文章分类 | 推荐文章 | 最新文章 | 热点文章 | 最新软件 | 精品软件 | 下载排行 | 推荐下载 | 免费看大片 | WPS | 杀毒软件
清风网络
首 页 软件下载 网络学院 数码学院
QQ 电脑入门 游戏 操作系统 图形处理 办公软件 媒体动画 精文荟萃 工具软件 网络编程 程序开发 网络技术 认证考试 网站建设 文章专栏
当前位置:清风网络学院网络技术网络安全Windows 2003安全性指南之强化域控制器(1)
精品推荐
特别推荐
·无线入侵的技术细节
·SQL注入和CSS攻击的检测
·详解:五种Windows常用密码设置
·浅析黑客攻击时的常用方法和攻击步骤
·不怕攻击 家庭上网必学八招安全绝招
·入门者如何获取肉鸡
·Linux安全配置步骤简述
·Wi-Fi网络安全探讨及组网策略
·网页病毒的概念
·保障您网站安全的十点技巧
热点TOP10
·PING命令的小秘密
·不怕攻击 家庭上网必学八招安全绝招
·内网数据库服务器入侵实战
·六个简单方法防止上网被钓鱼
·网络安全指南--中小企业网络安全指南
·大网站是保障网络安全的技巧
·预防网络病毒的几个忠告
·认识“瞬时攻击“的危险性
·网站安全:单引号导致的网站崩溃 L-blog入侵实录
·FoxMail和OICQ泄密

Windows 2003安全性指南之强化域控制器(1)
日期:2007年10月19日 作者: 查看:[大字体 中字体 小字体]

(点击查看原图)

“为委派启用受信任的计算机和用户账户”权限允许用户在 Active Directory 中的一个用户和计算机对象上改变 “允许委派”(Trusted for Delegation)设置。身份验证委派是由多层客户/服务器应用程序所使用的一种功能。它允许前端服务在验证一项后端服务时使用客户机的信任凭据。要使这项操作成立,客户机和服务器都必须运行在允许接收委派的账户下。

对该权限的误用可能会导致未经授权的用户假装网络中的其他用户。攻击者可以利用该权限假扮其他用户访问网络资源,这使得在安全事件出现之后,确定事件原因的工作变得更加困难。

本指南推荐将“为委派启用受信任的计算机和用户账户”权限分配给域控制器中的Administrators 组。

注意:尽管缺省的域控制器策略将该权限分配给管理员组,但DCBP之所以在高安全性环境下加强了该项权限设置是因为它最初是建立在MSBP基础上的,而MSBP给该权限分配了一个NULL值。

安装和卸载设备驱动程序

表4.8: 设置

 Windows 2003安全性指南之强化域控制器(1)(图八)
(点击查看原图)


“安装和卸载设备驱动程序”权限决定了哪些用户有权安装和卸载设备驱动程序。该权限对于安装和卸载即插即用设备是必需的。

不恰当地在域控制器上安装和卸载设备驱动程序可能会对其运行带来不利影响。将有权安装和卸载设备驱动程序的帐户限制在最可信任的用户中,可以降低因为设备驱动程序被误用而破坏域控制器的可能性。

缺省情况下,“Print Operators”组被授予了该权限。正如早先提到的,我们不推荐在域控制器中创建打印机共享。这样,打印操作员就无需获得安装和卸载设备驱动程序的权限。因此,在本指南定义的三种环境下,该权限仅被授予给“Administrators”组。

恢复文件及目录

表4.9: 设置

 Windows 2003安全性指南之强化域控制器(1)(图九)
(点击查看原图)


“恢复文件和目录”用户权限允许用户在恢复备份的文件或文件夹时,避开文件和目录的许可权限,并且作为对象的所有者设置任何有效的安全主体。

如果允许某个用户账户将文件和目录恢复到域控制器的文件系统中,账户所有者将获得轻松修改服务可执行程序的能力。利用该权限提供的访问权限,恶意用户既可能致使一台域控制器瘫痪,也可能破坏整个域或整个森林的安全性。

缺省情况下,Server Operators 和Backup Operators 组被授予了该权限。将该用户权限从这些组中清除,并且仅授予给 Administrators 组,可以减少由于不正确地改变文件系统而导致域控制器被破坏的可能性。因此,在本指南所定义的三种环境下,该权限仅授予给 Administrators 组。

关闭系统

表 4.10: 设置

 Windows 2003安全性指南之强化域控制器(1)(图十)
(点击查看原图)


“关闭系统”权限允许用户关闭本地计算机。具有关闭域控制器能力的恶意用户能够轻易地发动拒绝服务(DoS)攻击,这将严重地影响整个域或森林的安全性。

而且,当域控制器系统账户重新启动服务时,该用户权限可被利用来发起权限提升攻击。如果对域控制器的特权提升攻击成功,那将破坏域或者整个森林的安全性。

缺省情况下, Administrators、Server Operators、Print Operators 和 Backup Operators 组被授予了关闭域控制器的权限。为确保环境的安全,除了Administrators组之外,其他组完成管理工作都无需该权限。因此,在本指南定义的三种环境下,只有Administrators 组被授予了本权限。

安全选项

域控制器的大多数安全选项设置与在MSBP中指定的相同。要了解更多信息,请参看第3章“创建成员服务器基线”。下面的部分介绍MSBP和DCBP之间的不同。

网络安全:在下一次修改密码时不存储LAN Manager散列值

表4.11: 设置

 Windows 2003安全性指南之强化域控制器(1)(图十)
(点击查看原图)


“网络安全:在下一次修改密码时不存储LAN Manager 散列值” 安全选项设置决定了当管理员改变密码时,是否存储新密码的LAN Manager (LM))散列值。与更为牢固的Windows NT? 口令散列相比,LM相对较弱而且易受攻击。因此,在本指南所定义的三种环境下,MSBP启用了本设置。

上一页 [1] [2] [3] [4] [5] [6] [7] 下一页 




上一篇:服务器安全之IPSEC:易忽视的防火墙

下一篇:Windows Server 2003安全指南之强化堡垒主机(1)

相关文章:
·Windows Vista震撼1600X1200高清壁纸
·Windows系统漏洞修复软件大比拼
·从零开始学黑客:网络黑客新手入门指南
·鲜为人知的Windows XP优化
·如何让Windows桌面图标任我排
·注册表已经损坏并导致WindowsXP无法启动,应该如何恢复
·Windows XP的20个超级实用技巧大全
·Windows Vista 快捷方式箭头去除器 1.3
·Windows Vista Ultimate中文旗舰版下载+简单破解(支持迅雷HTTP & BT)
·Windows系统进程列表完全解析
相关软件:
·Windows主题70合一典藏版
·Adobe Photoshop CS 2 简体中文使用指南
·如何加固Windows XP 主机安全
·Windows环境下32位汇编语言程序设计
·全能助手Windows优化王 2006 V3.95
·黑色苹果Windows主题Kuro
·Windows Xp sp2 补丁集(至2007.11.13)
·Windows Live Messenger(MSN)V8.5.1235 简体中文版
·Windows 2003 Server 简体中文企业版(免激活)ISO
·番茄花园 Windows XP Pro SP2 免激活 ISO

特别声明:本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源:http://www.vipcn.net
| 帮助(?) | 版权声明 | 友情连接 | 关于我们 | 信息发布
Copyright 2007 www.vipcn.net All Rights Reserved. 鄂ICP备05000083号Powered by:viphot