微软的《windows组策略用户权限分配》
用户权限是允许用户在计算机系统或域中执行的任务。有两种类型的用户权限:登录权限和特权。登录权限控制为谁授予登录计算机的权限以及他们的登录方式。特权控制对计算机上系统范围的资源的访问,并可以覆盖在特定对象上设置的权限。登录权限的一个示例是在本地登录计算机的权限。特权的一个示例是关闭系统的权限。这两种用户权限都由管理员作为计算机安全设置的一部分分配给单个用户或组。有关本模块中说明的设置的汇总,请参阅随本指南提供的 Microsoft? Excel 工作簿“Windows Default Security and Services Configuration”(英文),该工作簿为默认的用户权限分配设置编制了文档。请单击此处下载。可以在组策略对象编辑器中的以下位置配置用户权限分配设置:
计算机配置\Windows 设置\安全设置\本地策略\用户权限分配
从网络访问此计算机
“从网络访问此计算机”用户权限允许用户从网络连接到此计算机。此用户权限是许多网络协议所必需的,这些协议包括基于服务器消息块 (SMB) 的协议、网络基本输入/输出系统 (NetBIOS)、通用 Internet 文件系统 (CIFS) 和组件对象模型插件 (COM+)。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
用户只要可以从其计算机连接到网络,即可访问该计算机上他们具有权限的资源。例如,用户需要此权限来连接到共享的打印机和文件夹。如果将此权限授予组“Everyone”,并且某些共享文件夹配置了共享和 NTFS 文件系统 (NTFS) 权限(以便该组具有读取权限),则任何人都可以查看这些共享文件夹中的文件。但是,对于 Microsoft? Windows Server? 2003 的全新安装,这种情况不太可能发生,因为在 Windows Server 2003 中,默认的共享和 NTFS 权限不包括“Everyone”组。对于从 Windows NT 4.0 或 Windows 2000 升级的系统,此漏洞可能具有较高级别的风险,因为这些操作系统的默认权限不如 Windows Server 2003 中的默认权限那样严格。
对策
将“从网络访问此计算机”用户权限仅授予需要访问服务器的那些用户。例如,将此权限设置到“Administrators”和“Users”组将允许登录到该域的用户访问域中的服务器。
潜在影响
在域控制器上,从所有用户中删除此用户权限将禁止任何人登录到该域或使用网络资源。在成员服务器上删除此权限将禁止用户通过网络连接到这些服务器。由于以上原因,验证已授权用户在计算机上是否具有访问网络所需的此权限非常重要。
作为操作系统的一部分工作
“作为操作系统的一部分工作”用户权限允许进程采用任何用户的标识,来获取对该用户被授权访问的资源的访问权限。通常,只有低级别的身份验证服务要求此项特权。请注意,在默认情况下,潜在访问不局限于与该用户相关的范围;调用进程可能请求将任意其他特权添加到访问令牌中。调用进程还可能生成不提供用于在审核日志中跟踪事件的主标识的访问令牌。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
此用户权限的功能非常强大;具有此权限的任何人都可以完全控制计算机,还可以实际上清除其活动的所有证据。
对策
限制尽可能少的帐户具有“作为操作系统的一部分工作”用户权限 — 通常情况下,甚至不应将该权限分配给“Administrators”组。当某个服务需要此特权时,请将该服务配置为使用本地系统帐户登录,该帐户本身具有此特权。不要单独创建一个帐户,然后将此特权分配给它。
潜在影响
应该没有或几乎没有影响,因为除本地系统帐户外,其他帐户很少需要此用户权限。
域中添加工作站
“域中添加工作站”用户权限允许用户向特定域中添加计算机。为了使此特权生效,必须将它作为域的默认域控制器策略的一部分分配给用户。具有此特权的用户最多可以将 10 个工作站添加到域中。如果用户被授予了 Microsoft Active Directory 中管理单元 (OU) 或计算机容器的“创建计算机对象”权限,他们还可以将计算机添加到域中。具有此权限的用户可以向域中添加不限数量的计算机,无论他们是否已被授予“域中添加工作站”特权。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
此用户权限具有中等漏洞。具有此权限的用户可以向以违反企业安全策略的方式配置的域中添加计算机。例如,如果您的组织不希望其用户在计算机上具有管理特权,用户可以在计算机上安装 Windows,然后将该计算机添加到域中。他们将获得本地管理员帐户的密码,并且可以使用该帐户进行登录,然后将自己的域帐户添加到本地的“Administrators”组中。
对策
