概述對於運行Microsoft Active Directory?目錄服務的Microsoft? Windows Server? 2003計算機,域控制器服務器是在任何環境下都應當確保其安全性的重要角色。對於依賴域控制器完成身份驗證、組策略、以及一個中央LDAP(輕量級目錄訪問協議)目錄的客戶機、服務器以及應用軟件而言,IT環境中域控制器的任何損失或信息洩密都可能是災難性的。由於其重要性,域控制器應當總是被安置在物理上安全的地點,僅允許有資格的管理人員訪問。當域控制器必須安置在不太安全的地方時,例如分支辦公室,應當調整相關的安全性設置以限制來自物理訪問威脅的潛在損害。域控制器基線策略與本指南後面將要介紹的其他服務器角色策略不同,域控制器服務器的組策略是一種基線策略,與第三章“創建成員服務器基線”所定義的成員服務器基線策略(MSBP)屬於同一類。域控制器基線策略(DCBP)與域控制器組織單位(OU)密切相連,並且優先於缺省的域控制器策略。包括在DCBP中的設置將增強任何環境下域控制器的總體安全性。大多數DCBP是MSBP的直接拷貝。由於DCBP建立在MSBP基礎之上,讀者應當仔細復習第三章“創建成員服務器基線”,以便充分理解同樣包括在DCBP中的許多設置。本章僅僅討論那些沒有包括在MSBP中的DCBP設置。域控制器模板專門設計用來滿足本指南所定義三種環境的安全需要。下表顯示了包括在本指南中的域控制器.inf 文件以及這些環境相互之間的關系。例如,文件Enterprise Client – Domain Controller.inf是企業客戶機環境下的安全性模板。表 4.1: 域控制器基線安全性模板 注意:將一個配置不正確的組策略對象鏈接到Domain Controllers OU(域控制器組織單位)可能會嚴重阻礙域的正常操作。在導入這些安全性模板時應當十分小心,在將GPO到鏈接到Domain Controllers OU之前,應該確認導入的所有設置都是正確的。審核策略設置域控制器的審核策略設置與在MSBP中所指定的一樣。要了解更多信息,請參看第3章“創建成員服務器基線”。DCBP中的基線策略確保了所有相關的安全性審核信息都記錄在域控制器中。用戶權限分配DCBP為域控制器指定了許多用戶權限的分配方法。除了缺省設置之外,在本指南定義的三種環境下,您可以修改其它 7 種用戶權限以強化域控制器的安全性。該部分詳細介紹了DCBP 規定的用戶權限設置,這些設置不同於MSBP中的相應設置。關於該部分規定設置的總結信息,請參看包括在本指南中的“Windows Server 2003安全指南設置” Excel 工作簿。從網絡訪問您的計算機表4.2: 設置 (點擊查看原圖)“從網絡訪問該計算機”用戶權限確定哪些用戶和組能夠通過網絡連接到該計算機。許多網絡協議都要求該用戶權限,包括基於服務器信息塊(SMB)的協議、網絡基本輸入/輸出系統(NetBIOS)、通用互聯網文件系統(CIFS)、超級文本傳輸協議(HTTP)以及COM 等。在Windows Server 2003中,盡管您可以為“Everyone”(所有人)安全組授予權限,並不再接受匿名用戶的訪問,但是“Guest”組和賬戶仍然可以通過“Everyone”安全組訪問。因此,本指南推薦在高安全性環境下,從“從網絡訪問該計算機”中刪除“Everyone”安全組,以便進一步防范利用Guest 帳戶對域發起的攻擊。向域中添加工作站表4.3: 設置 (點擊查看原圖)“向域中添加工作站”權限允許用戶向指定的域中添加一台計算機。如果希望該權限生效,它必須作為域的缺省域控制器策略的一部分分配給用戶。被授予了該權限的用戶可以向域中添加10個工作站。被授予了為OU或 Active Directory 的計算機容器“創建計算機對象”權限的用戶,也可以向域中加入計算機。被授予了該權限的用戶可以無限制地向域中添加計算機,無論他們是否被分配了“向域中添加工作站”用戶權限。缺省情況下,“Authenticated Users”(經過身份驗證的用戶)用戶組具有向 Active Directory 域中添加10個計算機賬戶的能力。這些新計算機賬戶在計算機容器中創建。在一個 Active Directory 域中,每個計算機賬戶都是一個完整的安全性主體,擁有認證和訪問域資源的能力。有些組織希望限制一個 Active Directory 環境中的計算機數量,以便可以持續地跟蹤、構建和管理它們。允許用戶向域中添加工作站則會妨礙這項工作。而且,這樣做還會為用戶執行更加難以跟蹤的行為提供了方便,因為他們可能創建了其他未經授權的域計算機。因此,在本指南定義的三種環境下,“向域中添加工作站”用戶權限僅僅授予Administrators 組。允許從本地登錄表4.4: 設置 (點擊查看原圖)“允許本地登錄”用戶權限允許用戶在計算機上開啟一個交互式的會話。如果用戶不具備該權限,但擁有“允許通過終端服務登錄”權限,他仍然能夠在計算機上開啟一個遠程的交互式會話。通過對可以登錄到域控制器控制台的賬戶加以限制,有助於防止對域控制器文件系統和系統服務進行未授權的訪問。能夠登錄到域控制器控制台的用戶可能惡意地利用該系統,並且可能破壞整個域和森林的安全性。缺省情況下, Account Operators、Backup Operators、Print Operators和Server Operators 組被授予了從本地登錄域控制器的權限。但是這些組中的用戶不必登錄到一台域控制器上完成其管理任務。這些組中的用戶通常可以從其它工作站完成其職責。只有“Administrators”組中的用戶才必須在域控制器上登錄以完成其維護任務。
