Windows 伺服器安全問題.

Presentation on theme: "Windows 伺服器安全問題."— Presentation transcript:

1 Windows 伺服器安全問題

2 Windows 伺服器安全問題 本機安全原則設定（Local Security Policy Settings）
系統組態設定（System Configuration Settings）之中。 Windows 2003特殊的設定問題

3 本機安全原則設定 Windows 是採用圖形化介面（GUI）的本機原則編輯器。
點選『控制台』／『系統管理工具』／『本機安全原則』（詳見圖15-1），即可開啟本機原則編輯器視窗。 工具程式除了允許管理員設定帳戶原則之外，也允許設定本機安全性原則。

4 圖15-1 本機安全性原則管理GUI

5 本機安全性原則GUI其實就是登錄檔（Registry）的前台編輯工具。
不需要使用登錄檔編輯器（regedit或regedit32）來修改登錄檔的設定值。 一般而言，最好使用這個工具來變更這些安全性原則的設定值，而不是直接使用登錄檔編輯器來修改。 Windows 2000提供許多關於系統設定、本機安全原則和使用者管理設定等，許多安全性設定的範本。如果您選用其中任何一個範本，都應該清楚地瞭解這些變動會替系統帶來什麼影響。

6 圖15-2 本機安全性原則組態設定項目

7 登入訊息 Windows提供兩種對使用者顯示登入訊息的方式： 使用者嘗試登入的訊息文字。 使用者嘗試登入的訊息標題。

8 關機時清除虛擬記憶體分頁檔 在系統執行的過程中，虛擬記憶體分頁檔包含了許多重要的系統資訊，這些資訊可能包括加密金鑰或密碼雜湊。
只要啟用『當關機時清除虛擬記憶體分頁檔』選項，即可強迫Windows 2000關機時清除分頁檔。

9 允許不登入就將系統關機 如果一般使用者無法登入時，也不能允許他們關閉系統。 應該停用『允許不登入就將系統關機』。

10 LAN Manager驗證層級 LAN Manageer驗證是讓Windows 2000伺服器接受Windows 95或98用戶端的驗證系統（以及Windows工作群組）。 LAN Manager驗證機制比Windows NT或Windows 2000驗證系統（稱為NTLM v2）更不安全，因此可能讓入侵者較容易暴力攻擊加密過的密碼。

11 如果要強制使用NTLM v2驗證，請依照下列方式設定：
1.選擇LAN Manager驗證層級設定。 2.從下拉式選單選取合適的層級 層級的數值應該依據使用環境的需求加以設定。六種層級設定的內容如下： 傳送LM和NTLM回應：預設都會回應LM和NTLM。設定之後，系統將不會使用NTLM v2工作階段安全性。

12 傳送LM和NTLM回應：如有交涉，使用NTLMv2工作階段安全性。 只傳送NTLM回應。 只傳送NTLM v2回應。
只傳送NTLM v2回應，拒絕LM。 只傳送NTLM v2回應，拒絕LM與NTLM。 在變更這些原則設定之前，應該要詳細考量網路的運作需求。如果網路上有Windows95或Windows98用戶端，就必須允許LAN Manager回應。

13 匿名使用者連線的其他限制 這個原則設定允許管理員定義匿名連線可以執行的項目。三個選項如下： 無。依賴預設權限， 不允許SAM帳戶與共同的列舉
沒有明確宣告的匿名權限則不能存取

14 SRP允許控制可以在本機電腦系統執行的軟體。
Windows 2003額外的本機安全原則設定 Windows 2003伺服器和Windows 2000的本機安全原則設定的為一不同之處，就是軟體限制原則（Software Restriction Policies，SRP）（詳見圖15-3）。 SRP允許控制可以在本機電腦系統執行的軟體。 管理員可以利用這個選項，設定電腦系統是否允許執行某些特定類型的軟體，而且也可以用來防止執行不信任的軟體。

15 軟體限制原則 圖15-3 本機系統的軟體限制原則

16 軟體限制原則 管理員可以定義預設的安全性層級（允許可以執行軟體）或是拒絕執行軟體（允許執行軟體的決策相當模糊）。
雖然後者的成效較好，但是也可能造成限制性過高的結果。 在這些軟體影響任何系統運作之前，多花點時間詳加測試與設定。 在設定軟體限制原則的預設值之後，即可針對特定軟體建立軟體限制原則規則，並做為預設的例外安全性層級。

17 軟體限制原則 可以做為例外軟體的依據如下： 使用軟體限制原則可以達成下列目標： 雜湊 憑證 路徑（包含登錄資訊的路徑） 網際網路區域
限制某些在電子郵件程式附件目錄之下執行的檔案類型。 限制某些使用者可以在終端機伺服器執行的程式。 千萬記得軟體限制原則無法取代防毒軟體。

