組策略設(shè)置系列篇之“安全選項”1

1、.：.；組戰(zhàn)略設(shè)置系列篇之“平安選項-1設(shè)置, 選項組戰(zhàn)略的“平安選項部分啟用或禁用數(shù)字?jǐn)?shù)據(jù)簽名、Administrator 和 Guest 帳戶名、軟盤驅(qū)動器和 CD-ROM 驅(qū)動器的訪問、驅(qū)動程序安裝操作和登錄提示的計算機(jī)平安設(shè)置。平安選項設(shè)置您可以在組戰(zhàn)略對象編輯器的以下位置配置平安選項設(shè)置：計算機(jī)配置Windows 設(shè)置平安設(shè)置本地戰(zhàn)略平安選項帳戶：管理員帳戶形狀此戰(zhàn)略設(shè)置啟用或禁用 Administrator 帳戶的正常操作條件。假設(shè)以平安方式啟動計算機(jī)，Administrator 帳戶總是處于啟用形狀，而與如何配置此戰(zhàn)略設(shè)置無關(guān)?！皫簦汗芾韱T帳戶形狀設(shè)置的能夠值為： 已啟用 已禁

2、用 沒有定義破綻：在某些組織中，維持定期更改本地帳戶的密碼這項常規(guī)方案能夠會是很大的管理挑戰(zhàn)。因此，您能夠需求禁用內(nèi)置的 Administrator 帳戶，而不是依賴常規(guī)密碼更改來維護(hù)其免受攻擊。需求禁用此內(nèi)置帳戶的另一個緣由就是，無論經(jīng)過多少次登錄失敗它都不會被鎖定，這使得它成為強(qiáng)力攻擊嘗試猜測密碼的主要目的。另外，此帳戶還有一個眾所周知的平安標(biāo)識符 (SID)，而且第三方工具允許運用 SID 而非帳戶名來進(jìn)展身份驗證。此功能意味著，即使您重命名 Administrator 帳戶，攻擊者也能夠運用該 SID 登錄來發(fā)起強(qiáng)力攻擊。對策：將“帳戶：管理員帳戶形狀設(shè)置配置為“已禁用，以便在正常的系

3、統(tǒng)啟動中不能再運用內(nèi)置的 Administrator 帳戶。潛在影響：假設(shè)禁用 Administrator 帳戶，在某些情況下能夠會呵斥維護(hù)問題。例如，在域環(huán)境中，假設(shè)成員計算機(jī)和域控制器間的平安通道因任何緣由而失敗，而且沒有其他本地 Administrator 帳戶，那么您必需以平安方式重新啟動才干修復(fù)這個中斷平安通道的問題。假設(shè)當(dāng)前的 Administrator 密碼不滿足密碼要求，那么 Administrator 帳戶被禁用之后，無法重新啟用。假設(shè)出現(xiàn)這種情況，Administrators 組的另一個成員必需運用“本地用戶和組工具來為該 Administrator 帳戶設(shè)置密碼。帳戶：來

4、賓帳戶形狀此戰(zhàn)略設(shè)置確定是啟用還是禁用來賓帳戶?！皫簦簛碣e帳戶形狀設(shè)置的能夠值為： 已啟用 已禁用 沒有定義破綻：默許 Guest 帳戶允許未經(jīng)身份驗證的網(wǎng)絡(luò)用戶以沒有密碼的 Guest 身份登錄。這些未經(jīng)授權(quán)的用戶可以經(jīng)過網(wǎng)絡(luò)訪問 Guest 帳戶可訪問的任何資源。此功能意味著任何具有允許 Guest 帳戶、Guests 組或 Everyone 組進(jìn)展訪問的權(quán)限的網(wǎng)絡(luò)共享資源，都可以經(jīng)過網(wǎng)絡(luò)對其進(jìn)展訪問，這能夠?qū)е聰?shù)據(jù)暴露或損壞。對策：將“帳戶：來賓帳戶形狀設(shè)置配置為“已禁用，以便內(nèi)置的 Guest 帳戶不再可用。潛在影響：一切的網(wǎng)絡(luò)用戶都將必需先進(jìn)展身份驗證，才干訪問共享資源。假設(shè)禁用

5、Guest 帳戶，并且“網(wǎng)絡(luò)訪問：共享和平安方式選項設(shè)置為“僅來賓，那么那些由 Microsoft 網(wǎng)絡(luò)效力器SMB 效力執(zhí)行的網(wǎng)絡(luò)登錄將失敗。對于大多數(shù)組織來說，此戰(zhàn)略設(shè)置的影呼應(yīng)該會很小，由于它是 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 中的默許設(shè)置。帳戶：運用空白密碼的本地帳戶只允許進(jìn)展控制臺登錄此戰(zhàn)略設(shè)置確定能否允許運用空白密碼的本地帳戶經(jīng)過網(wǎng)絡(luò)效力如終端效力、Telnet 和文件傳輸協(xié)議 (FTP)進(jìn)展遠(yuǎn)程交互式登錄。假設(shè)啟用此戰(zhàn)略設(shè)置，那么本地帳戶必需有一個非空密碼，才干從遠(yuǎn)程客戶端執(zhí)行交互式或網(wǎng)絡(luò)登錄。“帳戶

6、：運用空白密碼的本地帳戶只允許進(jìn)展控制臺登錄設(shè)置的能夠值為： 已啟用 已禁用 沒有定義留意：此戰(zhàn)略設(shè)置不影響在控制臺上以物理方式執(zhí)行的交互式登錄，也不影響運用域帳戶的登錄。警告：運用遠(yuǎn)程交互式登錄的第三方運用程序有能夠跳過此戰(zhàn)略設(shè)置。破綻：空白密碼會對計算機(jī)平安呵斥嚴(yán)重要挾，該當(dāng)經(jīng)過組織的戰(zhàn)略和適當(dāng)?shù)募夹g(shù)措施來制止。實踐上，Windows Server 2003 Active Directory 目錄效力域的默許設(shè)置需求至少包含七個字符的復(fù)雜密碼。但是，假設(shè)可以創(chuàng)建新帳戶的用戶跳過基于域的密碼戰(zhàn)略，那么他們可以創(chuàng)建具有空白密碼的帳戶。例如，某個用戶可以構(gòu)建一個獨立的計算機(jī)，創(chuàng)建一個或多個具有空

