Windows為我們提供很多設(shè)置、選項(xiàng)和配置區(qū)域，可能有100多個(gè)很重要的安全配置因素需要考慮，不過(guò)在本文中我們將重點(diǎn)探討十大安全配置要素，這些要素都是管理員容易忽視的安全問(wèn)題。

　　1.服務(wù)賬戶限制工作站登錄

　　服務(wù)賬戶是用來(lái)支持那些僅在有限數(shù)量計(jì)算機(jī)中運(yùn)行的服務(wù)的，因此限制服務(wù)可以登錄的范圍是很有必要的，這可以幫助增強(qiáng)整體安全抵御能力，并且當(dāng)受到服務(wù)賬戶本身的攻擊時(shí)可以將攻擊限制到那些允許服務(wù)賬戶登錄的計(jì)算機(jī)上。

　　對(duì)服務(wù)賬戶可以登錄的工作站的限制的設(shè)置位于用戶被配置的地方，也就是Active Directory內(nèi)的Active Directory Users and Computers，當(dāng)你找到服務(wù)賬戶，右鍵單擊服務(wù)賬戶并選擇屬性。然后將自動(dòng)轉(zhuǎn)入賬戶屬性，在這里選擇Log On To button，隨后將出現(xiàn)登陸工作站對(duì)話框，如下圖1所示：

　　圖1：這個(gè)配置允許管理員限制服務(wù)賬戶可以登錄的位置。

　　2.管理員不能從網(wǎng)絡(luò)訪問(wèn)計(jì)算機(jī)

　　這取決于企業(yè)管理員賬戶的使用方式，有安全專家指導(dǎo)的管理員應(yīng)該知道只有當(dāng)執(zhí)行災(zāi)難恢復(fù)時(shí)才能使用管理員賬戶。在災(zāi)難恢復(fù)的情況下，你將需要登陸來(lái)執(zhí)行災(zāi)難恢復(fù)，而不是從網(wǎng)絡(luò)來(lái)登錄。如果你可以從網(wǎng)絡(luò)登錄，你應(yīng)該使用一般管理員賬戶。另外，你也可以限制管理員賬戶只能從本地登錄，而無(wú)法從網(wǎng)絡(luò)訪問(wèn)。

　　這個(gè)設(shè)置是在GPO中，當(dāng)然，所有的GPO鏈接和應(yīng)用程序規(guī)則都適用。你會(huì)想將GPO鏈接到適當(dāng)?shù)钠髽I(yè)部門，然后打開(kāi)GPO到以下路徑：Computer Configuration|Windows Settings|Security Settings|Local Policies|User Rights Assignment|Deny access to this computer from the network，如下圖所示。

　　圖2： 你可以限制管理員賬戶只能從本地登錄到服務(wù)器。

　　3.確認(rèn)Local Administrators Group中的成員

　　當(dāng)你賦予用戶管理控制服務(wù)器或者用戶桌面的權(quán)力，將會(huì)發(fā)生奇怪的事情。從大體上來(lái)看，這通常都容易受到互聯(lián)網(wǎng)安全威脅。解決方案是什么呢?從本地管理員組移除Domain Admins和本地管理員。

　　為了確保這些賬戶在本地管理員組中，在每個(gè)服務(wù)器和桌面中，你都可以適用組策略。你需要訪問(wèn)組策略參數(shù)選擇(Group Policy Preferences)，然后打開(kāi)組策略對(duì)象到以下節(jié)點(diǎn)：Computer Configuration\Preferences\Control Panel Settings\Local Users and Groups\New\Local Group，如圖3所示。

　　圖3： 確保本地管理員的組員是安全的

　　4.重新設(shè)置本地管理員密碼

　　現(xiàn)在我最喜歡的問(wèn)題就是“上次你重新設(shè)置每臺(tái)計(jì)算機(jī)的本地管理員密碼是什么時(shí)候?”，每次幾乎都得到相同的答案，“安裝過(guò)程中”，“三年前”，“從沒(méi)有設(shè)置”，這些都是不能接受的。這是很關(guān)鍵的配置，企業(yè)應(yīng)該至少一到三個(gè)月設(shè)置一次密碼。如果沒(méi)有定期重新設(shè)置本地管理員密碼的話，蠕蟲(chóng)病毒和攻擊者將有機(jī)可乘?，F(xiàn)在只需使用組策略參數(shù)設(shè)置就可以簡(jiǎn)單設(shè)置密碼重置。

　　要配置此設(shè)置，你需要設(shè)置一個(gè)符合組策略參數(shù)的組策略對(duì)象。

　　注意：

　　和上一個(gè)設(shè)置一樣，這個(gè)設(shè)置必須在運(yùn)行Windows Sever 2008或者Vista SP1的計(jì)算機(jī)上進(jìn)行，不過(guò)也向后兼容Windows XP SP2和 Windows Server 2003 SP1。

　　如果你打開(kāi)編輯器中的GPO到Configuration\Preferences\Control Panel Settings\Local Users and Groups\New\Local User，如圖4所示。

　　圖4：你可以從GPO未每臺(tái)計(jì)算機(jī)重新設(shè)置本地管理員密碼

　　5.為管理員啟用UAC

　　我知道很多人不喜歡UAC，然而對(duì)于大多數(shù)企業(yè)而言，最好啟用UAC來(lái)保障最高的安全水平，在這里就不再闡述UAC的重要性問(wèn)題，但是UAC絕對(duì)是管理員保障企業(yè)安全的不二選擇。

　　要配置這個(gè)設(shè)置，你需要進(jìn)入組策略對(duì)象的編輯模式，然后你需要打開(kāi)以下節(jié)點(diǎn)：Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|User Account Control：內(nèi)置管理員賬戶的管理員批準(zhǔn)模式以及用戶賬號(hào)控制。在管理員批準(zhǔn)模式中的行為提示信息如下圖所示。

　　圖5： UAC有兩個(gè)設(shè)置可以控制管理員使用功能的方式

　　很多IT部門都會(huì)抱怨微軟公司產(chǎn)品不安全，但是只要管理員肯花時(shí)間來(lái)配置，系統(tǒng)將變得非常安全。

　　6. 移除LanManager使用

　　當(dāng)你在考慮windows系統(tǒng)的所有安全功能時(shí)，你需要記住過(guò)去驗(yàn)證是由LanManager處理的，有時(shí)候也稱為L(zhǎng)M。而且很糟糕的是，微軟公司在很多操作系統(tǒng)中仍然支持LM，這將對(duì)企業(yè)安全防御造成嚴(yán)重影響。LM是最糟糕的驗(yàn)證協(xié)議，因?yàn)樗噲D保護(hù)密碼hash。因此，企業(yè)管理員應(yīng)該采取一切防御措施杜絕在windows系統(tǒng)環(huán)境中使用LM。

　　為了防止LM的使用，你需要進(jìn)行兩個(gè)不同的設(shè)置配置，首先是防止LM hash被通過(guò)網(wǎng)絡(luò)發(fā)送出去，其次防止LM hash被存儲(chǔ)在賬戶數(shù)據(jù)庫(kù)中。

　　為了防止LM hash被發(fā)送出去，你可以配置一個(gè)組策略對(duì)象政策，建議你將該政策放在GPO中與域節(jié)點(diǎn)鏈接，在以下位置Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options，你可以找到LAN Manager Authentication Level政策，如圖6所示。

　　圖6： LAN Manager驗(yàn)證基本可以使用組策略設(shè)置

　　請(qǐng)注意在圖6中，設(shè)置為僅發(fā)送NTLMv2響應(yīng)，這是6個(gè)級(jí)別中的第三級(jí)別(在其他情況可能是第四級(jí)別，不過(guò)根據(jù)配置的注冊(cè)表值，第1級(jí)別為level 0)，在下圖中，可以看到6個(gè)級(jí)別，level0-5。

　　圖7： LAN Manager驗(yàn)證級(jí)別的六種級(jí)別

　　理想情況下，你需要將級(jí)別設(shè)置為第5級(jí)，Send NTLMv2 response only，但是你會(huì)發(fā)現(xiàn)有些傳統(tǒng)客戶或者傳統(tǒng)軟件與此相沖突，因此在設(shè)置級(jí)別前，你需要在企業(yè)環(huán)境中進(jìn)行測(cè)試。

