Administrator账户建议
因为强大的权限,Windows环境下的administrator账户必须受到重点保护,本段将讨论各种保护具有管理员特权账户的方法。
Additional Administrator Accounts
在Windows XP安装过程中,如果用户决定把XP安装成独立工作站,用户就会被询问“谁将使用这台计算机?”以及会被要求创建至少一个用户账户,如果不创建任何账户那安装过程将无法继续下去。任何在这里创建的账户都将会被指派一个空白的密码,并成为Administrators组的成员。因此,哪怕仅创建了一个账户,机器中也会有两个管理员账户:系统内建的Administrator账户以及用户创建的账户。独立工作站形式的Windows XP系统需要一个额外的管理员账户因为不建议使用系统内建的Administrator账户进行本地登陆。然而在域环境中,额外的管理员账户会带来安全隐患。在Windows XP中,使用空白密码的本地账户无法通过网络登录,但是他们可以本地登录。因此在域环境中,建议删除在安装系统过程中创建的额外的管理员账户,并确保系统内建的Administrator账户有一个好的、复杂的密码。如果还需要额外的管理员账户,确保该账户有一个强密码。
要删除一个用户账户:
选择控制面板 - 用户账户
点击要删除的账户
点击删除账户
用户账户还可以用以下方法删除:
选择开始 - 所有程序 - 管理工具 - 计算机管理
展开本地用户和组节点
双击用户
在右侧的面板,右键点击想要删除的账户
从弹出菜单选择删除
Administrator账户的使用以及RunAs命令
管理员应当有两个账户:一个具有管理员特权一个只是普通用户。系统管理员应该只在需要的时候才使用管理员账户,而日常任务使用普通账户。管理员决不能用他们的管理员账户访问互联网,因为网页上可能包含各种恶意代码,并且这些代码可能会以当前登录用户的身份运行。 当进行某些需要管理员权限的操作时,可以使用runas命令。这个命令可以允许没有特权的用户以其他用户的身份运行某些程序。在命令行下输入runas /?可获得详细的参数,该命令可以这样使用:
runas /user:domain_nameadministrator_account program_name
runas命令也可以通过以下方法处理后直接在快捷方式的右键菜单中执行:
从开始菜单中,找到目标程序
在按下SHIFT键的同时右键点击该程序的快捷方式
从弹出菜单中选择运行方式
选择下列用户
输入或选择一个用户名
输入密码
点击确定
注意:RunAs命令需要Windows XP中的Secondary Logon服务或Windows 2000中的RunAs服务正确运行,这些服务默认是启动的。
共享资源的权限
Windows共享意味着一些资源,例如文件、文件夹、打印机和其他一些资源可以通过网络向网络用户发布出去,供他们远程访问。一般用户不能在他们本机上创建共享,只有Administrators组和Power Users组的用户具有创建共享的权限,同时要创建共享首先还要保证必须对要共享的文件夹至少具有只读的权限。其他具有创建永久共享对象权限的用户也可以创建共享。因为共享的数据中可能包含中还要数据并且是通向本地系统的窗口,因此对于共享资源的权限设置一定要注意。
可以对一个用户或者用户组指派以下的共享权限:
完全控制
更改
只读
共享权限是不依赖于NTFS权限存在的,然而共享权限又跟NTFS权限密不可分。当访问一个远程共享时,将会被应用两者结合的更具有限制性的权限。举例来说,如果一个用户访问一个具有完全控制权限的共享文件夹,但是相对本地系统则只有只读的NTFS权限时,他将只能获得对该文件夹只读的权限。
共享的默认是给Everyone完全控制的权限,因此为了限制访问,你必须自己编辑共享权限,这意味着你的NTFS权限将会被单独用来决定远程用户可以具有什么样的权限。如果因为某些原因用户访问共享文件夹时需要获得比他们本地登录后获得的权限稍小的共享权限,你就可以使用共享权限在NTFS权限的基础上更进一步地限制他的访问。然而要注意,对用户共享权限的限制不会被应用于他们通过终端服务进行的本地登录,基于这个原因,建议NTFS权限一定要设置好。
注意:当简单文件共享被禁用(例如Windows XP计算机加入域)后,Windows XP不允许共享Documents and Settings、Program Files还有%SystemRoot%文件夹,以及%SystemRoot%的子文件夹。
设置共享权限
要创建共享并设置权限:
在资源管理器中,右键点击想要共享的文件夹
从弹出菜单中选择共享和安全…
点击共享该文件夹
指定一个共享名
点击权限按钮
从共享的访问列表中添加、删除或者编辑用户和用户组的权限
注意:如果你打开了简单文件共享,这个对话框将会完全不同。在使用简单文件共享的情况下,所有的网络用户都被识别为来宾用户,而不管他们登录使用的账户。
共享的安全建议
当创建共享和设置共享权限时,在可能的情况下请尽量遵循下列建议:
确保所有的共享都没有给Everyone组指派任何权限
使用经验证用户或者用户组代替Everyone组
只给用户和/或用户组所需要的最小权限
为了保护包含敏感数据的共享不被一般人知道,可以在创建共享时给共享名后添加一个$符号来隐藏共享,这种情况下用户仍然可以访问隐藏的共享文件夹,但是必须输入准确的共享路径(在这种情况下隐藏的共享不会出现在网络邻中)
删除POSIX 注册表项目
如同本文开头所说,POSIX子系统不再包含在Windows XP中,然而两个POSIX注册表键仍然存在,事实上,一个键HKEY_LOCAL_MACHINESystemCurrentControlSetControlSession ManagerSubSystemsPosix被设置为%SystemRoot%system32psxss.exe,这个文件并不存在于Windows XP中。因此建议使用以下步骤删除这个注册表键:
在注册表编辑器regedit中,定位到HKEY_LOCAL_MACHINESystemCurrentControlSetControlSession ManagerSubsystems 键
在右侧面板中,选择可选值
从编辑菜单中选择删除
在询问“Are you sure you want to delete this value?“的对话框上,点击确定按钮
重复以上步骤删除Posix的注册表键值,同样是在Subsystems 键
其他组策略设置
本段列举了一些可以通过组策略被应用的安全建议。组策略可以被应用到Windows XP计算机,无论该计算机是否域成员。同时,组策略也可以从Windows 2000域控制器应用到Windows XP工作站。要访问GPO:
在MMC的组策略组件中打开GPO或者在容器的属性 - 组策略选项卡下访问链接的GPO
如果通过组策略选项卡访问,高亮选择目标GPO然后点击编辑按钮访问组策略组件
禁用远处协助/桌面
跟其他所有远程控制技术一样,远程协助和远程桌面因为用途的关系具有一定的安全风险。建议不要在需要高度安全性的网络中使用远程控制技术,若要禁用远程协助,可设置以下的组策略:
定位到计算机配置管理模板系统远程协助节点
双击右侧面板的请求远程协助设置
点击禁用按钮禁止用户请求远程协助
应用设置并关闭窗口
双击右侧面板的提供远程协助设置
点击禁用按钮禁止用户在这台计算机上向别人提供远程协助帮助
应用设置并关闭窗口
注意:组策略的设置将会覆盖其他任何的系统属性中远程选项卡的设置。
要禁止计算机接受远程桌面连接,进行如下操作:
右键点击我的电脑,选择属性打开系统属性对话框
在系统属性对话框打开远程选项卡
确保允许用户远程连接到这台计算机复选框没有被选中
点击选择远程用户...按钮,打开远程桌面用户对话框
从Remote Desktop Users用户组删除所有用户和用户组
网络初始化
默认情况下,Windows XP在允许用户登录之前并不会等待网络初始化完全完成;相反,在登录一些已经存在的用户是多半会使用缓存的凭证,这会减少登录所需的时间。用户登录后组策略才会在后台被应用。
这种行为造成了组策略的某些扩展,例如软件安装和文件夹重定向应用,都需要用户登录至少两次后才能被成功应用。因为这些扩展都要求在被处理的过程中没有已经登录的用户,并且最好是强制在用户登录之前再前台进行,同时,用户策略的改变例如添加配置文件路径或者添加登录脚本都需要两次登录以便生效。
为了遵守在Windows2000或者Windows NT域中不对从登录到Windows XP客户端的用户进行密码过期提醒这一策略,文体发生了。如果用户是在组策略应用之前使用缓存的凭据登录的,当密码过期警告信息应该被显示时这个响应却不能被处理,直到用户下一次登录。因此用户的密码应当在用户收到警告消息之后再过期。
本文不建议缓存登录凭证(交互式登录:可被缓存的前次登录的个数这个安全选项被设置为0),这样缓存的用户凭证就不能被用来验证登录到域的用户,强制等待网络初始化完全完成后进行。然而,如果缓存的前次登录的格式被设置为非0的数字,问题同样会存在。关于Windows XP中密码过期问题的详细内容请参考微软知识库文章Q313194:
通常来说,把所有与计算机有关的组策略的改变放在用户登录之前应用是一个好习惯,这样用户就可以在最新的安全设置下使用系统,因此建议使用以下的组策略设置:
定位到计算机配置管理模板系统登录选项
在右侧面板,双击计算机启动和登录时总是等待网络
点击启用按钮
点击确定
禁用媒体的自动播放
自动播放功能会在可以动媒体插入后读取其中的数据,默认情况下,Windows XP会自动运行光驱中插入的所有光盘,这将会允许可执行的内容在被允许前自动被执行。默认情况下软盘和网络驱动器的自动播放功能被禁用了。要禁止所有驱动器上的自动播放功能,可采取如下操作:
定位到计算机配置管理模板系统选项
在右侧的面板,双击关闭自动播放
点击启用按钮
在关闭自动播放: 下拉菜单,选择所有驱动器
点击确定
封闭网络中的NetBIOS和SMB端口
在Windows环境中,NetBIOS定义了一个软件接口和命名协议,基于TCP/IP之上的NetBIOS(NetBT)为TCP/IP协议提供了NetBIOS程序接口。Windows 2000和Windows XP使用NetBT与Windows NT以及更老版本的Windows(例如Windows 9x)系统交流。然而,当与其他Windows 2000或者Windows XP计算机交流时,Windows XP使用了direct hosting。Direct hosting在命名协议方面利用了DNS代替NetBIOS,并使用了TCP端口445而不是TCP端口139。服务器消息过滤服务使用直接通过TCP/IP协议的网络资源共享,而不是使用NetBIOS作为“中间人”。
Windows NetBIOS和SMB端口(端口135-139还有端口445)之间的交流可以提供关于Windows系统的很多信息,并且可能引起潜在的攻击。因此禁止从局域网外连向系统这些端口的连接是很重要的。
建议在防火墙或者路由器上阻挡到端口135、137、138、139和445的出站以及入站连接,大量的攻击以及潜在的威胁都是因为出站的SMB连接造成的。
标签:
