件所需的其他帐户。验证是否为其计算机需要访问网络的授权用户分配了此用户权限,这一点很重要。
以操作系统方式操作
此策略设置确定进程是否可采用任何用户的标识,从而获得用户被授权访问的资源的访问权限。通常,只有低级别的身份验证服务需要此用户权限。请注意,在默认情况下,潜在访问不局限于与该用户相关的范围。调用进程可能请求将任意其他特权添加到访问令牌中。调用进程还可能生成不提供用于在系统事件日志中审核的主标识的访问令牌。
2.“以操作系统方式操作”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:“以操作系统方式操作”用户权限的功能非常强大。任何具有此用户权限的人员都可以完全控制计算机并清除其活动的证据。
对策:将“以操作系统方式操作”用户权限授予尽可能少的帐户,在一些典型情况下甚至不应将其分配给 Administrators 组。当某个服务需要此用户权限时,请将此服务配置为使用本地系统帐户登录,该帐户本身具有此特权。不要单独创建一个帐户,然后将此用户权限分配给它。
潜在影响:应该没有或几乎没有影响,因为除本地系统帐户外其他帐户很少需要“以操作系统方式操作”用户权限。
域中添加工作站
此策略设置确定用户是否可将计算机添加到特定域。为使其生效,必须分配此策略设置使其应用于至少一个域控制器。分配了此用户权限的用户可以将多达十个工作站添加到域。如果用户具有 Active Directory® 目录服务中的组织单位 (OU) 或计算机容器的“创建计算机对象”权限,还可以将计算机加入域。分配了此权限的用户可将任意数量的计算机添加到域,不管他们是否具有“域中添加工作站”用户权限。
3.“域中添加工作站”设置的可能值为:
•
用户定义的帐户列表
•
没有定义
漏洞:“域中添加工作站”用户权限存在一个中等安全漏洞。具有此权限的用户可向其配置方式违反组织安全策略的域中添加计算机。例如,如果您的组织不希望用户在其计算机上具有管理特权,用户可在其计算机上安装 Windows,然后将该计算机添加到域中。他们将获得本地管理员帐户的密码,并且可以使用该帐户进行登录,然后将自己的域帐户添加到本地的
Administrators 组中。
对策:配置“域中添加工作站”设置,以便只允许信息技术 (IT) 小组中的授权成员向域中添加计算机。
潜在影响:如果组织从来不允许用户设置自己的计算机并将其添加到域中,此对策将没有任何影响。如果组织允许部分或全部用户配置自己的计算机,此对策将强制该组织建立一个正式的进程以使这些过程实现。它不会影响现有计算机,除非计算机从域中删除并重新添加到域中。
调整进程的内存配额
此策略设置确定用户是否可调整进程可用的最大内存量。尽管此功能在需要调整计算机时很有用,但应考虑潜在的滥用情况。此用户权限如果被别人利用,可能会导致拒绝服务 (DoS)
攻击。
4“调整进程的内存配额”设置的可能值为:
•
用户定义的帐户列表
•
没有定义
漏洞:具有“调整进程的内存配额”特权的用户可减少任何进程的可用内存量,这可能导致业务关键性网络应用程序速度变慢或无法工作。
对策:将“调整进程的内存配额”用户权限仅授予需要将其用于完成工作的用户,例如维护数据库管理系统的应用程序管理员,或管理组织的目录及其支持基础结构的域管理员。
潜在影响:不将用户角色限制在有限特权范围内的组织将发现很难实行此对策。此外,如果已安装可选组件,如 或 IIS,可能需要将“调整进程的内存配额”用户权限分配给那些组件所需的其他帐户。IIS 要求将此特权明确分配给 IWAM_<计算机名称>、网络服务和服务帐户。否则,此对策将对大多数计算机没有任何影响。如果用户帐户必需此用户权限,可将该用户权限分配至本地计算机帐户而不是域帐户。
允许在本地登录
此策略设置确定用户是否可在计算机上启动交互式会话。如果不具有此权限的用户具有“通过终端服务允许登录”权限,则其仍然可以在计算机上启动一个远程交互式会话。
5.“允许在本地登录”设置的可能值为:
•
用户定义的帐户列表
•
没有定义
漏洞:任何具有“允许在本地登录”用户权限的帐户都能够登录到计算机的控制台。如果没有将此用户权限仅授予需要能够登录到计算机的控制台的合法用户,未经授权的用户可以下载并执行恶意代码来提升其特权。
对策:对于域控制器,仅将“允许在本地登录”用户权限分配给 Administrators 组。对于其他服务器角色,可以选择添加 Backup Operators 和 Power Users。对于最终用户计算机,还应将此权限分配给 Users 组。
或者,可将诸如 Account Operators、Server Operators 和 Guests 之类的组分配给“拒绝本地登录”用户权限。
潜在影响:如果删除这些默认组,可以限制在环境中分配了特定管理角色的用户的能力。如果已安装可选组件(例如 或 Internet 信息服务),可能需要将“允许在本地登录”用户权限分配给那些组件所需的其他帐户。IIS 要求将此用户权限分配给 IUSR_<计算机名称> 帐户。应确认不会对委派的活动产生负面影响。
通过终端服务允许登录
此策略设置确定用户是否可以通过远程桌面连接登录到计算机。不应将此用户权限分配给其他用户或组。相反,最佳做法是在 Remote Desktop Users 组中添加或删除用户,来控制谁可以打开到计算机的远程桌面连接。
