将组策略显式定义为 "No One" - 有风险吗?
Explicitly defining a group policy to "No One" -- is there a risk?
许多已发布的安全标准(包括 Microsoft 安全基线)包含建议将各种基于列表的策略设置为 "No One" 的条目。例如,设置 作为服务登录 的 CIS 审核数据包括:
This user right should be restricted on any computer in a high security environment,
but because many applications may require this privilege, it should be carefully
evaluated and tested before configuring it in an enterprise environment.
On Windows Vista-based (and newer) computers, no users or groups have
this privilege by default.
The recommended state for this setting is: 'No One'.
注意上面的推荐用单引号括起来就好像是字符串一样
有时客户会希望我明确设置某些策略以匹配该策略的默认值。当谈到带有不包含条目的列表框的策略时(与仅 "Enable" 和 "Disabled" 相对),我通常只启用该策略并将列表留空(即 "No One"被列入名单)
但是这个客户端(未命名)坚持使用空白列表创建显式设置以匹配默认值不会满足推荐的解决方案。他坚信将设置更改为 "No One" 意味着启用策略并对其进行配置,以便所需列表仅包含单个项目名称 "No One"。 "No One"。就像实际单击 'Add User or Group' 按钮并在框中键入 'No One' 一样。根据句子结构,我可以看出他是怎么想到的。
我在这里和那里发现了一些陈旧的论坛帖子,它们支持我的立场。但它们并不完全是我认为的权威。
https://community.spiceworks.com/topic/2015177-cis-benchmark-lockdowns-the-no-one-user
并且,为了我自己的理智,我已经确认 "No One" 是 而不是 Windows 中的保留名称之一或 AD 环境:
如果设置实际上是用字符串 "No One" 定义的,那么愚蠢(或恶意)的域管理员可以创建具有该名称的域用户或组,并立即创建一个安全 AD 环境的对立面。
假设我永远找不到任何权威来支持我的话,我如何才能降低管理员创建名为 "No One" 的 AD 对象并因此获得 GPO 旨在阻止的权限的风险?
我认为这可能有效:
- 创建一个名为 "No One" 的用户帐户并将其禁用
- 创建一个名为 "No One" 的安全组,然后将其转换为通讯组列表
- 编辑这些 AD 对象的安全性,为超级管理员(我认为是企业管理员)以外的所有用户添加显式拒绝
这将保留对象名称并将其锁定以防止成员身份发生变化。但是仍然没有什么可以阻止管理员将其改回,或删除帐户并创建另一个帐户等。
虽然这很笨重。除了告诉我的客户去砸沙子,我非常想要一个更优雅的解决方案。
您说得对,拒绝所有人访问的正确方法是启用该策略并将列表留空。启用策略的行为会将默认权限更改为“拒绝”,并且只允许您添加到列表中的帐户。一旦您将 任何东西 添加到列表中,您就在 允许 对某人的许可。
虽然我不确定您在哪里看到该描述,因为当我查看 gpedit.msc 中的设置时,我看到了这个:
Log on as a service
This security setting allows a security principal to log on as a service. Services can be configured to run under the Local System, Local Service, or Network Service accounts, which have a built in right to log on as a service. Any service that runs under a separate user account must be assigned the right.
Default setting: None.
或者您可以参考 this,其中使用了术语“未定义”。
但如果他们坚持阅读您在此处包含的描述,那么您的客户就是迂腐。但你也可以迂腐。 :) 专注于实际单词。
您说您的客户希望您“明确设置某些策略以匹配 默认值”。政策描述中的“默认”一词用在什么地方?这里:
On Windows Vista-based (and newer) computers, no users or groups have
this privilege by default
很明显 default 是一个空列表,而不是一些神话般的“没有人”。
recommended 状态似乎并不重要。他们没有要求 recommended 状态,他们要求 default.
有趣的是,有一个名为“Nobody”的 well-known SID,但我无法真正将其添加到任何地方的权限中。
许多已发布的安全标准(包括 Microsoft 安全基线)包含建议将各种基于列表的策略设置为 "No One" 的条目。例如,设置 作为服务登录 的 CIS 审核数据包括:
This user right should be restricted on any computer in a high security environment,
but because many applications may require this privilege, it should be carefully
evaluated and tested before configuring it in an enterprise environment.
On Windows Vista-based (and newer) computers, no users or groups have
this privilege by default.
The recommended state for this setting is: 'No One'.
注意上面的推荐用单引号括起来就好像是字符串一样
有时客户会希望我明确设置某些策略以匹配该策略的默认值。当谈到带有不包含条目的列表框的策略时(与仅 "Enable" 和 "Disabled" 相对),我通常只启用该策略并将列表留空(即 "No One"被列入名单)
但是这个客户端(未命名)坚持使用空白列表创建显式设置以匹配默认值不会满足推荐的解决方案。他坚信将设置更改为 "No One" 意味着启用策略并对其进行配置,以便所需列表仅包含单个项目名称 "No One"。 "No One"。就像实际单击 'Add User or Group' 按钮并在框中键入 'No One' 一样。根据句子结构,我可以看出他是怎么想到的。
我在这里和那里发现了一些陈旧的论坛帖子,它们支持我的立场。但它们并不完全是我认为的权威。
https://community.spiceworks.com/topic/2015177-cis-benchmark-lockdowns-the-no-one-user
并且,为了我自己的理智,我已经确认 "No One" 是 而不是 Windows 中的保留名称之一或 AD 环境:
如果设置实际上是用字符串 "No One" 定义的,那么愚蠢(或恶意)的域管理员可以创建具有该名称的域用户或组,并立即创建一个安全 AD 环境的对立面。
假设我永远找不到任何权威来支持我的话,我如何才能降低管理员创建名为 "No One" 的 AD 对象并因此获得 GPO 旨在阻止的权限的风险?
我认为这可能有效:
- 创建一个名为 "No One" 的用户帐户并将其禁用
- 创建一个名为 "No One" 的安全组,然后将其转换为通讯组列表
- 编辑这些 AD 对象的安全性,为超级管理员(我认为是企业管理员)以外的所有用户添加显式拒绝
这将保留对象名称并将其锁定以防止成员身份发生变化。但是仍然没有什么可以阻止管理员将其改回,或删除帐户并创建另一个帐户等。
虽然这很笨重。除了告诉我的客户去砸沙子,我非常想要一个更优雅的解决方案。
您说得对,拒绝所有人访问的正确方法是启用该策略并将列表留空。启用策略的行为会将默认权限更改为“拒绝”,并且只允许您添加到列表中的帐户。一旦您将 任何东西 添加到列表中,您就在 允许 对某人的许可。
虽然我不确定您在哪里看到该描述,因为当我查看 gpedit.msc 中的设置时,我看到了这个:
Log on as a service
This security setting allows a security principal to log on as a service. Services can be configured to run under the Local System, Local Service, or Network Service accounts, which have a built in right to log on as a service. Any service that runs under a separate user account must be assigned the right.
Default setting: None.
或者您可以参考 this,其中使用了术语“未定义”。
但如果他们坚持阅读您在此处包含的描述,那么您的客户就是迂腐。但你也可以迂腐。 :) 专注于实际单词。
您说您的客户希望您“明确设置某些策略以匹配 默认值”。政策描述中的“默认”一词用在什么地方?这里:
On Windows Vista-based (and newer) computers, no users or groups have this privilege by default
很明显 default 是一个空列表,而不是一些神话般的“没有人”。
recommended 状态似乎并不重要。他们没有要求 recommended 状态,他们要求 default.
有趣的是,有一个名为“Nobody”的 well-known SID,但我无法真正将其添加到任何地方的权限中。