第 3 章:Windows XP 用戶端的安全性設定
更新日期: 2006 年 7 月 26 日
本頁內容
概觀
帳戶原則設定
本機原則設定
稽核原則設定
使用者權限指派設定
安全性選項設定
事件紀錄安全性設定
受限群組
系統服務
其他登錄設定
如何修改安全性設定編輯器使用者介面
其他安全性設定
保護檔案系統
總結
概觀
本章詳細說明在 Microsoft® Windows® 2000 或 Windows Server™ 2003 Active Directory® 目錄服務網域中,經由「群組原則」設定的主要安全性設定。請實作指定的原則設定,以確保您組織中執行 Microsoft Windows XP Professional Service Pack 2 (SP2) 的桌上型電腦及膝上型電腦在設定方面顧及安全事宜。本文並未對 Windows XP 中所有可用的原則設定提供指引,僅涵蓋與電腦安全性直接相關的部分。
如第 1 章<Windows XP 安全性指南簡介>所說明,本章所提供的指引是針對本指南所定義的企業用戶端 (EC) 與專業安全性限制功能 (SSLF) 環境。在某些情況下,本章分別針對膝上型電腦和桌上型電腦提出不同的原則設定建議,因為膝上型電腦具有行動功能,而且不一定都是經由您組織的網路來連線到您環境中的網域控制站。此外我們也假設,膝上型電腦的使用者有時必須在沒有現場技術支援的不同時段中工作。基於這些理由,膝上型用戶端電腦所適用、需要連線到網域控制站或支配登入時段的原則設定會不相同。
非為特定環境所指定的原則設定有時是在網域層級進行定義,如第 2 章<設定 Active Directory 網域基礎結構>所述。本章中列為 [尚未定義] 的其他原則設定之所以會以這種方式來處理,是因為預設值對該特定環境而言其安全性已經足夠。此外,這類群組原則物件 (GPO) 中尚未定義的原則設定可用來部署安裝期間需要修改設定的應用程式。例如,企業管理工具可能會需要指派特定的使用者權限給受管理電腦的本機服務帳戶。本章所提出的指引屬建議性質,因此在您的環境中進行任何變更之前,應先謹慎考量自身的業務需求。
下表所列為本指南所提供的基礎結構 (.inf) 檔。檔案中包含針對本章所討論的兩種環境而提供的所有基礎安全性設定規則。
表 3.1 基礎安全性範本
| 桌上型電腦的基礎安全性範本 |
EC-Desktop.inf |
SSLF-Desktop.inf |
| 膝上型電腦的基準線安全性範本 |
EC-Laptop.inf |
SSLF-Laptop.inf |
如需本章所述原則設定的詳細資訊,請參閱同系列指南[*威脅與因應對策:Windows Server 2003 及 Windows XP 中的安全性設定*](https://go.microsoft.com/fwlink/?linkid=15159),下載網址為:https://go.microsoft.com/fwlink/?LinkId=15159。
[](#mainsection)[回到頁首](#mainsection)
### 帳戶原則設定
本章未說明帳戶原則設定的資訊。這類設定在本指南第 2 章<設定 Active Directory 網域基礎結構>中討論。
[](#mainsection)[回到頁首](#mainsection)
### 本機原則設定
凡是執行 Windows XP Professional 的電腦,都可以透過「本機安全性原則主控台」或透過 Active Directory 網域架構的 GPO 進行本機原則設定。本機原則設定包括稽核原則、使用者權限指派,以及安全性選項等方面。
[](#mainsection)[回到頁首](#mainsection)
### 稽核原則設定
「稽核原則」可決定要向系統管理員報告的安全性事件,以記錄指定事件類別的使用者或系統活動。系統管理員可監視安全性的相關活動,例如誰存取了物件、使用者何時登入或登出電腦,或是稽核原則設定是否有變更等。基於這些理由,Microsoft 建議您建立稽核原則,以供系統管理員在您的環境中實作此原則。
然而,尚未實作稽核原則之前,您必須先決定,在您的環境中,哪些事件類別必須接受稽核。您在事件類別內選擇的稽核設定會定義您的稽核原則。當您為特定的事件類別定義稽核設定時,系統管理員就能建立稽核原則,滿足您組織的安全性需求。
如果沒有進行稽核設定,就難以 (甚至無法) 確定安全性事件當時發生的情況。不過,如果因為進行了稽核設定而導致過多的授權活動產生事件,安全性事件日誌中就會充滿無用的資料。後續章節中所提供的資訊可用來協助您決定所要監視的項目,以及如何為您的組織收集相關的稽核資料。
您可以利用「群組原則物件編輯器」,在 Windows XP 的以下位置進行稽核原則設定:
**電腦設定\\Windows 設定\\安全性設定\\本機原則\\稽核原則**
下表彙整本章所討論的兩種安全環境類型中,針對桌上型和膝上型用戶端電腦兩者所建議的稽核原則設定。企業用戶端環境簡稱為 EC,專業安全性限制功能環境則稱為 SSLF。請檢閱這些建議,並依照您組織的需要作適當調整。然而,對於能夠產生龐大流量的稽核設定必須格外謹慎。例如,若為 \[稽核特殊權限使用\] 啟用成功或失敗稽核,這樣將會產生大量的稽核事件,而導致您在安全性事件日誌中不易找到其他類型的項目。此外,這樣的設定方式也會大幅影響效能。以下各節將提供更多關於各個設定的詳細資訊。
**表 3.2 稽核原則設定建議**
| 稽核帳戶登入事件 |
成功 |
成功 |
成功,失敗 |
成功,失敗 |
| 稽核帳戶管理 |
成功 |
成功 |
成功,失敗 |
成功,失敗 |
| 稽核目錄服務存取 |
尚未定義 |
尚未定義 |
尚未定義 |
尚未定義 |
| 稽核登入事件 |
成功 |
成功 |
成功,失敗 |
成功,失敗 |
| 稽核物件存取 |
沒有稽核 |
沒有稽核 |
失敗 |
失敗 |
| 稽核原則變更 |
成功 |
成功 |
成功 |
成功 |
| 稽核特殊權限使用 |
沒有稽核 |
沒有稽核 |
失敗 |
失敗 |
| 稽核程序追蹤 |
沒有稽核 |
沒有稽核 |
沒有稽核 |
沒有稽核 |
| 稽核系統事件 |
成功 |
成功 |
成功 |
成功 |
#### 稽核帳戶登入事件
如果啟用這項原則設定,就會產生憑證驗證事件。這類事件會在對憑證具有授權性的電腦上發生。對網域帳戶而言,網域控制站具有授權性;對本機帳戶而言,本機電腦具有授權性。在網域環境中,「帳戶登入」事件大多發生在對網域帳戶具有授權性的網域控制站中的安全性記錄檔。然而,依照登入所使用的帳戶而定,這類事件也可能發生在組織中的其他電腦上。
本指南中,\[稽核帳戶登入事件\] 這項設定在 EC 環境中只設為 \[成功\],在 SSLF 環境中可設為 \[成功\] 與 \[失敗\]。
#### 稽核帳戶管理
這項原則設定可用來追蹤對建立新使用者或群組、重新命名使用者或群組、啟用或停用使用者帳戶、變更帳戶密碼,以及啟用「帳戶管理」事件稽核等的嘗試。如果您啟用這項稽核原則設定,系統管理員即可追蹤事件,以便偵測惡意、意外或經過授權之下建立使用者和群組帳戶的動作。
\[稽核帳戶管理\] 這項設定在 EC 環境中可設為 \[成功\],在 SSLF 環境中可設為 \[成功\] 與 \[失敗\]。
#### 稽核目錄服務存取
這項原則設定只會針對網域控制站上的稽核工作而啟用。基於此理由,這項設定並未在工作站層級定義。這項原則設定並不適用於執行 Windows XP Professional 的電腦。因此,對於本章所討論的兩種環境,請確定將 \[稽核目錄服務存取\] 設定設為 \[尚未定義\]。
#### 稽核登入事件
這項原則設定所產生的事件可記錄登入工作階段之建立與破壞。這類事件會在所存取的電腦上發生。如為互動式登入,則這類事件可在所登入的電腦上發生。如果是為了存取共用資源而登入網路,這類事件則會發生在主控這些資源的電腦上。
如果您將 \[稽核登入事件\] 這項設定設為 \[沒有稽核\],將難以 (甚至無法) 判定是哪位使用者存取或嘗試存取組織中的電腦。
在 EC 環境中,\[稽核登入事件\] 這項設定是為記錄「成功」事件所設定。在 SSLF 環境中,這項原則設定可設為 \[成功\] 與 \[失敗\] 事件。
#### 稽核物件存取
這項原則設定本身不會導致任何事件受到稽核。對於具有指定的系統存取控制清單 (SACL) 的物件 (例如:檔案、資料夾、登錄機碼或印表機等),這項原則設定可以決定是否要對使用者存取此類物件之事件進行稽核。
一份 SACL 是由幾個存取控制項目(ACE) 所組成。每個 ACE 各包含三個資訊片段:
- 所要稽核的安全性主體 (使用者、電腦或群組)。
- 所要稽核的特定存取類型,即存取遮罩。
- 指示旗標,表示是要稽核失敗的存取事件、成功的存取事件,或是兩者都要稽核。
如果您將 \[稽核物件存取\] 這項設定設為 \[成功\],每回使用者順利存取具有指定的 SACL 之物件時,就會產生稽核項目。如果您將這項原則設定設為 \[失敗\],每回使用者嘗試存取具有指定的 SACL 之物件但失敗時,就會產生稽核項目。
組織在設定 SACL 時,應該只定義所想啟用的動作。例如,您可以啟用可執行檔的 \[寫入資料\] 與 \[附加資料\] 稽核設定,以追蹤資料變更或替換的時間,因為電腦病毒、蠕蟲和特洛伊木馬程式一般都是以可執行檔為攻擊目標。同樣的道理,您也可以追蹤機密文件被存取或變更的時間。
\[稽核物件存取\] 這項設定在 EC 環境中設為 \[沒有稽核\],在 SSLF 環境中設為 \[失敗\]。您必須啟用這項設定,下列程序才會生效。
下列程序說明如何在檔案或資料夾上手動設定稽核規則,以及如何測試指定檔案或資料夾中每一個物件的每一項稽核規則。您可以利用指令檔將測試程序自動化。
**定義檔案或資料夾的稽核規則**
1. 利用 Windows 檔案總管找到該檔案或資料夾,並加以選取。
2. 按一下 \[檔案\] 功能表,並選取 \[內容\]。
3. 按一下 \[安全性\] 索引標籤,再按一下 \[進階\] 按鈕。
4. 按一下 \[稽核\] 索引標籤。
5. 按一下 \[新增\] 按鈕,接著就會出現 \[選擇使用者、電腦或群組\] 對話方塊。
6. 按一下 \[物件類型...\] 按鈕,並在 \[物件類型\] 對話方塊中,選取您想要尋找的物件類型。
**注意:**預設會選取 \[使用者\]、\[群組\] 和 \[內建安全性原則\] 這三個物件類型。
7. 按一下 \[位置...\] 按鈕,在 \[位置:\] 對話方塊中選取您的網域或本機電腦。
8. 在 \[選擇使用者、電腦或群組\] 對話方塊中,鍵入您想要稽核的群組或使用者名稱。接著,在 \[請輸入物件名稱來選取\] 對話方塊中,鍵入 **Authenticated Users** (以稽核所有已驗證使用者的存取),然後按一下 \[確定\]。接著就會開啟 \[稽核項目\] 對話方塊。
9. 使用 \[稽核項目\] 對話方塊來決定您想要對檔案或資料夾稽核的存取類型。
**注意:**請記住,每次存取都可能在事件日誌中產生多個事件,進而導致記錄檔迅速增加。
10. 在 \[稽核項目\] 對話方塊中的 \[列出資料夾/讀取資料\] 旁邊,同時選取 \[成功\] 和 \[失敗\],再按一下 \[確定\]。
11. 您已啟用的稽核項目會出現在 \[進階安全性設定\] 對話方塊的 \[稽核\] 索引標籤下方。
12. 按一下 \[確定\] 關閉 \[內容\] 對話方塊。
**測試檔案或資料夾的稽核規則**
1. 開啟該檔案或資料夾。
2. 關閉該檔案或資料夾。
3. 啟動事件檢視器。事件識別碼為 560 的「物件存取」事件,就會出現在安全性事件日誌中。
4. 依需要按兩下事件來檢視詳細資訊。
#### 稽核原則變更
這項原則設定可決定是否要稽核使用者權限指派原則、Windows 防火牆原則、信任原則,或是稽核原則本身的每一個變更事件。建議的設定能讓您看出攻擊者嘗試提高的帳戶權限,例如:透過新增 \[程式偵錯\] 權限或 \[備份檔案及目錄\] 權限。
\[稽核原則變更\] 設定在本章所討論的兩種環境中均設為 \[成功\]。由於 \[失敗\] 設定值無法在安全性事件日誌中提供有意義的存取資訊,所以未包含在內。
#### 稽核特殊權限使用
這項原則設定可決定是否要稽核使用者行使使用者權限的每一個例項。如果您將這個值設為 \[成功\],每回該使用者權限順利執行時都會產生稽核項目。如果您將這個值設為 \[失敗\],每回該使用者權限未順利執行時都會產生稽核項目。這項原則設定可以產生極大量的事件記錄。
\[稽核特殊權限使用\] 這項設定在 EC 環境中的電腦設為 \[沒有稽核\],在 SSLF 環境中設為 \[失敗\],以便稽核使用特殊權限的所有失敗嘗試。
#### 稽核程序追蹤
這項原則設定會決定是否稽核事件的詳細追蹤資訊,這些事件包括程式啟用、處理程序結束、控制碼複製,以及間接物件存取。啟用 \[稽核程序追蹤\] 會產生大量的事件,所以通常將它設定為 \[沒有稽核\]。然而,有了這項設定,發生事件時的回應期間可從所啟動的程序和啟動時間的詳細記錄檔獲得莫大的幫助。
\[稽核程序追蹤\] 這項設定在本章所討論的兩種環境中均設為 \[沒有稽核\]。
#### 稽核系統事件
這項原則設定非常重要,因為它可讓您監視成功及失敗的系統事件,並提供這些事件的記錄,藉此協助判斷未經授權的系統存取之例項。系統事件包括啟動或關閉您環境中的電腦、事件日誌已滿,或是會影響整個系統的其他安全性相關事件。
\[稽核系統事件\] 這項設定在本章所討論的兩種環境中均設為 \[成功\]。
[](#mainsection)[回到頁首](#mainsection)
### 使用者權限指派設定
某些使用者或群組與 Windows XP Professional 中的多個授權群組相結合之後,均被指派一般使用者所沒有的若干使用者權限。
若要將使用者權限的值設定為 \[無人\],請啟用此設定,但不要加入任何使用者或群組。若要將使用者權限的值設為 \[尚未定義\],請不要啟用此設定。
您可以在「群組原則物件編輯器」的下列位置設定使用者權限指派設定:
**電腦設定\\Windows 設定\\安全性設定\\本機原則\\使用者權限指派**
下表彙整開頭字母為 A 到 E 的使用者權限所建議的使用者權限指派設定。本章所討論的兩種安全環境中,桌上型和膝上型用戶端電腦兩者都有相關建議。以下各節將提供更多關於各個設定的詳細資訊。
以其他字母開頭的使用者權限,其相關建議均彙整於表 3.4,這些使用者權限的其他詳細資訊均記載於該表格之後的小節。
**注意:**Internet Information Server (IIS) 有許多功能需要 IIS\_WPG、IIS IUSR\_*<ComputerName>* 及**IWAM\_*<ComputerName>* 等帳戶,才能取得特定的權限。如需 IIS 相關帳戶需要哪些使用者權限的其他資訊,請參閱 [IIS 與內建帳戶 (IIS 6.0)](https://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/iis/3648346f-e4f5-474b-86c7-5a86e85fa1ff.mspx) (英文),網址為:www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/
IIS/3648346f-e4f5-474b-86c7-5a86e85fa1ff.mspx。
#### 使用者權限 (A - E)
**表 3.3 使用者權限指派設定建議 - 第一部分**
| 從網路存取這台電腦 |
尚未定義 |
尚未定義 |
Administrators |
Administrators |
| 作為作業系統的一部分 |
無人 |
無人 |
無人 |
無人 |
| 調整處理程序記憶體配額 |
尚未定義 |
尚未定義 |
Administrators、Local Service、Network Service |
Administrators、Local Service、Network Service |
| 本機登入 |
Users、Administrators |
Users、Administrators |
Users、Administrators |
Users、Administrators |
| 允許透過終端機服務登入 |
尚未定義 |
尚未定義 |
無人 |
無人 |
| 備份檔案及目錄 |
尚未定義 |
尚未定義 |
Administrators |
Administrators |
| 略過周遊檢查 |
尚未定義 |
尚未定義 |
Administrators、Users |
Administrators、Users |
| 變更系統時間 |
Administrators |
Administrators |
Administrators |
Administrators |
| 建立分頁檔 |
Administrators |
Administrators |
Administrators |
Administrators |
| 建立永久共用物件 |
尚未定義 |
尚未定義 |
無人 |
無人 |
| 建立權杖物件 |
尚未定義 |
尚未定義 |
無人 |
無人 |
| 程式偵錯 |
Administrators |
Administrators |
無人 |
無人 |
| 拒絕從網路存取這台電腦 |
Support_
388945a0、Guest |
Support_
388945a0、Guest |
Support_
388945a0、Guest |
Support_
388945a0、Guest |
| 拒絕以批次工作登入 |
尚未定義 |
尚未定義 |
Support_
388945a0、Guest |
Support_
388945a0、Guest |
| 拒絕本機登入 |
尚未定義 |
尚未定義 |
Support_
388945a0、
Guest、任何服務帳戶 |
Support_
388945a0、Guest、任何服務帳戶 |
| 拒絕透過終端機服務登入 |
尚未定義 |
尚未定義 |
Everyone |
Everyone |
| 讓電腦及使用者帳戶能夠被信任以便進行委派 |
尚未定義 |
尚未定義 |
無人 |
無人 |
##### 從網路存取這台電腦
這項原則設定能讓網路中的其他使用者連線到電腦,並且各種網路通訊協定都需要此項設定,包括伺服器訊息區 (SMB) 通訊協定、NetBIOS、Common Internet File System (CIFS) 及 Component Object Model Plus (COM+)。
\[從網路存取這台電腦\] 這項設定在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中則設為 **Administrators**。
##### 作為作業系統的一部分
這項原則設定能讓處理程序擔任任何使用者的身分,因而能夠存取該使用者有權存取的資源。
基於此理由,\[作為作業系統的一部分\] 這項設定在本章所討論的兩種環境中均限定為 \[無人\]。
##### 調整處理程序記憶體配額
這項原則設定可讓使用者調整處理程序可用的記憶體上限。調整記憶體配額的功能對系統調整格外好用,但也可以遭到濫用。不肖人士可能利用這項功能來發動拒絕服務 (DoS) 攻擊。