6.“通过终端服务允许登录”设置的可能值为:
•
用户定义的帐户列表
•
没有定义
漏洞:具有“通过终端服务允许登录”用户权限的任何帐户都可以登录到计算机的远程控制台。如果没有将此用户权限授予需要登录到计算机的控制台的合法用户,未经授权的用户能够下载并执行恶意代码来提升其特权。
对策:对于域控制器,仅将“通过终端服务允许登录”用户权限分配给 Administrators 组。对于其他服务器角色和最终用户计算机,还应将此权限授予 Remote Desktop Users 组。对于不是在应用程序服务器模式下运行的终端服务器,确保只有需要远程管理计算机的经授权
IT 人员才属于这两组之一。
警告:对于以应用程序服务器模式运行的终端服务器,请确保只有需要访问服务器的用户才具有属于 Remote Desktop Users 组的帐户,因为此内置组在默认情况下具有此登录权限。
或者,可以将“通过终端服务拒绝登录”用户权限分配诸如 Account Operators、Server
Operators 和 Guests 之类的组。但是,在使用此方法时要小心,因为这可能会阻止访问碰巧也属于具有“通过终端服务拒绝登录”用户权限的组的合法管理员。
潜在影响:从其他组中删除“通过终端服务允许登录”用户权限或更改这些默认组中的成员身
份可能会限制在环境中执行特定管理角色的用户的能力。应确认不会对委派的活动产生负面影响。
备份文件和目录
此策略设置确定用户是否可越过文件和目录权限来备份计算机。仅当应用程序尝试通过如
的备份实用程序来通过 NTFS 备份应用程序编程接口 (API) 进行访问时,此用户权限才有效。否则,应用标准文件和目录权限。
7.“备份文件和目录”设置的可能值为:
•
用户定义的帐户列表
•
没有定义
漏洞:能够从计算机备份数据的用户可以将备份媒体拿到另一台非域计算机上(在这台计算机上用户具有管理员特权),然后恢复数据。他们可以取得文件的所有权,查看备份集内包含的任何未加密数据。
对策:将“备份文件和目录”用户权限仅授予那些需要将备份组织的数据作为其日常职责一部分的 IT 小组成员。如果您正在使用在特定服务帐户下运行的备份软件,只有这些帐户(而不是 IT 人员)应该具有“备份文件和目录”用户权限。
潜在影响:对具有“备份文件和目录”用户权限的组中成员身份的更改会限制环境内分配了特定管理角色的用户的能力。应确认授权的备份管理员仍然能够执行备份操作。
8.“跳过遍历检查
此策略设置确定用户在 NTFS 文件系统或注册表中导航对象路径时,是否可跳过文件夹,而不检查特殊访问权限“遍历文件夹”。此用户权限不允许用户列出文件夹的内容;只允许用户遍历文件夹。
跳过遍历检查”设置的可能值为:
•
用户定义的帐户列表
•
没有定义
漏洞:“跳过遍历检查”设置的默认配置允许任何人跳过遍历检查,经验丰富的 Windows 系统管理员可以相应配置文件系统访问控制列表 (ACL)。默认配置可能导致灾祸的唯一情形是,配置权限的管理员不理解此策略设置如何起作用。例如,他们可能认为无法访问某个文件夹的用户也无法访问任何子文件夹的内容。该情况不太可能发生,因此此漏洞的风险很低。
对策:非常关心安全的组织可能希望从具有“跳过遍历检查”用户权限的组列表中删除
Everyone 组,甚至可能希望删除 Users 组。对遍历分配采取显式控制是控制敏感信息访问非常有效的一种方式。(此外,也可以使用 Windows Server 2003 SP1 中增加的基于访问
的枚举功能。如果使用基于访问的枚举,用户无法看到他们无权访问的任何文件夹或文件。
潜在影响:Windows 操作系统以及许多应用程序被设计为要求可合法访问计算机的任何人具有此用户权限。因此,Microsoft 建议您彻底测试对“跳过遍历检查”用户权限分配的任何更改,然后再对生产系统进行这些更改。特别是 IIS 要求将此用户权限分配给网络服务、本地服务、IIS_WPG、IUSR_<计算机名称>和 IWAM_<计算机名称>帐户。(还必须通过它在 Users 组中的成员身份将其分配给 ASPNET 帐户。)本指南建议将此策略设置保留为其默认配置。
9.更改系统时间
此策略设置确定用户是否可以调整计算机内部时钟的时间。更改系统时间的时区或其他显示特征不需要使用此策略。
“更改系统时间”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:用户若可更改计算机的时间可能会导致几个问题。例如,事件日志条目的时间戳可能会变得不准确,创建或修改文件和文件夹的时间戳可能不正确,属于某个域的计算机可能无法验证自己或试图从其登录到域的用户的身份。此外,因为 Kerberos 身份验证协议要求请求程序和身份验证程序在管理员定义的偏差时间内同步其时钟,攻击者若更改计算机的时间可能导致计算机无法获取或授予 Kerberos 票证。
在大多数域控制器、成员服务器和最终用户计算机上,可以减少这类事件的风险,因为
Windows Time 服务会自动以下列几种方式与域控制器保持时间同步:•
所有客户端桌面计算机和成员服务器都使用身份验证域控制器作为入站时间伙伴。
