Windows系統(tǒng)安全加固

1、Windows Server 2003第二章 Windows 系統(tǒng)安全加固Windows Server 2003 操作系統(tǒng)，具有高性能、高可靠性和高安全性等特點(diǎn)。在默認(rèn)安裝的時候，基于安全的考慮已經(jīng)實施了很多安全策略，但由于服務(wù)器操作系統(tǒng)的特殊性，在默 認(rèn)安裝完成后還需要張先生對其進(jìn)行安全加固，進(jìn)一步提升服務(wù)器操作系統(tǒng)的安全性，保證應(yīng)用系統(tǒng)以 及數(shù)據(jù)庫系統(tǒng)的安全。在安裝 Windows Server 2003 操作系統(tǒng)時，為了提高系統(tǒng)的安全性，張先生按系統(tǒng)建議，采用最小 化方式安裝，只安裝網(wǎng)絡(luò)服務(wù)所必需的組件。如果以后有新的服務(wù)需求，再安裝相應(yīng)的服務(wù)組件，并及 時進(jìn)行安全設(shè)置。在完成操作系統(tǒng)安

2、裝全過程后，要對 Windows 系統(tǒng)安全性方面進(jìn)行加固，系統(tǒng)加固工作主要包括賬 戶安全配置、密碼安全配置、系統(tǒng)安全配置、服務(wù)安全配置以及禁用注冊表編輯器等內(nèi)容，從而使得操 作系統(tǒng)變得更加安全可靠，為以后的工作提供一個良好的環(huán)境平臺。操作系統(tǒng)的安全是整個計算機(jī)系統(tǒng)安全的基礎(chǔ)，其安全問題日益引起人們的高度重視。作為用戶使 用計算機(jī)和網(wǎng)絡(luò)資源的操作界面，操作系統(tǒng)發(fā)揮著十分重要的作用。因此，操作系統(tǒng)本身的安全就成了 安全防護(hù)的頭等大事。、操作系統(tǒng)安全的概念操作系統(tǒng)的安全防護(hù)研究通常包括以下幾個方面的內(nèi)容：1）操作系統(tǒng)本身提供的安全功能和安全服務(wù)。目前的操作系統(tǒng)本身往往要提供一定的訪問控制、認(rèn)證與授權(quán)

3、等方面的安全服務(wù)， 如何對操作系統(tǒng)本身的安全性能進(jìn)行研究和開發(fā)使之符合選定的環(huán)境和 需求；2）針對各種常用的操作系統(tǒng)，進(jìn)行相關(guān)配置，使之能正確對付和防御各種入侵； 3）保證操作系統(tǒng)本身所提供的網(wǎng)絡(luò)服務(wù)能得到安全配置。一般來說，如果說一個計算機(jī)系統(tǒng)是安全的，那么是指該系統(tǒng)能夠控制外部對系統(tǒng)信息的訪問。也 就是說，只有經(jīng)過授權(quán)的用戶或代表該用戶運(yùn)行的進(jìn)程才能讀、寫、創(chuàng)建或刪除信息。操作系統(tǒng)內(nèi)的活 動都可以認(rèn)為是主體對計算機(jī)系統(tǒng)內(nèi)部所有客體的一系列操作。主體是指發(fā)出訪問操作、存取請求的主I/O 設(shè)備和物理介質(zhì)等。動方，它包括用戶、用戶組、主機(jī)、終端或應(yīng)用進(jìn)程等。主體可以訪問客體?？腕w是指被調(diào)用的程序

4、或 要存取的數(shù)據(jù)訪問，它包括文件、程序、內(nèi)存、目錄、隊列、進(jìn)程間報文、 主體對客體的安全訪問策略是一套規(guī)則，可用于確定一個主體是否對客體擁有訪問能力。20一般所說的操作系統(tǒng)的安全通常包含兩方面的含義：操作系統(tǒng)在設(shè)計時通過權(quán)限訪問控制、信息加密性保護(hù)、完整性鑒定等機(jī)制實現(xiàn)的安全； 操作系統(tǒng)在使用中，通過一系列的配置，保證操作系統(tǒng)避免由于實現(xiàn)時的缺陷或是應(yīng)用環(huán)境因素產(chǎn)生的不安全因素。只有在這兩方面同時努力，才能夠最大可能地建立安全的操作系統(tǒng)。二、服務(wù)與端口我們知道，一臺擁有IP地址的主機(jī)可以提供許多服務(wù)，比如Web服務(wù)、FTP服務(wù)、SMTP服務(wù)等,IP 地址端口號”來區(qū)分不這些服務(wù)完全可以通過 1

