WindowsXP客户端安全设置本页内容本模块内容目标适用范围如何使用本模块安全模板帐户策略设置本地策略设置审核策略设置用户权限分配设置安全选项设置事件日志安全设置受限制的组系统服务保护文件系统摘要本模块内容本模块详细讨论了在Microsoft®WindowsServer™2003域中通过“组策略”配置的主要安全设置。实现所建议的设置将确保组织中运行MicrosoftWindows®XPProfessional的台式计算机和便携式计算机的安全。本模块并不为WindowsXP中所有可用的设置提供全面指导。返回页首目标本模块用于•确定并配置适当的“审核策略”设置,以记录环境中的系统活动•确定并配置适当的“用户权限分配”设置,以保护用户环境•使用“安全选项”设置来控制用户登录环境•使用“安全选项”设置来配置设备的默认行为和辅助功能•使用“安全选项”设置来重命名敏感的帐户•使用“安全选项”设置来保护客户端和服务器之间的通信•使用“安全选项”设置来控制网络访问级别•使用“安全选项”设置来配置“恢复控制台”的行为•使用“安全选项”设置来控制“关闭系统”行为•为“事件日志”的大小、保持和辅助功能确定并配置适当的设置•使用“受限制的组”设置来控制敏感组的成员身份•为“系统服务”行为确定并配置适当的设置•使用适当的设置来保护文件系统返回页首适用范围本模块适用于下列产品和技术•WindowsServer2003域中的WindowsXPProfessional客户端返回页首如何使用本模块本模块提供详细划分的各种组策略设置,这些设置是保护WindowsServer2003域中的WindowsXPProfessional企业客户端或高安全级客户端所必需的。要从本模块获取更多内容,请执行下列操作:•阅读本指南中的模块1“WindowsXP安全指南简介”。该模块定义了在此模块中引用的企业客户端环境和高安全级环境。•阅读本指南中的模块2“配置ActiveDirectory域基础结构”,其中描述了如何在WindowsServer2003域中应用组策略。•阅读以下配套指南中的模块6“事件日志”:《ThreatsandCountermeasuresSecuritySettingsinWindowsServer2003andWindowsXP》(威胁和对策:WindowsServer2003和WindowsXP中的安全设置)。其中提供有关日志文件设置的详细信息。•阅读本指南中的模块6“WindowsXP客户端的软件限制策略”,它将使您了解如何使用软件限制策略。•使用检查表。本指南“检查表”部分中的检查表“WindowsXP安全设置检查表”提供可打印的作业指导,以供快速参考。使用基于任务的检查表可以快速评估需要哪些步骤并帮助您逐步完成各个步骤。•使用本指南中提供的“WindowsXP安全指南设置”电子表格。它将帮助您记录在您的环境中配置的设置。•使用本指南中提供的安全模板。这些模板将使您能够在一次操作中应用本模块中讨论的所有设置。对于台式计算机和便携式计算机,均提供了针对WindowsXPProfessional企业客户端和高安全级客户端的安全模板。返回页首安全模板正如模块1“WindowsXP安全指南简介”中所述,本模块中提供的指导特定于在本指南中定义的企业客户端环境和高安全级环境。在某些情况下,本指南建议在便携式计算机上使用与台式计算机不同的设置,这是由于便携式计算机是移动的,并且不总是通过企业网络连接到环境中的域控制器。本指南还假设便携式计算机用户在非正常工作时间工作,而此时没有现场技术支持。因此,对于便携式客户端来说,需要连接到域控制器或者控制登录时间的设置会有所不同。请记住,本模块中的指导所提出的建议只是为了让您便于根据自己的业务需求对其进行调整。下表定义本指南中提供的基础结构(.inf)文件。这些文件包含在本指南中定义的两种环境的所有基准安全设置建议。表3.1:基准安全模板说明企业客户端高安全级台式计算机的基准安全模板EnterpriseClient-desktop.infHighSecurity-desktop.inf便携式计算机的基准安全模板EnterpriseClient-laptop.infHighSecurity-laptop.inf有关本模块中所讨论的设置的更多详细信息,请参见配套指南《ThreatsandCountermeasuresSecuritySettingsinWindowsServer2003andWindowsXP》。返回页首帐户策略设置本模块中未涵盖“帐户策略”设置,这些设置将在本指南的模块2“配置ActiveDirectory域基础结构”中讨论。返回页首本地策略设置“本地策略设置”可在运行WindowsXPProfessional的任何计算机上进行本地配置,这可通过使用“本地安全策略控制台”或通过基于MicrosoftActiveDirectory®域的组策略对象(GPO)来配置。“本地策略”设置包括“审核策略”、“用户权限分配”和“安全选项”。返回页首审核策略设置“审核策略”用于确定要向管理员报告的安全事件,以便记录具有指定事件类别的用户或系统活动。管理员可以监视与安全有关的活动,如谁访问某个对象、用户何时登录或注销某台计算机、是否对审核策略设置进行过更改。基于所有这些原因,Microsoft建议您为管理员创建一个可在您的环境中实现的审核策略。在实现审核策略之前,必须确定在您的企业环境中需要审核哪些类别的事件。企业审核策略由您在事件类别中选择的审核设置来定义。通过为特定的事件类别定义审核策略设置,管理员可以根据组织的安全需求创建审核策略。如果未配置任何审核设置,将很难或者不可能确定在遇到安全事件时所发生的情况。不过,如果因为配置了审核而导致有太多的授权活动生成事件的话,安全事件日志中则将充满无用的数据。下面的建议旨在帮助您在确定要监视的内容以及确定如何为组织收集相关审核数据时找到平衡点。可以使用“组策略对象编辑器”在以下位置配置WindowsXP的审核策略设置:计算机配置\Windows设置\安全设置\本地策略\审核策略表3.2:用于保护WindowsXP计算机的审核策略设置UI中的设置名称企业客户端台式计算机企业客户端便携式计算机高安全级台式计算机高安全级便携式计算机审核帐户登录事件成功、失败成功、失败成功、失败成功、失败审核帐户管理成功、失败成功、失败成功、失败成功、失败审核目录服务访问无审核无审核无审核无审核审核登录事件成功、失败成功、失败成功、失败成功、失败审核对象访问成功、失败成功、失败成功、失败成功、失败审核策略更改成功成功成功成功审核特权使用无审核无审核失败失败审核过程跟踪无审核无审核无审核无审核UI中的设置名称企业客户端台式计算机企业客户端便携式计算机高安全级台式计算机高安全级便携式计算机审核系统事件成功成功成功、失败成功、失败审核帐户登录事件表3.3:设置企业客户端台式计算机企业客户端便携式计算机高安全级台式计算机高安全级便携式计算机成功、失败成功、失败成功、失败成功、失败“审核帐户登录事件”设置用于跟踪使用域登录凭据从本地控制台、网络或服务帐户进行的登录尝试。要准确地确定用户何时成功或不成功地登录系统,必须启用此审核设置。启用此审核策略设置后,管理员可以跟踪在您的环境中,组织中的网络上有哪些系统正由运行WindowsXP的计算机访问。因此,在本指南中定义的两种环境中,“审核帐户登录事件”设置被配置为“成功”和“失败”。审核帐户管理表3.4:设置企业客户端台式计算机企业客户端便携式计算机高安全级台式计算机高安全级便携式计算机成功、失败成功、失败成功、失败成功、失败“审核帐户管理”设置用于跟踪以下企图:新建用户或组、重命名用户或组、启用或禁用用户帐户、更改帐户密码、启用对帐户管理事件的审核。启用此审核策略设置后,管理员可跟踪事件,以检测恶意创建、意外创建和授权创建用户帐户和组帐户的情况。因此,在本指南中定义的两种环境中,“审核帐户管理”设置被配置为“成功”和“失败”。审核目录服务访问表3.5:设置企业客户端台式计算机企业客户端便携式计算机高安全级台式计算机高安全级便携式计算机无审核无审核无审核无审核启用“审核目录服务访问”设置只是为了针对域控制器执行审核。因此,未在工作站级别定义此设置。此设置不适用于运行WindowsXPProfessional的计算机。因此,在本指南中定义的两种环境中,确保“审核目录服务访问”设置被配置为“无审核”。审核登录事件表3.6:设置企业客户端台式计算机企业客户端便携式计算机高安全级台式计算机高安全级便携式计算机企业客户端台式计算机企业客户端便携式计算机高安全级台式计算机高安全级便携式计算机成功、失败成功、失败成功、失败成功、失败“审核登录事件”设置用于跟踪使用本地计算机登录凭据从本地控制台和网络以及批帐户或服务帐户进行的成功和失败的登录尝试。启用此审核策略设置后,管理员可以跟踪这些事件并获得如下记录:谁成功和谁未能成功登录到组织中运行WindowsXP的计算机。因此,在本指南中定义的两种环境中,“审核登录事件”设置被配置为“成功”和“失败”。审核对象访问表3.7:设置企业客户端台式计算机企业客户端便携式计算机高安全级台式计算机高安全级便携式计算机成功、失败成功、失败成功、失败成功、失败在WindowsXP中,可以跟踪用户对特定文件和文件夹的访问。“审核对象访问”设置允许您跟踪那些通过某些对象来对敏感数据的访问,这些对象可以是特定于文件、文件夹、打印机、注册表项的对象,还可以是其他可设置为要审核的对象。要跟踪用户对这些对象的访问,必须首先访问每个文件或文件夹,然后启用该对象的安全属性,以审核用户访问。而后必须启用“审核对象访问”设置,以返回成功和失败记录。启用此审核策略设置可按照为特定对象定义的审核规则来记录事件。在此审核策略中选中“失败”选项,可确保能够监视入侵者对敏感数据的访问企图。随后,在安全事件日志中,将针对满足此审核功能的审核要求的指定文件和文件夹生成有关访问事件的记录。因此,在本指南中定义的两种环境中,“审核对象访问”设置被配置为“成功”和“失败”。下列过程详述如何对文件或文件夹手动设置审核规则,然后针对指定文件或文件夹中的每个对象测试每个审核规则。此过程可通过脚本自动执行。•为文件或文件夹定义审核规则1.使用Windows资源管理器定位该文件或文件夹,然后选择它。2.单击“文件”菜单并选择“属性”。3.单击“安全”选项卡,然后单击“高级”按钮。4.单击“审核”选项卡。5.单击“添加”按钮,随后将出现“选择用户、计算机或组”对话框。6.单击“对象类型”按钮,然后在“对象类型”对话框中,选择要查找的对象类型。注意:“用户、组和内置安全主体”对象类型会默认选中。7.单击“位置”按钮,然后在“位置”对话框中,选择域中的计算机或本地计算机。8.在“选择用户或组”对话框中,键入要审核的组或用户的名称。然后,在“输入要选择的对象名称”对话框中,键入AuthenticatedUsers,以审核所有经过验证的用户的访问,然后单击“确定”。将打开“审核项目”对话框。9.使用“审核项目”对话框,确定要针对文件或文件夹进行审核的访问类型。注意:请记住,每次访问都会在事件日志中生成多个事件,这会导致日志迅速变大。10.在“审核项目”对话框中,选中“列出文件夹/读取数据”旁边的“成功”和“失败”,然后单击“确定”。11.已启用的审核项目将出现在“高级安全设置”对话框的“审核”选项卡下面。12.单击“确定”关闭“属性”对话框。使用下列过程测试已配置的每个审核规则。•测试文件或文件夹的审核规则1.打开该文件或文件夹。2.关闭该文件或文件夹。3.启动“事件查看器”。将在“安全事件日志”中出现几个事件ID为560的对象访问事件。4.根据需要双击这些