•
域中的所有域控制器都指定主域控制器 (PDC) 模拟器操作主机作为其入站时间伙伴。
•
所有 PDC 模拟器操作主机在选择其入站时间伙伴时,都遵循域的层次结构。
•
位于域根部的 PDC 模拟器操作主机是组织的权威。因此建议通过配置此计算机来与可靠的外部时间服务器保持同步。
如果攻击者能够更改系统时间,然后停止 Windows Time 服务或重新配置该服务,以便与不准确的时间服务器同步,则此漏洞将变得严重得多。
对策:将“更改系统时间”用户权限仅授予对更改系统时间具有合法要求的用户,如 IT 小组成员。
潜在影响:应该没有任何影响,因为对于大多数组织来说,属于域的所有计算机的时间同步应该是完全自动的。应该将不属于该域的计算机配置为与外部源同步。
10创建页面文件
此策略设置确定用户是否可以创建和更改页面文件的大小。具体来说,它确定他们是否可以在位于“系统属性”对话框“高级”选项卡上的“性能选项”框中指定特定驱动器的页面文件大小。
“创建页面文件”设置的可能值为:
•
用户定义的帐户列表
•
没有定义
漏洞:可以更改页面文件大小的用户可能使该文件变得极小,或者将其移到具有大量文件碎片的存储卷中,这会导致计算机性能降低。
对策:将“创建页面文件”用户权限仅授予 Administrators 组的成员。
潜在影响:无。这是默认配置。
11.创建标记对象
此策略设置确定进程是否可创建令牌,然后可以在进程使用 NtCreateToken() 或其他令牌创建 API 时,通过该令牌获取对任何本地资源的访问权限。
“创建标记对象”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:操作系统检查用户的访问令牌以确定用户的特权级别。在用户登录到本地计算机或通过网络连接到远程计算机时,将生成访问令牌。吊销某种特权后,更改将立即记录,但直到用户下次登录或连接时,更改才会反映在用户的访问令牌中。能够创建或修改令牌的用户可以更改当前登录的任何帐户的访问级别。他们可以提升自己的特权或创建 DoS 条件。
对策:不要将“创建标记对象”用户权限分配给任何用户。需要此用户权限的进程应该使用系统帐户(该帐户已经包含此用户权限),而不要使用分配了此用户权限的单独的用户帐户。
潜在影响:无。这是默认配置。
12创建全局对象
此策略设置确定用户是否可以创建所有会话都可使用的全局对象。如果不具有此用户权限,用户仍可以创建特定于他们自己的会话的对象。
“创建全局对象”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:可以创建全局对象的用户会影响在其他用户的会话中运行的进程。此功能可能会导致各种问题,如应用程序无法工作或数据损坏。
对策:将“创建全局对象”用户权限仅授予本地 Administrators 和 Service 组的成员。
潜在影响:无。这是默认配置。
13创建永久共享对象
此策略设置确定用户是否可以在对象管理器中创建目录对象。拥有此功能的用户可以创建永久共享对象,包括设备、信号灯和多用户终端执行程序。此用户权限对于扩展对象命名空间的内核模式组件非常有用,他们本身就具有此用户权限。因此,通常不需要专门为任何用户分配此用户权限。
“创建永久共享对象”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:具有“创建永久共享对象”用户权限的用户可以创建新共享对象并将敏感数据暴露于网络上。
对策:不要将“创建永久共享对象”用户权限分配给任何用户。需要此用户权限的进程应该使用系统帐户(该帐户已经包含此用户权限),而不要使用单独的用户帐户。
潜在影响:无。这是默认配置。
14.调试程序
此策略设置确定用户是否可以打开或附加到任何进程,即使不是他们所拥有的进程。此用户权限提供对敏感和关键操作系统组件的访问权限。
“调试程序”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:“调试程序”用户权限可被用于从系统内存中捕获敏感的计算机信息,或访问和修改内核或应用程序结构。一些攻击工具利用此用户权限来提取经过哈希的密码和其他秘密的安全信息,或影响木马程序套件代码插入。默认情况下,“调试程序”用户权限仅分配给管理员,它有助于减轻此漏洞的风险。
对策:吊销所有不需要“调试程序”用户权限的用户和组的这一权限。
潜在影响:如果吊销此用户权限,任何人都不能调试程序。但是,典型情况下生产计算机上很少需要此功能。如果出现问题,生产服务器上有某个应用程序临时需要调试,可将该服务器移到另一个 OU,并将“调试程序”用户权限分配给该 OU 的单独组策略。
用于群集服务的服务帐户需要有“调试程序”特权;如果没有,Windows 群集将会失败。
用于管理进程的实用程序将无法影响不归运行该实用程序的人员所有的进程。例如,Windows Server 2003 Resource Kit 工具 要求管理员具有此用户权限以终止他们未启动的进程。
此外,某些旧版本的 (用于安装 Windows 产品更新)还需要应用更新的帐户具有此用户权限。如果安装使用此版本 的修补程序之一,计算机可能会变得没有响应。
15.网络访问这台计算机
