组策略设置系列篇之“用户权限”[一]_『清涼世界』'Blog_百度空间
1.用户权限允许用户在计算机上或域中执行任务。用户权限包括“登录权限”和“特权”。登录权限控制为谁授予登录计算机的权限以及他们的登录方式。特权控制计算机和域资源的访问,并且可以覆盖特定对象上设置的权限。

2.登录权限的一个示例是在本地登录计算机的能力。特权的一个示例是关闭计算机的能力。这两种用户权限都由管理员作为计算机安全设置的一部分分配给单个用户或组。


用户权限分配设置


用户权限分配设置


您可以在组策略对象编辑器的以下位置配置用户权限分配设置:


计算机配置\Windows 设置\安全设置\本地策略\用户权限分配

从网络访问此计算机

此策略设置确定用户是否可以从网络连接到计算机。许多网络协议均需要此功能,包括基于服务器消息块 (SMB) 的协议、NetBIOS、通用 Internet 文件系统 (CIFS) 和组件对象模型 (COM+)。


1.“从网络访问此计算机”设置的可能值为:?        

用户定义的帐户列表
?       
没有定义

漏洞:用户只要可以从其计算机连接到网络,即可访问目标计算机上他们具有权限的资源。例如,用户需要“从网络访问此计算机”用户权限以连接到共享打印机和文件夹。如果将此用户权限分配给 Everyone 组,并且某些共享文件夹配置了共享和 NTFS 文件系统 (NTFS) 权限,以便相同组具有读取访问权限,那么组中的任何用户均能够查看那些共享文件夹中的文件。但是,此情况与带有 Service Pack 1 (SP1) 的 Microsoft Windows Server? 2003 的全新安装不同,因为 Windows Server 2003 中的默认共享和 NTFS 权限不包括 Everyone 组。对于从 Windows NT? 4.0 或 Windows 2000 升级的计算机,此漏洞可能具有较高级别的风险,因为这些操作系统的默认权限不如 Windows Server 2003 中的默认权限那样严格。



对策:将“从网络访问此计算机”用户权限仅授予需要访问服务器的那些用户。例如,如果将此策略设置配置为 Administrators 和 Users 组,倘若本地 Users 组中包括 Domain Users 组中的成员,登录到域的用户将能够从域中的服务器访问共享资源。

潜在影响:如果在域控制器上删除所有用户“从网络访问此计算机”的用户权限,则任何人都不能登录到域或使用网络资源。如果在成员服务器上删除此用户权限,用户将无法通过网络连接到这些服务器。如果已安装可选组件,如 ASP.NET 或 Internet 信息服务 (IIS),可能需要将此用户权限分配给那些组件所需的其他帐户。验证是否为其计算机需要访问网络的授权用户分配了此用户权限,这一点很重要。
以操作系统方式操作

此策略设置确定进程是否可采用任何用户的标识,从而获得用户被授权访问的资源的访问权限。通常,只有低级别的身份验证服务需要此用户权限。请注意,在默认情况下,潜在访问不局限于与该用户相关的范围。调用进程可能请求将任意其他特权添加到访问令牌中。调用进程还可能生成不提供用于在系统事件日志中审核的主标识的访问令牌。


2.“以操作系统方式操作”设置的可能值为:?        

用户定义的帐户列表
?       
没有定义

漏洞:“以操作系统方式操作”用户权限的功能非常强大。任何具有此用户权限的人员都可以xx控制计算机并xx其活动的证据。



对策:将“以操作系统方式操作”用户权限授予尽可能少的帐户,在一些典型情况下甚至不应将其分配给 Administrators 组。当某个服务需要此用户权限时,请将此服务配置为使用本地系统帐户登录,该帐户本身具有此特权。不要单独创建一个帐户,然后将此用户权限分配给它。

