Overview
發佈日期: 2003 年 12 月 31 日 | 更新日期: 2006 年 4 月 26 日
本頁內容
本單元內容
目標
適用於
如何使用本單元
概觀
Windows Server 2003 基準線原則
稽核原則
使用者權限指派
安全性選項
事件日誌
系統服務
其他登錄設定
其他安全性設定
總結
本單元內容
本單元解釋編寫《Windows 2003 安全性簡介》時所依據的概觀,並深入探討所套用的不同安全性等級。 本單元特別針對套用成員伺服器基準線安全性範本作說明,並也介紹如何利用組織單元層級和群組原則將基準線套用到多台伺服器,最後還會提到必須配合安全性範本來使用的額外安全性設定。
回到頁首
目標
本單元旨在說明:
為 Microsoft ® Windows Server ™ 2003 作業系統上執行的伺服器,設立成員伺服器基準線安全性範本。
利用組織單元層級和群組原則,將成員伺服器基準線套用在多台伺服器。
了解《Windows 2003 安全性簡介》內所描述的三個安全性範本層級。這些範本是《Windows Server 2003 安全性》指南的一部份,您可在下列的連結中找到。 https://go.microsoft.com/fwlink/?LinkId=14846。
識別《Windows 2003 安全性簡介》所使用的組織單元層級。
了解成員伺服器基準線在安全性環境中扮演的角色。
探討成員伺服器基準線所套用的設定。
回到頁首
適用於
本單元適用於下列產品及技術:
回到頁首
如何使用本單元
本單元在《Windows 2003 安全性簡介》所提及的成員伺服器基準線安全性範本方面,提供廣泛的資訊。在指導組織單元層級的設計與目的以及該層級所套用的群組原則時,應參考本單元,以便執行網域架構的成員伺服器基準線。您也可參考本單元,識別此基準線的安全性範本設定和其對網域與伺服器環境的影響。
如需充分瞭解此單元:
回到頁首
概觀
本單元記載所有使用 Windows Server 2003 的伺服器在管理基準線安全性範本時的設定需求。本單元也會提供管理上的指示,說明如何在三種企業環境中設定安裝安全的 Windows Server 2003 系統。本單元內所述的設定需求即為其他強化流程的基準線,而這些強化流程能用於本指南後面會探討的伺服器角色。
本單元建議的設定,能為企業環境中的商業用伺服器建立強固的基礎。然而,在生產環境中執行之前,您必須測試這些安全性設定與您組織的商業軟體的共存性。
本單元建議的設定適用於大多數的企業,也可部署在其他使用 Windows Server 2003 的現有系統或新裝的系統。Windows Server 2003 的安全性預設設定已歷經多次的評估與測試。有關本節中所討論的預設設定及每一設定的詳細說明等資訊,請參閱同系列指南《Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP (英文)》,網址為:https://go.microsoft.com/fwlink/?LinkId=15159。不過,下列所建議的設定中,大多是用於比預設安全層級還高的層級。
下列基準線安全性設定是針對本單元討論的企業環境其中的所有 Windows Server 2003 系統,與以下定義的三個環境有關。這些環境分別是:
傳統用戶端 — 提供充分的安全性,不會限制混合狀態的環境。傳統用戶端層級只用於擁有傳統用戶端的環境。這個環境是本指南定義的最低鎖定層級。為了進一步保護環境,組織可選擇遷移到下一個鎖定層級,即「企業用戶端」層級。如果沒有傳統用戶端要保護,就直接從「企業用戶端」層級開始。這個商業環境包含 Microsoft Windows® 98 作業系統、Microsoft Window® 4.0 Workstation 作業系統、Window 2000 Professional 和 Window XP Professional 工作站。此環境只包含 Windows 2000 或更新版的網域控制站;其中沒有 Windows NT 4.0 網域控制器,但可以有 Windows NT 成員伺服器。
企業用戶端 — 提供專為新系統環境設計的強固安全性。這個商業環境包含使用 Windows 2000 Professional 和 Windows XP Professional 的用戶端。從舊環境移到企業環境所需的大多數工作牽涉到傳統用戶端的升級,例如從 Windows 98 和 Windows NT 4.0 Workstation 升級到 Windows 2000 或 Windows XP。這個環境內的網域控制站都是 Windows 2000 Server 或更新版,。而成員伺服器則是 Windows 2000 Server 或更新版。
高安全性 — 根據先前企業用戶端等級提供強化安全性。從「企業環境」移到「高安全性環境」時,需要符合用戶端和伺服器緊迫的安全性原則。這個環境包含使用 Windows 2000 Professional 及 Windows XP Professional 的用戶端,還有使用 Windows 2000 Server 或更新版的網域控制器。在「高安全性」環境中相當重視安全性,因而可折衷接受功能與管理的巨大損失,以便達成最高層級的安全性。所有在這個環境的成員伺服器是 Windows 2000 Server 或更新版。
下圖顯示這三個層級及每一層所支援的用戶端。
.jpg)
[圖 1]
現存和規劃的鎖定等級
想要提供階段性方法來保障環境的組織,可選擇從「傳統用戶端」環境層級開始,等到使用加強的安全性設定升級與測試應用程式和用戶端電腦之後,就可漸漸提到更高的安全層級。
下圖說明 .inf 檔安全性範本如何作為企業用戶端 – 成員伺服器基準線原則 (MSBP) 的基礎。該圖也說明連結這個原則的可能辦法,能運用到組織的所有伺服器。
Windows Server 2003 出廠時已設定為安全狀態的預設值。在許多例子中,本單元訂定預設值與其他設定,也為本指南所定義的三個環境強制設定某些的預設值。有關所有預設設定值的詳細資訊,請參閱同系列指南《Thrests and Countermeasures: Security Settings in Windows Server 2003 and Windows XP (英文)》,網址為:https://go.microsoft.com/fwlink/?LinkId=15159。
.jpg)
[圖 2]
安全性範本 Enterprise Client – Member Server Baseline.inf 會被匯入到 MSBP,然後再連結到成員伺服器的組織單元 (OU)
本指南後面的單元會定義某些伺服器角色的強化步驟,指南中主要的伺服器角色如下:
網域控制器,其中包含網域名系統 (DNS) 服務。
基礎結構伺服器角色,其中包括:
Windows 網際網路名稱服務 (WINS)
動態主機設定通訊協定 (DHCP)
檔案
列印
網際網路資訊服務 (Internet Information Services,IIS)
Microsoft 網路驗證伺服器 (Internet Authentication Services,IAS )
驗證服務伺服器 (CA)
堡壘主機
很多出現在企業用戶端 MSBP 的設定,遵循也適用於本指南定義的三個環境中的伺服器角色。這些安全性範本特別設計來處理每一個特定環境的安全性需求。下表顯示基準線安全性範本與三個環境的關係。「企業用戶端」,即「高安全性層級」,與建議的基準線原則相關的安全性範本包含辨別正確範本的層級識別。以「企業用戶端」為例,在「企業用戶端」環境中建議使用 Member Server Baseline.inf 檔為安全範本。
[表 1]:三個環境的基準線安全性範本
| Legacy Client – Member Server Baseline.inf |
Enterprise Client – Member Server Baseline.inf |
High Security – Member Server Baseline.inf |
下面<Windows Server 2003 基準線原則>段落中會闡述 Member Server Baseline.inf 安全性範本中所有環境的共同安全設定。這些基準線安全性範本,也是<[強化 Windows Server 2003 網域控制器](https://technet.microsoft.com/zh-tw/library/b9a5013f-d0be-4788-813a-cad583bc461a(v=TechNet.10))>單元所定義的網域控制器安全性範本的啟動點。
Enterprise Client – Domain Controllers Role.inf 範本會提供「網域控制器群組原則」的群組原則物件 (GPO) 基準線,然後連結到三個環境中的「網域控制器」的組織單元 (OU)。有關建立 OU 和群組原則,然後再將適當的安全性範本匯入到每個 GPO 的逐步說明,請參閱<[在 Windows Server 2003 環境中設立網域基礎結構](https://technet.microsoft.com/zh-tw/library/7063c20d-8726-451f-8d8a-0e90302546b1(v=TechNet.10))>單元。
**注意:**使用群組原則時,有一些強化程序不會自動執行,詳情請見本單元的<額外的成員伺服器強化程序>。
[](#mainsection)[回到頁首](#mainsection)
### Windows Server 2003 基準線原則
「成員伺服器層級」OU 層級的設定會決定網域內所有成員伺服器的共同設定;只要建立一個 GPO,連結到成員伺服器 OU,即基準線原則,此設定就可完成。GPO 之後會自動啟動程序,設定每個伺服器的某些安全性設定。由於下列設定會出現在安全性設定編輯器 (SCE) 嵌入式管理單元的使用者介面 (UI) 上,故在此予以說明。
[](#mainsection)[回到頁首](#mainsection)
### 稽核原則
系統管理員應設定一個稽核原則。稽核原則會決定要向系統管理員報告哪些安全性事件,如此方可記錄指定事件類別中的使用者或系統活動。系統管理員可監視安全性相關的活動,例如存取物件的人員、使用者是否從某台電腦上登入或登出,或稽核原則設定是否受到變更等。
在執行稽核原則前,您必須決定您的公司環境中需要稽核哪些事件類別。系統管理員為事件類別所選擇的稽核設定即會定義公司的稽核原則。對特定事件類別定義稽核設定後,系統管理員就能夠建立一套適合您組織安全性需求的稽核原則。
如果沒有設定稽核設定,就很難,甚至不可能確定安全性事件中究竟發生了什麼事。不過如果已設定稽核,但有過多的授權活動產生事件的話,安全性事件日誌內則會具有許多無用的資料。因此在此提供一些建議,以協助您決定該監視哪些事件,收集真正有用的資訊。
下表即建議本指南內所定義的三個環境應採用的稽核原則設定。您可能會注意到,三個環境中大多數的設定值彼此相似。
下列值可在下列位置的 Windows Server 2003 的「網域群組原則」部分來設定。
電腦設定\\Windows 設定\\安全性設定\\本機原則\\安全性設定
如需本節推薦的設定摘要,請參閱「Windows Server 2003 安全性指南設定」的 Microsoft Excel 試算表。有關所有預設值的詳細資訊,請參閱同系列指南《Threats and Countermeasures:Security Settings in Windows Server 2003 and Windows XP (英文)》,網址為:[https://go.microsoft.com/fwlink/?LinkId=15159](https://go.microsoft.com/fwlink/?linkid=15159)。
#### 稽核帳戶登入事件
**\[表 2\]:設定**
\[稽核帳戶登入事件\] 設定決定是否稽核使用者每次登入或登出另一個驗證此帳戶的電腦。驗證網域控制器的網域使用者帳戶會產生一個帳戶登入事件,這個事件會記錄在網域控制器的安全性記錄中。在本機電腦上驗證本機使用者,會產生一個登入事件,此事件會記錄在本機安全性記錄裡。但帳戶登出事件並不會被記載。
如需這些設定記錄的資訊,請參閱<[Windows Server 2003 安全性事件](https://technet.microsoft.com/zh-tw/library/5d277bbc-416e-4789-955d-282abb4cc22d(v=TechNet.10))>。
#### 稽核帳戶管理
**\[表 3\]:設定**
\[稽核帳戶管理\] 設定決定是否稽核電腦上的每一個帳戶管理事件。帳戶稽核管理事件的例子包括:
- 使用者帳戶或群組的建立、變更或刪除。
- 使用帳戶的重新命名、停用或啟用。
- 密碼的設定或更改。
組織必須要能知道是誰建立、刪除或修改網域和本機帳戶的。未授權變更可能是因為系統管理員不了解如何遵循公司原則而做了錯誤更改,或是遭到了蓄意攻擊。
舉例來說,由帳戶管理的失敗事件往往可以知道,較低層級的系統管理員,或是較低層級系統管理員帳戶的攻擊者,可能嘗試要提升權限。從這些記錄來看,您可知道攻擊者修改或建立了哪些帳戶。
此問題的因應對策是,在三個環境裡都將這個設定設為 \[成功\] 和 \[失敗\],兩個值都包括。
有關此設定會記錄的事件,請參閱<[Windows Server 2003 安全性事件](https://technet.microsoft.com/zh-tw/library/5d277bbc-416e-4789-955d-282abb4cc22d(v=TechNet.10))>。
#### 稽核目錄服務存取
**\[表 4\]:設定**
\[稽核目錄服務存取\] 設定會決定,是否要稽核使用者存取已指定自己系統存取控制清單 (SACL) 的 Microsoft Active Directory® 目錄服務物件。將 \[稽核目錄服務存取\] 設為 \[無稽核\],很難或根本不可能知道安全性事件中可能洩漏的 Active Directory 物件。如果這些設定值不設為 \[成功\] 和 \[失敗\],安全性事件發生後,就不會有稽核記錄的證據能供分析之用。
若將 \[稽核目錄服務存取\] 設為 \[成功\],則每當使用者成功地以某 SACL 存取 Active Directory 物件時,就會產生稽核項目。若將設定定為 \[失敗\],使用者每次以 SACL 存取 Active Directory 物件不成功時,就會產生一個稽核項目。
有關這個設定所記錄的事件,請參閱<[Windows Server 2003 安全性事件](https://technet.microsoft.com/zh-tw/library/5d277bbc-416e-4789-955d-282abb4cc22d(v=TechNet.10))>。
#### 稽核登入事件
**\[表 5\]:設定**
\[稽核登入事件\] 設定會決定是否稽核使用者每次的電腦登入和登出。在網域控制器設定的 \[帳戶登入事件\] 會產生記錄,來監視網域帳戶活動,在本機電腦也會產生記錄來監視本機帳戶活動。
將 \[稽核登入事件\] 設定在 \[無稽核\],就很難或根本不可能知道哪個使用者已經登入或試圖登入到企業的本機電腦。網域成員 \[稽核登入事件\] 設定設為 \[成功\] 時,若予以啟用,則每次有人登入到系統時,不管帳戶位在系統的何處,都會產生事件。如果使用者登入到本機帳戶,而 \[稽核帳戶登入事件\] 設為 \[啟用\],使用者登入就會產生兩個事件。
如果本指南所定義的三個環境都沒將這個設定同時設為 \[成功\] 及 \[失敗\],則在安全事件發生後,就沒有稽核記錄證據可供分析。
有關這個設定所記錄的事件,請參閱<[Windows Server 2003 安全性事件](https://technet.microsoft.com/zh-tw/library/5d277bbc-416e-4789-955d-282abb4cc22d(v=TechNet.10))>。
#### 稽核物件存取
**\[表 6\]:設定**
這個設定不會自行造成任何要被稽核的事件。\[稽核物件存取\] 設定會決定,使用者存取一個具有指定 SACL 的物件 (例如,一個檔案、資料夾、登錄機碼或印表機等等) 時,是否進行稽核。
一個 SACL 是由幾個存取控制項 (ACE) 組成的。每個 ACE 內含三項資訊。
- 要稽核的安全性主體 (使用者、電腦或群組)。
- 要稽核的特定存取類型,即存取遮罩。
- 指示旗標,以告知是否要稽核失敗的存取事件、成功的存取事件,或兩者都稽核。
將此設定設為 \[成功\],每次使用者以指定的 SACL 成功地存取物件時,就會產生一個稽核項目。將設定設為 \[失敗\],則每次使用者以指定的 SACL存取物件時敗時,就會產生一個稽核項目。
公司組織在設定 SACL 時,應該只定義他們想啟用的動作。舉例來說,你可能要對可執行檔啟用 \[寫入及附加資料稽核\] 設定,來追蹤那些常受電腦病毒、蠕蟲和特洛伊木馬程式取代或更改的檔案。同樣地,您可能要追蹤機密文件的更改或讀取。
因此本指南建議所有三個環境裡的這個設定要同時啟用 \[成功\] 和 \[失敗\] 這兩個稽核值。
有關這個設定所記錄的事件,請參閱<[Windows Server 2003 安全性事件](https://technet.microsoft.com/zh-tw/library/5d277bbc-416e-4789-955d-282abb4cc22d(v=TechNet.10))>。
#### 稽核原則變更
**\[表 7\]:設定**
\[稽核原則變更\] 設定決定是否稽核每個使用者權限指派原則、稽核原則或信任原則的變更。這包括變更稽核原則本身。
將這個設定定在 \[成功\] 會產生成功變更使用者權限指派原則、稽核原則或信任原則的稽核項。將這個設定定為 \[失敗\] 會產生變更使用者權限指派原則、稽核原則或信任原則失敗的稽核項。
這些建議的設定將會讓您見到攻擊者試圖要提升的任何帳戶權限,例如,攻擊者增加「偵錯程式」特殊權限或「備份檔案及目錄」權限。原則變更稽核也包括變更稽核原則本身及信任關係。
**注意:**本指南所以建議將這個設定定為 \[成功\],純粹是因為有 \[失敗\] 這個設定值並無法提共有意義的存取資訊。目前,將這個值設為 \[失敗\] 並無法擷取有意義的事件。
有關這個設定所記錄的事件,請參閱<[Windows Server 2003 安全性事件](https://technet.microsoft.com/zh-tw/library/5d277bbc-416e-4789-955d-282abb4cc22d(v=TechNet.10))>。
#### 稽核特殊權限使用
**\[表 8\]:設定**
\[稽核特殊權限使用\] 設定決定是否稽核每一個使用者行使使用者權限。將這個值設定為 \[成功\],在每次使用者權限成功行使時,就會產生稽核項。將這個值設定為 \[失敗\],在每次使用者權限行使不成功時,就會產生稽核項。
下列使用者權限在行使時,即使 \[稽核特殊權限使用\] 設為 \[成功\] 或 \[失敗\],也不會產生稽核項。這是因為稽核這些使用者權限,會在安全性記錄產生很多事件,因而限制您電腦的效能。要稽核下列這些不包括在內的權限,您必須在「群組原則」啟用 \[稽核:稽核備份與還原權限的使用\] 安全性選項:
- **略過周遊檢查**
- **偵錯程式**
- **設立權杖物件**
- **取代處理序層級權杖**
- **產生安全性稽核項目**
- **備份檔案及目錄**
- **還原檔案及目錄**
啟用特殊權限稽核會產生非常大量的事件日誌。因此,本指南定義的每個安全性環境都有特別建議的設定。使用者權限使用失敗是一般網路問題的指標,常常可用來顯示破壞安全性的企圖。只能再有特定商業用途時,公司才應該將 \[稽核特殊權限使用\] 設定為 \[啟用\]。
有關這個設定記錄的事件,請參閱<[Windows Server 2003 安全性事件](https://technet.microsoft.com/zh-tw/library/5d277bbc-416e-4789-955d-282abb4cc22d(v=TechNet.10))>。
#### 稽核程序追蹤
**\[表 9\]:設定**
\[稽核程序追蹤\] 設定決定是否稽核詳細的事件追蹤資訊,像是程式啟動、處理序結束、控制代碼複製和間接物件存取。將這個設定設為 \[成功\],當每次追蹤的程序成功時,就會產生一個稽核項目。將這個設定設為 \[失敗\],在每次追蹤的程序失敗時,就會產生一個稽核項目。
啟用 \[稽核程序追蹤\] 將會產生大量的事件,所以一般會設定為 \[無稽核\]。不過,當詳細記錄所啟動處的理序及啟動時間的記錄反應事件時,這些設定有很大的益處。
有關這個設定記錄的事件,請參閱<[Windows Server 2003 安全性事件](https://technet.microsoft.com/zh-tw/library/5d277bbc-416e-4789-955d-282abb4cc22d(v=TechNet.10))>。
#### 稽核系統事件
**\[表 10\]:設定**
\[稽核系統事件\] 設定決定是否要稽核使用者何時重新啟動及關閉電腦,或影響系統安全性或安全性記錄的事件何時發生。將這個設定設為 \[成功\],在系統事件成功執行時就會產生一個稽核項目。將這個設定設為 \[失敗\],系統事件執行失敗時就會產生一個稽核項目。
有關這個設定記錄的事件,請參閱<[Windows Server 2003 安全性事件](https://technet.microsoft.com/zh-tw/library/5d277bbc-416e-4789-955d-282abb4cc22d(v=TechNet.10))>。
[](#mainsection)[回到頁首](#mainsection)
### 使用者權限指派
使用者權限指派決定哪個使用者或群組在您組織的電腦有登入權限或特殊權限。登入權限或特殊權限掌控使用者在目標系統的權限。它們可用來授權執行特定的行動,例如從網路或本機登入,也可授權系統管理任務,例如產生新的登入權杖。
**注意:**在下一節<使用者權限指派>,「未定義」表示系統管理員對未定義的權限仍有特殊權限。
本機系統管理員可做更改,但是再下次重新整理與重新套用時,任何網域架構的「群組原則」設定都可覆寫這些更改。