18 系統設定 檔案系統 網路設定 帳戶設定 Service pack和修補

19 檔案系統 Windows 2000系統上的所有檔案系統，都應該轉換成NTFS檔案系統。
FAT檔案系統並不允許設定檔案許可權限，因此採用NTFS會比較好。 如果系統含有FAT擋案系統，也可以執行CONVERT程式將它轉換成NTFS。 程式執行完畢將會重新開機，但是不曾影響檔案系統上的現有資料。

20 Windows 2000 採用新版的NTFS檔案系統 一 NTFS-5。NTFS-5新增許多個人許可權的設定項目：
跨資料夾／執行檔案 列出資料夾／讀取資料 讀取屬性 讀取擴充屬性 建立檔案／寫入資料 建立資料夾／附加資料

21 在Woindows 2000正式運作之前，管理員和安全幕僚應該瞭解這些新的許可權設定，並檢視檔案和資料夾的許可權架構。
寫入屬性 寫入擴充屬性 刪除子資料夾及檔案 刪除 讀取許可權 變更許可權 取得擁有權 在Woindows 2000正式運作之前，管理員和安全幕僚應該瞭解這些新的許可權設定，並檢視檔案和資料夾的許可權架構。

22 檔案加密系統（Encrypting File System）：
如果入侵者可以利用其它作業系統開機（例如DOS），要求Windows 2000或Windows NT系統重新開機，接著就可以使用程式（例如NTFSDOS）讀取檔案並繞過NTFS的存取控管。 在使用Windows NT或Windows 2000時，NTFS檔案系統的缺點之一就是只能保護檔案。 Windows 2000增加的檔案加密系統（Encrypting File System，EFS），就是用來保護檔案避免遭受這種類型的攻擊。

23 檔案加密系統（Encrypting File System）：
EFS是一種『透通』的設計方式 － 使用者無須處理檔案的加／解密動作（只要資料夾或檔案啟用EFS即可）。 在檔案需要加密時，系統會使用對稱式金鑰演算法選擇金鑰，並對檔案加密。 依據一個或多個可以存取檔案的使用者公眾金鑰，最後再對這個金鑰加密。 EFS具有可以還原加密資訊的內建機制。在預設的情況下，本機Administrator帳戶解密任何EFS檔案。

24 檔案加密系統（Encrypting File System）：
EFS是作業系統和使用者之間的介面，某些命令會對檔案執行加密的動作。 如果寫入非NTFS 5.0 磁碟分割區或磁片，檔案寫入時並不會再次加密。 如果將檔案複製到其他電腦上，會使用不同的對稱式金鑰演算法重新加密。

25 共享（Share） 如同Windows NT一樣，Windows 2000開機時會建立系統管理共享。
共享資源包含C$、D$、IPC$、ADMIN$和NETLOGON（網域控制站才有）。 只要點選『控制台』／『系統管理工具』的『電腦管理』（詳見圖15-4），即可全部列出目前的共享清單。 共享資料夾應設定密碼。 雖然攻擊者可能利用這些共享資源暴力破解Administrator帳戶的密碼，不過還是不建議關閉這些共享資源。

26 圖15-4 顯示共享資源的電腦管理

27 網路設定 除了Windows標準的連接埠（135、137、139）之外，Windows2000還多了下列連接埠：
Kerberos使用的連接埠88 SMB over IP的連接埠445 Kerberos kpasswd的連接埠464 網際網路 Key Exchange（IKE）的連接埠500（UDP專用）。

28 移除NetBIOS 如果想要移除Windows 2000系統的NetBIOS，可以從『網路和撥號連線』畫面中，『進階』選單之下的『進階設定』開啟進階設定的畫面。 再點選『介面卡及連結』頁籤，最後停用特定介面的『File and Printer Sharing for Mircosoft Networks』（詳見圖15-5）。

29 移除NetBIOS 圖15-5 移除NetBIOS繫結

30 帳戶設定 Windows 2000含有兩個預設的帳戶：Administrator和Guest。
利用『本機安全性設定』工具程式的『重新命名系統管理員帳戶』和『將來賓帳戶重新命名成』，即可變更這兩個帳戶的名稱。 應該要關閉Guest帳戶，而且一般都會一使用長串隨機字串，重新設定Geuest帳戶的密碼。 組織的每一部Windows 2000工作站和伺服器，都會含有本機設備的Administrator帳戶。

31 應該要建立一個可以將密碼定義成非常牢靠的程序，才能妥善地保護這些帳戶。 密碼原則：
可以透過『本機安全性原則』工具程式設定系統的密碼原則（詳見圖15-6）。 在設定畫面中，允許管理員設定密碼的參數和要求的長度。 在本章的群組原則和Active Directory內容中，將會詳細說明『密碼原則』和『帳戶鎖定原則』。

32 不論是在哪一種系統上，這些設定的內容都應該要符合組織的安全政策。
如果啟用『密碼必須符合複雜性需求』，將會啟用預設的密碼過濾器（PASSFILT.DLL）。 這個過濾器會要求所有密碼必須輸入至少含有六個字元以上，其中不能含有任何使用者姓名，且至少需要含有三個：數值、符號、小寫字元或大寫字元。 除非有絕對的必要性， 否則千萬不要啟用『儲存可復原加密的密碼』設定。

33 圖15-6 利用本機安全性設定工具程式來建立密碼原則

34 帳戶鎖定原則： 利用本機安全性原則工具程式，也可以設定『帳戶鎖定原則』（詳見圖15-7）。 應該依據組織的安全政策設定這些項目。
帳戶鎖定原則並不能強制套用在Administrator帳戶。這是因為Administrator帳戶永遠可以從系統的主控台（console）登入。 『帳戶鎖定原則』可以用來防止入侵者使用暴力攻擊猜測密碼。但是入侵者也可能對所有帳戶發動阻斷服務攻擊。因此，在設定這項原則之前，最好能夠考量鎖定的時間長度對使用者的影響程度。

35 圖15-7 利用本機安全性設定工具程式建立帳戶鎖定原則

36 Service pack和修補 請使用自動Update

37 最初的系統設定和Windows 2000一樣。管理員需要確認已經適當地設定下列三種服務：
終端機服務 軟體限制 .NET framework組態設定

38 終端機服務 在預設的情況下，Windows 2003伺服器提供遠端管理桌面（Windows 2000的遠端管理模式之中的終端機服務）服務。
這項服務在主控台工作階段（session）之中，最多允許兩組遠端工作階段。 為了盡可能提供這項服務的安全性，管理員需要確認在終端機服務組態設定的畫面中，已經適當地設定特定連線的『內容（Properties）』選項（詳見圖15-8）。

39 圖15-8 終端機服務組態設定

40 加密層級： 可以用來保護用戶端和伺服器之間，傳輸資料的可用加密層級如下： 低：使用56位元金鑰加密。
用戶端相容：用戶端支援最大金鑰長度的加密方式。 高：使用128位元加密。用戶端可能無法支援這種層級的加密方式，所以可能也會無法連線。 依據FIPS：採用美國聯邦資訊處理程序標準的140-1確認加密法，來保護傳輸中的資料。

41 登入設定： 當用戶端連線到終端機伺服器時，使用預設的登入憑證（詳見圖15-9）。 在預設的情況下，是由用戶端提出登入的憑證。
另一選擇 － 所有連線採用單一帳戶。 最後的選擇可能要求用戶輸入密碼，另外一種選擇就是所有連線都是使用相同的使用者帳戶。

42 圖15-9 登入設定頁籤

43 網路介面設定： 這個選項可以用來判斷使用哪一個網路介面負責監聽這項服務。 只有在系統含有多組網路介面時才允許設定。
只要妥善管理使用者帳戶（使用牢靠的密碼、鎖定帳戶等等），且利用適當的保護機制（例如防火牆），即可提供這項服務所需的安全性。

44 .NET Framework 組態設定 .NET framework組態設定工具（詳見圖15-10）特別是.NET framework 1.1版，允許設定存取安全性原則的程式碼。 這項工具程式可以用來加強安全和（或）移除已經安裝在系統上的管理元件。 從安全性的觀點看來，也可以利用這個工具程式來控制應用程式存取受到保護的資源。 安全系統透過三種原則層級（企業、設備使用者），來判斷可以允許的權限組合。

45 .NET Framework 組態設定 圖 NET 組態設定工具程式

46 .NET Framework 組態設定 企業：針對整個企業的安全性原則（以每一部設備做為套用這項原則的為基準時，企業原則和設備原則之間的界線會變得非常模糊。不過在發行最終版本時，可能會變得非常明確）。 設備：套用在所有執行程式碼的系統上。 使用者：套用在目前已經登入的使用者。 應該要個別地評估每一項原則，而且也要利用原則的組合結果，設定程式碼只能具有最低限度的權限授予。 判斷『拒絕』的優先權要比『允許』的優先權來得高。

47 15-2 管理使用者 Windows 2000系統的使用者管理，是組織和系統安全非常重要的一環。
組織應該建立完善的程序，來確認每一位新使用者應該擁有的許可權等級。 在員工離職的當下，組織也應該具有一套移除使用者對於系統存取權限的程序。 本節的內容如下： 新增使用者 設定檔案許可權 刪除使用者

48 15-2-1 新增使用者 在系統新增使用者之時，務必確認完全符合組織的使用者管理程序。
應該定義『誰會需要新的帳號』、『誰可以核准新增帳號的需求』。 在系統或網域的『電腦管理』工具程式畫面中，點選『本機使用者和群組』節點再『使用者』項目。接著點選『執行』選單之下的『新使用者』選項，即可新增新的使用者（詳見圖15-11）。

49 如同Windows NT一樣，每一位使用者應該都具有唯一的使用者ID和帳戶。
如果兩個使用者需要相同的存取權限時，那麼也應該分別建立兩個帳戶並隸屬於同一個群組。 在任何情況下，都不應該多人共用相同的帳戶。