此策略设置确定用户是否能够从网络连接到计算机。
“拒绝从网络访问这台计算机”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:以通过网络登录到该计算机的用户能够枚举出帐户名称、组名称和共享资源的列表。具有共享文件夹和文件的访问权限的用户可以通过网络进行连接,并可能查看或修改数据。对高风险帐户(例如本地 Guest 帐户以及没有业务需要通过网络访问计算机的其他帐户)明确拒绝此用户权限可提供一层额外保护。
对策:“拒绝从网络访问这台计算机”用户权限分配给下列帐户:•
匿名登录
•
内置的本地管理员帐户
•
本地来宾帐户
•
内置的支持帐户
•
所有服务帐户
此列表的一个重要例外是,启动需要通过网络连接到该计算机的服务时所使用的所有服务帐户。例如,如果您在 Web 服务器上配置了一个共享文件夹,以便通过网站访问和显示该文件夹中的内容,您可能需要允许运行 IIS 的帐户通过网络登录到包含该共享文件夹的服务器。此用户权限在您考虑到规范遵守问题,需要对处理敏感信息的服务器和工作站进行配置时尤其有效。
潜在影响:果为其他组配置“拒绝从网络访问这台计算机”用户权限,可以限制在环境中分配了特定管理角色的用户的能力。应验证委派的任务是否不会受到负面影
16.为批处理作业登录
此策略设置确定用户是否可以通过批处理队列工具登录,这是 Windows Server 2003 中的功能,用于计划和在以后一次或多次自动启动作业。启动通过任务计划程序计划的作业时使用的所有帐户都需要此用户权限。
“拒绝作为批处理作业登录”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:有“拒绝作为批处理作业登录”用户权限的帐户可用于计划作业,这些作业会消耗过多的计算机资源并导致 DoS 条件。
对策:“拒绝作为批处理作业登录”用户权限分配给内置支持帐户和本地来宾帐户。
潜在影响:果将“拒绝作为批处理作业登录”用户权限分配给其他帐户,有可能拒绝分配了特定管理角色的用户执行必要的作业活动的能力。应确认不会对委派的任务产生负面影响。例如,如果将此用户权限分配给 IWAM_<计算机名称>帐户,MSM 管理点将失败。在新近安装的、运行 Windows Server 2003 的计算机上,此帐户不属于 Guests 组,但是在从
Windows 2000 升级的计算机上,此帐户是 Guests 组的成员。因此,了解哪些帐户属于分配了“拒绝作为批处理作业登录”用户权限的任何组,这一点非常重要。
17.为服务登录
此策略设置确定用户是否可以作为服务登录。
“拒绝作为服务登录”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:以作为服务登录的帐户可能被用来配置和启动新的未授权服务,如按键记录或其他恶意软件。由于只有具备管理特权的用户才能安装和配置服务,而且已经获取了此访问级别的攻击者可以将服务配置为使用系统帐户运行,因此,此指定对策的好处被稍微减弱。
对策:指南建议不将“拒绝作为服务登录”用户权限分配给任何帐户,这是默认配置。非常关心安全的组织可能希望将此用户权限分配给他们确信永远不需要作为服务登录的组和帐户。
潜在影响:果将“拒绝作为服务登录”用户权限分配给特定帐户,服务可能无法启动并且将导致 DoS 条件。
18.拒绝本地登录
此策略设置确定用户是否可以直接通过计算机键盘登录。
“拒绝本地登录”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:备本地登录能力的任何帐户都可用于登录到计算机的控制台。如果不将此用户权限仅授予需要登录计算机控制台的合法用户,未授权用户可能会通过下载和执行恶意代码来提升其特权。
对策:“拒绝本地登录”用户权限分配给内置的支持帐户。如果已安装可选组件如 ,
您可能需要将此用户权限分配给这些组件所需的其他帐户。
注意:Support_388945a0 帐户使得帮助和支持服务可以与签名脚本交互操作。此帐户主要用于控制对签名脚本(可以从帮助和支持服务内部访问)的访问权限。管理员可以使用此帐户来委派典型用户的能力,这类用户不具有从帮助和支持服务中包含的链接运行签名脚本的管理权限。可以对这些脚本进行编程,以使用 Support_388945a0 帐户凭据(而不是用户凭据)在本地计算机上执行特定的管理操作,而典型用户的帐户不支持这种操作。
当受委派用户单击帮助和支持服务中的链接时,将在 Support_388945a0 帐户的安全上下文中执行脚本。此帐户对计算机具有有限的访问权限,并且在默认情况下是禁用的。
潜在影响:果将“拒绝本地登录”用户权限分配给其他帐户,可以限制在环境内分配了特定角色的用户的能力。但是,应将此用户权限明确分配给运行 IIS 6.0 的计算机上的 ASPNET 帐户。应确认不会对委派的活动产生负面影响。
19“通过终端服务拒绝登录
此策略设置确定用户是否可以通过远程桌面连接登录到计算机。
通过终端服务拒绝登录”设置的可能值为:
•
用户定义的帐户列表
•
没有定义
漏洞:具有通过终端服务登录权限的任何帐户都可用于登录到计算机的远程控制台。如果不将此用户权限授予需要登录计算机控制台的合法用户,未授权用户可能会通过下载和执行恶意代码来提升其特权。
