Windows2003域控基本策略

Windows2003域控基本策略
对于运行Microsoft Active Directory目录服务的Microsoft Windows Server 2003计算机，域控制器服务器是在任何环境下都应当确保其安全性的重要角色。

对于依赖域控制器完成身份验证、组策略、以及一个中央LDAP（轻量级目录访问协议）目录的客户机、服务器以及应用软件而言，IT环境中域控制器的任何损失或信息泄密都可能是灾难性的。

由于其重要性，域控制器应当总是被安置在物理上安全的地点，仅允许有资格的管理人员访问。

当域控制器必须安置在不太安全的地方时，例如分支办公室，应当调整相关的安全性设置以限制来自物理访问威胁的潜在损害。

域控制器基线策略
与本指南后面将要介绍的其他服务器角色策略不同，域控制器服务器的组策略是一种基线策略，与第三章“创建成员服务器基线”所定义的成员服务器基线策略（MSBP）属于同一类。

域控制器基线策略（DCBP）与域控制器组织单位（OU）密切相连，并且优先于缺省的域控制器策略。

包括在DCBP中的设置将增强任何环境下域控制器的总体安全性。

大多数DCBP是MSBP的直接拷贝。

由于DCBP建立在MSBP基础之上，读者应当仔细复习第三章“创建成员服务器基线”，以便充分理解同样包括在DCBP中的许多设置。

本章仅仅讨论那些没有包括在MSBP中的DCBP设置。

域控制器模板专门设计用来满足本指南所定义三种环境的安全需要。

下表显示了包括在本指南中的域控制器.inf 文件以及这些环境相互之间的关系。

例如，文件Enterprise Client –Domain Controller.inf是企业客户机环境下的安全性模板。

表 4.1: 域控制器基线安全性模板
注意：将一个配置不正确的组策略对象链接到Domain Controllers OU（域控制器组织单位）可能会严重阻碍域的正常操作。

在导入这些安全性模板时应当十分小心，在将GPO到链接到Domain Controllers OU之前，应该确认导入的所有设置都是正确的。

审核策略设置
域控制器的审核策略设置与在MSBP中所指定的一样。

要了解更多信息，请参看第3
章“创建成员服务器基线”。

DCBP中的基线策略确保了所有相关的安全性审核信息都记录在域控制器中。

用户权限分配
DCBP为域控制器指定了许多用户权限的分配方法。

除了缺省设置之外，在本指南定义的三种环境下，您可以修改其它7 种用户权限以强化域控制器的安全性。

该部分详细介绍了DCBP 规定的用户权限设置，这些设置不同于MSBP中的相应设置。

关于该部分规定设置的总结信息，请参看包括在本指南中的“Windows Server 2003安全指南设置” Excel 工作簿。

从网络访问您的计算机
表4.2: 设置
“从网络访问该计算机”用户权限确定哪些用户和组能够通过网络连接到该计算机。

许多网络协议都要求该用户权限，包括基于服务器信息块（SMB）的协议、网络基本输入/输出系统（NetBIOS）、通用互联网文件系统（CIFS）、超级文本传输协议（HTTP）以及COM+等。

在Windows Server 2003中，尽管您可以为“Everyone”（所有人）安全组授予权限，并不再接受匿名用户的访问，但是“Guest”组和账户仍然可以通过“Everyone”安全组访问。

因此，本指南推荐在高安全性环境下，从“从网络访问该计算机”中删除“Everyone”安全组，以便进一步防范利用Guest 帐户对域发起的攻击。

向域中添加工作站
表4.3: 设置
“向域中添加工作站”权限允许用户向指定的域中添加一台计算机。

如果希望该权限生效，它必须作为域的缺省域控制器策略的一部分分配给用户。

被授予了该权限的用户可以向域中添加10个工作站。

被授予了为OU或Active Directory 的计算机容器“创建计算机对象”权限的用户，也可以向域中加入计算机。

被授予了该权限的用户可以无限制地向域中添加计算机，无论他们是否被分配了“向域中添加工作站”用户权限。

缺省情况下，“Authenticated Users”（经过身份验证的用户）用户组具有向Active Directory 域中添加10个计算机账户的能力。

这些新计算机账户在计算机容器中创建。

在一个Active Directory 域中，每个计算机账户都是一个完整的安全性主体，拥有认证和访问域资源的能力。

有些组织希望限制一个Active Directory 环境中的计算机数量，以便可以持续地跟踪、构建和管理它们。

允许用户向域中添加工作站则会妨碍这项工作。

而且，这样做还会为用户执行更加难以跟踪的行为提供了方便，因为他们可能创建了其他未经授权的域计算机。

因此，在本指南定义的三种环境下，“向域中添加工作站”用户权限仅仅授予Administrators 组。

允许从本地登录
表4.4: 设置
“允许本地登录”用户权限允许用户在计算机上开启一个交互式的会话。

如果用户不具备该权限，但拥有“允许通过终端服务登录”权限，他仍然能够在计算机上开启一个远程的交互式会话。

通过对可以登录到域控制器控制台的账户加以限制，有助于防止对域控制器文件系统和系统服务进行未授权的访问。

能够登录到域控制器控制台的用户可能恶意地利用该系统，并且可能破坏整个域和森林的安全性。

缺省情况下，Account Operators、Backup Operators、Print Operators和Server Operators 组被授予了从本地登录域控制器的权限。