5、個 IP 地址來實現(xiàn)。那么，主機(jī)是怎樣區(qū)分不同的網(wǎng)絡(luò)服務(wù)呢？顯然不能只靠IP 地址，因為 IP 地址與網(wǎng)絡(luò)服務(wù)的關(guān)系是一對多的關(guān)系。實際上是通過“ 同的服務(wù)的。我們來打個形象的比喻 : 假設(shè) IP 地址是一棟大樓的地址，那么端口號就代表著這棟大樓的不同房 間。如果一封信 （數(shù)據(jù)包）上的地址僅包含了這棟大樓的地址 （IP） 而沒有具體的房間號 （端口號 ），那么沒有人知道誰 （網(wǎng)絡(luò)服務(wù) ）應(yīng)該去接收它。 為了讓郵遞成功， 發(fā)信人不僅需要寫明大樓的地址 （IP 地址），還 需要標(biāo)注具體的收信人房間號 （端口號 ） ，這樣這封信才能被順利地投遞到它應(yīng)該前往的房間。端口是計算機(jī)與外界通訊的渠道，它們就

6、像一道道門一樣控制著數(shù)據(jù)與指令的傳輸。各類數(shù)據(jù)包在最終封包時都會加入端口信息，以便在數(shù)據(jù)包接收后拆包識別。我們知道，許多蠕蟲病毒正是利用了端口信息才能實現(xiàn)惡意騷擾的。所以，對于原本脆弱的Win dows系統(tǒng)來說，有必要把一些危險而又不常用到的端口關(guān)閉或是封鎖，以保證網(wǎng)絡(luò)安全。同樣的，面對網(wǎng)絡(luò)攻擊時，端口對于黑客來說至關(guān)重要。每一項服務(wù)都對應(yīng)相應(yīng)的端口號，比如我們?yōu)g覽網(wǎng)頁時，需要服務(wù)器提供WW服務(wù)，端口號是 80, SMTP服務(wù)的端口號是25, FTP服務(wù)的端口號應(yīng)關(guān)閉不必要的端口， 因為在關(guān)閉這些端是 21 ，如果企業(yè)中的服務(wù)器僅僅是文件服務(wù)或者做內(nèi)網(wǎng)交換， 口后，可以進(jìn)一步保障系統(tǒng)的安全。我

7、們知道，在TCP和UDP協(xié)議中，源端口和目標(biāo)端口是用一個16位無符號整數(shù)來表示的，這就意味著端口號共有 65536個（=216, 065535）。按對應(yīng)的協(xié)議類型，端口有兩種：TCP端口和UDP端口。由于TCP和 UDP兩個協(xié)議是獨(dú)立的，因此各自的端口號也相互獨(dú)立，比如TCP有235端口，UDP也可以有235端口，兩者并不沖突。IETF 定義了以下三種端口組：1）公認(rèn)端口 （Well-Known Ports） ：從 0到 1023，它們緊密綁定（ binding ）于一些服務(wù)。通常這些端口的通訊明確表明了某種服務(wù)的協(xié)議。例如：80端口實際上總是 HTTP通訊。1024 左2）注冊端口（ Reg

8、istered Ports ）：從 1024到 49151。它們松散地綁定于一些服務(wù)。也就是說有許多服務(wù)綁定于這些端口，這些端口同樣用于許多其它目的。例如：許多系統(tǒng)處理動態(tài)端口從 右開始。3）動態(tài)和 /或私有端口（ Dynamic and/or Private Ports ）：從 49152到 65535。理論上，不應(yīng)為服務(wù)分配這些端口。實際上，機(jī)器通常從1024起分配動態(tài)端口。但也有例外：SUN的RPC端口從32768開始。Tcr端口號VDF端口號端口號端口號保留WS20FTPa49LoglTl21FTP c omm and.53DHS23Tt69TFTP25SMTPeoWWW53Diees