对策:将“通过终端服务拒绝登录”登录权限分配给内置的本地管理员帐户和所有服务帐户。如果已安装可选组件如 ,您可能希望将此登录权限分配给这些组件所需的其他帐户。
潜在影响:如果将“通过终端服务拒绝登录”用户权限分配给其他组,可以限制在环境内分配了特定管理角色的用户的能力。具有此用户权限的帐户将无法通过终端服务或远程协助连接到计算机。应确认委派的任务不会受到负面影响
20.允许计算机和用户帐户被信任以便用于委任
此策略设置确定用户是否可在 Active Directory 中的用户或计算机对象上更改“已为委派信任”设置。被分配此用户权限的用户或计算机还必须具有对对象上的帐户控制标记的写入权限。
身份验证委派是多级客户端/服务器应用程序所使用的功能。它允许前端服务在对后端服务
进行身份验证时使用客户端凭据。要使此配置成为可能,客户端与服务器必须均在受信任进行委派的帐户下运行。
“允许计算机和用户帐户被信任以便用于委任”设置的可能值为:
•
用户定义的帐户列表
•
没有定义
漏洞:错误使用“允许计算机和用户帐户被信任以便用于委任”用户权限可能会允许未经授权的用户伪装成网络上的其他用户。攻击者可能利用此特权以获取对网络资源的访问权限,并使得出现安全事件后难以确定具体发生的事情。
对策:“允许计算机和用户帐户被信任以便用于委任”用户权限应只在明确需要此功能时分配。分配此权限时,应调查约束委派的使用情况以控制委派帐户的具体操作。
注意:没有任何理由将此用户权限分配给属于某个域的成员服务器和工作站上的任何人,因为该用户权限在这些上下文中毫无意义;它只适用于域控制器和独立计算机。
潜在影响无。这是默认配置。
21从远程系统强制关机
此策略设置确定用户是否可以从网络中的远程位置关闭计算机。
“从远程系统强制关机”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:可以关闭计算机的任何用户都可以导致 DoS 条件。因此,对此用户权限应该严格限制。
对策:将“从远程系统强制关机”用户权限仅授予 Administrators 组的成员,或需要此功能、经特别指派的其他角色(如非管理操作中心人员)。
潜在影响:如果从 Server Operator 组中删除“从远程系统强制关机”用户权限,可以限制在环境中分配了特定管理角色的用户的能力。应确认不会对委派的活动产生负面影响。
22.生成安全审核
此策略设置确定进程是否可以在安全日志中生成审核记录。您可以使用安全日志中的信息跟踪未授权的计算机访问。
“生成安全审核”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:具有安全日志写入权限的帐户可能会被攻击者使用,将日志中填满毫无意义的事件。如果将计算机配置成根据需要覆盖事件,攻击者可以使用此方法来删除其未授权活动的证据。如果将计算机配置为在不能写入安全日志时强制关机,并且不配置为自动备份日志文件,此方法可用于创建拒绝服务。
对策:确保仅服务和网络服务帐户被分配“生成安全审核”用户权限。
潜在影响:无。这是默认配置。
23.身份验证后模拟客户端
“身份验证后模拟客户端”用户权限允许代表用户运行的程序模拟该用户(或其他指定帐户),以便程序能够代表用户工作。要求这种模拟具有此用户权限,可防止未授权用户“说服”客户端连接(例如,通过远程过程调用 (RPC) 或命名管道)到他们创建的服务,然后模拟该客户端,而这样可以将非授权用户的权限提升到管理员级别或系统级别。
默认情况下,服务控制管理器启动的服务会将内置的 Service 组添加到它们的访问令牌中。COM 基础结构所启动的、配置成在特定帐户下运行的 COM 服务器还会将 Service 组添加到它们的访问令牌中。因此,这些进程在启动时将被分配此用户权限。
另外,如果满足下列任一条件,用户还可以模拟访问令牌:•
模拟的访问令牌是针对此用户的。
•
在此登录会话中,用户通过使用明确凭据登录到网络来创建访问令牌。
•
请求的级别小于“模拟”,如“匿名”或“身份”。
由于这些因素,用户通常不需要被分配此用户权限。
“身份验证后模拟客户端”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:具有“身份验证后模拟客户端”用户权限的攻击者可以创建服务,欺骗客户端连接到该服务,然后模拟此客户端以将攻击者的访问级别提升到此客户端的访问级别。
对策:在成员服务器上,确保只有 Administrators 和 Service 组被分配“身份验证后模拟客户端”用户权限。运行 IIS 6.0 的计算机必须将此用户权限分配给 IIS_WPG 组(授予给网络服务帐户)。
潜在影响:在大多数情况下此配置没有影响。如果已安装可选组件,如 或 IIS,可能需要将“身份验证后模拟客户端”用户权限分配给那些组件所需的其他帐户,如 IUSR_<计算机名称>、IIS_WPG、 或 IWAM_<计算机名称>。
24增加计划优先级
此策略设置确定用户是否可以增加进程的基准优先级级别。(在优先级级别内增加相对优先级不是一个特权操作。)此用户权限不是操作系统提供的管理工具所要求的,但软件开发工具可能会要求此用户权限。