使用者權限指派設定可在 Windows Server 2003 的下列位置於「群組原則物件編輯器」中設定:
電腦設定\\Windows 設定\\安全性設定\\本機原則\\使用者權限指派
「預設使用者權限指派」依您企業裡的伺服器類型而異。舉例來說,Windows Server 2003 在成員伺服器及網域控制器之間的內建群組,其「使用者權限指派」的差異如下。成員伺服器及網域控制器之間類似的內建群組,並未被記錄在下面的清單。
#### 成員伺服器
- **Power Users**
Power Users擁有大部分的系統管理權力,只有一些限制。因此,Power Users 除了認證的應用程式,也可執行舊有應用程式。
- **HelpServicesGroup**
這是「說明及支援中心」的群組。Support\_388945a0 是這個群組預設的一員。
- **TelnetClients**
這個群組的成員可存取在這個系統的 Telnet Server。
#### 網域控制站
- **Server operators**
這個群組的成員可管理網域伺服器。
- **Terminal Server License Services**
這個群組的成員可存取在這個系統的 Terminal Server License Services。
- **Windows Authorization Access Group**
這個群組的成員可存取使用者物件的計算 tokenGroupsGlobalAndUniversal 屬性。
**Guest** 群組和使用者帳戶 Guest 與 Support\_388945a0 在不同網域之間有獨特的 SID。因此,在只有特定目標群組存在的系統,使用者權限指派的「群組原則」可能需要修改。或者,原則範本可個別編輯以讓 .inf 檔涵蓋適當的群組。舉例來說,要將一個網域控制器「群組原則」設在一個測設環境中的網域控制器。
**注意:**因為在 Guests、Support \_388945a0 和 Guest 之間有獨特的 SID,所以使用安全性範本是無法自動化一些強化設定的。這些安全範本位於: [https://go.microsoft.com/fwlink/?LinkId=14846](https://go.microsoft.com/fwlink/?linkid=14846)。這些在本單元後面的<額外成員伺服器強化程序>一節也有敘述。
這一節會針對本 MSBP 指南所定義的三個環境,提供推薦的使用者權限指派的細節。如需本節推薦的設定摘要,請參閱「Windows Server 2003 安全性指南設定」Microsoft Excel 試算表。有關所有預設設定值的詳細資訊,請參閱同系列指南《Threats and Countermeasures:Security Settings in Windows Server 2003 and Windows XP (英文)》,位於:[https://go.microsoft.com/fwlink/?LinkId=15159](https://go.microsoft.com/fwlink/?linkid=15159)。
#### 從網路存取這台電腦
**\[表 11\]:設定**
| Administrator、Backup Operators、Everyone、Power Users 和 Users |
未定義 |
未定義 |
Administrator、Authenticated Users |
「從網路存取這台電腦」使用者權限會決定允許哪些使用者與群組透過網路連線至該電腦。許多網路通訊協定,包括伺服器訊息區 (SMB) 為基礎的通訊協定、網路基本輸入/輸出系統 (NetBIOS)、通用網際網路檔案系統 (CIF)、超文字傳輸通訊協定 (HTTP),以及元件物件模型 Plus (COM+) 等,都需要有此使用者權限。
雖然在 Windows Server 2003,授給 **Everyone** 安全性群組的權限不再允許存取其他匿名使用者,Group 群組和帳戶仍可透過 **Everyone** 安全性群組獲得授權存取匿名使用者。因此,本指導方針建議您在「高安全性」環境中,將「從網路存取這台電腦」使用者權限從 **Everyone** 安全性群組中移除,來進一步保護以網域 Guest 存取作為目標的攻擊。
#### 充當部分作業系統
**\[表 12\]:設定**
「充當部分作業系統」使用者權限允許一個處理序假設任何使用者的識別身分,因此可獲准存取授權給使用者的資源。一搬來說,只有低層級的驗證服務需要這項特殊權限。沒有預設的安全性群組,因此,這個使用者權限在「傳統用戶端」和「企業用戶端」環境就已足夠。不過在「高安全性」環境中要將這個設定設為 \[撤銷所有群組和帳戶\]。
#### 新增工作站到網域
**\[表 13\]:設定**
「新增工作站到網域」使用者權限可讓使用者將電腦新增到特定網域。若要讓此特殊權限生效,必須將之指派到屬於網域「預設網域控制站原則」一員的使用者。沒有預設的安全性群組,因此,這個使用者權限在「傳統用戶端」和「企業用戶端」環境就已足夠。不過,這個設定只將這個在「高安全性」環境中的使用者權限授權給 **Administrator** 群組。
#### 調整處理序的記憶體配額
**\[表 14\]:設定**
| Administrators、NETWORK SERVICE、LOCAL SERVICE |
未定義 |
未定義 |
Administrators、NETWORK SERVICE、LOCAL SERVICE |
「調整處理序的記憶體配額」使用者權限允許使用者調整處理序可獲取的記憶體上限。這項特殊權限對系統調整很有用,但是也可能被濫用。不肖人士手中就可能用這項使用者權限來啟動對 DOS 的攻擊。這項使用者權限的預設安全性群組對「傳統用戶端」和「企業用戶端」環境已足夠。不過,這項使用者權限是用來強化在「高安全性」環境中的才有的 Administrators, NETWORK SERVICE, LOCAL SERVICE 值。
#### 允許本機登入
**\[表 15\]:設定**
| Administrators、Backup Operators、Power Users 和 Users |
Administrators、Backup Operators、Power Users |
Administrators、Backup Operators、Power Users |
Administrators、Backup Operators、Power Users |
「允許本機登入」使用者權限決定哪些使用者可互動地登入特定的電腦。使用者需要有登入權限,才可按 CTRL+ALT+DEL 按鍵組合起始登入。任何有這項權限的帳戶,都可用來登入電腦本機主控台。限定要登入系統的合法使用者才可使用這項特殊權限,可預防未經授權的使用者提升特殊權限或將病毒帶進電腦環境。
#### 允許透過終端機服務登入
**\[表 16\]:設定**
| Administrators 和 Remote Desktop Users |
Administrators 和 Remote Desktop Users |
Administrators 和 Remote Desktop Users |
Administrators |
「允許透過終端機服務登入」使用者權限決定哪些使用者或群組有權以「終端機服務用戶端」登入。這項使用者權限的預設安全性群組對「傳統用戶端」和「企業用戶端」環境已足夠。不過在「高安全性」環境中,只有 **Administrator** 應該有能力以「終端機服務」用戶端登入。
#### 變更系統時間
**\[表 17\]:設定**
| Administrators 與 Power Users |
未定義 |
未定義 |
Administrators |
「變更系統時間」使用者權限決定哪個使用者和群組能再電腦內不時鐘更改時間和日期。有這項權限的使用者能影響事件日制的外觀,因為事件日誌會反映新時間,而不是事件發生的實際的時間。要限制「變更系統時間」的特殊權限,只讓有合法需求去變更系統時間的使用者使用,例如 IT 部門的人員。在本機電腦上與網域控制站上之間的時間不一致,可能會造成 Kerberos 驗證通訊協定發生問題,這可能會讓使用者無法登入網域,或無法在登入後取得驗證以存取網域資源。
#### 偵錯程式
**\[表 18\]:設定**
| Administrators |
撤銷所有安全性群組及帳戶 |
撤銷所有安全性群組及帳戶 |
撤銷所有安全性群組及帳戶 |
「偵錯程式」使用者權限決定哪些使用者能將偵錯程式附加在任何處理序或核心。此使用者權限提供對機密和重要的作業系統元件完整的存取權。除了在極端狀況下,例如在測試環境無法有效評估關鍵商業應用程式的疑難排解,程式偵錯不應該發生在生產環境。
**注意:**在 Windows Server 2003,移除偵錯程式權限會造成無法使用 Windows Update 服務。不過仍可透過其他方式手動下載、安裝或應用修補程式。
#### 此電腦拒絕來自網路的存取
**\[表 19\]:設定**
| SUPPORT_388945a0 |
ANONOYMOUS LOGON、內建 Administrator、Guests、Support_388945a0、Guest、所有非作業系統服務帳戶 |
ANONOYMOUS LOGON、內建 Administrator、Guests、Support_388945a0;Guest、所有非作業系統服務帳戶 |
ANONOYMOUS LOGON、內建 Administrator、Guests、Support_388945a0;Guest、所有非作業系統服務帳戶 |
**注意:**ANONOYMOUS LOGON、內建 Administrator、Support\_388945a0、Guest 和所有非作業系統服務帳戶不包括在 .inf 檔安全性範本。這些帳戶和群組在您組織的每個網域有獨特的 SID。因此,需以手動方式新增。若需進一步的資訊,請參閱本節後面的<手動強化程序>。
「此電腦拒絕來自網路的存取」使用者權限,會判斷拒絕那一個使用者從網路存取電腦。這個使用者權限會拒絕很多網路通訊協定,包括 SMB 架構的通訊協定、NetBIOS、CIFS、HTTP 和 COM+。當使用者帳戶受到兩個原則的限制時,這個原則取代「從網路存取這台電腦」使用者權限。設定其他群組的這個登入權限能限制您環境中指派擔任特定系統管理角色的使用者的能力。確認委派任務不受負面影響
#### 拒絕以批次工作登入
**\[表 20\]:設定**
| 未定義 |
Guests; Support_388945a0﹔Guest |
Guests; Support_388945a0﹔Guest |
Guests; Support_388945a0﹔Guest |
**注意:**ANONOYMOUS LOGON、內建 Administrator、Support\_388945a0、Guest 和所有非作業系統服務帳戶不包括在 .inf 檔安全性範本。這些帳戶和群組在您組織的每個網域有獨特的 SID。因此,需以手動方式新增。若需進一步的資訊,請參閱本節後面的<手動強化程序>。
「拒絕以批次工作登入」使用權限決定防止哪些帳戶以批次工作登入系統。一個批次工作不是一個批次檔案 (bat),而是一個批次佇列設備。透過「工作排程器」排程工作的帳戶需要這項權限。「拒絕以批次工作登入」使用者權限設定覆寫「以批次工作登入」使用者權限設定。有這項登入權限的帳戶可用來排程會消耗過量系統資源而導致 DoS 出狀況的工作。因此不指派「拒絕以批次工作登入」使用者權限給推薦的帳戶可能是個安全係風險。
#### 拒絕透過終端機服務登入
**\[表 21\]:設定**
| 未定義 |
內建 Administrator; Guests; Support_388945a0; Guest;所有非作業系統服務帳戶 |
內建 Administrator; Guests; Support_388945a0; Guest;所有非作業系統服務帳戶 |
內建 Administrator; Guests; Support_388945a0; Guest;所有非作業系統服務帳戶 |
**注意:**ANONOYMOUS LOGON、內建 Administrator、Support\_388945a0、Guest 和所有非作業系統服務帳戶不包括在 .inf 檔安全性範本。這些帳戶和群組在您組織的每個網域有獨特的 SID。因此,需以手動方式新增。若需進一步的資訊,請參閱本節後面的<手動強化程序>。
「允許透過終端機服務登入」使用者權限決定禁止哪些使用者或群組以「終端機服務用戶端」登入。將基準線成員伺服器加入網域環境之後,就不需要使用本機帳戶從網路存取伺服器。網域帳戶能存取處理系統管理及使用者的伺服器。請記住,在伺服器加入網域及重新啟動兩次之前,MSBP 不會收到「群組原則」。因此禁止使用本機系統管理員帳戶。
#### 使電腦與使用者帳戶受信任可以委派
**\[表 22\]:設定**
在 Active Directory 的使用者或電腦物件「啟用電腦與使用者帳戶為委派信任」特殊權限讓使用者更改 \[委派信任\] 設定。有這項特殊權限的使用者或電腦也可以寫入存取這個物件的帳戶控制旗幟。錯用這項特殊權限會造成未經授權的使用者模擬網路其他使用者。
#### 強制從遠端系統關機
**\[表 23\]:設定**
| Administrators |
未定義 |
未定義 |
Administrators |
「強制從遠端系統關機」使用者特殊權限讓使用者從網路的遠端位置關閉電腦。任何能關閉電腦的使用者都會造成 DoS 出狀況,因此應該嚴格限制這項特殊權限。
#### 產生安全性稽核項目
**\[表 24\]:設定**
| NETWORK SERVICE、LOCAL SERVICE |
未定義 |
未定義 |
NETWORK SERVICE、LOCAL SERVICE |
「產生安全性稽核項」使用者特殊權限讓一個處理序在安全性記錄產生稽核記錄。這個安全性記錄可用來追蹤未經授權的系統存取。能夠寫入安全性記錄的帳戶可能被攻擊者用來在這記錄填入無意義的事件。如果需要設定電腦來覆寫事件,攻擊者就可能使用這方法來移除未經授權活動的證據。如果電腦設定在不能寫入安全性記錄時關機,這方法就可能被用來製造 DoS 問題。
#### 授權後模擬用戶端
**\[表 25\]:設定**
| SERVICE、Administrators |
未定義 |
未定義 |
Local Service;Network Service |
指派「授權後模擬用戶端」特殊權限讓應用程式代理使用者執行模擬用戶端。要求這種模擬的使用者權限可避免未經授權的使用者說服用戶端透過遠端程序呼叫 (RPC) 或具名管道,連接到未經授權使用者設立的服務,然後模擬那個用戶端來提升該未經授權使用者在系統管理或系統的權限。這項使用者權限的預設安全性群組對「傳統用戶端」和「企業用戶端」環境已足夠。不過這個使用者權限在「高安全性」環境中是設定為 Local Service、NETWORK SERVICE。
#### 增加排程優先順序
**\[表 26\]:設定**
| Administrators |
未定義 |
未定義 |
Administrators |
「增加排程優先順序」特殊權限允許使用者增加程序的基本優先順序類別。而在一個優先順序類別中,增加相關優先順序,就不是特殊權限作業。作業系統支援系統管理工具並不需要這項特殊權限,但是軟體開發工具可能需要。有這項特殊權限的使用者能增加一個處理序的排程優先順序到「當前時間」,只留很少的處理時間給其他可能導致 DoS 狀況的程序。這項使用者權限的預設安全性群組對「傳統用戶端」和「企業用戶端」環境已足夠。不過這個使用者權限是設定來強化在「高安全性」環境中的預設 **Administrator** 群組。
#### 載入與卸載裝置驅動程式
**\[表 27\]:設定**
| Administrators |
未定義 |
未定義 |
Administrators |
「載入與除載驅動程式」特殊權限決定哪些使用者可動態載入與卸載驅動程式。如果新硬體經過簽章的驅動程式已經存在電腦裡的 Driver.cab 檔案,就不會要求這項特殊權限。驅動程式會以高度特殊程式碼執行。一個有「載入與卸載驅動程式」特殊權限的使用者可能不小心安裝一個假裝是驅動程式的惡意程式碼。假設系統管理員會較小心,只安裝有確認的數位簽章的驅動程式。這項權限的預設使用者群組對「傳統用戶端」和「企業用戶端」環境已經足夠。不過這個權限是設定來強化在「高安全性」環境中的預設**Administrator** 群組。
#### 記憶體鎖定頁面
**\[表 28\]:設定**
| 未定義 |
未定義 |
未定義 |
Administrators |
「記憶體鎖定頁面」使用者權限讓一個處理序再實體記憶體保有資料,以避免系統將資料分頁到硬碟的虛擬記憶體。啟用這項使用者權限會造成重大的系統效能降低。有這項特殊權限的使用者能指派實體記憶體到好幾個處理序,幾乎或完全不讓其他處理序隨機存取記憶體 (RAM)。如此可能造成 DoS 出狀況。這項使用者權限的預設安全性群組對「傳統用戶端」和「企業用戶端」環境已足夠。不過這個使用者權限是設定來強化在「高安全性」環境中的預設 **Administrator**。
#### 以批次工作登入
**\[表 29\]:設定**
| SUPPORT_388945a0、本機服務 |
未定義 |
未定義 |
撤銷所有安全性群組及帳戶 |
「以批次工作登入」使用者權限讓使用者以批次佇列設備像是「工作排程器」服務等登入。這是個低風險的漏洞,這個使用者權限的預設設定對大多數組織已足夠。這項使用者權限的預設安全性群組對「傳統用戶端」和「企業用戶端」環境已足夠。不過在「高安全性」環境中,這個使用者權限是設定為「撤銷所有安全性群組和帳戶」。
#### 管理稽核及安全性記錄
**\[表 30\]:設定**
| Administrators |
未定義 |
未定義 |
Administrators |
「管理稽核及安全性記錄」特殊權限讓使用者可為個人資源如檔案、Active Directory 物件和登錄機碼指定物件存取稽核選擇。管理安全性事件日誌的這項權限是個要緊密監護的有強大使用者權限。有這項權限的任何人都可清除安全性記錄而可能刪掉未經授權活動的證據。這項使用者權限的預設安全性群組對「傳統用戶端」和「企業用戶端」環境已足夠。不過這個使用者權限是設定來強化在「高安全性」環境中的預設 **Administrator**。
#### 修改韌體環境值
**\[表 31\]:設定**
| Administrators |
未定義 |
未定義 |
Administrators |
「修改韌體環境值」使用者權限允許透過 API 的處理序或由使用者透過「系統內容」修改系統環境變數。任何有這項特殊權限的人可設定硬體元件而造成失敗,造成資料毀損或 DoS 出狀況。這項使用者權限的預設安全性群組對「傳統用戶端」和「企業用戶端」環境已足夠。不過這個使用者權限是設定來強化在「高安全性」環境中的預設 **Administrator** 群組。
#### 執行磁碟維護工作
**\[表 32\]:設定**
| Administrators |
未定義 |
未定義 |
Administrators |
「執行磁碟區維護工作」使用者權限允許一個非系統管理員或遠端使用者管理容量或磁碟區。有這項權限的使用者可刪除磁碟機而導致資料損失或 Dos 出狀況。這項使用者權限的預設安全性群組對「傳統用戶端」和「企業用戶端」環境已足夠。不過這個使用者權限是設定來強化在「高安全性」環境中的預設 **Administrator** 群組。
#### 設定檔單一處理序
**\[表 33\]:設定**
| Administrators 與 Power Users |
未定義 |
未定義 |
Administrators |
「設定檔單一處理序」使用者權限決定哪些使用者可執行監視工具來監督非系統處理序的執行。這是個中度漏洞,任何有這項特殊權限的攻擊者可監視電腦的執行,來確認想直接攻擊的關鍵處理序。攻擊者也能夠決定系統在使用什麼處理序來確認因應策略避免被像是反毒軟體、入侵偵測系統或其他登入系統的使用者。若要更加保護環境,請將 **Power Users** 從這個在「高安全性環境」的使用者權限移除。
#### 設定檔單一處理序
**\[表 34\]:設定**
| Administrators |
未定義 |
未定義 |
Administrators |
「設定檔單一處理序」使用者權限讓使用者監視系統處理序的執行。不限制這個使用者權限會產生中度漏洞,有這項特殊權限的攻擊者可監視電腦的執行來確認想直接攻擊的關鍵處理序。攻擊者也能決定系統正在執行什麼處理序來確認因應措施以避免像是反毒軟體或入侵偵測系統。這項使用者權限的預設安全性群組對「傳統用戶端」和「企業用戶端」環境已足夠。不過這個使用者權限是設定來強化在「高安全性」環境中的預設 **Administrator** 群組。
#### 將電腦從銜接站移除
**\[表 35\]:設定**
| Administrator、Power Users |
未定義 |
未定義 |
Administrators |
「將電腦從銜接站移除」使用者權限允許手提電腦的使用者按一下在 \[開始\] 的 \[卸除 PC\] 來卸除電腦。任何有這項權限的人可移除已經在銜接站開機的手提電腦。這項使用者權限的預設安全性群組對「傳統用戶端」和「企業用戶端」環境已足夠。不過這個使用者權限是設定來強化在「高安全性」環境中的預設 **Administrator** 群組。
#### 取代處理序層級權杖
**\[表 36\]:設定**
| LOCAL SERVICE、NETWORK SERVICE |
未定義 |
未定義 |
LOCAL SERVICE、NETWORK SERVICE |
「取代處理序層級權杖」使用者權限允許父處理序取代被連接到子處理序的存取權杖。這項使用者權限的預設安全性群組對「傳統用戶端」和「企業用戶端」環境已足夠。不過這個使用者權限是設定來強化在「高安全性」環境中的預設 **LOCAL SERVICE** 和 **NETWORK SERVICE** 群組。