9、T9F i110F0F380WWWISlSHMFS8E是rb邑ros213IPX139NetBIOS2049HFS443S-HTTP443S-HTTF管理好端口號在網(wǎng)絡(luò)安全中有著非常重要的意義,黑客往往通過探測目標(biāo)主機(jī)開啟的端口號進(jìn)行攻擊。所以，對那些沒有用到的端口號，最好將它們關(guān)閉。一個通信連接中，源端口與目標(biāo)端口并不是相同的，如客戶機(jī)訪問WW服務(wù)器時，WW服務(wù)器使用的是80端口，而客戶端的端口則是系統(tǒng)動態(tài)分配的大于1023的隨機(jī)端口。開啟的端口可能被攻擊者利用，如利用掃描軟件，可以掃描到目標(biāo)主機(jī)中開啟的端口及服務(wù)，因為提供服務(wù)就有可能存在漏洞。入侵者通常會用掃描軟件對對目標(biāo)主機(jī)的端口進(jìn)行掃

10、描，以確定哪些端口是開放的。從開放的端口，入侵者可以知道目標(biāo)主機(jī)大致提供了哪些服務(wù)，進(jìn)而尋找可能存在的漏洞。因此對端口的掃描有助于了解目標(biāo)主機(jī)，從管理角度來看，掃描本機(jī)的端口也是做好安全防范的前提。查看端口的相關(guān)工具有：Win dows系統(tǒng)中的netstat 命令、fport 軟件、active port 軟件、sup ersca n軟件、Visual Sniffer軟件等，此類命令或軟件可用來查看主機(jī)所開放的端口。可以在網(wǎng)上查看各種服務(wù)對應(yīng)的端口號和木馬后門常用端口來判斷系統(tǒng)中的可疑端口中,并通過軟件查看開啟此端口的進(jìn)程。確定可疑端口和進(jìn)程后，可以利用防火墻來屏蔽此端口，也可以通過選擇本地連

11、接7 TCP/IP7高級7選項7 TCP/IP篩選，啟用篩選機(jī)制來過濾這些端口；對于Windows系統(tǒng)主機(jī),如不對外提供服務(wù)也可以進(jìn)行過濾設(shè)置。對于網(wǎng)絡(luò)中的普通客戶計算機(jī)，可以限制對外的所有的端口,不必對外提供任何服務(wù)；而對于服務(wù)器，則把需要提供服務(wù)的端口，如WW服務(wù)端口 80等開放，不使用的其他端口則全部關(guān)閉。可以利用端口查看工具檢查開啟的非業(yè)務(wù)端口。關(guān)閉端口的方法非常簡單,在“控制面板”7“管理工具”7“服務(wù)”中即可配置。一些端口常常會被攻擊者或病毒木馬所利用，如端口21、 22、23、 25、 80、 110、 111、 119、 135、137、138、139、161、177、389、

12、3389等。關(guān)于常見木馬程序所使用的端口可以在網(wǎng)上查找到。這里重點(diǎn)說說139端口，139端口也就是NetBIOS Session端口，用作文件和打印的共享。關(guān)閉139端口的方法是在“本地連接”中選取“In ternet 協(xié)議(TC P/IP) ”屬性，進(jìn)入“高級 TCP/IP設(shè)置”，在“ WINS選項卡中，有一 “禁用TCP/IP的NETBIOS選項，選中后即可關(guān)閉139 端口。為什么要關(guān)閉 139 端口呢？這里涉及一個 139 端口入侵的問題。 如果黑客確定一臺存在 139 端口漏 洞的主機(jī)，用掃描工具掃描，然后使用“ nbtstat -a IP ”命令得到用戶的情況，最后完成非法訪問的 操

13、作。三、組策略組策略和注冊表，是 Win dows系統(tǒng)中重要的兩部控制臺。對于系統(tǒng)中安全方面的部署，組策略又以其直觀化的表現(xiàn)形式更受用戶青睞。我們可以通過組策略禁止第三方非法更改地址，也可以禁止別人隨 意修改防火墻配置參數(shù)，更可以提高共享密碼強(qiáng)度免遭其被破解。比如，在一個特定網(wǎng)絡(luò)環(huán)境中，如果部分用戶共同使用相同的一臺工作站進(jìn)行網(wǎng)絡(luò)訪問時，安全隱 患就顯露出來、 倘若我們沒有劃定安全的上網(wǎng)區(qū)域， 那樣會造成工作站的權(quán)限紊亂， 從而帶來系統(tǒng)危機(jī)。輕者造成系統(tǒng)癱瘓，重者則可遭受遠(yuǎn)程入侵，損失寶貴資料。所以，為了保護(hù)本地網(wǎng)絡(luò)以及本地工作站的安全，我們可以嘗試在公共計算機(jī)系統(tǒng)中，通過設(shè)置組 策略的方法為