“增加计划优先级”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:分配了此用户权限的用户可以将进程的计划优先级增加到“实时”,从而使其他所有进程的处理时间变得非常少,并导致 DoS 条件。
对策:验证是否仅将“增加计划优先级”用户权限分配给 Administrators。
潜在影响:无。这是默认配置。
25.装载和卸载设备驱动程序
此策略设置确定用户是否可以动态装载和卸载设备驱动程序。如果新硬件的已签名驱动程序已经存在于计算机的 文件中,则不需要此用户权限。
“装载和卸载设备驱动程序”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:设备驱动程序可以作为高特权代码运行。具有“装载和卸载设备驱动程序”用户权限的用户可能会无意中安装一些伪装成设备驱动程序的恶意代码。管理员应非常小心,只安装经数字签名验证过的驱动程序。
注意:您必须具有此用户权限,并且是 Administrators 或 Power Users 的成员,才能为本地打印机安装新的驱动程序或管理本地打印机和配置选项(如双面打印)的默认值。同时具有此用户权限和 Administrators 或 Power Users 的成员身份是 Windows XP 和 Windows
Server 2003 的新要求。
对策:不要将“装载和卸载设备驱动程序”用户权限分配给除成员服务器上的 Administrators
以外的任何用户或组。在域控制器上,不要将此用户权限分配给除 Domain Admins 以外的任何用户或组。
潜在影响:如果从 Print Operators 组或其他帐户删除“装载和卸载设备驱动程序”用户权限,可以限制在环境中分配了特定管理角色的用户的能力。应确保委派的任务不会受到负面影响。
26内存中锁定页面
此策略设置确定进程是否可以将数据保存在物理内存中,这样可以防止计算机将数据分页存储到磁盘的虚拟内存中。如果分配此用户权限,系统性能会严重降低。
“内存中锁定页面”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:具有“内存中锁定页面”用户权限的用户可以将物理内存分配给几个进程,从而使其他进程只有很少的 RAM 或根本没有,并导致 DoS 条件。
对策:不要将“内存中锁定页面”用户权限分配给任何帐户。
潜在影响:无。这是默认配置。
27.作为批处理作业登录
此策略设置确定用户是否可以通过批处理队列工具(如任务计划程序服务)进行登录。当管理员使用“添加任务计划”向导安排某项任务以特定的用户名和密码运行时,会自动将“作为批处理作业登录”用户权限分配给该用户。当预定的时间到来时,任务计划程序服务会将该用户作为批处理作业登录,而不是作为交互式用户,并且任务将在该用户的安全上下文中运行。
“作为批处理作业登录”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:“作为批处理作业登录”用户权限有一个低风险的漏洞。对于大多数组织而言,默认设置已足够。
对策:如果希望允许任务计划为特定用户帐户运行,应该允许计算机自动管理此登录权限。如果不希望以这种方式使用任务计划程序,请仅为“本地服务”帐户和本地支持帐户
(Support_388945a0) 配置“作为批处理作业登录”用户权限。对于 IIS 服务器,应该在本地配置此策略,而不是通过基于域的组策略进行配置,这样可以确保本地的 IUSR_<计算机名称>和 IWAM_<计算机名称>帐户具有此登录权限。
潜在影响:如果通过基于域的组策略配置“作为批处理作业登录”设置,计算机无法将该用户权限分配给在任务计划程序中安排作业时使用的帐户。如果安装可选组件,如 或
IIS,可能需要将此用户权限分配给那些组件所需的其他帐户。例如,IIS 要求将此用户权限分配给 IIS_WPG 组和 IUSR_<计算机名称>、 ASPNET 以及 IWAM_<计算机名称>帐户。如果未将此用户权限分配给此组和这些帐户,IIS 无法运行维护正常功能所必需的某些
COM 对象。
28.作为服务登录
此策略设置确定安全主体是否可以作为服务登录。可以将服务配置成在“本地系统”、“本地服务”或“网络服务”帐户下运行,这些帐户具有作为服务登录的内置权限。必须将此用户权限分配给在单独用户帐户下运行的任何服务。
“作为服务登录”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:“作为服务登录”是一项很有用的用户权限,因为它允许帐户启动网络服务或在计算机上持续运行的服务,即使控制台上没有人员登录。只有具有管理特权的用户才能安装和配置服务,这一事实降低了风险。已经获取了此访问级别的攻击者可以将该服务配置成使用本地系统帐户运行。
对策:具有“作为服务登录”用户权限的安全主体的默认集限于本地系统、本地服务和网络服务,所有这些都是内置本地帐户。应将具有此用户权限的其他帐户的数量减至最少。
潜在影响:在大多数计算机上,这是默认配置,并且不会有负面影响。但是,如果已安装可选组件,如 或 IIS,可能需要将“作为服务登录”用户权限分配给那些组件所需的其他帐户。IIS 要求将此用户权限明确授予 ASPNET 用户帐户。