50 圖 新使用者視窗

51 在建立新帳戶之後，應該設定這個帳戶隸屬的群組。
應該指定每一個新使用者的密碼，並勾選『使用者必須在下一次登入時變更密碼』。這樣會強迫使用者在第一次登入時，就必須變更密碼，而且千萬不要勾選『密碼永久有效』。 在建立新帳戶之後，應該設定這個帳戶隸屬的群組。 組織的每一位新使用者都不應該使用相同的初始密碼。雖然使用相同的密碼可以簡化建立新帳號的工作，但是可能會在系統上開啟新的弱點。這是因為新員工尚未到任之前，已經建好該員工所屬的帳戶時，其他未經授權的人員人就有可能利用標準的密碼存取這個帳戶。而且，最佳的方式就是選用牢靠且唯一的新使用者密碼。

52 設定的方式只要先開啟特定的群組，然後雙擊滑鼠左鍵，最後點選『新增』按鈕即可（詳見圖15-12）。
也可以先點選新增的使用者，然後按下滑鼠的右鍵再點選『內容』。接著在新開啟的畫面中，按下『成員隸屬』頁籤之中的『新增』按鈕，然後加入新的群組名稱即可（詳見圖15-13）。 千萬記得不要將標準的使用者帳戶，加入Administrators群組之中。

53 圖15-12 利用群組清單，在群組增加使用者

54 設定檔案許可權 群組也可以設定檔案和共享資源的許可權，這樣可以簡化檔案的許可權管理工作（和個別設定檔案和共享資源的許可權相比較）。 確認Guests群組之中只有Guest帳戶，且Guest帳戶並未隸屬於其他群組。

55 15-2-3 刪除使用者 如同新增使用者一樣，管理員在刪除使用者之時，也應該要遵守使用者管理程序。
在使用者離職之後，應該要利用『電腦管理』工具程式立即停用使用者帳戶。 選擇離職使用者的帳戶名稱，按下滑鼠的右鍵，再點選『內容』選項，最後勾選新開啟畫面中的『帳戶已停用』即可。 應該將密碼內容整個改成亂數字串，這樣可以防止他人或離職的使用者再度使用這個帳戶。

56 如果使用者使用了EFS，本機管理員也可以直接存取這些檔案。在30天之後，刪除該在帳戶在特定系統上所擁有的檔案和資料夾，最後再刪除帳戶。
由於該離職使用者可能擁有某些組織所需的檔案或許可權，所以這個帳戶可能會停用一段時間（通常都是30天比較合理），這樣可以讓使用者的主管存取、複製需要的檔案。 如果使用者使用了EFS，本機管理員也可以直接存取這些檔案。在30天之後，刪除該在帳戶在特定系統上所擁有的檔案和資料夾，最後再刪除帳戶。 某些組織會讓帳戶維持在停用的狀態，並看看是否有人嘗試利用這個帳戶登入。這樣才能讓組織依據這個帳戶的狀態，確切地得知組織的使用者管理程序實際的狀況。

57 圖15-13 利用使用者『內容』畫面在群組中加入使用者

58 15-3 管理系統 不是只有設定系統或建立系統時，才會需要注意安全的問題，日常的管理工作也是一樣重要。
管理員隨時留意系統的狀態就是最佳的安全機制。 利用Windows 2000系統的許多功能，也可以增進管理員偵測可疑安全問題的能力。

59 本節的內容如下： secedit命令 稽核系統 記錄檔案 找尋可疑跡象

60 secedit命令 Windows 2000提供secedit.exe工具程式，這是一個可以用來管理大量系統安全原則的工具程式。secedit提供下列功能： 分析：依據管理員提供的原則，採用互動式的方式比較和分析系統的原則。 組態設定：依據管理員提供的原則，採用互動式的方式變更系統原則。 確認：確認安全組態檔案。 重新整理：將原則套用在系統上。 匯出：從系統安全資料庫將儲存的範本匯出到安全性範本檔案。

61 分析 secedit可以使用依據較為符合系統所需的原則，來比較Windows 2000系統現有原則。這是屬於命令列的工具程式，在執行時必須輸入相關的參數。執行命令的語法如下： secedit /analyze [/DB filename] [/CFG filename] [/log filename] [/verbose] [/quiet] 各種參數說明如下： /DB filename：資料庫路徑。該資料庫含有執行分析所需的組態設定。如果filename是一個全新的檔案時，就需要輸入/CFG filename參數。

62 /CFG filename：指定將會匯入資料庫的安全性範本路徑。如果沒有指定這項參數，就會使用儲存在資料庫的組態設定。
/log filename：指定記錄檔案的路徑。指定記錄檔的路徑。記錄檔內容包括分析所得到的所有資訊。如果沒有指定這項參數時，將會使用預設的記錄檔案。 /verbose：告知secedit在執行時需要提供的輸出細項。 /quiet：告知secedit在執行時不要提供輸出畫面。

63 組態設定 secedit也同樣可以用來設定系統。執行命令的語法如下：
secedit /configure [/DB filename] [/CFG filename] [/overwrite] [/areas area1 area2…] [/log filename] [/verbose] [/quiet] 各種參數說明如下： /DB filename：含有可用範本的資料庫檔案路徑。 /CFG filename：指定將要匯入資料庫的安全範本檔案路徑，並將安全範本套用到系統上。

64 /overwrite：指定是否使用/CFG參數確認的安全性範本，來覆寫資料庫之中的原則。
/areas：指定安全範本套用系統的範圍。考可能的範圍包含：Securitypolicy、Group_mgmt、User_rights、Regkeys、Filestore、Services。如果沒有指定範圍，預設值為所有的範圍。 /log filename：指定命令執行完畢之後的記錄檔存放路徑。

65 /verbose：告知secedit在執行時需要提供的輸出細項。
/quiet：告知secedit在執行時不要提供輸出畫面。此一命令可以強迫系統實施安全組態設定。

66 確認 使用secedit 來確認組態設定檔案，確認命令會檢查檔案語法的正確性。執行命令的語法如下：
secedit /validate filename

67 重新整理 secedit的重新整理命令可以重新整理系統的安全原則設定。同時，這個命令會將安全原則重新套用到系統上。執行命令的語法如下:
secedit /refreshpolicy [machine_policy or user_policy] [/enforce] 各種參數的說明如下： machine_policy：重新整理本機的安全性原則。 user_policy：本機使用者的安全性設定，且會重新整理已經登入系統的使用者。

68 /enforce：不論是否變更過，都將重新整理安全性原則。此一命令可以用來確認系統的安全性原則，是否符合組織的安全性政策規範。

69 匯出 secedit命令可以將安全性資料庫的組態設定，匯出到安全性範本檔案中。這樣就可以將同一份安全性原則套用到其他電腦上。執行命令的格式如下： secedit /export [/MergedPolicy] [/DB filename] [/CFG filename] [/areas area1 area2…] [/log filename] [/verbose] [/quiet] 各種參數的說明如下： /MergedPolicy：指定secedit是否同時匯出網域和本機的安全性原則。

70 /DB filename：儲存匯出組態設定的資料庫檔案路徑。
/CFG filename：指定安全性範本的儲存路徑。 /areas：指定匯出安全性原則範本的範圍。範圍可以是Securitypolicy、Group_mgmt、User_rights、Regkeys、Filestore、Services。如果沒有指定範圍時，預設值是匯出所有範圍。 /log filename：指定命令執行完畢之後的記錄檔存放路徑。

71 /verbose：告知secedit在執行時需要提供的輸出細項。
/quiet：告知secedit在執行時不要提供輸出畫面。

72 15-3-2 稽核系統 所有Windows 2000系統都必須開啟系統的稽核功能。
利用『本機安全性原則』工具程式，即可建立系統的稽核原則（詳見圖15-14）。 多半是依照組織訂定的安全政策來設定稽核的項目。 下面所列的都是比較需要稽核的項目： 稽核帳戶登入事件：成功和失敗都要。 稽核使用者管理：成功和失敗都要。

73 如果只有開啟『稽核物件存取』時，也會產生大量的稽核資料。
稽核登入事件：成功和失敗都要。 稽核物件存取：只需要稽核失敗。 稽核原則變更：成功和失敗都要。 稽核特殊權限使用：只需要稽核失敗。 稽核系統事件：成功和失敗都要。 如果只有開啟『稽核物件存取』時，也會產生大量的稽核資料。 在監視新的系統時，必須非常謹慎地確認這個事件的記錄，以防大量的稽核資料佔用整個記錄檔案的空間。

74 圖15-14 在Windows 2000系統建立稽核原則

75 記錄檔案 Windows 2000系統的稽核記錄，會寫入到安全性事件記錄之中，記錄檔的路徑是\%systemroot%\system32\config。 應該限制只有管理員才能擁有安全性事件記錄的許可權。 管理者應該定期查看記錄檔，這是因為觀察記錄檔是確認系統是否發生異狀的最佳方式。 可以用來觀察使用者是否企圖執行不正當的舉動。

76 如果定期執行系統備份時，記錄檔也應該一起備份。
如果需要長期保留事件記錄時，或許定期移出系統的事件記錄會比較恰當。 希望單獨備份記錄檔案時，可以從事件檢視器的『執行』選單下，點選『另存記錄檔』並儲存為純文字檔（*.txt）或CSV（逗號分隔）格式。

77 15-3-4 找尋可疑跡象 在Windows 200O系統上，某些有一些指標可以告知系統是否處於異常狀態，或是某些人做了不該做的事。
暴力企圖 存取失敗 遺失記錄檔或記錄檔的斷層 不明處理程序

78 暴力企圖 如果某些人企圖猜測帳戶密碼（不論是人工或利用工具），安全事件記錄都會顯示登入企圖失敗。
如果將系統設定成連續登入失敗次數超過限定的次數就鎖定帳戶，那麼某些帳戶就會發生鎖定的情形。 從安全事件記錄的登入失敗訊息，可以協助找出哪一部工作站發出企圖登入的行為。 在發生這種事件之後，就應該以這些工作站做為追查的起點，並嘗試找出登入失敗的原因。

79 存取失敗 存取失敗也許可以指出獲得授權的使用者嘗試存取機密檔案。 某些存取失敗的跡象也許只是意外的單一事件。
如果單一使用者發生大量檔案或資料夾存取失敗的情形時，可能就會需要關切一下使用者的意圖！ 安全性事件記錄提供嘗試存取失敗的記錄。不過，也不能證明特定使用者嘗試未經授權存取資訊。執行程式的程序也可能會產生這些記錄，但是使用者本人卻不知情。而且，也可能是帳戶遭到冒用而產生記錄。所以千萬記得，只有記錄的內容是無法證明使用者確切做過的事情。

80 遺失記錄檔或記錄檔的斷層 在啟用稽核功能的Windows 2000系統上，不論什麼時候，事件記錄內容都不會是空白的。
許多入侵者通常都會清除事件記錄的內容，來隱藏自己的行蹤。 假如發現了空白的記錄檔案，應該要立即假設系統發生了某些狀況，並深入調查發生的原因。 或許，某些管理員會因為記錄檔過大、佔了過多的儲存空間，而清除記錄檔內容，不過也可能是系統遭到侵害。

81 入侵者會使用某些工具程式修改記錄檔的特定入口。
假如入侵者企圖採用這種作法時，將會造成記錄檔斷層。 為了阻止繼續發生斷層的現象，只要檢視記錄檔內宜異常的斷層即可。 如果找到較長的斷層時，可能就需要深入調查原因。 系統關機之後也不會產生記錄。

82 不明處理程序 一般情況下，Windows 2000系統上會有許多正在執行的處理程序。 某些處理程序一目了然，某些處理程序卻不然。
如果檢視『工作管理員』（詳見圖15-15），將會見到正在執行的處理程序，以及每一個處理程序佔用的CPU處理時間和記憶體數量。

83 圖15-15 Windows 2000工作管理員

84 系統管理員應該定期察看工作管理員的內容，並辨識看看是否含有任何不明的處理程序。
CMD處理程序就是一個最佳的範例。 CMD處理程序是一種命令提示或DOS視窗。 如果正在執行CMD命令，應該就可以看到視窗。 在某些情況下，入侵者為了在系統上執行其他操作，所以也會執行CMD命令，所以也可以清楚地指出系統發生了異常狀況。

85 群組原則及安全性 在Windows 2000和Windows 2003之中，群組原則（Group Policy，GP）是提供集中化安全組態設定管理的主要方法。 這些群組原則可以套用在站台、網域和OU層級，並可套用在AD的『使用者及電腦』上。 GP可以達成下列目標： 鎖定使用者桌面 套用安全設定

86 限制應用程式的存取 設定登錄資訊資訊和檔案系統權限 管轄無線網路組態設定 不論何時，強烈地建議使用GP取代本機系統原則。

87 組態設定選項（Group Policy） GP可以區分成使用者和電腦這兩個部分。
使用者組態設定（User Configuration）包含桌面設定、安全設定，以及登入／登出指令碼（script）。 這些都是透過群組原則之下的使用者組態設定節點定義的，且在GP重新整理之後套用在登入項目之中。

88 電腦組態設定（Computer Configuration）用來設定現在正在執行的系統環境（和使用者環境相反），其中包含服務設定、安全設定和啟動／關機程式。
這些都是透過群組原則之下的電腦設定節點定義的，且在GP重新整理之後套用在『開機（boot）』項目之中。 在預設的情況下，GP的套用原則是以設定過的物件為依據。 使用者GP套用原則是以站台、網域、和使用者物件的OU為依據。

89 在某些情況下，使用者和電腦套用原則完全相同。
GP是以電腦物件（站台、網域和電腦物件的OU）的位置為依據。 GP會依據物件的對象（使用者或電腦），分別套用『使用者組態設定』或是『電腦組態設定』。

90 預設GPO 在建立網域時，會自動建立『預設網域原則（Default Domain Policy）』和『預設網域控制站原則（Default Domain Controller Policy）』。 預設網域原則會套用在網域容區（domain container）。 在預設的情況下，網域原則會套用在網域的所有電腦上。 預設網域控制站原則，是套用在網域之中『特定』且『唯一』的網域控制站。

91 群組原則的組態設定 每一個GPO（Group Policy Object，群組原則物件）都有兩種樹狀（tree）組態設定資料：使用者組態設定和電腦組態設定。 在群組物件編輯器（Group Policy Object Editor）之中，這兩種物件的設定方式各不相同。 電腦組態設定： 帳戶原則 － 密碼原則： 允許設定例如歷史密碼、密碼太舊、密碼長度以及複雜性需求。

92 帳戶原則 － 帳戶鎖定原則： 本機原則 － 稽核原則： 本機原則 － 使用者權利指派： 本機原則 － 安全性選項：
允許設定例如嘗試登入的次數、登入之後的持續時間以及登入之後的剩餘時間。 本機原則 － 稽核原則： 允許系統啟用稽核功能。 本機原則 － 使用者權利指派： 允許將使用者的權利指派到使用者和群組。 本機原則 － 安全性選項： 允許設定安全相關的原則，包含SMB簽署、限制安全管道、自動登出、LAN管理員、驗證層級、登入文字標題和本文以及其他更多選項（預設值大概有40種）。

93 事件記錄 － 設定事件記錄： 受限群組 － 受限群組的成員： 受限群組 － 隸屬於受限群組：
允許設定記錄容量、存取限制、保留設定以及登入失敗是否關機等。 受限群組 － 受限群組的成員： 設定群組的成員。如果使用者或群組列名在受限群組清單中，但是卻沒有隸屬該群組時，使用者或群組就會自動加入該群組。 如果是隸屬於該群組的使用者或群組，但是卻沒有列名在受限群組的成員清單之中，就會自動移除。 受限群組 － 隸屬於受限群組： 如果受限群組並不在群組的清單之中，就會自動加入。和上一種成員隸屬有所不同，如果受限群組並不在清單之中，也不會自動移除。

94 使用者組態設定： IP安全性原則： Windows設定 － 網際網路 Explorer維護 － 安全性： Windows設定 － 指令碼：
允許設定過濾器清單和動作、原則規則、安全和驗證方法、連線類型、金鑰交換設定及方法。 使用者組態設定： Windows設定 － 網際網路 Explorer維護 － 安全性： 允許設定自訂的安全區域、內容分級和Authenticode設定。 Windows設定 － 指令碼： 允許指定登入和登出的指令碼。

95 系統管理範本 － Windows 元件 － 檔案總管：
允許將檔案總管設定成使用者自訂設定。 設定的項目包含：移除檔案總管的『檔案』選單、移除『連線網路磁碟機』和『中斷網路磁碟機』、隱藏『硬體』頁籤、要求網路安裝的認證，以及其他更多設定項目。 系統管理範本 － Windows 元件 － Windows Installer： 允許防止使用者從卸除式媒體安裝程式，也防止使用者設定其他組態設定。

96 系統管理範本 － 『開始』功能表和工作列： 系統管理範本 － 桌面：
允許從『開始』功能表移除使用者的資料夾、取消和移除Windows Update、移除『開始』功能表的『登出』、移除並禁止存取『關機』命令：關閉某些功能表，以及其他更多設定項目。 系統管理範本 － 桌面： 允許用來設定例如隱藏桌面的所有圖示、禁止使用者變更『我的文件』路徑、結束時是否儲存設定，以及其他更多設定項目。 不但可以設定Active Desktop，也可以設定Active Desktop互動方式。

97 系統 － 群組原則： 允許設定使用者自訂的設定項目，例如：使用者群組原則更新的間隔、選擇網域控制站、自動化更新ADM檔案，以及其他。

98 Windows 2003在群組原則之中，增加了AD範圍內的系統可用性安全。 其中的兩種特殊項目即為：
軟體限制原則（Software Restriction Policies，上一小節探討的內容） 無線網路原則（IEEE ） 軟體限制原則： 群組原則的功能性和前一小節一樣，和本機安全性原則（上一小節探討過），不過卻可以套用在站台、網域和OU。

99 無線網路原則（IEEE 802.11）： GPO可以管理的安全相關設定如下：
這些原則允許管理員處理無線網路原則、定義更好的無線網路，以及任何系統的802.1X驗證定義，這些原則都可以適用在網域或OU。 GPO可以管理的安全相關設定如下： 用戶端可以存取的無線網路類型： 『僅點電腦對點腦（臨機操作）網路』、『只給存取點（基礎結構）的網路』、或『任何可用的網路（偏好是存取點）』。 防止無線網路用戶端（Windows XP）的能力： 從使用本機Windows 設定到用戶端的無線網路設定。

100 允許用戶端只能連線到偏好的網路能力。 不論是否連線到802.11無線網路，都需要使用802.1x驗證的能力（詳見圖15-17）。 將EAP類型設定成『智慧卡或其他憑證』或『受保護的（PEAP）』。 選擇使用PEAP範圍的驗證方法：『安全的密碼（EAP-MSCHAP v2）』或『智慧卡或其他憑證』。

101 圖15-17 IEEE 802.1x內容

102 優先權 群組原則評估／應用系統自動化採取的步驟如下： 系統開機時： 1.本機安全性原則的電腦設定部分。
2.群組原則站台相關的電腦設定部分（最佳、低速或最高速）。 3.最佳群組原則網域相關最佳的電腦設定部分。 4.最佳群組原則OU相關的電腦設定部分從外部到最深層的OU，以及從最低速到最高速的OU範圍。