潜在影响:应该没有或几乎没有影响,因为除本地系统帐户外其他帐户很少需要“以操作系统方式操作”用户权限。
域中添加工作站

此策略设置确定用户是否可将计算机添加到特定域。为使其生效,必须分配此策略设置使其应用于至少一个域控制器。分配了此用户权限的用户可以将多达十个工作站添加到域。如果用户具有 Active Directory? 目录服务中的组织单位 (OU) 或计算机容器的“创建计算机对象”权限,还可以将计算机加入域。分配了此权限的用户可将任意数量的计算机添加到域,不管他们是否具有“域中添加工作站”用户权限。



3.“域中添加工作站”设置的可能值为:

?      
用户定义的帐户列表
?       
没有定义

漏洞:“域中添加工作站”用户权限存在一个中等安全漏洞。具有此权限的用户可向其配置方式违反组织安全策略的域中添加计算机。例如,如果您的组织不希望用户在其计算机上具有管理特权,用户可在其计算机上安装 Windows,然后将该计算机添加到域中。他们将获得本地管理员帐户的密码,并且可以使用该帐户进行登录,然后将自己的域帐户添加到本地的 Administrators 组中。



对策:配置“域中添加工作站”设置,以便只允许信息技术 (IT) 小组中的授权成员向域中添加计算机。

潜在影响:如果组织从来不允许用户设置自己的计算机并将其添加到域中,此对策将没有任何影响。如果组织允许部分或全部用户配置自己的计算机,此对策将强制该组织建立一个正式的进程以使这些过程实现。它不会影响现有计算机,除非计算机从域中删除并重新添加到域中。
调整进程的内存配额

此策略设置确定用户是否可调整进程可用的{zd0}内存量。尽管此功能在需要调整计算机时很有用,但应考虑潜在的滥用情况。此用户权限如果被别人利用,可能会导致拒绝服务 (DoS) 攻击。



4“调整进程的内存配额”设置的可能值为:

?        
用户定义的帐户列表
?       
没有定义

漏洞:具有“调整进程的内存配额”特权的用户可减少任何进程的可用内存量,这可能导致业务关键性网络应用程序速度变慢或无法工作。



对策:将“调整进程的内存配额”用户权限仅授予需要将其用于完成工作的用户,例如维护数据库管理系统的应用程序管理员,或管理组织的目录及其支持基础结构的域管理员。

潜在影响:不将用户角色限制在有限特权范围内的组织将发现很难实行此对策。此外,如果已安装可选组件,如 ASP.NET 或 IIS,可能需要将“调整进程的内存配额”用户权限分配给那些组件所需的其他帐户。IIS 要求将此特权明确分配给 IWAM_<计算机名称>、网络服务和服务帐户。否则,此对策将对大多数计算机没有任何影响。如果用户帐户必需此用户权限,可将该用户权限分配至本地计算机帐户而不是域帐户。
允许在本地登录

此策略设置确定用户是否可在计算机上启动交互式会话。如果不具有此权限的用户具有“通过终端服务允许登录”权限,则其仍然可以在计算机上启动一个远程交互式会话。



5.“允许在本地登录”设置的可能值为:

?        
用户定义的帐户列表
?       
没有定义

漏洞:任何具有“允许在本地登录”用户权限的帐户都能够登录到计算机的控制台。如果没有将此用户权限仅授予需要能够登录到计算机的控制台的合法用户,未经授权的用户可以下载并执行恶意代码来提升其特权。


对策:对于域控制器,仅将“允许在本地登录”用户权限分配给 Administrators 组。对于其他服务器角色,可以选择添加 Backup Operators 和 Power Users。对于最终用户计算机,还应将此权限分配给 Users 组。



或者,可将诸如 Account Operators、Server Operators 和 Guests 之类的组分配给“拒绝本地登录”用户权限。

潜在影响:如果删除这些默认组,可以限制在环境中分配了特定管理角色的用户的能力。如果已安装可选组件(例如 ASP.NET 或 Internet 信息服务),可能需要将“允许在本地登录”用户权限分配给那些组件所需的其他帐户。IIS 要求将此用户权限分配给 IUSR_<计算机名称> 帐户。应确认不会对委派的活动产生负面影响。
通过终端服务允许登录