基於此理由,\[調整處理程序記憶體配額\] 在 SSLF 環境中,兩種電腦類型均限定為 **Administrators**、**Local Service** 或 **Network Service**,而 EC 環境中的電腦則設為 \[尚未定義\]。
##### 本機登入
這項原則設定可決定哪些使用者能以互動方式登入您環境中的電腦。在用戶端電腦的鍵盤按下 CTRL+ALT+DEL 按鍵組合所起始的登入作業需要這項使用者權限。使用者嘗試經由「終端機服務」或 Microsoft Internet Information Services (IIS) 進行登入時,也需要這項使用者權限。
依預設會指派給 **Guest** 帳戶這項使用者權限。雖然這個帳戶預設為停用,但 Microsoft 建議您透過「群組原則」啟用這項設定。不過,這項使用者權限一般來說應該限定為 **Administrators** 及 **Users** 群組所擁有。如果您的組織需要 **Backup Operators** 群組有此能力,請指派這項使用者權限給該群組。
\[本機登入\] 這項設定在本章所討論的兩種環境中限定為 **Users** 與 **Administrators** 群組所擁有。
##### 允許透過終端機服務登入
這項原則設定可決定哪些使用者或群組有權以「終端機服務」用戶端登入。遠端桌面的使用者需要這項使用者權限。如果您的組織以「遠端協助」作為支援服務策略的一部分,請建立群組,再透過「群組原則」指派這項使用者權限給該群組。如果在您的組織中,服務台並未使用「遠端協助」,則請僅將這項使用者權限指派給 **Administrators** 群組,或使用有限制的群組功能,以確保沒有使用者帳戶隸屬於 **Remote Desktop Users** 群組。
請將這項使用者權限限定為 **Administrators** 群組,可能的話限定為 **Remote Desktop Users** 群組所擁有,以免不必要的使用者透過 Windows XP Professional 的「遠端協助」功能來存取您網路中的電腦。
\[允許透過終端機服務登入\] 這項設定在 EC 環境中設為 \[尚未定義\]。為了提高安全性,這項原則設定在 SSLF 環境中設為 \[無人\]。
##### 備份檔案及目錄
這項原則設定可讓使用者規避檔案與目錄特殊權限來進行系統備份。唯有當應用程式 (例如 NTBACKUP) 嘗試透過 NTFS 檔案系統備份應用程式設計發展介面 (API) 存取檔案或目錄時,才啟用這項使用者權限。否則只會套用指派的檔案及目錄權限。
\[備份檔案及目錄\] 這項設定在 EC 環境中的電腦設為 \[尚未定義\]。這項原則設定在 SSLF 環境中設為 **Administrators** 群組。
##### 略過周遊檢查
這項原則設定允許沒有特殊「周遊資料夾」存取權的使用者,在 NTFS 檔案系統或在登錄中瀏覽物件路徑時能「通過」資料夾。這項使用者權限不允許使用者列出資料夾的內容,只能夠周遊目錄。
\[略過周遊檢查\] 這項設定在 EC 環境中的電腦設為 \[尚未定義\]。在 SSLF 環境中設為 **Administrators** 與 **Users** 群組所擁有。
##### 變更系統時間
這項原則設定可決定哪些使用者或群組能變更您環境中電腦內部時鐘的時間與日期。指派有這項使用者權限的使用者能影響事件日誌的外觀。若變更電腦的時間設定,已記錄的事件會反映新的時間,而不是事件實際發生的時間。
\[變更系統時間\] 設定在本章所討論的兩種環境中設為 **Administrators** 群組。
**注意:**本機電腦與您環境中的網域控制站之間的時間若不一致,可能會造成 Kerberos 驗證通訊協定發生問題,繼而可能會讓使用者無法登入網域,或是登入後無法取得存取網域資源之授權。除此之外,如果系統時間與網域控制站不同步,將「群組原則」套用至用戶端電腦時也會發生問題。
##### 建立分頁檔
這項原則設定可讓使用者變更分頁檔的大小。攻擊者透過使分頁檔極大或極小,就可輕易影響受害電腦的效能。
\[建立分頁檔\] 這項設定在 EC 環境與 SSLF 環境中的所有電腦都設為 **Administrators**。
##### 建立永久共用物件
這項原則設定可讓使用者在物件管理員中建立目錄物件。這項使用者權限對於可延伸物件名稱區的核心模式元件非常有用。然而,在核心模式下執行的元件原本就有這項使用者權限。所以,通常不必特別指派這項使用者權限。
\[建立永久共用物件\] 這項設定在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中則設為 \[無人\]。
##### 建立權杖物件
這項原則設定能讓處理程序建立存取權杖,可提升權限,以存取機密資料。在安全性是最高優先考量的環境中,這項使用者權限不可指派給所有使用者。需要這項功能的處理程序必須使用 Local System 帳戶,這項使用者權限預設指派給該帳戶。
\[建立權杖物件\] 這項設定在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中則設為 \[無人\]。
##### 程式偵錯
這項原則設定可決定哪些使用者能夠附加偵錯工具給任何處理程序或核心,以提供對機密與重要作業系統元件的完整存取權。當系統管理員想要運用可支援「記憶體中的修補」(In-Memory Patching;也稱為 HotPatching) 的修補程式時,需要這項使用者權限。如需 Microsoft Package Installer 最新功能的更多資訊,請參閱[適用於 Microsoft Windows 作業系統與 Windows 元件的 Package Installer (原名 Update.exe)](https://www.microsoft.com/technet/prodtechnol/windowsserver2003/deployment/winupdte.mspx) (英文),網址為:www.microsoft.com/technet/prodtechnol/windowsserver2003/deployment/winupdte.mspx。因為攻擊者可能利用這項使用者權限,所以預設僅指派給 **Administrators** 群組。
**注意:**Microsoft 於 2003 年 10 月曾發佈數個安全性修補程式,所使用的 Update.exe 版本需要系統管理員擁有 \[程式偵錯\] 使用者權限。系統管理員若沒有這項使用者權限,除非重新設定其使用者權限,否則無法安裝這些修補程式。如需更多資訊,請參閱 Microsoft 知識庫文件 [Windows 產品更新可能會停止回應或是使用大部分或全部的 CPU 資源](https://support.microsoft.com/default.aspx?kbid=830846),網址為:https://support.microsoft.com/default.aspx?kbid=830846。
\[程式偵錯\] 使用者權限非常強大。因此,這項原則設定在 EC 環境中設為 **Administrators**,在 SSLF 環境中則維持 \[無人\] 的預設設定。
##### 拒絕從網路存取這台電腦
這項原則設定禁止使用者跨網路連線到電腦,此方式可讓使用者從遠端存取,甚至可能修改資料。在高安全性的環境中,遠端使用者沒有存取電腦中資料的必要, 而是透過網路伺服器進行檔案共用。
\[拒絕從網路存取這台電腦\] 這項設定在本章所討論兩種環境中的電腦設為 **Support\_388945a0** 及 **Guest** 帳戶。
##### 拒絕以批次工作登入
這項原則設定禁止使用者透過批次佇列功能進行登入;Windows Server 2003 中的這項功能可將工作排程,於未來自動執行一或多次。
\[拒絕以批次工作登入\] 這項設定在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中設為 **Support\_388945a0** 與 **Guest**。
##### 拒絕本機登入
這項原則設定禁止使用者從本機登入電腦主控台。如果讓未獲得授權的使用者從本機登入電腦,他就能在電腦中下載惡意程式碼或提高其權限。(如果攻擊者能以實體方式存取主控台,則尚有其他風險必須考量。) 這項使用者權限不可指派給需要以實體方式使用電腦主控台的使用者。
\[拒絕本機登入\] 這項設定在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中設為 **Support\_388945a0** 與 **Guest**。此外,若為新增到電腦的 SSLF 環境服務帳戶,一律應獲指派這項使用者權限,以免遭到濫用。
##### 拒絕透過終端機服務登入
這項原則設定禁止使用者透過「遠端桌面」連線登入您環境中的電腦。如果您指派這項使用者權限給 **Everyone** 群組,也可以防止預設的 **Administrators** 群組的成員使用「終端機服務」登入您環境中的電腦。
\[拒絕透過終端機服務登入\] 這項設定在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中設為 **Everyone** 群組。
##### 讓電腦及使用者帳戶能夠被信任以便進行委派
這項原則設定可讓使用者在 Active Directory 中變更電腦物件的 \[受信任可以委派\] 設定。此權限若遭到濫用,可讓未經授權的使用者冒充網路中的其他使用者。
基於此理由,\[讓電腦及使用者帳戶能夠被信任以便進行委派\] 這項設定在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中則設為 \[無人\]。
#### 使用者權限 (F – T)
**表 3.4 使用者權限指派設定建議 - 第二部分**
| 從遠端系統強制關機 |
Administrators |
Administrators |
Administrators |
Administrators |
| 產生安全稽核 |
Local Service、Network Service |
Local Service、Network Service |
Local Service、Network Service |
Local Service、Network Service |
| 增加排程優先權 |
Administrators |
Administrators |
Administrators |
Administrators |
| 載入和釋放裝置驅動程式 |
Administrators |
Administrators |
Administrators |
Administrators |
| 鎖定記憶體分頁 |
無人 |
無人 |
無人 |
無人 |
| 以批次工作登入 |
尚未定義 |
尚未定義 |
無人 |
無人 |
| 以服務方式登入 |
尚未定義 |
尚未定義 |
Network Service、Local Service |
Network Service、Local Service |
| 管理稽核及安全日誌 |
Administrators |
Administrators |
Administrators |
Administrators |
| 修改韌體環境值 |
Administrators |
Administrators |
Administrators |
Administrators |
| 執行磁碟區維護工作 |
Administrators |
Administrators |
Administrators |
Administrators |
| 設定檔單一程序 |
尚未定義 |
尚未定義 |
Administrators |
Administrators |
| 設定檔系統執行效能 |
Administrators |
Administrators |
Administrators |
Administrators |
| 從連接站上移除電腦 |
Administrators、Users |
Administrators、Users |
Administrators、Users |
Administrators、Users |
| 更換處理層權杖 |
Local Service、Network Service |
Local Service、Network Service |
Local Service、Network Service |
Local Service、Network Service |
| 還原檔案及目錄 |
尚未定義 |
尚未定義 |
Administrators |
Administrators |
| 系統關機 |
Administrators、Users |
Administrators、Users |
Administrators、Users |
Administrators、Users |
| 取得檔案或其他物件的所有權 |
Administrators |
Administrators |
Administrators |
Administrators |
此表彙整開頭字母為 F 到 T 的使用者權限所建議的使用者權限指派設定。以下各節將提供更多關於各個設定的詳細資訊。
##### 從遠端系統強制關機
這項原則設定可讓使用者從網路中的遠端位置關閉 Windows XP 電腦。只要獲指派這項使用者權限,就能造成拒絕服務 (DoS) 的狀況,導致電腦無法應使用者的要求提供服務。因此,Microsoft 建議這項使用者權限只能指派給受高度信任的系統管理員。
\[從遠端系統強制關機\] 這項設定在本章所討論的兩種環境中都設為 **Administrators** 群組。
##### 產生安全稽核
這項原則設定可決定哪些使用者或處理程序能在安全性記錄檔中產生稽核記錄。攻擊者可利用此功能來製造大量的稽核事件,讓系統管理員更難以找出非法活動。此外,如果事件日誌被設定為視需要覆寫事件,未經授權活動的證據可由大量的不相關事件所覆寫。
基於此理由,\[產生安全稽核\] 這項設定在本章所討論的兩種環境中都設為 **Local Service** 及 **Network Service** 群組。
##### 增加排程優先權
這項原則設定可讓使用者變更處理程序所用的處理器時間量。攻擊者可利用此功能將處理程序的優先順序提高為即時,並製造電腦拒絕服務的狀況。
基於此理由,\[增加排程優先權\] 這項設定在本章所討論的兩種環境中都設為 **Administrators** 群組。
##### 載入和釋放裝置驅動程式
這項原則設定可讓使用者以動態方式在系統中載入新的裝置驅動程式。攻擊者有可能利用此功能安裝看似裝置驅動程式的惡意程式碼。使用者若要在 Windows XP 中新增本機印表機或印表機驅動程式,需要這項使用者權限,以及 **Power Users** 或 **Administrators** 群組之一的成員資格。
因為這項使用者權限可能被攻擊者利用,所以 \[載入和釋放裝置驅動程式\] 這項設定在本章所討論的兩種環境中都設為 **Administrators** 群組。
##### 鎖定記憶體分頁
這項原則設定可讓處理程序將資料保存在實體記憶體中,以免系統將資料分頁至磁碟上的虛擬記憶體中。如果指派這項使用者權限,將導致系統效能大幅衰退。
基於此理由,\[鎖定記憶體分頁\] 這項設定在本章所討論的兩種環境中都設為 \[無人\]。
##### 以批次工作登入
這項原則設定可讓帳戶使用工作排程器服務進行登入。由於工作排程器經常用作系統管理之用途,所以在 EC 環境中可能需要用到。然而,在 SSLF 環境中,應限制這項設定的使用,以防系統資源遭到誤用,同時也可防止攻擊者取得電腦的使用者層級存取權之後,利用此權限啟動惡意程式碼。
因此,\[以批次工作登入\] 這項使用者權限在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中設為 \[無人\]。
##### 以服務方式登入
這項原則設定可讓帳戶啟動網路服務,或是將處理程序登錄為在系統中執行的服務。在 SSLF 環境的電腦中,這項使用者權限必須受到限制,但因為可能有許多應用程式需要這項權限,所以在 EC 環境中加以設定之前,必須先經過謹慎的評估測試。
\[以服務方式登入\] 這項設定在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中設為 **Network Service** 與 **Local Service**。
##### 管理稽核及安全日誌
這項原則設定可決定哪些使用者能變更檔案與目錄的稽核選項,以及清除安全性記錄檔。
因為這項功能構成的威脅相當小,所以 \[管理稽核及安全日誌\] 這項設定可在本章所討論的兩個環境中強制使用 **Administrators** 群組這個預設值。
##### 修改韌體環境值
這項原則設定可讓使用者設定影響硬體設定的全系統環境變數。這份資訊通常儲存在「上次的良好設定」中。更改這些值可能會造成硬體故障,導致拒絕服務的狀況。
因為這項功能構成的威脅相當小,所以 \[修改韌體環境值\] 這項設定可在本章所討論的兩個環境中強制使用 **Administrators** 群組這個預設值。
##### 執行磁碟機維護工作
這項原則設定可讓使用者管理系統磁碟區或磁碟的設定,因此可能允許使用者刪除磁碟區而造成資料遺失,以及發生拒絕服務的狀況。
\[執行磁碟區維護工作\] 這項設定可在本章所討論的兩個環境中強制使用 **Administrators** 群組這個預設值。
##### 設定檔單一程序
這項原則設定可決定哪些使用者能利用工具來監視非系統處理程序的效能。通常,您不需要為了使用 Microsoft Management Console (MMC) 效能嵌入式管理單元,而設定這項使用者權限。然而,如果將「系統監視器」設為以 Windows Management Instrumentation (WMI) 來收集資料,則您就會需要這項使用者權限。如果限制 \[設定檔單一程序\] 這項使用者權限,可防止入侵者獲得更多資訊,用來對系統發動攻擊。
\[設定檔單一程序\] 這項設定在 EC 環境中的電腦設為 \[尚未定義\],在 SSLF 環境中設為 **Administrators** 群組。
##### 設定檔系統執行效能
這項原則設定可讓使用者利用工具來檢視不同系統處理程序的效能;若遭濫用,可允許攻擊者判斷出系統正在作用中的處理程序,因而釀成電腦受到攻擊的風險。
\[設定檔系統執行效能\] 這項設定可在本章所討論的兩個環境中強制使用 **Administrators** 群組這個預設值。
##### 從連接站上移除電腦
這項原則設定讓膝上型電腦的使用者在 \[開始\] 功能表按一下 \[退出 PC\] 就能卸除電腦。
\[從連接站上移除電腦\] 這項設定在本章所討論的兩種環境中都設為 **Administrators** 與 **Users** 群組。
##### 更換處理層權杖
這項原則設定可讓一個處理程序或服務以不同的安全性存取權杖來啟動另一個服務或處理程序,因此可修改該子處理程序的安全性存取權杖,以及導致權限提高。
\[更換處理層權杖\] 這項設定在本章所討論的兩種環境中都設為 **Local Service** 與 **Network Service** 等預設值。
