亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關(guān)注微信公眾號

淺析Windows安全配置關(guān)鍵要素
2010-01-19   IT專家網(wǎng)

Windows為我們提供很多設(shè)置、選項和配置區(qū),可能有100多個很重要的安全配置因素需要考慮,不過在本文中我們將重點探討十大安全配置要素,這些要素都是管理員容易忽視的安全問題。

  1.服務(wù)賬戶限制工作站登錄

  服務(wù)賬戶是用來支持那些僅在有限數(shù)量計算機中運行的服務(wù)的,因此限制服務(wù)可以登錄的范圍是很有必要的,這可以幫助增強整體安全抵御能力,并且當(dāng)受到服務(wù)賬戶本身的攻擊時可以將攻擊限制到那些允許服務(wù)賬戶登錄的計算機上。

  對服務(wù)賬戶可以登錄的工作站的限制的設(shè)置位于用戶被配置的地方,也就是Active Directory內(nèi)的Active Directory Users and Computers,當(dāng)你找到服務(wù)賬戶,右鍵單擊服務(wù)賬戶并選擇屬性。然后將自動轉(zhuǎn)入賬戶屬性,在這里選擇Log On To button,隨后將出現(xiàn)登陸工作站對話框,如下圖1所示:

淺析Windows安全配置關(guān)鍵要素

  圖1:這個配置允許管理員限制服務(wù)賬戶可以登錄的位置。

  2.管理員不能從網(wǎng)絡(luò)訪問計算機

  這取決于企業(yè)管理員賬戶的使用方式,有安全專家指導(dǎo)的管理員應(yīng)該知道只有當(dāng)執(zhí)行災(zāi)難恢復(fù)時才能使用管理員賬戶。在災(zāi)難恢復(fù)的情況下,你將需要登陸來執(zhí)行災(zāi)難恢復(fù),而不是從網(wǎng)絡(luò)來登錄。如果你可以從網(wǎng)絡(luò)登錄,你應(yīng)該使用一般管理員賬戶。另外,你也可以限制管理員賬戶只能從本地登錄,而無法從網(wǎng)絡(luò)訪問。

  這個設(shè)置是在GPO中,當(dāng)然,所有的GPO鏈接和應(yīng)用程序規(guī)則都適用。你會想將GPO鏈接到適當(dāng)?shù)钠髽I(yè)部門,然后打開GPO到以下路徑:Computer Configuration|Windows Settings|Security Settings|Local Policies|User Rights Assignment|Deny access to this computer from the network,如下圖所示。

淺析Windows安全配置關(guān)鍵要素

  圖2: 你可以限制管理員賬戶只能從本地登錄到服務(wù)器。

  3.確認(rèn)Local Administrators Group中的成員

  當(dāng)你賦予用戶管理控制服務(wù)器或者用戶桌面的權(quán)力,將會發(fā)生奇怪的事情。從大體上來看,這通常都容易受到互聯(lián)網(wǎng)安全威脅。解決方案是什么呢?從本地管理員組移除Domain Admins和本地管理員。

  為了確保這些賬戶在本地管理員組中,在每個服務(wù)器和桌面中,你都可以適用組策略。你需要訪問組策略參數(shù)選擇(Group Policy Preferences),然后打開組策略對象到以下節(jié)點:Computer Configuration\Preferences\Control Panel Settings\Local Users and Groups\New\Local Group,如圖3所示。

淺析Windows安全配置關(guān)鍵要素

  圖3: 確保本地管理員的組員是安全的

  4.重新設(shè)置本地管理員密碼

  現(xiàn)在我最喜歡的問題就是“上次你重新設(shè)置每臺計算機的本地管理員密碼是什么時候?”,每次幾乎都得到相同的答案,“安裝過程中”,“三年前”,“從沒有設(shè)置”,這些都是不能接受的。這是很關(guān)鍵的配置,企業(yè)應(yīng)該至少一到三個月設(shè)置一次密碼。如果沒有定期重新設(shè)置本地管理員密碼的話,蠕蟲病毒和攻擊者將有機可乘。現(xiàn)在只需使用組策略參數(shù)設(shè)置就可以簡單設(shè)置密碼重置。

  要配置此設(shè)置,你需要設(shè)置一個符合組策略參數(shù)的組策略對象。

  注意:

  和上一個設(shè)置一樣,這個設(shè)置必須在運行Windows Sever 2008或者Vista SP1的計算機上進(jìn)行,不過也向后兼容Windows XP SP2和 Windows Server 2003 SP1。

  如果你打開編輯器中的GPO到Configuration\Preferences\Control Panel Settings\Local Users and Groups\New\Local User,如圖4所示。

淺析Windows安全配置關(guān)鍵要素

  圖4:你可以從GPO未每臺計算機重新設(shè)置本地管理員密碼

  5.為管理員啟用UAC

  我知道很多人不喜歡UAC,然而對于大多數(shù)企業(yè)而言,最好啟用UAC來保障最高的安全水平,在這里就不再闡述UAC的重要性問題,但是UAC絕對是管理員保障企業(yè)安全的不二選擇。

  要配置這個設(shè)置,你需要進(jìn)入組策略對象的編輯模式,然后你需要打開以下節(jié)點:Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|User Account Control:內(nèi)置管理員賬戶的管理員批準(zhǔn)模式以及用戶賬號控制。在管理員批準(zhǔn)模式中的行為提示信息如下圖所示。