此策略设置确定用户是否可以通过远程桌面连接登录到计算机。不应将此用户权限分配给其他用户或组。相反,{zj0}做法是在 Remote Desktop Users 组中添加或删除用户,来控制谁可以打开到计算机的远程桌面连接。


6.“通过终端服务允许登录”设置的可能值为:

?        
用户定义的帐户列表
?       
没有定义

漏洞:具有“通过终端服务允许登录”用户权限的任何帐户都可以登录到计算机的远程控制台。如果没有将此用户权限授予需要登录到计算机的控制台的合法用户,未经授权的用户能够下载并执行恶意代码来提升其特权。


对策:对于域控制器,仅将“通过终端服务允许登录”用户权限分配给 Administrators 组。对于其他服务器角色和最终用户计算机,还应将此权限授予 Remote Desktop Users 组。对于不是在应用程序服务器模式下运行的终端服务器,确保只有需要远程管理计算机的经授权 IT 人员才属于这两组之一。


警告:对于以应用程序服务器模式运行的终端服务器,请确保只有需要访问服务器的用户才具有属于 Remote Desktop Users 组的帐户,因为此内置组在默认情况下具有此登录权限。

或者,可以将“通过终端服务拒绝登录”用户权限分配诸如 Account Operators、Server Operators 和 Guests 之类的组。但是,在使用此方法时要小心,因为这可能会阻止访问碰巧也属于具有“通过终端服务拒绝登录”用户权限的组的合法管理员。
潜在影响:从其他组中删除“通过终端服务允许登录”用户权限或更改这些默认组中的成员身份可能会限制在环境中执行特定管理角色的用户的能力。应确认不会对委派的活动产生负面影响。
备份文件和目录

此策略设置确定用户是否可越过文件和目录权限来备份计算机。仅当应用程序尝试通过如 NTBACKUP.EXE 的备份实用程序来通过 NTFS 备份应用程序编程接口 (API) 进行访问时,此用户权限才有效。否则,应用标准文件和目录权限。



7.“备份文件和目录”设置的可能值为:

?        
用户定义的帐户列表
?       
没有定义

漏洞:能够从计算机备份数据的用户可以将备份媒体拿到另一台非域计算机上(在这台计算机上用户具有管理员特权),然后恢复数据。他们可以取得文件的所有权,查看备份集内包含的任何未加密数据。

对策:将“备份文件和目录”用户权限仅授予那些需要将备份组织的数据作为其日常职责一部分的 IT 小组成员。如果您正在使用在特定服务帐户下运行的备份软件,只有这些帐户(而不是 IT 人员)应该具有“备份文件和目录”用户权限。

潜在影响:对具有“备份文件和目录”用户权限的组中成员身份的更改会限制环境内分配了特定管理角色的用户的能力。应确认授权的备份管理员仍然能够执行备份操作。


8.“跳过遍历检查

此策略设置确定用户在 NTFS 文件系统或注册表中导航对象路径时,是否可跳过文件夹,而不检查特殊访问权限“遍历文件夹”。此用户权限不允许用户列出文件夹的内容;只允许用户遍历文件夹。


跳过遍历检查”设置的可能值为:

?        
用户定义的帐户列表
?       
没有定义

漏洞:“跳过遍历检查”设置的默认配置允许任何人跳过遍历检查,经验丰富的 Windows 系统管理员可以相应配置文件系统访问控制列表 (ACL)。默认配置可能导致灾祸的{wy}情形是,配置权限的管理员不理解此策略设置如何起作用。例如,他们可能认为无法访问某个文件夹的用户也无法访问任何子文件夹的内容。该情况不太可能发生,因此此漏洞的风险很低。