##### 還原檔案及目錄
這項原則設定可決定在您環境中,當執行 Windows XP 的電腦在還原備份檔案及目錄時,哪些使用者可以略過檔案、目錄、登錄和其他永續性物件權限。這項使用者權限也可決定哪些使用者能將有效的安全性主體設為物件擁有者;其類似於 \[備份檔案及目錄\] 使用者權限。
\[還原檔案及目錄\] 這項設定在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中設為 **Administrators** 群組。
##### 系統關機
這項原則設定可決定從本機登入您環境中電腦的哪些使用者能以 \[關機\] 命令關閉作業系統。濫用此使用者權限可能導致拒絕服務的狀況。在高安全性的環境中,Microsoft 建議只將這項權限指派給 **Administrators** 及 **Users** 群組。
\[系統關機\] 這項設定在本章所討論的兩種環境中都設為 **Administrators** 與 **Users** 群組。
##### 取得檔案或其他物件的所有權
這項原則設定可讓使用者取得檔案、資料夾、登錄機碼、處理程序或執行緒的擁有權。對於為了保護物件而提供擁有權給指定使用者的權限,這項使用者權限則可略過此類權限。
\[取得檔案或其他物件的所有權\] 這項設定在本章所討論的兩種環境中都設為 **Administrators** 群組這個預設值。
[](#mainsection)[回到頁首](#mainsection)
### 安全性選項設定
經由「群組原則」對您環境中執行 Windows XP 的電腦所套用的安全性選項設定,可用來啟用或停用軟碟機存取、CD-ROM 光碟機存取、登入提示等功能。這類設定也可用來進行其他各種設定,例如資料的數位簽章、系統管理員與來賓帳戶名稱,以及驅動程式安裝的作業方式。
您可以在「群組原則物件編輯器」中的以下位置進行安全性選項設定:
**電腦設定\\Windows 設定\\安全性設定\\本機原則\\安全性選項**
本節所涵蓋的設定,並非存在於所有類型的系統中。因此,本節所定義「群組原則」中,屬於安全性選項部分的設定,可能需要在這些設定所在的系統中加以手動修改,以便使其正確運作。或者,您也可以個別編輯「群組原則」的範本,使其包含適當的設定選項,以便讓指定的設定能夠充分發揮效用。
以下各節將提出對於安全性選項設定的建議,並依照物件類型分組。每一節均附有設定的摘要表格,並於各表格之後的小節提供詳細資訊。本章所討論的兩種安全環境類型中,桌上型和膝上型用戶端電腦兩者都有相關建議,這兩種環境也就是企業用戶端 (EC) 與專業安全性限制功能 (SSLF) 環境。
#### 帳戶
下表彙整針對帳戶所建議的安全性選項設定。此表下方的段落將提供更多資訊。
**表 3.5 安全性選項設定建議 — 帳戶**
| 帳戶:Administrator 帳戶狀態 |
尚未定義 |
尚未定義 |
已啟用 |
已啟用 |
| 帳戶:Guest 帳戶狀態 |
已停用 |
已停用 |
已停用 |
已停用 |
| 帳戶:限制使用空白密碼的本機帳戶僅能登入到主控台 |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
| 帳戶:重新命名系統管理員帳戶 |
建議使用 |
建議使用 |
建議使用 |
建議使用 |
| 帳戶:重新命名來賓帳戶名稱 |
建議使用 |
建議使用 |
建議使用 |
建議使用 |
##### 帳戶:Administrator 帳戶狀態
這項原則設定可在一般作業期間啟用或停用 Administrator 帳戶。當以安全模式啟動電腦時,無論這項設定為何,一律會啟用 Administrator 帳戶。
\[帳戶: Administrator 帳戶狀態\] 這項設定在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中則設為 \[已啟用\]。
##### 帳戶:Guest 帳戶狀態
這項原則設定可決定停用或啟用 Guest 帳戶。Guest 帳戶可讓未經驗證的網路使用者取得存取系統的權限。
\[帳戶: Guest 帳戶狀態\] 安全性選項設定在本章所討論的兩種環境中均設為 \[已停用\]。
##### 帳戶:限制使用空白密碼的本機帳戶僅能登入到主控台
這項原則設定可決定未受密碼保護的本機帳戶是否能用來從實體電腦主控台之外的位置登入。如果您啟用這項原則設定,使用空白密碼的本機帳戶將無法從遠端的用戶端電腦登入網路。這類帳戶只能從電腦的鍵盤登入。
\[帳戶: 限制使用空白密碼的本機帳戶僅能登入到主控台\] 這項設定在本章所討論的兩種環境中均設為 \[已啟用\]。
##### 帳戶:重新命名系統管理員帳戶
內建的本機系統管理員帳戶是眾所皆知,且攻擊者會加以利用的帳戶名稱。Microsoft 建議您重新命名這個帳戶,並且避免使用暗示系統管理或提高存取帳戶的名稱。也務必要變更本機系統管理員的預設描述 (請透過 \[電腦管理\] 主控台)。
使用 \[帳戶: 重新命名系統管理員帳戶\] 這項設定的建議,同時也適用於本章所討論的兩種環境。
**注意:**這項原則設定並非在安全性範本中設定,本指南中也未給予該帳戶新使用者名稱的建議。建議的使用者名稱會被省略,以確保實作本指南的組織在其環境中不會使用相同的新使用者名稱。
##### 帳戶:重新命名來賓帳戶名稱
內建的本機來賓帳戶也是駭客熟知的名稱。Microsoft 也建議您將這個帳戶重新命名為未指明用途的其他名稱。即使停用這個帳戶 (建議停用),請您還是務必將它重新命名,以提高安全性。
使用 \[帳戶: 重新命名來賓帳戶名稱\] 這項設定的建議,同時也適用於本章所討論的兩種環境。
**注意:**這項原則設定並非在安全性範本中設定,本文也未給予該帳戶新使者名稱的建議。建議的使用者名稱會被省略,以確保實作本指南的組織在其環境中不會使用相同的新使用者名稱。
#### 稽核
下表彙整所建議的稽核設定。此表下方的段落將提供更多資訊。
**表 3.6 安全性選項設定建議 — 稽核**
| 稽核:稽核通用系統物件的存取 |
尚未定義 |
尚未定義 |
已停用 |
已停用 |
| 稽核:稽核備份和復原權限的使用 |
尚未定義 |
尚未定義 |
已停用 |
已停用 |
| 稽核:當無法記錄安全性稽核時,系統立即關機 |
尚未定義 |
尚未定義 |
尚未定義 |
尚未定義 |
##### 稽核:稽核通用系統物件的存取
這項原則設定可為系統物件 (例如:Mutex、事件、號誌及 MS-DOS® 裝置) 建立預設的系統存取控制清單 (SACL),使得對於這些系統物件的存取都必須接受稽核。
如果啟用 \[稽核: 稽核通用系統物件的存取\] 這項設定,安全性事件日誌很快就會充滿極為大量的安全性事件。因此,在 EC 環境中此原則設定設為 \[尚未定義\],在 SSLF 環境中則設為 \[已停用\]。
##### 稽核:稽核備份和復原權限的使用
這項原則設定可決定當 \[稽核特殊權限使用\] 設定生效時,是否要稽核所有使用者特殊權限的使用,其中包括備份和還原在內。如果這兩項原則都啟用,備份或還原的每一個檔案都會產生稽核事件。
如果啟用 \[稽核: 稽核備份和復原權限的使用\] 這項設定,安全性事件日誌很快就會充滿極為大量的安全性事件。因此,在 EC 環境中此原則設定設為 \[尚未定義\],在 SSLF 環境中則設為 \[已停用\]。
##### 稽核:當無法記錄安全性稽核時,系統立即關機
這項原則設定可決定當系統無法記錄安全性事件時,是否立即關機。「受信任電腦系統評估準則 (TCSEC)-C2」與「共通準則憑證」要求具備這項設定,以防止於稽核系統無法加以記錄時發生可稽核的事件。Microsoft 決定遵循這項要求,在稽核系統發生問題時暫停系統,並顯示停止訊息。如果啟用這項原則設定,無論任何理由,無法記錄安全性稽核時,就會導致系統關機。
如果啟用 \[稽核: 當無法記錄安全性稽核時,系統立即關機\] 這項設定,可能會發生意外的系統失效。因此,這項原則設定在本章所討論的兩種環境中都設為 \[尚未定義\]。
#### 裝置
下表彙整針對裝置所建議的安全性選項設定。此表下方的段落將提供更多資訊。
**表 3.7 安全性選項設定建議 — 裝置**
| 裝置:允許卸除而不須登入 |
尚未定義 |
尚未定義 |
已停用 |
已停用 |
| 裝置:允許格式化以及退出卸除式媒體 |
Administrator、Interactive Users |
Administrator、Interactive Users |
Administrators |
Administrators |
| 裝置:防止使用者安裝印表機驅動程式 |
已啟用 |
已停用 |
已啟用 |
已停用 |
| 裝置:CD-ROM 存取只限於登入本機的使用者 |
尚未定義 |
尚未定義 |
已停用 |
已停用 |
| 裝置:軟碟機存取只限於登入本機的使用者 |
尚未定義 |
尚未定義 |
已停用 |
已停用 |
| 裝置:未簽署的驅動程式安裝操作 |
警告但允許安裝 |
警告但允許安裝 |
警告但允許安裝 |
警告但允許安裝 |
##### 裝置:允許卸除而不須登入
這項原則設定可決定當使用者未登入系統時,是否能卸除可攜式電腦。啟用這項原則設定可免除登入的需要,並允許以外接的硬體退出按鈕來將電腦卸除。如果停用這項原則設定,未登入的使用者必須獲指派「將電腦從銜接站移除」使用者權限 (未於本指南中定義)。
\[裝置: 允許卸除而不須登入\] 這項設定在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中設為 \[已停用\]。
##### 裝置:允許格式化以及退出卸除式媒體
這項原則設定可決定誰能格式化和退出卸除式媒體。您可以利用這項原則設定防止未經授權的使用者將資料從一電腦中移除,以便在其具有本機系統管理員權限的另一部電腦進行存取。
\[裝置: 允許格式化以及退出卸除式媒體\] 這項設定在 EC 環境中限定為 **Administrators** 及 **Interactive Users** 群組,在 SSLF 限定為 **Administrators** 群組,以提高安全性。
##### 裝置:防止使用者安裝印表機驅動程式
有時候駭客會將特洛伊木馬程式偽裝成印表機驅動程式。該程式會讓使用者誤以為必須用它來列印,但實際上,這樣的程式會在您的電腦網路中散播惡意的程式碼。為降低這類事件發生的可能,應只允許系統管理員才能安裝印表機驅動程式。然而,由於膝上型電腦屬於行動裝置,所以膝上型電腦的使用者偶爾可能會需要透過遠端來源安裝印表機驅動程式,以利作業。因此,針對膝上型電腦使用者,這項原則設定應該停用,但是針對桌上型電腦使用者,則一律啟用。
\[裝置: 防止使用者安裝印表機驅動程式\] 這項設定,在本章所討論的兩種環境中針對桌上型電腦設為 \[已啟用\],針對兩種環境中的膝上型電腦使用者則設為 \[已停用\]。
##### 裝置:CD-ROM 存取只限於登入本機的使用者
這項原則設定可決定 CD-ROM 光碟機是否可以同時由本機和遠端使用者存取。如果啟用這項原則設定,唯有以互動方式登入的使用者才能從 CD-ROM 光碟機存取媒體。若啟用這項原則設定,但無人登入時,可經由網路存取 CD-ROM 光碟機。如果啟用此設定,且如果為備份工作指定磁碟區陰影複製,則 Windows 備份公用程式就會失敗。使用磁碟區陰影複製的任何協力廠商備份產品也會失敗。
\[裝置: CD-ROM 存取只限於登入本機的使用者\] 這項設定在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中設為 \[已停用\]。
##### 裝置:軟碟機存取只限於登入本機的使用者
這項原則設定可決定軟碟機是否可以同時由本機和遠端使用者存取。如果啟用這項原則設定,唯有以互動方式登入的使用者才能存取軟碟機中的媒體。若啟用這項原則設定,但無人登入時,可經由網路存取軟碟機中的媒體。如果啟用此設定,且如果為備份工作指定磁碟區陰影複製,則 Windows 備份公用程式就會失敗。使用磁碟區陰影複製的任何協力廠商備份產品也會失敗。
\[裝置: 軟碟機存取只限於登入本機的使用者\] 這項設定在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中設為 \[已停用\]。
##### 裝置:未簽署的驅動程式安裝操作
這項原則設定可決定若嘗試安裝 (透過 Setup API) 未經 Windows 硬體品質實驗室 (WHQL) 核准與簽署的裝置驅動程式,會發生什麼情形。這個選項可防止安裝未經簽署的驅動程式,或是警告系統管理員即將安裝未經簽署的驅動程式,如此一來即可防止安裝尚未獲得認證為可在 Windows XP 中執行的驅動程式。如果將這項原則設定設為 \[警告但允許安裝\] 這個值,可能會發生一個問題:如果自動安裝指令碼嘗試安裝未經簽署的驅動程式,該指令碼就會失敗。
基於此理由,\[裝置: 未簽署的驅動程式安裝操作\] 這項設定在本章所討論的兩種環境中都設為 \[警告但允許安裝\]。
**注意:**如果實作這項原則設定,在套用「群組原則」之前,應先在用戶端電腦充分設定您所有的標準軟體應用程式,以降低因為這項設定所帶來的安裝錯誤風險。
#### 網域成員
下表彙整針對網域成員所建議的安全性選項設定。此表下方的段落將提供更多資訊。
**表 3.8 安全性選項設定建議 — 網域成員**
| 網域成員:安全通道資料加以數位加密或簽章 (自動) |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
| 網域成員:安全通道資料加以數位加密 (可能的話) |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
| 網域成員:安全通道資料加以數位簽章 (可能的話) |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
| 網域成員:停用電腦帳戶密碼變更 |
已停用 |
已停用 |
已停用 |
已停用 |
| 網域成員:最長電腦帳戶密碼有效期 |
30 天 |
30 天 |
30 天 |
30 天 |
| 網域成員:要求增強式 (Windows 2000 或更新) 工作階段索引鍵 |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
##### 網域成員:安全通道資料加以數位加密或簽章 (自動)
這項原則設定可決定,由網域成員起始的所有安全通道流量是否都必須簽署或加密。如果系統設定為安全通道的資料永遠必須加密或簽署,則因為所有安全通道資料都經過簽署與加密,所以如果遇到無法為所有安全通道的流量簽署或加密的網域控制器,就無法與該網域控制器建立安全通道。
\[網域成員: 安全通道資料加以數位加密或簽章 (自動)\] 這項設定在本章所討論的兩種環境中都設為 \[已啟用\]。
##### 網域成員:安全通道資料加以數位加密 (可能的話)
這項原則設定可決定網域成員可否為所起始的所有安全通道流量嘗試交涉加密。如果啟用這項原則設定,網域成員會要求對所有安全通道的流量加密。如果停用這項原則設定,網域成員即無法為安全通道的加密進行交涉。
\[網域成員: 安全通道資料加以數位加密 (可能的話)\] 這項設定在本章所討論的兩種環境中都設為 \[已啟用\]。
##### 網域成員:安全通道資料加以數位簽章 (可能的話)
這項原則設定可決定,網域成員可否嘗試交涉其所起始的所有安全通道流量是否都必須加上數位簽章。數位簽章可保護流量,避免資料在周遊網路的過程中被人擷取並修改。
\[網域成員: 安全通道資料加以數位簽章 (可能的話)\] 這項設定在本章所討論的兩種環境中都設為 \[已啟用\]。
##### 網域成員:停用電腦帳戶密碼變更
這項原則設定可決定網域成員可否定期變更其電腦帳戶密碼。如果啟用這項原則設定,網域成員即無法變更其電腦帳戶密碼。如果停用這項原則設定,網域成員可依照 \[網域成員: 最長電腦帳戶密碼有效期\] 設定來變更其電腦帳戶密碼,預設為每隔 30 天變更一次。無法自動變更其帳戶密碼的電腦可能有弱點,因為攻擊者可能判斷出系統網域帳戶的密碼。
因此,\[網域成員: 停用電腦帳戶密碼變更\] 這項設定在本章所討論的兩種環境中都設為 \[已停用\]。
##### 網域成員:最長電腦帳戶密碼有效期
這項原則設定可決定電腦帳戶密碼最長的有效期。預設的狀況下,網域成員會每隔 30 天自動變更其網域密碼。如果大幅拉長間隔,或設定為 0,使得電腦不再更改密碼,都會讓攻擊者有更多時間進行暴力式的密碼猜測,攻擊其中一個電腦帳戶。
因此,\[網域成員: 最長電腦帳戶密碼有效期\] 這項設定在本章所討論的兩種環境中都設為 \[30 天\]。
##### 網域成員:要求增強式 (Windows 2000 或更新) 工作階段索引鍵
若啟用這項原則設定,則只有與能以增強式 (128 位元) 工作階段索引鍵將安全通道資料加密的網域控制站之間,才能建立安全通道。
若要啟用這項原則設定,網域中所有的網域控制站都必須能以增強式索引鍵將安全通道的資料加密,換句話說,所有的網域控制站都必須執行 Microsoft Windows 2000 或更新版本。如果必須與非 Windows 2000 網域通訊,Microsoft 建議您停用這項原則設定。
\[網域成員: 要求增強式 (Windows 2000 或更新) 工作階段索引鍵\] 這項設定在本章所討論的兩種環境中都設為 \[已啟用\]。
#### 互動式登入
下表彙整針對互動式登入所建議的安全性選項設定。此表下方的段落將提供更多資訊。
**表 3.9 安全性選項設定建議 — 互動式登入**
| 互動式登入:不要顯示上次登入的使用者名稱 |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
| 互動式登入:不要求按 CTRL+ALT+DEL 鍵 |
已停用 |
已停用 |
已停用 |
已停用 |
| 互動式登入:給登入使用者的訊息本文 |
本系統只接受已授權的使用者。未獲授權之下嘗試進行存取的個人將受到追訴。 |
本系統只接受已授權的使用者。未獲授權之下嘗試進行存取的個人將受到追訴。 |
本系統只接受已授權的使用者。未獲授權之下嘗試進行存取的個人將受到追訴。 |
本系統只接受已授權的使用者。未獲授權之下嘗試進行存取的個人將受到追訴。 |
| 互動式登入:給登入使用者的訊息標題 |
未經適當授權而繼續視同違法行為。 |
未經適當授權而繼續視同違法行為。 |
未經適當授權而繼續視同違法行為。 |
未經適當授權而繼續視同違法行為。 |
| 互動式登入:先前網域控制站無法使用時的登入快取次數 |
2 |
2 |
0 |
2 |
| 互動式登入:在密碼過期前提示使用者變更密碼 |
14 天 |
14 天 |
14 天 |
14 天 |
| 互動式登入:要求網域控制站驗證以解除鎖定工作站 |
已啟用 |
已停用 |
已啟用 |
已停用 |
| 互動式登入:智慧卡移除操作 |
鎖定工作站 |
鎖定工作站 |
鎖定工作站 |
鎖定工作站 |
##### 互動式登入:不要顯示上次登入的使用者名稱
這項原則設定可以決定,登入您組織中用戶端電腦的最後一個使用者帳戶名稱,是否顯示在每部電腦個別的 Windows 登入畫面。啟用這項原則設定可防止入侵者以目視方式,從您組織中的桌上型或膝上型電腦畫面收集帳戶名稱。
\[互動式登入: 不要顯示上次登入的使用者名稱\] 這項設定在本章所討論的兩種環境中都設為 \[已啟用\]。
