【正文】 以及使用公鑰體制并可以使用電子證書來把外部用戶映射成為目錄服務(wù)中的一個(gè)用戶賬戶。 3. 單點(diǎn)安全登錄 Windows 2021的用戶單點(diǎn)登錄網(wǎng)絡(luò)后，通過網(wǎng)絡(luò)驗(yàn)證之后，它就可以根據(jù)自己擁有的權(quán)限訪問其相應(yīng)的服務(wù)， Windows 2021透明地管理一個(gè)用戶的安全屬性 (Security Credentials)。 4. 安全的管理性 Windows 2021使用安全性模板對計(jì)算機(jī)進(jìn)行安全性配置和分析。安全性模板 MMC提多種管理模板從而實(shí)現(xiàn)了對工作站、服務(wù)器、域控制器的安全管理，在這些安全性模板中，可以配置相應(yīng)的安全策略。 167。 Windows 2021組策略的管理安全 在 Windows 2021中的組策略有如下幾種： 帳戶策略 \密碼策略 配置密碼存留期、長度和復(fù)雜性 帳戶策略 \帳戶鎖定策略 配置鎖定時(shí)間、閾值和復(fù)位計(jì)數(shù)器 帳戶策略 \Kerberos 策略 配置票證壽命 本地策略 \審計(jì)策略 啟用 /禁用特定事件的記錄 本地策略 \用戶權(quán)限 定義權(quán)限，如本地登錄、從網(wǎng)絡(luò)訪問等 本地策略 \安全選項(xiàng) 修改與注冊表值有關(guān)的特定安全選項(xiàng) 事件日志 啟用成功或失敗監(jiān)視 受限制的組 管理員可控制誰屬于特定組 系統(tǒng)服務(wù) 控制每個(gè)服務(wù)的啟動模式 注冊表 對注冊表項(xiàng)配置權(quán)限 文件系統(tǒng) 對文件夾、子文件夾和文件配置權(quán)限 Windows 2021中的組策略 1. 密碼策略 默認(rèn)情況下，將對域中的所有服務(wù)器強(qiáng)制執(zhí)行一個(gè)標(biāo)準(zhǔn)密碼策略。下面列出默認(rèn)設(shè)置和最低設(shè)置。 2. 帳戶鎖定策略 有效的帳戶鎖定策略有助于防止攻擊者猜出你帳戶的密碼。下表列出了一個(gè)默認(rèn)帳戶鎖定策略的設(shè)置以及針對您的環(huán)境推薦的最低設(shè)置。 3. 成員服務(wù)器基準(zhǔn)策略 一旦配置了域級別的設(shè)置，就該為所有成員服務(wù)器定義公用的設(shè)置了。這是通過“成員服務(wù)器 OU‖中的一個(gè) GPO 完成的，我們稱之為基準(zhǔn)策略。一個(gè)公用的 GPO 可將對各服務(wù)器配置特定安全設(shè)置的過程自動化。你還需要手動應(yīng)用一些無法通過組策略完成的附加安全設(shè)置。 成員服務(wù)器的基準(zhǔn)組策略如下： 審計(jì)策略 確定如何在你的服務(wù)器上執(zhí)行審計(jì)。 安全選項(xiàng) 使用注冊表值確定特定的安全設(shè)置。 注冊表訪問控制列表 確定誰可以訪問注冊表。 文件訪問控制列表 確定誰可以訪問文件系統(tǒng)。 服務(wù)配置 確定哪些服務(wù)需要啟動、停止、禁用等等。 4. 禁用自動運(yùn)行功能 一個(gè)媒體插入一個(gè)驅(qū)動器，自動運(yùn)行功能就開始從該驅(qū)動器讀取數(shù)據(jù)。這樣，程序的安裝文件和音頻媒體上的聲音就可以立即啟動。為防止可能有惡意的程序在媒體插入時(shí)就啟動，組策略禁用了所有驅(qū)動器的自動運(yùn)行功能。 在注冊表中HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ 下的用以禁用所有驅(qū)動器上的自動運(yùn)行功能的設(shè)置 NoDriveTypeAutoRun DWORD 0xFF。 5. 