組策略設(shè)置系列之“安全選項(xiàng)”

1、組策略設(shè)設(shè)置系列列篇之“安全選選項(xiàng)”-1設(shè)置, 選項(xiàng)組策略的的“安全選選項(xiàng)”部分啟啟用或禁禁用數(shù)字字?jǐn)?shù)據(jù)簽簽名、Admminiistrratoor 和 Guuestt 帳戶(hù)名名、軟盤(pán)盤(pán)驅(qū)動(dòng)器器和 CDD-ROOM 驅(qū)動(dòng)器器的訪問(wèn)問(wèn)、驅(qū)動(dòng)動(dòng)程序安安裝操作作和登錄錄提示的的計(jì)算機(jī)機(jī)安全設(shè)設(shè)置。安全選項(xiàng)項(xiàng)設(shè)置您可以在在組策略略對(duì)象編編輯器的的下列位位置配置置安全選選項(xiàng)設(shè)置置：計(jì)算算機(jī)配置置Wiindoows 設(shè)置安全設(shè)設(shè)置本地策略略安全選選項(xiàng)帳戶(hù)：管管理員帳戶(hù)狀狀態(tài)此策略設(shè)設(shè)置啟用用或禁用用 Addminnisttrattor 帳戶(hù)的的正常操操作條件件。如果果以安全全模式啟啟動(dòng)計(jì)算算機(jī)，Admmin

2、iistrratoor 帳戶(hù)總總是處于于啟用狀狀態(tài)，而而與如何何配置此此策略設(shè)設(shè)置無(wú)關(guān)關(guān)。“帳戶(hù)：管理員員帳戶(hù)狀狀態(tài)”設(shè)置的的可能值值為： 已啟用 已禁用 沒(méi)有定義義漏洞：在在某些組組織中，維持定定期更改改本地帳帳戶(hù)的密密碼這項(xiàng)項(xiàng)常規(guī)計(jì)計(jì)劃可能能會(huì)是很很大的管管理挑戰(zhàn)戰(zhàn)。因此此，您可可能需要要禁用內(nèi)內(nèi)置的 Addminnisttrattor 帳戶(hù)，而不是是依賴(lài)常常規(guī)密碼碼更改來(lái)來(lái)保護(hù)其其免受攻攻擊。需需要禁用用此內(nèi)置帳戶(hù)戶(hù)的另一一個(gè)原因因就是，無(wú)論經(jīng)經(jīng)過(guò)多少少次登錄錄失敗它它都不會(huì)會(huì)被鎖定定，這使使得它成成為強(qiáng)力力攻擊（嘗試猜猜測(cè)密碼碼）的主主要目標(biāo)標(biāo)。另外外，此帳帳戶(hù)還有有一個(gè)眾眾所周知知的

3、安全全標(biāo)識(shí)符 (SSID)，而且且第三方方工具允允許使用用 SIID 而非帳帳戶(hù)名來(lái)來(lái)進(jìn)行身身份驗(yàn)證證。此功功能意味味著，即即使您重重命名 Addminnisttrattor 帳戶(hù)，攻擊者者也可能能使用該該 SIID 登錄來(lái)來(lái)發(fā)起強(qiáng)強(qiáng)力攻擊擊。對(duì)策：將將“帳戶(hù)：管理員員帳戶(hù)狀狀態(tài)”設(shè)置配配置為“已禁用”，以便便在正常常的系統(tǒng)統(tǒng)啟動(dòng)中中不能再再使用內(nèi)內(nèi)置的 Addminnisttrattor 帳戶(hù)。潛在影響響：如果果禁用 Addminnisttrattor 帳戶(hù)，在某些些情況下下可能會(huì)會(huì)造成維維護(hù)問(wèn)題題。例如如，在域域環(huán)境中中，如果果成員計(jì)計(jì)算機(jī)和和域控制制器間的的安全通通道因任任何原因因而失敗

4、敗，而且且沒(méi)有其其他本地地 Addminnisttrattor 帳戶(hù)，則您必必須以安安全模式式重新啟啟動(dòng)才能能修復(fù)這這個(gè)中斷斷安全通通道的問(wèn)問(wèn)題。如果當(dāng)前前的 Addminnisttrattor 密碼不不滿(mǎn)足密密碼要求求，則 Addminnisttrattor 帳戶(hù)被被禁用之之后，無(wú)無(wú)法重新新啟用。如果出出現(xiàn)這種種情況，Admminiistrratoors 組的另另一個(gè)成成員必須須使用“本地用用戶(hù)和組組”工具來(lái)來(lái)為該 Addminnisttrattor 帳戶(hù)設(shè)設(shè)置密碼碼。帳戶(hù)：來(lái)來(lái)賓帳戶(hù)戶(hù)狀態(tài)此策略設(shè)設(shè)置確定定是啟用用還是禁禁用來(lái)賓賓帳戶(hù)?！皫?hù)：來(lái)賓帳帳戶(hù)狀態(tài)態(tài)”設(shè)置的的可能值值為： 已啟用

5、 已禁用 沒(méi)有定義義漏洞：默默認(rèn) Guuestt 帳戶(hù)允允許未經(jīng)經(jīng)身份驗(yàn)驗(yàn)證的網(wǎng)網(wǎng)絡(luò)用戶(hù)戶(hù)以沒(méi)有有密碼的的 Guuestt 身份登登錄。這這些未經(jīng)經(jīng)授權(quán)的的用戶(hù)能能夠通過(guò)過(guò)網(wǎng)絡(luò)訪訪問(wèn) Guuestt 帳戶(hù)可可訪問(wèn)的的任何資資源。此此功能意意味著任任何具有有允許 Guuestt 帳戶(hù)、Gueestss 組或 Evveryyonee 組進(jìn)行行訪問(wèn)的的權(quán)限的的網(wǎng)絡(luò)共共享資源源，都可可以通過(guò)過(guò)網(wǎng)絡(luò)對(duì)對(duì)其進(jìn)行行訪問(wèn)，這可能能導(dǎo)致數(shù)數(shù)據(jù)暴露露或損壞壞。對(duì)策：將將“帳戶(hù)：來(lái)賓帳戶(hù)狀態(tài)”設(shè)置配配置為“已禁用”，以便便內(nèi)置的的 Guuestt 帳戶(hù)不不再可用用。潛在影響響：所有有的網(wǎng)絡(luò)絡(luò)用戶(hù)都都將必須須先進(jìn)行行

6、身份驗(yàn)驗(yàn)證，才才能訪問(wèn)問(wèn)共享資資源。如如果禁用用 Guuestt 帳戶(hù)，并且“網(wǎng)絡(luò)訪訪問(wèn)：共共享和安安全模式式”選項(xiàng)設(shè)設(shè)置為“僅來(lái)賓”，則那那些由 Miicroosofft 網(wǎng)絡(luò)服服務(wù)器（SMBB 服務(wù)）執(zhí)行的的網(wǎng)絡(luò)登登錄將失失敗。對(duì)對(duì)于大多多數(shù)組織織來(lái)說(shuō)，此策略略設(shè)置的的影響應(yīng)應(yīng)該會(huì)很很小，因因?yàn)樗鞘?Miicroosofft WWinddowss 20000、Winndowws XXP 和 Wiindoows Serrverr 20003 中的默默認(rèn)設(shè)置置。帳戶(hù)：使使用空白白密碼的的本地帳戶(hù)只只允許進(jìn)進(jìn)行控制制臺(tái)登錄錄此策略設(shè)設(shè)置確定定是否允允許使用用空白密密碼的本本地帳戶(hù)戶(hù)通過(guò)網(wǎng)網(wǎng)絡(luò)服

7、務(wù)務(wù)（如終終端服務(wù)務(wù)、Tellnett 和文件件傳輸協(xié)協(xié)議 (FFTP)）進(jìn)行行遠(yuǎn)程交交互式登登錄。如如果啟用用此策略略設(shè)置，則本地地帳戶(hù)必必須有一一個(gè)非空空密碼，才能從從遠(yuǎn)程客客戶(hù)端執(zhí)執(zhí)行交互互式或網(wǎng)網(wǎng)絡(luò)登錄錄?！皫?hù)：使用空空白密碼碼的本地地帳戶(hù)只只允許進(jìn)進(jìn)行控制制臺(tái)登錄錄”設(shè)置的的可能值值為： 已啟用 已禁用 沒(méi)有定義義注意：此此策略設(shè)設(shè)置不影影響在控控制臺(tái)上上以物理理方式執(zhí)執(zhí)行的交交互式登登錄，也也不影響響使用域域帳戶(hù)的的登錄。警告：使使用遠(yuǎn)程交互式式登錄的的第三方方應(yīng)用程程序有可可能跳過(guò)過(guò)此策略略設(shè)置。漏洞：空空白密碼碼會(huì)對(duì)計(jì)計(jì)算機(jī)安安全造成成嚴(yán)重威威脅，應(yīng)應(yīng)當(dāng)通過(guò)過(guò)組織的的策略和和

8、適當(dāng)?shù)牡募夹g(shù)措措施來(lái)禁禁止。實(shí)實(shí)際上，Winddowss Seerveer 220033 Acctivve DDireectoory 目錄服服務(wù)域的的默認(rèn)設(shè)設(shè)置需要要至少包包含七個(gè)個(gè)字符的的復(fù)雜密密碼。但但是，如如果能夠夠創(chuàng)建新新帳戶(hù)的的用戶(hù)跳跳過(guò)基于于域的密密碼策略略，則他他們可以以創(chuàng)建具具有空白白密碼的的帳戶(hù)。例如，某個(gè)用用戶(hù)可以以構(gòu)建一一個(gè)獨(dú)立立的計(jì)算算機(jī)，創(chuàng)創(chuàng)建一個(gè)個(gè)或多個(gè)個(gè)具有空空白密碼碼的帳戶(hù)戶(hù)，然后后將該計(jì)計(jì)算機(jī)加加入到域域中。具具有空白白密碼的的本地帳帳戶(hù)仍將將正常工工作。任任何人如如果知道道其中一個(gè)未受受保護(hù)的的帳戶(hù)的的名稱(chēng)，都可以以用它來(lái)來(lái)登錄。對(duì)策：?jiǎn)⒂谩皫?hù)：使用空空