##### 互動式登入:不要求按 CTRL+ALT+DEL 鍵
CTRL+ALT+DEL 按鍵組合可在使用者輸入使用者名稱和密碼時,建立受信任的作業系統路徑。若啟用這項原則設定,則不會要求使用者以這個按鍵組合登入網路。然而,這項設定會構成安全性的風險,因為如此一來,使用者便有機會以較不牢固的登入憑證進行登入。
\[互動式登入: 不要求按 CTRL+ALT+DEL 鍵\] 這項設定在本章所討論的兩種環境中都設為 \[已停用\]。
##### 互動式登入:給登入使用者的訊息本文
這項原則設定可指定在使用者登入時,畫面顯示的文字訊息。這段文字通常基於法律因素而使用,例如,警告使用者不當使用公司資訊的相關事項,或是警告他們所作的動作可能受到稽核。前一表格中所指出的訊息本文是適用於 EC 與 SSLF 環境兩者的建議範例。
在本章中所討論的兩種環境中,\[互動式登入: 給登入使用者的訊息本文\] 這項設定可使用適當的文字。
**注意:**您所顯示的任何警告應該先經過公司的法律專員和人力資源專員的核准。此外,還必須針對其中一項啟用 \[互動式登入: 給登入使用者的訊息本文\] 和 \[互動式登入: 給登入使用者的訊息標題\] 設定,才能正常運作。
##### 互動式登入:給登入使用者的訊息標題
這項原則設定可指定當使用者登入系統時,視窗標題列所顯示的文字。這項原則設定的目的與上一個訊息本文設定相同。組織若不使用這項原則設定,入侵者就比較容易合法攻擊其系統。
因此,在本章所討論的兩種環境中,\[互動式登入: 給登入使用者的訊息標題\] 這項設定可使用適當的文字。
**注意:**您所顯示的任何警告應該先經過公司的法律專員和人力資源專員的核准。此外,還必須針對其中一項啟用 \[互動式登入: 給登入使用者的訊息本文\] 和 \[互動式登入: 給登入使用者的訊息標題\] 設定,才能正常運作。
##### 互動式登入:先前網域控制站無法使用時的登入快取次數
這項原則設定可決定使用者是否能以快取的帳戶資訊登入 Windows 網域。網域帳戶的登入資訊可從本機快取,因此即使無法與網域控制站通訊,使用者也能登入。這項原則設定決定可從本機快取登入資訊的唯一使用者人數。這項原則設定的預設值是 10。如果這個值設為 0,即停用登入快取功能。如果攻擊者能夠存取伺服器的檔案系統,就可以找到這項快取資訊,並以暴力式攻擊猜測使用者的密碼。
\[互動式登入: 先前網域控制站無法使用時的登入快取次數\] 這項設定在 EC 環境的桌上型與膝上型電腦,及 SSLF 環境的膝上型電腦中設為 **2**。然而,這項原則設定在 SSLF 環境的桌上型電腦中設為 **0**,因為這類電腦理應永遠能安全地連線到組織的網路。
##### 互動式登入:在密碼過期前提示使用者變更密碼
這項原則設定可決定要在多久前事先警告使用者其密碼即將到期。Microsoft 建議您將這項原則設定設為 14 天,以充分警告使用者其密碼即將到期的時間。
\[互動式登入: 在密碼過期前提示使用者變更密碼\] 這項設定在本章所討論的兩種環境中都設為 \[14 天\]。
##### 互動式登入:要求網域控制站驗證以解除鎖定工作站
若啟用這項原則設定,網域控制站必須驗證解除電腦鎖定所用的網域帳戶。若停用這項原則設定,即可用快取的憑證來解除電腦鎖定。Microsoft 建議針對兩種環境中的膝上型電腦使用者停用這項原則設定,因為行動使用者並沒有網域控制站的網路存取權。
\[互動式登入: 要求網域控制站驗證以解除鎖定工作站\] 這項設定在 EC 與 SSLF 環境兩者的桌上型電腦中都設為 \[已啟用\]。然而,這項原則設定在兩種環境的膝上型電腦中都設為 \[已停用\],可讓使用者離開辦公室之後仍然能夠工作。
##### 互動式登入:智慧卡移除操作
這項原則設定可決定當已登入使用者的智慧卡從智慧卡讀取裝置中移除時,發生的後續動作。若設為 \[鎖定工作站\],這項原則設定可在智慧卡移除時將工作站鎖定,這樣可讓使用者離開該區域時隨身攜帶智慧卡,並自動鎖定工作站。如果將這項原則設定設為 \[強制登出\],當智慧卡移除時,使用者即自動登出。
\[互動式登入: 智慧卡移除操作\] 這項設定在本章所討論的兩種環境中都設為 \[鎖定工作站\] 選項。
#### Microsoft 網路用戶端
下表彙整針對 Microsoft 網路用戶端電腦所建議的安全性選項設定。此表下方的段落將提供更多資訊。
**表 3.10 安全性選項設定建議 — Microsoft 網路用戶端**
| Microsoft 網路用戶端:數位簽章用戶端的通訊 (自動) |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
| Microsoft 網路用戶端:數位簽章用戶端的通訊 (如果伺服器同意) |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
| Microsoft 網路用戶端:傳送未加密的密碼到其他廠商的 SMB 伺服器 |
已停用 |
已停用 |
已停用 |
已停用 |
##### Microsoft 網路用戶端:數位簽章用戶端的通訊 (自動)
這項原則設定可決定 SMB 用戶端元件是否要求封包簽署。如果啟用這項原則設定,除非 Microsoft 網路伺服器同意簽署 SMB 封包,否則 Microsoft 網路用戶端電腦無法與該伺服器通訊。在含有傳統用戶端電腦的混合環境中,請將這個選項設為 \[已停用\],因為這類電腦無法驗證或取得對網域控制站的存取權。然而,您可以在 Windows 2000 或更新版本的環境中使用這項原則設定。
\[Microsoft 網路用戶端: 數位簽章用戶端的通訊 (自動)\] 這項設定在本章所討論兩種環境的電腦中都設為 \[已啟用\]。
**注意:**Windows XP 電腦若啟用這項原則設定,當連線到遠端伺服器的檔案或列印共用時,這項設定務必要與這些伺服器的同系列設定 \[Microsoft 網路伺服器: 數位簽章伺服器的通訊 (自動)\] 同步化。如需這些設定的詳細資訊,請參閱同系列指南[*威脅與因應對策:Windows Server 2003 及 Windows XP 中的安全性設定*](https://go.microsoft.com/fwlink/?linkid=15159)之第 5 章<Microsoft 網路用戶端和伺服器:數位簽章用戶端的通訊 (四個相關設定)>一節,開放下載網址為:https://go.microsoft.com/fwlink/?LinkId=15159。
##### Microsoft 網路用戶端:數位簽章用戶端的通訊 (如果伺服器同意)
這項原則設定可決定 SMB 用戶端是否嘗試交涉 SMB 封包簽署。在 Windows 網路中實作數位簽章,可協助防範工作階段遭到攔截。如果啟用這項原則設定,唯有所通訊的伺服器接受數位簽章通訊,Microsoft 網路用戶端才會執行簽署。
\[Microsoft 網路用戶端: 數位簽章用戶端的通訊 (如果伺服器同意)\] 這項設定在本章所討論的兩種環境中都設為 \[已啟用\]。
**注意:**請在您網路上的 SMB 用戶端啟用此原則設定,讓封包簽署能夠對您環境中的所有用戶端和伺服器完全發生效用。
##### Microsoft 網路用戶端:傳送未加密的密碼到其他廠商的 SMB 伺服器
停用這項原則設定可防止驗證期間 SMB 重新導向程式把純文字密碼傳送到不支援密碼加密功能的非 Microsoft SMB 伺服器。除非有強而有力的業務情況必須啟用,否則 Microsoft 建議您停用這項原則設定。如果啟用這項原則設定,未加密的密碼即可在網路中流通。
\[Microsoft 網路用戶端: 傳送未加密的密碼到其他廠商的 SMB 伺服器\] 這項設定在本章所討論的兩種環境中都設為 \[已停用\]。
#### Microsoft 網路伺服器
下表彙整針對 Microsoft 網路伺服器所建議的安全性選項設定。此表下方的段落將提供更多資訊。
**表 3.11 安全性選項設定建議 — Microsoft 網路伺服器**
| Microsoft 網路伺服器:暫停工作階段前,要求的閒置時間 |
15 分鐘 |
15 分鐘 |
15 分鐘 |
15 分鐘 |
| Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動) |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
| Microsoft 網路伺服器:數位簽章伺服器的通訊 (如果用戶端同意) |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
##### Microsoft 網路伺服器:暫停工作階段前,要求的閒置時間
這項原則設定可讓您指定 SMB 工作階段由於沒有任何活動而暫停之前,必須等待的連續閒置時間量。系統管理員可以利用這項原則設定,控制電腦何時將沒有活動的 SMB 工作階段暫停。如果用戶端恢復活動,即可自動重新建立工作階段。
\[Microsoft 網路伺服器: 暫停工作階段前,要求的閒置時間\] 這項設定在本章所討論的兩種環境中都設為 \[已啟用\] 且為時 \[15 分鐘\]。
##### Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)
這項原則設定可決定伺服器端的 SMB 服務是否必須執行 SMB 封包簽署。在混合的環境中啟用這項原則設定,可防止下游的用戶端以工作站作為網路伺服器。
\[Microsoft 網路伺服器: 數位簽章伺服器的通訊 (自動)\] 這項設定在本章所討論的兩種環境中都設為 \[已啟用\]。
##### Microsoft 網路伺服器:數位簽章伺服器的通訊 (如果用戶端同意)
這項原則設定可決定,如果嘗試建立連線的用戶端如此要求,伺服器端的 SMB 服務是否能簽署 SMB 封包。如果不啟用 \[Microsoft 網路伺服器: 數位簽章伺服器的通訊 (自動)\] 這項設定,用戶端若未發出簽署的要求,則可允許在沒有簽署的情況下建立連線。
\[Microsoft 網路伺服器: 數位簽章伺服器的通訊 (如果用戶端同意)\] 這項設定在本章所討論的兩種環境中都設為 \[已啟用\]。
**注意:**請在您網路上的 SMB 用戶端啟用此原則設定,讓封包簽署能夠對您環境中的所有用戶端和伺服器完全發生效用。
#### 網路存取
下表彙整針對網路存取所建議的安全性選項設定。此表下方的段落將提供更多資訊。
**表 3.12 安全性選項設定建議 — 網路存取**
| 網路存取:允許匿名 SID/名稱轉譯 |
已停用 |
已停用 |
已停用 |
已停用 |
| 網路存取:不允許 SAM 帳戶的匿名列舉 |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
| 網路存取:不允許 SAM 帳戶和共用的匿名列舉 |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
| 網路存取:不允許存放網路驗證的認證或 .NET Passport |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
| 網路存取:讓 Everyone 權限套用到匿名使用者 |
已停用 |
已停用 |
已停用 |
已停用 |
| 網路存取:可以匿名存取的具名管道 |
尚未定義 |
尚未定義 |
* 請參閱下列設定說明以取得具名管道的完整清單 |
* 請參閱下列設定說明以取得具名管道的完整清單 |
| 網路存取:可遠端存取的登錄路徑 |
尚未定義 |
尚未定義 |
* 請參閱下列設定說明以取得路徑的完整清單 |
* 請參閱下列設定說明以取得路徑的完整清單 |
| 網路存取:可以匿名存取的共用 |
尚未定義 |
尚未定義 |
comcfg、dfs$ |
comcfg、dfs$ |
| 網路存取:共用和安全性模型用於本機帳戶 |
傳統 - 本機使用者以自身身分驗證 |
傳統 - 本機使用者以自身身分驗證 |
傳統 - 本機使用者以自身身分驗證 |
傳統 - 本機使用者以自身身分驗證 |
##### 網路存取:允許匿名 SID/名稱轉譯
這項原則設定可決定匿名使用者是否可要求另一位使用者的安全性識別碼 (SID) 屬性,或是以 SID 取得其對應的使用者名稱。停用這項原則設定可防止未經驗證的使用者取得與其個別 SID 相關聯的使用者名稱。
\[網路存取: 允許匿名 SID/名稱轉譯\] 這項設定在本章所討論的兩種環境中都設為 \[已停用\]。
##### 網路存取:不允許 SAM 帳戶的匿名列舉
這項原則設定可控制匿名使用者列舉安全性帳戶管理員 (SAM) 中帳戶的能力。如果啟用這項原則設定,採取匿名連線的使用者將無法列舉在您環境中的工作站之網域帳戶使用者名稱。這項原則設定也允許對匿名連線設定額外的限制。
\[網路存取: 不允許 SAM 帳戶的匿名列舉\] 這項設定在本章所討論的兩種環境中都設為 \[已啟用\]。
##### 網路存取:不允許 SAM 帳戶和共用的匿名列舉
這項原則設定可控制匿名使用者列舉 SAM 帳戶以及共用的能力。如果啟用這項原則設定,匿名使用者將無法列舉在您環境中工作站的網域帳戶使用者名稱與網路共用名稱。
\[網路存取: 不允許 SAM 帳戶和共用的匿名列舉\] 這項設定在本章所討論的兩種環境中都設為 \[已啟用\]。
##### 網路存取:不允許存放網路驗證的認證或 .NET Passport
這項原則設定可控制本機系統儲存驗證憑證與密碼。
\[網路存取: 不允許存放網路驗證的認證或 .NET Passport\] 這項設定在本章所討論的兩種環境中都設為 \[已啟用\]。
##### 網路存取:讓 Everyone 權限套用到匿名使用者
這項原則設定可決定針對與電腦的匿名連線,指派哪些額外的權限。如果啟用這項原則設定,可讓匿名的 Windows 使用者執行某些作業,例如:列舉網域帳戶與網路共用的名稱。未經授權的使用者可以匿名的方式列出帳戶名稱及共用的資源,並利用該項資訊猜測密碼,或是執行社交工程攻擊。
因此,\[網路存取: 讓 Everyone 權限套用到匿名使用者\] 這項設定在本章所討論的兩種環境中都設為 \[已停用\]。
##### 網路存取:可以匿名存取的具名管道
這項原則設定可決定哪些通訊工作階段或管道可以擁有允許匿名存取的屬性與權限。
對於 EC 環境,\[網路存取: 可以匿名存取的具名管道\] 這項設定設為 \[尚未定義\]。然而,在 SSLF 環境則強制使用下列預設值:
- COMNAP
- COMNODE
- SQL\\QUERY
- SPOOLSS
- LLSRPC
- 瀏覽器
##### 網路存取:可遠端存取的登錄路徑
這項原則設定可決定參照 WinReg 機碼之後可存取哪些登錄路徑,以決定對登錄路徑的存取權。
對於 EC 環境,\[網路存取: 可遠端存取的登錄路徑\] 這項設定設為 \[尚未定義\]。然而,在 SSLF 環境則強制使用下列預設值:
- System\\CurrentControlSet\\Control\\ProductOptions
- System\\CurrentControlSet\\Control\\Print\\Printers
- System\\CurrentControlSet\\Control\\Server Applications
- System\\CurrentControlSet\\Control\\ContentIndex
- System\\CurrentControlSet\\Control\\Terminal Server
- System\\CurrentControlSet\\Control\\Terminal Server\\UserConfig
- System\\CurrentControlSet\\Control\\Terminal Server\\DefaultUserConfiguration
- System\\CurrentControlSet\\Services\\Eventlog
- Software\\Microsoft\\OLAP Server
- Software\\Microsoft\\Windows NT\\CurrentVersion
##### 網路存取:可以匿名存取的共用
這項原則設定可決定匿名使用者可存取哪些網路共用。這項原則設定的預設值並無太大影響,因為所有使用者都必須通過驗證,才能存取伺服器的共用資源。
\[網路存取: 可以匿名存取的共用\] 這項設定在 EC 環境中設為 \[尚未定義\]。然而,在 SSLF 環境中,請確定這項設定設為 **comcfg, dfs$**。
**注意:**新增其他共用到這項「群組原則」設定可能非常危險。任何網路使用者都能存取所列出的共用,因此導致機密資料洩漏或損毀。
##### 網路存取:共用和安全性模型用於本機帳戶
這項原則設定可決定使用本機帳戶的網路登入之驗證方式。\[傳統\] 選項可允許精確控制對資源的存取權,包括能指派不同類型的存取權給相同資源的不同使用者。\[僅適用於來賓\] 選項可讓您平等對待所有使用者。在此情形下,以 \[僅適用於來賓\] 進行驗證的所有使用者,都能獲得特定資源的相同層級存取權。
因此,\[共用和安全性模型用於本機帳戶\] 這項設定在本章所討論的兩種環境中都使用預設的 \[傳統\] 選項。
#### 網路安全性
下表彙整針對網路安全性所建議的安全性選項設定。此表下方的段落將提供更多資訊。
**表 3.13 安全性選項設定建議 — 網路安全性**
| 網路安全性:下次密碼變更時不儲存 LAN Manager 雜湊值 |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
| 網路安全性:LAN Manager 驗證層級 |
只傳送 NTLMv2 回應\拒絕 LM |
只傳送 NTLMv2 回應\拒絕 LM |
只傳送 NTLMv2 回應\拒絕 LM 和 NTLM |
只傳送 NTLMv2 回應\拒絕 LM 和 NTLM |
| 網路安全性:LDAP 用戶端簽章要求 |
交涉簽章 |
交涉簽章 |
交涉簽章 |
交涉簽章 |
| 網路安全性:NTLM SSP 為主的 (包含安全 RPC) 用戶端的最小工作階段安全性 |
要求訊息機密性、要求訊息完整性、要求 NTLMv2 工作階段安全性、
要求 128 位元加密 |
要求訊息機密性、要求訊息完整性、要求 NTLMv2 工作階段安全性、
要求 128 位元加密 |
要求訊息機密性、要求訊息完整性、要求 NTLMv2 工作階段安全性、
要求 128 位元加密 |
要求訊息機密性、要求訊息完整性、要求 NTLMv2 工作階段安全性、
要求 128 位元加密 |
| 網路安全性:NTLM SSP 為主的 (包含安全 RPC) 伺服器的最小工作階段安全性 |
要求訊息機密性、要求訊息完整性、要求 NTLMv2 工作階段安全性、
要求 128 位元加密 |
要求訊息機密性、要求訊息完整性、要求 NTLMv2 工作階段安全性、
要求 128 位元加密 |
要求訊息機密性、要求訊息完整性、要求 NTLMv2 工作階段安全性、
要求 128 位元加密 |
要求訊息機密性、要求訊息完整性、要求 NTLMv2 工作階段安全性、
要求 128 位元加密 |
網路安全性:下次密碼變更時不儲存 LAN Manager 雜湊數值