#### 還原檔案及目錄
**\[表 37\]:設定**
| Administrators 與 Backup Operators |
未定義 |
Administrators |
Administrators |
「還原檔案和目錄」使用者權限決定哪些使用者能在還原備份檔案與目錄時略過檔案、目錄、登錄和其他永續性物件權限。它也決定哪些使用者能將任何有效的安全性主體設定為物件擁有者。在「企業」或「高安全性」環境,只有 **Administrator** 應該有這項權限還原檔案及目錄。還原檔案的工作經常由系統管理員或另一個特定委派的安全性群組執行,特別是在高機密性的伺服器與網域控制器。
#### 關閉系統
**\[表 38\]:設定**
| Backup Operators、Power Users、Administrators |
未定義 |
未定義 |
Administrators |
「關閉系統」使用者權限決定哪些本機登入的使用者能使用「關閉」命令來關閉作業系統。誤用此使用者權限可導致 DoS 攻擊。應該限制只有非常少數可信的系統管理員有關閉網域控制器的能力。即使系統關閉需要登入伺服器的能力,您應該要小心您允許關閉網域控制器的帳戶和群組。在「高安全性」環境中只有 **Administrator** 應該獲得「關閉系統」使用者權限。
#### 同步處理目錄服務資料
**\[表 39\]:設定**
「同步處理目錄服務資料」使用者權限允許處理序讀取目錄的所有物件和內容,即使管物件和內容受到保護。需要此項特別權限以便使用 LDAP 目錄同步 (Dirsync) 服務。這項預設設定並無特定帳戶,不過在「高安全性」環境中,這個使用者權限是設定為「撤銷所有安全性群組和帳戶」。
#### 取得檔案或其他物件擁有權
**\[表 40\]:設定**
| Administrators |
未定義 |
未定義 |
Administrators |
「取得檔案或其他物件擁有權」使用者權限允許使用者取得系統任何安全物件擁有權,包括 Active Directory 物件、NTFS 系統 (NTFS) 檔案和資料夾、印表機、登錄機碼、服務、處理序和執行緒。請確保只有本機 **Administrator** 群組有「取得檔案或其他物件」使用權限。
[](#mainsection)[回到頁首](#mainsection)
### 安全性選項
「群組原則」的「安全性選項」部分被用來為像是資料的數位簽章、系統管理員及 Guest 帳戶名稱、磁碟驅動程式和 CD-ROM 存取、驅動程式安裝操作和登入提示等等設定安全性設定。
安全性選項設定可在 Windows Server 2003 的下列位置、使用「群組原則物件編輯器」進行設定:
電腦設定\\Windows 設定\\安全性設定\\本機原則\\安全性選項
並不是所有安全性群組都存在所有類型的系統裡。還有,很多安全性群組的 SID 在您企業的網域中是獨特的。因此「群組物件」的「安全性選項」部分可能需要在目標群組的系統裡手動修改。本節針對在本MSBP指南定義的三種環境提供推薦的安全性選項詳細資料。如需有關本單元推薦的設定摘要,請參閱《Windows Server 2003 Security Guide (英文)》設定 Excel 試算表。有關所有預設設定值的詳細資訊,請參閱同系列指南《Threats and Countermeasures:Security Settings in Windows Server 2003 and Windows XP (英文)》,位於:[https://go.microsoft.com/fwlink/?LinkId=15159](https://go.microsoft.com/fwlink/?linkid=15159)。
#### 帳戶:Guest 帳戶狀態
**\[表 41\]:設定**
\[帳戶:Guest 帳戶狀態\] 安全性選項設定決定是否啟用或停用 Guest 帳戶。這個帳戶允許未經驗正的網路使用者以**Guest** 登入存取系統。因此這項安全性選項設定在所有三個環境中設為 \[停用\]。
#### 帳戶:限制使用空白密碼的本機帳戶僅能登入到主控台
**\[表 42\]:設定**
\[帳戶:限制使用空白密碼的本機帳戶僅能登入到主控台\] 安全性選項設定決定沒有密碼保護的本機帳戶是否能夠用來從實體電腦主控台以外的位置登入。啟用這項設定能避免有非空白密碼的本機帳戶從遠端用戶端登入網路,而沒有密碼保護的本機帳戶只能經由電腦的鍵盤實體登入。因此請在所有三個環境加強這個因應對策的預設值。
#### 稽核:稽核通用系統物件的存取
**\[表 43\]:設定**
\[稽核:稽核通用系統物件的存取\] 安全性選項在有效時稽核通用系統物件的存取。如果啟用 \[稽核:稽核通用系統物件的存取\] 和 \[稽核物件存取稽核原則\] 兩者設定,就會產生大量稽核事件。在本指南定義的所有三個環境中,這項設定設在預設值。
**注意:**重新啟動 Windows Server 2003之後,這項安全性選項設定的更改才會生效。
#### 稽核:稽核備份與還原特殊權限的使用
**\[表 44\]:設定**
\[稽核:稽核備份及還原特殊權限的使用\] 安全性選項設定會在「稽核特殊權限使用」原則設定生效時,決定是否稽核所有使用者特殊權限的使用,包括「備份與還原」。啟用這項原則可能產生大量的安全性事件,造成伺服器反應減慢且迫使安全性事件日誌記錄無數鮮少意義的事件。因此在所有三個環境中這項設定設在預設值。
**注意:**重新啟動 Windows Server 2003之後,這項安全性選項設定的更改才會生效。
#### 稽核:如果無法記錄安全性稽核,立即關閉系統
**\[表 45\]:設定**
\[稽核:如果無法記錄安全性稽核,立即關閉系統\] 安全性選項設定在無法記錄安全性事件時決定是否立即關閉系統。在傳統用戶端和企業用戶端環境中啟用這項設定需要的系統管理負荷之前設定得過高,因此「群組原則」將 \[如果無法記錄安全性稽核,立即關閉系統\] 設定為 \[停用\]。因此在「高安全性」環境中啟用這項設定,因為這個額外的系統管理負荷是可接受的負擔,以便避免事件從安全性記錄被刪除,除非系統管理員特地選擇如此做。
#### 裝置:允許卸除而不須登入
**\[表 46\]:設定**
\[裝置:允許卸除而不須登入\] 安全性選項設定決定是否可卸除手提電腦而不須使用者登入系統。啟用這項設定就會免除登入的需求而允許使用外接硬體退出鈕來卸除電腦。停用這項設定表示使用者必須取得「從銜接站移除電腦」使用者權限 (本指南未定義) 以便不須登入系統而卸除電腦。
#### 裝置:允許格式化以及退出卸除式媒體
**\[表 47\]:設定**
| Administrators |
Administrators |
Administrators |
Administrators |
\[裝置:允許格式化以及退出卸除式媒體\] 設定決定可格式化及退出卸除式媒體的對象。只有系統管理員才能在伺服器退出卸除式媒體。因此這項設定的因應策略是本指南定義的所有三個環境的預設值。
#### 裝置:防止使用者安裝印表機驅動程式
**\[表 48\]:設定**
要讓電腦在網路印表機列印,就需要有網路印表機的驅動程式。啟用 \[裝置:防止使用者安裝印表機動程式\] 安全性選擇設定只允許 **Administrator** 或 **Power Users** 群組,或有 **Server Operator** 特殊權限者安裝印表機驅動程式作為新增網路印表機的一部分。停用這項設定權限允許任何使用者安裝印表機驅動程式為新增網路印表機的一部分。因此這項設定的因應策略是本指南定義的所有三個環境的預設值。
#### 裝置:限制 CD–ROM 存取只限於登入本機的使用者
**\[表 49\]:設定**
\[裝置:只限登入本機使用者存取 CD–ROM\] 設定決定本機和遠端使用者是否可同時存取光碟機。啟用這項設定允許只有互動式登入的使用者能存取移除式 CD–ROM 媒體。如果啟用這項原則而沒有互動式登入的使用者,就可由網路存取 CD–ROM。在「傳統用戶端」和「企業用戶端」環境中這個值設定為 \[未定義\]。在「高安全性」環境中這個值設定為 \[啟用\]。
#### 裝置:軟碟機存取只限於登入本機的使用者
**\[表 50\]:設定**
\[裝置:軟碟機存取只限於登入本機的使用者\] 設定決定本機和遠端使用者是否可同時存取卸除式軟碟機媒體。啟用這項設定允許只有互動式登入的使用者能存取移除式軟碟機媒體。如果啟用這項原則而沒有互動式登入使用者,就可由網路存取 CD–ROM。在「傳統用戶端」和「企業用戶端」環境中這個值設定為 \[停用\]。在「高安全性」環境中這個值設定為 \[啟用\]。
#### 裝置:未簽章的驅動程式安裝操作
**\[表 51\]:設定**
| 警告但允許安裝 |
警告但允許安裝 |
警告但允許安裝 |
警告但允許安裝 |
\[裝置:未簽章的驅動程式安裝\] 指定指出在企圖安裝裝置未經 Windows Hardware Quality Lab (WHQL) 認可及簽章的驅動程式會發生什麼事 (藉由 \[設定 API\] )。這項選項避免未經簽章的驅動程式要安裝或警告系統管理員未經簽章的驅動程式即將安裝。這可避免未被認可在 Windows Server 2003 使用的驅動程式安裝。設定 \[警告但允許安裝\] 值的一個可能問題是在安裝未經簽章的驅動程式時自動安裝的指令碼會失敗。
#### 網域控制站:允許伺服器操作員排程工作
**\[表 52\]:設定**
\[網域控制站:允許伺服器操作員排程工作\] 設定決定是否允許伺服器操作員用 AT 排程設備提交工作。在本指南定義的三個環境中停用這項設定。對大多數組織來說停用這項設定的影響很小。包括 **Server Operators** 群組的使用者仍可透過「工作排程器精靈」設立工作,但是設立工作時,這些工作會在使用者授權的帳戶下執行。
**注意:**\[AT 服務帳戶\] 可被修改以便選擇本機系統以外的帳戶。要更改帳戶,請開啟 \[系統工具\],按一下 \[排定的工作\],然後按一下 \[Accessories\] 資料夾。再按一下 \[進階\] 功能表的 \[AT 服務帳戶\]。
#### 網域控制站:LDAP伺服器簽章需求
**\[表 53\]:設定**
\[網域控制站:LDAP 伺服器簽章需求\] 設定決定 LDAP 伺服器是否要求簽章來和 LDAP 用戶端交涉。未經簽章和加密的網路傳輸容易受到人為攻擊,這種攻擊的侵入者會在伺服器和用戶端之間擷取封包,修改它們再轉寄給用戶端。如果是 LDAP 伺服器,就表示攻擊者可能導致用戶端根據 LDAP 目錄的錯誤記錄做決定。如果所有網域控制器正在執行 Windows 2000 或更新版,請將這個安全性選項設定為 \[要求簽章\]。否則請將這個設定設為 \[未定義\]。既然所有在「高安全性」環境的電腦不是執行 Windows 2000 就是 Windows Server 2003,這項設定設為 \[要求簽章\]。
#### 網域控制站:拒絕電腦帳戶密碼更改
**\[表 54\]:設定**
\[網域控制站:拒絕電腦帳戶密碼更改\] 設定決定網域控制器是否會拒絕成員電腦更改電腦帳戶密碼的要求。在所有網域啟用這項設定可避免網域成員的電腦帳戶密碼遭更改而變得易受攻擊。因此在本指南定義的三個環境中這個設定值要設為 \[停用\]。
#### 網域成員:數位加密或簽章安全通道資料 (自動)
**\[表 55\]:設定**
\[網域成員:數位加密或簽章安全通道資料 (永遠)\] 設定決定是否由網域成員起始的所有安全通道傳輸必須經過簽章及加密。如果系統設定在永遠加密或簽章安全通道資料,和無法簽章及加密所有安全通道傳輸的網域控制器就不能建立安全通道資料,因為所有安全通道資料都經過簽章及加密。在「傳統用戶端」及「企業用戶端」環境中,這個安全性選項設為 \[停用\],在「高安全性」環境則設為 \[啟用\]。
**注意:**為了在成員工作站及伺服器利用這項安全性設定,構成成員網域的所有網域控制器必須用 Service Pack 6a 或更版執行 Windows NT 4.0,但是在 Windows 98Second Edition 的用戶端並無支援 (除非它們有安裝 dsclient)。
#### 網域成員:安全通道資料加以數位加密 (可能的話)
**\[表 56\]:設定**
\[網域成員:安全通道資料加以數位加密 (可能的話)\] 設定決定網域成員是否可企圖為它起始的所有安全通道資料傳輸加密。啟用這項設定會導致網域成員要求加密所有安全通道傳輸。停用這項設定可避免網域成員協調安全通道加密。基於這些理由,此設定在本指南定義的所有三種環境裡均設定為 \[啟用\]。
#### 網域成員:安全通道資料加以數位簽章 (自動)
**\[表 57\]:設定**
\[網域成員:安全通道資料加以數位簽章 (自動)\] 設定指出網域成員是否可企圖為它起始的所有安全通道傳輸簽章。簽章可避免傳輸被中途擷取資料的人修改。在本指南定義的所有三種環境中,這項設定均設為 \[啟用\]。
#### 網域成員:停用電腦帳戶密碼變更
**\[表 58\]:設定**
\[網域成員:停用電腦帳戶密碼變更安全性\] 設定指出網域成員是否可定期更改它的電腦帳戶密碼。啟用這項設定可避免網域成員更改它的電腦帳戶密碼。停用這項設定允許網域成員更改由 \[網域成員:電腦密碼最長使用期限\] 指定的電腦帳戶密碼,這預設是 30 天。不再能自動更改帳戶密碼的電腦有被攻擊者設定系統網域帳戶密碼的風險。因此在本指南定義的三種環境中這項設定均設在 \[停用\]。
#### 網域成員:最長電腦帳戶密碼有效期
**\[表 59\]:設定**
\[網域成員:最長電腦帳戶密碼有效期\] 設定指出允許的電腦帳戶密碼最長期限。這項設定也可套用在執行Windows 2000 的電腦,但是無法透過這些電腦的「安全性設定管理員」工具取得。預設每 30 天網域成員會自動更改它們的網域密碼。大幅增長間隔,或設定為 0 好讓電腦不再更改它們的密碼,都會讓攻擊者有更多時間進行暴力密碼猜測攻擊其中一個電腦帳戶。基於這些理由,此設定在本指南定義的所有三種環境裡均設定為 \[30 天\]。
#### 網域成員:要求增強式 (Windows 2000 或更新) 工作階段索引鍵
**\[表 60\]:設定**
\[網域成員:要求增強式 (Windows 2000 或更新) 工作階段索引鍵\] 設定指出加密安全通道資料是否需要 128 位元金鑰強度。啟用這項設定可避免未使用 128 位元加密來建立安全通道。停用這項設定需要網域成員和網域控制器交涉金鑰強度。用來在網域控制器和成員電腦之間設立安全通道通訊的工作階段索引鍵,在 Windows 2000 比在舊版 Microsoft 作業系統更強。因此,既然本指南講述的三種安全性環境都包含 Windows 2000 網域控制器或更新版,這個設定在這三種環境均設為 \[啟用\]。
**注意:**您無法將執行Windows 2000 的電腦和在 Windows NT 4.0 網域啟用的這個設定連結。
#### 互動式登入:不要顯示上次登入的使用者名稱
**\[表 61\]:設定**
\[互動式登入:不要顯示上次登入的使用者名稱\] 設定指出上次登入電腦的使用者是否顯示在 Windows 登入畫面。啟用這項設定可避免在 \[登入Windows\] 對話方塊顯示上次登入的使用者名稱。\[互動式登入:不要顯示上次使用者名稱\] 設定在本指南定義的三種環境中的基準線伺服器原則均設在啟用。
#### 互動式登入:不要求按 CTRL+ALT+DEL 鍵
**\[表 62\]:設定**
\[互動式登入:不要求按 CTRL+ALT+DEL 鍵\] 設定指出在使用者能夠登入之前是否需要按 CTRL+ALT+DEL。停用這項設定要求所有使用者在登入 Windows 之前按 CTRL+ALT+DEL (除非它們使用智慧卡登入 Windows)。在本指南定義的所有三種環境這項設定均設在 \[停用\] 來減少攻擊者能透過特洛伊木馬程式攔截使用者密碼的機會。
#### 互動式登入:給登入使用者的訊息本文
**\[表 63\]:設定**
| 未定義 |
此系統僅限於授權使用者。嘗試進行未授權存取的個體將受到追訴。如果未經授權,請立刻停止存取!按一下 [確定] 即表示您接受背景中的資訊。 |
此系統僅限於授權使用者。嘗試進行未授權存取的個體將受到追訴。如果未經授權,請立刻停止存取!按一下 [確定] 即表示您接受背景中的資訊。 |
此系統僅限於授權使用者。嘗試進行未授權存取的個體將受到追訴。如果未經授權,請立刻停止存取!按一下 [確定] 即表示您接受背景中的資訊。 |
\[互動式登入: 給登入使用者的訊息本文\] 設定會指出一個顯示給登入使用者的訊息本文。這個本文通常是法律用途,例如警告使用者關於錯誤使用公司資訊分支或使用者的行動可能受到稽核。建議所有三種環境使用訊息本文設定。
**注意:**任何您顯示的警告首先應該經過您組織法律與人文資源代理人的同意。此外,\[互動式登入:給登入使用者的訊息本文\] 以及 \[互動式登入:給登入使用者的訊息標題\] 設定必須兩者同時啟用以便能夠個別正確運作。
#### 互動式登入:給登入使用者的訊息標題
**\[表 64\]:設定**
| 未定義 |
未經適當授權而繼續 視同違法行為。 |
未經適當授權而繼續 視同違法行為。 |
未經適當授權而繼續 視同違法行為。 |
\[互動式登入:給登入使用者的訊息標題\] 設定允許視窗標題列指定標題,這個視窗包含使用者登入系統時所看到的「互動式登入」。這項設定背後的原因和 \[給登入使用者的訊息本文\] 設定是一樣的。不利用這項設定的組織在法律上更易受攻擊網路介面者的侵害。基於這些理由,此設定在本指南定義的三種環境裡均設定為 \[啟用\]。
**注意:**任何您顯示的警告首先應該經過您組織法律與人文資源代理人的同意。此外,\[互動式登入:給登入使用者的訊息本文\] 以及 \[互動式登入:給登入使用者的訊息標題\] 設定必須兩者同時啟用以便能夠個別正確運作。
#### 互動式登入:先前網域控制站無法使用時的登入快取次數
**\[表 65\]:設定**
\[互動式登入:先前網域控制站無法使用時的登入快取次數\] 設定決定是否使用者能登入使用快取帳戶資訊的 Windows 網域。網域帳戶的登入資訊可以本機快取,以便使用者在網域控制器不能聯絡後續登入的事件中仍可登出。這項設定決定多少特定使用者可獲取本機快取的登入資訊。建議所有三種環境將這個值設為 \[0\] 可停用登入快取。
#### 互動式登入:在密碼過期前提示使用者變更密碼
**\[表 66\]:設定**
\[互動式登入:在密碼過期前提示使用者變更密碼\] 設定決定要在多久之前警告使用者他們的密碼即將過期。本指南的「帳戶原則」一節建議設定使用者密碼定期到期。如果使用者在他們密碼即將過期時未被知會,他們可能就會到密碼已經過期時才會發覺。如此會導致使用者本機存取網路時產生困擾,或導致使用者無法透過撥號或虛擬私人網路 (VPN) 連接存取您組織的網路。基於這些理由,此設定在本指南定義的三種環境裡均設定為 \[14 天\] 的預設值。
#### 互動式登入:要求網域控制站驗證以解除鎖定工作站
**\[表 67\]:設定**
針對網域帳戶,\[互動式登入:要求網域控制站驗證以解除鎖定工作站\] 設定決定是否必須聯絡網域控制站來解除鎖定電腦。這項設定處理的漏洞類似 \[互動式登入:先前網域控制站無法使用時的登入快取次數\] 設定。使用者可中斷伺服器的網路纜線,以及使用舊密碼解除鎖定伺服器而不須認證解除鎖定伺服器。為了防止這種情況,在本指南定義的三種環境中,這項設定均設為 \[啟用\]。
**重要事項:**這項設定套用在執行 Windows 2000 或更新版,但是無法透過執行 Windows 2000 專用的 Windows Server 2003 的電腦的「安全性設定管理員」工具取得。
#### 互動式登入:智慧卡移除操作
**\[表 68\]:設定**
\[互動式登入:智慧卡移除操作\] 設定決定在登入使用者的智慧卡從智慧卡讀卡機移除時發生的動作。將這項設定設為 \[鎖定工作站\] 在智慧卡移除時可鎖定工作站,允許使用者離開區域,帶走智慧卡並自動鎖定工作站。將此設定設為 \[強迫登出\],在智慧卡移除時可自動將使用者登出。
#### Microsoft 網路用戶端:數位簽章伺服器的通訊 (自動)
**\[表 69\]:設定**
\[Microsoft 網路用戶端:數位簽章用戶端的通訊 (自動)\] 設定決定 SMB 用戶端元件是否要求封包簽章。啟用這項設定可避免 Microsoft 網路用戶端與 Microsoft 網路伺服器通訊,除非該伺服器同意執行 SMB 封包簽章。在有傳統用戶端的混合環境中請將這項選項設為 \[停用\],因為這些用戶端將不能驗證或存取網路控制器。不過您可在 Windows 2000 或更新的環境裡使用這項設定。本指南定義的「企業用戶端」及「高安全性」環境只包含執行支援數位簽章通訊的 Windows 2000 或更新版的系統。因此若要增加這個環境中系統之間的通訊安全性,請將「企業用戶端」及「高安全性」環境的這項設定設為 \[啟用\]。
#### Microsoft 網路用戶端:數位簽章用戶端的通訊 (如果伺服器同意)
**\[表 70\]:設定**
\[Microsoft 網路用戶端:數位簽章用戶端的通訊 (如果伺服器同意)\] 設定決定 SMB 用戶端是否會企圖交涉 SMB 封包簽章。在 Windows 網路執行數位簽章有助避免工作階段被攔截。透過這項設定的啟用,在成員伺服器的 Microsoft 網路用戶端將會指要求簽章,如果它正在通訊的伺服器接受數位簽章的通詢。在本指南定義的三種環境中,這項設定均設為 \[啟用\]。
#### Microsoft 網路用戶端:傳送未加密的密碼到其他廠商的 SMB 伺服器
**\[表 71\]:設定**
如果啟用 \[Microsoft 網路用戶端:傳送未加密的密碼到其他廠商的 SMB 伺服器\] 設定,SMB 重新導向程式就可傳送純文字密碼到在驗證過程中不支援密碼加密的非 Microsoft SMB 伺服器。本指南定義的三種環境中這項設定設為 \[停用\] 預設值,除非應用需求取代保密密碼的需求。