9、白密碼碼的本地地帳戶(hù)只只允許進(jìn)進(jìn)行控制制臺(tái)登錄錄”設(shè)置。潛在影響響：無(wú)。這是默默認(rèn)配置置。帳戶(hù)：重重命名系系統(tǒng)管理理員帳戶(hù)戶(hù)此策略設(shè)設(shè)置確定定另一個(gè)個(gè)帳戶(hù)名名是否與與 Addminnisttrattor 帳戶(hù)的 SIID 相關(guān)聯(lián)聯(lián)?！皫?hù)：重命名名系統(tǒng)管管理員帳帳戶(hù)”設(shè)置的的可能值值為： 用戶(hù)定義義的文本本 沒(méi)有定義義漏洞：AAdmiinisstraatorr 帳戶(hù)存存在于運(yùn)運(yùn)行 Wiindoows 20000、Winndowws SServver 20003 或 Wiindoows XXP PProffesssionnal 操作系系統(tǒng)的所所有計(jì)算算機(jī)上。如果重重命名此此帳戶(hù)，會(huì)使未未經(jīng)授權(quán)權(quán)

10、的人員員更難猜猜測(cè)這個(gè)個(gè)具有特特權(quán)的用用戶(hù)名和和密碼組組合。無(wú)論攻擊擊者可能能使用多多少次錯(cuò)錯(cuò)誤密碼碼，內(nèi)置置的 Addminnisttrattor 帳戶(hù)都都不能被被鎖定。此功能能使得 Addminnisttrattor 帳戶(hù)成成為強(qiáng)力力攻擊（嘗試猜猜測(cè)密碼碼）的常常見(jiàn)目標(biāo)標(biāo)。這個(gè)個(gè)對(duì)策的的價(jià)值之之所以減減少，是是因?yàn)榇舜藥?hù)有有一個(gè)眾眾所周知知的 SIID，而且且第三方方工具允允許使用用 SIID 而非帳帳戶(hù)名來(lái)來(lái)進(jìn)行身身份驗(yàn)證證。因此此，即使使您重命命名 Addminnisttrattor 帳戶(hù)，攻擊者者也可能能會(huì)使用用該 SID 來(lái)登錄錄以發(fā)起起強(qiáng)力攻攻擊。對(duì)策：在在“帳戶(hù)：重命名名系統(tǒng)

11、管管理員帳帳戶(hù)”設(shè)置中中指定一一個(gè)新名名稱(chēng)，以以重命名名 Addminnisttrattor 帳戶(hù)。注意：在在后面的的章節(jié)中中，此策策略設(shè)置置既未在在安全模模板中進(jìn)進(jìn)行配置置，也不不是本指指南所建建議帳戶(hù)戶(hù)的新用用戶(hù)名。模板中中忽略了了這項(xiàng)策策略設(shè)置置，這樣樣做是為為了讓使使用本指指南的眾眾多組織織將不在在其環(huán)境境中實(shí)現(xiàn)現(xiàn)同樣的的新用戶(hù)戶(hù)名。潛在影響響：您必必須將這這個(gè)新帳帳戶(hù)名通通知給授授權(quán)使用用此帳戶(hù)戶(hù)的用戶(hù)戶(hù)。（有有關(guān)此設(shè)設(shè)置的指指導(dǎo)假定定 Addminnisttrattor 帳戶(hù)沒(méi)沒(méi)有被禁禁用，這這是本章章前面建建議的設(shè)設(shè)置。）帳戶(hù)：重重命名來(lái)來(lái)賓帳戶(hù)戶(hù)“帳戶(hù)：重命名來(lái)賓帳帳戶(hù)”設(shè)置確

12、確定另一一個(gè)帳戶(hù)戶(hù)名是否否與 Guuestt 帳戶(hù)的 SIID 相關(guān)聯(lián)聯(lián)。此組策略略設(shè)置的的可能值值為： 用戶(hù)定義義的文本本 沒(méi)有定義義漏洞：GGuesst 帳戶(hù)存存在于運(yùn)運(yùn)行 Wiindoows 20000、Winndowws SServver 20003 或 Wiindoows XP Proofesssioonall 操作系系統(tǒng)的所所有計(jì)算算機(jī)上。如果重重命名此此帳戶(hù)，會(huì)使未未經(jīng)授權(quán)權(quán)的人員員更難猜猜測(cè)這個(gè)個(gè)具有特特權(quán)的用用戶(hù)名和和密碼組組合。對(duì)策：在在“帳戶(hù)：重命名名來(lái)賓帳帳戶(hù)”設(shè)置中中指定一一個(gè)新名名稱(chēng)，以以重命名名 Guuestt 帳戶(hù)。注意：在在后面的的章節(jié)中中，此策策略設(shè)置置既未

13、在在安全模模板中進(jìn)進(jìn)行配置置，也不不是本指指南所建建議帳戶(hù)戶(hù)的新用用戶(hù)名。模板中中忽略了了這項(xiàng)策策略設(shè)置置，這樣樣做是為為了讓使使用本指指南的眾眾多組織織將不在在其環(huán)境境中實(shí)現(xiàn)現(xiàn)同樣的的新用戶(hù)戶(hù)名。潛在影響響：影響響應(yīng)該會(huì)會(huì)很小，因?yàn)樵谠谀J(rèn)情情況下，Winndowws 220000、Winndowws XXP 和 Wiindoows Serrverr 20003 中已禁禁用“Gueest”帳戶(hù)。審核：對(duì)對(duì)備份和和還原權(quán)權(quán)限的使使用進(jìn)行行審核如果啟用用此策略略設(shè)置，在計(jì)算算機(jī)創(chuàng)建建系統(tǒng)對(duì)對(duì)象（如如多用戶(hù)戶(hù)端執(zhí)行行程序、事件、信號(hào)燈燈和 MSS-DOOS 設(shè)備）時(shí)，將將應(yīng)用默認(rèn)的系系統(tǒng)訪問(wèn)問(wèn)控制

14、列列表 (SSACLL)。如果果如本指指南第 3 章中所所述，您您還啟用用了“審核對(duì)對(duì)象訪問(wèn)問(wèn)”審核設(shè)設(shè)置，則則會(huì)審核核對(duì)這些些系統(tǒng)對(duì)對(duì)象的訪訪問(wèn)。全局系統(tǒng)統(tǒng)對(duì)象（又被稱(chēng)稱(chēng)作“基本系系統(tǒng)對(duì)象象”或“基本命命名對(duì)象象”是存活活時(shí)間很很短的內(nèi)內(nèi)核對(duì)象象，它們們的名稱(chēng)稱(chēng)是由創(chuàng)創(chuàng)建它們們的應(yīng)用用程序或或系統(tǒng)組組件分配配的。這這些對(duì)象象經(jīng)常用用于同步步多個(gè)應(yīng)應(yīng)用程序序或一個(gè)個(gè)復(fù)雜應(yīng)應(yīng)用程序序的多個(gè)個(gè)部分。由于它它們具有有名稱(chēng)，因此這這些對(duì)象象在作用用域內(nèi)是是全局的的，從而而對(duì)于計(jì)計(jì)算機(jī)上上的所有有進(jìn)程均均可見(jiàn)。這些對(duì)對(duì)象都具具有一個(gè)個(gè)安全描描述符，但是它它們通常常有一個(gè)個(gè)空的系系統(tǒng)訪問(wèn)問(wèn)控制列列表。如如

15、果在啟啟動(dòng)時(shí)啟啟用此策策略設(shè)置置，內(nèi)核將在在這些對(duì)對(duì)象被創(chuàng)創(chuàng)建時(shí)向向它們分分配一個(gè)個(gè)系統(tǒng)訪訪問(wèn)控制制列表?！皩徍耍簩?duì)全局局系統(tǒng)對(duì)對(duì)象的訪訪問(wèn)進(jìn)行行審核”設(shè)置的的可能值值為： 已啟用 已禁用 沒(méi)有定義義漏洞：如如果沒(méi)有有正確地地保護(hù)某某個(gè)全局局可見(jiàn)的的命名對(duì)對(duì)象，則則知道該該對(duì)象名名稱(chēng)的惡惡意程序序可能會(huì)會(huì)針對(duì)該該對(duì)象進(jìn)進(jìn)行操作作。例如如，如果果某個(gè)同同步對(duì)象象（如多多用戶(hù)終終端執(zhí)行行程序）有一個(gè)個(gè)錯(cuò)誤選選擇的任任意訪問(wèn)問(wèn)控制列列表 (DDACLL)，則惡惡意程序序可以按按名稱(chēng)訪訪問(wèn)這個(gè)個(gè)多用戶(hù)戶(hù)終端執(zhí)執(zhí)行程序序，并且且導(dǎo)致創(chuàng)創(chuàng)建這個(gè)個(gè)多用戶(hù)戶(hù)終端執(zhí)執(zhí)行程序序的程序序無(wú)法正正常工作作。但是是，出