29.管理审核和安全日志
此策略设置确定用户是否可以为文件、Active Directory 对象和注册表项等单个资源指定对象的访问审核选项。除非通过“审核策略”启用,否则不会执行对象访问审核,“审核策略”位于“安全设置”、“本地策略”下。分配了此用户权限的用户还可以从事件查看器中查看和清除安全事件日志。
“管理审核和安全日志”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:管理安全事件日志的能力是功能强大的用户权限,应该严格监管。任何具备此用户权限的人都可以清除安全日志以删除非授权活动的重要证据。
对策"确保只有本地的 Administrators 组具有“管理审核和安全日志”用户权限。
潜在影响:无。这是默认配置。
30.修改固件环境值
此策略设置确定用户是否可以以进程通过 API 或用户通过“系统属性”的方式来修改系统环境变量。
“修改固件环境值”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:任何被分配“修改固件环境值”用户权限的人都可以配置硬件组件的设置以使其失败,这将导致数据损坏或 DoS 条件。
对策:确保仅将“修改固件环境值”用户权限分配给本地的 Administrators 组。
潜在影响:无。这是默认配置。
31.执行卷维护任务
此策略设置确定非管理或远程用户是否可以执行卷或磁盘管理任务,如对现有卷进行碎片整理、创建或删除卷,以及运行磁盘清理工具。当在用户的安全上下文中运行的进程调用
SetFileValidData() 时,Windows Server 2003 将在用户的访问令牌中检查此用户权限。
“执行卷维护任务”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:被分配了“执行卷维护任务”用户权限的用户可以删除卷,这可能导致丢失数据或 DoS
条件。
对策:确保仅将“执行卷维护任务”用户权限分配给本地的 Administrators 组。
潜在影响:无。这是默认配置。
32.配置单一进程
此策略设置确定用户是否可以对应用程序进程的性能进行采样。通常,无需此用户权限就可使用 Microsoft 管理控制台 (MMC) 性能管理单元。但是,如果系统监视器被配置为通过
Windows Management Instrumentation (WMI) 收集数据,则确实需要此用户权限。
“配置单一进程”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:“配置单一进程”用户权限存在一个中等安全漏洞。具有此用户权限的攻击者可以监视计算机的性能,以帮助识别其要直接攻击的重要进程。攻击者还可以确定哪些进程在计算机上运行,从而识别他们可能需要避开的防范措施,如防病毒软件、入侵检测系统或登录到计算机的其他用户。
对策:确保仅将“配置单一进程”用户权限分配给本地的 Administrators 组。
潜在影响:如果从 Power Users 组或其他帐户中删除“配置单一进程”用户权限,可以限制在环境中分配了特定管理角色的用户的能力。应确保委派的任务不会受到负面影响。
33.配置系统性能
此策略设置确定用户是否可以对计算机系统进程的性能进行采样。只有将 MMC 性能管理单元配置为通过 WMI 收集数据时,此管理单元才需要此特权。通常,无需此用户权限就能使用性能管理单元。但是,如果系统监视器被配置为通过 WMI 收集数据,则确实需要此用户权限。
“配置系统性能”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:“配置系统性能”用户权限存在一个中等安全漏洞。具有此用户权限的攻击者可以监视计算机的性能,以帮助识别其要直接攻击的重要进程。攻击者还可以确定哪些进程在计算机上处于活动状态,从而识别他们可能需要避开的防范措施,如防病毒软件或入侵检测系统。
对策:确保仅将“配置系统性能”用户权限分配给本地的 Administrators 组。
潜在影响:无。这是默认配置。
34从扩展坞中取出计算机
此策略设置确定便携式计算机的用户是否可以单击“开始”菜单上的“弹出 PC”以取出计算机。
“从扩展坞中取出计算机”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:任何具有“从扩展坞中取出计算机”用户权限的人都可以将便携式计算机从其扩展坞中取出。下列因素会降低此对策的价值:•
如果攻击者可以重新启动计算机,他们可以在 BIOS 启动后操作系统启动前将其从扩展坞中取出。
•
此设置不会影响服务器,因为服务器通常不安装在扩展坞中。
•
攻击者可以同时窃取计算机和扩展坞。
对策:确保仅将“从扩展坞中取出计算机”用户权限分配给本地的 Administrators 和
Administrators 组。
潜在影响:此配置是默认设置,因此它应该没有什么影响。但是,如果组织内的用户不是