#### Microsoft 網路伺服器:暫停工作階段前,要求的閒置時間
**\[表 72\]:設定**
\[Microsoft 網路伺服器:暫停工作階段前,要求的閒置時間\] 設定決定 SMB 工作階段因沒有動作而暫停之前,必須經過的連續閒置時間量。系統管理員可使用此原則來控制電腦何時暫停沒有動作的 SMB 工作階段。如果用戶端恢復活動,則會自動重新建立工作階段。在本指南定義的三種環境中,這項設定均設為 \[15 分鐘\]。
#### Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)
**\[表 73\]:設定**
\[Microsoft 網路伺服器:數位簽章通訊 (自動)\] 設定決定在允許和 SMB 用戶端的通訊之前 SMB 伺服器元件是否要求封包簽章。Windows 2000 Server、Windows 2000 Professional、Windows Server 2003 和 Windows XP Professional包含支援手動驗證的 SMB 版本,可關閉工作階段攔截攻擊及支援訊息驗證 (因而避免人為攻擊)。SMB 簽章將一個數位簽章放進每一個封包來提供驗證,然後由用戶端和伺服器同時確認。在電腦設定忽略所有未簽章的 SMB 通訊時,舊應用程式和作業系統將無法連接。完全停用所有 SMB 簽章會使電腦易受工作階段攔截攻擊。
#### Microsoft 網路伺服器:數位簽章伺服器的通訊 (如果用戶端同意)
**\[表 74\]:設定**
\[Microsoft 網路伺服器:數位簽章伺服器的通訊 (如果用戶端同意)\] 設定決定 SMB 伺服器是否會和需要 SMB 封包簽章的用戶端交涉 SMB 封包簽章。Windows 2000 Server、 Windows 2000 Professional、 Windows Server 2003 和 Windows XP Professional 包含支援手動驗證的 SMB 版本,可關閉工作階段攔截攻擊及支援訊息驗證 (因而避免人為攻擊)。SMB 簽章將一個數位簽章放進每一個封包來提供驗證,然後由用戶端和伺服器同時確認。在電腦設定忽略所有未簽章的 SMB 通訊時,舊應用程式和作業系統將無法連接。完全停用所有 SMB 簽章會使電腦易受工作階段攔截攻擊。
#### Microsoft 網路伺服器:當登入時數過期時,中斷用戶端連線
**\[表 75\]:設定**
\[Microsoft 網路伺服器:當登入時數過期時,中斷用戶端連線\] 設定決定是否要在連線到網路電腦的使用者超過其使用者帳戶的有效登入時數時,中斷其連線。此設定會影響 SMB 元件。如果您的組織已為使用者設立登入時數,啟用這項設定才有意義,否則不能逾越登入時數存取網路資源,不然他們就能以**在**許可時數中建立的工作階段繼續使用該資源。基於這些理由,此設定在本指南定義的三種環境裡均設定為 \[啟用\]。
#### 網路存取:不允許 SAM 帳戶的匿名列舉
**\[表 76\]:設定**
\[網路存取:不允許 SAM 帳戶的匿名列舉\] 安全性選項設定,決定那些額外的匿名連線可連上電腦。在本指南定義的三種環境中,這項設定均設為 \[啟用\]。
#### 網路存取:不允許 SAM 帳戶的匿名列舉
**\[表 77\]:設定**
\[網路存取:不允許 SAM 帳戶匿名列舉和分享\] 設定決定是否允許 SAM 帳戶匿名列舉和分享。在本指南定義的三種環境中,這項設定均設為 \[啟用\]。
#### 網路存取:不允許存放網路驗證的認證或 .NET Passport
**\[表 78\]:設定**
\[網路存取:不允許存放網路驗證的認證或 .NET Passport\] 設定決定設定 \[儲存的使用者名稱及密碼\] 是否能為較新的使用者在獲取網域驗證之後儲存密碼、認證資料或 Microsoft .NET Passport。在本指南定義的三種環境中,這項設定均設為 \[啟用\]。
**注意:**設立這項設定時,變更在您重新啟動電腦之後才會生效。
#### 網路存取:讓 Everyone 權限套用到匿名使用者
**\[表 79\]:設定**
\[網路存取:讓 Everyone 權限套用到匿名使用者\] 設定決定可授與哪些額外權限給匿名連接電腦者。啟用這項設定允許匿名的 Windows 使用者執行某些活動,如列舉網域帳戶名稱和網路分享。一個未授權的使用者可能匿名列出帳戶名稱和分享的資源,以及使用這項資訊來猜測密碼或執行社交工程攻擊。基於這些理由,此設定在本指南定義的三種環境裡均設定為 \[停用\]。
**注意:**Domains 有這項設定的網域將無法以 Windows NT 4.0網域或網域控制器建立或維護信任。
#### 網路存取:可以匿名存取的具名管道
**\[表 80\]:設定**
\[網路存取:可以匿名存取的具名管道\] 設定決定哪些通訊工作階段 (具名管道) 可有允許匿名存取的屬性與權限。\[網路存取:可匿名存取的具名管道\] 設定在「企業用戶端」及「高安全性」環境中應該設為 \[無\]。
**重要事項:**如果您需要啟用這項設定,請確定您只新增要支援您環境中的應用程式的具名管道。如同本指南建議的或有設定,應該在您的生產環境中小心測試這項設定。
#### 網路存取:可遠端存取的登錄路徑
**\[表 81\]:設定**
System\CurrentControlSet
\Control\ProductOptions;
System\CurrentControlSet
\Contro\Server Applications;
Software\Microsoft\Windows NT\CurrentVersion |
System\CurrentControlSet
\Control\ProductOptions;
System\CurrentControlSet
\Contro\Server Applications;
Software\Microsoft\Windows NT\CurrentVersion |
System\CurrentControlSet
\Control\ProductOptions;
System\CurrentControlSet
\Contro\Server Applications;
Software\Microsoft\Windows NT\CurrentVersion |
System\CurrentControlSet
\Control\ProductOptions;
System\CurrentControlSet
\Contro\Server Applications;
Software\Microsoft\Windows NT\CurrentVersion |
[網路存取:可遠端存取的登錄路徑] 設定決定哪些路徑能透過網路存取。這裡建議加強本指南定義的所有三種環境的基準線安全性範本的預設設定。
**注意:**即使設定了這個選項,如果授權使用者即將能夠透過網率存取登錄,您也必須啟動「遠端登錄」系統服務。
網路存取:可遠端存取的登錄路徑及子路徑
[表 82]:設定
System\CurrentControlSet
\Control\Print\Printers |
System\CurrentControlSet
\Control\Print\Printers |
System\CurrentControlSet
\Control\Print\Printers |
System\CurrentControlSet
\Control\Print\Printers |
System\CurrentControlSet
\Services\Eventlog |
System\CurrentControlSet
\Services\Eventlog |
System\CurrentControlSet
\Services\Eventlog |
System\CurrentControlSet
\Services\Eventlog |
Software\Microsoft
\OLAP Server |
Software\Microsoft
\OLAP Server |
Software\Microsoft
\OLAP Server |
Software\Microsoft
\OLAP Server |
Software\Microsoft\Windows NT
\CurrentVersion\Print |
Software\Microsoft\Windows NT
\CurrentVersion\Print |
Software\Microsoft\Windows NT
\CurrentVersion\Print |
Software\Microsoft\Windows NT
\CurrentVersion\Print |
Software\Microsoft
\Windows NT\CurrentVersion
\Windows |
Software\Microsoft
\Windows NT\CurrentVersion
\Windows |
Software\Microsoft
\Windows NT\CurrentVersion
\Windows |
Software\Microsoft
\Windows NT\CurrentVersion
\Windows |
System\CurrentControlSet
\Control\ContentIndex |
System\CurrentControlSet
\Control\ContentIndex |
System\CurrentControlSet
\Control\ContentIndex |
System\CurrentControlSet
\Control\ContentIndex |
System\CurrentControlSet
\Control\Terminal Server |
System\CurrentControlSet
\Control\Terminal Server |
System\CurrentControlSet
\Control\Terminal Server |
System\CurrentControlSet
\Control\Terminal Server |
System\CurrentControlSet
\Control\Terminal Server\UserConfig |
System\CurrentControlSet
\Control\Terminal Server\UserConfig |
System\CurrentControlSet
\Control\Terminal Server\UserConfig |
System\CurrentControlSet
\Control\Terminal Server\UserConfig |
System\CurrentControlSet
\Control\Terminal Server\DefaultUser
Configuration |
System\CurrentControlSet
\Control\Terminal Server\DefaultUser
Configuration |
System\CurrentControlSet
\Control\Terminal Server\DefaultUser
Configuration |
System\CurrentControlSet
\Control\Terminal Server\DefaultUser
Configuration |
Software\Microsoft\Windows NT
\CurrentVersion\Perflib |
Software\Microsoft\Windows NT
\CurrentVersion\Perflib |
Software\Microsoft\Windows NT
\CurrentVersion\Perflib |
Software\Microsoft\Windows NT
\CurrentVersion\Perflib |
System\CurrentControlSet
\Services\SysmonLog |
System\CurrentControlSet
\Services\SysmonLog |
System\CurrentControlSet
\Services\SysmonLog |
System\CurrentControlSet
\Services\SysmonLog |
[網路存取:可遠端存取的登錄路徑及子路徑] 設定決定哪些登錄路徑和副路徑能透過網路存取。這裡建議加強本指南定義的所有三種環境的基準線安全性範本的預設設定。
網路存取:限制匿名存取具名管道和共用
[表 83]:設定
\[網路存取:限制匿名存取具名管道和共用\] 設定限制匿名存取共用和具名管道,當啟用此設定來
- **網路存取:可匿名存取的具名管道**
- **網路存取:可匿名存取的共用**
在本指南定義的三個環境中這項設定設在預設值。
#### 網路存取:可以匿名存取的共用
**\[表 84\]:設定**
\[網路存取:可以匿名存取的共用\] 設定決定匿名使用者可存取哪些網路共用。這項設定的預設值鮮有影響,因為所有使用者在存取伺服器的共享資源之前必須經過驗證。基於這些理由,請確認此設定在本指南定義的三種環境裡均設定為 \[無\]。
**注意:**啟用這項「群組原則」非常危險,任何網路使用者均能存取任何列出的共享。如此可能導致機密公司資料的暴露或損害。
#### 網路存取:共用和安全性模式用於本機帳戶
**\[表 85\]:設定**
| 傳統–本機使用者以自身身分驗證 |
傳統 — 本機使用者以自身身分驗證 |
傳統 — 本機使用者以自身身分驗證 |
傳統 — 本機使用者以自身身分驗證 |
\[網路存取:共用和安全性模式用於本機帳戶\] 社定決定如何驗證使用本機帳戶的網路登入。\[傳統\] 設定允許對資源的存取進行完善的控制。使用 \[傳統\] 設定可讓您將相同資源的各類存取權授予不同的使用者。使用 \[僅適用於 Guest\] 設定可讓您平等對待所有使用者。以本文為例,所有使用者都會以 \[僅適用於 Guest\] 進行驗證,來取得特定資源的相同存取層級。因此本指南定義的三種環境均使用預設值 \[傳統\]。
#### 網路安全性:下次密碼變更時不儲存 LAN Manager 雜湊數值
**\[表 86\]:設定**
\[網路安全性:下次密碼變更時不儲存 LAN Manager 雜湊數值\] 設定決定當密碼變更時,是否會儲存 LAN Manager (LM) 新密碼的雜湊值。LM 雜湊相當不牢靠,而且在加密方面與較強的 Windows NT 雜湊比較起來,更易受到攻擊。基於這個理由,在本指南定義的所有安全性環境中,這項設定均設為 \[啟用\]。
**注意:**一些非常老舊的傳統作業系統和部份協力廠商應用程式,可能會在啟用此設定時失敗。您另外還需要在啟用此設定後變更所有帳戶上的密碼。
#### 網路安全性:LAN Manager 驗證層級
**\[表 87\]:設定**
| 只傳送 NTLN 回應 |
只傳送 NTLMv2回應 |
只傳送 NTLMv2 回應\拒絕 LM |
只傳送 NTLMv2 回應\拒絕 LM & NTLM |
\[網路安全性:LAN Manager驗證層級\] 設定決定哪些挑戰/回應驗證通訊協定用來登入網路。這個選擇影響用戶端使用的驗證通訊協定層級、交涉的安全性層級及伺服器接受的驗證層級如下。下列在小括弧的數字是 **LMCompatibilityLevel** 登錄值的實際設定。這項設定可根據下列指示設到您環境允許的最高層級。
在單純的 Windows NT 4.0 SP4 或更新環境,包括 Windows 2000 和 Windows XP Professional,請在所有用戶端將此設定設在 \[只傳送 NTLMv2 回應\\拒絕 LM & NTLM\],一但所有用戶端都設定了,就在所有伺服器設定 \[只傳送 NTLMv2 回應\\拒絕 LM & NTLM\]。這項建議的例外是 Windows 2003 路由和遠端存取伺服器,如果這項設定高於 \[只傳送 NTLMv2 回應\\拒絕 LM\],它們就不會正確運作。
「企業用戶端」環境包含「路由和遠端存取」伺服器。因此該環境中的此項設定設為 \[只傳送 NTLMv2 回應\\拒絕 LM\]。「高安全性」環境不包含「路由與遠端存取」伺服器,所以該環境中的此項設定設在 \[只傳送 NTLMv2 回應\\拒絕 LM & NTLM\]。
如果您有 Windows 9*x* 用戶端,就可在所有這類用戶端安裝 DSClient,並將執行Windows NT (Windows NT, Windows 2000 及 Windows XP Professional) 的電腦設為 \[只傳送 NTLMv2 回應\\拒絕 LM & NTLM\]。不然您在不執行 Windows 9*x* 的電腦的設定必須低於 \[只傳送 NTLMv2 回應\]。
如果您發現啟用這項設定時應用程式會中斷,可一次退回一步去找尋中斷的應用程式。在所有電腦的這項設定至少要設為 \[若有交涉,傳送 LM & NTLM — 傳送 NTLMv2 工作階段安全性\],並依照一般的設定,將環境中所有電腦設成 \[只傳送 NTLMv2 回應\]。
#### 網路安全性:LDAP 用戶端簽章要求
**\[表 88\]:設定**
\[網路安全性:LDAP 用戶端簽章要求\] 設定替發送 LDAP BIND 要求的用戶端決定要求資料簽章的層級。未經簽章的網路傳輸易受到人為攻擊。如果是 LDAP 伺服器,就表示攻擊者可能導致伺服器根據 LDAP 用戶端的錯誤查詢做決定。基於這些理由,此設定在本指南定義的三種環境裡均設定為 \[交涉簽章\]。
#### 網路安全性:NTLM SSP 為主的 (包含安全 RPC) 用戶端的最小工作階段安全性
**\[表 89\]:設定**
\[網路安全性:NTLM SSP 為主的 (包括安全 RPC) 用戶端的最小工作階段安全性\] 設定允許用戶端要求交涉訊息機密性 (加密)、訊息簽章、128 位元加密或 NTLM version 2 (NTLMv2) 工作階段安全性。請盡量將此設定值提高,另一方面仍然允許網路上的應用程式完全運作,以確保來自 NTLM SSP架構的伺服器的網路傳輸受到保護,避免遭受人為攻擊和資料曝露。
#### 網路安全性:NTLM SSP 為主的 (包含安全 RPC) 用戶端的最小工作階段安全性
**\[表 90\]:設定**
\[網路安全性:NTLM SSP 為主的 (包括安全 RPC) 伺服器的最小工作階段安全性\] 設定允許伺服器要求交涉訊息完整項 (加密)、訊息簽章、128 位元加密或 NTLMv2 工作階段安全性。請盡可能提高這項設定值,另一方面則仍然允許網路上的應用程式完全運作,以確保從 NTLM SSP 用戶端的網路流量,避免人為攻擊與資料曝露。
#### 修復主控台:允許自動系統管理登入
**\[表 91\]:設定**
\[修復主控台:允許自動系統管理登入\] 設定決定是否要在允許存取系統之前,先給予 **Administrator** 帳戶的密碼。如果啟用這個選項,修復主控台不會要求您提供密碼,而會自動登入系統。在排解疑難及修復系統不能正常重新啟動時,修復主控台很有用。不過啟用這項設定可能有害,因為任何人都能進入伺服器,中斷電源關閉、重新啟動、從 \[重新啟動\] 功能表選取 \[修復主控台\],然後奪取伺服器的全部控制權。因此在本指南定義的三種環境中這項設定設為預設值。若要在停用這項預設值時使用「修復主控台」,使用者則必須輸入使用者名稱和密碼來存取「修復主控台」帳戶。
#### 修復主控台:允許軟碟複製以及存取所有磁碟和所有資料夾
**\[表 92\]:設定**
啟用 \[修復主控台:允許軟碟複製以及存取所有磁碟和所有資料夾\] 設定使「修復主控台」的 \[設定\] 命令可用,允許您設定下列「修復主控台」環境變數:
- **AllowWildCards**:啟用萬用字元支援某些命令 (例如 \[DEL\] 命令)
- **AllowAllPaths**:允許存取電腦所有檔案和資料夾
- **AllowRemovableMedia**:允許複製檔案到如軟碟機的移除式媒體
- **NoCopyPrompt**:覆寫現存檔案時不要提示
針對最高安全性,這項設定在「高安全性」環境裡設為 \[停用\]。
#### 關機:允許不登入就將系統關機
**\[表 93\]:設定**
\[關機:允許不登入就將系統關機\] 安全性選項設定決定不需要登入 Windows 作業系統是否就可關閉電腦。能存取主控台的使用者可能會關閉系統。攻擊者或被誤導的使用者可能不須表明身分就可透過「終端機服務」連上伺服器,關閉或重新啟動伺服器。因此所有三種環境均應將這項設定設為預設值。
#### 關機:清除虛擬記憶體分頁檔
**\[表 94\]:設定**
\[關機:清除虛擬記憶體分頁檔\] 設定決定再系統關閉時是否清除虛擬記憶體分頁檔。啟用這項設定時會導致系統在每次系統順利關機時清除分頁檔。如果您啟用這項設定,在手提電腦系統停用休眠時,休眠檔 (hiberfil.sys) 也會實體清空。關閉及重新啟動伺服器會更費時,在有大量分頁檔的伺服器會特別明顯。因此這項設定於「高安全性」環境設為 \[啟用\],而於「舊用戶端」及「企業用戶端」環境設為 \[停用\]。
**注意:**能實體存取伺服器的攻擊者只要切斷伺服器電源,即可躲過這項因應對策。
#### 系統密碼編譯:對使用者儲存在電腦上的金鑰強制使用增強式金鑰保護
**\[表 95\]:設定**
| 未定義 |
首次使用金鑰時提示使用者 |
首次使用金鑰時提示使用者 |
使用者每次使用金鑰時需輸入密碼 |
\[系統密碼編譯:對使用者儲存在電腦上的金鑰強制使用增強式金鑰保護\] 設定決定使用者的私密金鑰 (如 S-MIME 金鑰) 是否需要密碼才可使用。如果已設定原則,使用者在每次使用金鑰時都必須提供一個不同於網域使用的密碼,如此即使攻擊者控制電腦及破解登入密碼,也很難存取本機儲存的使用者金鑰。針對「舊用戶端」及「企業用戶端」環境的使用性,這項設定均設為 \[首次使用金鑰時提示使用者\]。如需進一步保護環境,在「高安全性」環境裡這項設定要設為 \[使用者每次使用金鑰時需輸入密碼\]。
#### 系統密碼編譯:使用 FIPS 相容方法於加密,雜湊,以及簽章
**\[表 96\]:設定**
\[系統密碼編譯:使用 FIPS 相容方法於加密,雜湊,以及簽章\] 安全性選項設定決定是否 TLS/SSL (Transport Layer Security/Secure Sockets Layer) 安全性提供者只支援 TLS\_RSA\_WITH\_3DES\_EDE\_CBC\_SHA cipher suite。啟用這項設定能確保您環境中的電腦會使用最強的演算法來數位加密、雜湊及簽章。如此可將未經授權的使用者損害數位加密或簽章資料的風險最小化。因此在本指南定義的三種環境中這項設定均設為 \[停用\]。
#### 系統物件:系統管理員群組成員所建立物件的預設擁有者
**\[表 97\]:設定**
| 系統管理員群組 |
物件建立者 |
物件建立者 |
物件建立者 |
\[系統物件:系統管理員群組成員所建立物件的預設擁有者\] 設定決定 Administrator 群組或物件建立者,是否就是任何已設系統物件的預設擁有者。設立系統物件時,擁有權會反映一般 **Administrator** 群組以外設立了物件的帳戶。
#### 系統物件:要求不區分大小寫用於非 Windows 子系統
**\[表 98\]:設定**
\[系統物件:要求不區分大小寫用於非 Windows 子系統\] 安全性選項設定決定所有子系統是否強化不區分大小寫。Microsoft Win32 系統不區分大小寫。不過核心支援其他系統的不區分大小寫,例如 Portable Operating System Interface for UNIX (POSIX)。既然 Windows 不區分大小寫 (但是 POSIX 子系統支援不區分大小寫),不加強這項設定讓子系統的使用者,可以混合大小寫來設立名稱相同的檔案。如此會阻擋另一個透過正常的 Win32 工具存取這些檔案的使用者,因為只有其中一個檔案可用。為確保檔案名稱一致,在本指南定義的三種環境中這項設定設為 \[啟用\]。
#### 系統物件:加強內部系統物件的預設權限 (例如:符號連結)
**\[表 99\]:設定**
\[系統物件:加強內部系統物件的預設權限 (例如:符號連結)\] 設定決定物件的預設判別存取控制清單 (DACL) 的強度。這項設定可協助在處理序中可指出位址與分享的物件。確保已設定預設增強 DACL,可允許非系統管理員的使用者讀取共用物件,但對任何不是他們設立的物件無法修改。因此這項設定在本指南定義的三種環境中設為預設的 \[啟用\]。
#### 系統設定:選擇性的子系統
**\[表 100\]:設定**
\[系統設定:選擇性的子系統\] 設定決定哪些子系統用來支援您環境中的應用程式。Windows Server 2003 中預設為 \[POSIX\]。若要停用 POSIX 子系統,這項設定在本指南定義的三種環境中設為 \[無\]。
[](#mainsection)[回到頁首](#mainsection)
### 事件日誌
事件日誌記錄系統的事件。安全性記錄記錄稽核事件。「群組原則」的事件日誌容器用來定義應用程式、安全性和系統事件日誌的屬性,例如記錄大小的最大值、每個記錄的存取權限和保留設定方法。應用程式、安全性與系統事件日誌的設定是設為 MSBP,也可應用在網域的所有成員伺服器。
「事件日誌」可在 Windows Server 2003 的下列位置於「群組原則物件編輯器」中設定:
電腦設定\\Windows 設定\\安全性設定\\事件日誌
本節針對在本 MSBP 指南定義的三種環境提供推薦的安全性選項詳細資料。如需有關本單元推薦的設定摘要,請參閱「Windows Server 2003 安全性指南」設定 Excel 試算表。若要取得預設設定的資訊或本節討論的各項設定的詳細說明,請參閱同系列指南的《Threats and Countermeasures:Windows Server 2003 和 Windows XP 中的安全性設定 (Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP (英文)》,位於: [https://go.microsoft.com/fwlink/?LinkId=15159](https://go.microsoft.com/fwlink/?linkid=15159)。
#### 應用程式記錄檔大小最大值
**\[表 101\]:設定**
| 16,384 KB |
16,384 KB |
16,384 KB |
16,384 KB |
\[應用程式記錄檔大小最大值\] 設定指定應用程式記錄檔大小的最大值,該值最大有4 GB,因為記憶體分散的風險會導致執行變慢與不可靠的事件登入,所以不建議使用。對應用程式記錄檔大小的要求,依平台的功能及對應用程式相關事件歷程記錄的需求而不同。所有三種環境均使用預設值 16,384 KB。
#### 安全性記錄檔大小最大值
**\[表 102\]:設定**
| 16,384 KB |
81,920 KB |
81,920 KB |
81,920 KB |
\[安全性記錄大小最大值\] 安全性設定指定安全性事件日誌大小的最大值,最大有 4 GB。將網域控制器的安全性記錄檔及獨立的伺服器至少設為 80 MB,如此應能恰當地儲存足夠的資訊進行稽核。為其他系統的這個記錄檔設立恰當大小,要依據包括評閱記錄檔的次數、可用的磁碟空間等等因素。
#### 系統記錄檔大小最大值
**\[表 103\]:設定**
| 16,384 KB |
16,384 KB |
16,384 KB |
16,384 KB |
\[系統記錄檔大小最大值\] 設定指出應用程式事件日誌檔大小的最大值,該值最大有 4 GB,但是不建議使用,因為記憶體分散的風險會導致執行緩慢及不可靠的事件登入。對應用程式記錄檔大小的要求,依平台的功能及對應用程式相關事件歷史記錄的需求而不同。所有三種環境均使用 16,384 KB 預設值。
#### 不允許本機 Guest 存取應用程式記錄
**\[表 104\]:設定**
\[不允許本機 Guest 存取應用程式記錄\] 設定決定是否避免 Guest 存取應用程式事件日誌。Windows Server 2003 預設所有系統不准 Guest 存取。因此這項設定在預設系統沒有真正效用。不過這被認為是沒有副作用的深度防禦。
**注意:**這項設定不會顯現在「本機電腦原則物件」
#### 不允許本機 Guest 存取安全性記錄
**\[表 105\]:設定**
\[不允許本機 Guest 存取安全性記錄\] 設定決定是否避免 Guest 存取安全性事件日誌。使用者必須擁有本指南未定義的「管理稽核及安全性記錄」使用者權限來存取安全性記錄。因此這項設定在預設系統沒有真正效用。不過這項設定被認為是沒有副作用當作的深度防禦。
**注意:**這項設定不會顯現在「本機電腦原則物件」
#### 不允許本機 Guest 存取系統記錄
**\[表 106\]:設定**
\[不允許本機 Guest 存取系統記錄\] 設定決定是否避免 Guest 存取系統事件日誌。Windows Server 2003 預設所有系統不准 Guest 存取。因此這項設定在預設系統沒有真正效用。不過這被認為是沒有副作用的深度防禦。
**注意:**這項設定不會顯現在「本機電腦原則物件」
#### 應用程式記錄保持方法
**\[表 107\]:設定**
\[應用程式記錄保持方法\] 設定決定應用程式記錄的「包裝」方式。如果需要舊事件來協助討論或排解疑難,就必須定期保存應用程式記錄。視需要覆寫事件可確保記錄永遠儲存最近的事件,雖然這可能導致舊事件的遺失。
#### 安全性記錄保持方法
**\[表 108\]:設定**
\[安全性記錄保持方法\] 設定決定安全性記錄應用程式記錄的「包裝」方式。如果需要舊事件來協助討論或排解疑難,就必須定期保存安全性記錄。視需要覆寫事件可確保記錄永遠儲存最近的事件,雖然這可能導致舊事件的遺失。
#### 系統記錄保持方法
**\[表 109\]:設定**
\[系統記錄保持方法\] 設定決定系統記錄的「包裝」方式。如果需要舊事件來協助討論或排解疑難,就必須定期保存記錄。視需要覆寫事件可確保記錄永遠儲存最近的事件,雖然這可能導致舊事件的遺失。
[](#mainsection)[回到頁首](#mainsection)
### 系統服務
首次安裝 Windows Server 2003 時,即會建立預設系統服務並在設定在系統啟動時執行。這些系統服務很多不需要在本指南定義的三種環境中執行。
Windows Server 2003 有額外的選擇性服務可用,例如在預設安裝 Windows 2003 時未安裝的「驗證服務」。這些選擇性服務可藉由「新增/移除程式」或「Windows Server 2003 設定您的服務精靈」在現有系統新增,或藉由設立自訂的自動安裝 Windows Server 2003。
任何服務或應用都可能受到攻擊。因此目標環境中任何不需要的服務或執行檔都要停用或移除。MSBP 只啟用Windows Server 2003 成員伺服器需要的服務來加入 Windows Server 2003 網域,提供基本服務。每個伺服器角色需要的特定服務也要啟用。特定群組原則將會在本指南其他單元講述,並會詳述加強每個伺服器角色所需要的特定步驟。
每個伺服器角色需要的特定服務啟用在每個伺服器角色基礎,這些伺服器角色的特定「群組原則」在下一個單元中講述。假如本指南詳述的環境需要額外伺服器角色,以前就需要啟用額外伺服器了。舉例來說,假設 Microsoft SQL 伺服器需要用來在網路應用程式儲存客戶資料,在過去就會需要安裝 SQL 伺服器。在這個例子,運用在新伺服器角色的「群組原則」也需要設定,並將「SQL 服務」設為 \[自動\]。
**注意:**如果啟用額外伺服器,接著就會有依賴者需要進一步服務。所有特定伺服器角色需要的服務可在它在您組織中執行的伺服器角色原則新增。
系統服務設定可在 Windows Server 2003「群組原則物件編輯器」的下列位置設定:
電腦設定\\Windows 設定\\安全性設定\\系統服務\\
本節針對在本 MSBP 指南定義的三種環境提供推薦的安全性選項詳細資料。如需有關本單元推薦的設定摘要,請參閱「Windows Server 2003 安全性指南」設定 Excel 試算表。若要取得預設設定的資訊或本節討論的各項設定的詳細說明,請參閱同系列指南的《Threats and Countermeasures:Windows Server 2003 和 Windows XP 中的安全性設定 (Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP)》,位於: [https://go.microsoft.com/fwlink/?LinkId=15159](https://go.microsoft.com/fwlink/?linkid=15159)。
#### 警訊器
**\[表 110\]:設定**
「警訊器」系統服務會通知選定的使用者和電腦有關系統管理警訊。請使用警訊器服務將警告訊息傳送給連接至您網路的指定使用者。為了確保本指南中定義的三種環境具有更高的安全性,請停用這項服務。如果停止這項服務,使用系統管理警視器的程式將會無法接收警訊。
**注意:**停用這項服務可能會中斷不斷電供應系統 (UPS) 警告訊息系統的功能。
#### 應用程式層閘道服務
**\[表 111\]:設定**
「應用程式層閘道服務」系統服務是網路連線共用 (ICS) /網際網路連線防火牆 (ICF) 服務的子元件,支援獨立軟體販賣者 (ISV) 寫入通訊協定外掛程式,可讓專屬網路協定通過防火牆,再 ICS 後進行運作。為了確保本指南中定義的三種環境具有更高的安全性,請停用這項服務。
#### 應用程式管理
**\[表 112\]:設定**
「應用程式管理」系統服務提供軟體安裝服務,例如「指定」、「發行」和「移除」。這項服務程序需要列舉、安裝和移除透過公司網路部署的程式。當您在加入網域的電腦按一下 \[新增/移除程式\],此程式會呼叫這項服務來擷取您部署的程式清單。大多數公司不使用這項系統服務,反而使用自動軟體傳送應用程式來散佈套裝軟體。因此請停用基準線服務原則的這項服務。
#### ASP .NET 狀態服務
**\[表 113\]:設定**
| aspnet_state |
未安裝 |
停用 |
停用 |
停用 |
「ASP .NET 狀態服務」系統服務支援 ASP.NET 的跨處理序工作階段狀態,這項服務在基準線原則設定為 \[停用\]。
#### 自動更新
**\[表 114\]:設定**
「自動更新」系統服務啟用關鍵Windows Update 程式的下載與安裝。為了確保本指南中定義的三種環境具有更高的安裝更新軟體的控制權,請停用這項服務。欲搜尋、下載、和安裝可用的關鍵修正,請到 Windows Update 網站,網址為
| BITS |
手動 — 自動,如果 BITS 工作擱置 |
手動 |
手動 |
手動 |
「幕後智慧型傳送服務 (BITS)」系統服務是一種幕後檔案傳輸機制及佇列管理員。BITS 是用來非同步傳輸用戶端和 HTTP 伺服器之間的檔案。對 BITS 的要求是使用其他閒置的網路頻寬進行提交和傳輸檔案,讓其他網路相關的活動 (例如瀏覽) 不致受到影響。在本指南所定義的三個環境中,這個服務被設定為 \[手動\]。
#### 憑證服務
**\[表 116\]:設定**
「憑證服務」系統服務是核心作業系統的的一部份,可讓業務具有自己憑證授權單位 (CA) 的功能,以發行和管理數位憑證。這是特定伺服器角色用的服務。因此,請對本指南中定義的三個環境在基礎伺服器原則中停用這個設定。
#### MS 軟體陰影複製提供者
**\[表 117\]:設定**
「MS 軟體陰影複製提供者」系統服務管理針對「媒體陰影複製」服務取得的檔案陰影複製進行軟體管理。陰影複製供您建立磁碟媒體的複本 (或無誤複本),該複本可以代表該媒體的前後一致及時唯讀點。這個及時點將保持不變,並允許應用程式,例如,Ntbackup,將資料從陰影複製複製到磁帶。如果停用這個服務,將無法管理以軟體為基礎的媒體陰影複製。
#### Client Service for Netware
**\[表 118\]:設定**
| NWCWorkstation |
未安裝 |
停用 |
停用 |
停用 |
「Client Service for Netware」系統服務可將 NetWare 網路上的檔案和列印資源存取權提供給互動方式登入已安裝此服務的伺服器的使用者。藉由 Client Service For NetWare,您可以從您的電腦存取執行 Novell Directory Services (NDS) 或裝訂安全性 (NetWare 3.x 或 4.x) 的 Netware Servers 上的檔案和列印資源。為了確保本指南中定義的三種環境具有更高的安全性,請停用這項服務。
#### 剪貼簿
**表 119:設定**
「剪貼簿」系統服務可以啟用剪貼本檢視器來建立和共用可以被遠端電腦檢視的資料「頁」。此服務會依賴 Network Dynamic Data Exchange (NetDDE) 服務來建立其他電腦可以連接的實際檔案共用,而「剪貼簿」應用程式和服務可讓您建立要共用的資料分頁。
為了確保本指南中定義的三種環境具有更高的安全性,請停用這項服務。任何明確依賴這個服務的服務,都將無法正常啟動。Clipbrd.exe 仍可以用來檢視本機剪貼簿。當使用者選取文字接著按一下 \[編輯\] 功能表上的 \[複製\] 或按 CTRL+C 時,資料便存到其中。
#### 叢集服務
**表 120:設定**
「叢集服務」系統服務控制伺服器叢集作業並管理叢集資料庫。叢集是獨立電腦構成的集合,視為單一電腦時容易使用,但卻不容易管理。管理員將它視為單一系統,程式設計師和使用者將它視為單一系統。「叢集服務」將資料和計算擴展到叢集的節點。某個節點失效時,其它節點可以提供該節點之前提供的服務和資料。新增或修復節點時,「叢集服務」軟體遷移一些資料和計算到該節點上。為了確保本指南中定義的三種環境具有更高的安全性,請停用這項服務。
#### COM+ 事件系統
**表 121:設定**
「COM+ 事件系統」服務提供將事件散佈給訂閱端 COM 元件的自動化。「COM+ 事件系統」服務擴充 COM+ 程式設計模型,以支援發佈者或訂閱者和事件系統之間的延後繫結事件或方法呼叫。當有資訊可用時,事件系統會通知您,而不是反覆輪詢伺服器。為確保本指南定義的三個環境中的可用性和更大的安全性,請將這個服務設成 \[手動\]。
#### COM+ 系統應用程式
**表 122:設定**
「COM+ 系統應用程式」系統服務管理以 COM+ 為基礎之元件的設定和追蹤。這在標準伺服器環境上,並非必要的。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 電腦瀏覽器
**表 123:設定**
「電腦瀏覽器」系統服務維護一份最新的您網路上的電腦清單,並提供給需要它的程式。「電腦瀏覽器」服務供需要檢視網路網域和資源的 Windows 架構電腦使用。為確保本指南定義的三個環境中更大的安全性,請將這個服務設成 \[自動\]。
#### 加密服務
**表 124:設定**
「加密服務」系統服務可對您的電腦提供密鑰管理服務。為確保本指南定義的三個環境中更大的安全性,必須設定這個系統服務,並設成**自動。**如果這個服務已經停止,以上所提的管理服務將不會正常運作。
#### DHCP 用戶端
**表 125:設定**
「DHCP 用戶端」系統服務管理網路設定,方式是登錄和更新 IP 位址以及對您具有 DNS 伺服器的電腦進行動態網域命名服務 (DDNS) 登錄的更新。當用戶端 (例如漫遊使用者),在網路中漫遊時,您不必手動變更 IP 設定。用戶端將自動被給予新的 IP 位址,並和重新連接的子網路無關,只要那些子網路每一個都能夠存取到 DHCP SERVER即可。為確保本指南定義的三個環境中更大的安全性,請將這個設定設成 \[自動\]。如果這個服務已經停止,您的電腦將不會收到動態 IP 位址和 DNS 更新。另外,也請注意,停用 DHCP 用戶端會阻止伺服器無法透過 DDNS 在 DNS 登錄。
#### DHCP SERVER
**表 126:設定**
\[DHCP SERVER\] 系統服務配置 IP 位址,並將網路設定中的進階設定,例如 DNS 伺服器和 WINS 伺服器,啟用為自動 DHCP 用戶端。本指南中定義的三個環境中成員伺服器不需要 \[DHCP SERVER\]。不過,這個設定對所有三個環境中的 DHCP SERVER是必要的,而且設成 \[自動\]。
#### 分散式檔案系統
**表 127:設定**
「分散式檔案系統」(DFS) 服務管理分散於本機或大型區域網路的邏輯媒體。DFS 是分散式服務,可將分散檔案共用整合成單一邏輯名稱區。本指南中定義的三個環境中成員伺服器不需要 DFS。不過,這個設定對所有三個環境中的網域控制站是必要的,而且設成 \[自動\]。
#### 分散式連結追蹤用戶端
**表 128:設定**
「分散式連結追蹤用戶端」系統服務維持您電腦內,或您網域內不同電腦間的 NTFS 檔案連結。分散式連結追蹤 (DLT) 用戶端服務能在目標檔案重新命名或移動後,仍確保捷徑、物件連結及嵌入 (OLE) 連結能持續有效。為了確保本指南中定義的三種環境具有更高的安全性,分散式連結追蹤用戶端服務乃設定為停用。若是停用這項服務,您電腦內的連結就不會被維持或追蹤。
#### 分散式連結追蹤伺服器
**表 129:設定**
「分散式連結追蹤伺服器」系統服務會儲存資訊,使檔案在不同磁碟區移動時能被同網域內的每一個磁碟區追蹤。啟用時,「分散式連結追蹤伺服器」服務會執行於網域控制站。因此,這個服務在網域控制站原則中,僅設定為 \[自動\]。
#### 分散式異動協調器
**表 130:設定**
「分散式異動協調器」系統服務負責對多個電腦系統、或資源管理員的異動進行協調,例如資料庫、訊息佇列、檔案系統或受保護的資源管理者之其他異動。在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### DNS 用戶端
**表 131:設定**
「DNS 用戶端」系統功能是用來解析和快取您電腦的 DNS 名稱。DNS 用戶端服務必須執行於每台電腦中,以解析 DSN 名稱。尋找 Active Directory 網域中的網域控制站,解析 DNS 名稱是必要的。對於找尋那些使用 DSN 名稱解析的裝置來說,執行 DSN 用戶端服務也是十分重要的。因此,在本指南所定義的三個環境中,這個服務被設定為 \[自動\]。
#### DNS 伺服器
**表 132:設定**
「DNS 伺服器」系統服務能透過回應查詢功能解析 DNS 名稱,並更新對 DNS 名稱的要求。要在 Active Directory 中尋找被識別為使用 DNS 名稱的裝置,就有必要使用 DNS 伺服器。在標準伺服器上,這些功能是不必要的;僅有網域控制站需要這項功能。因此,在本指南所定義的三個環境的基準原則中,這項設定是停用的。僅有三個環境中的 DNS 伺服器上,會把這項系統服務的設定值設定為 \[自動\]。
#### 錯誤報告服務
**表 133:設定**
「錯誤報告服務」系統服務能收集、儲存未預期的應用程式關閉,回報給 Microsoft,並授權在非標準環境上執行的服務及應用程式的錯誤報告。這項服務提供 Microsoft 產品群有用的資訊,來去除驅動程式及應用錯誤的錯誤。當顯示錯誤通知服務啟用,當問題發生時,使用者仍然會獲得訊息指示,不過不會回報這項資訊給 Microsoft 或本區網路錯誤報告伺服器。因此,在本指南所定義的三個環境中,這個服務被設定為停用。
#### 事件日誌
**表 134:設定**
「事件日誌」系統服務讓以 Windows 為基礎的程式及元件,能發出事件日誌訊息顯示在「事件檢視器」上。「事件日誌」報告內含的資訊,對問題的診斷很有用。若是「事件日誌」停用,您會無法追蹤事件,這會使得成功診斷系統問題的能力大幅降低。因此,在本指南所定義的三個環境中,這個服務的設定被設定為 \[自動\]。
#### 傳真服務
**表 135:設定**
「傳真服務」系統服務是個相容於電話語音 API (TAPI) 的服務,提供您的電腦發送傳真的功能。「傳真服務」允許使用者從他們的桌面應用程式使用本機傳真裝置或共用網路傳真裝置,來傳送及接收傳真。在基準的伺服器上,這項服務是被停用的,這時您的電腦就無法傳送或接受傳真。
#### 檔案複寫
**表 136:設定**
「檔案複寫服務」(FRS) 可自動複製檔案,並且同時在多重伺服器進行維護。若是「檔案複寫服務」停用,檔案複寫就不會發生,伺服器資料就不會同步複寫。在網域控制站的案例上,停用 FRS 服務對網域控制站的功能會有嚴重的影響。因此,在基準原則上,這項服務的設定值被設定為 \[停用\]。不過,在本指南所定義的三個環境的網域控制站基準原則中,這項設定是設成 \[自動\] 的。
#### 供 Macintosh 使用的檔案伺服器
**表 137:設定**
「供 Macintosh 使用的檔案伺服器與」系統服務使 Macintosh 使用者能在本區 Windows 伺服器電腦上存取檔案。這在標準伺服器環境上,並非必要的。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### FTP 發行服務
**表 138:設定**
「FTP 發行服務」透過連上 IIS 提供連線及管理。在標準伺服器環境中,「FTP 發行服務」並非必要的。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 幫助和支援
**表 139:設定**
「幫助和支援」系統服務,使\[幫助和服務中心\]能在您的電腦上執行。這項服務支援 \[幫助和服務中心\],並使用戶端應用程式和幫助資料能相互連線。若是這項系統服務停用,就無法取得 \[幫助和服務中心\]。在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### HTTP SSL
**表 140:設定**
「HTTP SSL」系統服務,使 IIS 能執行 SSL 功能。HTTP SSL 服務確保電子交易安全;然而,在基準原則上,為了減少攻擊面,建議您設定這項服務為 \[停用\]。因此,這個服務在 IIS 伺服器角色原則中,僅設定為 \[自動\]。
#### 人性化介面裝置存取
**表 141:設定**
「人性化介面裝置存取」系統服務使一般輸入能進入人性化介面裝置 (HID),這使得那些預設快鍵的鍵盤、遠端控制及其他多媒體裝置的效用能被啟動及維持住。在基礎伺服器上,這些功能並非必要的。基於這個原因,這項服務的設定值被設為 \[停用\]。
#### IAS Jet 資料庫存取
**表 142:設定**
「IAS Jet 資料庫存取」系統服務僅在 64 位元版本的 Windows Server 2003 上提供。這項服務使用遠端驗證撥入使用者服務 (RADIUS) 協定,以提供認證、授權及帳戶服務。這項服務被設定為 \[停用\]。
#### IIS 管理服務
**表 143:設定**
「IIS 管理服務」允許在管理 IIS 的元件,例如 FTP、應用程式庫、網站、網站服務擴充、以及網路 NEWS 傳輸通訊協定 (NNTP) 及簡單郵件傳輸協定 (SMTP) 兩個虛擬伺服器。若是這項服務被停用,您就無法使用 Web、FTP、NNTP 或 SMTP 站台。因此,在 IIS 伺服器原則中,設定這些服務為 \[自動\]。在基礎伺服器上,這些功能並非必要的。因此,這些服務會被設定為 \[停用\]。然而,在 IIS 的角色原則中,這些服務被設定為 \[自動\]。
#### IMAPI CD — Burning COM 服務
**表 144:設定**
「IMAPI CD — Burning COM 服務」透過影像操控應用程式介面 (IMAPI) COM 介面管理 CD burning,並當使用者透過 Windows Explorer、Windows Media® Player (WMP) 或第三方使用這 API 的應用程式提出請求時,執行 CD-R 寫入。在標準伺服器環境中,這些功能並非必要。因此,這些服務會被設定為 \[停用\]。
#### 索引服務
**表 145:設定**
「索引服務」索引本地和遠端電腦上檔案的內容和屬性,透過靈活查詢語言提供快速檔案存取。「索引服務」也使您可以快速的找尋本地或遠端電腦的文件,或找尋網站分享的索引。在標準伺服器環境中,這些功能並非必要。因此,這項服務被設定為 \[停用\]。
#### 紅外線監視器
**表 146:設定**
「紅外線監視器」系統服務使檔案及影像可以藉由紅外線分享。僅在安裝 Windows Server 2003 作業系統期間,有偵測到紅外線裝置時,這項服務才會預設安裝。Windows Server 2003 網站、企業或資料中心的伺服器並不提供這項服務。
若停用這項服務,檔案及影像就無法透過紅外線分享。在基礎伺服器上,這些功能並非必要的。因此,這些服務會被設定為 \[停用\]。
#### Internet Authentication Service
**表 147:設定**
「網際網路驗證服務」(IAS) 集中管理網路連入的驗證、授權、稽核及帳戶管理等功能。IAS 是用於虛擬私人網路 (VPN)、撥號、802.1X 無線或乙太網路交換連線嘗試透過連入伺服器來進行傳送,這適用於 IETF RADIUS 協定。在標準伺服器環境中,這些功能並非必要。因此,這些服務會被設定為 \[停用\]。
#### 網際網路連線防火牆 (ICF) / 網際網路連線分享 (ICS)
**表 148:設定**
「網際網路連線防火牆 (ICF) /網際網路連線分享 (ICS)」系統服務為透過撥接或寬頻連線的家庭或小型辦公網路,提供網路位址轉換 (NAT),定址及名稱解析,和防止入侵服務。在標準伺服器環境中,這些功能並非必要。因此,這些服務會被設定為 \[停用\]。
#### 站台間訊息服務
**表 149:設定**
| ISMSERV |
停用 (為網域控制站而啟用) |
停用 |
停用 |
停用 |
「站台間訊息服務」系統服務讓 Windows 伺服器站台間的電腦能互相傳遞訊息。這項服務是用站台間以郵件為準的回應。對於站台間回應功能,Active Directory 還包括支援藉由 IP 傳輸的 SMTP。在標準伺服器環境中,這些功能並非必要。因此,這項服務被設定為 \[停用\]。不過,網域控制站需要這項服務。基於此原因,「站台間訊息服務」服務在本指南中定義的三種環境中的網域控制站,均設定為 \[自動\]。
#### IPv6 幫助服務
**表 150:設定**
「IPv6 幫助服務」系統服務提供 IPv6 連線在已存在的 IPv4 網路上執行。在標準伺服器環境中,這些功能並非必要。因此,這項服務被設定為 \[停用\]。
#### IPSEC 原則代理 (IPSec 服務)
**表 151:設定**
「IPSEC 原則代理」服務提供 TCP/IP 網路上的用戶端與伺服器間,端對端的安全性。也管理 IP 安全性 (IPSec) 原則,開啟網際網路關鍵交換 (IKE),及協調 IP 安全性驅動程式和 IPSec 原則設定。在本指南所定義的三個環境中,這個服務被設定為停用。
#### Kerberos 金鑰發佈中心
**表 152:設定**
「Kerberos 金鑰發行中心」系統服務讓使用者能藉由 Kerberos v5 授權協定登入網路。因此,在網域控制站原則中,設定這些服務為 \[自動\]。
#### 使用權記錄服務
**表 153:設定**
| LicenseService |
停用 |
停用 |
停用 |
停用 |
「使用權記錄服務」監視並記錄某些作業系統的用戶端進入使用權。這包括 IIS、終端機伺服器及檔案/列印,另外非作業系統部分的 SQL 伺服器及 Microsoft Exchange 伺服器也包括在內。在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 邏輯磁碟管理者
**表 154:設定**
「邏輯磁碟管理者」系統服務偵測及監視新的硬碟驅動程式,並傳送磁碟磁區資訊給邏輯磁碟管理者系統管理服務做設定之用。這項服務監看新磁碟的隨插即用事件,並偵測及傳送容量和磁碟磁區給邏輯磁碟管理者系統管理服務,以做為設定之用。因此,在本指南所定義的三個環境中,這個服務被設定為 \[手動\]。
#### 邏輯磁碟管理者系統管理服務
**表 155:設定**
「邏輯磁碟管理者系統管理服務」執行磁碟管理請求及硬碟驅動程式和磁區的系統管理服務。「邏輯磁碟管理者系統管理服務」僅當您設定磁碟驅動程式、磁碟分割或偵測到新磁碟時才會啟動。因此,在本指南所定義的三個環境中,這個服務被設定為 \[手動\]。
#### 訊息佇列
**表 156:設定**
「訊息佇列」系統服務是個訊息基礎及開發工具,用來建立 Windows 的訊息散布應用程式。這在標準伺服器環境上,並非必要的。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 訊息佇列下層用戶端
**表 157:設定**
「訊息佇列下層用戶端」系統服務 讓網域控制站上的訊息佇列用戶端 (Windows 9*x*、 Windows NT 4.0 和 Windows 2000) 能進入 Active Directory。這在標準伺服器環境上,並非必要的。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 訊息佇列觸發程式
**表 158:設定**
「訊息佇列觸發程式」系統服務能採標準的規則方式,來監視訊息佇列行列中的傳入訊息,並在滿足這個規則時,會觸發一 COM 元件或是獨立的執行程式去執行這個訊息。這在標準伺服器環境上,並非必要的。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 信差
**表 159:設定**
「信差」系統服務讓用戶端和伺服器間能互相傳送警示服務訊息。這項服務和 Windows Messenger 無關。這在標準伺服器環境上,並非必要的。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### Microsoft POP3 服務
**表 160:設定**
「Microsoft POP3 服務」提供電子郵件寄送與取回的服務。管理者可以利用 POP3 服務來儲存及管理郵件伺服器上的電子郵件帳戶。這在標準伺服器環境上,並非必要的。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### MSSQL$UDDI
**表 161:設定**
「MSSQL$UDDI」系統服務,即通用描述、探索、整合系統服務,是一項出版業的工業分類,能找尋網站服務的資訊。Windows Server 2003 家族包含 UDDI 服務,是一項網站服務可提供企業內或跨組織的 UDDI 的執行能力。這在標準伺服器環境上,並非必要的。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### MSSQLServerADHelper
**表 162:設定**
| MSSQLServerADHelper |
未安裝 |
停用 |
停用 |
停用 |
「MSSQLServerADHelper」系統服務能使 SQL 伺服器和 SQL 伺服器分析服務不在本地系統帳戶執行時,仍能在 Active Directory 出版資訊。這在標準伺服器環境上,並非必要的。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### .NET 架構支援服務
**表 163:設定**
「.NET 架構支援服務」系統服務 能在某特別程序啟用 Client Runtime Service 時,通知連結的用戶端。「.NET 架構支援服務」提供一被稱作 Common Language Runtime 的 runtime 環境,可以用來管理程式碼的執行,並能讓開發程序比較簡單。這在標準伺服器環境上,並非必要的。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### Netlogon
**表 164:設定**
「Netlogon」系統服務維護一條位於您的電腦和網域控制站間的安全通道,這通道只讓授權的使用者及服務通過。若是這項服務停用,系統網路內的電腦就可能是非授權的使用者或服務,可能會使網域控制站無法登錄 DNS 記錄。尤其是,停用這項服務,可能會拒絕 NTLM 的驗證請求,為了避免讓用戶端電腦找不到網域控制站。基於這些原因,設定這項服務為 \[自動\]。
#### NetMeeting 遠端桌面共用
**表 165:設定**
「NetMeeting 遠端桌面共用」系統服務能讓一已驗證的使用者透過 Microsoft NetMeeting® 會議軟體在企業內部網路上,遠端連入這台電腦。這項服務可透過 NetMeeting 立即啟用,也可在 NetMeeting 上停用或透過 Windows 工具列圖示關閉。這在標準伺服器環境上,並非必要的。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 網路連線
**表 166:設定**
「網路連線」服務能管理網路連線資料夾內的物件,在裡面您可以檢視網路及遠端連線兩者。當開啟類型為 \[手動\],且網路連線已連上,這項服務會自動啟動。在本指南所定義的三個環境中,這個服務被設定為 \[手動\]。
#### 網路 DDE
**表 167:設定**
「網路 DDE」統服務能為執行於同台電腦或不同電腦間的程式的動態資料交換 (DDE) 功能,提供網路傳輸和安全性。這在標準伺服器環境上,並非必要的。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 網路 DDE DSDM
**表 168:設定**
「網路 DDE DSDM」系統服務管理 DDE 網路共用。此服務僅由「網路 DDE」服務用來管理共用的 DDE 交談。這在標準伺服器環境上,並非必要的。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 網路找尋識別 (NLA)
**表 169:設定**
「網路找尋識別 (NLA)」系統服務能收集並儲存網路設定資訊,例如 IP 位址及網域名稱異動,同樣也找尋資訊異動,一旦這些資訊異動,會接著通知程式這些資訊。停用這項服務會使它無法進行網路找尋,任何依靠它的服務會立即無法開啟。在標準伺服器環境中,可能需要這項功能。因此,在本指南所定義的三個環境中,這個服務被設定為 \[手動\]。
#### 網路 NEWS 傳輸通訊協定 (NNTP)
**表 170:設定**
「網路 NEWS 傳輸通訊協定 (NNTP)」系統服務允許 Windows Server 2003 電腦執行新聞伺服器的功能。這在標準伺服器環境上,並非必要的。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### NTLM 安全性支援提供者
**表 171:設定**
「NTLM 安全性支援提供者」系統服務讓使用傳輸不是命名管道的 PRC 程式提供安全性,並讓使用 NTLM 驗證協定的使用者登入網路。NTLM 協定驗證用戶端,並不使用 Kerberos v5 驗證。若是這項服務停用,使用 NTLM 驗證協定的使用者,就無法登入或存取網路資源。因此,在本指南所定義的三個環境中,這個服務被設定為 \[自動\]。
#### 效能記錄檔及警示
**表 172:設定**
「效能記錄檔及警示」系統服務以預設的時程表參數為基準,自本地或遠端電腦收集效能資料;而後將資料寫成記錄或觸發警示。在標準伺服器上,這些功能是必要的。因此,在本指南所定義的三個環境中,這個服務被設定為 \[手動\]。
#### 隨插即用
**表 173:設定**
「隨插即用」系統服務讓電腦能在少數或沒有使用者插入硬體時,能辨示及應用這些硬體。若是這項服務藉由 MSCONFIG 除錯工具停用,裝置管理員介面會顯示空白,不會出現任何硬體裝置。因此,在本指南所定義的三個環境中,這個服務被設定為 \[自動\]。
#### 可攜式媒體序號
**表 174:設定**
「可攜式媒體序號」系統服務可以取回任何連入您的電腦的可攜式音樂播放器的序號。在標準伺服器環境中,這些功能並非必要。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 可列印 Macintosh 文件伺服器
**表 175:設定**
「可列印 Macintosh 文件伺服器」系統服務讓 Macintosh 用戶端能在 Windows Server 2003 企業伺服器上,路由到列印多工緩衝處理器進行列印。在標準伺服器環境中,這些功能並非必要。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 列印多工緩衝處理器
**表 176:設定**
「列印多工緩衝處理器」系統服務管理所有的本地及網路列印佇列,並控制所有的列印工作。在標準伺服器環境中,這些功能並非必要。因此,這項服務被設定為停用。然而,基於列印伺服器的角色,這些服務被設定為 \[自動\]。如需更多有關本伺服器角色的資訊,請參閱《[強化 Windows Server 2003 列印伺服器》](https://technet.microsoft.com/zh-tw/library/8f6db8a1-ca44-4385-8294-160133c6db15(v=TechNet.10))單元。
#### 受保護的儲存內容
**表 177:設定**
| ProtectedStorage |
自動 |
自動 |
自動 |
自動 |
「受保護的儲存內容」系統服務保護敏感資訊的儲存,例如私人密碼、並防止未授權的服務、程序或使用者連入。若是這項服務停用,私人密碼將無法連入,已認證的伺服器也無法操作,S/MIME 和 SSL 將無法作業,智慧卡也會無法登入。基於這些原因,設定這項服務為 \[自動\]。
#### 遠端連入自動連線管理員
**表 178:設定**
「遠端連入自動連線管理員」系統服務當偵測到未能成功連入遠端網路或電腦的嘗試時,會提供可連線的替代方法。「遠端連入自動連線管理員」服務,能當一程式嘗試連線遠端 DNS 或 NetBIOS 名稱或位址而失敗時,會建立一連往遠端網路的撥接或虛擬私人網路 (VPN) 連線。在標準伺服器環境中,這些功能並非必要。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 遠端連入連線管理員
**表 179:設定**
「遠端連入連線管理員」系統服務能管理自您的電腦連往網際網路或其他遠端網路的撥接及 VPN 連線。在標準伺服器環境中,這些功能並非必要。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 遠端系統管理服務
**表 180:設定**
「遠端系統管理服務」系統服務,當伺服器重新啟動時,負責執行下列遠端系統管理任務:
- 增加伺服器開機的計數
- 若是伺服器未設定日期及時間時,則發出警告。
- 當事件電子郵件通知功能未被設定,則發出警告。
在本指南所定義的三個環境中,這個服務被設定為 \[手動\]。
#### 遠端桌面協助程式工作階段管理員
**表 181:設定**
「遠端桌面幫助工作階段管理」系統服務能管理及控制幫助及支援中心應用程式的遠端幫助功能 (helpctr.exe)。這在標準伺服器環境上,並非必要的。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 遠端安裝
**表 182:設定**
「遠端安裝服務」(RIS) 系統服務」是一項 Windows 的部署功能,Windows Server家族的成員均有提供此功能。這在標準伺服器環境上,並非必要的。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 遠端程序呼叫 (RPC)
**表 183:設定**
「遠端程序呼叫 (RPC)」系統服務 是項程序間通訊 (IPC) 的安全機制,使得不同程序上可以執行資料互換及呼叫功能。不同程序可在同個電腦、同個區域網路 (LAN),或跨越網際網路上都可以執行同程序。這項服務不應停用。停用「遠端程序呼叫 (RPC)」服務會使得作業系統不再載入大量依賴它的服務。因此,在本指南所定義的三個環境中,這個服務被設定為 \[自動\]。
#### 遠端程序呼叫 (RPC) 定位程式
**表 184:設定**
| RpcLocator |
手動 (網域控制站上為自動) |
停用 |
停用 |
停用 |
「遠端程序呼叫 (RPC) 定位程式」系統服務讓 RPC 用戶端使用 API 家族的 RpcNs\*,來定位 RPC 伺服器,並管理 RPC 名稱伺服器的資料庫。在標準伺服器環境中,這些功能並非必要。因此,這些服務會被設定為 \[停用\]。不過,網域控制站需要這項系統服務,並設此功能為 \[自動\]。
#### 遠端登錄服務
**表 185:設定**
| RemoteRegistry |
自動 |
自動 |
自動 |
自動 |
「遠端登錄服務」系統服務讓遠端使用者能在您的電腦上修改登錄;提供遠端使用者需要的權限。此服務主要是由遠端系統管理員及效能計數器所使用。若是「遠端登錄服務」停用,修改登錄的能力會限制在本地電腦上,而任何明確依賴此服務的服務會無法啟用。因此,在本指南所定義的三個環境中,這個服務被設定為 \[自動\]。
#### 遠端伺服器管理員
**表 186:設定**
「遠端伺服器管理員」的執行是由 Windows Management Instrumentation (WMI) 實例提供者管理遠端系統管理警報物件,以及一個 WMI 方法提供者管理遠端系統管理工具。這在標準伺服器環境上,並非必要的。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 遠端伺服器監視器
**表 187:設定**
「遠端伺服器監視器」系統服務 讓您能監視主要系統資源,並能管理遠端管理伺服器上選用裝配的看門狗計數器硬體。在標準伺服器環境中,這些功能並非必要。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 遠端儲存通知
**表 188:設定**
| Remote_Storage_User_Link |
未安裝 |
停用 |
停用 |
停用 |