此原則設定會決定密碼變更時是否要儲存新密碼的 LAN Manager 雜湊數值。LM 雜湊相當脆弱,與在加密方面較強的 Windows NT® 雜湊比較起來,更易受到攻擊。
基於此理由,[網路安全性: 下次密碼變更時不儲存 LAN Manager 雜湊數值] 這項設定在本章所討論的兩種環境中都設為 [已啟用]。
**注意:**若啟用這項原則設定,非常老舊的傳統作業系統和部分協力廠商應用程式可能失敗。此外,啟用這項設定後,您需要變更所有帳戶的密碼。
網路安全性:LAN Manager 驗證層級
這項原則設定可指定非 Windows 2000 和 Windows XP Professional 用戶端用於網路登入時的挑戰/回應驗證類型。LAN Manager 驗證 (LM) 是最不安全的方式,因為加密的密碼可輕易從網路攔截,因此可遭到破解。NT LAN Manager (NTLM) 則比較安全。NTLMv2 是 Windows XP Professional、Windows 2000 及 Windows NT 4.0 Service Pack 4 (SP4) 或更新版本中所提供更穩固的 NTLM 版本。Windows 95 與 Windows 98 加上選用的「目錄服務用戶端」也有提供 NTLMv2。
Microsoft 建議在您的環境中盡可能將這項原則設定設成最強大的驗證層級。在只執行 Windows 2000 Server 或 Windows Server 2003 搭配 Windows XP Professional 工作站的環境中,可將這項原則設定設為 [只傳送 NTLMv2 回應\拒絕 LM 和 NTLM] 選項,以獲得最高安全性。
[網路安全性: LAN Manager 驗證層級] 這項設定在 EC 環境中設為 [只傳送 NTLMv2 回應\拒絕 LM]。然而,這項原則設定在 SSLF 環境中則設為限制較大的 [只傳送 NTLMv2 回應\拒絕 LM 和 NTLM]。
網路安全性:LDAP 用戶端簽章要求
這項原則設定可決定代表發出 LDAP BIND 要求的用戶端所要求的資料簽署層級。由於未簽署的網路流量易受攔截式攻擊,因此攻擊者可以讓 LDAP 伺服器根據來自 LDAP 用戶端的虛假查詢來作出決定。
因此,[網路安全性: LDAP 用戶端簽章要求] 這項設定的值在本章所討論的兩種環境中都設為 [交涉簽章]。
網路安全性:NTLM SSP 為主的 (包含安全 RPC) 用戶端的最小工作階段安全性
這項原則設定可決定用戶端的應用程式之間最低的通訊安全標準。這項原則設定的選項有:
要求訊息完整性
要求訊息機密性
要求 NTLMv2 工作階段安全性
要求 128 位元加密
如果您網路中的電腦全部都能支援 NTLMv2 與 128 位元加密 (例如:Windows XP Professional SP2 與 Windows Server 2003 SP1),四個設定選項全都可以選取,以達到最高的安全性。
在本章所討論的兩種環境中,[網路安全性: NTLM SSP 為主的 (包含安全 RPC) 用戶端的最小工作階段安全性] 這項設定的四個選項全部啟用。
網路安全性:NTLM SSP 為主的 (包含安全 RPC) 伺服器的最小工作階段安全性
這項原則設定與前一個設定類似,不過受到影響的是與應用程式通訊的伺服器端。設定的選項相同:
要求訊息完整性
要求訊息機密性
要求 NTLMv2 工作階段安全性
要求 128 位元加密
如果您網路中的電腦全部都能支援 NTLMv2 與 128 位元加密 (例如:Windows XP Professional SP2 與 Windows Server 2003 SP1),四個選項全都可以選取,以達到最高的安全性。
在本章所討論的兩種環境中,[網路安全性: NTLM SSP 為主的 (包含安全 RPC) 伺服器的最小工作階段安全性] 這項設定的四個選項全部啟用。
復原主控台
下表彙整針對復原主控台所建議的安全性選項設定。此表下方的段落將提供更多資訊。
表 3.14 安全性選項設定建議 — 復原主控台
| 復原主控台:允許自動系統管理登入 |
已停用 |
已停用 |
已停用 |
已停用 |
| 復原主控台:允許軟碟複製以及存取所有磁碟和所有資料夾 |
尚未定義 |
尚未定義 |
已停用 |
已停用 |
##### 復原主控台:允許自動系統管理登入
復原主控台是當系統發生問題時,用來從系統問題還原的命令列環境。啟用這項原則設定之後,若在啟動期間叫用,系統管理員帳戶會自動登入復原主控台。Microsoft 建議您將這項原則設定為停用,並要求系統管理員必須輸入密碼,才能存取復原主控台。
\[復原主控台: 允許自動系統管理登入\] 這項設定在本章所討論的兩種環境中都設為 \[已停用\]。
##### 復原主控台:允許軟碟複製以及存取所有磁碟和所有資料夾
這項原則設定可提供「復原主控台」SET 命令,供您設定下列復原主控台的環境變數:
- **AllowWildCards**: 啟用對某些命令的萬用字元支援 (例如:DEL 命令)。
- **AllowAllPaths**: 允許存取電腦的所有檔案和資料夾。
- **AllowRemovableMedia**: 允許複製檔案到移除式媒體 (例如:軟碟機)。
- **NoCopyPrompt**: 覆寫現存檔案時不顯示提示。
\[復原主控台: 允許軟碟複製以及存取所有磁碟和所有資料夾\] 這項設定在 EC 環境中設為 \[尚未定義\]。但是,為了達到最高的安全性,在 SSLF 環境中,這項設定設為 \[已停用\]。
#### 關機
下表彙整針對關機所建議的安全性選項設定。此表下方的段落將提供更多資訊。
**表 3.15 安全性選項設定建議 — 關機**
| 關機:允許不登入就將系統關機 |
尚未定義 |
尚未定義 |
已停用 |
已停用 |
| 關機:清除虛擬記憶體分頁檔 |
已停用 |
已停用 |
已停用 |
已停用 |
##### 關機:允許不登入就將系統關機
這項原則設定可決定電腦是否能在使用者未登入的情況下關機。如果啟用這項原則設定,Windows 登入畫面即提供關機命令供使用。Microsoft 建議您停用這項原則設定,以便限定只有擁有系統憑證的使用者才有關閉電腦的能力。
\[關機: 允許不登入就將系統關機\] 這項設定在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中設為 \[已停用\]。
##### 關機:清除虛擬記憶體分頁檔
這項原則設定可決定系統關閉時是否清除虛擬記憶體分頁檔。若啟用這項原則設定,每次系統順利關機時都會清除系統分頁檔。如果啟用這項安全性設定,當停用可攜式電腦系統的休眠功能時,休眠檔 (Hiberfil.sys) 也會被清空。關閉與重新啟動伺服器所花的時間會更長,如果伺服器的分頁檔很大,這種現象更會特別明顯。
基於這些理由,\[關機: 清除虛擬記憶體分頁檔\] 這項設定在本章所討論兩種環境中的所有電腦類型都設為 \[已停用\]。
#### 系統密碼編譯
下表彙整針對系統密碼編譯所建議的安全性選項設定。更多資訊,請參閱表格之後的段落。
**表 3.16 安全性選項設定建議 — 系統密碼編譯**
| 系統密碼編譯:使用 FIPS 相容方法於加密,雜湊,以及簽章 |
尚未定義 |
尚未定義 |
已停用 |
已停用 |
##### 系統密碼編譯:使用 FIPS 相容方法於加密,雜湊,以及簽章
這項原則設定可決定傳輸層安全性/安全通訊端層 (TL/SS) 安全性提供者是否只支援 TLS\_RSA\_WITH\_3DES\_EDE\_CBC\_SHA Cipher Suite。雖然這項原則設定可提高安全性,但以 TLS 或 SSL 保護安全的大多數公開網站並不支援這類演算法。對於未設定為使用 FIPS 相容演算法的伺服器,即使是啟用這項原則設定的用戶端電腦,也無法連線到該伺服器的「終端機服務」。
\[系統密碼編譯: 使用 FIPS 相容方法於加密,雜湊,以及簽章\] 這項設定在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中設為 \[已停用\]。
**注意:**如果啟用這項原則設定,因為 3DES 處理程序會對檔案中的每個資料區塊執行三次,所以電腦效能會變慢。這項原則設定應該只在您的組織必須與 FIPS 相容時才啟用。
#### 系統物件
下表彙整針對系統物件所建議的安全性選項設定。此表下方的段落將提供更多資訊。
**表 3.17 安全性選項設定建議 — 系統物件**
| 系統物件:系統管理員群組成員所建立物件的預設擁有者 |
物件建立程式 |
物件建立程式 |
物件建立程式 |
物件建立程式 |
| 系統物件:要求不區分大小寫用於非 Windows 子系統 |
尚未定義 |
尚未定義 |
已啟用 |
已啟用 |
| 系統物件:加強內部系統物件的預設權限 |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
##### 系統物件:系統管理員群組成員所建立物件的預設擁有者
這項原則設定可決定以「系統管理員」群組還是「物件建立程式」群組作為新系統物件的預設擁有者。
為了賦予更重大的責任,\[系統物件: 系統管理員群組成員所建立物件的預設擁有者\] 這項設定在本章所討論的兩種環境中均設為「物件建立程式」群組。
##### 系統物件:要求不區分大小寫用於非 Windows 子系統
這項原則設定可決定是否強制所有子系統不區分大小寫。Microsoft Win32® 子系統是不區分大小寫的。然而,其核心可支援其他子系統區分大小寫,例如 Portable Operating System Interface for UNIX (POSIX)。因為 Windows 不區分大小寫 (但 POSIX 子系統可支援區分大小寫),若無法強制使用這項原則設定,POSIX 子系統的使用者將無法以大小寫混用的方式來建立另一個名稱相同的檔案。這種情況下,因為只有其中一個檔案可以使用,所以使用一般 Win32 工具的另一位使用者可能無法存取這類檔案。
為了確保檔案名稱一致,\[系統物件: 要求不區分大小寫用於非 Windows 子系統\] 這項設定在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中則設為 \[已啟用\]。
##### 系統物件:加強內部系統物件的預設權限
這項原則設定可決定物件的預設判別存取控制清單 (DACL) 的強度。這項設定有助於保護能在處理程序之間找到與共用的物件,此外,由於其預設設定可讓非系統管理員的使用者能夠讀取共用物件,但是他們只能修改他們自己建立的物件,因此可強化 DACL。
因此,\[系統物件: 加強內部系統物件的預設權限 (例如: 符號連結) \] 這項設定在本章所討論的兩種環境中都預設為 \[已啟用\]。
[](#mainsection)[回到頁首](#mainsection)
### 事件紀錄安全性設定
事件紀錄可記錄系統的事件,安全性記錄檔可記錄稽核事件。「群組原則」的事件日誌容器是用於定義「應用程式」、「安全性」和「系統」事件紀錄的相關屬性,例如:最大的記錄檔容量、每個記錄檔的存取權,以及保留設定和方法。「應用程式」、「安全性」和「系統」事件紀錄是在成員伺服器基準線原則 (MSBP) 中進行設定,並且套用到網域中的所有成員伺服器。
您可以在「群組原則物件編輯器」中的以下位置進行事件紀錄的設定:
**電腦設定\\Windows 設定\\安全性設定\\事件紀錄**
本節針對本章所討論的環境,提供相關指定設定的詳細資訊。如需本節所述指定設定的摘要,請參閱 Microsoft Excel® 活頁簿<Windows XP 安全性指南設定>。如需預設設定的更多資訊與本節所討論每一項設定的詳細解說,請參閱同系列指南[*威脅與因應對策:Windows Server 2003 及 Windows XP 中的安全性設定*](https://go.microsoft.com/fwlink/?linkid=15159),網址為:https://go.microsoft.com/fwlink/?LinkId=15159。這份指南中也詳細說明,當記錄檔的大小設為極大值時,事件紀錄中資料遺失的可能性。
下表彙整本章所討論的兩種環境類型中,針對桌上型和膝上型用戶端兩者所建議的事件紀錄安全性設定,這兩種環境也就是企業用戶端 (EC) 與專業安全性限制功能 (SSLF) 環境。以下各節將提供更多關於各個設定的詳細資訊。
**表 3.18 事件紀錄安全性設定建議**
| 應用程式記錄檔大小最大值 |
16384 KB |
16384 KB |
16384 KB |
16384 KB |
| 安全性記錄檔大小最大值 |
81920 KB |
81920 KB |
81920 KB |
81920 KB |
| 系統記錄檔大小最大值 |
16384 KB |
16384 KB |
16384 KB |
16384 KB |
| 不允許本機來賓存取應用程式記錄 |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
| 不允許本機來賓存取安全性記錄 |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
| 不允許本機來賓存取系統記錄 |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
| 應用程式記錄保持方法 |
視需要覆寫事件 |
視需要覆寫事件 |
視需要覆寫事件 |
視需要覆寫事件 |
| 安全性記錄保持方法 |
視需要覆寫事件 |
視需要覆寫事件 |
視需要覆寫事件 |
視需要覆寫事件 |
| 系統記錄保持方法 |
視需要覆寫事件 |
視需要覆寫事件 |
視需要覆寫事件 |
視需要覆寫事件 |
#### 應用程式記錄檔大小最大值
這項原則設定可指定應用程式事件日誌大小的上限,其最大容量為 4 GB。但由於存在記憶體分散的風險,從而會導致效能降低和事件記錄不可靠,因此不建議採用此容量大小。各組織對於應用程式記錄檔大小的需求並不相同,也需視平台功用、應用程式相關事件歷程記錄之需要而決定。
\[應用程式記錄檔大小最大值\] 這項設定在本章所討論兩種環境中的所有電腦都設為 **16384 KB**。
#### 安全性記錄檔大小最大值
這項原則設定可指定安全性事件日誌大小的上限,其最大容量為 4 GB。但由於存在記憶體分散的風險,從而會導致效能降低和事件記錄不可靠,因此不建議採用此容量大小。各組織對於安全性記錄檔大小的需求並不相同,也需視平台功用、應用程式相關事件歷程記錄之需要而決定。
\[安全性記錄檔大小最大值\] 這項設定在本章所討論兩種環境中的所有電腦都設為 **81920 KB**。
#### 系統記錄檔大小最大值
這項原則設定可指定系統事件日誌大小的上限,其最大容量為 4 GB。但由於存在記憶體分散的風險,從而會導致效能降低和事件記錄不可靠,因此不建議採用此容量大小。各組織對於應用程式記錄檔大小的需求並不相同,也需視平台功用、應用程式相關事件歷程記錄之需要而決定。
\[系統記錄檔大小最大值\] 這項設定在本章所討論兩種環境中的所有電腦都設為 **16384 KB**。
#### 不允許本機來賓存取應用程式記錄
這項原則設定決定是否不允許來賓存取應用程式事件日誌。根據 Windows Server 2003 的預設值,所有的系統都禁止來賓存取。因而,此原則設定對預設系統設定沒有實際影響。然而,它也被視為沒有什麼副作用的深度防禦設定。
\[不允許本機來賓存取應用程式記錄\] 這項設定在本章所討論的兩種環境中都設為 \[已啟用\]。
#### 不允許本機來賓存取安全性記錄
這項原則設定決定是否不允許來賓存取安全性事件日誌。使用者必須獲指派 \[管理稽核及安全日誌\] 使用者權限 (未於本指南中定義) 才能存取安全性記錄檔。因而,此原則設定對預設系統設定沒有實際影響。然而,它也被視為沒有什麼副作用的深度防禦設定。
\[不允許本機來賓存取安全性記錄\] 這項設定在本章所討論的兩種環境中設為 \[已啟用\]。
#### 不允許本機來賓存取系統記錄
這項原則設定決定是否不允許來賓存取系統事件記錄。根據 Windows Server 2003 的預設值,所有的系統都禁止來賓存取。因而,此原則設定對預設系統設定沒有實際影響。然而,它也被視為沒有什麼副作用的深度防禦設定。
\[不允許本機來賓存取系統記錄\] 這項設定在本章所討論的兩種環境中都設為 \[已啟用\]。
#### 應用程式記錄保持方法
這項原則設定可決定應用程式記錄檔的「包裝」方式。如果因為鑑識或疑難排解而需要使用到歷程事件,請務必定期保存應用程式記錄檔。視需要覆寫事件以確保記錄最新的事件,雖然此設定可能會導致歷程資料遺失。
\[應用程式記錄保持方法\] 在本章所討論的兩種環境中都設為 \[視需要覆寫事件\]。
#### 安全性記錄保持方法
這項原則設定可決定安全性記錄檔的「包裝」方式。如果因為鑑識或疑難排解而需要使用到歷程事件,請務必定期保存安全性記錄檔。視需要覆寫事件以確保記錄最新的事件,雖然此設定可能會導致歷程資料遺失。
\[安全性記錄保持方法\] 在本章所討論的兩種環境中都設為 \[視需要覆寫事件\]。
#### 系統記錄保持方法
這項原則設定可決定系統記錄檔的「包裝」方式。如果因為鑑識或疑難排解而需要使用到歷程事件,請務必定期保存系統記錄檔。視需要覆寫事件以確保記錄最新的事件,雖然此設定可能會導致歷程資料遺失。
\[系統記錄保持方法\] 在本章所討論的兩種環境中都設為 \[視需要覆寫事件\]。
[](#mainsection)[回到頁首](#mainsection)
### 受限群組
\[受限群組\] 這項設定可讓您在 Windows XP Professional 中透過 Active Directory 群組原則來管理群組的成員資格。首先,請檢視您組織的需要,決定所想設限的群組。在本指南中,**Backup Operators** 與 **Power Users** 群組在兩個環境中都受到限制,但唯有 **Remote Desktop Users** 群組只在 SSLF 環境受到限制。雖然 **Backup Operators** 與 **Power Users** 群組的成員所擁有系統存取權限比 **Administrators** 群組的成員低,但仍可有效地存取系統。
**注意:**如果您的組織使用任何以上群組,請小心控制群組成員,並且不要對 \[受限群組\] 設定實作此指引。如果您的組織將使用者新增至 Power Users 群組中,您可以實作本章後段<保護檔案系統>一節所說的選用檔案系統權限。
**表 3.19 受限群組建議**
| Backup Operators |
無成員 |
無成員 |
無成員 |
無成員 |
| Power Users |
無成員 |
無成員 |
無成員 |
無成員 |
| Remote Desktop Users |
|
|
無成員 |
無成員 |
您可以在「群組原則物件編輯器」中的以下位置進行 \[受限群組\] 設定:
**電腦設定\\Windows 設定\\安全性設定\\受限群組**
系統管理員可將想要的群組直接加入到 GPO 名稱區的 \[受限群組\] 節點,藉此設定 GPO 的受限群組。
如果群組為受限群組,您可以定義其成員,以及屬於該群組的其他任何群組。如果您不指定這些群組成員,群組便完全受限。群組只能使用安全性範本加以限制。
**若要檢視或修改 \[受限群組\] 設定:**
1. 開啟 \[安全性範本管理主控台\]。