103 使用者登入時： 1.本機安全性原則的使用者設定部分。 2.最佳站台群組原則的使用者設定部分。 3.最佳網域群組原則的使用者設定部分。
4.最佳OU群組原則的使用者設定部分。

104 Loopback GP預設是以變更設定過的物件位置做為套用依據。為了撤銷使用者這項特點，Microsoft提供的Loopback處理程序。

105 如果啟用這個選項，就可以選擇合併（merge，結合GP所有的設定）或取代（replace，僅以使用者位置的電腦物件使用者設定做為為套用依據）。

106 繼承 非常類似ACL的繼承觀念，GP依據最遠、最類似的觀念，採用比『最接近／最低層』較高的優先權。
評估的順序為本機安全原則、站台安全原則、網域群組原則和OU群組原則。 如果不想設定繼承時，也可以設定區塊繼承原則（block policy inheritance）。這樣可以允許GP區塊鏈結到較高層級的站台、網域或OU的GP，套用到目前的站台、網域或OU以及該GP區塊的下層。（根本上成為『從這利開始向下更新「start fresh from here, and work down」』）。

107 管理員可以設定『強迫繼承』選項，來防止下層任何子容區（child container）、區塊，設定這項原則的『推翻繼承』選項。
就像較高層的管理員一樣，這裡可能也會有最高層級網域原則（例如最低限度的密碼長度），而且也應該強制向下遞送；也就是說從這裡開始就不會含有『強迫繼承』選項。 管理員可以設定『強迫繼承』選項，來防止下層任何子容區（child container）、區塊，設定這項原則的『推翻繼承』選項。 上述繼承的簡單說明，就是不會跨站台或網域『繼承』GP。也只有GPO鏈結到特定的站台或網域時，才會評估使用者或電腦。而OU只是唯一真正具有繼承『父』、『子』的容區。

108 群組原則管理工具 在管理群組原則和找尋影響結果時，下列兩項工具會非常地有用：
群組原則管理主控台（Group Policy Management Console，GPMC）： 群組原則管理主控台工具是一種Microsoft管理主控台（Microsoft Management Console，MMC） 彈出式工具程式和指令碼集，這是用來提供管理跨企業GP的單一介面（詳見圖15-18），並顯示部分jiloa.com網域的預設網域原則。 在預設情況下，GPMC並不是Microsoft Windows 2003伺服器的標準安裝套件之一，下載網址如下：

109 圖15-18 下載網址範例

110 圖15-19 群組原則管理主控台

111 群組原則管理主控台提供用來判斷特定使用者或（以及）系統的原則『結果』（和原則結果組不同）。
為了產生『群組原則結果』應用在使用者／電腦的查詢，管理員可以先開啟樹系 － 點選『群組原則結果』再按下滑鼠右鍵，接著在點選『群組原則結果精靈』。 在精靈的畫面中輸入輸入適當的資訊，圖15-20 就是查詢Administrator在jiloa.com的IHS群組原則結果。

112 圖15-20 IHS Administrator 的群組原則結果

113 原則結果組（Resultant Set of Policy，RSoP）：
原則結果組一種讓產生建置和疑難排解更為容易的工具程式。 這個工具提供所有原則設定的詳細資訊，且可用來協助判斷套用原則和套用在何處。 在類似站台、網域和OU這種多層級套用時，這個工具程式會非常地有用。 管理員不但可以利用這個工具程式模擬套用原則的結果，也可以判斷目前的原則設定是否可以套用在已經登入電腦的使用者身上。

114 圖15-21是IHS系統稽核原則的RSoP範例。RSoP是一個MMC 彈出式工具程式，且可以透過Microsoft管理主控台、Active Directory使用者及電腦、Active Directory站台及服務開啟。

115 圖15-21 IHS RSoP的稽核原則

116 15-4-4 AD使用者和群組管理 管理員需要確認已經適當地設定所有帳戶的安全設定。
透過網域群組原則的帳戶原則，以及在特定使用者物件的使用者帳戶內容個別限制，都可以達成相同的目標。 透過本機安全原則（稍早曾經提過），或是從網域帳戶的群組原則機制，皆可將帳戶原則套用在特定的使用者帳戶上。

117 使用者帳戶內容也可以用來個別設定使用者。
在指定特定的使用者之後，也無須再利用本機安全原則或群組原則重新設定帳戶原則。 若想管理帳戶原則是，分別使用Activate Directory使用者和電腦工具程式管理網域使用者，或是利用本機使用者及群組工具程式管理本機使用者即可。

118 Activate Directory使用者及電腦工具程式
在建立使用者帳戶時，Aactivate Directory使用者及電腦就是用來做為網域帳戶管理的工具程式。 Activate Directory使用者及電腦彈出式工具程式（詳見圖15-22），可以用來管理使用者、群組和類樹系網域的OU。 在預設的情況下，每一部DC只要點選『開始功能表』、『程式集』、『系統管理工具』，即可找到這個工具程式。

119 利用快顯功能表的加入功能，也可以將這項工具程式加入任何MMC之中。