浅析Windows安全配置关键要素[Windows安全]

　　Windows为我们供应很多设置、选项和配置区域,大概有100多个很重要的安全配置因素需求考虑,不过在本文中我们将重点探究十大安全配置要素,这些要素都是管理员简单轻忽的安全问题.

　　1.服务账户限制工作站登录

　　服务账户是用来支持那些仅在有限数目计算机中运行的服务的,因此限制服务可以登录的范围是很有必要的,这可以帮忙加强整体安全抵挡本领,并且当遭到服务账户本身的攻击时可以将攻击限制到那些答应服务账户登录的计算机上.

　　对服务账户可以登录的工作站的限制的设置位于用户被配置的地方,也就是Active Directory内的Active Directory Users and Computers,当你找到服务账户,右键单击服务账户并挑选属性.然后将自动转入账户属性,在这里挑选Log On To button,随后将呈现登陆工作站对话框,以下图1所示:

　　图1:这个配置答应管理员限制服务账户可以登录的位置.

　　2.管理员不能从网络拜候计算机

　　这取决于企业管理员账户的利用方法,有安全专家指导的管理员应当知道只有当履行灾难恢复时才能利用管理员账户.在灾难恢复的情形下,你将需求登陆来履行灾难恢复,而不是从网络来登录.假如你可以从网络登录,你应当利用普通管理员账户.别的,你也可以限制管理员账户只能从本地登录,而无法从网络拜候.

　　这个设置是在GPO中,当然,全部的GPO链接和利用程序法则都实用.你会想将GPO链接到得当的企业部门,然后翻开GPO到以下途径:Computer Configuration|Windows Settings|Security Settings|Local Policies|User Rights Assignment|Deny access to this computer from the network,以下图所示.

　　图2: 你可以限制管理员账户只能从本地登录到服务器.

　　3.确认Local Administrators Group中的成员

　　当你赋予用户管理掌握服务器大概用户桌面的权利,将会发生奇特的事情.从大体上来看,这普通都简单遭到互联网安全威胁.办理筹划是什么呢?从本地管理员组移除Domain Admins和本地管理员.

　　为了确保这些账户在本地管理员组中,在每个服务器和桌面中,你都可以实用组战略.你需求拜候组战略参数挑选(Group Policy Preferences),然后翻开组战略对象到以下节点:Computer Configuration\Preferences\Control Panel Settings\Local Users and Groups\New\Local Group,如图3所示.

　　图3: 确保本地管理员的组员是安全的

　　4.重新设置本地管理员密码

　　目前我最喜好的问题就是“上次你重新设置每台计算机的本地管理员密码是什么时刻?”,每次几近都得到相同的答案,“安装历程中”,“三年前”,“从没有设置”,这些都是不能承受的.这是很关键的配置,企业应当至少一到三个月设置一次密码.假如没有按期重新设置本地管理员密码的话,蠕虫病毒和攻击者将有机可乘.目前只需利用组战略参数设置便可以简单设置密码重置.

　　要配置此设置,你需求设置一个符合组战略参数的组战略对象.

　　注意:

　　和上一个设置一样,这个设置必须在运行Windows Sever 2008大概Vista SP1的计算机上举行,不过也向后兼容Windows XP SP2和 Windows Server 2003 SP1.

　　假如你翻开编辑器中的GPO到Configuration\Preferences\Control Panel Settings\Local Users and Groups\New\Local User,如图4所示.

　　图4:你可以从GPO未每台计算机重新设置本地管理员密码

　　5.为管理员启用UAC

　　我知道很多人不喜好UAC,但是关于大大都企业而言,最好启用UAC来保障最高的安全水平,在这里就不再阐述UAC的重要性问题,但是UAC绝对是管理员保障企业安全的不贰挑选.

　　要配置这个设置,你需求进入组战略对象的编辑情势,然后你需求翻开以下节点:Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|User Account Control:内置管理员账户的管理员批准情势以及用户账号掌握.在管理员批准情势中的行为提醒信息以下图所示.

　　图5: UAC有两个设置可以掌握管理员利勤奋效的方法

　　很多IT部门城市抱怨微软公司产品不安全,但是只要管理员肯花时间来配置,系统将变得非常安全.