成員服務(wù)器基準(zhǔn)文件訪問控制列表策略 為加強(qiáng)文件系統(tǒng)安全，應(yīng)確保對域中的所有成員服務(wù)器公用的目錄和文件應(yīng)用限制性更強(qiáng)的權(quán)限?！俺蓡T服務(wù)器基準(zhǔn)安全模板”包含了由 模板提供的所有文件訪問控制列表并添加了許多文件夾和文件的設(shè)置。 167。 加強(qiáng)內(nèi)置賬戶的安全 Windows 2021 有幾個(gè)內(nèi)置的用戶帳戶，它們不可刪除，但可以重命名。我們最熟悉的 Windows 2021 中的兩個(gè)內(nèi)置帳戶是 Guest（來賓）和 Administrator（管理員）。默認(rèn)情況下，來賓帳戶在成員服務(wù)器和域控制器上是禁用的。建議不更改此設(shè)置。 1. 加強(qiáng)本地管理員帳戶安全 每一個(gè)成員服務(wù)器都有一個(gè)本地帳戶數(shù)據(jù)庫和一個(gè)本地管理員帳戶，此帳戶對該服務(wù)器有完全控制權(quán)。所以此帳戶非常重要。建議重命名此帳戶，并確保它使用一個(gè)復(fù)雜的密碼。另外還應(yīng)確保本地管理員密碼未在成員服務(wù)器間復(fù)制。 2. 加強(qiáng)服務(wù)帳戶安全 Windows 2021 服務(wù)一般都在本地系統(tǒng)帳戶下運(yùn)行，但它們也可以在一個(gè)域用戶或本地帳戶下運(yùn)行。只要可能，就應(yīng)使用本地帳戶而非域用戶帳戶。每個(gè)服務(wù)都在其服務(wù)帳戶的安全上下文中運(yùn)行，所以如果一個(gè)攻擊者挾制了某一成員服務(wù)器上的一個(gè)服務(wù)，則該服務(wù)帳戶可能就會被用來攻擊域控制器。在確定使用哪一個(gè)帳戶作為服務(wù)帳戶時(shí)，應(yīng)確保為此帳戶指定的特權(quán)限制在保證此服務(wù)成功運(yùn)行所需的特權(quán)范圍內(nèi)。 167。 組策略的安全模板 1. 組策略的配置設(shè)置存儲位置 組策略的存儲位置是 GPO位于 Active Directory 中；安全模板文件位于本地文件系統(tǒng)中。對 GPO 所做的更改直接保存在 Active Directory 中，而對安全模板文件所作的更改必須先導(dǎo)回到 Active Directory 內(nèi)的 GPO 中，才能應(yīng)用所作的更改。 2. Windows 2021的安全模板 Windows 2021的安全模板有如下幾種： 適用于 Windows 2021 Professional。 適用于 Windows 2021 Server。 適用于基于 Windows 2021 的域控制器。 和 — 適用于域控制器 。 和 — 適用于成員服務(wù)器和工作站。 167。 組策略的實(shí)現(xiàn) 為了有效使用組策略，最好在兩個(gè)級別應(yīng)用安全設(shè)置。 域級 一般的安全要求，如對所有服務(wù)器使用的帳戶策略和審計(jì)策略等 OU 級 對特定服務(wù)器的安全要求，如 IIS 的服務(wù)器等。 1. 創(chuàng)建 OU 結(jié)構(gòu) 創(chuàng)建 OU結(jié)構(gòu)的具體步驟如下： 步驟 1，單擊開始 → 程序 → 管理工具 → Active Directory 用戶和計(jì)算機(jī)，打開活動目錄。 步驟 2，右鍵單擊域名，選擇 新建 ，然后選擇 組織單位 。 步驟 3，鍵入 成員服務(wù)器 ，然后單擊 確定 。 步驟 4，右鍵單擊 成員服務(wù)器 ，選擇 新建 ，然后選擇 組織單位 。 步驟 5，鍵入 應(yīng)用程序服務(wù)器 ，然后單擊 確定 。 對 文件和打印服務(wù)器 、 IIS 服務(wù)器和基礎(chǔ)結(jié)構(gòu)服務(wù)器 重復(fù)第 5 步和第 6 步。 