16、現(xiàn)現(xiàn)這種情情況的風(fēng)險(xiǎn)險(xiǎn)會(huì)非常常低。對(duì)策：?jiǎn)⒂谩皩徍耍簩?duì)全局局系統(tǒng)對(duì)對(duì)象的訪訪問(wèn)進(jìn)行行審核”設(shè)置。潛在影響響：如果果啟用“審核：對(duì)全局局系統(tǒng)對(duì)對(duì)象的訪訪問(wèn)進(jìn)行行審核”設(shè)置，可能會(huì)會(huì)生成大大量安全全事件，尤其是是在繁忙忙的域控控制器和和應(yīng)用程程序服務(wù)務(wù)器上。這類(lèi)情情況可能能導(dǎo)致服服務(wù)器響響應(yīng)緩慢慢，并迫迫使安全全事件日日志記錄錄許多無(wú)無(wú)關(guān)緊要要的事件件。此策策略設(shè)置置只能被被啟用或或禁用，并且沒(méi)沒(méi)有篩選選記錄哪哪些事件件和不記記錄哪些些事件的的辦法。即使組組織有能能夠分析析由此策策略設(shè)置置所生成成事件的的資源，它們也也不可能能具有每每個(gè)命名名對(duì)象的的源代碼碼或關(guān)于于其用途途的說(shuō)明明。因此此，對(duì)于

17、于許多組組織來(lái)說(shuō)說(shuō)，將此此策略設(shè)設(shè)置配置置為“已啟用”，不大大可能獲獲得什么么好處。審核：對(duì)對(duì)備份和和還原權(quán)權(quán)限的使使用進(jìn)行行審核此策略設(shè)設(shè)置確定定在“審核權(quán)權(quán)限使用用”設(shè)置生生效時(shí)，是否對(duì)對(duì)所有用用戶(hù)權(quán)限限（包括括“備份和和還原”權(quán)限）的使用用進(jìn)行審審核。如如果啟用用這兩個(gè)個(gè)策略設(shè)設(shè)置，會(huì)會(huì)為備份份或還原原的每個(gè)個(gè)文件生生成一個(gè)個(gè)審核事事件。如果啟用用此策略略設(shè)置并并結(jié)合使使用“審核權(quán)權(quán)限使用用”設(shè)置，用戶(hù)權(quán)權(quán)限的任任何行使使?fàn)顩r都都會(huì)記錄錄在安全全日志中中。如果果禁用此此策略設(shè)設(shè)置，則則即使啟啟用“審核權(quán)權(quán)限使用用”，也不不會(huì)對(duì)用用戶(hù)行使使備份或或還原權(quán)權(quán)限的操操作進(jìn)行行審核?！皩徍耍簩?duì)備

18、份份和還原原權(quán)限的的使用進(jìn)進(jìn)行審核核”設(shè)置的的可能值值為： 已啟用 已禁用 沒(méi)有定義義漏洞：如如果在啟啟用“審核權(quán)權(quán)限使用用”設(shè)置的的同時(shí)啟啟用此選選項(xiàng)，則則備份或或還原每每個(gè)文件件都會(huì)生生成一個(gè)個(gè)審核事事件。此此信息會(huì)會(huì)幫助您您識(shí)別被被用于以以未經(jīng)授授權(quán)的方方式意外外或惡意意還原數(shù)數(shù)據(jù)的帳帳戶(hù)。對(duì)策：?jiǎn)⒂谩皩?duì)備份份和還原原權(quán)限的的使用進(jìn)進(jìn)行審核核”設(shè)置?；蛘?，也可以以通過(guò)配配置 AuutoBBackkupLLogFFilees 注冊(cè)表表項(xiàng)來(lái)實(shí)實(shí)施自動(dòng)動(dòng)記錄備備份，潛在影響響：如果果啟用此此策略設(shè)設(shè)置，可可能會(huì)生生成大量量安全事事件，這這可能導(dǎo)導(dǎo)致服務(wù)務(wù)器響應(yīng)應(yīng)緩慢，并迫使使安全事事件日志志

19、記錄許許多無(wú)關(guān)關(guān)緊要的的事件。如果增增加安全全日志大小以減減少系統(tǒng)統(tǒng)關(guān)閉的的機(jī)率，過(guò)大的的日志文文件可能能影響系系統(tǒng)性能能。審核：如如果無(wú)法法記錄安安全審核核則立即即關(guān)閉系系統(tǒng)此策略設(shè)設(shè)置確定定在無(wú)法法記錄安安全事件件時(shí)是否否關(guān)閉計(jì)計(jì)算機(jī)?？尚庞?jì)計(jì)算機(jī)系系統(tǒng)評(píng)測(cè)測(cè)標(biāo)準(zhǔn) (TTCSEEC)（C2 和通用用標(biāo)準(zhǔn)認(rèn)認(rèn)證）需需要在審審核系統(tǒng)統(tǒng)無(wú)法記記錄可審審核事件件時(shí)，計(jì)計(jì)算機(jī)能能夠防止止出現(xiàn)這這些事件件。Miccrossoftt 所選擇擇的以滿(mǎn)滿(mǎn)足此要要求的方方法是：在無(wú)法法審核系系統(tǒng)時(shí)，暫停計(jì)計(jì)算機(jī)并并顯示一一則停止止消息。如果啟啟用此策策略設(shè)置置，計(jì)算算機(jī)會(huì)在在出于任任何原因因不能記記錄安全全審

20、核時(shí)時(shí)停止。通常，當(dāng)安全全事件日日志已滿(mǎn)滿(mǎn)，而且且為它指指定的保保留方法法為“不覆蓋蓋事件”或“按天數(shù)覆蓋蓋事件”時(shí)，將將無(wú)法記記錄事件件。啟用此策策略設(shè)置置時(shí)，如如果安全全日志已已滿(mǎn)且不不能覆蓋蓋現(xiàn)有條條目，則則會(huì)顯示示下列停停止消息息：STOPP:C0000002444 審核失敗嘗試生成成安全審審核失敗敗。要進(jìn)行恢恢復(fù)，管管理員必必須登錄錄，對(duì)日日志進(jìn)行行存檔（可選），清除除日志，然后禁禁用此選選項(xiàng)以允允許計(jì)算算機(jī)重新新啟動(dòng)。此時(shí)，可能需需要先手手動(dòng)清除除安全事事件日志志，然后后才能將將此策略略設(shè)置配配置為“已啟用”?！皩徍耍喝绻麩o(wú)無(wú)法記錄錄安全審審核則立立即關(guān)閉閉系統(tǒng)”設(shè)置的的可能值值為

21、： 已啟用 已禁用 沒(méi)有定義義漏洞：如如果計(jì)算算機(jī)無(wú)法法將事件件記錄到到安全日日志中，則在出出現(xiàn)安全全事件之之后，可可能無(wú)法法使用關(guān)關(guān)鍵的證證據(jù)或重重要的疑疑難解答答信息來(lái)來(lái)進(jìn)行審審查。此此外，還還有攻擊擊者會(huì)生生成大量量安全事事件日志志消息以以故意強(qiáng)強(qiáng)制計(jì)算算機(jī)關(guān)閉閉的潛在在可能。對(duì)策：?jiǎn)⒂谩叭绻麩o(wú)無(wú)法記錄錄安全審審核則立立即關(guān)閉閉系統(tǒng)”設(shè)置。潛在影響響：如果果啟用此此策略設(shè)設(shè)置，管管理負(fù)擔(dān)擔(dān)可能會(huì)會(huì)非常大大，尤其其是當(dāng)您您還將安安全日志志的“保留”方法配配置為“不覆蓋蓋事件（手動(dòng)清清除日志志）”時(shí)更是是如此。此配置置會(huì)導(dǎo)致致抵賴(lài)威威脅（備備份操作作員可能能否認(rèn)他他們備份份或還原原了數(shù)據(jù)據(jù)

22、）成為為拒絕服服務(wù) (DDoS) 漏洞，因?yàn)榉?wù)器會(huì)會(huì)因?qū)懭肴氲桨踩罩局械牡拇罅康堑卿浭录推渌踩率录槐黄汝P(guān)閉閉。另外外，由于于是非正正常關(guān)閉閉，因此此可能會(huì)會(huì)對(duì)操作作系統(tǒng)、應(yīng)用程程序或數(shù)數(shù)據(jù)造成成不可修修復(fù)的損損害。盡盡管 NTTFS 文件系系統(tǒng) (NNTFSS) 將保證證在系統(tǒng)統(tǒng)非正常常關(guān)閉過(guò)過(guò)程中保保持文件件系統(tǒng)的的完整性性，但是是它不能能保證在在計(jì)算機(jī)機(jī)重新啟啟動(dòng)時(shí)，每個(gè)應(yīng)應(yīng)用程序序的每個(gè)個(gè)數(shù)據(jù)文文件都仍仍然處于可可用狀態(tài)態(tài)。DCOMM：在安安全描述述符定義義語(yǔ)言 (SSDDLL) 語(yǔ)法中中的計(jì)算算機(jī)訪問(wèn)問(wèn)限制此策略設(shè)設(shè)置允許許管理員員在計(jì)算算機(jī)上定定義用于于管理對(duì)對(duì)