**注意:**\[安全性範本管理主控台\] 並不是預設為加入 \[系統管理工具\] 功能表中。若要加入它,請啟動 Microsoft Management Console (mmc.exe),並加入 \[安全性範本\] 嵌入式管理單元。
2. 按兩下設定檔目錄,再按兩下設定檔。
3. 按兩下 \[受限群組\] 項目。
4. 在 \[受限群組\] 上按滑鼠右鍵,選取 \[新增群組\]。
5. 依序按一下 \[瀏覽\] 按鈕與 \[位置\] 按鈕,選取您想要瀏覽的位置,再按一下 \[確定\]。
**注意:**這個動作通常會使本機電腦出現在清單的最上方。
6. 在 \[輸入物件名稱來選取\] 文字方塊中輸入群組名稱,然後按一下 \[檢查名稱\] 按鈕。
- 或 -
按一下 \[進階\] 按鈕,再按一下 \[立即尋找\] 按鈕,列出所有可用的群組。
7. 選取想要限制的群組,然後按一下 \[確定\]。
8. 按一下 \[新增群組\] 對話方塊上的 \[確定\] 關閉它。
本指南中,Power Users 與 Backup Operators 群組的所有成員 (使用者與群組) 的設定都會被移除,以便在兩種環境中完全限制這些成員。此外,在 SSLF 環境中,Remote Desktop Users 群組的所有成員都會全數移除。Microsoft 建議您,只要是您不打算在貴公司使用的內建群組,一律加以限制。
**注意:**本節所說明的受限群組設定相當簡單。Windows XP SP1 或更新版本,以及 Windows Server 2003 都可以支援更複雜的設計。如需其他詳細資訊,請參閱 Microsoft 知識庫文件[更新使用者定義之本機群組的受限群組 (「成員隸屬」) 行為](https://support.microsoft.com/default.aspx?kbid=810076) (英文),網址為:https://support.microsoft.com/default.aspx?kbid=810076。
[](#mainsection)[回到頁首](#mainsection)
### 系統服務
Windows XP Professional 在安裝時,會建立預設的系統服務,並設定為在系統啟動時執行。這些系統服務之中有許多並不需要在本章所討論的環境中執行。
Windows XP Professional 還提供其他選用的服務 (例如:IIS),這部分並不會在作業系統的預設安裝過程中安裝。您可以使用 \[控制台\] 的 \[新增/移除程式\] 將這些選用服務新增到現有的系統中,也可以建立自訂的 Windows XP Professional 自動安裝。
**重要:**請記得,任何服務或應用程式都是潛在的攻擊點。因此,您環境中任何不需要的服務或可執行檔都應該加以停用或移除。
您可以在「群組原則物件編輯器」中的以下位置進行系統服務設定:
**電腦設定\\Windows 設定\\安全性設定\\系統服務**
系統管理員可設定系統服務的啟動模式,並變更各自的安全性設定。
**重要:**對於可用來編輯 Windows 2003 之前版本 Windows 作業系統內服務的圖形工具,當您設定服務的其中任何內容時,這些圖形工具版本可自動將權限套用到每一項服務。例如,「群組原則物件編輯器」和「MMC 安全性範本」嵌入式管理單元等工具就會使用「安全性設定編輯器 DLL」套用這類權限。如果變更預設權限,多項服務就會發生各種問題。Microsoft 建議您避免更動 Windows XP 或 Windows Server 2003 服務的權限,因為預設權限的限制能力已經相當高。
在您編輯服務的內容時,Windows Server 2003 版的「安全性設定編輯器 DLL」不會強迫您設定權限。如需更多資訊,請參閱同系列指南[*威脅與因應對策:Windows Server 2003 及 Windows XP 中的安全性設定*](https://go.microsoft.com/fwlink/?linkid=15159)*,*網址是:https://go.microsoft.com/fwlink/?LinkId=15159。
下表彙整本章所討論的兩種環境類型中,針對桌上型和膝上型用戶端兩者所建議的系統服務設定,這兩種環境也就是企業用戶端 (EC) 與專業安全性限制功能 (SSLF) 環境。以下各節將提供更多關於各個設定的詳細資訊。
**表 3.20 系統服務安全性設定建議**
| 警訊器 |
Alerter |
已停用 |
已停用 |
已停用 |
已停用 |
| ClipSrv |
ClipBook |
已停用 |
已停用 |
已停用 |
已停用 |
| 瀏覽器 |
Computer Browser |
尚未定義 |
尚未定義 |
已停用 |
已停用 |
| 傳真 |
Fax |
尚未定義 |
尚未定義 |
已停用 |
已停用 |
| MSFtpsvr |
FTP Publishing |
已停用 |
已停用 |
已停用 |
已停用 |
| IISADMIN |
IIS Admin |
已停用 |
已停用 |
已停用 |
已停用 |
| cisvc |
Indexing Service |
尚未定義 |
尚未定義 |
已停用 |
已停用 |
| 信差 |
Messenger |
已停用 |
已停用 |
已停用 |
已停用 |
| mnmsrvc |
NetMeeting® Remote Desktop Sharing |
已停用 |
已停用 |
已停用 |
已停用 |
| RDSessMgr |
Remote Desktop Help Session Manager |
尚未定義 |
尚未定義 |
已停用 |
已停用 |
| RemoteAccess |
Routing and Remote Access |
已停用 |
已停用 |
已停用 |
已停用 |
| SNMP |
SNMP Service |
已停用 |
已停用 |
已停用 |
已停用 |
| SNMPTRAP |
SNMP Trap Service |
已停用 |
已停用 |
已停用 |
已停用 |
| SSDPSrv |
SSDP Discovery Service |
已停用 |
已停用 |
已停用 |
已停用 |
| 排程 |
Task Scheduler |
尚未定義 |
尚未定義 |
已停用 |
已停用 |
| TlntSvr |
Telnet |
已停用 |
已停用 |
已停用 |
已停用 |
| TermService |
Terminal Services |
尚未定義 |
尚未定義 |
已停用 |
已停用 |
| Upnphost |
Universal Plug and Play Device Host |
尚未定義 |
尚未定義 |
已停用 |
已停用 |
| W3SVC |
World Wide Web Publishing |
已停用 |
已停用 |
已停用 |
已停用 |
#### Alerter
這項服務可通知選定的使用者和電腦有關系統管理方面的警告。您可以使用這項服務將警示訊息傳送給連線到您網路的指定使用者。
**Alerter** 服務設為 \[已停用\],以防資訊被傳送到網路以外。這項設定可確保本章所討論的兩種環境擁有更高的安全性。
**注意:**若停用這項服務,不斷電供應系統 (UPS) 警告訊息系統的功能將會受影響。
#### ClipBook
這項服務可讓「剪貼本檢視器」建立和共用可從遠端電腦進行檢視的資料分頁。這項服務依賴 Network Dynamic Data Exchange (NetDDE) 服務來建立其他電腦可以連線的實際檔案共用區;**Clipbook** 應用程式和服務可讓您建立要進行共用的資料分頁。任何明確依賴此服務的服務都將失敗。不過,您可以使用 Clipbrd.exe 檢視本機剪貼本,也就是當使用者選取文字,再按一下 \[編輯\] 功能表的 \[複製\],或按下 CTRL+C 時,存放資料的地方。
**Clipbook** 服務設為 \[已停用\],以確保本章所討論的兩種環境擁有更高的安全性。
#### Computer Browser
這項服務可維護您網路中電腦的最新清單,並提供此清單給要求此清單的程式。需要檢視網路網域和資源的 Windows 電腦會使用這項服務。
為了確保更高的安全性,**Computer Browser** 服務在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中則設為 \[已停用\]。
#### Fax
這項服務是一種與電話語音 API (TAPI) 相容的服務,可為您環境中的用戶端提供傳真功能。這項服務可讓使用者透過連接到本機的傳真裝置,或網路共用的傳真裝置,從桌面應用程式來收發傳真。
**Fax** 服務在 EC 環境中的電腦設為 \[尚未定義\]。然而,此服務在 SSLF 環境中設定為 \[已停用\],以確保更高的安全性。
#### FTP Publishing
這項服務可透過 MMC IIS 嵌入式管理單元提供連線與系統管理功能。Microsoft 建議您,除非商務上有此需要,否則避免在您環境中的 Windows XP 用戶端安裝這項服務。
**FTP Publishing** 服務在本章所討論的兩種環境中都設為 \[已停用\]。
#### IIS Admin
這項服務可用來管理 IIS 元件,例如:FTP、應用程式集區、網站,以及 Web 服務延伸。停用這項服務可防止使用者在電腦中執行 Web 或 FTP 站台,這些功能對於大多數的 Windows XP 用戶端電腦而言並不需要。
**IIS Admin** 服務在本章所討論的兩種環境中都設為 \[已停用\]。
#### Indexing Service
這項服務可為本機與遠端電腦中檔案的內容建立索引,並透過彈性的查詢語言來提供檔案的快速存取。這項服務也可讓您快速搜尋本機上和遠端電腦上的文件,並提供網站上共用內容的搜尋索引。
**Indexing Service** 在 EC 環境中的電腦設為 \[尚未定義\]。然而,此服務在 SSLF 環境中設定為 \[已停用\],以確保更高的安全性。
#### Messenger
這項服務可在用戶端和伺服器之間傳遞及傳送 **Alerter** (警訊器) 服務訊息。這項服務與 Windows Messenger 或 MSN Messenger 無關,而且對 Windows XP 用戶端電腦並非必要。
因此,**Messenger** 服務在本章所討論的兩種環境中都設為 \[已停用\]。
#### NetMeeting Remote Desktop Sharing
這項服務可讓授權使用者經由組織的內部網路,透過 Microsoft NetMeeting 從遠端存取用戶端。這項服務必須在 NetMeeting 中明確地啟用。您也可以在 NetMeeting 中停用這項功能、透過 Windows 系統匣圖示關閉服務,或在「群組原則」中進行 \[停用遠端桌面共用\] 設定將這項功能停用;相關論述,請見第 4 章<Windows XP 的系統管理範本>。Microsoft 建議您停用這項服務,杜絕從遠端位置存取您的用戶端。
**NetMeeting Remote Desktop Sharing** 服務在本章所討論的兩種環境中設為 \[已停用\]。
#### Remote Desktop Help Session Manager
這項服務能管理與控制「說明及支援中心」應用程式 (Helpctr.exe) 的「遠端協助」功能。
**Remote Desktop Help Session Manager** 服務在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中則設為 \[已停用\]。
#### Routing and Remote Access
這項服務可提供多重通訊協定 LAN 到 LAN、LAN 到 WAN、虛擬私人網路 (VPN) 以及網路位址轉譯 (NAT) 路由服務。這項服務也提供撥號及 VPN 遠端存取服務。
**Routing and Remote Access** 服務在本章所討論的兩種環境中都設為 \[已停用\]。
#### SNMP Service
這項服務可讓本機電腦來服務傳入的簡易網路管理通訊協定 (SNMP) 要求。**SNMP Service** 內含代理程式,可監視網路裝置的活動,並且向網路主控台工作站報告。
**SNMP Service** 在本章所討論的兩種環境中都設為 \[已停用\]。
#### SNMP Trap Service
這項服務可接收本機或遠端 SNMP 代理程式所產生的陷阱訊息,並將訊息轉送給在您電腦上執行的 SNMP 管理程式。當為代理程式設定 **SNMP Service** 時,則只要發生特定事件,服務就會產生陷阱訊息。這些訊息會被傳送到設陷目的地。
**SNMP Trap Service** 在本章所討論的兩種環境中都設為 \[已停用\]。
#### SSDP Discovery Service
這項服務可為 Universal Plug and Play Host 服務提供尋找與識別 UPnP 網路裝置的功能。如果停用 **SSDP Discovery Service**,系統則無法尋找網路中的 UPnP 裝置,Universal Plug and Play Host 服務也無法尋找 UPnP 裝置或與該裝置互動。
**SSDP Discovery Service** 在本章所討論的兩種環境中都設為 \[已停用\]。
#### Task Scheduler
這項服務可讓您在電腦上設定及排程自動化工作。這項服務可監控您選擇的任何準則,並在符合準則時執行工作。
**Task Scheduler** 服務在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中則設為 \[已停用\]。
#### Telnet
適用於 Windows 的這項服務可為 Telnet 用戶端提供 ASCII 終端機工作階段。這項服務可支援兩種類型的驗證,與下列四種終端機:ANSI、VT-100、VT-52、VTNT。然而,此服務對大部分 Windows XP 用戶端而言,並不是必要的。
**Telnet** 服務在本章所討論的兩種環境中都設為 \[已停用\]。
#### Terminal Services
這項服務可提供多重工作階段的環境,讓用戶端裝置能存取在伺服器上執行的虛擬 Windows 桌面工作階段和 Windows 程式。在 Windows XP 中,這項服務可讓遠端使用者以互動方式連線到電腦,在遠端電腦上顯示桌面與應用程式。
**Terminal Services** 服務在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中則設為 \[已停用\]。
#### Universal Plug and Play Host
這項服務可支援網路裝置的對等隨插即用功能。UPnP 規格是專為簡化裝置和網路服務的安裝及管理而設計。UPnP 可透過無驅動程式的標準型通訊協定機制,達成裝置與服務的探索與控制。Universal Plug and Play 裝置可自動設定網路定址,宣告它們存在於子網路上,並可交換裝置與服務的說明。Windows XP 電腦可作為 UPnP 控制點,透過 Web 或應用程式介面探索與控制裝置。
**Universal Plug and Play** 服務在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中則設為 \[已停用\]。
#### World Wide Web Publishing
這項服務可透過 MMC IIS 嵌入式管理單元提供 Web 連線與系統管理功能。這項服務可為 Windows 平台上的應用程式提供 HTTP 服務,並包含處理程序管理員與設定管理員。然而,此服務對大部分 Windows XP 用戶端而言,並不是必要的。
**World Wide Web Publishing** 服務在本章所討論的兩種環境中都設為 \[已停用\]。
[](#mainsection)[回到頁首](#mainsection)
### 其他登錄設定
其他登錄值項目是針對本章所討論的兩種安全性環境,系統管理範本 (.adm) 檔案內所未定義的基準線安全性範本檔案所建立。
這些設定包含在安全性範本 (「安全性選項」部分中) 以自動化其實作。如果將原則移除,這些設定並不會自動跟著移除,您必須以登錄編輯工具 (例如:Regedt32.exe) 手動加以變更。
本指南包含其他設定,您可透過修改 Sceregvl.inf 檔 (位在 **%windir%\\inf** 資料夾) 和重新登錄 Scecli.dll 檔,將這些設定新增到安全性設定編輯器 (SCE) 中。原始的安全性設定及其他設定均於本章前文所列出的嵌入式管理單元與工具之「本機原則\\安全性選項」中說明。如有電腦需要您編輯本指南所提出的安全性範本與「群組原則」,請依照下一節<如何修改安全性設定編輯器使用者介面>說明,更新 Sceregvl.inf 檔與重新登錄 Scecli.dll。
下表彙整本章所討論的兩種環境類型中,針對桌上型和膝上型用戶端兩者所建議的其他登錄設定,這兩種環境也就是企業用戶端 (EC) 與專業安全性限制功能 (SSLF) 環境。
表格下方的段落將提供各個設定的更多資訊。如需預設設定的更多資訊與本節所討論每一項設定的詳細解說,請參閱同系列指南[*威脅與因應對策:Windows Server 2003 及 Windows XP 中的安全性設定*](https://go.microsoft.com/fwlink/?linkid=15159),網址是:https://go.microsoft.com/fwlink/?LinkId=15159。
**表 3.21 其他登錄設定**
| MSS:(AutoAdminLogon) 啟用自動登入 (不建議) |
尚未定義 |
尚未定義 |
已停用 |
已停用 |
| MSS:(DisableIPSourceRouting) IP 來源路由保護層級 (避免封包詐騙) |
尚未定義 |
尚未定義 |
最高保護,完全停用來源路由。 |
最高保護,完全停用來源路由。 |
| MSS:(EnableDeadGWDetect) 容許自動偵測無效網路閘道 (可能導致 DoS) |
尚未定義 |
尚未定義 |
已停用 |
已停用 |
| MSS:(EnableICMPRedirect) 容許 ICMP 重新導向覆寫 OSPF 產生的路由 |
尚未定義 |
尚未定義 |
已停用 |
已停用 |
| MSS:(Hidden) 將電腦自瀏覽清單中隱藏 (除非是高度安全的環境,否則不建議使用) |
尚未定義 |
尚未定義 |
已啟用 |
已啟用 |
| MSS:(KeepAliveTime) 持續作用的封包多少毫秒會傳送一次 |
尚未定義 |
尚未定義 |
30000 或 5 分鐘 (建議值) |
30000 或 5 分鐘 (建議值) |
| MSS:(NoDefaultExempt) 啟用 IPSec 篩選的 NoDefaultExempt (建議) |
多點傳送、廣播和 ISAKMP 是豁免的 (最適用於 Windows XP) |
多點傳送、廣播和 ISAKMP 是豁免的 (最適用於 Windows XP) |
多點傳送、廣播和 ISAKMP 是豁免的 (最適用於 Windows XP) |