　　第二個(gè)LM保護(hù)設(shè)置也是在相同的GPO路徑，該設(shè)置在大多數(shù)版本的Windows和Active Directory中都沒(méi)有配置，它可以幫助保護(hù)位于服務(wù)器和計(jì)算機(jī)的Active Directory數(shù)據(jù)庫(kù)或者本地安全賬戶管理器(SAM)中的LM hash。該設(shè)置如下圖所示，可以防止LM hash被存儲(chǔ)在賬戶數(shù)據(jù)庫(kù)中。

　　圖8： LM hash的存儲(chǔ)可以被組策略所控制

　　該設(shè)置只有兩個(gè)選項(xiàng)：?jiǎn)⒂没蛘呓?。理想情況下，你需要選擇啟用。這樣的話，當(dāng)用戶下次修改密碼時(shí)，就不會(huì)將LM hash值存儲(chǔ)在數(shù)據(jù)庫(kù)中。

　　7. 為管理員設(shè)置?；艽a

　　可能很多讀者都在期待這一部分。我知道有超過(guò)90%的Windows管理員都期望這項(xiàng)技術(shù)早日面市，這項(xiàng)技術(shù)被稱為“?；艽a政策(FGPP)”，它允許在相同AD域中設(shè)置多個(gè)密碼政策。這也就意味著IT管理員至少可以有20字符長(zhǎng)度的密碼。財(cái)務(wù)用戶至少可以使用15個(gè)字符長(zhǎng)度的密碼，而行政人員可以使用至少2字符長(zhǎng)度的密碼。

　　這里有個(gè)技巧，這不是使用組策略配置的!沒(méi)錯(cuò)，你在原始AD數(shù)據(jù)庫(kù)中配置FGPP，最好的方法就是使用ADSIEdit.msc，不過(guò)有些供應(yīng)商提供的解決方案可以為你提供更簡(jiǎn)單的設(shè)置方法。

　　在這里，我提供一些基本的設(shè)置要求：

　　1. 所有域控制器必須運(yùn)行Windows Server 2008或者更高版本

　　2. 域必須在 Windows Server 2008功能級(jí)別

　　3. 你必須讓一個(gè)部門內(nèi)的用戶位于一個(gè)組內(nèi)，這也是FGPP設(shè)置權(quán)限的途徑。

　　當(dāng)了除了使用組策略的內(nèi)置密碼政策以及粒化密碼政策解決方案外也還有其他選擇，這些解決方案需要第三方安裝，不過(guò)他們不僅能取代微軟提供的密碼解決方案，還能夠?yàn)槠髽I(yè)提供更加細(xì)化的密碼管理。每個(gè)管理員都知道，基本的密碼控制都無(wú)法與先進(jìn)的密碼破解技術(shù)相抗衡，因此，可以選擇像Specops密碼政策等解決方案來(lái)部署密碼控制：

　　• 包括用戶可以使用的詞典列表

　　• 強(qiáng)制執(zhí)行4字符密碼

　　• 提高14字符密碼長(zhǎng)度限制

　　• 為密碼格式創(chuàng)建自定義規(guī)則

　　• 與用戶進(jìn)行良好的溝通，當(dāng)用戶試圖輸入復(fù)雜密碼時(shí)，告訴他們?nèi)绾卧O(shè)置符合要求的密碼。

　　總結(jié)

　　徹底處理好Lan Manager的問(wèn)題可能還需要很長(zhǎng)的時(shí)間，如果攻擊者只需要獲取單個(gè)管理員級(jí)別用戶的訪問(wèn)權(quán)限，就能導(dǎo)致整個(gè)網(wǎng)絡(luò)受到破壞，那么我們就必須采取一切預(yù)防措施來(lái)提高防御能力，如本文中提及到的配置要素。你需要考慮所有LM的基本要素：防止在服務(wù)器和計(jì)算機(jī)上的AD和本地SAM中LM hash的網(wǎng)絡(luò)攔截和存儲(chǔ)。建立良好的深度密碼政策是很重要的，這也是為什么微軟為用戶提供粒化密碼政策的原因。在單個(gè)AD域部署多個(gè)不同密碼政策的功能可以為企業(yè)提供更好的安全的粒度控制，并且可以節(jié)約成本。