　　6. 移除LanManager利用

　　当你在考虑windows系统的全部安全功效时,你需求记着过去考证是由LanManager处理的,有时刻也称为LM.并且很糟糕的是,微软公司在很多操作系统中仍旧支持LM,这将对企业安全防备造成严重影响.LM是最糟糕的考证协议,因为它试图保护密码hash.因此,企业管理员应当采纳一切防备办法根绝在windows系统环境中利用LM.

　　为了避免LM的利用,你需求举行两个差别的设置配置,首先是避免LM hash被通过网络发送出去,其次避免LM hash被存储在账户数据库中.

　　为了避免LM hash被发送出去,你可以配置一个组战略对象政策,倡议你将该政策放在GPO中与域节点链接,在以下位置Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options,你可以找到LAN Manager Authentication Level政策,如图6所示.

　　图6: LAN Manager考证基本可以利用组战略设置

　　请注意在图6中,设置为仅发送NTLMv2呼应,这是6个级别中的第三级别(在其他情形大概是第四级别,不过按照配置的注册表值,第1级别为level 0),在下图中,可以看到6个级别,level0-5.

　　图7: LAN Manager考证级别的六种级别

　　抱负情形下,你需求将级别设置为第5级,Send NTLMv2 response only,但是你会发现有些传统客户大概传统软件与此相冲突,因此在设置级别前,你需求在企业环境中举行测试.

　　第二个LM保护设置也是在相同的GPO途径,该设置在大大都版本的Windows和Active Directory中都没有配置,它可以帮忙保护位于服务器和计算机的Active Directory数据库大概本地安全账户管理器(SAM)中的LM hash.该设置以下图所示,可以避免LM hash被存储在账户数据库中.

　　图8: LM hash的存储可以被组战略所掌握

　　该设置只有两个选项:启用大概禁用.抱负情形下,你需求挑选启用.这样的话,当用户下次改正密码时,就不会将LM hash值存储在数据库中.

　　7. 为管理员设置粒化密码

　　大概很多读者都在等待这一部份.我知道有超越90%的Windows管理员都盼望这项技术早日面市,这项技术被称为“粒化密码政策(FGPP)”,它答应在相同AD域中设置多个密码政策.这也就意味着IT管理员至少可以有20字符长度的密码.财政用户至少可以利用15个字符长度的密码,而行政人员可以利用至少2字符长度的密码.

　　这里有个本领,这不是利用组战略配置的!没错,你在原始AD数据库中配置FGPP,最好的办法就是利用ADSIEdit.msc,不过有些供应商供应的办理筹划可认为你供应更简单的设置办法.

　　在这里,我供应一些基本的设置要求:

　　1. 全部域掌握器必须运行Windows Server 2008大概更高版本

　　2. 域必须在 Windows Server 2008功效级别

　　3. 你必须让一个部门内的用户位于一个组内,这也是FGPP设置权限的途径.

　　当了除了利用组战略的内置密码政策以及粒化密码政策办理筹划外也还有其他挑选,这些办理筹划需求第三方安装,不过他们不但能代替微软供应的密码办理筹划,还可认为企业供应越发细化的密码管理.每个管理员都知道,基本的密码掌握都无法与先进的密码破解技术相对抗,因此,可以挑选像Specops密码政策等办理筹划来布置密码掌握:

　　• 包含用户可以利用的词典列表

　　• 强迫履行4字符密码

　　• 提高14字符密码长度限制

　　• 为密码格局成立自定义法则

　　• 与用户举行杰出的沟通,当用户试图输入复杂密码时,奉告他们若何设置符合要求的密码.

　　总结

　　完好处理好Lan Manager的问题大概还需求很长的时间,假如攻击者只需求获得单个管理员级别用户的拜候权限,就可以招致整个网络遭到破坏,那么我们就必须采纳一切预防办法来提高防备本领,如本文中说起到的配置要素.你需求考虑全部LM的基本要素:避免在服务器和计算机上的AD和本地SAM中LM hash的网络拦阻和存储.成立杰出的深度密码政策是很重要的,这也是为什么微软为用户供应粒化密码政策的缘由.在单个AD域布置多个差别密码政策的功效可认为企业供应更好的安全的粒度掌握,并且可以节俭本钱.