14、普通用戶界定安全上網(wǎng)區(qū)域，強(qiáng)制進(jìn)入系統(tǒng)的用戶只能在設(shè)定內(nèi)的安全區(qū)域中上網(wǎng)沖浪。由于組策略有著直觀的名字和功能解釋， 所以應(yīng)用上比較簡單， 對于管理員和終端用戶都非常方便， 但它的功能遠(yuǎn)沒有限制起來那樣簡單，我們可以將它作為一種安全保護(hù)跟蹤工具。比如，可以利用組策 略尋找共享目錄訪問痕跡。這對于局域網(wǎng)內(nèi)的用戶監(jiān)測來說非常重要。因為在網(wǎng)絡(luò)內(nèi)部，一旦出現(xiàn)非法用戶，大多與共享入侵 和訪問共享資源有關(guān)，此時查詢共享目錄的訪問信息就可以追蹤求源，查到真兇。打開組策略后在左側(cè)列表區(qū)域中的“本地計算機(jī)策略”7“計算機(jī)配置”7“Win dows設(shè)置”，選中屬“安全設(shè)置”7“本地策略”7“審核策略”選項，在“審核

15、策略”中找到“審核對象訪問” 性界面中的“失敗” 、“成功”選項，以后出現(xiàn)問題時就能有針對性地進(jìn)入系統(tǒng)安全日志文件，來查看相 關(guān)事件記錄。四、賬戶與密碼安全賬戶與密碼的使用通常是許多系統(tǒng)預(yù)設(shè)的防護(hù)措施。事實上，有許多用戶的密碼是很容易被猜中的，或者使用系統(tǒng)預(yù)設(shè)的密碼、甚至不設(shè)密碼。用戶應(yīng)該要避免使用不當(dāng)?shù)拿艽a、系統(tǒng)預(yù)設(shè)密碼或是使用空白密碼，也可以配置本地安全策略要求 密碼符合安全性要求。五、漏洞與后門1、漏洞漏洞即某個程序 (包括操作系統(tǒng) ) 在設(shè)計時未考慮周全，當(dāng)程序遇到一個看似合理，但實際無法處理如漏洞被的問題時，引發(fā)的不可預(yù)見的錯誤。系統(tǒng)漏洞又稱安全缺陷，對用戶造成的不良后果有：惡意用戶

16、利用，會造成信息泄漏。例如，黑客攻擊網(wǎng)站即利用網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)的漏洞；對用戶操作造成不便。例如，不明原因的死機(jī)和丟失文件等?？梢?，僅有堵住系統(tǒng)漏洞，用戶才會有一個安全和穩(wěn)定的工作環(huán)境。漏洞的產(chǎn)生大致有以下 3個原因： 編程人員的人為因素。在程序編寫過程中，為實現(xiàn)不可告人的目的，在程序代碼的隱蔽處留有后門。受編程人員的能力、經(jīng)驗和當(dāng)時安全技術(shù)所限，在程序中難免會有不足之處，輕則影響程序效率，重則導(dǎo)致非授權(quán)用戶的權(quán)限提升。由于硬件原因，使編程人員無法彌補(bǔ)硬件的漏洞，從而使硬件的問題通過軟件表現(xiàn)出來?？梢哉f，幾乎所有的操作系統(tǒng)都不是十全十美的，總是存在各種安全漏洞。例如，在Windows NT中，

17、安全賬戶管理（SAM）數(shù)據(jù)庫可以被以下用戶所復(fù)制：Administrator 賬戶、Administrators 組中的所有成員、備份操作員、服務(wù)器操作員以及所有具有備份特權(quán)的人員。SAM數(shù)據(jù)庫的一個備份拷貝能夠被某些工具所利用來破解口令。又如，Windows NT對較大的ICMP數(shù)據(jù)包是很脆弱的，如果發(fā)一條ping命令，指定數(shù)據(jù)包的大小為64KB, Win dows NT的TCP /IP棧將不會正常工作，可使系統(tǒng)離線乃至重新啟動，結(jié)果造成某些服務(wù)的拒絕訪問。任何軟件都難免存在漏洞，但作為系統(tǒng)最核心的軟件，操作系統(tǒng)存在的漏洞會使黑客有機(jī)可乘。例如， 64 位 Windows 7 圖形顯示組件中

18、的一個漏洞有可能導(dǎo)致系統(tǒng)崩潰，或者被黑客利用并執(zhí)行遠(yuǎn)程代碼，用戶可以通過關(guān)閉 Windows Aero 的方式或打上安全補(bǔ)丁來防止這一漏洞被他人利用。實際上，根據(jù)目前的軟件設(shè)計水平和開發(fā)工具，要想絕對避免軟件漏洞幾乎是不可能的。操作系統(tǒng)作為一種系統(tǒng)軟件， 在設(shè)計和開發(fā)過程中造成這樣或那樣的缺陷， 埋下一些安全隱患， 使黑客有機(jī)可乘，也可以理解?？梢哉f，軟件質(zhì)量決定了軟件的安全性。2、后門后門又稱為Back Door，是繞過安全性控制而獲取對程序或系統(tǒng)訪問權(quán)的方法。在軟件的開發(fā)階段,程序員常會在軟件內(nèi)創(chuàng)建后門以便可以修改程序中的缺陷。如果后門被其他人知道，或是在發(fā)布軟件之前沒有刪除后門，那么它就

19、成了安全風(fēng)險。后門產(chǎn)生的必要條件有： 必須以某種方式與其他終端節(jié)點(diǎn)相連。因為都是從其他節(jié)點(diǎn)訪問后門，因此必須使用雙絞線、光纖、串 /并口、藍(lán)牙、紅外等設(shè)備與目標(biāo)主機(jī)連接才可以對端口進(jìn)行訪問。只有訪問成功，雙方才可以進(jìn)行信息交流，攻擊方才有機(jī)會進(jìn)行入侵。 目標(biāo)主機(jī)默認(rèn)開放的可供外界訪問的端口必須在一個以上。因為一臺默認(rèn)無任何端口開放的機(jī)器是無法進(jìn)行通信的，而如果開放的端口無法被外界訪問，則目標(biāo)主機(jī)同樣不可能遭到入侵。 目標(biāo)機(jī)存在程序設(shè)計或人為疏忽，導(dǎo)致攻擊者能以權(quán)限較高的身份執(zhí)行程序。并不是任何一個權(quán)限的帳號都能夠被利用的，只有權(quán)限達(dá)到操作系統(tǒng)一定要求后，才允許執(zhí)行修改注冊表、修改日志記錄等操作

20、。后門的分類方式有多種，為了便于大家理解，下面從技術(shù)方面來考慮后門的分類方法。 網(wǎng)頁后門。這類后門一般都是利用服務(wù)器上正常的Web服務(wù)來構(gòu)造自己的連接方式，比如現(xiàn)在非常流行的 ASP、CGI 腳本后門等。 線程插入后門。利用系統(tǒng)自身的某個服務(wù)或者線程，將后門程序插入到其中，這也是現(xiàn)在最流 行的一個后門技術(shù)。 擴(kuò)展后門。所謂的“擴(kuò)展” ，是指在功能上有大的提升，比普通的單一功能的后門有更強(qiáng)的使用 性，這種后門本身就相當(dāng)于一個小的安全工具包，能實現(xiàn)非常多的常見安全功能。 C/S 后門。采用“客戶端 / 服務(wù)器”的控制方式，通過某種特定的訪問方式來啟動后門，從而達(dá)到控制服務(wù)器的目的。 root ki

21、t 。 rootkit出現(xiàn)于 20 世紀(jì) 90 年代初，在 1994 年 2 月的一篇安全咨詢報告中首先使用了 root kit 這個名詞。rootkit 是攻擊者用來隱藏自己的蹤跡和保留 root 訪問權(quán)限的工具。通常，攻擊者通過遠(yuǎn)程攻擊獲得root訪問權(quán)限，進(jìn)入系統(tǒng)后，攻擊者會在侵入的主機(jī)中安裝root kit ，然后他將經(jīng)常通過 root kit的后門檢查是否有其他的用戶登錄系統(tǒng)，如果只有自己，攻擊者就開始清理日志中的有關(guān)信息。通過root kit 的嗅探器獲得其他系統(tǒng)的用戶和密碼之后，攻擊者就會利用這些信息侵入其他系統(tǒng)。3、漏洞與后門的區(qū)別后門是留在計算機(jī)系統(tǒng)中，通過某種特殊方式控制計