Power Users 或 Administrators 组的成员,若不首先关闭便携式计算机,他们无法将自己的便携式计算机从其扩展坞中取出。因此,您可能需要将“从扩展坞中取出计算机”特权授予便携式计算机的本地 Users 组。
35.替换进程级别标记
此策略设置确定父进程是否可以替换与子进程相关联的访问令牌。
“替换进程级别标记”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:具有“替换进程级别标记”特权的用户能够像其他用户那样启动进程。他们可以使用此方法隐藏其在计算机上的未授权操作。(在 Windows 2000 计算机上,使用“替换进程级别标记”用户权限还要求用户具有本章前面讨论过的“调整进程的内存配额”用户权限。)
对策:对于成员服务器,确保仅“本地服务”和“网络服务”帐户具有“替换进程级别标记”用户权限。
潜在影响:在大多数计算机上,这是默认配置,并且不会有负面影响。但是,如果已安装可选组件如 或 IIS,可能需要将“替换进程级别标记”特权分配给其他帐户。例如,IIS 要求将此用户权限明确授予“服务”、“网络服务”和 IWAM_<计算机名称>帐户。
36.还原文件和目录
此策略设置确定用户是否可以在还原已备份文件和目录时绕过文件和目录权限,以及他们是否可以将任何有效安全主体设置为对象所有者。
“还原文件和目录”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞"具有“还原文件和目录”用户权限的攻击者可以将敏感数据还原到计算机并覆盖更新的数据,这将导致丢失重要数据、数据损坏或拒绝服务。攻击者可能会以包含恶意代码的版本覆盖合法管理员或系统服务使用的可执行文件,从而授予自己较高特权、破坏数据,或安装后门程序以便持续访问计算机。
注意:即使配置了此对策,攻击者仍可以将数据还原到被攻击者控制的域中的计算机。因此,组织应认真保护用于备份数据的媒体,这一点非常关键。
对策:确保仅将“还原文件和目录”用户权限分配给本地的 Administrators 组,除非组织已明确定义备份和还原人员的角色。
潜在影响:如果从 Backup Operators 组和其他帐户中删除“还原文件和目录”用户权限,可能会使被委派特定任务的用户无法执行那些任务。应验证此更改不会对组织中人员执行其作业的能力产生负面影响。
37.关闭系统
此策略设置确定用户是否可以关闭本地计算机。
“关闭系统”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:关闭域控制器的能力应限于极少数受信任的管理员。尽管“关闭系统”用户权限需要该能力才能登录到服务器,但应谨慎处理允许关闭域控制器的帐户和组。
域控制器在关闭时无法再处理登录、为组策略提供服务和应答轻型目录访问协议 (LDAP)
查询。如果关闭具有灵活单主机操作 (FSMO) 角色的域控制器,则可禁用主要的域功能,
如处理使用新密码的登录(主域控制器 (PDC) 模拟器角色)。
对策:确保在成员服务器上仅将“关闭系统”用户权限分配给 Administrators 和 Backup
Operators,并且在域中仅 Administrators 具有该用户权限。
潜在影响:从“关闭系统”用户权限中删除这些默认组的影响,可能会限制环境中已分配角色的委派能力。应确认不会对委派的活动产生负面影响。
38.同步目录服务数据
此策略设置确定进程是否可以读取目录中的所有对象和属性,不论这些对象和属性是否受到保护。此特权是使用 LDAP 目录同步 (dirsync) 服务所必需的。
“同步目录服务数据”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:“同步目录服务数据”用户权限会影响域控制器;只有域控制器应能够同步目录服务数据。域控制器本身具有此用户权限,因为同步进程在域控制器上的系统帐户上下文中运行。具有此用户权限的攻击者可以查看存储在目录中的所有信息。然后,他们可以使用其中某些信息执行其他攻击或泄露敏感数据,如直接的电话号码或物理地址。
对策:确保不将“同步目录服务数据”用户权限分配给任何帐户。
潜在影响:无。这是默认配置。
39.取得文件或其他对象的所有权
此策略设置确定用户是否可以取得计算机中任何安全对象的所有权,包括 Active Directory
对象、NTFS 文件和文件夹、打印机、注册表项、服务、进程和线程。
“取得文件或其他对象的所有权”设置的可能值为:•
用户定义的帐户列表
•
没有定义
漏洞:任何具有“取得文件或其他对象的所有权”用户权限的用户都能够控制任何对象,无论对该对象具有什么权限,然后按照意愿对该对象进行任何更改。这类更改会导致数据泄露、数据损坏或 DoS 条件。
对策:确保只有本地 Administrators 组具有“取得文件或其他对象的所有权”用户权限。
潜在影响:无。这是默认配置。
版权声明:本文标题:COMODO组策略设置系列篇之“用户权限” 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1709767220a235112.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论