许多已发布的安全标准(包括Microsoft安全基准)都包含建议将各种基于列表的策略设置为“无人”的条目。例如,作为服务登录设置的CIS审核数据包括:
This user right should be restricted on any computer in a high security environment,
but because many applications may require this privilege, it should be carefully
evaluated and tested before configuring it in an enterprise environment.
On Windows Vista-based (and newer) computers, no users or groups have
this privilege by default.
The recommended state for this setting is: 'No One'.
请注意,上面的建议用单引号括起来,就像是字符串一样
有时,客户会希望我明确设置某些策略以匹配该策略的默认设置。对于带有不包含任何条目的列表框的策略(与仅“启用”和“禁用”相对应),我通常只启用策略并将列表留空(即,列表中列出“无人”) )
但是此客户端(未命名名称)是 insisting ,即使用空白列表创建一个显式设置以匹配默认设置将不符合建议的解决方案。他坚信将设置更改为“无人”意味着启用该策略并对其进行配置,以使所需列表仅包含一个名称为“无人”的项目。 “没有人”。就像实际单击“添加用户或组”按钮,然后在框中键入“无人”一样。根据句子的结构,我可以看到他将如何得到这个想法。
我在这里和那里发现了一些老论坛帖子,这些都支持我的立场。但是它们并不是我认为权威的。
https://community.spiceworks.com/topic/2015177-cis-benchmark-lockdowns-the-no-one-user
为了我自己的理智,我已经确认“没有人”不是Windows或AD环境中的保留名称之一:
如果该设置实际上是用字符串“ Noone”定义的,那么一个愚蠢的(或恶意的)域管理员可以创建具有该名称的域用户或组,并立即创建一个与安全AD环境完全相反的东西。
假设我永远找不到能支持我的话的东西,我该如何减轻管理员创建名为“ Noone”的AD对象并因此获得GPO打算阻止的权限的风险? >
我认为这可能有效:
这将保留对象名称并将其锁定,以防止成员资格更改。但是仍然没有什么可以阻止管理员将其更改,删除帐户并创建另一个帐户等。
虽然那很笨拙。除了不告诉客户要砸沙子的方法外,我非常希望有一个更优雅的解决方案。
答案 0 :(得分:1)
您说对了,拒绝所有人访问的正确方法是启用策略并将列表留空。启用策略的行为将默认权限更改为“拒绝”,并且仅允许您添加到列表中的帐户。将任何内容添加到列表中后,即表示允许某人的权限。
我不确定您在哪里看到该描述,因为当我查看gpedit.msc中的设置时,会看到以下内容:
作为服务登录
此安全设置允许安全主体作为服务登录。可以将服务配置为在本地系统,本地服务或网络服务帐户下运行,这些帐户具有作为服务登录的内置权限。必须为在单独用户帐户下运行的任何服务分配权限。
默认设置:无。
或者您可以参考this,其中使用术语“未定义”。
但是,如果他们坚持阅读您在此处包含的说明,则说明您的客户是个书呆子。但是你也可以做书呆子。 :)专注于实际单词。
您说客户希望您“明确设置某些策略以匹配默认”。策略说明中的“默认”一词在哪里?在这里:
在基于Windows Vista(及更新版本)的计算机上,没有用户或组具有 默认情况下,此特权
很明显,默认是一个空列表,而不是一些神话般的“没人”。
推荐状态似乎与其他情况无关的事实。他们没有要求推荐状态,而是要求了默认。
有趣的是,有一个well-known SID叫做“没人”,但是我还不能在任何地方将其实际添加到权限中。