对策:非常关心安全的组织可能希望从具有“跳过遍历检查”用户权限的组列表中删除 Everyone 组,甚至可能希望删除 Users 组。对遍历分配采取显式控制是控制敏感信息访问非常有效的一种方式。(此外,也可以使用 Windows Server 2003 SP1 中增加的基于访问的枚举功能。如果使用基于访问的枚举,用户无法看到他们无权访问的任何文件夹或文件。
潜在影响:Windows 操作系统以及许多应用程序被设计为要求可合法访问计算机的任何人具有此用户权限。因此,Microsoft 建议您彻底测试对“跳过遍历检查”用户权限分配的任何更改,然后再对生产系统进行这些更改。特别是 IIS 要求将此用户权限分配给网络服务、本地服务、IIS_WPG、IUSR_<计算机名称>和 IWAM_<计算机名称>帐户。(还必须通过它在 Users 组中的成员身份将其分配给 ASPNET 帐户。)本指南建议将此策略设置保留为其默认配置。

9.更改系统时间


此策略设置确定用户是否可以调整计算机内部时钟的时间。更改系统时间的时区或其他显示特征不需要使用此策略。


“更改系统时间”设置的可能值为:?       

用户定义的帐户列表
?       
没有定义

漏洞:用户若可更改计算机的时间可能会导致几个问题。例如,事件日志条目的时间戳可能会变得不准确,创建或修改文件和文件夹的时间戳可能不正确,属于某个域的计算机可能无法验证自己或试图从其登录到域的用户的身份。此外,因为 Kerberos 身份验证协议要求请求程序和身份验证程序在管理员定义的偏差时间内同步其时钟,攻击者若更改计算机的时间可能导致计算机无法获取或授予 Kerberos 票证。

在大多数域控制器、成员服务器和最终用户计算机上,可以减少这类事件的风险,因为 Windows Time 服务会自动以下列几种方式与域控制器保持时间同步:?        
所有客户端桌面计算机和成员服务器都使用身份验证域控制器作为入站时间伙伴。
?       
域中的所有域控制器都指定主域控制器 (PDC) 模拟器操作主机作为其入站时间伙伴。
?       
所有 PDC 模拟器操作主机在选择其入站时间伙伴时,都遵循域的层次结构。
?       
位于域根部的 PDC 模拟器操作主机是组织的xx。因此建议通过配置此计算机来与可靠的外部时间服务器保持同步。
如果攻击者能够更改系统时间,然后停止 Windows Time 服务或重新配置该服务,以便与不准确的时间服务器同步,则此漏洞将变得严重得多。
对策:将“更改系统时间”用户权限仅授予对更改系统时间具有合法要求的用户,如 IT 小组成员。

潜在影响:应该没有任何影响,因为对于大多数组织来说,属于域的所有计算机的时间同步应该是xx自动的。应该将不属于该域的计算机配置为与外部源同步。

10创建页面文件

此策略设置确定用户是否可以创建和更改页面文件的大小。具体来说,它确定他们是否可以在位于“系统属性”对话框“高级”选项卡上的“性能选项”框中指定特定驱动器的页面文件大小。


“创建页面文件”设置的可能值为:

?        
用户定义的帐户列表
?       
没有定义

漏洞:可以更改页面文件大小的用户可能使该文件变得极小,或者将其移到具有大量文件碎片的存储卷中,这会导致计算机性能降低。

对策:将“创建页面文件”用户权限仅授予 Administrators 组的成员。
潜在影响:无。这是默认配置。

11.创建标记对象


此策略设置确定进程是否可创建令牌,然后可以在进程使用 NtCreateToken() 或其他令牌创建 API 时,通过该令牌获取对任何本地资源的访问权限。


“创建标记对象”设置的可能值为:?       