多點傳送、廣播和 ISAKMP 是豁免的 (最適用於 Windows XP) |
| MSS:(NoDriveTypeAutoRun) 停用所有磁碟機的自動執行功能 (建議) |
255,停用所有磁碟機的自動執行功能 |
255,停用所有磁碟機的自動執行功能 |
255,停用所有磁碟機的自動執行功能 |
255,停用所有磁碟機的自動執行功能 |
| MSS:(NoNameReleaseOnDemand) 除非來自 WINS 伺服器否則容許電腦忽略 NetBIOS 名稱釋放要求 |
尚未定義 |
尚未定義 |
已啟用 |
已啟用 |
| MSS:(NtfsDisable8dot3NameCreation) 啟用電腦停止產生 8.3 樣式檔案名稱 (建議) |
尚未定義 |
尚未定義 |
已啟用 |
已啟用 |
| MSS:(PerformRouterDiscovery) 容許 IRDP 偵測及設定預設閘道位址 (可能導致 DoS) |
尚未定義 |
尚未定義 |
已啟用 |
已啟用 |
| MSS:(SafeDllSearchMode) 啟用安全的 DLL 搜尋模式 (建議) |
已啟用 |
已啟用 |
已啟用 |
已啟用 |
| MSS:(ScreenSaverGracePeriod) 螢幕保護裝置的寬限期到期前的以秒計算時間值 (建議值為 0) |
0 |
0 |
0 |
0 |
| MSS:(SynAttackProtect) Syn 攻擊保護層級 (避免 DoS) |
尚未定義 |
尚未定義 |
若偵測到攻擊,連線會更快逾時 |
若偵測到攻擊,連線會更快逾時 |
| MSS:(TCPMaxConnectResponseRetransmissions) 當連線要求未被認可時重新傳輸 SYN-ACK |
尚未定義 |
尚未定義 |
3 秒和 6 秒,在 21 秒之後放棄半開放的連線 |
3 秒和 6 秒,在 21 秒之後放棄半開放的連線 |
| MSS:(TCPMaxDataRetransmissions) 未被認可的資料重新傳輸的次數 (建議值為 3,預設值為 5) |
尚未定義 |
尚未定義 |
3 |
3 |
| MSS:(WarningLevel) 系統會產生警告的安全性事件日誌的百分比閾值 |
尚未定義 |
尚未定義 |
90 |
90 |
#### (AutoAdminLogon) 啟用自動登入
登錄值項目 **AutoAdminLogon** 已新增至範本檔的 **HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\** 登錄機碼中。此項目在 SCE 顯示為 \[MSS: (AutoAdminLogon) 啟用自動登入 (不建議)\]。
這項設定與 Windows XP 的「歡迎使用」畫面功能是不同的;停用「歡迎使用」畫面功能,並不會因此停用這項設定。如果設定電腦採取自動登入方式,能實體存取電腦的任何人也都能存取該部電腦中的一切資訊,包括任何網路或電腦所能連線到的網路在內。此外,如果您啟用自動登入,則密碼是以純文字形式儲存在登錄中,而儲存這個值的特定登錄機碼可由 **Authenticated Users** 群組從遠端讀取。基於這些理由,這項設定在 EC 環境中設為 \[尚未定義\],在 SSLF 環境則明確強制使用預設的 \[已停用\] 設定。
如需其他資訊,請參閱 Microsoft 知識庫文件[如何開啟 Windows XP 中的自動登入](https://support.microsoft.com/default.aspx?scid=315231),網址為:https://support.microsoft.com/default.aspx?scid=315231。
#### (DisableIPSourceRouting) IP 來源路由保護層級
登錄值項目 **DisableIPSourceRouting** 已新增至範本檔的 **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** 登錄機碼中。此項目在 SCE 中顯示為 \[MSS: (DisableIPSourceRouting) IP 來源路由保護層級 (避免封包詐騙)\]。
IP 來源路由是一種機制,可讓傳送者決定資料包通過網路時應該採取的 IP 路由。這項設定在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中則設為 \[最高保護,完全停用來源路由\]。
#### (EnableDeadGWDetect) 容許自動偵測無效網路閘道
登錄值項目 **EnableDeadGWDetect** 已新增至範本檔的 **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** 登錄機碼中。此項目在 SCE 顯示為 \[MSS: (EnableDeadGWDetect) 容許自動偵測無效網路閘道 (可能導致 DoS)\]。
當啟用無效的閘道偵測時,如果某數量的連線遭遇困難,則 IP 可能會變更為備份閘道。因此,在 EC 環境中此原則設定設為 \[尚未定義\],在 SSLF 環境中則設為 \[已停用\]。
#### (EnableICMPRedirect) 容許 ICMP 重新導向覆寫 OSPF 產生的路由
登錄值項目 **EnableICMPRedirect** 已新增至範本檔的 **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** 登錄機碼中。此項目在 SCE 顯示為 \[MSS: (EnableICMPRedirect) 容許 ICMP 重新導向覆寫 OSPF 產生的路由\]。
網際網路控制訊息通訊協定 (ICMP) 的重新導向會導致堆疊配管主機路由。這些路由會覆寫「先開啟最短的路徑」(OSPF) 產生的路由。因此,在 EC 環境中此原則設定設為 \[尚未定義\],在 SSLF 環境中則設為 \[已停用\]。
#### (Hidden) 在網路上的芳鄰瀏覽清單中隱藏電腦
登錄值項目 **Hidden** 已新增至範本檔的 **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Lanmanserver\\Parameters\\** 登錄機碼中。此項目在 SCE 顯示為 \[MSS: (Hidden) 將電腦自瀏覽清單中隱藏 (除非是高度安全的環境,否則不建議使用)\]。
您可以將電腦設定為不傳送宣告到網域中的瀏覽器。這麼就會在瀏覽清單中隱藏該部電腦,換句話說,這會使電腦停止對同一網路中的其他電腦自我宣告。攻擊者若知道電腦的名稱,就更容易收集到更多的系統資訊。您可以啟用這項設定,防堵攻擊者可用來收集網路中電腦相關資訊的一種方法。此外,若啟用這項設定,有助於降低網路流量。然而,這項設定對於安全性方面的功效不大,因為攻擊者可利用其他方法來識別與找出潛在的目標。基於此理由,Microsoft 建議您只在高度安全的環境中才啟用這項設定。
因此,在 EC 環境中此原則設定設為 \[尚未定義\],在 SSLF 環境中則設為 \[已啟用\]。
如需其他資訊,請參閱 Microsoft 知識庫文件[如何在瀏覽器清單中隱藏 Windows 2000 電腦](https://support.microsoft.com/default.aspx?scid=321710) (英文),網址為:https://support.microsoft.com/default.aspx?scid=321710。
#### (KeepAliveTime) 持續作用的封包多少毫秒會傳送一次
登錄值項目 **KeepAliveTime** 已新增至範本檔的 **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** 登錄機碼中。此項目在 SCE 顯示為 \[MSS: (KeepAliveTime) 持續作用的封包多少毫秒會傳送一次 (建議值為 300,000)\]。
這個值會透過傳送持續作用的 (Keep-alive) 封包,來控制 TCP 確認閒置連線是否仍處於完整無缺狀態的頻率。若遠端電腦仍然可以連線,它會確認收到持續作用的封包。這項設定在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中則設為 \[30000 或 5 分鐘\]。
#### (NoDefaultExempt) 啟用 IPSec 篩選的 NoDefaultExempt
登錄值項目 **NoDefaultExempt** 已新增至範本檔的 **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\IPSEC\\** 登錄機碼中。此項目在 SCE 顯示為 \[MSS: (NoDefaultExempt) 啟用 IPSec 篩選的 NoDefaultExempt (建議)\]。
IPsec 原則篩選器的預設豁免項目均記載於 Microsoft Windows 2000 及 Windows XP 線上說明。有了這些篩選器,網際網路金鑰交換 (IKE) 與 Kerberos 驗證通訊協定才能夠運作。對於受到 IPsec 保護的資料流量,以及無法由 IPsec 保護的資料流量 (例如:多點傳送和廣播流量),這些篩選器也能讓網路服務品質 (QoS) 能夠發出信號 (RSVP)。
IPsec 被用於基本的主機防火牆封包篩選功能的情況日漸普及,尤其是在暴露於網際網路的情形;但這些預設豁免項目所產生的影響尚未被充分瞭解。因此,部分 IPsec 系統管理員會建立自認為安全的 IPsec 原則,但實際上當面臨利用預設豁免項目的入侵攻擊時,卻不見得安全。Microsoft 建議您在 Windows XP SP 2 中針對本章所討論的兩種環境,強制使用預設設定 \[多點傳送、廣播和 ISAKMP 是豁免的\]。
如需其他資訊,請參閱 Microsoft 知識庫文件 [IPSec 預設豁免可在部分情況下用來略過 IPsec 保護](https://support.microsoft.com/default.aspx?scid=811832) (英文),網址是:https://support.microsoft.com/default.aspx?scid=811832。
#### (NoDriveTypeAutoRun) 停用所有磁碟機的自動執行功能
登錄值項目 **NoDriveTypeAutoRun** 已新增至範本檔的 **HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\**
**Policies\\Explorer\\** 登錄機碼中。此項目在 SCE 顯示為 \[MSS: (NoDriveTypeAutoRun) 停用所有磁碟機的自動執行功能 (建議)\]。
自動執行功能會在媒體插入光碟機後,開始讀取內容, 因此會自動執行程式的安裝檔和播放音訊媒體中的音效。這項設定在本章所討論的兩種環境中都設為 \[255,停用所有磁碟機的自動執行功能\]。
#### (NoNameReleaseOnDemand) 除非來自 WINS 伺服器否則容許電腦忽略 NetBIOS 名稱釋放要求
登錄值項目 **NoNameReleaseOnDemand** 已新增至範本檔的 **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Netbt\\Parameters\\** 登錄機碼中。此項目在 SCE 顯示為 \[MSS: (NoNameReleaseOnDemand) 除非來自 WINS 伺服器否則容許電腦忽略 NetBIOS 名稱釋放要求\]。
NetBIOS over TCP/IP 這種網路通訊協定的功用之一,就是可將 Windows 系統中所登錄的 NetBIOS 名稱輕易解析為在這類系統上所設定的 IP 位址。這項設定可決定當電腦收到名稱釋放要求時,是否釋放它的 NetBIOS 名稱。這項設定在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中則設為 \[已啟用\]。
#### (NtfsDisable8dot3NameCreation) 啟用電腦停止產生 8.3 樣式檔案名稱
登錄值項目 **NtfsDisable8dot3NameCreation** 已新增至範本檔的 **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Control\\FileSystem\\** 登錄機碼中。此項目在 SCE 顯示為 \[MSS: (NtfsDisable8dot3NameCreation) 啟用電腦停止產生 8.3 樣式檔案名稱 (建議)\]。
Windows Server 2003 支援 8.3 檔名格式,以便與 16 位元應用程式的回溯相容。8.3 檔案名稱慣例是一種命名格式,其檔案名稱最多可有 8 個字元。因此,在 EC 環境中此原則設定設為 \[尚未定義\],在 SSLF 環境中則設為 \[已啟用\]。
#### (PerformRouterDiscovery) 容許 IRDP 偵測及設定預設閘道位址
登錄值項目 **PerformRouterDiscovery** 已新增至範本檔的 **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** 登錄機碼中。此項目在 SCE 顯示為 \[MSS: (PerformRouterDiscovery) 容許 IRDP 偵測及設定預設閘道位址 (可能導致 DoS)\]。
這項設定用來啟用或停用網際網路路由器探索通訊協定 (IRDP),這種通訊協定讓系統能以介面為單位,依照 RFC 1256 所述,自動偵測及設定預設的閘道位址。因此,在 EC 環境中此原則設定設為 \[尚未定義\],在 SSLF 環境中則設為 \[已啟用\]。
#### (SafeDllSearchMode) 啟用安全的 DLL 搜尋模式
登錄值項目 **SafeDllSearchMode** 已新增至範本檔的 **HKEY\_LOCAL\_MACHINE\\ SYSTEM\\CurrentControlSet\\Control\\Session Manager\\** 登錄機碼中。此項目在 SCE 顯示為 \[MSS: (SafeDllSearchMode) 啟用安全的 DLL 搜尋模式 (建議)\]。
可以 DLL 搜尋順序,以便用以下列兩種方式之一來搜尋執行處理程序所要求的 DLL:
- 先搜尋系統路徑指定的資料夾,然後再搜尋目前的工作資料夾。
- 先搜尋目前的工作資料夾,然後再搜尋系統路徑指定的資料夾。
當啟用時,登錄值設為 **1**。設定值為 **1** 時,系統會先搜尋系統路徑指定的資料夾,然後再搜尋目前的工作資料夾。當停用時,登錄值會設為 **0**,系統會先搜尋目前的工作資料夾,然後再搜尋系統路徑指定的資料夾。這項設定在本章所討論的兩種環境中都設為 \[已啟用\]。
#### (ScreenSaverGracePeriod) 螢幕保護裝置的寬限期到期前的以秒計算時間值
登錄值項目 **ScreenSaverGracePeriod** 已新增至範本檔的 **HKEY\_LOCAL\_MACHINE\\SYSTEM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\**
**Winlogon\\** 登錄機碼中。此項目在 SCE 顯示為 \[MSS: (ScreenSaverGracePeriod) 螢幕保護裝置的寬限期到期前的以秒計算時間值 (建議值為 0)\]。
若啟用螢幕保護裝置的鎖定功能,在螢幕保護裝置啟動到主控台實際自動鎖定之間,Windows 設置有一段寬限期。這項設定在本章所討論的兩種環境中都設為 **0** 秒。
#### (SynAttackProtect) Syn 攻擊保護層級
登錄值項目 **SynAttackProtect** 已新增至範本檔的 **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** 登錄機碼中。此項目在 SCE 顯示為 \[MSS: (SynAttackProtect) Syn 攻擊保護層級 (避免 DoS)\]。
這項設定可讓 TCP 調整 SYN-ACK 的重新傳輸。當您設定此值時,若偵測到連線要求 (SYN) 攻擊,連線回應的逾時會更加快速。這項設定在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中則設為 \[若偵測到攻擊,連線會更快逾時\]。
#### (TCPMaxConnectResponseRetransmissions) 當連線要求未被認可時重新傳輸 SYN-ACK
登錄值項目 **TCPMaxConnectResponseRetransmissions** 已新增至範本檔的 **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** 登錄機碼中。此項目在 SCE 顯示為 \[MSS: (TCPMaxConnectResponseRetransmissions) 當連線要求未被認可時重新傳輸 SYN-ACK\]。
這項設定可決定在中止嘗試連線之前,TCP 重新傳輸 SYN 的次數。在連線嘗試後繼的每次重新傳輸時,重新傳輸逾時會加倍。初始逾時值是 3 秒。這項設定在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中則設為 \[3 秒和 6 秒,在 21 秒之後放棄半開放的連線\]。
#### (TCPMaxDataRetransmissions) 未被認可的資料重新傳輸的次數
登錄值項目 **TCPMaxDataRetransmissions** 已新增至範本檔的 **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** 登錄機碼中。此項目在 SCE 顯示為 \[MSS: (TCPMaxDataRetransmissions) 未被認可的資料重新傳輸的次數 (建議值為 3,預設值為 5)\]。
這項設定可控制在中止連線前,TCP 重新傳輸一個個別資料區段 (非連線區段) 的次數。在連線後繼的每次重新傳輸時,重新傳輸逾時會加倍。當回應繼續時就會重設。基準逾時值是依照所測得的連線往返時間,以動態方式決定。這項設定在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中則設為 **3**。
#### (WarningLevel) 系統會產生警告的安全性事件日誌的百分比閾值
登錄值項目 **WarningLevel** 已新增至範本檔的 **HKEY\_LOCAL\_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Eventlog\\Security\\** 登錄機碼中。此項目在 SCE 顯示為 \[MSS: (WarningLevel) 系統會產生警告的安全性事件日誌的百分比閾值\]。
這項設定是自 Windows 2000 SP3 開始提供的新功能,當記錄檔達到使用者所定義的閾值時,就會在安全性事件日誌產生安全稽核。這項設定在 EC 環境中設為 \[尚未定義\],在 SSLF 環境中則設為 **90**。
