浅析windows安全配置关键要素信息安全基础信息化1205.docVIP

浅析Windows安全配置关键要素_信息安全_基础信息化 ??? Windows为我们提供很多设置、选项和配置区域，可能有100多个很重要的安全配置因素需要考虑，不过在本文中我们将重点探讨十大安全配置要素，这些要素都是管理员容易忽视的安全问题。 ??? 1.服务账户限制工作站登录 ??? 服务账户是用来支持那些仅在有限数量计算机中运行的服务的，因此限制服务可以登录的范围是很有必要的，这可以帮助增强整体安全抵御能力，并且当受到服务账户本身的攻击时可以将攻击限制到那些允许服务账户登录的计算机上。 ??? 对服务账户可以登录的工作站的限制的设置位于用户被配置的地方，也就是Active Directory内的Active Directory Users and Computers，当你找到服务账户，右键单击服务账户并选择属性。然后将自动转入账户属性，在这里选择Log On To button，随后将出现登陆工作站对话框，如下图1所示： ??? 图1：这个配置允许管理员限制服务账户可以登录的位置。 ??? 2.管理员不能从网络访问计算机 ??? 这取决于企业管理员账户的使用方式，有安全专家指导的管理员应该知道只有当执行灾难恢复时才能使用管理员账户。在灾难恢复的情况下，你将需要登陆来执行灾难恢复，而不是从网络来登录。如果你可以从网络登录，你应该使用一般管理员账户。另外，你也可以限制管理员账户只能从本地登录，而无法从网络访问。 ??? 这个设置是在GPO中，当然，所有的GPO链接和应用程序规则都适用。你会想将GPO链接到适当的企业部门，然后打开GPO到以下路径：Computer Configuration|Windows Settings|Security Settings|Local Policies|User Rights Assignment|Deny access to this computer from the network，如下图所示。 ??? 图2： 你可以限制管理员账户只能从本地登录到服务器。 ??? 3.确认Local Administrators Group中的成员 ??? 当你赋予用户管理控制服务器或者用户桌面的权力，将会发生奇怪的事情。从大体上来看，这通常都容易受到互联网安全威胁。解决方案是什么呢?从本地管理员组移除Domain Admins和本地管理员。 ??? 为了确保这些账户在本地管理员组中，在每个服务器和桌面中，你都可以适用组策略。你需要访问组策略参数选择(Group Policy Preferences)，然后打开组策略对象到以下节点：Computer Configuration\Preferences\Control Panel Settings\Local Users and Groups\New\Local Group，如图3所示。 ??? 图3： 确保本地管理员的组员是安全的 ??? 4.重新设置本地管理员密码 ??? 现在我最喜欢的问题就是“上次你重新设置每台计算机的本地管理员密码是什么时候?”，每次几乎都得到相同的答案，“安装过程中”，“三年前”，“从没有设置”，这些都是不能接受的。这是很关键的配置，企业应该至少一到三个月设置一次密码。如果没有定期重新设置本地管理员密码的话，蠕虫病毒和攻击者将有机可乘。现在只需使用组策略参数设置就可以简单设置密码重置。 ??? 要配置此设置，你需要设置一个符合组策略参数的组策略对象。 ??? 注意： ??? 和上一个设置一样，这个设置必须在运行Windows Sever 2008或者Vista SP1的计算机上进行，不过也向后兼容Windows XP SP2和 Windows Server 2003 SP1。 ??? 如果你打开编辑器中的GPO到Configuration\Preferences\Control Panel Settings\Local Users and Groups\New\Local User，如图4所示。 ??? 图4：你可以从GPO未每台计算机重新设置本地管理员密码 ??? 5.为管理员启用UAC ??? 我知道很多人不喜欢UAC，然而对于大多数企业而言，最好启用UAC来保障最高的安全水平，在这里就不再阐述UAC的重要性问题，但是UAC绝对是管理员保障企业安全的不二选择。 ??? 要配置这个设置，你需要进入组策略对象的编辑模式，然后你需要打开以下节点：Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|User Account Control：内置管理员账户的管理员批准模式以及用户账号控制。在管理员批准模式