23、基于所所有分布布式組件件對(duì)象模模型 (DDCOMM) 的應(yīng)用用程序訪訪問(wèn)的其其他計(jì)算算機(jī)范圍圍訪問(wèn)控控件。這這些控件件限制計(jì)計(jì)算機(jī)上的調(diào)調(diào)用、激激活或啟啟動(dòng)請(qǐng)求求?？紤]慮這些訪訪問(wèn)控件件最簡(jiǎn)單單的方法法就是對(duì)對(duì)計(jì)算機(jī)機(jī)上任何何 COOM 服務(wù)器器的每個(gè)個(gè)調(diào)用、激活或或啟動(dòng)，根據(jù)計(jì)計(jì)算機(jī)范范圍的訪訪問(wèn)控制制列表 (AACL) 作為附附加訪問(wèn)問(wèn)檢查調(diào)調(diào)用執(zhí)行行。如果果訪問(wèn)檢檢查失敗敗，調(diào)用用、激活活或啟動(dòng)動(dòng)請(qǐng)求將將被拒絕絕。（此此檢查是是根據(jù)服服務(wù)器特特定的 ACCL 運(yùn)行的的任何訪訪問(wèn)檢查查以外的的附加檢檢查。）實(shí)際上上，它提提供了在在計(jì)算機(jī)機(jī)上訪問(wèn)問(wèn)任何 COOM 服務(wù)器器時(shí)必須須通過(guò)的的最低

24、授授權(quán)標(biāo)準(zhǔn)準(zhǔn)?！癉COOM：在安安全描述述符定義義語(yǔ)言 (SSDDLL) 語(yǔ)法中中的計(jì)算算機(jī)訪問(wèn)問(wèn)限制”設(shè)置控控制訪問(wèn)問(wèn)權(quán)限以以保護(hù)調(diào)調(diào)用權(quán)限限。這些計(jì)算算機(jī)范圍圍的 ACCL 提供了一一種可覆覆蓋由特特定應(yīng)用用程序通通過(guò) CCoInnitiialiizeSSecuuritty 或應(yīng)用用程序特特定的安安全設(shè)置置指定的的弱安全全性設(shè)置置的方式式。它們們提供必必須通過(guò)過(guò)的最低低安全標(biāo)標(biāo)準(zhǔn)，而而不管特特定服務(wù)務(wù)器的設(shè)設(shè)置如何何。這些 AACL 為管理理員提供供了一個(gè)個(gè)用于設(shè)設(shè)置應(yīng)用用于計(jì)算算機(jī)上的的所有 COOM 服務(wù)器器的一般般授權(quán)策策略的集集中位置置?！癉COOM：在安安全描述述符定義義語(yǔ)言 (

25、SSDDLL) 語(yǔ)法中中的計(jì)算算機(jī)訪問(wèn)問(wèn)限制”設(shè)置允允許您以以?xún)煞N不不同方式式指定一一個(gè) ACCL。您可可以以 SDDDL 鍵入安安全描述述符，或或者選擇擇用戶(hù)和和組并授授予或拒拒絕其本本地訪問(wèn)問(wèn)和遠(yuǎn)程程訪問(wèn)權(quán)權(quán)限。Miccrosofft 建議您您使用內(nèi)內(nèi)置的用用戶(hù)界面面以指定定您想要要使用此此設(shè)置應(yīng)應(yīng)用的 ACCL 內(nèi)容。漏洞：許許多 COOM 應(yīng)用程程序包括括一些安安全特定定代碼（例如，用于調(diào)調(diào)用 CoIInittiallizeeSeccuriity），但但卻使用用弱設(shè)置置，通常常允許未未經(jīng)驗(yàn)證證就可訪訪問(wèn)進(jìn)程程。在 Wiindoows 的較早早版本中中，若不不修改應(yīng)應(yīng)用程序序，管理理員不

26、能能覆蓋這這些設(shè)置置以強(qiáng)制制強(qiáng)安全全性。攻攻擊者可可能會(huì)通通過(guò) COOM 調(diào)用來(lái)來(lái)進(jìn)行攻攻擊以嘗嘗試?yán)糜脝蝹€(gè)應(yīng)應(yīng)用程序序中的弱弱安全性性。此外，CCOM 結(jié)構(gòu)還還包括 RPPCSSS，一種種在計(jì)算算機(jī)啟動(dòng)動(dòng)過(guò)程中中運(yùn)行并并在啟動(dòng)動(dòng)后始終終運(yùn)行的的系統(tǒng)服服務(wù)。此此服務(wù)管管理 COM 對(duì)象的的激活和和運(yùn)行的的對(duì)象表表，并為 DCCOM 遠(yuǎn)程處處理提供供幫助服服務(wù)。它它公開(kāi)可可遠(yuǎn)程調(diào)調(diào)用的 RPPC 接口。由于某某些 COOM 服務(wù)器器允許未未經(jīng)驗(yàn)證證的遠(yuǎn)程程訪問(wèn)（如前面面部分所所述），因此任任何人都都可調(diào)用用這些接接口，包包括未經(jīng)經(jīng)驗(yàn)證的的用戶(hù)。因此，使用遠(yuǎn)遠(yuǎn)程、未未經(jīng)驗(yàn)證證的計(jì)算算機(jī)的惡惡意用

27、戶(hù)戶(hù)能夠攻攻擊 RPPCSSS。對(duì)策：為為保護(hù)單單個(gè)基于于 COOM 的應(yīng)用用程序或或服務(wù)，請(qǐng)將“DCOOM：在安安全描述述符定義義語(yǔ)言 (SSDDLL) 語(yǔ)法中中的計(jì)算算機(jī)訪問(wèn)問(wèn)限制”設(shè)置設(shè)設(shè)置為相相應(yīng)計(jì)算算機(jī)范圍圍的 ACCL。潛在影響響：Winndowws XXP SSP2 和 Wiindoows Serveer 220033 SPP1 按照其各各自的文文檔中所所指定的的內(nèi)容實(shí)實(shí)施默認(rèn)認(rèn)的 COOM AACL。如果果實(shí)施 COOM 服務(wù)器器并覆蓋蓋默認(rèn)安安全設(shè)置置，請(qǐng)確確認(rèn)應(yīng)用用程序特特定調(diào)用用權(quán)限 ACCL 為相應(yīng)應(yīng)用戶(hù)分分配了正正確權(quán)限限。如果果不是，您將必必須更改改應(yīng)用程程序特定定

28、權(quán)限 ACCL 來(lái)為相相應(yīng)用戶(hù)戶(hù)提供激激活權(quán)限限，以便便使用 DCCOM 的應(yīng)用用程序和和 Wiindoows 組件不不會(huì)失敗敗。DCOMM：在安安全描述述符定義義語(yǔ)言 (SSDDLL) 語(yǔ)法中中的計(jì)算算機(jī)啟動(dòng)動(dòng)限制此策略設(shè)設(shè)置與“DCOOM：在安安全描述述符定義義語(yǔ)言 (SSDDLL) 語(yǔ)法中中的計(jì)算算機(jī)訪問(wèn)問(wèn)限制”設(shè)置相相類(lèi)似，因?yàn)樗试S管管理員定義可可管理對(duì)對(duì)計(jì)算機(jī)機(jī)上所有有基于 DCOOM 應(yīng)用程程序的訪訪問(wèn)的附附加計(jì)算算機(jī)范圍圍訪問(wèn)控控制。但但是，此此策略設(shè)設(shè)置中指指定的 ACCL 控制計(jì)計(jì)算機(jī)上上的本地地和遠(yuǎn)程程 COOM 啟動(dòng)請(qǐng)請(qǐng)求（不不是訪問(wèn)問(wèn)請(qǐng)求）?？紤]慮此訪問(wèn)問(wèn)控制最最簡(jiǎn)

29、單的的方法是是對(duì)計(jì)算算機(jī)上任任何 COOM 服務(wù)器器的每個(gè)個(gè)啟動(dòng)，根據(jù)計(jì)計(jì)算機(jī)范范圍的 ACCL 作為附附加訪問(wèn)問(wèn)檢查調(diào)調(diào)用執(zhí)行行。如果果訪問(wèn)檢檢查失敗敗，調(diào)用用、激活活或啟動(dòng)動(dòng)請(qǐng)求將將被拒絕絕。（此此檢查是是針對(duì)服服務(wù)器特特定的 ACCL 運(yùn)行的的任何訪訪問(wèn)檢查查以外的的附加檢檢查。）實(shí)際上上，它提提供了在在計(jì)算機(jī)機(jī)上啟動(dòng)動(dòng)任何 COOM 服務(wù)器器時(shí)必須須通過(guò)的的最低授授權(quán)標(biāo)準(zhǔn)準(zhǔn)。早期期策略有有所不同同，因?yàn)樗崽峁┳畹偷偷脑L問(wèn)問(wèn)檢查，應(yīng)用該該檢查以以試圖訪訪問(wèn)已啟啟動(dòng)的 COOM 服務(wù)器器。這些計(jì)算算機(jī)范圍圍的 ACCL 提供了了一種可可覆蓋由由特定應(yīng)應(yīng)用程序序通過(guò) CooIniitiaa

30、lizzeSeecurrityy 或應(yīng)用用程序特特定的安安全設(shè)置置指定的的弱安全全性設(shè)置置的方式式。它們們提供必必須通過(guò)過(guò)的最低低安全標(biāo)標(biāo)準(zhǔn)，而而不管特特定 COOM 服務(wù)器器的設(shè)置置如何。這些 ACCL 為管理理員提供供了一個(gè)個(gè)用于設(shè)設(shè)置應(yīng)用用于計(jì)算算機(jī)上的的所有 COOM 服務(wù)器器的一般般授權(quán)策策略的集集中位置置。“DCOOM：在安安全描述述符定義義語(yǔ)言 (SSDDLL) 語(yǔ)法中中的計(jì)算算機(jī)啟動(dòng)動(dòng)限制”設(shè)置允允許您以以?xún)煞N不不同方式式指定一一個(gè) ACL。您可可以以 SDDDL 鍵入安安全描述述符，或或者選擇擇用戶(hù)和和組并授授予或拒拒絕其本本地訪問(wèn)問(wèn)和遠(yuǎn)程程訪問(wèn)權(quán)權(quán)限。Miccrossoft