配置“域中添加工作站”用户权限,以便只允许信息技术 (IT) 小组中的授权成员向域中添加计算机。
潜在影响
如果组织从来不允许用户设置自己的系统并将其添加到域中,此对策将没有任何影响。如果组织允许部分或全部用户配置自己的计算机,此对策将强制该组织为这些过程建立一个正式的进程。
调整进程的内存配额
“调整进程的内存配额”用户权限允许用户调整进程可用的最大内存。此特权对于系统调整非常有用,但可能会被滥用。此用户权限如果被别人利用,可能会导致拒绝服务 (DoS) 攻击。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
具有此权限的用户可减少任何进程可以使用的内存量,这可能导致关键性网络应用程序速度变慢或无法工作。
对策
将“调整进程的内存配额”用户权限仅授予需要此权限来执行作业的用户,如应用程序管理员(他们负责维护数据库管理系统)或域管理员(他们负责管理企业目录及其支持的基础结构)。
潜在影响
只有不严格限制用户采用具有有限特权的角色的组织,才会发现此对策的实现非常困难。对于大多数组织,实现此限制后应该没有任何影响。
允许本地登录
“允许本地登录”用户权限允许用户在计算机上启动一个交互式会话。如果不具有此权限的用户具有“通过终端服务允许登录”权限,则其仍然可以在计算机上启动一个远程交互式会话。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
具备本地登录权限的任何帐户都可用于登录到计算机的控制台。如果不将此特权仅授予需要登录系统控制台的合法用户,可能会导致未授权用户下载和执行恶意代码来提升其特权。
对策
对于域控制器,只将“允许本地登录”用户权限授予“Administrators”组。对于其他服务器角色,还应将此权限授予“Backup Operators”和“Power Users”组。对于终端用户计算机,还应将此权限授予“Users”组。
另外,还可以在“拒绝本地登录”特权下添加“Account Operators”、“Server Operators”和“Guests”等组。
潜在影响
删除这些默认组会限制分配给环境中特定管理角色的用户的能力。请确认不会对委派的活动产生负面影响。
通过终端服务允许登录
“通过终端服务允许登录”用户权限允许用户使用远程桌面连接登录到计算机。不应将此权限分配给其他用户或组。相反,最佳做法是通过在“Remote Desktop Users”组中添加或删除用户,来控制谁可以打开到计算机的远程桌面连接。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
具有通过终端服务登录的权限的任何帐户都可用于登录到计算机的远程控制台。如果不将此特权仅授予需要登录系统控制台的合法用户,可能会导致未授权用户下载和执行恶意代码来提升其特权。
对策
对于域控制器,只将“通过终端服务允许登录”用户权限授予“Administrators”组。对于其他服务器角色和终端用户计算机,还应将此权限授予“Remote Desktop Users”组。对于除以应用程序服务器模式运行的终端服务器以外的其他所有服务器角色,请确保 IT 小组中只有需要远程管理系统的授权用户才属于其中一个组。
警告:对于以应用程序服务器模式运行的终端服务器,请确保只有需要访问服务器的用户才具有属于“Remote Desktop Users”组的帐户,因为此内置组在默认情况下具有登录权限。
另外,还可以将“通过终端服务拒绝登录”特权授予“Account Operators”、“Server Operators”和“Guests”等组。但是,在实现此方法时要小心,因为这可能会阻止访问碰巧也属于具有“通过终端服务拒绝登录”登录权限的组的合法管理员。
潜在影响
如果更改这些默认组的成员身份,或者从其他组中删除此登录权限,都可能会限制分配给环境中特定管理角色的用户的能力。请确认不会对委派的活动产生负面影响。
备份文件和目录
“备份文件和目录”用户权限允许用户越过文件和目录权限来备份系统。只有当某个应用程序尝试使用 NTBACKUP.EXE 等程序通过 NTFS 备份应用程序编程接口 (API) 进行访问时,才应选择此特权。否则,应使用常规的文件和目录权限。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
能够从计算机备份数据的用户可以将备份媒体拿到另一台计算机上(这台计算机不属于用户具有管理特权的域),然后恢复数据。用户可以取得文件的所有权,并查看备份集中包含的任何内容。
对策
将“备份文件和目录”用户权限仅授予那些需要将备份企业数据作为日常职责一部分的 IT 小组成员。
潜在影响
更改具有此用户权限的组的成员身份会限制分配给环境中特定管理角色的用户的能力。请确认授权的备份管理员仍然能够执行备份操作。
跳过遍历检查
在 NTFS 文件系统或注册表中导航对象路径时,“跳过遍历检查”用户特权允许用户跳过文件夹,而不检查特殊的访问权限“遍历文件夹”。此权限不允许用户列出文件夹的内容;它只允许用户遍历文件夹。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
此用户特权的默认设置是允许任何人通过遍历检查。对于有经验的 Windows 系统管理员,这是预期的行为,而且他们会相应地配置文件系统访问控制列表 (ACL)。默认配置可能导致灾祸的唯一情形是,配置权限的管理员不理解此行为,并认为无法访问某个文件夹的用户也无法访问任何子文件夹的内容。这是不太可能发生的情况,因此该漏洞的风险很低。
对策
非常关心安全的组织可能希望从具有“跳过遍历检查”特权的组列表中删除“Everyone”组,甚至可能希望删除“Users”组。
潜在影响
Windows 操作系统以及许多应用程序已被设计为要求可合法访问计算机的任何人具有此用户权限。因此,从默认具有此特权的用户列表中删除“Everyone”组可能导致操作系统不稳定,或应用程序无法工作。建议将此设置保留为默认值。
更改系统时间
“更改系统时间”特权允许用户调整计算机内部时钟的时间。更改系统时间的时区或其他显示特征不需要此特权。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
能够更改计算机时间的用户可能会造成几个问题:事件日志项的时间戳不再准确,所创建或修改的文件和文件夹的时间戳不正确,或者属于某个域的计算机可能无法验证自身或无法验证试图从这些计算机登录到该域的用户。在大多数域控制器、成员服务器和终端用户计算机上,可以减少发生这种情况的风险,因为“Windows Time”服务会自动以下列几种方式与域控制器保持时间同步:
? 所有客户端台式计算机都指定验证身份的域控制器作为传入时间伙伴。
? 所有成员服务器所遵循的进程都与客户端台式计算机所遵循的进程相同。
? 域中的所有域控制器都指定主域控制器 (PDC) 操作主机作为它们的传入时间伙伴。
? 所有 PDC 操作主机在选择传入时间伙伴时,都遵循域的层次结构。
? 位于域根部的 PDC 操作主机是组织的权威,因此建议通过配置它来与可靠的外部时间服务器保持同步。
如果攻击者能够更改系统时间,然后停止“Windows Time”服务,或重新配置该服务,以便与不准确的时间服务器同步,则此漏洞将变得严重得多。
对策
将“更改系统时间”特权仅授予对更改系统时间具有合法要求的用户,如 IT 小组成员。
潜在影响
应该没有任何影响,因为对于大多数组织来说,属于域的所有计算机的时间同步应该是完全自动的。应该将不属于该域的计算机配置为与外部源同步。
创建页面文件
“创建页面文件”用户特权允许用户创建和更改页面文件的大小。通过在位于“系统属性”对话框“高级”选项卡上的“性能选项”框中指定特定驱动器的页面文件大小,可以完成此操作。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
可以更改页面文件大小的用户可能使该文件变得极小,或者将其移到具有大量文件碎片的存储卷中,这会导致系统性能降低。
对策
将“创建页面文件”用户特权仅授予“Administrators”组的成员。
潜在影响
这是默认设置,没有潜在影响。
创建令牌对象
“创建令牌对象”权限允许进程创建令牌,然后可以在使用 NtCreateToken() 或其他令牌创建 API 时,通过该令牌获取对任何本地资源的访问权限。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
操作系统通过检查用户的访问令牌来确定用户的特权级别。在用户登录到本地计算机或通过网络连接到远程计算机时,将生成访问令牌。吊销某种特权后,更改将立即记录在注册表中,但直到用户下次登录或连接时,更改才会反映在用户的访问令牌中。能够创建或修改令牌的用户可以更改当前登录的任何帐户的访问级别。他们可以提升自己的特权或创建 DoS 条件。
对策
不要将“创建令牌对象”权限分配给任何用户。需要此特权的进程应该使用本地系统帐户(该帐户已经包含此特权),而不要使用分配了此特权的单独的用户帐户。
潜在影响
这是默认设置,没有潜在影响。
创建全局对象
用户帐户在创建所有会话都可使用的全局对象时,需要具有“创建全局对象”用户权限。用户仍然可以针对他们自己的会话创建特定的对象,而不需要分配此用户权限。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
可以创建全局对象的用户会影响在其他用户的会话中运行的进程。这可能会导致各种问题,如应用程序无法工作或数据损坏。
对策
将“创建全局对象”用户特权仅授予本地的“Administrators”和“Service”组的成员。
潜在影响
这是默认设置,没有潜在影响。
创建永久共享对象
“创建永久共享对象”用户权限允许用户在对象管理器中创建目录对象。这意味着具有此特权的用户可以创建共享的文件夹、打印机和其他对象。此特权对于扩展对象命名空间的内核模式组件非常有用。在内核模式下运行的组件本身具有此特权。因此,通常不必特意分配此特权。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
具有此特权的用户可能通过创建新的共享对象将敏感数据暴露于网络上。
对策
不要将“创建永久共享对象”权限分配给任何用户。需要此特权的进程应该使用本地系统帐户(该帐户已经包含此特权),而不要使用分配了此特权的单独的用户帐户。属于本地的“Administrators”组的用户仍然能够创建、修改和删除共享的文件夹和打印机。
潜在影响
这是默认设置,没有潜在影响。
调试程序
“调试程序”用户权限允许用户将调试程序附加到任何进程。此特权提供对敏感和关键的操作系统组件的访问权限。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
此调试特权可能会被利用,以便从系统内存中捕获敏感的系统信息。某些攻击工具利用“调试程序”用户权限来提取散列的密码和其他保密的安全信息。“调试程序”用户权限在默认情况下只分配给管理员,这一事实降低了攻击者利用此漏洞的风险。
对策
从所有用户和组中吊销“调试程序”用户权限。
潜在影响
吊销此特权将导致没有任何人能够调试程序。但是,在通常情况下,生产系统中很少需要进行调试。如果出现问题,需要临时调试生产服务器上的某个应用程序,请将该服务器移到另一个管理单元,并将“调试程序”用户权限分配给适当的帐户。
拒绝从网络访问此计算机
“拒绝从网络访问此计算机”登录权限禁止用户从网络连接到此计算机。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
可以通过网络登录到此计算机的用户能够枚举出帐户名称、组名称和共享资源的列表。具有共享文件夹和文件的访问权限的用户可以通过网络进行连接,并可能查看或修改数据。对高风险帐户(如本地来宾帐户,以及没有业务原因而通过网络访问此计算机的其他帐户)明确拒绝此登录权限可提供一层额外保护。
对策
将“拒绝从网络访问此计算机”登录权限分配给下列帐户:
? 匿名登录。
? 内置的本地管理员帐户。
? 本地来宾帐户。
? 内置的支持帐户(Support_ 388945a0 帐户是远程协助的登录帐户)。
? 所有服务帐户。
此列表的一个重要例外是,启动需要通过网络连接到此计算机的服务时所使用的所有服务帐户。例如,如果您在 Web 服务器上配置了一个共享文件夹,以便通过网站访问和显示该文件夹中的内容,您可能需要允许运行 Microsoft Internet Information Server (IIS) 的帐户通过网络登录到具有共享文件夹的服务器。
潜在影响
为其他组配置此登录权限会限制分配给环境中特定管理员角色的用户的能力。请验证委派任务不会受到负面影响。
拒绝作为批处理作业登录
“拒绝作为批处理作业登录”用户权限禁止用户使用批处理队列功能登录。批处理队列是 Windows Server 2003 中的一项功能,用于安排作业在将来自动启动一次或多次。通过 Task Scheduler 安排作业时使用的所有帐户都需要此用户权限。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
具有此登录权限的帐户可能用来安排任务,这些任务会消耗额外的系统资源,从而导致进入 DoS 状态。
对策
将“拒绝作为批处理作业登录”登录权限分配给内置的支持帐户(Support_ 388945a0 帐户是远程协助的登录帐户)和本地来宾帐户。
潜在影响
将此登录权限分配给其他帐户会禁止分配给特定管理角色的用户执行必要的作业活动。请确认不会对委派的任务产生负面影响。
拒绝作为服务登录
“拒绝作为服务登录”登录权限禁止用户作为服务登录。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
可以作为服务登录的帐户可能被用来配置和启动新的未授权服务,如特洛伊木马或后门。后门是操作系统的一个隐藏入口,可用于下载系统信息。由于只有具备管理特权的用户才能安装和配置服务,而且已经获取了此访问级别的攻击者可以将服务配置为使用本地系统帐户运行,因此,配置此对策的好处被稍微减弱。
对策
建议不要将“拒绝作为服务登录”登录权限分配给任何帐户,这是默认设置。非常关心安全的组织可能希望将此登录权限授予他们确信永远不需要作为服务登录的组和帐户。
潜在影响
将此用户权限分配给特定帐户可能会禁止服务启动,这将导致进入 DoS 状态。 拒绝本地登录
“拒绝本地登录”登录权限禁止用户通过计算机键盘登录。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
具备本地登录能力的任何帐户都可用于登录到计算机的控制台。如果不将此特权仅授予需要登录系统控制台的合法用户,未授权用户可能会通过下载和执行恶意代码来提升其特权。
对策
将“拒绝本地登录”登录权限分配给内置的支持帐户 — Support_388945a0 帐户是远程协助的登录帐户。
注意:Support_388945a0 帐户使得帮助和支持服务可以与签名脚本交互操作。此帐户主要用于控制对签名脚本(可以从帮助和支持服务内部访问)的访问权限。管理员可以使用此帐户来委派普通用户(对计算机没有管理权限)的能力,以便从嵌入帮助和支持服务内部的链接运行签名脚本。可以对这些脚本进行编程,以使用 Support_388945a0 帐户凭据(而不是用户凭据)在本地计算机上执行特定的管理操作,而普通用户的帐户不支持这种操作。当委派用户单击帮助和支持服务中的链接时,将在 Support_388945a0 帐户的安全上下文中执行脚本。此帐户对计算机具有有限的访问权限,并且在默认情况下是禁用的。
潜在影响
为其他帐户分配此登录权限会限制分配给环境中特定管理角色的用户的能力。请确认不会对委派的活动产生负面影响。
通过终端服务拒绝登录
“通过终端服务拒绝登录”登录权限禁止用户使用远程桌面连接登录到计算机。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
具有通过终端服务登录权限的任何帐户都可用于登录到计算机的远程控制台。如果不将此特权仅授予需要登录系统控制台的合法用户,未授权用户可能会通过下载和执行恶意代码来提升其特权。
对策
将“通过终端服务拒绝登录”登录权限分配给内置的本地管理员帐户和所有服务帐户。
潜在影响
为其他组分配此登录权限会限制分配给环境中特定管理角色的用户的能力。请确认委派任务不会受到负面影响。
使计算机和用户帐户受信任以进行委派
“使计算机和用户帐户受信任以进行委派”特权允许用户在 Active Directory 中的用户或计算机对象上修改“已为委派信任”设置。被授予此特权的用户或计算机还必须具有对对象上的帐户控制标记的写入权限。
身份验证委派是多级客户端/服务器应用程序所使用的功能。通过身份验证委派,前端服务可以在对后端服务进行身份验证时使用对客户端的信任。要使这种功能成为可能,客户端与服务器必须均在受信任进行委派的帐户下运行。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
此特权的滥用会导致未授权用户伪装成网络中的其他用户。攻击者可以伪装成其他用户来利用此特权,以获取对网络资源的访问权限,这可能使得某安全事件之后发生的事件更难以解释。
对策
“使计算机和用户帐户受信任以进行委派”特权只应该分配给域控制器上的“Administrators”组。
注意:没有任何理由将此特权分配给属于某个域的成员服务器和工作站上的任何人,因为该特权在这些上下文中毫无意义;它只适用于域控制器和独立系统。
潜在影响
这是默认设置,没有潜在影响。
从远程系统强制关机
“从远程系统强制关机”用户权限允许用户在网络上远程强行关闭计算机。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
可以关闭计算机的任何用户都可以导致进入 DoS 状态,因此,对此特权应该严格限制。
对策
将“从远程系统强制关机”用户特权仅授予“Administrators”组的成员。
潜在影响
删除“Server Operator”组会限制分配给环境中特定管理角色的用户的能力。请确认不会对委派的活动产生负面影响。
生成安全审核
“生成安全审核”用户特权允许进程在安全日志中生成审核记录。此安全日志可用来跟踪未授权系统访问。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
具有安全日志写入权限的帐户可能会被攻击者使用,将日志中填满毫无意义的事件。如果将计算机配置成根据需要覆盖事件,攻击者可以使用此方法来删除其未授权活动的证据。如果将计算机配置成在不能写入安全日志的时候强行关机,此方法也可能导致进入 DoS 状态。
对策
确保只将“生成安全审核”用户特权分配给“Local Service”和“Network Service”组。
潜在影响
这是默认设置,没有潜在影响。
验证之后模拟客户端
将“验证之后模拟客户端”特权分配给用户将允许按用户意愿运行的程序模拟客户端。要求这种模拟具有此用户权限可防止未授权用户“说服”客户端连接(例如,通过远程过程调用 (RPC) 或命名管道)到他们所创建的服务,然后模拟该客户端,这样会将未授权用户的权限提升到管理级别或系统级别。
默认情况下,服务控制管理器启动的服务会将内置的“Service”组添加到它们的访问令牌中。COM 基础结构所启动的、配置成在特定帐户下运行的 COM 服务器还会将“Service”组添加到它们的访问令牌中。因此,这些服务在启动时将获得此用户权限。
另外,如果满足下列任一条件,用户还可以模拟访问令牌。
? 模拟的访问令牌是针对此用户的。
? 在此登录会话中,用户通过使用明确凭据登录到网络创建了访问令牌。
? 请求的级别小于 Impersonate,如 Anonymous 或 Identify。
由于这些因素,用户通常不需要此用户权限。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
具有此特权的用户可以欺骗某个客户端连接到他们所创建的某个服务,并模拟此客户端,然后该用户可以将自己的访问级别提升到此客户端的访问级别。
对策
确保只将“验证之后模拟客户端”特权授予“Administrators”和“Service”组。
潜在影响
这是默认设置,没有潜在影响。
提高计划优先级
“提高计划优先级”特权允许用户提高进程的基准优先级级别。在优先级级别内提高相对优先级不是一个特权操作。此特权不是操作系统提供的管理工具所要求的,但软件开发工具可能会要求此特权。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
具有此特权的用户可以将进程的计划优先级提高到“实时”,从而使其他所有进程的处理时间变得非常少,这样会导致进入 DoS 状态。
对策
确保只将“提高计划优先级”用户权限分配给“Administrators”组。
潜在影响
这是默认设置,没有潜在影响。
加载和卸载设备驱动程序
“加载和卸载设备驱动程序”特权确定哪些用户可以动态加载和卸载设备驱动程序。如果新硬件的已签名驱动程序已经存在于计算机的 Driver.cab 文件中,则不需要此特权。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
设备驱动程序可以作为高特权代码运行。具有“加载和卸载设备驱动程序”特权的用户可能会无意中安装一些伪装成设备驱动程序的恶意代码。在此假定管理员非常小心,只安装经数字签名验证过的驱动程序。
注意:您必须具有此特权,并且还必须是 Administrators 或 Power Users 组的成员,才能通过设置“双面打印”等选项的默认值来为本地打印机安装新的驱动程序或管理本地打印机。既要具有此特权又要是 Administrators 或 Power Users 组的成员,这一要求对于 Windows XP 和 Windows Server 2003 是一项新特性。
对策
不要将“加载和卸载设备驱动程序”特权分配给除“Administrators”之外的任何用户或组。
潜在影响
从“Print Operators”组或其他帐户中删除此用户权限会限制分配给环境中特定管理角色的用户的能力。请确保委派任务不会受到负面影响。
在内存中锁定页面
“在内存中锁定页面”特权允许进程将数据保存在物理内存中,这样可以防止系统将数据分页存储到磁盘的虚拟内存中。分配此特权可能会使系统性能严重降低。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
具有此特权的用户可将物理内存分配给几个进程,从而使得其他进程只有很少的随机存储内存 (RAM) 甚至根本没有。这将会导致进入 DoS 状态。
对策
不要将“在内存中锁定页面”特权分配给任何帐户。
潜在影响
这是默认设置,没有潜在影响。
作为批处理作业登录
“作为批处理作业登录”用户权限允许用户通过使用批处理队列工具(任务计划程序服务)进行登录。当管理员使用“添加任务计划”向导安排某项任务以特定的用户名和密码运行时,会自动将“作为批处理作业登录”权限分配给该用户。当预定的时间到来时,任务计划程序服务会将该用户作为批处理作业登录,而不是作为交互式用户,并且任务将在该用户的安全上下文中运行。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
这是一个低风险的漏洞,对于大多数组织而言,默认设置已足够。
对策
如果希望允许安排任务为特定用户帐户运行,应该允许系统自动管理此用户权限。如果不希望以这种方式使用任务计划程序,请仅为“Local Service”组和本地支持帐户 (Support_388945a0) 配置“作为批处理作业登录”登录权限。对于 IIS 服务器,应该在本地配置此策略,而不是通过基于域的组策略进行配置,这样可以确保本地的 IUSR_computername 和 IWAM_computername 帐户具有此登录权限。
潜在影响
如果通过基于域的组策略指定此设置,系统无法将此特权授予在任务计划程序中安排作业时使用的帐户,因此 IUSR_computername 和 IWAM_computername 帐户不会具有此登录权限,这样,IIS 将无法运行正常工作所必需的一些 COM 对象。
作为服务登录
“作为服务登录”登录权限允许安全主体作为服务登录。可以将服务配置成在本地的“系统”、“本地服务”或“网络服务”帐户下运行,这些帐户具有作为服务登录的内置权限。必须将该权限分配给在单独用户帐户下运行的任何服务。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
这是一个功能强大的登录权限,它允许帐户启动网络服务。只有具有管理特权的用户才能安装和配置服务,这一事实降低了风险。已经获取了此访问级别的攻击者可以将该服务配置成使用本地系统帐户运行。
对策
“作为服务登录”登录权限的默认安全主体是内置的本地组“Network Service”。应该将服务帐户添加到此本地组中,并且应该监视此组的成员身份和此用户权限,以确保不会进行意外更改。
潜在影响
这是默认设置,没有潜在影响。
管理审核和安全日志
“管理审核和安全日志”用户权限允许用户为文件、Active Directory 对象和注册表项等单个资源指定对象访问审核选项。除非您使用位于“安全设置”中“本地策略”下的“审核策略”来启用对象访问审核,否则将不会执行对象访问审核。具有此特权的用户还可以从事件查看器中查看和清除安全日志。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
管理安全事件日志的权限是功能强大的用户特权,应该严格监管。任何具有此特权的人都可以清除安全日志,也可能会删除未授权活动的重要证据。
对策
确保只有本地的“Administrators”组具有“管理审核和安全日志”用户权限。
潜在影响
这是默认设置,没有潜在影响。
修改固件环境值
“修改固件环境值”用户权限允许进程通过 API 或允许用户通过“系统属性”来修改系统环境变量。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
具有此特权的任何人都能够以这种方式配置硬件组件的设置,以使其不能正常工作,这将会导致数据损坏或进入 DoS 状态。
对策
确保只有本地的“Administrators”组具有“修改固件环境值”用户权限。
潜在影响
这是默认设置,没有潜在影响。
执行卷维护任务
“执行卷维护任务”用户权限允许非管理人员或远程用户管理卷或磁盘。当在用户的安全上下文中运行的进程调用 SetFileValidData() 时,Windows Server 2003 将在用户的访问令牌中检查此特权。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
拥有此特权的用户可以删除卷,从而会导致数据丢失或进入 DoS 状态。
对策
确保只有本地的“Administrators”组具有“执行卷维护任务”用户权限。
潜在影响
这是默认设置,没有潜在影响。
配置单一进程
“配置单一进程”用户权限允许用户对应用程序进程的性能进行采样。通常,在使用“性能”管理单元时无需此特权。但是,如果系统监视器被配置为使用 Windows Management Instrumentation (WMI) 收集数据,则确实需要此特权。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
这是一个中等安全漏洞。具有此特权的攻击者可以监视计算机的性能,以帮助识别其要直接攻击的重要进程。攻击者还可以确定哪些进程正在系统上运行,从而识别他们可能需要避开的防范措施,如防病毒软件、入侵检测系统或登录到系统的其他用户。
对策
确保只有本地的“Administrators”组具有“配置单一进程”用户权限。
潜在影响
从“Power Users”组或其他帐户中删除此用户权限会限制分配给环境中特定管理角色的用户的能力。请确保委派任务不会受到负面影响。
配置系统性能
“配置系统性能”用户权限允许用户对系统进程的性能进行采样。只有将“性能”管理单元配置为使用 WMI 收集数据时,此管理单元才需要此特权。通常,在使用“性能”管理单元时无需此特权。但是,如果系统监视器被配置为使用 WMI 收集数据,则确实需要此特权。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
这是一个中等安全漏洞。具有此特权的攻击者可以监视计算机的性能,以帮助识别其要直接攻击的重要进程。攻击者还可以确定哪些进程正在系统上运行,从而识别他们可能需要避开的防范措施,如防病毒软件或入侵检测系统。
对策
确保只有本地的“Administrators”组具有“配置系统性能”用户权限。
潜在影响
这是默认设置,没有潜在影响。
从扩展坞移除计算机
“从扩展坞移除计算机”用户权限允许便携式计算机用户通过单击“开始”菜单上的“弹出 PC”操作将计算机移除。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
拥有此用户权限的任何人都可以将已启动的便携式计算机从其扩展坞中移除。此对策的利用价值由于以下几个因素而被降低:如果攻击者可以重新启动计算机,他们可以在 BIOS 启动后操作系统启动前将其从扩展坞中移除(此设置不会影响服务器,因为服务器通常不安装在扩展坞中),最后,攻击者可以同时窃取计算机和扩展坞。
对策
确保只有本地的“Administrators”和“Power Users”组具有“从扩展坞移除计算机”用户权限。
潜在影响
这是默认配置,因此它应该几乎没有影响。但是,如果组织的终端用户不是“Power Users”或“Administrators”组的成员,则他们在不关闭系统的情况下将无法从扩展坞中移除自己的便携式计算机。因此,您可能希望将此特权授予便携式计算机的本地用户组。
替换进程级令牌
“替换进程级令牌”用户权限允许父进程替换与子进程关联的访问令牌。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
具有此特权以及增加进程配额权限(在前面讨论了“调整进程的内存配额”用户权限)的用户能够像其他用户那样启动进程。他们可以使用此方法隐藏正在计算机上执行未授权操作的事实。
对策
确保只有“Local Service”和“Network Service”组具有“替换进程级令牌”用户权限。
潜在影响
这是默认设置,没有潜在影响。
还原文件和目录
通过“还原文件和目录”用户权限,用户可以在还原已备份文件和目录时绕过文件和目录权限,并且将任何有效安全主体设置为对象所有者。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
具有此特权的攻击者可以将敏感的企业数据还原到系统中,从而覆盖更新的数据。这可能导致重要数据丢失、数据损坏或进入 DoS 状态。
注意:此对策不会防止攻击者将数据还原到未托管系统,因此组织应认真保护用于备份数据的媒体,这一点非常关键。
对策
确保只有本地的“Administrators”组具有“还原文件和目录”用户权限。
潜在影响
从“Backup Operators”组和其他帐户中删除此特权可能使委派了特定任务的用户无法执行这些任务。请验证此更改不会对组织中人员执行其作业的能力产生负面影响。
关闭系统
“关闭系统”特权允许用户关闭本地计算机。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
关闭域控制器的权限应授予极少数受信任的管理员。即使关闭系统要求有登录到服务器的权限,也应谨慎处理允许关闭域控制器的帐户和组。
关闭域控制器后,它们将无法再执行处理登录、为组策略提供服务和应答轻型目录访问协议 (LDAP) 查询等功能。如果关闭具有灵活单主机操作 (FSMO) 角色的域控制器,则这些服务器可以禁用主要的域功能,如处理使用新密码的登录(主域控制器 (PDC) 模拟器角色)。
对策
确保在成员服务器上只有“Administrators”和“Backup Operators”组具有“关闭系统”特权,并且在域控制器上只有“Administrators”组具有此特权。
潜在影响
删除这些默认组的影响包括限制了环境中已分配角色的委派能力。请确认不会对委派的活动产生负面影响。
同步目录服务数据
“同步目录服务数据”用户权限允许进程读取目录中的所有对象和属性,无论这些对象和属性是否受到保护。此权限是使用 LDAP 目录同步 (Dirsync) 服务所必需的。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
此特权将影响到域控制器;应该只有域控制器能够同步目录服务数据。域控制器本身具有此权限,因为同步进程在域控制器上的系统帐户上下文中运行。具有此特权的攻击者可以查看存储在目录中的所有信息。然后,他们可以使用其中某些信息执行其他攻击或泄露敏感的企业数据,如直接的电话号码或物理地址。
对策
确保没有任何帐户具有“同步目录服务数据”用户权限。
潜在影响
这是默认设置,没有潜在影响。
取得文件或其他对象的所有权
“取得文件或其他对象的所有权”用户权限允许用户取得系统中任何可得到的对象的所有权,包括 Active Directory 对象、NTFS 文件和文件夹、打印机、注册表项、服务、进程和线程。
此组策略设置的可能值为:
? 用户定义的帐户列表。
? 没有定义。
漏洞
具有此能力的任何用户都能够控制任何对象(无论对该对象具有什么权限),然后按照意愿对该对象进行任何更改。这会导致数据泄露或损坏,或导致进入 DoS 状态。
对策
请确保只有本地“Administrators”组拥有“取得文件或其他对象的所有权”用户权限。
潜在影响
这是默认设置,没有潜在影响。 asdasdasd what is
页:
[1]