22、算機(jī)系統(tǒng)以供某類特殊使用的途徑。它不僅繞過系統(tǒng)已有的安全設(shè)置，而且還能挫敗系統(tǒng)上的各種增強(qiáng)的安全設(shè)置。漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，攻擊者能夠利用這些漏洞在未授權(quán)的情況下訪問或破壞系統(tǒng)。漏洞雖然可能最初就存在于系統(tǒng)當(dāng)中，但漏洞并不是自己出現(xiàn)的，必須要有人來發(fā)現(xiàn)。在實際使用中，用戶會發(fā)現(xiàn)系統(tǒng)中存在的錯誤，而入侵者會有意利用其中的某些錯誤來威脅系統(tǒng)安全，這時人們會認(rèn)識到這個錯誤是一個漏洞。然后系統(tǒng)供應(yīng)商會盡快發(fā)布針對這個漏洞的補(bǔ)丁程序。漏洞和后門是不同的，漏洞是一種無意的行為，是不可避免的，是難以預(yù)知的，無論是硬件還是軟件都存在著漏洞；而后門是一種有意的行為，是人為

23、故意設(shè)置的，是完全可以避免的。六、拓展提高：Win dows系統(tǒng)的安全模板1. 什么是安全模板：安全模板是由 Windows Server 2003 支持的安全屬性的文件 (.inf) 組成的。安全模板將所有的安全屬性組織到一個位置， 以簡化安全性管理。 安全模板包含了安全性信息賬戶策略、 本地策略、 事件日志、受限制的組、系統(tǒng)服務(wù)、注冊表、文件系統(tǒng)等共7 類。安全模板也可以用做安全分析。 通過使用安全模板管理單元， 可以創(chuàng)建對網(wǎng)絡(luò)或計算機(jī)的安全策略。安全模板是代表安全配置的文本文件，將其應(yīng)用于本地計算機(jī)、導(dǎo)入到組策略或使用安全模板來分析安 全性。2、預(yù)定義的安全模板這些策略都經(jīng)過自定義設(shè)置以

24、滿足不同預(yù)定義的安全模板是作為創(chuàng)建安全策略的初始點(diǎn)而提供的， 的組織要求?？梢允褂冒踩０骞芾韱卧獙δ０暹M(jìn)行自定義設(shè)置。一旦對預(yù)定義的安全模板進(jìn)行了自定在 Windows Server 2003義設(shè)置，就可以用這些模板配置單臺或數(shù)千臺計算機(jī)的安全性?？梢允褂冒踩渲煤头治龉芾韱卧ecedit.exe 命令提示符工具或?qū)⒛０鍖?dǎo)入本地安全策略中來配置單臺計算機(jī)。中預(yù)定義的安全模板如下：1)默認(rèn)安全設(shè)置 (setup security.inf)。 setup security.inf代表在安裝操作系統(tǒng)期間所應(yīng)用LAN Manager 和 NTLM 身份認(rèn)證協(xié)議的使用，其方式是將客戶端配置為僅可發(fā)送NTLMv2 響應(yīng)，而將服務(wù)器配置為可拒絕LAN Manager 的響應(yīng)。安全模板細(xì)分為 securews.inf 和 securedc.inf。 securews.inf 應(yīng)用于成員計算機(jī)， securedc.inf 應(yīng)用于服務(wù)器。4) 高級安全 (hisec*.inf)。高級安全模板是對加密和簽名做進(jìn)一步限制的安全模板的擴(kuò)展集，這些加密和簽名是進(jìn)行身份認(rèn)證和保證數(shù)據(jù)通過安全通道以及在SMB 客戶機(jī)和服務(wù)器之間進(jìn)行安全傳輸所必需的。例如，安全模板可以使服務(wù)器拒絕LAN Manager 的響應(yīng)，而高級安全模板則可以使服務(wù)的默認(rèn)安全設(shè)置