淺析Windows安全配置關(guān)鍵要素

  圖5: UAC有兩個設(shè)置可以控制管理員使用功能的方式

  很多IT部門都會抱怨微軟公司產(chǎn)品不安全,但是只要管理員肯花時間來配置,系統(tǒng)將變得非常安全。

  6. 移除LanManager使用

  當(dāng)你在考慮windows系統(tǒng)的所有安全功能時,你需要記住過去驗證是由LanManager處理的,有時候也稱為LM。而且很糟糕的是,微軟公司在很多操作系統(tǒng)中仍然支持LM,這將對企業(yè)安全防御造成嚴(yán)重影響。LM是最糟糕的驗證協(xié)議,因為它試圖保護(hù)密碼hash。因此,企業(yè)管理員應(yīng)該采取一切防御措施杜絕在windows系統(tǒng)環(huán)境中使用LM。

  為了防止LM的使用,你需要進(jìn)行兩個不同的設(shè)置配置,首先是防止LM hash被通過網(wǎng)絡(luò)發(fā)送出去,其次防止LM hash被存儲在賬戶數(shù)據(jù)庫中。

  為了防止LM hash被發(fā)送出去,你可以配置一個組策略對象政策,建議你將該政策放在GPO中與域節(jié)點鏈接,在以下位置Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options,你可以找到LAN Manager Authentication Level政策,如圖6所示。

淺析Windows安全配置關(guān)鍵要素

  圖6: LAN Manager驗證基本可以使用組策略設(shè)置

  請注意在圖6中,設(shè)置為僅發(fā)送NTLMv2響應(yīng),這是6個級別中的第三級別(在其他情況可能是第四級別,不過根據(jù)配置的注冊表值,第1級別為level 0),在下圖中,可以看到6個級別,level0-5。

淺析Windows安全配置關(guān)鍵要素

  圖7: LAN Manager驗證級別的六種級別

  理想情況下,你需要將級別設(shè)置為第5級,Send NTLMv2 response only,但是你會發(fā)現(xiàn)有些傳統(tǒng)客戶或者傳統(tǒng)軟件與此相沖突,因此在設(shè)置級別前,你需要在企業(yè)環(huán)境中進(jìn)行測試。

  第二個LM保護(hù)設(shè)置也是在相同的GPO路徑,該設(shè)置在大多數(shù)版本的Windows和Active Directory中都沒有配置,它可以幫助保護(hù)位于服務(wù)器和計算機的Active Directory數(shù)據(jù)庫或者本地安全賬戶管理器(SAM)中的LM hash。該設(shè)置如下圖所示,可以防止LM hash被存儲在賬戶數(shù)據(jù)庫中。

淺析Windows安全配置關(guān)鍵要素

  圖8: LM hash的存儲可以被組策略所控制

  該設(shè)置只有兩個選項:啟用或者禁用。理想情況下,你需要選擇啟用。這樣的話,當(dāng)用戶下次修改密碼時,就不會將LM hash值存儲在數(shù)據(jù)庫中。

  7. 為管理員設(shè)置粒化密碼

  可能很多讀者都在期待這一部分。我知道有超過90%的Windows管理員都期望這項技術(shù)早日面市,這項技術(shù)被稱為“粒化密碼政策(FGPP)”,它允許在相同AD域中設(shè)置多個密碼政策。這也就意味著IT管理員至少可以有20字符長度的密碼。財務(wù)用戶至少可以使用15個字符長度的密碼,而行政人員可以使用至少2字符長度的密碼。

  這里有個技巧,這不是使用組策略配置的!沒錯,你在原始AD數(shù)據(jù)庫中配置FGPP,最好的方法就是使用ADSIEdit.msc,不過有些供應(yīng)商提供的解決方案可以為你提供更簡單的設(shè)置方法。

  在這里,我提供一些基本的設(shè)置要求:

  1. 所有域控制器必須運行Windows Server 2008或者更高版本

  2. 域必須在 Windows Server 2008功能級別

  3. 你必須讓一個部門內(nèi)的用戶位于一個組內(nèi),這也是FGPP設(shè)置權(quán)限的途徑。

  當(dāng)了除了使用組策略的內(nèi)置密碼政策以及粒化密碼政策解決方案外也還有其他選擇,這些解決方案需要第三方安裝,不過他們不僅能取代微軟提供的密碼解決方案,還能夠為企業(yè)提供更加細(xì)化的密碼管理。每個管理員都知道,基本的密碼控制都無法與先進(jìn)的密碼破解技術(shù)相抗衡,因此,可以選擇像Specops密碼政策等解決方案來部署密碼控制:

  • 包括用戶可以使用的詞典列表

  • 強制執(zhí)行4字符密碼

  • 提高14字符密碼長度限制

  • 為密碼格式創(chuàng)建自定義規(guī)則

  • 與用戶進(jìn)行良好的溝通,當(dāng)用戶試圖輸入復(fù)雜密碼時,告訴他們?nèi)绾卧O(shè)置符合要求的密碼。

  總結(jié)

  徹底處理好Lan Manager的問題可能還需要很長的時間,如果攻擊者只需要獲取單個管理員級別用戶的訪問權(quán)限,就能導(dǎo)致整個網(wǎng)絡(luò)受到破壞,那么我們就必須采取一切預(yù)防措施來提高防御能力,如本文中提及到的配置要素。你需要考慮所有LM的基本要素:防止在服務(wù)器和計算機上的AD和本地SAM中LM hash的網(wǎng)絡(luò)攔截和存儲。建立良好的深度密碼政策是很重要的,這也是為什么微軟為用戶提供粒化密碼政策的原因。在單個AD域部署多個不同密碼政策的功能可以為企業(yè)提供更好的安全的粒度控制,并且可以節(jié)約成本。

熱詞搜索:

上一篇:“升級”不當(dāng)引發(fā)事故
下一篇:企業(yè)網(wǎng)絡(luò)穩(wěn)定運行 IP地址管理是重點

分享到: 收藏