但是这些组中的用户不必登录到一台域控制器上完成其管理任务。

这些组中的用户通常可以从其它工作站完成其职责。

只有“Administrators”组中的用户才必须在域控制器上登录以完成其维护任务。

将该权限仅授予给“Administrators”组，可以将对域控制器的物理和交互式访问限制在受高度信任的用户，从而增强了安全性。

因此，在本指南定义的三种环境下，将“允许从本地登录”用户权限仅授予给“Administrators”组。

允许通过终端服务登录
表4.5: 设置
“通过终端服务登录”权限允许用户使用远程桌面连接登录到计算机上。

对通过终端服务登录到域控制器控制台的账户加以限制，有助于防止对域控制器文件系统和系统服务的未经授权访问。

能够通过终端服务登录到域控制器控制台的用户可以对该系统进行利用，并且可能破坏整个域或森林的安全性。

通过将该权限仅授予给Administrators 组，可以将对域控制器的交互访问权限制在高度信任的用户中，从而增强了系统的安全性。

因此，在本指南所定义的三种环境下，“允许通过终端服务访问”仅授予给Administrators 组。

尽管在缺省情况下，通过终端服务登录到一台域控制器要求用户具有管理员访问权限，但配置该用户权限有助于防止那些可能破坏该限制的无意或有意行为。

作为一种高级的安全性措施，DCBP 禁止使用缺省的Administrator 账户通过终端服务登录到域控制器。

该设置还可阻止恶意用户企图使用缺省的Administrator 账户远程强行登
录到一台域控制器。

要了解该设置的详细信息，请参看第3章“创建成员服务器基线”。

改变系统时间
表4.6: 设置
“改变系统时间”权限允许用户调整计算机内部时钟的时间。

该权限对于改变时区或系统时间的其他显示特征不是必需的。

系统时间保持同步对于Active Directory 的运行至关重要。

正确的Active Directory 复制和KerberosV5身份验证协议使用的身份验证票据生成过程要依赖于整个环境中的时间同步。

如果在环境中，一台域控制器配置的系统时间与另一台域控制器配置的系统时间不同步，则可能妨碍域服务的操作。

仅允许管理员改变系统时间可以将域控制器被配置为错误系统时间的可能性降至最小。

缺省情况下，Server Operators组被授予了改变域控制器系统时间的权限。

由于这个组的成员可能会不正确地更改域控制器系统时间，该用户权限在DCBP中进行了配置，以便在本指南定义的三种环境下，只有Administrators 组有权改变系统时间。

要了解关于Microsoft Windows 时间服务（Microsoft Windows Time Service）的更多信息，请参考知识库文章Q224799，“Windows Time Service 的基本操作”：/default.aspxscid=224799，以及Q216734，“如何在Windows 2000中配置一台权威的时间服务器”：/default.aspxscid=216734.
为委派启用受信任的计算机和用户帐户
表 4.7：设置
“为委派启用受信任的计算机和用户账户”权限允许用户在Active Directory 中的一个用户和计算机对象上改变“允许委派”（Trusted for Delegation）设置。

身份验证委派是由多层客户/服务器应用程序所使用的一种功能。

它允许前端服务在验证一项后端服务时使用客户机的信任凭据。

要使这项操作成立，客户机和服务器都必须运行在允许接收委派的账户下。

对该权限的误用可能会导致未经授权的用户假装网络中的其他用户。

攻击者可以利用该权限假扮其他用户访问网络资源，这使得在安全事件出现之后，确定事件原因的工作变得更加困难。

本指南推荐将“为委派启用受信任的计算机和用户账户”权限分配给域控制器中的Administrators 组。

注意：尽管缺省的域控制器策略将该权限分配给管理员组，但DCBP之所以在高安全性环境下加强了该项权限设置是因为它最初是建立在MSBP基础上的，而MSBP给该权限分配了一个NULL值。

安装和卸载设备驱动程序
表4.8: 设置
“安装和卸载设备驱动程序”权限决定了哪些用户有权安装和卸载设备驱动程序。

该权限对于安装和卸载即插即用设备是必需的。

不恰当地在域控制器上安装和卸载设备驱动程序可能会对其运行带来不利影响。

将有权安装和卸载设备驱动程序的帐户限制在最可信任的用户中，可以降低因为设备驱动程序被误用而破坏域控制器的可能性。

缺省情况下，“Print Operators”组被授予了该权限。

正如早先提到的，我们不推荐在域控制器中创建打印机共享。

这样，打印操作员就无需获得安装和卸载设备驱动程序的权限。

因此，在本指南定义的三种环境下，该权限仅被授予给“Administrators”组。

恢复文件及目录
表4.9: 设置
“恢复文件和目录”用户权限允许用户在恢复备份的文件或文件夹时，避开文件和目录的许可权限，并且作为对象的所有者设置任何有效的安全主体。

如果允许某个用户账户将文件和目录恢复到域控制器的文件系统中，账户所有者将获得轻松修改服务可执行程序的能力。

利用该权限提供的访问权限，恶意用户既可能致使一台域控制器瘫痪，也可能破坏整个域或整个森林的安全性。

缺省情况下，Server Operators 和Backup Operators 组被授予了该权限。

将该用户权限从这些组中清除，并且仅授予给Administrators 组，可以减少由于不正确地改变文件系统而导致域控制器被破坏的可能性。

因此，在本指南所定义的三种环境下，该权限仅授予给Administrators 组。

关闭系统
表 4.10: 设置
“关闭系统”权限允许用户关闭本地计算机。

具有关闭域控制器能力的恶意用户能够轻易地发动拒绝服务（DoS）攻击，这将严重地影响整个域或森林的安全性。

而且，当域控制器系统账户重新启动服务时，该用户权限可被利用来发起权限提升攻击。

如果对域控制器的特权提升攻击成功，那将破坏域或者整个森林的安全性。

缺省情况下，Administrators、Server Operators、Print Operators 和Backup Operators 组被授予了关闭域控制器的权限。

为确保环境的安全，除了Administrators组之外，其他组完成管理工作都无需该权限。

因此，在本指南定义的三种环境下，只有Administrators 组被授予了本权限。

安全选项
域控制器的大多数安全选项设置与在MSBP中指定的相同。

要了解更多信息，请参看第3章“创建成员服务器基线”。

下面的部分介绍MSBP和DCBP之间的不同。

网络安全：在下一次修改密码时不存储LAN Manager散列值
表4.11: 设置
“网络安全：在下一次修改密码时不存储LAN Manager 散列值”安全选项设置决定了当管理员改变密码时，是否存储新密码的LAN Manager （LM））散列值。

与更为牢固的Windows NT 口令散列相比，LM相对较弱而且易受攻击。

因此，在本指南所定义的三种环境下，MSBP 启用了本设置。

在企业客户机和高安全性环境下，DCBP启用域控制器上的此设置，而在旧有客户机环境下则禁用此设置。

如果在旧有客户机环境下该设置被启用，当改变密码之后，Windows 98客户机将无法登录。

注意：当该设置被激活时，旧有操作系统以及某些第三方应用软件将无法使用。

而且，启用此设置将要求所有的账户都必须改变其密码。

事件日志设置
域控制器的事件日志设置与在MSBP中指定的设置相同。

要了解更多信息，请参看第3章，“创建成员服务器基线。

”DCBP中的基线组策略设置确保了所有的相关安全审核信息都被记录在域控制器上，其中包括目录服务访问信息。

系统服务
在所有的Windows Server 2003域控制器上，下面的系统服务必须被启用。

DCBP中的基线策略设置可确保所有的系统服务跨越不同的域控制器实现统一配置。

本部分详细介绍了DCBP规定的系统服务设置，这些设置与MSBP中所规定的不同。

关于这部分规定设置的总结信息，请参考包括在本指南中的“Windows Server 2003安全性指南设置”Excel工作簿。

注意：如果您从Windows Server 2003 支持工具（Windows Server 2003 Support Tools）中运行DCDiag.exe，它将检查所有在您所在环境中的域控制器上运行的服务。

由于某些服务在域控制器基线策略中被禁用，DCDiag.exe将会报告错误——这些服务包括IISADMIN，SMTPSVC，以及TrkSvr。

这些信息并不表明您的配置存在问题。

分布式文件系统
表 4.12:设置
“分布式文件系统（DFS）”服务将完全不同的文件共享分配和集成到一个单一的逻辑名字空间。

该服务管理跨越局域网或广域网（LAN）进行分布的逻辑卷，而且是Active Directory 逻辑卷（SYSVOL）共享所必需的。

SYSVOL复制依赖于DFS的正确运行。

使用组策略，将服务的开始模式设置配置为仅仅允许服务器管理员进行访问，，从而防止服务被未经授权或恶意的用户所配置或操作。

该组策略还可防止管理员无意禁用该服务。

因此，在本指南所定义的三种环境下，该服务在DCBP中配置为自动开始。