**注意:**如果記錄檔的設定設為 \[視需要覆寫事件\] 或 \[覆寫 x 天之前的事件\],則不會產生這個事件。
[](#mainsection)[回到頁首](#mainsection)
### 如何修改安全性設定編輯器使用者介面
安全性設定編輯器 (SCE) 工具組可用來定義能經由「群組原則」套用到個別電腦或任意數量電腦的安全性範本。安全性範本可以包含密碼原則、鎖定原則、Kerberos 驗證通訊協定原則、稽核原則、事件日誌設定、登錄值、服務啟動模式、服務權限、使用者權限、群組成員資格限制、登錄權限,以及檔案系統權限。SCE 會出現在一些 MMC 嵌入式管理單元和系統管理員工具中。「安全性範本」嵌入式管理單元和「安全性設定及分析」嵌入式管理單元會使用到它。「群組原則物件編輯器」嵌入式管理單元會將它用在 \[電腦設定\] 樹狀目錄的 \[安全性設定\] 部分,此外也會在「本機安全性設定」、「網域控制站安全性原則」及「網域安全性原則」等工具中使用。
本指南包含新增到 SCE 的其他設定。若要新增這些設定,您必須修改 Sceregvl.inf 檔 (位在 **%systemroot%\\inf** 資料夾),之後再重新登錄 Scecli.dll 檔。
**重要:**透過下列程序所建立的自訂版 Sceregvl.inf 檔,其所使用的功能唯有 Windows XP Professional SP2 與 Windows Server 2003 中才有。請勿嘗試將自訂的檔案安裝在舊版 Windows 中。
一旦修改及登錄 Sceregvl.inf 檔案之後,自訂登錄值就會顯露在電腦的 SCE 使用者介面中。在 SCE 的項目清單底部可以看到新的設定,在開頭處全部都會加上 "MSS:" 的字樣,MSS 代表 Microsoft Solutions for Security,也就是製作本指南的小組名稱。這時,您可以建立安全性範本或原則,以定義這些新登錄值,此外,無論是否已在目標電腦上修改 Sceregvl.inf 檔,都可套用到任何電腦。後續啟動 SCE 時都會顯示出您自訂的登錄值。
出現在 SCE 中的設定,其中有一些由於通常並不會為一般使用者的系統而設定,因此並未記載於本指南中。如需這些新設定的更多資訊,可參考同系列指南[*威脅與因應對策:Windows Server 2003 及 Windows XP 中的安全性設定*](https://go.microsoft.com/fwlink/?linkid=15159),下載網址為:https://go.microsoft.com/fwlink/?LinkId=15159。
下列程序提供如何修改 SCE 使用者介面的指示。如果您已經對 SCE 進行其他自訂作業,有一些手動操作指示必須遵循。所提供的指令碼可讓使用者只要利用幾個簡單的步驟即可新增設定,不過該指令碼內建的錯誤偵測與修復功能有可能會失敗。萬一不幸失敗,請您判定失敗原因之後修正問題,或是遵循手動操作指示。所提供的另一個指令碼可讓您用來將 SCE 使用者介面還原為預設狀態。這個指令碼可移除所有的自訂設定,讓 SCE 恢復 Windows XP SP2 或 Windows Server 2003 SP1 預設安裝時的原貌。
**若要手動更新 Sceregvl.inf**
1. 使用文字編輯器 (例如:記事本) 開啟本指南的下載程式的 **SCE Update** 資料夾中的 **Values-sceregvl.txt** 檔案。
2. 在文字編輯器中開啟另一個視窗,然後開啟 **%systemroot%\\inf\\sceregvl.inf** 檔。
3. 瀏覽到 **sceregvl.inf** 檔中 "\[Register Registry Values\]" 區段的底部。將 **Values-sceregvl.txt** 檔中的文字 (不含分頁符號) 複製並貼到 **sceregvl.inf** 檔中的這個區段。
4. 關閉 **Values-sceregvl.txt** 檔,開啟下載檔案的 **SCE Update** 資料夾中的 **Strings-sceregvl.txt** 檔。
5. 瀏覽到 **sceregvl.inf** 檔中 "\[Strings\]" 區段的底部。將 **Strings-sceregvl.txt** 檔中的文字 (不含分頁符號) 複製並貼到 **sceregvl.inf** 檔中的這個區段。
6. 儲存 **sceregvl.inf** 檔案後,關閉文字編輯器。
7. 開啟命令提示字元視窗並執行 **regsvr32 scecli.dll** 命令,以便重新登錄 DLL 檔。
接下來啟動的 SCE 將會顯示這些自訂登錄值。
**若要自動更新 sceregvl.inf**
1. 位於本指南的下載檔案的 **SCE Update** 資料夾中的 **Values-sceregvl.txt、Strings-sceregvl.txt** 及 **Update\_SCE\_with\_MSS\_Regkeys.vbs** 檔必須位於同一個位置,指令碼才能作用。
2. 在您要更新的電腦上執行 **Update\_SCE\_with\_MSS\_Regkeys.vbs** 指令碼。
3. 依照螢幕上的提示進行。
本程序只會移除前一個程序所述之指令碼 **Update\_SCE\_with\_MSS\_Regkeys.vbs** 所設定的自訂項目。
**若要還原 Update\_SCE\_with\_MSS\_Regkeys.vbs 指令碼所作的變更**
1. 在您要更新的電腦上執行 **Rollback\_SCE\_for\_MSS\_Regkeys.vbs** 指令碼。
2. 依照螢幕上的提示進行。
本程序可將您在 SCE 使用者介面新增的所有自訂項目移除,包括出自本指南、本指南之舊版本,或其他安全性指南等在內。
**若要將 SCE 還原成 Windows XP SP2 或 Windows Server 2003 SP1 的預設狀態**
1. 位於本指南的下載檔案的 **SCE Update** 資料夾中的 **sceregvl\_W2K3\_SP1.inf.txt、sceregvl\_XPSP2.inf.txt,** 及 **Restore\_SCE\_to\_Default.vbs** 檔必須位於同一個位置,指令碼才能作用。
2. 在您要更新的電腦上執行 **Restore\_SCE\_to\_Default.vbs** 指令碼。
3. 依照螢幕上的提示進行。
[](#mainsection)[回到頁首](#mainsection)
### 其他安全性設定
雖然為了強化本章所討論兩種環境中的用戶端系統,所採用的因應對策大多數是透過「群組原則」進行套用,但也有其他設定難以 (甚至無法) 利用「群組原則」來套用。如需本節所討論因應對策分別的詳細資訊,請參閱同系列指南[*威脅與因應對策:Windows Server 2003 及 Windows XP 中的安全性設定*](https://go.microsoft.com/fwlink/?linkid=15159),網址為:https://go.microsoft.com/fwlink/?LinkId=15159。
#### 手動強化程序
本節說明其他部分因應對策曾如何手動進行實作,以保護本指南所定義的每一種安全性環境的 Windows XP 用戶端。
##### 停用 Dr. Watson:停用自動執行 Dr. Watson 系統偵錯程式
部分組織可能會認為系統偵錯程式 (例如:Windows 隨附的 Dr. Watson) 可被攻擊高手利用。如需如何停用 Dr. Watson 系統偵錯程式的指示,請參閱 Microsoft 知識庫文件[如何停用 Windows 的 Dr. Watson](https://support.microsoft.com/default.aspx?scid=188296)(英文),網址為:https://support.microsoft.com/default.aspx?scid=188296。
##### 停用 SSDP/UPNP:停用 SSDP/UPNP
部分組織可能會認為應當完全停用 Windows XP 子元件隨附的「通用隨插即用」功能。雖然本指南中停用 **Universal Plug and Play Host** 服務,但其他應用程式 (例如:Windows Messenger) 還是要用到 Simple Service Discovery Protocol (SSDP) Discovery Service 程序來識別網路閘道或其他網路裝置。您可以確保沒有應用程式使用 Windows XP 隨附的 SSDP 或 UPnP 功能,作法是新增名為 **UPnPMode** 的 REG\_DWORD 登錄值到 **HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\DirectPlayNATHelp\\DPNHUPnP\\** 登錄機碼中,再將其值設為 **2**。
如需詳細資訊,請參閱 Microsoft 知識庫文件[關閉 SSDP 探索服務和通用隨插即用裝置介面之後,仍會進行資料傳輸](https://support.microsoft.com/default.aspx?scid=317843),網址為:https://support.microsoft.com/default.aspx?scid=317843。
[](#mainsection)[回到頁首](#mainsection)
### 保護檔案系統
隨著 Microsoft Windows 新版本的推出,NTFS 檔案系統都會有所改良。對大多數組織而言,NTFS 的預設權限業已足夠。本節所討論的設定適用於在本指南所定義之專業安全性限制功能 (SSLF) 環境中使用膝上型與桌上型電腦的組織。
檔案系統安全性設定可透過「群組原則」修改。您可以在「群組原則物件編輯器」中的以下位置進行檔案系統設定:
**電腦設定\\Windows 設定\\安全性設定\\檔案系統**
**注意:**對於檔案系統的預設安全性設定所作的任何變更,在大型組織中進行部署之前,都應該先在實驗環境裡經過詳細的測試。曾有案例因為變更檔案權限,而導致受到影響的電腦必須完全重建。
在大部分情形下,Windows XP 中的預設檔案權限已經足以使用。然而,若您不打算用「受限群組」功能來封鎖 **Power Users** 群組的成員資格,或是您要啟用 \[網路存取: 讓 Everyone 權限套用到匿名使用者\] 設定,則可以套用下一段所說的選用權限。這些選用權限非常特殊,可套用其他限制到某些可執行工具上,以防止提高權限的惡意使用者利用這類工具來進一步入侵系統或網路。
請注意,這些權限的變更不會影響多重資料夾或系統磁碟區的根目錄。以該種方式來變更權限可能存在極大的風險,也往往會造成系統不穩定。所有檔案都位在 **%SystemRoot%\\System32\\** 資料夾,並也都擁有 \[系統管理員: 完整控制\] 和 \[系統: 完整控制\] 權限。
- regedit.exe
- arp.exe
- at.exe
- attrib.exe
- cacls.exe
- debug.exe
- edlin.exe
- eventcreate.exe
- eventtriggers.exe
- ftp.exe
- nbtstat.exe
- net.exe
- net1.exe
- netsh.exe
- netstat.exe
- nslookup.exe
- ntbackup.exe
- rcp.exe
- reg.exe
- regedt32.exe
- regini.exe
- regsvr32.exe
- rexec.exe
- route.exe
- rsh.exe
- sc.exe
- secedit.exe
- subst.exe
- systeminfo.exe
- telnet.exe
- tftp.exe
- tlntsvr.exe
為了您的方便,這些選用權限已在本指南下載版本隨附的 Optional-File-Permissions.inf 安全性範本中完成設定。
#### 進階權限
您可以將檔案權限設為比原先在 \[權限\] 對話方塊中所顯示的控制權更高。作法是按一下 \[進階\] 按鈕。下表說明這些進階權限。
**表 3.22 進階檔案權限和說明**
| 周遊資料夾/執行 |
允許或拒絕使用者在資料夾之間移動以到達其他檔案或資料夾之要求,即使使用者沒有周遊資料夾的權限 (僅適用於資料夾)。 |
| 列出資料夾/讀取資料 |
允許或拒絕使用者檢視特定資料夾中的檔案名稱及子資料夾名稱之要求。這只會影響該資料夾的內容,而不會影響是否列出您設定權限的資料夾 (僅適用於資料夾)。 |
| 讀取屬性 |
允許或拒絕檢視檔案中資料的能力 (僅適用於檔案)。 |
| 讀取延伸屬性 |
允許或拒絕使用者對檢視檔案或資料夾屬性 (例如:唯讀和隱藏) 之要求。屬性是由 NTFS 定義。 |
| 建立檔案/寫入資料 |
「建立檔案」可允許或拒絕在資料夾中建立檔案 (僅適用於資料夾)。「寫入資料」可允許或拒絕變更檔案與覆寫現有內容的能力 (僅適用於檔案)。 |
| 建立資料夾/附加資料 |
「建立資料夾」可允許或拒絕使用者在指定資料夾中建立資料夾之要求 (僅適用於資料夾)。「附加資料」可允許或拒絕變更檔案結尾的能力,但不變更、刪除或覆寫現有資料 (僅適用於檔案)。 |
| 寫入屬性 |
允許或拒絕使用者變更檔案結尾之要求,但不變更、刪除或覆寫現有資料 (僅適用於檔案)。 |
| 寫入延伸屬性 |
允許或拒絕使用者變更檔案或資料夾屬性 (例如:唯讀或隱藏) 之要求。屬性是由 NTFS 定義。 |
| 刪除子資料夾及檔案 |
允許或拒絕刪除子資料夾和檔案的能力,即使尚未指派對子資料夾或檔案的「刪除」權限 (適用於資料夾)。 |
| 刪除 |
允許或拒絕使用者刪除子資料夾和檔案之要求,即使尚未指派對子資料夾或檔案的「刪除」權限 (適用於資料夾)。 |
| 讀取權限 |
允許或拒絕使用者讀取檔案或資料夾權限 (例如:完整控制、讀取或寫入) 之要求。 |
| 變更權限 |
允許或拒絕使用者變更檔案或資料夾權限 (例如:完整控制、讀取或寫入) 之要求。 |
| 取得所有權 |
允許或拒絕取得檔案或資料夾的擁有權。檔案或資料夾的擁有者永遠能夠變更其權限,無論保護檔案或資料夾的現有權限為何。 |
下列三個額外的詞彙可用來說明套用到檔案和資料夾的權限繼承:
- 「傳播」指的是將可繼承的權限傳播給所有子資料夾及檔案。只要物件的子物件沒有被限制接受權限繼承的話,任何子物件都可以繼承父物件的安全性設定,。如果發生衝突,則子物件上的明確權限將會覆寫從父物件繼承來的權限。
- 「取代」指的是以可繼承的權限來取代所有子資料夾及檔案的現有權限。不論子物件的設定為何,父物件的權限項目都會覆寫子物件上的任何安全性設定。子物件將擁有與父物件一模一樣的存取控制項目。
- 「略過」指的是不允許置換檔案或資料夾 (或金鑰) 的權限。假設您不想設定或分析此物件或其任何子物件的安全性的話,請使用此設定選項。
[](#mainsection)[回到頁首](#mainsection)
### 總結
本章詳細說明在本章所討論兩種環境中,為保護執行 Windows XP Professional SP2 的電腦所作的主要安全性設定,以及每項設定的建議設定方式。當考量適用於您組織的安全性原則時,請謹記安全性與使用者生產力之間的權衡取捨。雖然組織必須保護使用者免於惡意程式碼與攻擊者的侵害,但也必須執行份內的工作,不可因為安全性原則的限制過多而影響表現。
#### 其他資訊
下列連結提供更多與 Windows XP Professional 安全性有關的主題。
- 若需如何維持 Windows XP Professional 安全性的更多資訊,請參閱 Windows XP 隨附的「說明及支援」工具,以及 Microsoft [Windows XP 資訊安全和隱私](https://www.microsoft.com/taiwan/windowsxp/using/security/default.mspx)網站,網址為:www.microsoft.com/taiwan/windowsxp/using/security/default.mspx。
- 如需 Windows XP SP2 安全性功能的更多資訊,請參閱 [Windows XP Service Pack 2 的安全性資訊](https://www.microsoft.com/technet/prodtechnol/winxppro/maintain/xpsp2sec.mspx) (英文),網址為:www.microsoft.com/technet/prodtechnol/winxppro/maintain/xpsp2sec.mspx。
- 如需 Windows XP SP2 中可用安全設定的更多資訊,請參閱 Microsoft TechNet 文章[安全性設定說明](https://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/serverhelp/dd980ca3-f686-4ffc-a617-50c6240f5582.mspx) (英文),網址為:www.microsoft.com/technet/prodtechnol/
windowsserver2003/library/ServerHelp/dd980ca3-f686-4ffc-a617-50c6240f5582.mspx。
- 如需安全通道的更多資訊,請參閱《Windows 2000 雜誌》文章 [NT 4.0 中的安全通道](https://msdn.microsoft.com/archive/en-us/dnarntmag00/html/secure.asp) (英文),網址為:https://msdn.microsoft.com/archive/en-us/dnarntmag00/
html/secure.asp。
- 如需 Windows 作業系統安全性的更多資訊,請參閱 [Microsoft Windows Security Resource Kit](https://www.microsoft.com/mspress/books/6418.asp) (英文),網址為:www.microsoft.com/MSPress/books/6418.asp。
- 如需 Windows XP 與 Windows Server 2003 中「加密檔案系統」功能的更多資訊,請參閱 [Windows XP 及 Windows Server 2003 中的加密檔案系統](https://www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.mspx) (英文),網址為:www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.mspx。
[](#mainsection)[回到頁首](#mainsection)
##### 下載
[.gif)下載 Windows XP 安全性指南 (英文)](https://go.microsoft.com/fwlink/?linkid=14840)
[](#mainsection)[回到頁首](#mainsection)