31、t 建議您您使用內(nèi)內(nèi)置的用用戶(hù)界面面以指定定您想要要使用此此設(shè)置應(yīng)應(yīng)用的 ACCL 內(nèi)容。漏洞：許許多 COOM 應(yīng)用程程序包括括一些安安全特定定代碼（例如，用于調(diào)調(diào)用 CooIniitiaalizzeSeecurrityy），但但卻使用用弱設(shè)置置，通常常允許未未經(jīng)驗(yàn)證證就可訪訪問(wèn)進(jìn)程程。在 Wiindoows 的較早早版本中中，若不不修改應(yīng)應(yīng)用程序序，管理理員不能能覆蓋這這些設(shè)置置以強(qiáng)制制強(qiáng)安全全性。攻攻擊者可可能會(huì)通通過(guò) COOM 調(diào)用來(lái)來(lái)進(jìn)行攻攻擊以嘗嘗試?yán)糜脝蝹€(gè)應(yīng)應(yīng)用程序序中的弱弱安全性性。此外，CCOM 結(jié)構(gòu)還還包括 RPPCSS，一種種在計(jì)算算機(jī)啟動(dòng)動(dòng)過(guò)程中中運(yùn)行并并在啟動(dòng)動(dòng)后始

32、終終運(yùn)行的的系統(tǒng)服服務(wù)。此此服務(wù)管管理 COOM 對(duì)象的的激活和和運(yùn)行的的對(duì)象表表，并為為 DCOOM 遠(yuǎn)程處處理提供供幫助服服務(wù)。它它公開(kāi)可可遠(yuǎn)程調(diào)調(diào)用的 RPPC 接口。由于某某些 COOM 服務(wù)器器允許未未經(jīng)驗(yàn)證證的遠(yuǎn)程程組件激激活（如如前面部部分所述述），因因此任何何人都可可調(diào)用這這些接口口，包括括未經(jīng)驗(yàn)驗(yàn)證的用用戶(hù)。因因此，使使用遠(yuǎn)程程、未經(jīng)經(jīng)驗(yàn)證的的計(jì)算機(jī)機(jī)的惡意意用戶(hù)能能夠攻擊擊 RPPCSSS。對(duì)策：為為保護(hù)單單個(gè)基于于 COOM 的應(yīng)用用程序或或服務(wù)，請(qǐng)將“DCOOM：在安安全描述述符定義義語(yǔ)言 (SSDDLL) 語(yǔ)法中中的計(jì)算算機(jī)啟動(dòng)限制”設(shè)置設(shè)設(shè)置為相相應(yīng)計(jì)算算機(jī)范圍圍的

33、 ACCL。潛在影響響Winddowss XPP SPP2 和 Wiindoows Serrverr 20003 SP11 按照各各自的文文檔中所所指定的的內(nèi)容實(shí)實(shí)施默認(rèn)認(rèn)的 COOM AACL。如果果實(shí)施 COOM 服務(wù)器器并覆蓋蓋默認(rèn)安安全設(shè)置置，請(qǐng)確確認(rèn)應(yīng)用用程序特特定啟動(dòng)動(dòng)權(quán)限 ACCL 為相應(yīng)應(yīng)用戶(hù)分分配了激激活權(quán)限限。如果果不是，您將必必須更改改應(yīng)用程程序特定定啟動(dòng)權(quán)權(quán)限 ACCL 來(lái)為相相應(yīng)用戶(hù)戶(hù)提供激激活權(quán)限限，以便便使用 DCCOM 的應(yīng)用用程序和和 Wiindoows 組件不不會(huì)失敗敗。設(shè)備：允允許不登登錄移除除此策略設(shè)設(shè)置確定定用戶(hù)是是否必須須登錄才才能請(qǐng)求求權(quán)限以以從擴(kuò)

34、展塢移移除便攜攜式計(jì)算算機(jī)。如如果啟用用此策略略設(shè)置，用戶(hù)將將能夠通通過(guò)按已已插接的的便攜式式計(jì)算機(jī)機(jī)上的物物理彈出出按鈕來(lái)來(lái)安全移移除計(jì)算算機(jī)。如如果禁用用此策略略設(shè)置，用戶(hù)必必須登錄錄才能收收到移除除計(jì)算機(jī)機(jī)的權(quán)限限。只有有具有“從擴(kuò)展展塢中取取出計(jì)算算機(jī)”特權(quán)的的用戶(hù)才才能獲得得此權(quán)限限。注意：只只有針對(duì)對(duì)不能以以機(jī)械方方式移除除的便攜攜式計(jì)算算機(jī)，才才應(yīng)禁用用此策略略設(shè)置。可以以以機(jī)械方方式移除除的計(jì)算算機(jī)能夠夠被用戶(hù)戶(hù)物理取取出，不不管他們們是否使使用 Wiindoows 移除功功能?！霸O(shè)備：允許不不登錄移移除”設(shè)置的的可能值值為： 已啟用 已禁用 沒(méi)有定義義漏洞：如如果啟用用此策略

35、略設(shè)置，則任何何人只要要能夠物物理訪問(wèn)問(wèn)放置在在其擴(kuò)展展塢中的的便攜式式計(jì)算機(jī)機(jī)，就都都可以取取出計(jì)算算機(jī)并有有可能損損害它們們。對(duì)于于沒(méi)有擴(kuò)擴(kuò)展塢的的計(jì)算機(jī)機(jī)，此策策略設(shè)置置沒(méi)有任任何影響響。對(duì)策：禁禁用“設(shè)備：允許不不登錄移移除”設(shè)置。潛在影響響：已經(jīng)經(jīng)固定其其計(jì)算機(jī)機(jī)的用戶(hù)戶(hù)將必須須先登錄錄到本地地控制臺(tái)臺(tái)，才能能移除其其計(jì)算機(jī)機(jī)。設(shè)備：允允許格式式化和彈彈出可移移動(dòng)媒體體此策略設(shè)設(shè)置確定定允許誰(shuí)誰(shuí)格式化化和彈出出可移動(dòng)動(dòng)媒體?！霸O(shè)備：允許格格式化和和彈出可可移動(dòng)媒媒體”設(shè)置的的可能值值為： Admiinisstraatorrs Admiinisstraatorrs 和 Poowerr

36、Usserss Admiinisstraatorrs 和 Innterracttivee Usserss 沒(méi)有定義義漏洞：用用戶(hù)可以以將可移移動(dòng)磁盤(pán)盤(pán)上的數(shù)數(shù)據(jù)移到到他們具具有管理理特權(quán)的的另一臺(tái)臺(tái)計(jì)算機(jī)機(jī)上。然然后，該該用戶(hù)可可以獲取取任何文文件的所所有權(quán)，授予自自己完全全控制權(quán)權(quán)限，查查看或修修改任何何文件。由于大大多數(shù)可可移動(dòng)存存儲(chǔ)設(shè)備備都可以以通過(guò)按按一個(gè)機(jī)機(jī)械按鈕鈕來(lái)彈出出媒體這這一事實(shí)實(shí)，此策策略設(shè)置置的優(yōu)勢(shì)勢(shì)會(huì)有所所減弱。對(duì)策：將將“允許格格式化和和彈出可可移動(dòng)媒媒體”設(shè)置配配置為 Addminnisttrattorss。潛在影響響：只有有管理員員才能夠夠彈出 NTFFS 格式化

37、化的可移移動(dòng)媒體體。設(shè)備：防防止用戶(hù)戶(hù)安裝打打印機(jī)驅(qū)驅(qū)動(dòng)程序序?qū)τ谝虼蛴〉侥衬硞€(gè)網(wǎng)絡(luò)絡(luò)打印機(jī)機(jī)的計(jì)算算機(jī)，必必須在本本地計(jì)算算機(jī)上安安裝該網(wǎng)網(wǎng)絡(luò)打印印機(jī)的驅(qū)驅(qū)動(dòng)程序序?！霸O(shè)備：防止用用戶(hù)安裝裝打印機(jī)機(jī)驅(qū)動(dòng)程程序”設(shè)置確確定誰(shuí)可可以安裝裝打印機(jī)機(jī)驅(qū)動(dòng)程程序（作作為添加加網(wǎng)絡(luò)打打印機(jī)的的一部分分）。如如果啟用用此策略略設(shè)置，只有 Addminnisttrattorss 和 Poowerr Usserss 組的成成員允許許在添加加網(wǎng)絡(luò)打打印機(jī)時(shí)時(shí)安裝打打印機(jī)驅(qū)驅(qū)動(dòng)程序序。如果果禁用此此策略設(shè)設(shè)置，任任何用戶(hù)戶(hù)在添加加網(wǎng)絡(luò)打打印機(jī)時(shí)時(shí)都可以以安裝打打印機(jī)驅(qū)驅(qū)動(dòng)程序序。此策策略設(shè)置置可防止止典型用用戶(hù)

38、下載和安安裝不受受信任的的打印機(jī)機(jī)驅(qū)動(dòng)程程序。注意：如如果管理理員已經(jīng)經(jīng)配置了了下載驅(qū)驅(qū)動(dòng)程序序的受信信任路徑徑，則此此策略設(shè)設(shè)置沒(méi)有有任何影影響。如如果使用用受信任任路徑，打印子子系統(tǒng)會(huì)會(huì)嘗試使使用受信信任路徑徑下載驅(qū)驅(qū)動(dòng)程序序。如果果受信任任路徑下下載成功功，則可可以代表表任何用用戶(hù)安裝裝驅(qū)動(dòng)程程序。如如果受信信任路徑徑下載失失敗，則則驅(qū)動(dòng)程程序不會(huì)會(huì)進(jìn)行安安裝，網(wǎng)網(wǎng)絡(luò)打印印機(jī)不進(jìn)進(jìn)行添加加。“設(shè)備：防止用用戶(hù)安裝裝打印機(jī)機(jī)驅(qū)動(dòng)程程序”設(shè)置的的可能值值為： 已啟用 已禁用 沒(méi)有定義義漏洞：在在某些組組織中允允許用戶(hù)戶(hù)在其自自己的工工作站上上安裝打打印機(jī)驅(qū)驅(qū)動(dòng)程序序可能是適適當(dāng)?shù)?。但是，?yīng)不

39、允允許用戶(hù)戶(hù)在服務(wù)務(wù)器上進(jìn)進(jìn)行這類(lèi)類(lèi)安裝。在服務(wù)務(wù)器上安安裝打印印機(jī)驅(qū)動(dòng)動(dòng)程序可可能會(huì)在在無(wú)意中中使計(jì)算算機(jī)變得得不太穩(wěn)穩(wěn)定。只只有管理理員在服服務(wù)器上上具有此此特權(quán)。惡意用用戶(hù)可能能會(huì)安裝裝不適當(dāng)當(dāng)?shù)拇蛴∮C(jī)驅(qū)動(dòng)動(dòng)程序來(lái)來(lái)故意試試圖損害害計(jì)算機(jī)機(jī)，或者者用戶(hù)也也可能會(huì)會(huì)意外安安裝一些些偽裝成成打印機(jī)機(jī)驅(qū)動(dòng)程程序的惡惡意代碼碼。對(duì)策：將將“設(shè)備：防止用用戶(hù)安裝裝打印機(jī)機(jī)驅(qū)動(dòng)程程序”設(shè)置配配置為“已啟用”。潛在影響響：只有有具有 Addminnisttrattivee、Powwer Useer 或 Seerveer OOperratoor 特權(quán)的的用戶(hù)才才能夠在在服務(wù)器器上安裝裝打印機(jī)機(jī)。如果果

40、啟用了了此策略略設(shè)置，但是網(wǎng)絡(luò)絡(luò)打印機(jī)機(jī)的驅(qū)動(dòng)動(dòng)程序已已經(jīng)存在在于本地地計(jì)算機(jī)機(jī)上，則則用戶(hù)仍仍可以添添加網(wǎng)絡(luò)絡(luò)打印機(jī)機(jī)。設(shè)備：只只有本地地登錄的的用戶(hù)才才能訪問(wèn)問(wèn) CDD-ROOM此策略設(shè)設(shè)置確定定 CDD-ROOM 是否可可供本地地和遠(yuǎn)程程用戶(hù)同同時(shí)訪問(wèn)問(wèn)。如果果啟用此此策略設(shè)設(shè)置，將將僅允許許交互式式登錄的的用戶(hù)訪訪問(wèn)可移移動(dòng)的 CDD-ROOM 媒體。如果啟啟用了此此策略設(shè)設(shè)置，且且沒(méi)有人人交互登登錄，則則可以通通過(guò)網(wǎng)絡(luò)絡(luò)訪問(wèn) CDD-ROOM?！霸O(shè)備：只有本本地登錄錄的用戶(hù)戶(hù)才能訪訪問(wèn) CDD-ROOM”設(shè)置的的可能值值為： 已啟用 已禁用 沒(méi)有定義義漏洞：遠(yuǎn)遠(yuǎn)程用戶(hù)戶(hù)可能會(huì)會(huì)訪問(wèn)包

41、包含敏感感信息、已裝入入的 CCD-RROM。這種種風(fēng)險(xiǎn)的的可能性性很小，因?yàn)?CDD-ROOM 驅(qū)動(dòng)器器不會(huì)自自動(dòng)成為為網(wǎng)絡(luò)共共享資源源，管理理員必須須專(zhuān)門(mén)選選擇共享享此驅(qū)動(dòng)動(dòng)器。但但是，管管理員可可能希望望拒絕網(wǎng)網(wǎng)絡(luò)用戶(hù)戶(hù)查看數(shù)數(shù)據(jù)或從從服務(wù)器器上的可可移動(dòng)媒媒體運(yùn)行行應(yīng)用程程序的能能力。對(duì)策：?jiǎn)⒂谩爸挥斜颈镜氐卿涗浀挠脩?hù)戶(hù)才能訪訪問(wèn) CDD-ROOM”設(shè)置。潛在影響響：當(dāng)有有人登錄錄到服務(wù)務(wù)器的本本地控制制臺(tái)時(shí)，通過(guò)網(wǎng)網(wǎng)絡(luò)連接接到服務(wù)務(wù)器的用用戶(hù)將無(wú)無(wú)法使用用安裝在在服務(wù)器器上的任任何 CDD-ROOM 驅(qū)動(dòng)器器。需要要訪問(wèn) CDD-ROOM 驅(qū)動(dòng)器器的系統(tǒng)統(tǒng)工具將將失敗。例如，卷影復(fù)

42、復(fù)制服務(wù)務(wù)試圖在在計(jì)算機(jī)機(jī)初始化化時(shí)訪問(wèn)計(jì)計(jì)算機(jī)上上的所有有 CDD-ROOM 和軟盤(pán)盤(pán)驅(qū)動(dòng)器器，并且且如果服服務(wù)無(wú)法法訪問(wèn)其其中一個(gè)個(gè)驅(qū)動(dòng)器器，它將將失敗。如果已已為備份份作業(yè)指指定卷影影副本，這種情情況將導(dǎo)導(dǎo)致 Wiindoows 備份工工具失敗敗。任何何使用卷卷影副本本的第三三方備份份產(chǎn)品也也將失敗敗。對(duì)于于充當(dāng)網(wǎng)網(wǎng)絡(luò)用戶(hù)戶(hù) CDD 點(diǎn)唱機(jī)機(jī)的計(jì)算算機(jī)，此此策略設(shè)設(shè)置不適適合。設(shè)備：只只有本地地登錄的的用戶(hù)才才能訪問(wèn)問(wèn)軟盤(pán)此策略設(shè)設(shè)置確定定可移動(dòng)動(dòng)軟盤(pán)媒媒體是否否可供本本地和遠(yuǎn)遠(yuǎn)程用戶(hù)戶(hù)同時(shí)訪訪問(wèn)。如如果啟用用此策略略設(shè)置，將僅允允許交互互式登錄錄的用戶(hù)戶(hù)訪問(wèn)可可移動(dòng)的的軟盤(pán)媒媒體。如如

43、果啟用用了此策策略設(shè)置置，且沒(méi)沒(méi)有人交交互登錄錄，則可可以通過(guò)過(guò)網(wǎng)絡(luò)訪訪問(wèn)軟盤(pán)盤(pán)?！霸O(shè)備：只有本本地登錄錄的用戶(hù)戶(hù)才能訪訪問(wèn)軟盤(pán)盤(pán)”設(shè)置的的可能值值為： 已啟用 已禁用 沒(méi)有定義義漏洞：遠(yuǎn)遠(yuǎn)程用戶(hù)戶(hù)可能會(huì)會(huì)訪問(wèn)包包含敏感感信息、已裝入入的軟盤(pán)盤(pán)。這種種風(fēng)險(xiǎn)的的可能性性很小，因?yàn)檐涇洷P(pán)驅(qū)動(dòng)動(dòng)器不會(huì)會(huì)自動(dòng)成成為網(wǎng)絡(luò)絡(luò)共享資資源，管管理員必必須專(zhuān)門(mén)門(mén)選擇共共享此驅(qū)驅(qū)動(dòng)器。但是，管理員員可能希希望拒絕絕網(wǎng)絡(luò)用用戶(hù)查看看數(shù)據(jù)或或從服務(wù)務(wù)器上的的可移動(dòng)動(dòng)媒體運(yùn)運(yùn)行應(yīng)用用程序的的能力。對(duì)策：?jiǎn)⒂谩爸挥斜颈镜氐卿涗浀挠脩?hù)戶(hù)才能訪訪問(wèn)軟盤(pán)盤(pán)”設(shè)置。潛在影響響：當(dāng)有有人登錄錄到服務(wù)務(wù)器的本本地控制制臺(tái)時(shí)，通過(guò)網(wǎng)

44、網(wǎng)絡(luò)連接接到服務(wù)務(wù)器的用用戶(hù)將無(wú)無(wú)法使用用安裝在服務(wù)務(wù)器上的的任何軟軟盤(pán)驅(qū)動(dòng)動(dòng)器。需需要訪問(wèn)問(wèn)軟盤(pán)驅(qū)驅(qū)動(dòng)器的的系統(tǒng)工工具將失失敗。例例如，卷卷影復(fù)制制服務(wù)試試圖在計(jì)計(jì)算機(jī)初初始化時(shí)時(shí)訪問(wèn)計(jì)計(jì)算機(jī)上上的所有有 CDD-ROOM 和軟盤(pán)盤(pán)驅(qū)動(dòng)器器，并且且如果服服務(wù)無(wú)法法訪問(wèn)其其中一個(gè)個(gè)驅(qū)動(dòng)器器，它將將失敗。如果已已為備份份作業(yè)指指定卷影影副本，這種情情況將導(dǎo)導(dǎo)致 Wiindoows 備份工工具失敗敗。任何何使用卷卷影副本本的第三三方備份份產(chǎn)品也也將失敗敗。設(shè)備：未未簽名驅(qū)驅(qū)動(dòng)程序序的安裝裝操作此策略設(shè)設(shè)置確定定在試圖圖安裝未未經(jīng) Wiindoows 硬件質(zhì)質(zhì)量實(shí)驗(yàn)驗(yàn)室 (WWHQLL) 認(rèn)證和和簽

45、名的的設(shè)備驅(qū)驅(qū)動(dòng)程序序（使用用安裝應(yīng)應(yīng)用程序序編程接接口 (AAPI) 方法）時(shí)，將將發(fā)生的的操作。“設(shè)備：未簽名名驅(qū)動(dòng)程程序的安安裝操作”設(shè)置的的可能值值為： 默認(rèn)繼續(xù)續(xù) 允許安裝裝但發(fā)出出警告 禁止安裝裝 沒(méi)有定義義漏洞：此此策略設(shè)設(shè)置可以以防止安安裝未經(jīng)經(jīng)簽名的的驅(qū)動(dòng)程程序，或或向管理理員發(fā)出出警告指指出有人人要安裝裝未經(jīng)簽簽名的驅(qū)驅(qū)動(dòng)程序序軟件。此功能能可以防防止使用用 Seetupp APPI 安裝尚尚未通過(guò)過(guò)認(rèn)證在在 Wiindoows XP 或 Wiindoows Serrverr 20003 上運(yùn)行行的驅(qū)動(dòng)動(dòng)程序。此策略略設(shè)置將將不能防防止某些些攻擊工工具使用用某種方方法來(lái)復(fù)復(fù)

46、制和注注冊(cè)惡意意的 .ssys 文件，從從而將這這些文件件作為系系統(tǒng)服務(wù)務(wù)啟動(dòng)。對(duì)策：將將“設(shè)備：未簽名名驅(qū)動(dòng)程程序的安安裝操作作”設(shè)置配配置為“允許安安裝但發(fā)發(fā)出警告告”，這是 Wiindoows XP SP22 的默認(rèn)認(rèn)配置。Winndowws SServver 20003 的默認(rèn)認(rèn)配置為為“沒(méi)有定定義”。潛在影響響：如果果用戶(hù)具具有安裝裝設(shè)備驅(qū)驅(qū)動(dòng)程序序的足夠夠特權(quán)，則他們們將能夠夠安裝未未簽名的的設(shè)備驅(qū)驅(qū)動(dòng)程序序。但是是，此功功能可能能會(huì)導(dǎo)致致服務(wù)器器產(chǎn)生穩(wěn)穩(wěn)定性問(wèn)問(wèn)題?！霸试S安安裝但發(fā)發(fā)出警告告”配置還還有另一一個(gè)潛在在問(wèn)題，那就是是，無(wú)人人參與的的安裝腳腳本在嘗嘗試安裝裝未簽名名的

47、驅(qū)動(dòng)動(dòng)程序時(shí)時(shí)將會(huì)失失敗。域控制器器：允許許服務(wù)器器操作員員計(jì)劃任任務(wù)此策略設(shè)設(shè)置確定定是否允允許服務(wù)務(wù)器操作作員通過(guò) ATT 計(jì)劃工工具提交交作業(yè)。注意：此此安全選選項(xiàng)設(shè)置置只影響響 ATT 計(jì)劃工工具。它它不影響響“任務(wù)計(jì)計(jì)劃程序序”工具?！坝蚩刂浦破鳎涸试试S服務(wù)務(wù)器操作作員計(jì)劃劃任務(wù)”設(shè)置的的可能值值為： 已啟用 已禁用 沒(méi)有定義義漏洞：如如果啟用用此策略略設(shè)置，由服務(wù)務(wù)器操作作員通過(guò)過(guò) ATT 服務(wù)創(chuàng)創(chuàng)建的作作業(yè)將在在運(yùn)行該該服務(wù)的的帳戶(hù)的的上下文文中執(zhí)行行。在默默認(rèn)情況況下，這這是本地地的 SYYSTEEM 帳戶(hù)。如果啟啟用此策策略設(shè)置置，服務(wù)務(wù)器操作作員可以以執(zhí)行 SYYSTEEM

48、 能夠執(zhí)執(zhí)行、但但是他們們通常無(wú)法執(zhí)執(zhí)行的任任務(wù)，例例如將他他們的帳帳戶(hù)添加加到本地地 Addminnisttrattorss 組中。對(duì)策：禁禁用“域控制制器：允允許服務(wù)務(wù)器操作作員計(jì)劃劃任務(wù)”設(shè)置。潛在影響響：對(duì)于于大多數(shù)數(shù)組織來(lái)來(lái)說(shuō)，影影響會(huì)很很小。用用戶(hù)（包包括 Seerveer OOperratoors 組的用用戶(hù)） 仍然可可以通過(guò)過(guò)“任務(wù)計(jì)計(jì)劃程序序向?qū)А眲?chuàng)建作作業(yè)。但但是，這這些作業(yè)業(yè)運(yùn)行的的上下文文將是用用戶(hù)設(shè)置置作業(yè)時(shí)時(shí)進(jìn)行身身份驗(yàn)證證所用帳帳戶(hù)的上上下文。域控制器器：LDAAP 服務(wù)器器簽名要要求此策略設(shè)設(shè)置確定定輕型目目錄訪問(wèn)問(wèn)協(xié)議 (LLDAPP) 服務(wù)器器是否要要求 L

49、DDAP 客戶(hù)端端協(xié)商數(shù)數(shù)據(jù)簽名名?！坝蚩刂浦破鳎篖DAAP 服務(wù)器器簽名要要求”設(shè)置的的可能值值為： 無(wú)。數(shù)據(jù)據(jù)簽名不不是與服服務(wù)器綁綁定所必必需的。如果客客戶(hù)端請(qǐng)請(qǐng)求數(shù)據(jù)據(jù)簽名，則服務(wù)務(wù)器會(huì)支支持它。 要求簽名名。除非非使用傳傳輸層安安全性/安全套套接字層層 (TTLS/SSLL)，否則則必須協(xié)協(xié)商 LDDAP 數(shù)據(jù)簽簽名選項(xiàng)項(xiàng)。 沒(méi)有定義義。漏洞：未未簽名的的網(wǎng)絡(luò)通通信易遭遭受中間間人攻擊擊。在這這類(lèi)攻擊擊中，入入侵者捕捕獲服務(wù)務(wù)器和客客戶(hù)端之之間的數(shù)數(shù)據(jù)包，進(jìn)行修修改，然然后將它它們轉(zhuǎn)發(fā)發(fā)到客戶(hù)戶(hù)端。在在涉及 LDDAP 服務(wù)器器的環(huán)境境中，攻攻擊者可可以讓客客戶(hù)端根根據(jù)來(lái)自自 LDD

50、AP 目錄的的錯(cuò)誤記記錄作出決策策。要降降低對(duì)組組織網(wǎng)絡(luò)絡(luò)的這類(lèi)類(lèi)入侵的的風(fēng)險(xiǎn)，可以實(shí)實(shí)施強(qiáng)物物理安全全措施，從而保保護(hù)網(wǎng)絡(luò)絡(luò)基礎(chǔ)結(jié)結(jié)構(gòu)。此此外，也也可以實(shí)實(shí)施 Innterrnett 協(xié)議安安全 (IIPSeec) 身份驗(yàn)驗(yàn)證頭模模式 (AAH)，它可可以針對(duì)對(duì) IPP 通信執(zhí)執(zhí)行相互互身份驗(yàn)驗(yàn)證和數(shù)數(shù)據(jù)包完完整性，從而使使所有類(lèi)類(lèi)型的中中間人攻攻擊變得得極其困困難。對(duì)策：將將“域控制制器：LDAAP 服務(wù)器器簽名要要求”設(shè)置配配置為“要求簽簽名”。潛在影響響：不支支持 LDDAP 簽名的的客戶(hù)端端將無(wú)法法針對(duì)域域控制器器執(zhí)行 LDDAP 查詢(xún)。組織中中從基于于 Wiindoows Serr

51、verr 20003 或 Wiindoows XP 的計(jì)算算機(jī)進(jìn)行管管理的所所有基于于 Wiindoows 20000 的計(jì)算算機(jī)和使使用 Wiindoows NT 質(zhì)詢(xún)/響應(yīng) (NNTLMM) 身份驗(yàn)驗(yàn)證的計(jì)計(jì)算機(jī)都都必須安安裝 Wiindoows 20000 SServvicee Paack 3 (SP33)?；蛘哒?，這些些客戶(hù)端端必須進(jìn)進(jìn)行 Miicroosofft 知識(shí)庫(kù)庫(kù)文章 Q33254465“使用 Wiindoows Serrverr 20003 管理工工具時(shí) Wiindoows 20000 域控制制器需要要 SPP3 或更高高版本”中描述述的注冊(cè)冊(cè)表更改改，該文文章網(wǎng)址址為ht

52、ttp:/suuppoort.miccrossoftt.coom/ddefaaultt.asspx?sscidd=32254665。另外外，某些些第三方方操作系系統(tǒng)不支支持 LDDAP 簽名。如果啟啟用此策策略設(shè)置置，使用用這些操操作系統(tǒng)統(tǒng)的客戶(hù)戶(hù)端計(jì)算算機(jī)可能能無(wú)法訪訪問(wèn)域資資源。域控制器器：拒絕絕更改機(jī)機(jī)器帳戶(hù)戶(hù)密碼此策略設(shè)設(shè)置確定定域控制制器是否否接受計(jì)計(jì)算機(jī)帳帳戶(hù)的密密碼更改改請(qǐng)求?！坝蚩刂浦破鳎壕芫芙^更改改機(jī)器帳帳戶(hù)密碼碼”設(shè)置的的可能值值為： 已啟用 已禁用 沒(méi)有定義義漏洞：如如果在域域中的所所有域控控制器上上啟用此此策略設(shè)設(shè)置，域域成員將將不能更更改其計(jì)計(jì)算機(jī)帳帳戶(hù)密碼碼，并且且