2. 域級策略 在構(gòu)建 Windows 2021 域時(shí)，創(chuàng)建了一個(gè)默認(rèn)的域策略。對于要應(yīng)用到整個(gè)域中的安全設(shè)置來說，可執(zhí)行以下任一操作： 創(chuàng)建另一個(gè)策略并將其鏈接到高于默認(rèn)策略級別的位置 修改現(xiàn)有的默認(rèn)策略 3. ―事件日志”中的事件 如果策略已成功下載，將出現(xiàn)包含以下信息的“事件日志”事件： 類型：信息 來源 ID： SceCli 事件 ID： 1704 消息字符串：組策略對象中的安全策略被成功應(yīng)用 在應(yīng)用該策略之后，可能要過幾分鐘后才顯示此消息。如果沒有收到成功的事件日志消息，則需要運(yùn)行 secedit /refreshpolicy machine_policy /enforce， 然后重新啟動服務(wù)器以強(qiáng)制下載策略。在重新啟動之后再次檢查“事件日志”以驗(yàn)證策略是否已成功下載。 4. 策略的驗(yàn)證 策略的驗(yàn)證有以下兩種方法。 使用“本地安全策略” MMC 驗(yàn)證策略 步驟 1，啟動本地安全策略 MMC。 步驟 2，在安全設(shè)置下，單擊本地策略，然后單擊安全選項(xiàng)。 步驟 3，在右窗格中，查看有效設(shè)置列?！坝行гO(shè)置”列應(yīng)當(dāng)顯示在模板中為選定服務(wù)器角色配置的設(shè)置。 使用命令行工具驗(yàn)證策略 Secedit 此工具包括在 Windows 2021 中，它可用于顯示模板文件和計(jì)算機(jī)的策略之間的區(qū)別。若要將某個(gè)模板與計(jì)算機(jī)上的當(dāng)前策略進(jìn)行比較，請使用下列命令行： secedit /analyze /db /cfg 模板名 167。 審計(jì)與入侵檢測 審計(jì)的一個(gè)主要目標(biāo)是識別攻擊者對你的網(wǎng)絡(luò)所采取的操作。一個(gè)攻擊者可能企圖危害網(wǎng)絡(luò)上的多臺計(jì)算機(jī)和設(shè)備，因此為了了解任何攻擊的程度，必須能夠協(xié)調(diào)和合并許多計(jì)算機(jī)中的信息。如果你的日志實(shí)用工具將導(dǎo)入到數(shù)據(jù)庫中，那么協(xié)調(diào)多個(gè)日志中的信息就更加容易了。只要所有計(jì)算機(jī)中的時(shí)間是同步的，就可以按時(shí)間字段進(jìn)行排序，并基于時(shí)間間隔簡化事件跟蹤。 審計(jì)事件分為兩類：成功事件和失敗事件。成功事件說明用戶成功地獲得了訪問某種資源的權(quán)限，而失敗事件則說明用戶嘗試訪問網(wǎng)絡(luò)的某項(xiàng)資源，但失敗了。在 Windows 2021 中的安全事件審計(jì)類別一般有如下幾種： 登錄事件 帳戶登錄事件 對象訪問 目錄服務(wù)訪問 特權(quán)使用 進(jìn)程跟蹤 系統(tǒng)事件 策略更改 審計(jì) 1. 登錄事件 用戶每次在計(jì)算機(jī)上登錄或注銷時(shí)，都會在進(jìn)行了登錄嘗試的計(jì)算機(jī)的安全日志中生成一個(gè)事件。另外，在用戶連接到遠(yuǎn)程服務(wù)器后，在遠(yuǎn)程服務(wù)器的安全日志中也將生成一個(gè)登錄事件。在創(chuàng)建或者銷毀登錄會話和令牌時(shí)也會分別創(chuàng)建登錄事件。 登錄事件對于跟蹤以交互方式登錄服務(wù)器的嘗試或者對于調(diào)查從特定計(jì)算機(jī)發(fā)動的攻擊十分有用。成功審計(jì)將在登錄嘗試成功的情況下生成一個(gè)審計(jì)項(xiàng)。失敗審計(jì)將在登錄嘗試失敗的情況下生成一個(gè)審計(jì)項(xiàng)。 一般在日志中的的登錄事件的 ID說明如下： 528 用戶成功地登錄到計(jì)算機(jī)。 529 有人用未知的用戶名進(jìn)行了登錄嘗試，或者用已知的用戶名進(jìn)行了登錄嘗試，但密碼不正確。 530 用戶帳戶試圖在不允許的時(shí)間進(jìn)行登錄。 531 有人使用一個(gè)被禁用的帳戶進(jìn)行登錄嘗試。 532 有人使用一個(gè)過期的帳戶進(jìn)行登錄嘗試。 533 未允許該用戶登錄此計(jì)算機(jī)。 2. 帳戶登錄事件 在一個(gè)用戶登錄到域時(shí)，是在域控制器上對登錄進(jìn)行處理的。如果您審計(jì)域控制器上的帳戶登錄事件，那么您就會看到在對帳戶進(jìn)行驗(yàn)證的域控制器上記錄的此登錄嘗試。帳戶登錄事件是在身份驗(yàn)證程序包對用戶的憑據(jù)進(jìn)行驗(yàn)證時(shí)創(chuàng)建的。在使用域憑據(jù)的情況下，帳戶登錄事件只在域控制器的事件日志中生成。如果出示的憑據(jù)是本地 SAM 數(shù)據(jù)庫憑據(jù)，那么就會在服務(wù)器的安全事件日志中創(chuàng)建帳戶登錄事件。 由于帳戶登錄事件可以記錄在域中的任何有效的域控制器上，因此必須確保將各個(gè)域控制器上的安全日志合并，以分析域中的所有帳戶登錄事件。 與登錄事件一樣，帳戶登錄事件也包括計(jì)算機(jī)登錄事件和用戶登錄事件兩種。 作為成員服務(wù)器和域控制器基本策略的組成部分，對成功和失敗帳戶登錄事件的審計(jì)已啟用。因此對于網(wǎng)絡(luò)登錄和終端服務(wù)身份驗(yàn)證，出現(xiàn)在事件日志中的帳戶登錄事件 ID如下： 672 成功地發(fā)出并驗(yàn)證了身份驗(yàn)證服務(wù) (AS) 票證。 673 授予了票證授予服務(wù) (TGS) 票證。 3. 帳戶管理 帳戶管理審計(jì)用于確定用戶或組是在何時(shí)創(chuàng)建、更改或刪除的。此審計(jì)可用于確定何時(shí)創(chuàng)建了安全主體，以及什么人執(zhí)行了該任務(wù)。 作為成員服務(wù)器和域控制器基本策略的組成部分，帳戶管理中的對成功和失敗的審計(jì)已啟用。出現(xiàn)在事件日志中的帳戶管理事件 ID。 624 創(chuàng)建了用戶帳戶。 625 更改了用戶帳戶類型。 626 啟用了用戶帳戶。 627 嘗試了密碼更改。 628 設(shè)置了用戶帳戶密碼。 629 禁用了用戶帳戶。 630 刪除了用戶帳戶。 631 創(chuàng)建了啟用安全的全局組。 632 添加了啟用安全的全局組成員。 633 刪除了啟用安全的全局組成員。 634 刪除了啟用安全的全局組。 635 創(chuàng)建了禁用安全的本地組。 4. 對象訪問 可以用系統(tǒng)訪問控制列表 (SACL) 對基于 Windows 2021 的網(wǎng)絡(luò)中的所有對象啟用審計(jì)。 SACL 包含一個(gè)將要審計(jì)其對對象進(jìn)行的操作的用戶和組的列表。在 Windows 2021 中幾乎用戶可以操作的任何對象都有一個(gè) SACL。這些對象包括 NTFS 驅(qū)動器上的文件和文件夾，打印機(jī)和注冊表項(xiàng)。 SACL 由訪問控制項(xiàng) (ACE) 組成。每個(gè) ACE 都包含三部分信息： 要對其進(jìn)行審計(jì)的安全主體 要審計(jì)的特定訪問類型，稱為“訪問掩碼” 一個(gè)指示要審計(jì)失敗訪問、成功訪問還是兩種訪問都審計(jì)的標(biāo)志 如果希望讓事件出現(xiàn)在安全日志中，則必須首先啟用審計(jì)對象訪問，然后對每個(gè)需要對其進(jìn)行審計(jì)的對象定義 SACL。 審計(jì)對象訪問出現(xiàn)