Windows為我們提供很多設(shè)置、選項(xiàng)和配置區(qū)域，可能有100多個很重要的安全配置因素需要考慮，不過在本文中我們將重點(diǎn)探討十大安全配置要素，這些要素都是管理員容易忽視的安全問題。

　　1.服務(wù)賬戶限制工作站登錄

　　服務(wù)賬戶是用來支持那些僅在有限數(shù)量計(jì)算機(jī)中運(yùn)行的服務(wù)的，因此限制服務(wù)可以登錄的范圍是很有必要的，這可以幫助增強(qiáng)整體安全抵御能力，并且當(dāng)受到服務(wù)賬戶本身的攻擊時可以將攻擊限制到那些允許服務(wù)賬戶登錄的計(jì)算機(jī)上。

　　對服務(wù)賬戶可以登錄的工作站的限制的設(shè)置位于用戶被配置的地方，也就是Active Directory內(nèi)的Active Directory Users and Computers，當(dāng)你找到服務(wù)賬戶，右鍵單擊服務(wù)賬戶并選擇屬性。然后將自動轉(zhuǎn)入賬戶屬性，在這里選擇Log On To button，隨后將出現(xiàn)登陸工作站對話框，如下圖1所示：

　　圖1：這個配置允許管理員限制服務(wù)賬戶可以登錄的位置。

　　2.管理員不能從網(wǎng)絡(luò)訪問計(jì)算機(jī)

　　這取決于企業(yè)管理員賬戶的使用方式，有安全專家指導(dǎo)的管理員應(yīng)該知道只有當(dāng)執(zhí)行災(zāi)難恢復(fù)時才能使用管理員賬戶。在災(zāi)難恢復(fù)的情況下，你將需要登陸來執(zhí)行災(zāi)難恢復(fù)，而不是從網(wǎng)絡(luò)來登錄。如果你可以從網(wǎng)絡(luò)登錄，你應(yīng)該使用一般管理員賬戶。另外，你也可以限制管理員賬戶只能從本地登錄，而無法從網(wǎng)絡(luò)訪問。

　　這個設(shè)置是在GPO中，當(dāng)然，所有的GPO鏈接和應(yīng)用程序規(guī)則都適用。你會想將GPO鏈接到適當(dāng)?shù)钠髽I(yè)部門，然后打開GPO到以下路徑：Computer Configuration|Windows Settings|Security Settings|Local Policies|User Rights Assignment|Deny access to this computer from the network，如下圖所示。

　　圖2： 你可以限制管理員賬戶只能從本地登錄到服務(wù)器。

　　3.確認(rèn)Local Administrators Group中的成員

　　當(dāng)你賦予用戶管理控制服務(wù)器或者用戶桌面的權(quán)力，將會發(fā)生奇怪的事情。從大體上來看，這通常都容易受到互聯(lián)網(wǎng)安全威脅。解決方案是什么呢?從本地管理員組移除Domain Admins和本地管理員。

　　為了確保這些賬戶在本地管理員組中，在每個服務(wù)器和桌面中，你都可以適用組策略。你需要訪問組策略參數(shù)選擇(Group Policy Preferences)，然后打開組策略對象到以下節(jié)點(diǎn)：Computer Configuration\Preferences\Control Panel Settings\Local Users and Groups\New\Local Group，如圖3所示。

　　圖3： 確保本地管理員的組員是安全的

　　4.重新設(shè)置本地管理員密碼

　　現(xiàn)在我最喜歡的問題就是“上次你重新設(shè)置每臺計(jì)算機(jī)的本地管理員密碼是什么時候?”，每次幾乎都得到相同的答案，“安裝過程中”，“三年前”，“從沒有設(shè)置”，這些都是不能接受的。這是很關(guān)鍵的配置，企業(yè)應(yīng)該至少一到三個月設(shè)置一次密碼。如果沒有定期重新設(shè)置本地管理員密碼的話，蠕蟲病毒和攻擊者將有機(jī)可乘。現(xiàn)在只需使用組策略參數(shù)設(shè)置就可以簡單設(shè)置密碼重置。

　　要配置此設(shè)置，你需要設(shè)置一個符合組策略參數(shù)的組策略對象。

　　注意：

　　和上一個設(shè)置一樣，這個設(shè)置必須在運(yùn)行Windows Sever 2008或者Vista SP1的計(jì)算機(jī)上進(jìn)行，不過也向后兼容Windows XP SP2和 Windows Server 2003 SP1。

　　如果你打開編輯器中的GPO到Configuration\Preferences\Control Panel Settings\Local Users and Groups\New\Local User，如圖4所示。

　　圖4：你可以從GPO未每臺計(jì)算機(jī)重新設(shè)置本地管理員密碼

　　5.為管理員啟用UAC

　　我知道很多人不喜歡UAC，然而對于大多數(shù)企業(yè)而言，最好啟用UAC來保障最高的安全水平，在這里就不再闡述UAC的重要性問題，但是UAC絕對是管理員保障企業(yè)安全的不二選擇。

　　要配置這個設(shè)置，你需要進(jìn)入組策略對象的編輯模式，然后你需要打開以下節(jié)點(diǎn)：Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|User Account Control：內(nèi)置管理員賬戶的管理員批準(zhǔn)模式以及用戶賬號控制。在管理員批準(zhǔn)模式中的行為提示信息如下圖所示。