7、白密碼的帳戶，然后將該計算機(jī)參與到域中。具有空白密碼的本地帳戶仍將正常任務(wù)。任何人假設(shè)知道其中一個未受維護(hù)的帳戶的稱號，都可以用它來登錄。對策：啟用“帳戶：運用空白密碼的本地帳戶只允許進(jìn)展控制臺登錄設(shè)置。潛在影響：無。這是默許配置。帳戶：重命名系統(tǒng)管理員帳戶此戰(zhàn)略設(shè)置確定另一個帳戶名能否與 Administrator 帳戶的 SID 相關(guān)聯(lián)?！皫簦褐孛到y(tǒng)管理員帳戶設(shè)置的能夠值為： 用戶定義的文本 沒有定義破綻：Administrator 帳戶存在于運轉(zhuǎn) Windows 2000、Windows Server 2003 或 Windows XP Professional 操作系統(tǒng)的一切計算

8、機(jī)上。假設(shè)重命名此帳戶，會使未經(jīng)授權(quán)的人員更難猜測這個具有特權(quán)的用戶名和密碼組合。無論攻擊者能夠運用多少次錯誤密碼，內(nèi)置的 Administrator 帳戶都不能被鎖定。此功能使得 Administrator 帳戶成為強(qiáng)力攻擊嘗試猜測密碼的常見目的。這個對策的價值之所以減少，是由于此帳戶有一個眾所周知的 SID，而且第三方工具允許運用 SID 而非帳戶名來進(jìn)展身份驗證。因此，即使您重命名 Administrator 帳戶，攻擊者也能夠會運用該 SID 來登錄以發(fā)起強(qiáng)力攻擊。對策：在“帳戶：重命名系統(tǒng)管理員帳戶設(shè)置中指定一個新稱號，以重命名 Administrator 帳戶。留意：在后面的章節(jié)中

9、，此戰(zhàn)略設(shè)置既未在平安模板中進(jìn)展配置，也不是本指南所建議帳戶的新用戶名。模板中忽略了這項戰(zhàn)略設(shè)置，這樣做是為了讓運用本指南的眾多組織將不在其環(huán)境中實現(xiàn)同樣的新用戶名。潛在影響：您必需將這個新帳戶名通知給授權(quán)運用此帳戶的用戶。有關(guān)此設(shè)置的指點假定 Administrator 帳戶沒有被禁用，這是本章前面建議的設(shè)置。帳戶：重命名來賓帳戶“帳戶：重命名來賓帳戶設(shè)置確定另一個帳戶名能否與 Guest 帳戶的 SID 相關(guān)聯(lián)。此組戰(zhàn)略設(shè)置的能夠值為： 用戶定義的文本 沒有定義破綻：Guest 帳戶存在于運轉(zhuǎn) Windows 2000、Windows Server 2003 或 Windows XP Pr

10、ofessional 操作系統(tǒng)的一切計算機(jī)上。假設(shè)重命名此帳戶，會使未經(jīng)授權(quán)的人員更難猜測這個具有特權(quán)的用戶名和密碼組合。對策：在“帳戶：重命名來賓帳戶設(shè)置中指定一個新稱號，以重命名 Guest 帳戶。留意：在后面的章節(jié)中，此戰(zhàn)略設(shè)置既未在平安模板中進(jìn)展配置，也不是本指南所建議帳戶的新用戶名。模板中忽略了這項戰(zhàn)略設(shè)置，這樣做是為了讓運用本指南的眾多組織將不在其環(huán)境中實現(xiàn)同樣的新用戶名。潛在影響：影呼應(yīng)該會很小，由于在默許情況下，Windows 2000、Windows XP 和 Windows Server 2003 中已禁用“Guest帳戶。對備份和復(fù)原權(quán)限的運用進(jìn)展審核假設(shè)啟用此戰(zhàn)略設(shè)置，

11、在計算機(jī)創(chuàng)建系統(tǒng)對象如多用戶端執(zhí)行程序、事件、信號燈和 MS-DOS 設(shè)備時，將運用默許的系統(tǒng)訪問控制列表 (SACL)。假設(shè)如本指南第 3 章中所述，您還啟用了“審核對象訪問審核設(shè)置，那么會審核對這些系統(tǒng)對象的訪問。全局系統(tǒng)對象又被稱作“根本系統(tǒng)對象或“根本命名對象是存活時間很短的內(nèi)核對象，它們的稱號是由創(chuàng)建它們的運用程序或系統(tǒng)組件分配的。這些對象經(jīng)常用于同步多個運用程序或一個復(fù)雜運用程序的多個部分。由于它們具有稱號，因此這些對象在作用域內(nèi)是全局的，從而對于計算機(jī)上的一切進(jìn)程均可見。這些對象都具有一個平安描畫符，但是它們通常有一個空的系統(tǒng)訪問控制列表。假設(shè)在啟動時啟用此戰(zhàn)略設(shè)置，內(nèi)核將在這些

12、對象被創(chuàng)建時向它們分配一個系統(tǒng)訪問控制列表?！皩θ窒到y(tǒng)對象的訪問進(jìn)展審核設(shè)置的能夠值為： 已啟用 已禁用 沒有定義破綻：假設(shè)沒有正確地維護(hù)某個全局可見的命名對象，那么知道該對象稱號的惡意程序能夠會針對該對象進(jìn)展操作。例如，假設(shè)某個同步對象如多用戶終端執(zhí)行程序有一個錯誤選擇的恣意訪問控制列表 (DACL)，那么惡意程序可以按稱號訪問這個多用戶終端執(zhí)行程序，并且導(dǎo)致創(chuàng)建這個多用戶終端執(zhí)行程序的程序無法正常任務(wù)。但是，出現(xiàn)這種情況的風(fēng)險會非常低。對策：啟用“對全局系統(tǒng)對象的訪問進(jìn)展審核設(shè)置。潛在影響：假設(shè)啟用“對全局系統(tǒng)對象的訪問進(jìn)展審核設(shè)置，能夠會生成大量平安事件，尤其是在忙碌的域控制器和運用程

13、序效力器上。這類情況能夠?qū)е滦Яζ骱魬?yīng)緩慢，并迫使平安事件日志記錄許多無關(guān)緊要的事件。此戰(zhàn)略設(shè)置只能被啟用或禁用，并且沒有挑選記錄哪些事件和不記錄哪些事件的方法。即使組織有可以分析由此戰(zhàn)略設(shè)置所生成事件的資源，它們也不能夠具有每個命名對象的源代碼或關(guān)于其用途的闡明。因此，對于許多組織來說，將此戰(zhàn)略設(shè)置配置為“已啟用，不大能夠獲得什么益處。對備份和復(fù)原權(quán)限的運用進(jìn)展審核此戰(zhàn)略設(shè)置確定在“審核權(quán)限運用設(shè)置生效時，能否對一切用戶權(quán)限包括“備份和復(fù)原權(quán)限的運用進(jìn)展審核。假設(shè)啟用這兩個戰(zhàn)略設(shè)置，會為備份或復(fù)原的每個文件生成一個審核事件。假設(shè)啟用此戰(zhàn)略設(shè)置并結(jié)合運用“審核權(quán)限運用設(shè)置，用戶權(quán)限的任何行使情

14、況都會記錄在平安日志中。假設(shè)禁用此戰(zhàn)略設(shè)置，那么即使啟用“審核權(quán)限運用，也不會對用戶行使備份或復(fù)原權(quán)限的操作進(jìn)展審核?！皩浞莺蛷?fù)原權(quán)限的運用進(jìn)展審核設(shè)置的能夠值為： 已啟用 已禁用 沒有定義破綻：假設(shè)在啟用“審核權(quán)限運用設(shè)置的同時啟用此選項，那么備份或復(fù)原每個文件都會生成一個審核事件。此信息會協(xié)助 您識別被用于以未經(jīng)授權(quán)的方式不測或惡意復(fù)原數(shù)據(jù)的帳戶。對策：啟用“對備份和復(fù)原權(quán)限的運用進(jìn)展審核設(shè)置。或者，也可以經(jīng)過配置 AutoBackupLogFiles 注冊表項來實施自動記錄備份，潛在影響：假設(shè)啟用此戰(zhàn)略設(shè)置，能夠會生成大量平安事件，這能夠?qū)е滦Яζ骱魬?yīng)緩慢，并迫使平安事件日志記錄許多無

15、關(guān)緊要的事件。假設(shè)添加平安日志大小以減少系統(tǒng)封鎖的機(jī)率，過大的日志文件能夠影響系統(tǒng)性能。假設(shè)無法記錄平安審核那么立刻封鎖系統(tǒng)此戰(zhàn)略設(shè)置確定在無法記錄平安事件時能否封鎖計算機(jī)?？尚庞嬎銠C(jī)系統(tǒng)評測規(guī)范 (TCSEC)C2 和通用規(guī)范認(rèn)證需求在審核系統(tǒng)無法記錄可審核事件時，計算機(jī)可以防止出現(xiàn)這些事件。Microsoft 所選擇的以滿足此要求的方法是：在無法審核系統(tǒng)時，暫停計算機(jī)并顯示一那么停頓音訊。假設(shè)啟用此戰(zhàn)略設(shè)置，計算時機(jī)在出于任何緣由不能記錄平安審核時停頓。通常，當(dāng)平安事件日志已滿，而且為它指定的保管方法為“不覆蓋事件或“按天數(shù)覆蓋事件時，將無法記錄事件。啟用此戰(zhàn)略設(shè)置時，假設(shè)平安日志已滿且不

16、能覆蓋現(xiàn)有條目，那么會顯示以下停頓音訊：STOP:C0000244 審核失敗嘗試生成平安審核失敗。要進(jìn)展恢復(fù)，管理員必需登錄，對日志進(jìn)展存檔可選，去除日志，然后禁用此選項以允許計算機(jī)重新啟動。此時，能夠需求先手動去除平安事件日志，然后才干將此戰(zhàn)略設(shè)置配置為“已啟用。“假設(shè)無法記錄平安審核那么立刻封鎖系統(tǒng)設(shè)置的能夠值為： 已啟用 已禁用 沒有定義破綻：假設(shè)計算機(jī)無法將事件記錄到平安日志中，那么在出現(xiàn)平安事件之后，能夠無法運用關(guān)鍵的證據(jù)或重要的疑問解答信息來進(jìn)展審查。此外，還有攻擊者會生成大量平安事件日志音訊以故意強(qiáng)迫計算機(jī)封鎖的潛在能夠。對策：啟用“假設(shè)無法記錄平安審核那么立刻封鎖系統(tǒng)設(shè)置。潛在

17、影響：假設(shè)啟用此戰(zhàn)略設(shè)置，管理負(fù)擔(dān)能夠會非常大，尤其是當(dāng)您還將平安日志的“保管方法配置為“不覆蓋事件手動去除日志時更是如此。此配置會導(dǎo)致抵賴要挾備份操作員能夠否認(rèn)他們備份或復(fù)原了數(shù)據(jù)成為回絕效力 (DoS) 破綻，由于效力器會因?qū)懭氲狡桨踩罩局械拇罅康卿浭录推渌桨彩录黄确怄i。另外，由于是非正常封鎖，因此能夠會對操作系統(tǒng)、運用程序或數(shù)據(jù)呵斥不可修復(fù)的損害。雖然 NTFS 文件系統(tǒng) (NTFS) 將保證在系統(tǒng)非正常封鎖過程中堅持文件系統(tǒng)的完好性，但是它不能保證在計算機(jī)重新啟動時，每個運用程序的每個數(shù)據(jù)文件都仍然處于可用形狀。DCOM：在平安描畫符定義言語 (SDDL) 語法中的計算機(jī)訪問限

18、制此戰(zhàn)略設(shè)置允許管理員在計算機(jī)上定義用于管理對基于一切分布式組件對象模型 (DCOM) 的運用程序訪問的其他計算機(jī)范圍訪問控件。這些控件限制計算機(jī)上的調(diào)用、激活或啟動懇求。思索這些訪問控件最簡單的方法就是對計算機(jī)上任何 COM 效力器的每個調(diào)用、激活或啟動，根據(jù)計算機(jī)范圍的訪問控制列表 (ACL) 作為附加訪問檢查調(diào)用執(zhí)行。假設(shè)訪問檢查失敗，調(diào)用、激活或啟動懇求將被回絕。此檢查是根據(jù)效力器特定的 ACL 運轉(zhuǎn)的任何訪問檢查以外的附加檢查。實踐上，它提供了在計算機(jī)上訪問任何 COM 效力器時必需經(jīng)過的最低授權(quán)規(guī)范?！癉COM：在平安描畫符定義言語 (SDDL) 語法中的計算機(jī)訪問限制設(shè)置控制訪問

19、權(quán)限以維護(hù)調(diào)用權(quán)限。這些計算機(jī)范圍的 ACL 提供了一種可覆蓋由特定運用程序經(jīng)過 CoInitializeSecurity 或運用程序特定的平安設(shè)置指定的弱平安性設(shè)置的方式。它們提供必需經(jīng)過的最低平安規(guī)范，而不論特定效力器的設(shè)置如何。這些 ACL 為管理員提供了一個用于設(shè)置運用于計算機(jī)上的一切 COM 效力器的普通授權(quán)戰(zhàn)略的集中位置?！癉COM：在平安描畫符定義言語 (SDDL) 語法中的計算機(jī)訪問限制設(shè)置允許您以兩種不同方式指定一個 ACL。您可以以 SDDL 鍵入平安描畫符，或者選擇用戶和組并授予或回絕其本地訪問和遠(yuǎn)程訪問權(quán)限。Microsoft 建議您運用內(nèi)置的用戶界面以指定您想要運用此

20、設(shè)置運用的 ACL 內(nèi)容。破綻：許多 COM 運用程序包括一些平安特定代碼例如，用于調(diào)用 CoInitializeSecurity，但卻運用弱設(shè)置，通常允許未閱歷證就可訪問進(jìn)程。在 Windows 的較早版本中，假設(shè)不修正運用程序，管理員不能覆蓋這些設(shè)置以強(qiáng)迫強(qiáng)平安性。攻擊者能夠會經(jīng)過 COM 調(diào)用來進(jìn)展攻擊以嘗試?yán)脝蝹€運用程序中的弱平安性。此外，COM 構(gòu)造還包括 RPCSS，一種在計算機(jī)啟動過程中運轉(zhuǎn)并在啟動后一直運轉(zhuǎn)的系統(tǒng)效力。此效力管理 COM 對象的激活和運轉(zhuǎn)的對象表，并為 DCOM 遠(yuǎn)程處置提供協(xié)助 效力。它公開可遠(yuǎn)程調(diào)用的 RPC 接口。由于某些 COM 效力器允許未閱歷證的遠(yuǎn)

21、程訪問如前面部分所述，因此任何人都可調(diào)用這些接口，包括未閱歷證的用戶。因此，運用遠(yuǎn)程、未閱歷證的計算機(jī)的惡意用戶可以攻擊 RPCSS。對策：為維護(hù)單個基于 COM 的運用程序或效力，請將“DCOM：在平安描畫符定義言語 (SDDL) 語法中的計算機(jī)訪問限制設(shè)置設(shè)置為相應(yīng)計算機(jī)范圍的 ACL。潛在影響：Windows XP SP2 和 Windows Server 2003 SP1 按照其各自的文檔中所指定的內(nèi)容實施默許的 COM ACL。假照實施 COM 效力器并覆蓋默許平安設(shè)置，請確認(rèn)運用程序特定調(diào)用權(quán)限 ACL 為相運用戶分配了正確權(quán)限。假設(shè)不是，您將必需更改運用程序特定權(quán)限 ACL 來為

22、相運用戶提供激活權(quán)限，以便運用 DCOM 的運用程序和 Windows 組件不會失敗。DCOM：在平安描畫符定義言語 (SDDL) 語法中的計算機(jī)啟動限制此戰(zhàn)略設(shè)置與“DCOM：在平安描畫符定義言語 (SDDL) 語法中的計算機(jī)訪問限制設(shè)置相類似，由于它允許管理員定義可管理對計算機(jī)上一切基于 DCOM 運用程序的訪問的附加計算機(jī)范圍訪問控制。但是，此戰(zhàn)略設(shè)置中指定的 ACL 控制計算機(jī)上的本地和遠(yuǎn)程 COM 啟動懇求不是訪問懇求。思索此訪問控制最簡單的方法是對計算機(jī)上任何 COM 效力器的每個啟動，根據(jù)計算機(jī)范圍的 ACL 作為附加訪問檢查調(diào)用執(zhí)行。假設(shè)訪問檢查失敗，調(diào)用、激活或啟動懇求將被回

23、絕。此檢查是針對效力器特定的 ACL 運轉(zhuǎn)的任何訪問檢查以外的附加檢查。實踐上，它提供了在計算機(jī)上啟動任何 COM 效力器時必需經(jīng)過的最低授權(quán)規(guī)范。早期戰(zhàn)略有所不同，由于它提供最低的訪問檢查，運用該檢查以試圖訪問已啟動的 COM 效力器。這些計算機(jī)范圍的 ACL 提供了一種可覆蓋由特定運用程序經(jīng)過 CoInitializeSecurity 或運用程序特定的平安設(shè)置指定的弱平安性設(shè)置的方式。它們提供必需經(jīng)過的最低平安規(guī)范，而不論特定 COM 效力器的設(shè)置如何。這些 ACL 為管理員提供了一個用于設(shè)置運用于計算機(jī)上的一切 COM 效力器的普通授權(quán)戰(zhàn)略的集中位置?！癉COM：在平安描畫符定義言語 (

24、SDDL) 語法中的計算機(jī)啟動限制設(shè)置允許您以兩種不同方式指定一個 ACL。您可以以 SDDL 鍵入平安描畫符，或者選擇用戶和組并授予或回絕其本地訪問和遠(yuǎn)程訪問權(quán)限。Microsoft 建議您運用內(nèi)置的用戶界面以指定您想要運用此設(shè)置運用的 ACL 內(nèi)容。破綻：許多 COM 運用程序包括一些平安特定代碼例如，用于調(diào)用 CoInitializeSecurity，但卻運用弱設(shè)置，通常允許未閱歷證就可訪問進(jìn)程。在 Windows 的較早版本中，假設(shè)不修正運用程序，管理員不能覆蓋這些設(shè)置以強(qiáng)迫強(qiáng)平安性。攻擊者能夠會經(jīng)過 COM 調(diào)用來進(jìn)展攻擊以嘗試?yán)脝蝹€運用程序中的弱平安性。此外，COM 構(gòu)造還包括

25、RPCSS，一種在計算機(jī)啟動過程中運轉(zhuǎn)并在啟動后一直運轉(zhuǎn)的系統(tǒng)效力。此效力管理 COM 對象的激活和運轉(zhuǎn)的對象表，并為 DCOM 遠(yuǎn)程處置提供協(xié)助 效力。它公開可遠(yuǎn)程調(diào)用的 RPC 接口。由于某些 COM 效力器允許未閱歷證的遠(yuǎn)程組件激活如前面部分所述，因此任何人都可調(diào)用這些接口，包括未閱歷證的用戶。因此，運用遠(yuǎn)程、未閱歷證的計算機(jī)的惡意用戶可以攻擊 RPCSS。對策：為維護(hù)單個基于 COM 的運用程序或效力，請將“DCOM：在平安描畫符定義言語 (SDDL) 語法中的計算機(jī)啟動限制設(shè)置設(shè)置為相應(yīng)計算機(jī)范圍的 ACL。潛在影響Windows XP SP2 和 Windows Server 20

26、03 SP1 按照各自的文檔中所指定的內(nèi)容實施默許的 COM ACL。假照實施 COM 效力器并覆蓋默許平安設(shè)置，請確認(rèn)運用程序特定啟動權(quán)限 ACL 為相運用戶分配了激活權(quán)限。假設(shè)不是，您將必需更改運用程序特定啟動權(quán)限 ACL 來為相運用戶提供激活權(quán)限，以便運用 DCOM 的運用程序和 Windows 組件不會失敗。設(shè)備：允許不登錄移除此戰(zhàn)略設(shè)置確定用戶能否必需登錄才干懇求權(quán)限以從擴(kuò)展塢移除便攜式計算機(jī)。假設(shè)啟用此戰(zhàn)略設(shè)置，用戶將可以經(jīng)過按已插接的便攜式計算機(jī)上的物理彈出按鈕來平安移除計算機(jī)。假設(shè)禁用此戰(zhàn)略設(shè)置，用戶必需登錄才干收到移除計算機(jī)的權(quán)限。只需具有“從擴(kuò)展塢中取出計算機(jī)特權(quán)的用戶才干

27、獲得此權(quán)限。留意：只需針對不能以機(jī)械方式移除的便攜式計算機(jī)，才應(yīng)禁用此戰(zhàn)略設(shè)置?？梢砸詸C(jī)械方式移除的計算機(jī)可以被用戶物理取出，不論他們能否運用 Windows 移除功能?！霸O(shè)備：允許不登錄移除設(shè)置的能夠值為： 已啟用 已禁用 沒有定義破綻：假設(shè)啟用此戰(zhàn)略設(shè)置，那么任何人只需可以物理訪問放置在其擴(kuò)展塢中的便攜式計算機(jī)，就都可以取出計算機(jī)并有能夠損害它們。對于沒有擴(kuò)展塢的計算機(jī)，此戰(zhàn)略設(shè)置沒有任何影響。對策：禁用“設(shè)備：允許不登錄移除設(shè)置。潛在影響：曾經(jīng)固定其計算機(jī)的用戶將必需先登錄到本地控制臺，才干移除其計算機(jī)。設(shè)備：允許格式化和彈出可挪動媒體此戰(zhàn)略設(shè)置確定允許誰格式化和彈出可挪動媒體。“設(shè)備：

28、允許格式化和彈出可挪動媒體設(shè)置的能夠值為： Administrators Administrators 和 Power Users Administrators 和 Interactive Users 沒有定義破綻：用戶可以將可挪動磁盤上的數(shù)據(jù)移到他們具有管理特權(quán)的另一臺計算機(jī)上。然后，該用戶可以獲取任何文件的一切權(quán)，授予本人完全控制權(quán)限，查看或修正任何文件。由于大多數(shù)可挪動存儲設(shè)備都可以經(jīng)過按一個機(jī)械按鈕來彈出媒體這一現(xiàn)實，此戰(zhàn)略設(shè)置的優(yōu)勢會有所減弱。對策：將“允許格式化和彈出可挪動媒體設(shè)置配置為 Administrators。潛在影響：只需管理員才可以彈出 NTFS 格式化的可挪動媒體。設(shè)

29、備：防止用戶安裝打印機(jī)驅(qū)動程序?qū)τ谝蛴〉侥硞€網(wǎng)絡(luò)打印機(jī)的計算機(jī)，必需在本地計算機(jī)上安裝該網(wǎng)絡(luò)打印機(jī)的驅(qū)動程序?！霸O(shè)備：防止用戶安裝打印機(jī)驅(qū)動程序設(shè)置確定誰可以安裝打印機(jī)驅(qū)動程序作為添加網(wǎng)絡(luò)打印機(jī)的一部分。假設(shè)啟用此戰(zhàn)略設(shè)置，只需 Administrators 和 Power Users 組的成員允許在添加網(wǎng)絡(luò)打印機(jī)時安裝打印機(jī)驅(qū)動程序。假設(shè)禁用此戰(zhàn)略設(shè)置，任何用戶在添加網(wǎng)絡(luò)打印機(jī)時都可以安裝打印機(jī)驅(qū)動程序。此戰(zhàn)略設(shè)置可防止典型用戶下載和安裝不受信任的打印機(jī)驅(qū)動程序。留意：假設(shè)管理員曾經(jīng)配置了下載驅(qū)動程序的受信任途徑，那么此戰(zhàn)略設(shè)置沒有任何影響。假設(shè)運用受信任途徑，打印子系統(tǒng)會嘗試運用受信任途

30、徑下載驅(qū)動程序。假設(shè)受信任途徑下載勝利，那么可以代表任何用戶安裝驅(qū)動程序。假設(shè)受信任途徑下載失敗，那么驅(qū)動程序不會進(jìn)展安裝，網(wǎng)絡(luò)打印機(jī)不進(jìn)展添加。“設(shè)備：防止用戶安裝打印機(jī)驅(qū)動程序設(shè)置的能夠值為： 已啟用 已禁用 沒有定義破綻：在某些組織中允許用戶在其本人的任務(wù)站上安裝打印機(jī)驅(qū)動程序能夠是適當(dāng)?shù)?。但是，?yīng)不允許用戶在效力器上進(jìn)展這類安裝。在效力器上安裝打印機(jī)驅(qū)動程序能夠會在無意中使計算機(jī)變得不太穩(wěn)定。只需管理員在效力器上具有此特權(quán)。惡意用戶能夠會安裝不適當(dāng)?shù)拇蛴C(jī)驅(qū)動程序來故意試圖損害計算機(jī)，或者用戶也能夠會不測安裝一些偽裝成打印機(jī)驅(qū)動程序的惡意代碼。對策：將“設(shè)備：防止用戶安裝打印機(jī)驅(qū)動程序

31、設(shè)置配置為“已啟用。潛在影響：只需具有 Administrative、Power User 或 Server Operator 特權(quán)的用戶才可以在效力器上安裝打印機(jī)。假設(shè)啟用了此戰(zhàn)略設(shè)置，但是網(wǎng)絡(luò)打印機(jī)的驅(qū)動程序曾經(jīng)存在于本地計算機(jī)上，那么用戶仍可以添加網(wǎng)絡(luò)打印機(jī)。設(shè)備：只需本地登錄的用戶才干訪問 CD-ROM此戰(zhàn)略設(shè)置確定 CD-ROM 能否可供本地和遠(yuǎn)程用戶同時訪問。假設(shè)啟用此戰(zhàn)略設(shè)置，將僅允許交互式登錄的用戶訪問可挪動的 CD-ROM 媒體。假設(shè)啟用了此戰(zhàn)略設(shè)置，且沒有人交互登錄，那么可以經(jīng)過網(wǎng)絡(luò)訪問 CD-ROM?！霸O(shè)備：只需本地登錄的用戶才干訪問 CD-ROM設(shè)置的能夠值為： 已啟用

32、 已禁用 沒有定義破綻：遠(yuǎn)程用戶能夠會訪問包含敏感信息、已裝入的 CD-ROM。這種風(fēng)險的能夠性很小，由于 CD-ROM 驅(qū)動器不會自動成為網(wǎng)絡(luò)共享資源，管理員必需專門選擇共享此驅(qū)動器。但是，管理員能夠希望回絕網(wǎng)絡(luò)用戶查看數(shù)據(jù)或從效力器上的可挪動媒體運轉(zhuǎn)運用程序的才干。對策：啟用“只需本地登錄的用戶才干訪問 CD-ROM設(shè)置。潛在影響：當(dāng)有人登錄到效力器的本地控制臺時，經(jīng)過網(wǎng)絡(luò)銜接到效力器的用戶將無法運用安裝在效力器上的任何 CD-ROM 驅(qū)動器。需求訪問 CD-ROM 驅(qū)動器的系統(tǒng)工具將失敗。例如，卷影復(fù)制效力試圖在計算機(jī)初始化時訪問計算機(jī)上的一切 CD-ROM 和軟盤驅(qū)動器，并且假設(shè)效力無

33、法訪問其中一個驅(qū)動器，它將失敗。假設(shè)已為備份作業(yè)指定卷影副本，這種情況將導(dǎo)致 Windows 備份工具失敗。任何運用卷影副本的第三方備份產(chǎn)品也將失敗。對于充任網(wǎng)絡(luò)用戶 CD 點唱機(jī)的計算機(jī)，此戰(zhàn)略設(shè)置不適宜。設(shè)備：只需本地登錄的用戶才干訪問軟盤此戰(zhàn)略設(shè)置確定可挪動軟盤媒體能否可供本地和遠(yuǎn)程用戶同時訪問。假設(shè)啟用此戰(zhàn)略設(shè)置，將僅允許交互式登錄的用戶訪問可挪動的軟盤媒體。假設(shè)啟用了此戰(zhàn)略設(shè)置，且沒有人交互登錄，那么可以經(jīng)過網(wǎng)絡(luò)訪問軟盤?！霸O(shè)備：只需本地登錄的用戶才干訪問軟盤設(shè)置的能夠值為： 已啟用 已禁用 沒有定義破綻：遠(yuǎn)程用戶能夠會訪問包含敏感信息、已裝入的軟盤。這種風(fēng)險的能夠性很小，由于軟盤驅(qū)

34、動器不會自動成為網(wǎng)絡(luò)共享資源，管理員必需專門選擇共享此驅(qū)動器。但是，管理員能夠希望回絕網(wǎng)絡(luò)用戶查看數(shù)據(jù)或從效力器上的可挪動媒體運轉(zhuǎn)運用程序的才干。對策：啟用“只需本地登錄的用戶才干訪問軟盤設(shè)置。潛在影響：當(dāng)有人登錄到效力器的本地控制臺時，經(jīng)過網(wǎng)絡(luò)銜接到效力器的用戶將無法運用安裝在效力器上的任何軟盤驅(qū)動器。需求訪問軟盤驅(qū)動器的系統(tǒng)工具將失敗。例如，卷影復(fù)制效力試圖在計算機(jī)初始化時訪問計算機(jī)上的一切 CD-ROM 和軟盤驅(qū)動器，并且假設(shè)效力無法訪問其中一個驅(qū)動器，它將失敗。假設(shè)已為備份作業(yè)指定卷影副本，這種情況將導(dǎo)致 Windows 備份工具失敗。任何運用卷影副本的第三方備份產(chǎn)品也將失敗。設(shè)備：未

35、簽名驅(qū)動程序的安裝操作此戰(zhàn)略設(shè)置確定在試圖安裝未經(jīng) Windows 硬件質(zhì)量實驗室 (WHQL) 認(rèn)證和簽名的設(shè)備驅(qū)動程序運用安裝運用程序編程接口 (API) 方法時，將發(fā)生的操作。“設(shè)備：未簽名驅(qū)動程序的安裝操作設(shè)置的能夠值為： 默許繼續(xù) 允許安裝但發(fā)出警告 制止安裝 沒有定義破綻：此戰(zhàn)略設(shè)置可以防止安裝未經(jīng)簽名的驅(qū)動程序，或向管理員發(fā)出警告指出有人要安裝未經(jīng)簽名的驅(qū)動程序軟件。此功能可以防止運用 Setup API 安裝尚未經(jīng)過認(rèn)證在 Windows XP 或 Windows Server 2003 上運轉(zhuǎn)的驅(qū)動程序。此戰(zhàn)略設(shè)置將不能防止某些攻擊工具運用某種方法來復(fù)制和注冊惡意的 .sys

36、 文件，從而將這些文件作為系統(tǒng)效力啟動。對策：將“設(shè)備：未簽名驅(qū)動程序的安裝操作設(shè)置配置為“允許安裝但發(fā)出警告，這是 Windows XP SP2 的默許配置。Windows Server 2003 的默許配置為“沒有定義。潛在影響：假設(shè)用戶具有安裝設(shè)備驅(qū)動程序的足夠特權(quán)，那么他們將可以安裝未簽名的設(shè)備驅(qū)動程序。但是，此功能能夠會導(dǎo)致效力器產(chǎn)生穩(wěn)定性問題?！霸试S安裝但發(fā)出警告配置還有另一個潛在問題，那就是，無人參與的安裝腳本在嘗試安裝未簽名的驅(qū)動程序時將會失敗。域控制器：允許效力器操作員方案義務(wù)此戰(zhàn)略設(shè)置確定能否允許效力器操作員經(jīng)過 AT 方案工具提交作業(yè)。留意：此平安選項設(shè)置只影響 AT 方

37、案工具。它不影響“義務(wù)方案程序工具。“域控制器：允許效力器操作員方案義務(wù)設(shè)置的能夠值為： 已啟用 已禁用 沒有定義破綻：假設(shè)啟用此戰(zhàn)略設(shè)置，由效力器操作員經(jīng)過 AT 效力創(chuàng)建的作業(yè)將在運轉(zhuǎn)該效力的帳戶的上下文中執(zhí)行。在默許情況下，這是本地的 SYSTEM 帳戶。假設(shè)啟用此戰(zhàn)略設(shè)置，效力器操作員可以執(zhí)行 SYSTEM 可以執(zhí)行、但是他們通常無法執(zhí)行的義務(wù)，例如將他們的帳戶添加到本地 Administrators 組中。對策：禁用“域控制器：允許效力器操作員方案義務(wù)設(shè)置。潛在影響：對于大多數(shù)組織來說，影響會很小。用戶包括 Server Operators 組的用戶 依然可以經(jīng)過“義務(wù)方案程序?qū)в蝿?chuàng)

38、建作業(yè)。但是，這些作業(yè)運轉(zhuǎn)的上下文將是用戶設(shè)置作業(yè)時進(jìn)展身份驗證所用帳戶的上下文。域控制器：LDAP 效力器簽名要求此戰(zhàn)略設(shè)置確定輕型目錄訪問協(xié)議 (LDAP) 效力器能否要求 LDAP 客戶端協(xié)商數(shù)據(jù)簽名?！坝蚩刂破鳎篖DAP 效力器簽名要求設(shè)置的能夠值為： 無。數(shù)據(jù)簽名不是與效力器綁定所必需的。假設(shè)客戶端懇求數(shù)據(jù)簽名，那么效力器會支持它。 要求簽名。除非運用傳輸層平安性/平安套接字層 (TLS/SSL)，否那么必需協(xié)商 LDAP 數(shù)據(jù)簽名選項。 沒有定義。破綻：未簽名的網(wǎng)絡(luò)通訊易蒙受中間人攻擊。在這類攻擊中，入侵者捕獲效力器和客戶端之間的數(shù)據(jù)包，進(jìn)展修正，然后將它們轉(zhuǎn)發(fā)到客戶端。在涉及 L

39、DAP 效力器的環(huán)境中，攻擊者可以讓客戶端根據(jù) LDAP 目錄的錯誤記錄作出決策。要降低對組織網(wǎng)絡(luò)的這類入侵的風(fēng)險，可以實施強(qiáng)物理平安措施，從而維護(hù)網(wǎng)絡(luò)根底構(gòu)造。此外，也可以實施 Internet 協(xié)議平安 (IPSec) 身份驗證頭方式 (AH)，它可以針對 IP 通訊執(zhí)行相互身份驗證和數(shù)據(jù)包完好性，從而使一切類型的中間人攻擊變得極其困難。對策：將“域控制器：LDAP 效力器簽名要求設(shè)置配置為“要求簽名。潛在影響：不支持 LDAP 簽名的客戶端將無法針對域控制器執(zhí)行 LDAP 查詢。組織中從基于 Windows Server 2003 或 Windows XP 的計算機(jī)進(jìn)展管理的一切基于 W

40、indows 2000 的計算機(jī)和運用 Windows NT 質(zhì)詢/呼應(yīng) (NTLM) 身份驗證的計算機(jī)都必需安裝 Windows 2000 Service Pack 3 (SP3)?；蛘?，這些客戶端必需進(jìn)展 Microsoft 知識庫文章 Q325465“運用 Windows Server 2003 管理工具時 Windows 2000 域控制器需求 SP3 或更高版本中描畫的注冊表更改，該文章網(wǎng)址為httpsupport.microsoft/default.aspx?scid=325465。另外，某些第三方操作系統(tǒng)不支持 LDAP 簽名。假設(shè)啟用此戰(zhàn)略設(shè)置，運用這些操作系統(tǒng)的客戶端計算機(jī)能

41、夠無法訪問域資源。域控制器：回絕更改機(jī)器帳戶密碼此戰(zhàn)略設(shè)置確定域控制器能否接受計算機(jī)帳戶的密碼更改懇求?！坝蚩刂破鳎夯亟^更改機(jī)器帳戶密碼設(shè)置的能夠值為： 已啟用 已禁用 沒有定義破綻：假設(shè)在域中的一切域控制器上啟用此戰(zhàn)略設(shè)置，域成員將不能更改其計算機(jī)帳戶密碼，并且這些密碼將更易蒙受攻擊。對策：禁用“域控制器：回絕更改機(jī)器帳戶密碼設(shè)置。潛在影響：無。這是默許配置。域成員：對平安通道數(shù)據(jù)進(jìn)展數(shù)字加密或簽名多個相關(guān)設(shè)置以下戰(zhàn)略設(shè)置確定能否與不能對平安通道通訊進(jìn)展簽名或加密的域控制器建立平安通道： 域成員：對平安通道數(shù)據(jù)進(jìn)展數(shù)字加密或簽名總是 域成員：對平安通道數(shù)據(jù)進(jìn)展數(shù)字加密假設(shè)能夠 域成員：對平安

42、通道數(shù)據(jù)進(jìn)展數(shù)字簽名假設(shè)能夠假設(shè)啟用“域成員：對平安通道數(shù)據(jù)進(jìn)展數(shù)字加密或簽名總是設(shè)置，那么不能與不能對一切平安通道數(shù)據(jù)進(jìn)展簽名或加密的任何域控制器建立平安通道。為了防止身份驗證通訊遭到中間人、重播以及其他類型的網(wǎng)絡(luò)攻擊，基于 Windows 的計算時機(jī)經(jīng)過名為“Secure Channels平安通道的 NetLogon 來創(chuàng)建通訊通道。這些通道對計算機(jī)帳戶進(jìn)展身份驗證，當(dāng)遠(yuǎn)程用戶銜接到網(wǎng)絡(luò)資源，而且該用戶的帳戶存在于受信任域中時，這些通道還對用戶帳戶進(jìn)展身份驗證。這種身份驗證被稱作經(jīng)過式身份驗證，它允許參與到某個域的計算機(jī)訪問位于它所在的域以及任何受信任域中的用戶帳戶數(shù)據(jù)庫。留意：要在成員任

43、務(wù)站或效力器上啟用“域成員：對平安通道數(shù)據(jù)進(jìn)展數(shù)字加密或簽名總是設(shè)置，該成員所屬的域中的一切域控制器都必需可以對全部平安通道數(shù)據(jù)進(jìn)展簽名或加密。這項要求意味著一切這類域控制器必需運轉(zhuǎn) Windows NT 4.0 Service Pack 6a 或 Windows 操作系統(tǒng)的更高版本。假設(shè)啟用“域成員：對平安通道數(shù)據(jù)進(jìn)展數(shù)字加密或簽名總是設(shè)置，那么會自動啟用“域成員：對平安通道數(shù)據(jù)進(jìn)展數(shù)字簽名假設(shè)能夠設(shè)置。此戰(zhàn)略設(shè)置的能夠值為： 已啟用 已禁用 沒有定義破綻：當(dāng) Windows Server 2003、Windows XP、Windows 2000 或 Windows NT 計算機(jī)參與某個域時

44、，將創(chuàng)建一個計算機(jī)帳戶。參與該域之后，計算機(jī)在每次重新啟動時，都運用此帳戶的密碼，與它所在域的域控制器創(chuàng)建一個平安通道。在平安通道上發(fā)送的懇求將被驗證，敏感信息如密碼將被加密，但不會對通道進(jìn)展完好性檢查，也不會加密一切的信息。假設(shè)計算機(jī)被配置為總是對平安通道數(shù)據(jù)進(jìn)展加密或簽名，但域控制器無法對平安通道數(shù)據(jù)的任何部分進(jìn)展簽名或加密，那么計算機(jī)和域控制器無法建立平安通道。假設(shè)計算機(jī)被配置為在能夠的情況下對平安通道數(shù)據(jù)進(jìn)展加密或簽名，那么可以建立平安通道，但是會對加密和簽名的級別進(jìn)展協(xié)商。對策： 將“域成員：對平安通道數(shù)據(jù)進(jìn)展數(shù)字加密或簽名總是設(shè)置配置為“已啟用。 將“域成員：對平安通道數(shù)據(jù)進(jìn)展數(shù)字

45、加密假設(shè)能夠設(shè)置配置為“已啟用。 將“域成員：對平安通道數(shù)據(jù)進(jìn)展數(shù)字簽名假設(shè)能夠設(shè)置配置為“已啟用。潛在影響：對“平安通道進(jìn)展數(shù)字加密和簽名假設(shè)支持的話是一個好主意。在域憑據(jù)被發(fā)送到域控制器時，平安通道維護(hù)這些憑據(jù)。但是，只需 Windows NT 4.0 Service Pack 6a (SP6a) 和 Windows 操作系統(tǒng)的后續(xù)版本才支持對平安通道進(jìn)展數(shù)字加密和簽名。Windows 98 Second Edition 客戶端不支持它除非它們安裝了 Dsclient。因此，對于支持將 Windows 98 客戶端作為域成員的域控制器，不能啟用“域成員：對平安通道數(shù)據(jù)進(jìn)展數(shù)字加密或簽名總是

46、設(shè)置。潛在影響能夠包括以下情況： 創(chuàng)建或刪除下級信任關(guān)系的才干將被禁用。 從下級客戶端登錄將被禁用。 從下級受信任域中對其他域的用戶進(jìn)展身份驗證的才干將被禁用。在從域中去除一切的 Windows 9x 客戶端、將受信任/信任域中的一切 Windows NT 4.0 效力器和域控制器晉級到 Windows NT 4.0 SP6a 之后，可以啟用此戰(zhàn)略設(shè)置。對于域中的一切計算機(jī)，還可以啟用另外兩個戰(zhàn)略設(shè)置：“域成員：對平安通道數(shù)據(jù)進(jìn)展數(shù)字加密假設(shè)能夠和“域成員：對平安通道數(shù)據(jù)進(jìn)展數(shù)字簽名假設(shè)能夠，但前提是這些計算機(jī)支持這兩個設(shè)置而且不影響下級客戶端和運用程序。域成員：禁用更改機(jī)器帳戶密碼此戰(zhàn)略設(shè)置確定域成員能否可以定期更改其計算機(jī)帳戶密碼。假設(shè)啟用此戰(zhàn)略設(shè)置，域成員不能更改其計算機(jī)帳戶密碼。假設(shè)禁用此戰(zhàn)略設(shè)置，將允許域成員根據(jù)“域成員：最長機(jī)器帳戶密碼壽命設(shè)置更改其計算機(jī)帳戶密碼，在默許情況下是每 30 天更改一次。警告：請不要啟用此戰(zhàn)略設(shè)置。計算機(jī)帳戶密碼用于在成員和域控制器之間以及域中的域控制器之間建立平安通道通訊。在建立了這類通訊之后，平安通道會傳輸進(jìn)展