幾十年來，大型機(jī)和服務(wù)器一直使用“超級用戶”和“用戶”這種用戶控制方案。這種方案存在一個(gè)明顯的安全問題：它需要防止普通用戶獲取非法訪問權(quán)限。

在DOS電腦以及隨后的Windows操作系統(tǒng)中，訪問控制模式更加復(fù)雜。早期的Windows操作系統(tǒng)不能在同一臺機(jī)器上設(shè)置不同的用戶權(quán)限；所有的行動(dòng)都需要超級用戶執(zhí)行。但是，Windows NT系統(tǒng)最終定義了管理員角色和用戶角色，盡管在實(shí)際情況中大多數(shù)用戶還是需要超級用戶的訪問權(quán)限來執(zhí)行他們平時(shí)的操作。

今天，許多企業(yè)的業(yè)務(wù)模式都要求大范圍（地理位置上的）的聯(lián)合操作，Windows NT中簡單的特權(quán)/非特權(quán)用戶管理功能已經(jīng)不夠用了。意識到這一趨勢之后，微軟在2009年開發(fā)了Windows Server 2008，該系統(tǒng)具有以多級權(quán)限屬性系統(tǒng)為基礎(chǔ)的多層次管理模式。該模式可以限制標(biāo)準(zhǔn)用戶，讓他們只能用非特權(quán)的形式運(yùn)行應(yīng)用程序軟件，只留給他們操作所需要的最小管理權(quán)限，從而改進(jìn)了微軟Windows的安全性。比如，服務(wù)臺用戶只能改變其他用戶的密碼。通過這種方式，大型企業(yè)中的用戶管理權(quán)限可以受到限制，操作中的超級用戶數(shù)量減少。在本文中，我們將討論一下如何使用Windows Server 2008對權(quán)限分配進(jìn)行控制。

域上的權(quán)限管理

在Windows Server 2008環(huán)境中，有兩種政策：活動(dòng)目錄（AD）全局域政策以及本地服務(wù)器安全帳戶管理器（SAM）注冊表政策。AD利用它的目錄架構(gòu)來控制任何給定Windows服務(wù)器域（支持通用安全政策的一組服務(wù)器）的組權(quán)限。這使得AD可以對域中的所有用戶帳戶執(zhí)行公共帳戶權(quán)限管理。

當(dāng)有新的Windows服務(wù)器添加進(jìn)來時(shí)，他們會(huì)連接到活動(dòng)目錄，活動(dòng)目錄會(huì)檢查所有的組政策對象（Group Policy Objects，GPO）——用戶能夠執(zhí)行的應(yīng)用程序和服務(wù)——并把這些權(quán)限鏈接到該目錄下的Active Directory Users and Computers（活動(dòng)目錄用戶和計(jì)算機(jī)）分支中的域根用戶。然后AD把這些定義的、默認(rèn)的權(quán)限傳遞到新服務(wù)器上，開始管理其用戶。AD目錄下的組織單元（Organization Unit，OU）分支也可以定義，人們可以用OU為計(jì)算機(jī)創(chuàng)建本地帳戶政策。比如，服務(wù)臺OU可以定義一系列全局政策，幫助服務(wù)臺人員執(zhí)行具有公共權(quán)限的活動(dòng)。

Windows Server 2008的活動(dòng)目錄還引進(jìn)了一個(gè)新的功能，叫做多元密碼政策(Fine-Grained Password Policy)，其中包括一個(gè)鎖定政策。有了這個(gè)新功能后，公司可以在同一個(gè)域中對不同的用戶使用不同的密碼和鎖定政策。這個(gè)功能出現(xiàn)之前，整個(gè)域中只有一個(gè)政策。為了充分利用這個(gè)功能，活動(dòng)目錄管理員必須創(chuàng)建一個(gè)新的對象，名為密碼設(shè)置對象（Password Settings Object，PSO）。他或她可以在PSO中設(shè)定同樣的密碼最長期限、復(fù)雜度要求、鎖定閾值，等等。然后，PSO會(huì)連接到一個(gè)活動(dòng)目錄組：組的范圍為全局（Global）（不是本地（Local或者通用（Univeral）），組的類型為安全（Security）（不是分布（Distribution））。所有的組成員都會(huì)繼承鏈接到該組的PSO中定義的密碼和鎖定政策。

本地多級控制

域上的全局政策配置完成以后，人們就可以在單獨(dú)的Windows Server 2008系統(tǒng)中通過用戶權(quán)利分配（User Rights Assignment，URA）功能定義本地權(quán)限。用戶權(quán)利能夠控制用戶在計(jì)算機(jī)上執(zhí)行哪些任務(wù)。這些權(quán)利包括登錄權(quán)限和特權(quán)。登錄權(quán)限控制哪些人有權(quán)登錄到計(jì)算機(jī)上，以及他們?nèi)绾蔚卿洠和ㄟ^網(wǎng)絡(luò)還是本地，作為批處理工作還是作為服務(wù)登錄。特權(quán)則控制計(jì)算機(jī)和域資源的訪問，并可以覆蓋特定對象上設(shè)定的權(quán)限，比如備份文件和目錄、創(chuàng)建全局對象、調(diào)試程序等等。這些特權(quán)由系統(tǒng)URA對象下的組政策（Group Policy）進(jìn)行管理，而且兩種用戶權(quán)利都是由管理員分配到組或者單獨(dú)用戶，作為系統(tǒng)安全設(shè)置的一部分。請注意，管理員應(yīng)該盡可能地通過分組來管理本地權(quán)利，確保與企業(yè)政策的一致性以及最小化單獨(dú)系統(tǒng)中權(quán)限管理的困難程度。

為了訪問本地URA對象，添加、刪除或者修改權(quán)限，管理員必須在Windows Server 2008中用Windows控制面板打開本地安全設(shè)置（Local Security Settings）。他或她可以在左邊看見一個(gè)樹狀目錄。點(diǎn)擊本地政策（Local Policies），然后選擇用戶權(quán)利分配（User Rights Assignment），就能夠編輯所有的39個(gè)登錄權(quán)利和權(quán)限了。

確保適當(dāng)?shù)臋?quán)限

Windows Server 2008中有九個(gè)審計(jì)政策，分成兩個(gè)子類，它們可以確保Windows管理員正確設(shè)置用戶權(quán)限。安全團(tuán)隊(duì)可以在計(jì)算機(jī)中打開本地安全政策（Local Security Policy）控制臺，進(jìn)入Security Settings\Local Policies\Audit Policy目錄，查看系統(tǒng)審計(jì)政策設(shè)置。下文簡要地描述了每個(gè)政策，以及它們的用法：

審計(jì)帳戶登錄事件——跟蹤所有試圖用域用戶帳戶登錄的活動(dòng)，不管這種嘗試源自何處。開啟這項(xiàng)政策以后，工作站或者成員服務(wù)器會(huì)記錄所有使用計(jì)算機(jī)SAM中存儲的本地帳戶的登錄嘗試。

審計(jì)帳戶管理——用來監(jiān)視用戶帳戶和組的變化，對管理員和服務(wù)臺工作人員的審計(jì)活動(dòng)有參考價(jià)值。該政策記錄密碼重置、新創(chuàng)建的帳戶以及組成員和Active Directory控制器的變化。該政策還記錄域用戶、域分組以及計(jì)算機(jī)帳戶的變化。

審計(jì)目錄服務(wù)訪問——提供Active Directory中對象變化的低級別審計(jì)跟蹤。該政策跟蹤的活動(dòng)與審計(jì)帳戶管理事件中跟蹤的相同，但是級別低很多。使用這個(gè)政策可以識別用戶帳戶的哪些領(lǐng)域或者任何其他Active Directory對象被訪問過。審計(jì)帳戶管理事件可以提供更好的用戶帳戶和組的監(jiān)視維護(hù)信息，但是審計(jì)目錄服務(wù)訪問是跟蹤OU和GPO變化的唯一途徑，這對于變化控制來說很重要。

審計(jì)登錄事件——記錄本地計(jì)算機(jī)上的登錄嘗試，無論使用域帳戶還是本地帳戶登錄。在Active Directory域控制器中，該政策只記錄訪問域控制器的嘗試。

審計(jì)對象訪問——處理Active Directory之外所有對象的訪問審計(jì)。該政策可以用來審計(jì)任何類型的Windows對象訪問，包括注冊表鍵值、打印機(jī)、以及服務(wù)。（注意：如果服務(wù)器的對象太多，該政策可能會(huì)大大影響該服務(wù)器的性能。）

審計(jì)政策變化——提供本地系統(tǒng)中重要安全政策的變化通知，比如系統(tǒng)審計(jì)政策的變化；當(dāng)本地系統(tǒng)是一個(gè)Active Directory域控制器時(shí)，該政策會(huì)提供信任關(guān)系的變化。

審計(jì)權(quán)限使用---跟蹤Security Settings\Local Policies\User Right Assignment目錄下本地安全政策（Local Security Policy）的用戶權(quán)利活動(dòng)

審計(jì)過程跟蹤——跟蹤每一個(gè)被執(zhí)行的程序，不管該程序是由系統(tǒng)還是最終用戶執(zhí)行的。它還可以決定程序運(yùn)行的時(shí)間。結(jié)合該政策，加上審計(jì)登錄事件和審計(jì)對象訪問事件，以及在這些不同的事件描述中使用Logon ID, Process ID 和Handle ID等，我們就可以詳細(xì)地描繪出用戶活動(dòng)了。

審計(jì)系統(tǒng)事件——與安全相關(guān)的系統(tǒng)事件綜合，包括系統(tǒng)啟動(dòng)和關(guān)閉。Windows的安全基礎(chǔ)設(shè)施是模塊化設(shè)計(jì)，可以利用微軟和第三方供應(yīng)商提供的新型、插件安全功能。這些插件可以是認(rèn)證軟件包、合法登錄進(jìn)程或者通知軟件包。因?yàn)檫@些插件是值得信賴的擴(kuò)展操作系統(tǒng)的代碼模塊，Windows加載每個(gè)插件時(shí)都會(huì)做記錄，使用從這個(gè)分類中的事件。（注意：不推薦在這個(gè)層面上管理審計(jì)政策，因?yàn)檫@樣會(huì)產(chǎn)生很多噪聲，應(yīng)該使用子類型。）

即使有些用戶偶爾得到了不必要的權(quán)限，這些政策也可以讓公司的安全人員核實(shí)這些用戶是否利用管理權(quán)限做傷害公司的事情，不管是有意的還是無意的。企業(yè)應(yīng)該盡可能多的啟用這些審計(jì)政策，但是請記住，加載所有的政策可能會(huì)影響Windows系統(tǒng)的性能。

當(dāng)啟用這些政策時(shí)，企業(yè)有多種選擇：可以讓它們產(chǎn)生成功事件，失敗事件或者兩者都產(chǎn)生，這取決于公司政策。所有九個(gè)審計(jì)政策都可以產(chǎn)生成功事件，某些政策可以產(chǎn)生失敗事件，作為一種最佳實(shí)踐，企業(yè)不該忽略成功事件（會(huì)產(chǎn)生大量的安全日志）而只開啟失敗事件。一個(gè)常見的誤解是：只有失敗事件審計(jì)政策才能警告安全團(tuán)隊(duì)注意所有的可疑活動(dòng)。實(shí)際上，安全日志中許多最重要的事件是成功事件，比如關(guān)鍵用戶帳戶和組的變化、帳戶鎖定的變化，以及安全設(shè)置的變化等等。

總結(jié)

隨著Windows Server 2008的發(fā)布，微軟最終提供了權(quán)限管理功能，能夠創(chuàng)建復(fù)雜的用戶權(quán)限分組，卻不需要復(fù)雜的管理技術(shù)。但是復(fù)雜的權(quán)限分組可能會(huì)引起權(quán)限的錯(cuò)誤配置，不能識別某個(gè)人的錯(cuò)誤。所以，了解與該功能相關(guān)的審計(jì)服務(wù)同樣重要。

歸功于適當(dāng)?shù)目紤]和規(guī)劃，Windows Server 2008最終賦予企業(yè)期待已久的功能：成功地匹配了用戶的能力和權(quán)限。這不僅滿足業(yè)務(wù)需求和信任要求，而且驗(yàn)證了他們的方法是正確的。

【編輯推薦】

1. 泰然神州應(yīng)用系統(tǒng)安全加固解決方案
2. 企業(yè)防護(hù)應(yīng)重視網(wǎng)站系統(tǒng)安全
3. 增強(qiáng)Linux/Unix服務(wù)器系統(tǒng)安全很簡單！
4. Stuxnet蠕蟲對SCADA系統(tǒng)安全來說意味著什么？