　　圖5： UAC有兩個設(shè)置可以控制管理員使用功能的方式

　　很多IT部門都會抱怨微軟公司產(chǎn)品不安全，但是只要管理員肯花時間來配置，系統(tǒng)將變得非常安全。

　　6. 移除LanManager使用

　　當(dāng)你在考慮windows系統(tǒng)的所有安全功能時，你需要記住過去驗(yàn)證是由LanManager處理的，有時候也稱為LM。而且很糟糕的是，微軟公司在很多操作系統(tǒng)中仍然支持LM，這將對企業(yè)安全防御造成嚴(yán)重影響。LM是最糟糕的驗(yàn)證協(xié)議，因?yàn)樗噲D保護(hù)密碼hash。因此，企業(yè)管理員應(yīng)該采取一切防御措施杜絕在windows系統(tǒng)環(huán)境中使用LM。

　　為了防止LM的使用，你需要進(jìn)行兩個不同的設(shè)置配置，首先是防止LM hash被通過網(wǎng)絡(luò)發(fā)送出去，其次防止LM hash被存儲在賬戶數(shù)據(jù)庫中。

　　為了防止LM hash被發(fā)送出去，你可以配置一個組策略對象政策，建議你將該政策放在GPO中與域節(jié)點(diǎn)鏈接，在以下位置Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options，你可以找到LAN Manager Authentication Level政策，如圖6所示。

　　圖6： LAN Manager驗(yàn)證基本可以使用組策略設(shè)置

　　請注意在圖6中，設(shè)置為僅發(fā)送NTLMv2響應(yīng)，這是6個級別中的第三級別(在其他情況可能是第四級別，不過根據(jù)配置的注冊表值，第1級別為level 0)，在下圖中，可以看到6個級別，level0-5。

　　圖7： LAN Manager驗(yàn)證級別的六種級別

　　理想情況下，你需要將級別設(shè)置為第5級，Send NTLMv2 response only，但是你會發(fā)現(xiàn)有些傳統(tǒng)客戶或者傳統(tǒng)軟件與此相沖突，因此在設(shè)置級別前，你需要在企業(yè)環(huán)境中進(jìn)行測試。

　　第二個LM保護(hù)設(shè)置也是在相同的GPO路徑，該設(shè)置在大多數(shù)版本的Windows和Active Directory中都沒有配置，它可以幫助保護(hù)位于服務(wù)器和計(jì)算機(jī)的Active Directory數(shù)據(jù)庫或者本地安全賬戶管理器(SAM)中的LM hash。該設(shè)置如下圖所示，可以防止LM hash被存儲在賬戶數(shù)據(jù)庫中。

　　圖8： LM hash的存儲可以被組策略所控制

　　該設(shè)置只有兩個選項(xiàng)：啟用或者禁用。理想情況下，你需要選擇啟用。這樣的話，當(dāng)用戶下次修改密碼時，就不會將LM hash值存儲在數(shù)據(jù)庫中。

　　7. 為管理員設(shè)置粒化密碼

　　可能很多讀者都在期待這一部分。我知道有超過90%的Windows管理員都期望這項(xiàng)技術(shù)早日面市，這項(xiàng)技術(shù)被稱為“粒化密碼政策(FGPP)”，它允許在相同AD域中設(shè)置多個密碼政策。這也就意味著IT管理員至少可以有20字符長度的密碼。財(cái)務(wù)用戶至少可以使用15個字符長度的密碼，而行政人員可以使用至少2字符長度的密碼。

　　這里有個技巧，這不是使用組策略配置的!沒錯，你在原始AD數(shù)據(jù)庫中配置FGPP，最好的方法就是使用ADSIEdit.msc，不過有些供應(yīng)商提供的解決方案可以為你提供更簡單的設(shè)置方法。

　　在這里，我提供一些基本的設(shè)置要求：

　　1. 所有域控制器必須運(yùn)行Windows Server 2008或者更高版本

　　2. 域必須在 Windows Server 2008功能級別

　　3. 你必須讓一個部門內(nèi)的用戶位于一個組內(nèi)，這也是FGPP設(shè)置權(quán)限的途徑。

　　當(dāng)了除了使用組策略的內(nèi)置密碼政策以及粒化密碼政策解決方案外也還有其他選擇，這些解決方案需要第三方安裝，不過他們不僅能取代微軟提供的密碼解決方案，還能夠?yàn)槠髽I(yè)提供更加細(xì)化的密碼管理。每個管理員都知道，基本的密碼控制都無法與先進(jìn)的密碼破解技術(shù)相抗衡，因此，可以選擇像Specops密碼政策等解決方案來部署密碼控制：

　　• 包括用戶可以使用的詞典列表

　　• 強(qiáng)制執(zhí)行4字符密碼

　　• 提高14字符密碼長度限制

　　• 為密碼格式創(chuàng)建自定義規(guī)則

　　• 與用戶進(jìn)行良好的溝通，當(dāng)用戶試圖輸入復(fù)雜密碼時，告訴他們?nèi)绾卧O(shè)置符合要求的密碼。

　　總結(jié)

　　徹底處理好Lan Manager的問題可能還需要很長的時間，如果攻擊者只需要獲取單個管理員級別用戶的訪問權(quán)限，就能導(dǎo)致整個網(wǎng)絡(luò)受到破壞，那么我們就必須采取一切預(yù)防措施來提高防御能力，如本文中提及到的配置要素。你需要考慮所有LM的基本要素：防止在服務(wù)器和計(jì)算機(jī)上的AD和本地SAM中LM hash的網(wǎng)絡(luò)攔截和存儲。建立良好的深度密碼政策是很重要的，這也是為什么微軟為用戶提供粒化密碼政策的原因。在單個AD域部署多個不同密碼政策的功能可以為企業(yè)提供更好的安全的粒度控制，并且可以節(jié)約成本。