用户定义的帐户列表
?       
没有定义

漏洞:操作系统检查用户的访问令牌以确定用户的特权级别。在用户登录到本地计算机或通过网络连接到远程计算机时,将生成访问令牌。吊销某种特权后,更改将立即记录,但直到用户下次登录或连接时,更改才会反映在用户的访问令牌中。能够创建或修改令牌的用户可以更改当前登录的任何帐户的访问级别。他们可以提升自己的特权或创建 DoS 条件。

对策:不要将“创建标记对象”用户权限分配给任何用户。需要此用户权限的进程应该使用系统帐户(该帐户已经包含此用户权限),而不要使用分配了此用户权限的单独的用户帐户。

潜在影响:无。这是默认配置。


12创建全局对象


此策略设置确定用户是否可以创建所有会话都可使用的全局对象。如果不具有此用户权限,用户仍可以创建特定于他们自己的会话的对象。


“创建全局对象”设置的可能值为:?       

用户定义的帐户列表
?       
没有定义

漏洞:可以创建全局对象的用户会影响在其他用户的会话中运行的进程。此功能可能会导致各种问题,如应用程序无法工作或数据损坏。

对策:将“创建全局对象”用户权限仅授予本地 Administrators 和 Service 组的成员。

潜在影响:无。这是默认配置。


13创建{yj}共享对象


此策略设置确定用户是否可以在对象管理器中创建目录对象。拥有此功能的用户可以创建{yj}共享对象,包括设备、信号灯和多用户终端执行程序。此用户权限对于扩展对象命名空间的内核模式组件非常有用,他们本身就具有此用户权限。因此,通常不需要专门为任何用户分配此用户权限。


“创建{yj}共享对象”设置的可能值为:?       

用户定义的帐户列表
?       
没有定义

漏洞:具有“创建{yj}共享对象”用户权限的用户可以创建新共享对象并将敏感数据暴露于网络上。

对策:不要将“创建{yj}共享对象”用户权限分配给任何用户。需要此用户权限的进程应该使用系统帐户(该帐户已经包含此用户权限),而不要使用单独的用户帐户。

潜在影响:无。这是默认配置。


14.调试程序


此策略设置确定用户是否可以打开或附加到任何进程,即使不是他们所拥有的进程。此用户权限提供对敏感和关键操作系统组件的访问权限。

“调试程序”设置的可能值为:?       
用户定义的帐户列表
?       
没有定义

漏洞:“调试程序”用户权限可被用于从系统内存中捕获敏感的计算机信息,或访问和修改内核或应用程序结构。一些攻击工具利用此用户权限来提取经过哈希的密码和其他秘密的安全信息,或影响木马程序套件代码插入。默认情况下,“调试程序”用户权限仅分配给管理员,它有助于减轻此漏洞的风险。

对策:吊销所有不需要“调试程序”用户权限的用户和组的这一权限。
潜在影响:如果吊销此用户权限,任何人都不能调试程序。但是,典型情况下生产计算机上很少需要此功能。如果出现问题,生产服务器上有某个应用程序临时需要调试,可将该服务器移到另一个 OU,并将“调试程序”用户权限分配给该 OU 的单独组策略。
用于群集服务的服务帐户需要有“调试程序”特权;如果没有,Windows 群集将会失败。
用于管理进程的实用程序将无法影响不归运行该实用程序的人员所有的进程。例如,Windows Server 2003 Resource Kit 工具 Kill.exe 要求管理员具有此用户权限以终止他们未启动的进程。

此外,某些旧版本的 Update.exe(用于安装 Windows 产品更新)还需要应用更新的帐户具有此用户权限。如果安装使用此版本 Update.exe 的修补程序之一,计算机可能会变得没有响应。


下接:


郑重声明:资讯 【组策略设置系列篇之“用户权限”[一]_『清涼世界』'Blog_百度空间】由 发布,版权归原作者及其所在单位,其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实,请读者仅作参考,并请自行核实相关内容。若本文有侵犯到您的版权, 请你提供相关证明及申请并与我们联系(qiyeku # qq.com)或【在线投诉】,我们审核后将会尽快处理。
—— 相关资讯 ——