將該權限僅授予給“Administrators”組,可以將對域控制器的物理和交互式訪問限制在受高度信任的用戶,從而增強了安全性。因此,在本指南定義的三種環境下,將“允許從本地登錄”用戶權限僅授予給“Administrators”組。允許通過終端服務登錄表4.5: 設置 (點擊查看原圖)“通過終端服務登錄”權限允許用戶使用遠程桌面連接登錄到計算機上。對通過終端服務登錄到域控制器控制台的賬戶加以限制,有助於防止對域控制器文件系統和系統服務的未經授權訪問。能夠通過終端服務登錄到域控制器控制台的用戶可以對該系統進行利用,並且可能破壞整個域或森林的安全性。通過將該權限僅授予給 Administrators 組,可以將對域控制器的交互訪問權限制在高度信任的用戶中,從而增強了系統的安全性。因此,在本指南所定義的三種環境下,“允許通過終端服務訪問”僅授予給 Administrators 組。盡管在缺省情況下,通過終端服務登錄到一台域控制器要求用戶具有管理員訪問權限,但配置該用戶權限有助於防止那些可能破壞該限制的無意或有意行為。作為一種高級的安全性措施,DCBP 禁止使用缺省的 Administrator 賬戶通過終端服務登錄到域控制器。該設置還可阻止惡意用戶企圖使用缺省的 Administrator 賬戶遠程強行登錄到一台域控制器。要了解該設置的詳細信息,請參看第3章“創建成員服務器基線”。改變系統時間表 4.6: 設置 (點擊查看原圖)“改變系統時間”權限允許用戶調整計算機內部時鐘的時間。該權限對於改變時區或系統時間的其他顯示特征不是必需的。系統時間保持同步對於 Active Directory 的運行至關重要。正確的 Active Directory 復制和KerberosV5身份驗證協議使用的身份驗證票據生成過程要依賴於整個環境中的時間同步。如果在環境中,一台域控制器配置的系統時間與另一台域控制器配置的系統時間不同步,則可能妨礙域服務的操作。僅允許管理員改變系統時間可以將域控制器被配置為錯誤系統時間的可能性降至最小。缺省情況下, Server Operators 組被授予了改變域控制器系統時間的權限。由於這個組的成員可能會不正確地更改域控制器系統時間,該用戶權限在DCBP中進行了配置,以便在本指南定義的三種環境下,只有 Administrators 組有權改變系統時間。要了解關於Microsoft Windows? 時間服務(Microsoft Windows? Time Service)的更多信息,請參考知識庫文章Q224799,“Windows Time Service 的基本操作”:?scid=224799,以及Q216734,“如何在Windows 2000中配置一台權威的時間服務器”:?scid=216734.為委派啟用受信任的計算機和用戶帳戶表 4.7:設置 (點擊查看原圖)“為委派啟用受信任的計算機和用戶賬戶”權限允許用戶在 Active Directory 中的一個用戶和計算機對象上改變 “允許委派”(Trusted for Delegation)設置。身份驗證委派是由多層客戶/服務器應用程序所使用的一種功能。它允許前端服務在驗證一項後端服務時使用客戶機的信任憑據。要使這項操作成立,客戶機和服務器都必須運行在允許接收委派的賬戶下。對該權限的誤用可能會導致未經授權的用戶假裝網絡中的其他用戶。攻擊者可以利用該權限假扮其他用戶訪問網絡資源,這使得在安全事件出現之後,確定事件原因的工作變得更加困難。本指南推薦將“為委派啟用受信任的計算機和用戶賬戶”權限分配給域控制器中的Administrators 組。注意:盡管缺省的域控制器策略將該權限分配給管理員組,但DCBP之所以在高安全性環境下加強了該項權限設置是因為它最初是建立在MSBP基礎上的,而MSBP給該權限分配了一個NULL值。安裝和卸載設備驅動程序表4.8: 設置 (點擊查看原圖)“安裝和卸載設備驅動程序”權限決定了哪些用戶有權安裝和卸載設備驅動程序。該權限對於安裝和卸載即插即用設備是必需的。不恰當地在域控制器上安裝和卸載設備驅動程序可能會對其運行帶來不利影響。將有權安裝和卸載設備驅動程序的帳戶限制在最可信任的用戶中,可以降低因為設備驅動程序被誤用而破壞域控制器的可能性。缺省情況下,“Print Operators”組被授予了該權限。正如早先提到的,我們不推薦在域控制器中創建打印機共享。這樣,打印操作員就無需獲得安裝和卸載設備驅動程序的權限。因此,在本指南定義的三種環境下,該權限僅被授予給“Administrators”組。恢復文件及目錄表4.9: 設置 (點擊查看原圖)“恢復文件和目錄”用戶權限允許用戶在恢復備份的文件或文件夾時,避開文件和目錄的許可權限,並且作為對象的所有者設置任何有效的安全主體。如果允許某個用戶賬戶將文件和目錄恢復到域控制器的文件系統中,賬戶所有者將獲得輕松修改服務可執行程序的能力。利用該權限提供的訪問權限,惡意用戶