53、這些密密碼將更更易遭受受攻擊。對(duì)策：禁禁用“域控制器：拒絕更更改機(jī)器器帳戶(hù)密密碼”設(shè)置。潛在影響響：無(wú)。這是默默認(rèn)配置置。域成員：對(duì)安全全通道數(shù)數(shù)據(jù)進(jìn)行行數(shù)字加加密或簽簽名（多多個(gè)相關(guān)關(guān)設(shè)置）下列策略略設(shè)置確確定是否否與不能能對(duì)安全全通道通通信進(jìn)行行簽名或或加密的的域控制制器建立立安全通通道： 域成員員：對(duì)安安全通道道數(shù)據(jù)進(jìn)進(jìn)行數(shù)字字加密或或簽名（總是） 域成員員：對(duì)安安全通道道數(shù)據(jù)進(jìn)進(jìn)行數(shù)字字加密（如果可可能） 域成員員：對(duì)安安全通道道數(shù)據(jù)進(jìn)進(jìn)行數(shù)字字簽名（如果可可能）如如果啟用用“域成員員：對(duì)安安全通道道數(shù)據(jù)進(jìn)進(jìn)行數(shù)字字加密或或簽名（總是）”設(shè)置，則不能能與不能能對(duì)所有有安全通通道數(shù)據(jù)據(jù)進(jìn)

54、行簽簽名或加加密的任何域域控制器器建立安安全通道道。為了了防止身身份驗(yàn)證證通信受受到中間間人、重重播以及及其他類(lèi)類(lèi)型的網(wǎng)網(wǎng)絡(luò)攻擊擊，基于于 Wiindoows 的計(jì)算算機(jī)會(huì)通通過(guò)名為為“Seccuree Chhannnelss（安全全通道）”的 NeetLoogonn 來(lái)創(chuàng)建建通信通通道。這這些通道道對(duì)計(jì)算算機(jī)帳戶(hù)戶(hù)進(jìn)行身身份驗(yàn)證證，當(dāng)遠(yuǎn)遠(yuǎn)程用戶(hù)戶(hù)連接到到網(wǎng)絡(luò)資資源，而而且該用用戶(hù)的帳帳戶(hù)存在在于受信信任域中中時(shí)，這這些通道道還對(duì)用用戶(hù)帳戶(hù)戶(hù)進(jìn)行身身份驗(yàn)證證。這種種身份驗(yàn)驗(yàn)證被稱(chēng)稱(chēng)作通過(guò)過(guò)式身份份驗(yàn)證，它允許許加入到到某個(gè)域域的計(jì)算算機(jī)訪問(wèn)問(wèn)位于它它所在的的域以及及任何受受信任域域中的用用戶(hù)帳

55、戶(hù)戶(hù)數(shù)據(jù)庫(kù)庫(kù)。注意意：要在在成員工工作站或或服務(wù)器器上啟用用“域成員員：對(duì)安安全通道道數(shù)據(jù)進(jìn)行數(shù)數(shù)字加密密或簽名名（總是是）”設(shè)置，該該成員所所屬的域域中的所所有域控控制器都都必須能能夠?qū)θ堪踩ǖ罃?shù)數(shù)據(jù)進(jìn)行行簽名或或加密。這項(xiàng)要要求意味味著所有有這類(lèi)域域控制器器必須運(yùn)運(yùn)行 Winndowws NNT 44.0 Serrvicce PPackk 6aa 或 Wiindoows 操作系系統(tǒng)的更更高版本本。如果啟用用“域成員員：對(duì)安安全通道道數(shù)據(jù)進(jìn)進(jìn)行數(shù)字字加密或或簽名（總是）”設(shè)置，則會(huì)自自動(dòng)啟用用“域成員員：對(duì)安安全通道道數(shù)據(jù)進(jìn)進(jìn)行數(shù)字字簽名（如果可可能）”設(shè)置。此策略設(shè)設(shè)置的可可能值為

56、為： 已啟用 已禁用 沒(méi)有定義義漏洞：當(dāng)當(dāng) Wiindoows Serrverr 20003、Winndowws XXP、Winndowws 220000 或 Wiindoows NT 計(jì)算機(jī)機(jī)加入某某個(gè)域時(shí)時(shí)，將創(chuàng)創(chuàng)建一個(gè)個(gè)計(jì)算機(jī)機(jī)帳戶(hù)。加入該該域之后后，計(jì)算算機(jī)在每每次重新新啟動(dòng)時(shí)時(shí)，都使使用此帳帳戶(hù)的密密碼，與與它所在在域的域域控制器器創(chuàng)建一一個(gè)安全全通道。在安全全通道上上發(fā)送的的請(qǐng)求將將被驗(yàn)證證，敏感感信息（如密碼碼）將被被加密，但不會(huì)會(huì)對(duì)通道道進(jìn)行完完整性檢檢查，也也不會(huì)加加密所有有的信息息。如果果計(jì)算機(jī)機(jī)被配置置為總是是對(duì)安全全通道數(shù)數(shù)據(jù)進(jìn)行行加密或或簽名，但域控控制器無(wú)無(wú)法對(duì)安安

57、全通道道數(shù)據(jù)的的任何部部分進(jìn)行行簽名或或加密，則計(jì)算算機(jī)和域域控制器器無(wú)法建建立安全全通道。如果計(jì)計(jì)算機(jī)被被配置為為在可能能的情況況下對(duì)安安全通道道數(shù)據(jù)進(jìn)進(jìn)行加密密或簽名名，則可可以建立立安全通通道，但但是會(huì)對(duì)對(duì)加密和和簽名的的級(jí)別進(jìn)進(jìn)行協(xié)商商。對(duì)策： 將“域成員員：對(duì)安安全通道道數(shù)據(jù)進(jìn)進(jìn)行數(shù)字字加密或或簽名（總是）”設(shè)置配配置為“已啟用”。 將“域成員員：對(duì)安安全通道道數(shù)據(jù)進(jìn)進(jìn)行數(shù)字字加密（如果可可能）”設(shè)置配配置為“已啟用”。 將“域成員員：對(duì)安安全通道道數(shù)據(jù)進(jìn)進(jìn)行數(shù)字字簽名（如果可可能）”設(shè)置配配置為“已啟用”。潛在影響響：對(duì)“安全通通道”進(jìn)行數(shù)數(shù)字加密密和簽名名（如果果支持的的話(huà)）是是

58、一個(gè)好好主意。在域憑憑據(jù)被發(fā)發(fā)送到域域控制器器時(shí)，安安全通道道保護(hù)這些些憑據(jù)。但是，只有 Wiindoows NT 4.00 Seerviice Pacck 66a (SP66a) 和 Wiindoows 操作系系統(tǒng)的后后續(xù)版本本才支持持對(duì)安全全通道進(jìn)進(jìn)行數(shù)字字加密和和簽名。Winndowws 998 SSecoond Ediitioon 客戶(hù)端端不支持持它（除除非它們們安裝了了 Dsscliientt）。因因此，對(duì)對(duì)于支持持將 Wiindoows 98 客戶(hù)端端作為域域成員的的域控制制器，不不能啟用用“域成員員：對(duì)安安全通道道數(shù)據(jù)進(jìn)進(jìn)行數(shù)字字加密或或簽名（總是）”設(shè)置。潛在影影響可能能包括以

59、以下情況況： 創(chuàng)建或刪刪除下級(jí)級(jí)信任關(guān)關(guān)系的能能力將被被禁用。 從下級(jí)客客戶(hù)端登登錄將被被禁用。 從下級(jí)受受信任域域中對(duì)其其他域的的用戶(hù)進(jìn)進(jìn)行身份份驗(yàn)證的的能力將將被禁用用。在從域中中清除所所有的 Wiindoows 9x 客戶(hù)端端、將受受信任/信任域域中的所所有 Wiindoows NT 4.00 服務(wù)器器和域控控制器升升級(jí)到 Wiindoows NT 4.00 SPP6a 之后，可以啟啟用此策策略設(shè)置置。對(duì)于于域中的的所有計(jì)計(jì)算機(jī)，還可以以啟用另另外兩個(gè)個(gè)策略設(shè)設(shè)置：“域成員員：對(duì)安安全通道道數(shù)據(jù)進(jìn)進(jìn)行數(shù)字字加密（如果可可能）”和“域成員員：對(duì)安安全通道道數(shù)據(jù)進(jìn)進(jìn)行數(shù)字字簽名（如果可可能）

60、”，但前前提是這這些計(jì)算算機(jī)支持持這兩個(gè)個(gè)設(shè)置而而且不影影響下級(jí)客客戶(hù)端和和應(yīng)用程程序。域成員：禁用更更改機(jī)器器帳戶(hù)密密碼此策略設(shè)設(shè)置確定定域成員員是否可可以定期期更改其其計(jì)算機(jī)機(jī)帳戶(hù)密密碼。如如果啟用用此策略略設(shè)置，域成員員不能更更改其計(jì)計(jì)算機(jī)帳帳戶(hù)密碼碼。如果果禁用此此策略設(shè)設(shè)置，將將允許域域成員根根據(jù)“域成員員：最長(zhǎng)長(zhǎng)機(jī)器帳帳戶(hù)密碼碼壽命”設(shè)置更更改其計(jì)計(jì)算機(jī)帳帳戶(hù)密碼碼，在默默認(rèn)情況況下是每每 300 天更改改一次。警告：請(qǐng)請(qǐng)不要啟啟用此策策略設(shè)置置。計(jì)算算機(jī)帳戶(hù)戶(hù)密碼用用于在成成員和域域控制器器之間以以及域中中的域控控制器之之間建立立安全通通道通信信。在建建立了這這類(lèi)通信信之后，安全