「遠端儲存通知」系統服務會當您在讀取或寫入那些僅能在第二儲存媒體取得的檔案時,通知您。在標準伺服器環境中,這些功能並非必要。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 遠端存放伺服器
**表 189:設定**
| Remote_Storage_Server |
未安裝 |
停用 |
停用 |
停用 |
「遠端存放伺服器」系統服務能將不常使用的檔案儲存於次要存放媒體。當離線檔案被存取時,這項服務會透過遠端存放通知的功能告知使用者。由於在標準伺服器環境中,這些功能並非必要的,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### 卸除式存放裝置
**表 190:設定**
「卸除式存放裝置」系統服務管理及分類卸除式媒體,並操作自動卸除媒體裝置。這項服務維護一個您電腦所使用的可卸除媒體分類識別資訊,包括磁帶機和光碟機。由於在標準伺服器環境中,這些功能並非必要的,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
**重要事項:**若使用 Ntbackup.exe 來做系統備份作業,即需要此服務,並且必須將其設定為 \[手動\]。
#### 原則結果組提供者
**表 191:設定**
「原則結果組提供者」系統服務使您能連上一個 Windows Server 2003 網域控制站,進入這台電腦的 WMI 資料庫,並模擬原則結果組 (RSoP) 對群組原則的設定,這可以用來讓使用者或電腦定位於執行在 Windows 2000 上的 Active Directory 中,或是在 Windows 2000 的網域中。通常這稱作規劃模式。由於在標準伺服器環境中,這些功能並非必要的,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### 路由和遠端存取
**表 192:設定**
「路由和遠端存取」系統服務提供多重通訊協定 LAN-to-LAN、LAN-to-WAN、虛擬私人網路 (VPN) 及網路位址翻譯 (NAT) 等路由服務。此外,這項服務也提供撥接及虛擬私人網路的遠端存取服務。由於在標準伺服器環境中,這些功能並非必要的,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### SAP 代理
**表 193:設定**
「SAP 代理」系統服務會使用 IPX 服務廣告通訊協定 (IPX SAP),於 IPX 網路上宣傳網路服務。由於在標準伺服器環境中,這些功能並非必要的,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### 次要登錄
**表 194:設定**
「次要登錄」系統服務讓使用者能在不同安全性原則的脈絡下建立程序。權限受限的使用者通常使用這項服務,以較高的權限登入,暫時執行系統管理程式。這項服務可讓使用者使用其他的憑據來啟用程序。在標準伺服器環境中,這些功能並非必要的。儘管這項服務對用戶端電腦很有用,但並不適用於多數伺服器,因為以互動式登入使用伺服器的使用者,會成為 IT 團隊的一份子,執行一些通常要系統管理特權才能執行的維護工作。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 安全性帳戶管理員
**表 195:設定**
「安全性帳戶管理員」(SAM) 系統服務是個受保護的子系統,負責管理使用者及群組的帳戶資訊。在 Windows 2000 和 Windows Server 2003 家族,本機電腦登錄內的 SAM 會儲存工作站安全性帳戶,而網域控制站帳戶則儲存在 Active Directory。這項服務不應停用。
#### 伺服器
**表 196:設定**
「伺服器」系統服務提供 RPC 支援、檔案、列印和網路上的具命管道共用。基於這些原因,在本指南的三個定義環境中,建議將這項服務設定為 \[自動\]。
#### Shell 硬體偵測
**表 197:設定**
| ShellHWDetection |
自動 |
停用 |
停用 |
停用 |
「Shell 硬體偵測」系統服務會對自動播放硬體事件進行監視及提供通知。對標準伺服器原則而言,這並非必要的服務,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### Simple Mail Transport Protocol (SMTP)
**表 198:設定**
「Simple Mail Transport Protocol (SMTP)」系統服務能在網路上傳輸電子郵件。對標準伺服器原則而言,這並非必要的服務,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### 簡單 TCP/IP 服務
**表 199:設定**
「簡單 TCP/IP 服務」系統服務能支援下列 TCP/IP 通訊協定:
- Echo (port 7, RFC 862)
- Discard (port 9, RFC 863)
- Character Generator (port 19, RFC 864)
- Daytime (port 13, RFC 867)
- Quote of the Day (port 17, RFC 865)
由於在標準伺服器環境中,這些功能並非必要的,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### Single Instance Storage Groveler
**表 200:設定**
「Single Instance Storage Groveler」(SIS) 系統服務是個遠端安裝服務 (RIS) 的整合元件,可以減少 RIS 區所需要的總體存放容量。對標準伺服器原則而言,這並非必要的服務,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### 智慧卡
**表 201:設定**
「智慧卡」系統服務能在智慧卡插入您電腦的智慧卡讀取裝置時,管理與控制智慧卡的存取。若是這項服務被停用,您環境中的電腦就不能讀取智慧卡。同樣的,任何必須仰賴它的功能也將無法使用。由於在標準伺服器環境中,這些功能並非必要的,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
**注意:**要用來驗證原則的驗證形式,會以兩種識別要項,來驗證其識別身分通常這會包含出示一些您知道以及您擁有的東西,例如,將智慧卡插入電腦,並輸入那張卡的個人識別碼。而第三個常用來證明身分的要項,是展示您的特徵;例如在一個「兩個要項」的識別中,包括這個類型,會需要使用者在輸入密碼後,以及假定能進入限制區域前,先接受視網膜掃描。利用智慧卡來執行多要項的驗證身分是最佳作法,且已被所有的系統管理帳戶採用。若是您的組織採用智慧卡驗證,這項服務需設定為 \[手動\]。
#### SNMP 服務
**表 202:設定**
「SNMP 服務」讓傳入的 SNMP 請求能夠由本機電腦提供服務。「SNMP 服務」具有代理程式,能監視網路裝置的活動,並能回報給網路主控工作站。在三個環境中,「SNMP 服務」並非必要的,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### SNMP 陷阱服務
**表 203:設定**
「SNMP 陷阱服務」接收由本機或遠端 SNMP 代理程式所產生的陷阱訊息,並傳送這個訊息給執行於您電腦中的 SNTP 管理程式。對標準伺服器原則而言,這並非必要的服務,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### 特殊系統管理主控台協助程式
**表 204:設定**
「特殊系統管理主控台協助程式」系統服務 (SAC) 在 Windows Server 2003 的作業系統家族因停止錯誤訊息而停止工作時,能執行遠端管理工作。對標準伺服器原則而言,這並非必要的服務,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### SQLAgent$\* (\*UDDI 或 WebDB)
**表 205:設定**
| SQLAgent$WEBDB |
未安裝 |
停用 |
停用 |
停用 |
「SQLAgent$\* (\* UDDI 或 WebDB)」是個工作排程器,及監視服務。它也可以在兩台執行 SQL 伺服器的電腦上移動資訊,主要是用來執行備份和複寫。若是「SQLAgent$\* (\* UDDI 或 WebDB)」服務停用,SQL 就無法執行複寫。此外,這會使所有的排程工作、警報/事件的監視及 SQL 伺服器服務的自動重新啟動都停止。若這項服務被停用,任何必須依賴它的功能也將無法使用。對標準伺服器原則而言,這並非必要的服務,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### 系統事件通知
**表 206:設定**
「系統事件通知」系統服務能監視並追蹤系統事件,例如 Windows 的網路登錄及電源事件,接著會將這些事件通知給 COM+ 事件系統訂閱者。在本指南所定義的三個環境中,這個服務被設定為 \[自動\]。
#### 工作排程器
**表 207:設定**
「工作排程器」系統服務讓您能設定及排程您電腦上的自動工作。工作排程器服務依您選定的條件進行監視,並在符合條件時執行工作。對標準伺服器原則而言,這並非必要的服務,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
**重要事項:**若使用 Ntbackup.exe 來排程備份工作,這項服務需設為 \[自動\]。
#### TCP/IP NetBIOS 輔助服務
**表 208:設定**
「TCP/IP NetBIOS 協助程式服務」系統服務允許支援 TCP/IP 上的 NetBIOS (NetBT) 服務及對您的網路用戶端進行 NetBIOS 名稱解析,讓使用者能共用檔案、列印及網路登入。在本指南所定義的三個環境中,這個服務被設定為 \[自動\]。
#### TCP/IP 列印伺服器
**表 209:設定**
「TCP/IP 列印伺服器」系統服務使用 Line Printer Daemon 傳輸協定,來啟用 TCP/IP 列印工作。在標準伺服器環境中,這項功能並非必要的,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### 電話語音
**表 210:設定**
「電話語音」服務對那些控制電話語音裝置的程式提供 API (TAPI) 支援,並能支援在本機電腦上和執行此項服務之伺服器的區域網路內的 IP 語音連線。對標準伺服器原則而言,這並非必要的服務,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### Telnet
**表 211:設定**
Windows 的「Telnet」系統服務會提供 ASCII 終端機工作階段給 Telnet 用戶端。這項服務支援兩種類型的驗證及四種類型的終端機:ANSI、VT – 100、VT – 52 和 VTNT。對標準伺服器原則而言,這並非必要的服務,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### 終端機服務
**表 212:設定**
「終端機服務」系統服務提供多重工作階段環境,讓用戶端裝置能連入一個虛擬的 Windows 桌面工作階段以及伺服器上所執行的 Windows 程式。「終端機服務」允許多個使用者互動地登入電腦,並於遠端桌面上顯示桌面及應用程式。「終端機服務」系統服務,預設是在遠端系統管理模式下安裝的。若要在應用程式模式下安裝「終端機服務」,使用 \[設定您的伺服器\] 或 \[新增/移除 Windows 元件\],來更改「終端機服務」模式。因為這項服務對伺服器的遠端系統管理來說,是個很有用的工具,因此,在本指南定義的三個環境中,這個服務被設定為 \[自動\]。
**注意:**為防止您的環境中的電腦被遠端操作,將 \[系統內容\] 對話方塊的 \[遠端\] 索引標籤上的 \[允許遠端協助\] 和 \[允許遠端桌面\] 核取方塊取消。
#### 終端機服務授權
**表 213:設定**
| TermServLicensing |
未安裝. |
停用 |
停用 |
停用 |
「終端機服務授權」系統服務會安裝一授權伺服器,且在連上終端機伺服器時,提供登錄用戶授權。對標準伺服器原則而言,這並非必要的服務,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### 終端機服務工作階段目錄
**表 214:設定**
「終端機服務工作階段目錄」系統服務提供一多工作階段環境,讓用戶端裝置能連入虛擬的 Windows 桌面,以及 Windows Server 2003 上執行的 Windows 程式。對標準伺服器原則來說,這項服務並非必要的,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### 主題
**表 215:設定**
「主題」系統服務讓使用者體驗主題管理服務。「主題」服務支援新版 Windows XP Professional 圖形使用者介面 (GUI) 的轉換作業。對標準伺服器原則而言,這並非必要的服務,因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### Trivial FTP Daemon
**表 216:設定**
「Trivial FTP Daemon」(TFTP) 系統服務不需要使用者名稱或密碼,是個 RIS 的整合元件。「Trivial FTP Daemon」服務支援下列 RFC 定義的 TFTP 通訊協定:
- RFC 1350 - TFTP
- RFC 2347 - Option extension
- RFC 2348 - Block size option
- RFC 2349 - Timeout interval and transfer size options
若是這項服務停用,用戶端電腦就無法從這台伺服器提出 RIS 請求。不過,在標準伺服器環境中,這些功能並非必要。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 不斷電供電系統
**表 217:設定**
「不斷電供電系統」系統服務會管理連接到您電腦序列埠的不斷電供電系統 (UPS)。對標準伺服器原則而言,這並非必要的服務,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### 上載管理員
**表 218:設定**
「上載管理員」系統服務會管理網路上用戶端和伺服器間的同步和異步的檔案傳輸。驅動程式資料不具名的自用戶端電腦上傳到 Microsoft,並用來幫助使用者尋找他們系統所需要的驅動程式。對標準伺服器原則而言,這並非必要的服務,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### 虛擬磁碟服務
**表 219:設定**
「虛擬磁碟服務」(VDS) 系統服務提供單一介面來管理虛擬化區塊儲存,不管是在作業系統軟體、多重陣列獨立磁碟 (RAID) 儲存硬碟的子系統上或是其他虛擬引擎上,都可進行此作業。由於在標準伺服器環境中,這些功能並非必要的,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### 磁碟區陰影複製
**表 220:設定**
「磁碟區陰影複製」系統服務會管理並執行磁碟區陰影複製功能,來進行備份或其他工作。這對標準伺服器原則而言,是十分必要的,因此,在本指南所定義的三個環境中,這個服務設定為 \[手動\]。
#### WebClient
**表 221:設定**
「WebClient」系統服務使 Win32 應用程式能存取網際網路上的文件。對標準伺服器原則而言,這並非必要的服務,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### 網站元素管理員
**表 222:設定**
「網站元素管理員」系統服務負責提供網站使用者介面元素,用於 port 8098 的系統管理網站。在標準伺服器環境中,這項功能並非必要的,因此,在本指南所定義的三個環境中,這個服務被 \[停用\]。
#### Windows 音效
**表 223:設定**
「Windows 音效」系統服務支援聲音及相關的 Windows 音效事件功能。在標準伺服器環境中,這項功能並非必要的,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### Windows 影像擷取 (WIA)
**表 224:設定**
「Windows 影像擷取 (WIA)」系統服務為掃描器及照相機提供影像擷取服務。對標準伺服器原則而言,這並非必要的服務,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### Windows Installer
**表 225:設定**
「Windows Installer」系統服務在安裝程序執行期間,套用一集中定義的設定規則組,來管理應用程式的安裝和移除。對標準伺服器環境而言,這項服務是必要的,因此在本指南所定義的三個環境中,這個服務被設定為 \[自動\]。
#### Windows 網際網路名稱服務 (WINS)
**表 226:設定**
「Windows 網際網路名稱服務 (WINS)」系統服務能夠解析 NetBIOS 名稱。要找出以 NetBIOS 命名的網路資源,WINS 伺服器是必要的。WINS 伺服器是是必要的,除非所有的網域已升級到 Active Directory,以及所有的網路元件都是執行 Windows Server 2003。在標準伺服器環境中,這些功能並非必要。基於這些原因,建議設定這項服務的作用值為 \[停用\]。在架構伺服器的角色原則中,這些服務也被設定為 \[自動\]。
#### Windows Management Instrumentation
**表 227:設定**
「Windows Management Instrumentation」系統服務提供一個共同的介面和物件模型,來存取作業系統、裝置、應用程式及服務等管理資訊。WMI 是個基礎結構,用來建立目前這代 Microsoft 作業系統附帶的管理應用程式及規範。若是這項功能被停用,多數的 Windows 基準程式將無法適當執行,且任何必須依賴它的服務也會無法啟用。因此,在本指南所定義的三個環境中,這個服務被設定為 \[自動\]。
#### Windows Management Instrumentation 驅動程式擴充
**表 228:設定**
「Windows Management Instrumentation 驅動程式擴充」系統服務監控所有設定為發佈 WMI,或事件追蹤資訊的驅動程式和事件追蹤提供者。在本指南所定義的三個環境中,這個服務被設定為 \[手動\]。
#### Windows Media Services
**表 229:設定**
「Windows Media Services」系統服務提供以 IP 為主的網路資料流媒體服務。這項服務取代了 4.0 版和 4.1 版 Windows Media Services 裡四項獨立的服務:Windows Media 監視服務、Windows Media 程式服務、Windows 工作站服務及 Windows Media 單點廣播服務。在標準伺服器環境中,這些功能並非必要的,因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### Windows 系統資源管理員 (WSRM)
**表 230:設定**
| WindowsSystemResourceManager |
未安裝 |
停用 |
停用 |
停用 |
「Windows 系統資源管理員」(WSRM) 系統服務是個幫助客戶將應用程式部署於整合方案中的工具。在標準伺服器環境中,這項功能並非必要的,因此,本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### Windows 時間
**表 231:設定**
「Windows 時間」系統服務能讓 Windows 網路中所有執行的電腦的日期和時間保持一致。它使用網路時間通訊協定 (NTP) 來同步化電腦時鐘,在網路確認及資源存取請求時會指派正確的時間值以及時間戳記。對於 Active Directory 網域中可靠的 Kerberos 驗證來說,這項服務十分重要,因此,在本指南所定義的三個環境中,這項服務設定為 \[自動\]。
#### WinHTTP 代理網站自動找尋服務
**表 232:設定**
| WinHttpAutoProxySvc |
手動 |
停用 |
停用 |
停用 |
「WinHTTP 代理網站自動探索服務」系統服務能為 Windows HTTP 服務 (WinHTTP) 執行代理網站自動探索 (WPAD) 通訊協定。WPAD 通訊協定能讓 HTTP 用戶端自動找到代理設定。在標準伺服器環境中,這項功能並非必要的,因此,本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### 無線設定
**表 233:設定**
| WZCSVC |
在標準伺服器、企業伺服器及資料中心伺服器上,這項服務設定為自動。在網站伺服器上,這項服務設定為手動。 |
停用 |
停用 |
停用 |
「無線零設定」系統服務能自動設定無線通訊產品的 IEEE 802.11 無線網路介面卡。對標準伺服器原則而言,這並非必要的服務,因此,本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### WMI 效能介面卡
