Windows為我們提供很多設置、選項和配置區(qū)域,可能有100多個很重要的安全配置因素需要考慮,不過在本文中我們將重點探討十大安全配置要素,這些要素都是管理員容易忽視的安全問題。
1.服務賬戶限制工作站登錄
服務賬戶是用來支持那些僅在有限數量計算機中運行的服務的,因此限制服務可以登錄的范圍是很有必要的,這可以幫助增強整體安全抵御能力,并且當受到服務賬戶本身的攻擊時可以將攻擊限制到那些允許服務賬戶登錄的計算機上。
對服務賬戶可以登錄的工作站的限制的設置位于用戶被配置的地方,也就是Active Directory內的Active Directory Users and Computers,當你找到服務賬戶,右鍵單擊服務賬戶并選擇屬性。然后將自動轉入賬戶屬性,在這里選擇Log On To button,隨后將出現(xiàn)登陸工作站對話框,如下圖1所示:
圖1:這個配置允許管理員限制服務賬戶可以登錄的位置。
2.管理員不能從網絡訪問計算機
這取決于企業(yè)管理員賬戶的使用方式,有安全專家指導的管理員應該知道只有當執(zhí)行災難恢復時才能使用管理員賬戶。在災難恢復的情況下,你將需要登陸來執(zhí)行災難恢復,而不是從網絡來登錄。如果你可以從網絡登錄,你應該使用一般管理員賬戶。另外,你也可以限制管理員賬戶只能從本地登錄,而無法從網絡訪問。
這個設置是在GPO中,當然,所有的GPO鏈接和應用程序規(guī)則都適用。你會想將GPO鏈接到適當的企業(yè)部門,然后打開GPO到以下路徑:Computer Configuration|Windows Settings|Security Settings|Local Policies|User Rights Assignment|Deny access to this computer from the network,如下圖所示。
圖2: 你可以限制管理員賬戶只能從本地登錄到服務器。
3.確認Local Administrators Group中的成員
當你賦予用戶管理控制服務器或者用戶桌面的權力,將會發(fā)生奇怪的事情。從大體上來看,這通常都容易受到互聯(lián)網安全威脅。解決方案是什么呢?從本地管理員組移除Domain Admins和本地管理員。
為了確保這些賬戶在本地管理員組中,在每個服務器和桌面中,你都可以適用組策略。你需要訪問組策略參數選擇(Group Policy Preferences),然后打開組策略對象到以下節(jié)點:Computer Configuration\Preferences\Control Panel Settings\Local Users and Groups\New\Local Group,如圖3所示。
圖3: 確保本地管理員的組員是安全的
4.重新設置本地管理員密碼
現(xiàn)在我最喜歡的問題就是“上次你重新設置每臺計算機的本地管理員密碼是什么時候?”,每次幾乎都得到相同的答案,“安裝過程中”,“三年前”,“從沒有設置”,這些都是不能接受的。這是很關鍵的配置,企業(yè)應該至少一到三個月設置一次密碼。如果沒有定期重新設置本地管理員密碼的話,蠕蟲病毒和攻擊者將有機可乘。現(xiàn)在只需使用組策略參數設置就可以簡單設置密碼重置。
要配置此設置,你需要設置一個符合組策略參數的組策略對象。
注意:
和上一個設置一樣,這個設置必須在運行Windows Sever 2008或者Vista SP1的計算機上進行,不過也向后兼容Windows XP SP2和 Windows Server 2003 SP1。
如果你打開編輯器中的GPO到Configuration\Preferences\Control Panel Settings\Local Users and Groups\New\Local User,如圖4所示。
圖4:你可以從GPO未每臺計算機重新設置本地管理員密碼
5.為管理員啟用UAC
我知道很多人不喜歡UAC,然而對于大多數企業(yè)而言,最好啟用UAC來保障最高的安全水平,在這里就不再闡述UAC的重要性問題,但是UAC絕對是管理員保障企業(yè)安全的不二選擇。
要配置這個設置,你需要進入組策略對象的編輯模式,然后你需要打開以下節(jié)點:Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|User Account Control:內置管理員賬戶的管理員批準模式以及用戶賬號控制。在管理員批準模式中的行為提示信息如下圖所示。
圖5: UAC有兩個設置可以控制管理員使用功能的方式
很多IT部門都會抱怨微軟公司產品不安全,但是只要管理員肯花時間來配置,系統(tǒng)將變得非常安全。
6. 移除LanManager使用
當你在考慮windows系統(tǒng)的所有安全功能時,你需要記住過去驗證是由LanManager處理的,有時候也稱為LM。而且很糟糕的是,微軟公司在很多操作系統(tǒng)中仍然支持LM,這將對企業(yè)安全防御造成嚴重影響。LM是最糟糕的驗證協(xié)議,因為它試圖保護密碼hash。因此,企業(yè)管理員應該采取一切防御措施杜絕在windows系統(tǒng)環(huán)境中使用LM。
為了防止LM的使用,你需要進行兩個不同的設置配置,首先是防止LM hash被通過網絡發(fā)送出去,其次防止LM hash被存儲在賬戶數據庫中。
為了防止LM hash被發(fā)送出去,你可以配置一個組策略對象政策,建議你將該政策放在GPO中與域節(jié)點鏈接,在以下位置Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options,你可以找到LAN Manager Authentication Level政策,如圖6所示。
圖6: LAN Manager驗證基本可以使用組策略設置
請注意在圖6中,設置為僅發(fā)送NTLMv2響應,這是6個級別中的第三級別(在其他情況可能是第四級別,不過根據配置的注冊表值,第1級別為level 0),在下圖中,可以看到6個級別,level0-5。
圖7: LAN Manager驗證級別的六種級別
理想情況下,你需要將級別設置為第5級,Send NTLMv2 response only,但是你會發(fā)現(xiàn)有些傳統(tǒng)客戶或者傳統(tǒng)軟件與此相沖突,因此在設置級別前,你需要在企業(yè)環(huán)境中進行測試。
第二個LM保護設置也是在相同的GPO路徑,該設置在大多數版本的Windows和Active Directory中都沒有配置,它可以幫助保護位于服務器和計算機的Active Directory數據庫或者本地安全賬戶管理器(SAM)中的LM hash。該設置如下圖所示,可以防止LM hash被存儲在賬戶數據庫中。
圖8: LM hash的存儲可以被組策略所控制
該設置只有兩個選項:啟用或者禁用。理想情況下,你需要選擇啟用。這樣的話,當用戶下次修改密碼時,就不會將LM hash值存儲在數據庫中。
7. 為管理員設置粒化密碼
可能很多讀者都在期待這一部分。我知道有超過90%的Windows管理員都期望這項技術早日面市,這項技術被稱為“粒化密碼政策(FGPP)”,它允許在相同AD域中設置多個密碼政策。這也就意味著IT管理員至少可以有20字符長度的密碼。財務用戶至少可以使用15個字符長度的密碼,而行政人員可以使用至少2字符長度的密碼。
這里有個技巧,這不是使用組策略配置的!沒錯,你在原始AD數據庫中配置FGPP,最好的方法就是使用ADSIEdit.msc,不過有些供應商提供的解決方案可以為你提供更簡單的設置方法。
在這里,我提供一些基本的設置要求:
1. 所有域控制器必須運行Windows Server 2008或者更高版本
2. 域必須在 Windows Server 2008功能級別
3. 你必須讓一個部門內的用戶位于一個組內,這也是FGPP設置權限的途徑。
當了除了使用組策略的內置密碼政策以及粒化密碼政策解決方案外也還有其他選擇,這些解決方案需要第三方安裝,不過他們不僅能取代微軟提供的密碼解決方案,還能夠為企業(yè)提供更加細化的密碼管理。每個管理員都知道,基本的密碼控制都無法與先進的密碼破解技術相抗衡,因此,可以選擇像Specops密碼政策等解決方案來部署密碼控制:
• 包括用戶可以使用的詞典列表
• 強制執(zhí)行4字符密碼
• 提高14字符密碼長度限制
• 為密碼格式創(chuàng)建自定義規(guī)則
• 與用戶進行良好的溝通,當用戶試圖輸入復雜密碼時,告訴他們如何設置符合要求的密碼。
總結
徹底處理好Lan Manager的問題可能還需要很長的時間,如果攻擊者只需要獲取單個管理員級別用戶的訪問權限,就能導致整個網絡受到破壞,那么我們就必須采取一切預防措施來提高防御能力,如本文中提及到的配置要素。你需要考慮所有LM的基本要素:防止在服務器和計算機上的AD和本地SAM中LM hash的網絡攔截和存儲。建立良好的深度密碼政策是很重要的,這也是為什么微軟為用戶提供粒化密碼政策的原因。在單個AD域部署多個不同密碼政策的功能可以為企業(yè)提供更好的安全的粒度控制,并且可以節(jié)約成本。