54SA.COM|专注于系统运维管理,为中国SA提供动力!

54SA.COM|系统运维网

系统管理员之家Banner
当前位置: 主页 > Windows > 系统安全 > 安全策略 >

使用Windows Server 2008控制服务安全(2)

分享到:
时间:2009-03-11 23:35来源:未知 作者:admin

    文章的第一部分中我们讨论了如何传统的Group Policy组策略设置服务和新的Group Policy Preferences中的服务政策来保护系统服务的问题。这些组策略设置都允许以不同的方式控制安全服务,本文将继续探讨安全设置问题,帮助用户更好地控制服务帐户以及服务的“实时”更新以及相关帐户问题。作为网络管理员和安全审计员,我非常清除确保网络应用程序有效性以及安全性的重要性,不过要在这两者之间找到平衡点很难,本文将为所有管理员和审计员提供各种有效措施以满足服务和服务帐户的安全性和有效性方面的需求。

  保护服务帐户

  服务使用服务帐户来向安全该服务的计算机执行命令,或者连接到其他网络资源来执行任务。当服务帐户创建和配置时,各种权限级别都有所不同。在大多数情况下,服务帐户被授予某种管理员级别的权限。对于大多数面向网络用户的服务,服务帐户在Active Directory 的Domain Admins 域管理员组中被设置为成员权限。在某些情况下,服务帐户可能被设置为Enterprise Admins企业管理员组的成员,这在很多情况下被认为给服务及其帐户授予的权利过高。然而,由于服务的性质等不同,这些权限必须进行强制性设置。

  由于服务帐户在安装和配置过程中被授予了某种权力,这些帐户必须得到适当保护。为了保护这些帐户的安全,管理员必须对每一个服务帐户采取额外的保护措施。这种任务并不那么复杂,但是必须确保这些帐户受到保护、管理和监督,以防被黑客攻击。为保护服务帐户需要完成的工作包括:

  ·为服务帐户用户配置有限的工作站登录能力

  ·密码需要设置为过期无效,并且应该经常进行重置

  工作站限制

  所有在Active Directory 中创建和存储的用户账户都可以限制在某些特定的计算机上使用,不过很少会将标准用户账户限制为只能登陆至几个工作站,虽然这种情况也存在。当涉及服务账户时, 我们就需要认真考虑了,通常情况下服务账户只需要登陆数量有限的计算机,如果标准用户使用服务账户时,登陆至运行该服务以外的计算机,就将引发重大的安全问题。因此,将服务账户设置为只能登陆至运行该服务的计算机不失为一个不错的安全配置。

  限制工作站(通常包括台式机和服务器等)的设置位于Active Directory Users and Computers的用户属性中,右键单击用户账户(和服务账户功能相同)选择属性,然后在用户属性对话框,选择Account选项,在该选项上你会看到Log On To button按钮,如图1所示。

   

图1:用户属性对话框可以限制用户允许登陆的工作站

[责任编辑:admin]

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
用户名:
最新评论 进入详细评论页>>