**表 234:設定**
「WMI 效能介面卡」系統服務提供來自 WMI HiPerf 提供者的效能程式庫資訊。這項服務為手動服務,預設的情況下是停用的。效能用戶端 (例如,Sysmon) 使用效能資料協助程式 (PDH) 來查詢效能資料時,它會依照情況所須而執行。一旦用戶端離線,這項服務也就停止。若是這項服務停用,WMI 效能計數器也會停止。因此,在本指南所定義的三個環境中,這個服務設定為 \[手動\]。
#### 工作站
**表 235:設定**
| Lanmanworkstation |
自動 |
自動 |
自動 |
自動 |
「工作站」系統資源負責建立和維護用戶端網路連線及通訊。這項服務若停用,您就無法建立與遠端伺服器的連線,無法透過具命管道存取檔案。因此,在本指南所定義的三個環境中,這個服務被設定為 \[自動\]。
#### World Wide Web Publishing 服務
**表 236:設定**
「World Wide Web Publishing 服務」系統服務透過網際網路資訊服務嵌入式管理單元,提供網站連線及系統管理。在標準伺服器原則中,這項服務並非必要的,因此,本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
[](#mainsection)[回到頁首](#mainsection)
### 其他登錄設定
其他登錄值項目,是為本指南所提三個安全環境的系統管理範本 (.adm) 檔案內未定義的標準安全範本檔案,所建立的登錄項目。.adm 檔案定義 Windows Server 2003 的桌面、shell 及安全性等系統原則及限制。
這些設定嵌入於安全性範本內的安全選項中,能自動更改。若是原則被移除,這些設定不會跟著自動移除,必須透過登錄編輯工具,如 Regedt32.exe,才能手動進行更動。一樣的登錄值會套用到三個環境。
藉由再登錄 scecli.dll,與修改 sceregvl.inf 檔案,本指南和其他設定新增至安全性設定編輯器 (SCE),sceregvl.inf 檔案位於 %windir%\\inf 資料夾。原始的安全性設定和其他設定,一同位於本單元先前條列的嵌入式管理單元和工具集中的 \[本機原則\\安全性\] 中。當您要依照本指南提供的安全性範本及群組原則進行編輯前,你得先更新電腦中的 sceregvl.inf 檔案,並重登錄 scecli.dll,可參閱相關指南,《Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP (英文)》,位於: [https://go.microsoft.com/fwlink/?LinkId=15159](https://go.microsoft.com/fwlink/?linkid=15159)。
本節僅為其他登錄設定的摘要,相關指南會有詳細說明。若要取得預設設定的資訊或本節討論的各項設定的詳細說明,請參閱同系列指南的《Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP (英文)》,位於: [https://go.microsoft.com/fwlink/?LinkId=15159](https://go.microsoft.com/fwlink/?linkid=15159)。
#### 網路攻擊的安全性考量
**表 237:設定**
| EnableICMPRedirect |
DWORD |
0 |
0 |
0 |
| SynAttackProtect |
DWORD |
1 |
1 |
1 |
| EnableDeadGWDetect |
DWORD |
0 |
0 |
0 |
| EnablePMTUDiscovery |
DWORD |
0 |
0 |
0 |
| KeepAliveTime |
DWORD |
300,000 |
300,000 |
300,000 |
| DisableIPSourceRouting |
DWORD |
2 |
2 |
2 |
| TcpMaxConnectResponseRetransmissions |
DWORD |
2 |
2 |
2 |
| TcpMaxDataRetransmissions |
DWORD |
3 |
3 |
3 |
| PerformRouterDiscovery |
DWORD |
0 |
0 |
0 |
| TCPMaxPortsExhausted |
DWORD |
5 |
5 |
5 |
拒絕服務攻擊 (DoS) 的網路攻擊,意在讓某台電腦或某個特定服務無法讓網路使得者尋得。DoS 攻擊不易抵擋。要幫助防止這些攻擊,應該讓您的電腦更新到最新的安全性修正程式,並強化您 Windows Server 2003 電腦上 TCP/IP 通訊協定的堆疊,這些都曝露於潛在的攻擊者。預設的 TCP/IP 堆疊設定,是設定成處理標準內部網路流量。若是您的電腦直接連上網際網路,Microsoft 建議您強化 TCP/IP 堆疊以防步 DoS 攻擊。
下列登錄值項目,已被新增至位於 **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** 的範本檔案的登錄機碼中。
#### AFD.SYS 設定
**\[表 238\] 設定**
| DynamicBacklogGrowthDelta |
DWORD |
10 |
10 |
10 |
| EnableDynamicBacklog |
DWORD |
1 |
1 |
1 |
| MinimumDynamicBacklog |
DWORD |
20 |
20 |
20 |
| MaximumDynamicBacklog |
DWORD |
20000 |
20000 |
20000 |
Windows 通訊端應用程式,如 FTP 伺服器及網站伺服器,它們的嘗試連線是由 Afd.sy 處理。Afd.sys 已被修改過,以便在不拒絕正常用戶端進行存取的半開放狀態下,可支援大量連線 ()。這使得系統管理員可以設定動態積存。Windows Server 2003 內附的 Afd.sys 版本,可支援四個登錄參數,這可用來控制動態積存行為。
下列登錄值項目,已被新增至位於 **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\AFD\\Parameters\\** 的範本檔案的登錄機碼中。
#### 設定 NetBIOS 名稱釋放安全性:(NoNameReleaseOnDemand) 允許電腦忽略 NetBIOS 名稱釋放請求,除了 WINS 伺服器外
**\[表 239\] 設定**
| NoNameReleaseOnDemand |
DWORD |
1 |
1 |
1 |
本項目顯示為「MSS:(NoNameReleaseOnDemand) 允許電腦忽略 NetBIOS 名稱釋放請求,除了 WINS 伺服器外」在 SCE 中。NetBIOS 位於 TCP/IP 上是種網路協定,對於其他系統的 IP 位址設定,這項協定在 Windows 基準系統上,提供易於解析的 NetBIOS 名稱登錄。這個值決定電腦在接收到名稱釋放請求時,是否釋放 NetBIOS 名稱。
下列登錄值項目,已被新增至位於 **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Netbt\\Parameters\\** 的範本檔案的登錄機碼中。
#### 停用自動產生 8.3 檔案名稱:讓電腦停止產生 8.3 形式的檔案名稱
**\[表 240\] 設定**
| NtfsDisable8dot3NameCreation |
DWORD |
1 |
1 |
1 |
本項目顯示為「MSS:讓電腦停止產生 8.3 形式的檔案名稱」在 SCE 中。Windows Server 2003 支援 8.3 檔案名稱格式,是為了向後相容於 16-bit 的應用程式。8.3 檔案名稱規定,是一項命名格式,規定檔案名稱最多為 8 個字元。
下列登錄值項目,已被新增至位於 **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Control\\FileSystem\\**的範本檔案的登錄機碼中。
#### 停用自動執行:停用所有磁碟的自動執行
**表 241:設定**
| NoDriveTypeAutoRun |
DWORD |
0xFF |
0xFF |
0xFF |
本項目顯示為「MSS:停用所有磁碟的自動執行」在 SCE 中。自動執行功能會在媒體插入您的電腦時,馬上開始讀取磁碟。因此,程式的設定檔案和音效媒體的聲音檔案會即刻啟動。
下列登錄值項目,已被新增至位於 **HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\** 的範本檔案的登錄機碼中。
#### 即刻啟用螢幕保護密碼防護:幾秒後螢幕保護的寬限期到期 (建議值為 0)
**表 242:設定**
| ScreenSaverGracePeriod |
String |
0 |
0 |
0 |
本項目顯示為「MSS:幾秒後螢幕保護的寬限期到期 (建議值為 0)」在 SCE 中。Windows 提供一段寬限期,用來設定螢幕保護啟動及控制台在螢幕保護鎖定啟用後,自動鎖定之間的時間。
下列登錄值項目,已被新增至位於 **HKEY\_LOCAL\_MACHINE\\SYSTEM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\** 的範本檔案的登錄機碼中。
#### 安全性登錄接近容量警告:當安全性事件日誌容量已達百分比閥值時,系統會提出警告
**表 243:設定**
| WarningLevel |
DWORD |
90 |
90 |
90 |
本項目顯示為「MSS:當安全性事件日誌容量已達百分比閥值時,系統會提出警告」在 SCE 中。Windows 2000 SP3 有提供這個選項,這個新功能在安全性事件日誌上,執行安全性的稽核,當安全性記錄到達使用者定義的閥值時提出警告。例如,假設這項數值被設為90,之後當安全性記錄的容量到達90% 時,它會顯示出一個 eventID 523 的事件項目,內含文字如下:「安全性事件日誌已達 90 %。」
**注意:**若是記錄設定被設定為 \[必要時覆寫事件\] 或 \[覆寫在x天前的事件上\] 時,這個事件就不會發生。
下列登錄值項目,已被新增至位於 **HKEY\_LOCAL\_MACHINE\\ SYSTEM\\CurrentControlSet\\Services\\Eventlog\\Security\\** 的安全性範本檔案的登錄機碼中。
#### 啟用安全 DLL 搜尋順序:啟用安全 DLL 搜尋模式 (推薦)
**表 244:設定**
| SafeDllSearchMode |
DWORD |
1 |
1 |
1 |
本項目顯示為「MSS:啟用安全 DLL 搜尋模式 (推薦)」在 SCE 中。可以設定 DLL 搜尋順序,透過下列兩個方法之一的執行順序,來搜尋 DLL 請求:
- 先依系統指定路徑找尋資料夾,接著找尋目前在工作的資料夾。
- 先找尋目前在工作的資料夾,接著依系統指定路徑找尋資料夾。
登錄值設為1。依照 1 的設定,系統先依指定的系統路徑找尋資料夾,接著再找尋目前在工作的資料夾。依照 0 的設定,系統先找尋目前在工作的資料夾,接著再依指定的系統路徑找尋資料夾。
下列登錄值項目,已被新增至位於 **HKEY\_LOCAL\_MACHINE\\ SYSTEM\\CurrentControlSet\\Control\\Session Manager\\** 的範本檔案的登錄機碼中。
[](#mainsection)[回到頁首](#mainsection)
### 其他安全性設定
雖然多數的反制方式,是套用群組原則來強化本指南中所定義的三個環境的標準伺服器,但是還是有一些其他設定是不能或不易套用群組原則的。若要取得本節討論的各項 countermeasures 的詳細說明,請參閱系列指南,《Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP (英文)》,位於: [https://go.microsoft.com/fwlink/?LinkId=15159](https://go.microsoft.com/fwlink/?linkid=15159)。
#### 手動強化程序
本節說明一些其他反制是如何手動執行,例如確保帳戶安全,以及如何透過 shell 指令碼來執行這工作,例如 IPSec 篩選,以確保本指南定義的每一個安全環境的 MSBP 的安全。
#### 手動將唯一的安全性群組新增至使用者權利指派
多數推薦的「使用者權限指派」設定的安全性群組,要如何在安全性範本中進行設定,可在 Windows Server 2003 安全性指引中見得,請參閱:[https://go.microsoft.com/fwlink/?LinkId=14846](https://go.microsoft.com/fwlink/?linkid=14846)。
然而,有一些權限無法加入安全性範本中,因為有一些安全性群組的 SID 在不同的 Windows 2003 網域中是唯一的。問題在於唯一的 RID (相對識別碼,為 SID 的一部分) 是唯一的。這些唯一的實例如下表所說明。
**警告:**下表內所含的值是內建系統管理員的值。內建系統管理員的帳戶是內建的使用者帳戶,而不是安全性群組的「Administrators」。若是安全性群組的系統管理員被加進下列任何拒絕存取使用者權限的例子,您就需要在本地端登入,以修正替系統管理員群組增加權限的錯誤。
此外,內建的系統管理員帳戶,不能從上面推薦的方式中,去更改系統管理員的名字來產生新的名字。當您增加這個帳戶時,確定您正選擇改過名的系統管理員新帳戶。
**表 245:手動新增的使用者權利指派**
| 此電腦拒絕來自網路的存取 |
內建系統管理員; Guests; Support_388945a0; Guest ;所有非作業系統服務的帳戶 |
內建系統管理員; Guests; Support_388945a0; Guest ;所有非作業系統服務的帳戶 |
內建系統管理員; Guests; Support_388945a0; Guest ;所有非作業系統服務的帳戶 |
| 拒絕以批次工作登入 |
Support_388945a0 與Guest |
Support_388945a0 與Guest |
Support_388945a0 與Guest |
| 拒絕透過終端機服務登入 |
內建系統管理員; Guests; Support_388945a0; Guest;所有非作業系統服務帳戶 |
內建系統管理員; Guests; Support_388945a0; Guest;所有非作業系統服務帳戶 |
內建系統管理員; Guests; Support_388945a0; Guest;所有非作業系統服務帳戶 |
**重要事項:**所有非作業系統服務帳戶,是您企業中一個特定用途的服務帳戶。
這**不**包括 LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE 帳戶,那些是作業系統的內建帳戶。
如需增加安全性群組給「使用者權限指派」,請參閱:
[如何使用 Windows Server 2003 套用群組原則和安全性範本](https://technet.microsoft.com/zh-tw/library/b3824180-de7a-4ac4-aa48-4bb422deb784(v=TechNet.10))。
**注意:**確認事件日誌中,群組原則下載成功,以及伺服器可以和網域內的其他網域控制站連線。
#### 保護眾所皆知帳戶
Windows Server 2003 已內建了一些無法刪除、但可以重新命名的使用者帳戶。Windows 2003 內兩個眾所皆知的內建帳戶就是 Guest 和系統管理員。
預設時,Guest 帳戶在成員伺服器和網域控制站上是停用的。您不應該變更這項設定。內建的系統管理員帳戶可以改名,描述也能改變,以防止遠端伺服器的攻擊者取得易辯認帳戶的使用權。
許多惡意程式碼的變種在第一次嘗試滲透伺服器時,就是使用此內建的系統管理員帳戶。此設定變更的值在過去幾年中已經減少,因為透過指定內建 **Administrator** 帳戶的安全性識別碼 (SID),以判斷真實名稱,來嘗試破解伺服器的攻擊工具已經發行。安全性識別元 (SID) 值是唯一的,可用來識別網路中的每個使用者、群組、電腦帳戶與登入工作階段。這個內建帳戶的 SID 是無法變更的。將本機系統管理員帳戶重新更名成唯一名稱,可以讓作業群組更容易監控此帳戶所遭受的企圖攻擊行為。
完成以下步驟,便可保護網域與伺服器上熟知的帳戶:
1. 更改每一個網域及伺服器的系統管理員和 Guest 的帳戶,並更改他們的密碼為較長較複雜的數值。
2. 每個伺服器上使用不同的名稱及密碼。如果所有網域及伺服器上都使用相同的帳戶名稱與密碼,攻擊者在取得一個成員伺服器的存取權限後,就可以使用相同帳戶名稱與密碼來存取所有其他伺服器。
3. 將帳戶說明變更成不同於預設值的說明,以協助防止帳戶易於識破。
4. 將這些變更記錄在安全位置。
**注意:**內建的系統管理員帳戶可以透過群組原則來重新命名。這項設定無法在 DCBP 執行,因為您得在您的環境中挑選一個唯一的名稱。 **帳戶:更改系統管理員帳戶**在本指南定義的三個環境中的設定,可以更改系統管理員的帳戶。這項設定屬於 GPO 安全性選項設定的一部份。
#### 保護服務帳戶
除非絕對必要,否則不設定在網域帳戶的安全性內容下執行服務。若是破解這台伺服器實體,只需傾印 LSA 的密碼,就能輕易取得網域的帳戶密碼。
#### NTFS
NTFS 磁碟分割在檔案和資料夾的層級上,支援 ACL。FAT、FAT32 或檔案系統,並不支援這功能。FAT32 是 FAT 檔案系統的版本之一,升級後,允許更小的預設叢集,並支援 2 TB 的最大硬碟容量。FAT32 內含於 Windows 95 OSR2、Windows 98、Microsoft Windows Me、Windows 2000、Windows XP Professional 和 Windows Server 2003。
格式化所有使用 NTFS 的伺服器磁碟分割。使用這個「轉換公用程式」小心的轉換 FAT 磁碟分割為 NTFS,不過要記住,轉換公用程式會把 ACL 設定在被轉換的**每一台:完全控制**。
對以 Windows 2003 Server 為基準的系統,在本地套用下列安全性範本,以設定預設的檔案系統 ACL 對工作站、伺服器及網域控制站的設定:
- %windir%\\inf\\defltsv.inf
- %windir%\\inf\\defltdc.inf
**注意:**預設的網域控制站安全性設定會在升級伺服器為網域控制站時套用。
本指南所定義的三個環境中,所有伺服器的磁碟分割均採 NTFS 方式,以讓我們可以透過 ACL 進行對檔案和資料夾的安全性管理。
#### 終端機服務設定
**表 246:設定**
\[設定用戶端連線加密層級\] 設定會決定環境中「終端機服務」用戶端連線的加密層級。\[高層級\] 設定選項,是使用 128 位元加密,以防止攻擊者利用封包分析工具,對終端機服務的工作階段進行竊聽。有些舊版的「終端機服務」用戶端不支援此高度加密。如果您的網路中包含這類用戶端,請將傳送與接收資料的連線加密層級,設定為該用戶端使支援的最高加密層級。
在群組原則設定這項設定的方法:
Computer Configuration\\Administrative Templates\\Windows
Components\\Terminal Services\\Encryption and Security.
有三個層級的加密功能,如同下表所說明。
**表 247:終端機服務加密層級**
| 高度 |
這個層級以 128 位元加密自用戶端傳送到伺服器端的資料,以及伺服器端傳回用戶端的資料。當終端機伺服器在只包含 128-bit 用戶端 (例如遠端桌面連線用戶端) 的環境中執行時,請使用此等級。不支援此加密層級的用戶端將無法連線。 |
| 用戶端相容 |
此層級會將用戶端與伺服器之間傳送的資料,以用戶端支援的最大金鑰效力來加密。當終端機伺服器在包含混合或傳統用戶端的環境中執行時,請使用此層級。 |
| 低度 |
這個層級,用戶端和伺服器間的資料傳輸加密是使用 56 位元加密。
重要事項:從伺服器傳送到用戶端的資料並無加密。 |
錯誤報告
表 248:設定
錯誤報告能幫助 Microsoft 追蹤與找出問題。您可以對作業系統錯誤、Windows 元件錯誤或程序錯誤產生的錯誤報告進行設定。啟用「錯誤報告」能將這些錯誤透過網際網路回報給 Microsoft,或是傳給公司內部網路的檔案共用。僅在 Windows XP Professional 和 Windows Server 2003 上提供有這項設定。
在群組原則編輯器設定這些設定的路徑是:
電腦設定\\系統管理員範本\\系統\\錯誤報告
錯誤報告可能包含潛在的敏感資料,或甚至機密的企業資料。Microsoft™ 隱私原則關於錯誤報告的部分,Microsoft Corporation 保證決不會不當使用這些資料。不過這些資料是以 clear-text HTTP 的格式傳遞,這有可能被第三方中途攔截或檢視。基於這些原因,本指南建議您停用「錯誤報告」。
[](#mainsection)[回到頁首](#mainsection)
### 總結
本單元一開始說明了伺服器的強化程序,這程序可套用在本指南所定義的三個安全性環境中的所有伺服器。大部分的程序是透過對每一個安全性環境,建立一個唯一的安全範本,接著將範本匯入一個 GPO 連結,連往成員伺服器的父系 OU,以讓各伺服取得安全性的目標層級。
然而,有些強化程序無法以群組原則套用。對於這些案例,本指南指導您如何手動進行強化程序設定。也提及特定伺服器角色的其他的步驟,使他們在角色功能內還能確保某種程度的安全。
特定伺服器角色的步驟,包括兩個其他的強化程序,也在標準安全性原則上,減少了安全性設定的程序。這些變更在本指南的下列單元有詳細的討論。
#### 其他資訊
下列資訊來源是本指南公開發行當時,與 Windows Server 2003 相關的最新主題。
如需更多有關 Windows Server 2003 安全性設定的說明,請參閱: