組策略設置系列之“安全選項”(共16頁)

1、組策略設置系列篇之“安全選項”-1設置, 選項組策略的“安全選項”部分啟用或禁用數(shù)字數(shù)據(jù)簽名、Administrator 和 Guest 帳戶名、軟盤驅動器和 CD-ROM 驅動器的訪問、驅動程序安裝操作和登錄提示的計算機安全設置。安全選項設置您可以在組策略對象編輯器的下列位置配置安全選項設置：計算機配置Windows 設置安全設置本地策略安全選項帳戶：管理員帳戶狀態(tài)此策略設置啟用或禁用 Administrator 帳戶的正常操作條件。如果以安全模式啟動計算機，Administrator 帳戶總是處于啟用狀態(tài)，而與如何配置此策略設置無關?！皫簦汗芾韱T帳戶狀態(tài)”設置的可能值為： 已啟用 已禁用

2、 沒有定義漏洞：在某些組織中，維持定期更改本地帳戶的密碼這項常規(guī)計劃可能會是很大的管理挑戰(zhàn)。因此，您可能需要禁用內(nèi)置的 Administrator 帳戶，而不是依賴常規(guī)密碼更改來保護其免受攻擊。需要禁用此內(nèi)置帳戶的另一個原因就是，無論經(jīng)過多少次登錄失敗它都不會被鎖定，這使得它成為強力攻擊（嘗試猜測密碼）的主要目標。另外，此帳戶還有一個眾所周知的安全標識符 (SID)，而且第三方工具允許使用 SID 而非帳戶名來進行身份驗證。此功能意味著，即使您重命名 Administrator 帳戶，攻擊者也可能使用該 SID 登錄來發(fā)起強力攻擊。對策：將“帳戶：管理員帳戶狀態(tài)”設置配置為“已禁用”，以便在正

3、常的系統(tǒng)啟動中不能再使用內(nèi)置的 Administrator 帳戶。潛在影響：如果禁用 Administrator 帳戶，在某些情況下可能會造成維護問題。例如，在域環(huán)境中，如果成員計算機和域控制器間的安全通道因任何原因而失敗，而且沒有其他本地 Administrator 帳戶，則您必須以安全模式重新啟動才能修復這個中斷安全通道的問題。如果當前的 Administrator 密碼不滿足密碼要求，則 Administrator 帳戶被禁用之后，無法重新啟用。如果出現(xiàn)這種情況，Administrators 組的另一個成員必須使用“本地用戶和組”工具來為該 Administrator 帳戶設置密碼。帳戶

4、：來賓帳戶狀態(tài)此策略設置確定是啟用還是禁用來賓帳戶?！皫簦簛碣e帳戶狀態(tài)”設置的可能值為： 已啟用 已禁用 沒有定義漏洞：默認 Guest 帳戶允許未經(jīng)身份驗證的網(wǎng)絡用戶以沒有密碼的 Guest 身份登錄。這些未經(jīng)授權的用戶能夠通過網(wǎng)絡訪問 Guest 帳戶可訪問的任何資源。此功能意味著任何具有允許 Guest 帳戶、Guests 組或 Everyone 組進行訪問的權限的網(wǎng)絡共享資源，都可以通過網(wǎng)絡對其進行訪問，這可能導致數(shù)據(jù)暴露或損壞。對策：將“帳戶：來賓帳戶狀態(tài)”設置配置為“已禁用”，以便內(nèi)置的 Guest 帳戶不再可用。潛在影響：所有的網(wǎng)絡用戶都將必須先進行身份驗證，才能訪問共享資源。

5、如果禁用 Guest 帳戶，并且“網(wǎng)絡訪問：共享和安全模式”選項設置為“僅來賓”，則那些由 Microsoft 網(wǎng)絡服務器（SMB 服務）執(zhí)行的網(wǎng)絡登錄將失敗。對于大多數(shù)組織來說，此策略設置的影響應該會很小，因為它是 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 中的默認設置。帳戶：使用空白密碼的本地帳戶只允許進行控制臺登錄此策略設置確定是否允許使用空白密碼的本地帳戶通過網(wǎng)絡服務（如終端服務、Telnet 和文件傳輸協(xié)議 (FTP)）進行遠程交互式登錄。如果啟用此策略設置，則本地帳戶必須有一個非空密碼，才能從遠程客戶端執(zhí)行交互式

6、或網(wǎng)絡登錄?！皫簦菏褂每瞻酌艽a的本地帳戶只允許進行控制臺登錄”設置的可能值為： 已啟用 已禁用 沒有定義注意：此策略設置不影響在控制臺上以物理方式執(zhí)行的交互式登錄，也不影響使用域帳戶的登錄。警告：使用遠程交互式登錄的第三方應用程序有可能跳過此策略設置。漏洞：空白密碼會對計算機安全造成嚴重威脅，應當通過組織的策略和適當?shù)募夹g措施來禁止。實際上，Windows Server 2003 Active Directory 目錄服務域的默認設置需要至少包含七個字符的復雜密碼。但是，如果能夠創(chuàng)建新帳戶的用戶跳過基于域的密碼策略，則他們可以創(chuàng)建具有空白密碼的帳戶。例如，某個用戶可以構建一個獨立的計算機，創(chuàng)

7、建一個或多個具有空白密碼的帳戶，然后將該計算機加入到域中。具有空白密碼的本地帳戶仍將正常工作。任何人如果知道其中一個未受保護的帳戶的名稱，都可以用它來登錄。對策：啟用“帳戶：使用空白密碼的本地帳戶只允許進行控制臺登錄”設置。潛在影響：無。這是默認配置。帳戶：重命名系統(tǒng)管理員帳戶此策略設置確定另一個帳戶名是否與 Administrator 帳戶的 SID 相關聯(lián)?！皫簦褐孛到y(tǒng)管理員帳戶”設置的可能值為： 用戶定義的文本 沒有定義漏洞：Administrator 帳戶存在于運行 Windows 2000、Windows Server 2003 或 Windows XP Professiona

8、l 操作系統(tǒng)的所有計算機上。如果重命名此帳戶，會使未經(jīng)授權的人員更難猜測這個具有特權的用戶名和密碼組合。無論攻擊者可能使用多少次錯誤密碼，內(nèi)置的 Administrator 帳戶都不能被鎖定。此功能使得 Administrator 帳戶成為強力攻擊（嘗試猜測密碼）的常見目標。這個對策的價值之所以減少，是因為此帳戶有一個眾所周知的 SID，而且第三方工具允許使用 SID 而非帳戶名來進行身份驗證。因此，即使您重命名 Administrator 帳戶，攻擊者也可能會使用該 SID 來登錄以發(fā)起強力攻擊。對策：在“帳戶：重命名系統(tǒng)管理員帳戶”設置中指定一個新名稱，以重命名 Administrator

9、 帳戶。注意：在后面的章節(jié)中，此策略設置既未在安全模板中進行配置，也不是本指南所建議帳戶的新用戶名。模板中忽略了這項策略設置，這樣做是為了讓使用本指南的眾多組織將不在其環(huán)境中實現(xiàn)同樣的新用戶名。潛在影響：您必須將這個新帳戶名通知給授權使用此帳戶的用戶。（有關此設置的指導假定 Administrator 帳戶沒有被禁用，這是本章前面建議的設置。）帳戶：重命名來賓帳戶“帳戶：重命名來賓帳戶”設置確定另一個帳戶名是否與 Guest 帳戶的 SID 相關聯(lián)。此組策略設置的可能值為： 用戶定義的文本 沒有定義漏洞：Guest 帳戶存在于運行 Windows 2000、Windows Server 200

10、3 或 Windows XP Professional 操作系統(tǒng)的所有計算機上。如果重命名此帳戶，會使未經(jīng)授權的人員更難猜測這個具有特權的用戶名和密碼組合。對策：在“帳戶：重命名來賓帳戶”設置中指定一個新名稱，以重命名 Guest 帳戶。注意：在后面的章節(jié)中，此策略設置既未在安全模板中進行配置，也不是本指南所建議帳戶的新用戶名。模板中忽略了這項策略設置，這樣做是為了讓使用本指南的眾多組織將不在其環(huán)境中實現(xiàn)同樣的新用戶名。潛在影響：影響應該會很小，因為在默認情況下，Windows 2000、Windows XP 和 Windows Server 2003 中已禁用“Guest”帳戶。審核：對備份

11、和還原權限的使用進行審核如果啟用此策略設置，在計算機創(chuàng)建系統(tǒng)對象（如多用戶端執(zhí)行程序、事件、信號燈和 MS-DOS 設備）時，將應用默認的系統(tǒng)訪問控制列表 (SACL)。如果如本指南第 3 章中所述，您還啟用了“審核對象訪問”審核設置，則會審核對這些系統(tǒng)對象的訪問。全局系統(tǒng)對象（又被稱作“基本系統(tǒng)對象”或“基本命名對象”是存活時間很短的內(nèi)核對象，它們的名稱是由創(chuàng)建它們的應用程序或系統(tǒng)組件分配的。這些對象經(jīng)常用于同步多個應用程序或一個復雜應用程序的多個部分。由于它們具有名稱，因此這些對象在作用域內(nèi)是全局的，從而對于計算機上的所有進程均可見。這些對象都具有一個安全描述符，但是它們通常有一個空的系統(tǒng)

12、訪問控制列表。如果在啟動時啟用此策略設置，內(nèi)核將在這些對象被創(chuàng)建時向它們分配一個系統(tǒng)訪問控制列表?！皩徍耍簩θ窒到y(tǒng)對象的訪問進行審核”設置的可能值為： 已啟用 已禁用 沒有定義漏洞：如果沒有正確地保護某個全局可見的命名對象，則知道該對象名稱的惡意程序可能會針對該對象進行操作。例如，如果某個同步對象（如多用戶終端執(zhí)行程序）有一個錯誤選擇的任意訪問控制列表 (DACL)，則惡意程序可以按名稱訪問這個多用戶終端執(zhí)行程序，并且導致創(chuàng)建這個多用戶終端執(zhí)行程序的程序無法正常工作。但是，出現(xiàn)這種情況的風險會非常低。對策：啟用“審核：對全局系統(tǒng)對象的訪問進行審核”設置。潛在影響：如果啟用“審核：對全局系統(tǒng)對

13、象的訪問進行審核”設置，可能會生成大量安全事件，尤其是在繁忙的域控制器和應用程序服務器上。這類情況可能導致服務器響應緩慢，并迫使安全事件日志記錄許多無關緊要的事件。此策略設置只能被啟用或禁用，并且沒有篩選記錄哪些事件和不記錄哪些事件的辦法。即使組織有能夠分析由此策略設置所生成事件的資源，它們也不可能具有每個命名對象的源代碼或關于其用途的說明。因此，對于許多組織來說，將此策略設置配置為“已啟用”，不大可能獲得什么好處。審核：對備份和還原權限的使用進行審核此策略設置確定在“審核權限使用”設置生效時，是否對所有用戶權限（包括“備份和還原”權限）的使用進行審核。如果啟用這兩個策略設置，會為備份或還原的

14、每個文件生成一個審核事件。如果啟用此策略設置并結合使用“審核權限使用”設置，用戶權限的任何行使狀況都會記錄在安全日志中。如果禁用此策略設置，則即使啟用“審核權限使用”，也不會對用戶行使備份或還原權限的操作進行審核?！皩徍耍簩浞莺瓦€原權限的使用進行審核”設置的可能值為： 已啟用 已禁用 沒有定義漏洞：如果在啟用“審核權限使用”設置的同時啟用此選項，則備份或還原每個文件都會生成一個審核事件。此信息會幫助您識別被用于以未經(jīng)授權的方式意外或惡意還原數(shù)據(jù)的帳戶。對策：啟用“對備份和還原權限的使用進行審核”設置?；蛘?，也可以通過配置 AutoBackupLogFiles 注冊表項來實施自動記錄備份，潛在

15、影響：如果啟用此策略設置，可能會生成大量安全事件，這可能導致服務器響應緩慢，并迫使安全事件日志記錄許多無關緊要的事件。如果增加安全日志大小以減少系統(tǒng)關閉的機率，過大的日志文件可能影響系統(tǒng)性能。審核：如果無法記錄安全審核則立即關閉系統(tǒng)此策略設置確定在無法記錄安全事件時是否關閉計算機?？尚庞嬎銠C系統(tǒng)評測標準 (TCSEC)（C2 和通用標準認證）需要在審核系統(tǒng)無法記錄可審核事件時，計算機能夠防止出現(xiàn)這些事件。Microsoft 所選擇的以滿足此要求的方法是：在無法審核系統(tǒng)時，暫停計算機并顯示一則停止消息。如果啟用此策略設置，計算機會在出于任何原因不能記錄安全審核時停止。通常，當安全事件日志已滿，而

16、且為它指定的保留方法為“不覆蓋事件”或“按天數(shù)覆蓋事件”時，將無法記錄事件。啟用此策略設置時，如果安全日志已滿且不能覆蓋現(xiàn)有條目，則會顯示下列停止消息：STOP:C0000244 審核失敗嘗試生成安全審核失敗。要進行恢復，管理員必須登錄，對日志進行存檔（可選），清除日志，然后禁用此選項以允許計算機重新啟動。此時，可能需要先手動清除安全事件日志，然后才能將此策略設置配置為“已啟用”?！皩徍耍喝绻麩o法記錄安全審核則立即關閉系統(tǒng)”設置的可能值為： 已啟用 已禁用 沒有定義漏洞：如果計算機無法將事件記錄到安全日志中，則在出現(xiàn)安全事件之后，可能無法使用關鍵的證據(jù)或重要的疑難解答信息來進行審查。此外，還有

17、攻擊者會生成大量安全事件日志消息以故意強制計算機關閉的潛在可能。對策：啟用“如果無法記錄安全審核則立即關閉系統(tǒng)”設置。潛在影響：如果啟用此策略設置，管理負擔可能會非常大，尤其是當您還將安全日志的“保留”方法配置為“不覆蓋事件（手動清除日志）”時更是如此。此配置會導致抵賴威脅（備份操作員可能否認他們備份或還原了數(shù)據(jù)）成為拒絕服務 (DoS) 漏洞，因為服務器會因寫入到安全日志中的大量登錄事件和其他安全事件而被迫關閉。另外，由于是非正常關閉，因此可能會對操作系統(tǒng)、應用程序或數(shù)據(jù)造成不可修復的損害。盡管 NTFS 文件系統(tǒng) (NTFS) 將保證在系統(tǒng)非正常關閉過程中保持文件系統(tǒng)的完整性，但是它不能保

18、證在計算機重新啟動時，每個應用程序的每個數(shù)據(jù)文件都仍然處于可用狀態(tài)。DCOM：在安全描述符定義語言 (SDDL) 語法中的計算機訪問限制此策略設置允許管理員在計算機上定義用于管理對基于所有分布式組件對象模型 (DCOM) 的應用程序訪問的其他計算機范圍訪問控件。這些控件限制計算機上的調(diào)用、激活或啟動請求?？紤]這些訪問控件最簡單的方法就是對計算機上任何 COM 服務器的每個調(diào)用、激活或啟動，根據(jù)計算機范圍的訪問控制列表 (ACL) 作為附加訪問檢查調(diào)用執(zhí)行。如果訪問檢查失敗，調(diào)用、激活或啟動請求將被拒絕。（此檢查是根據(jù)服務器特定的 ACL 運行的任何訪問檢查以外的附加檢查。）實際上，它提供了在計

19、算機上訪問任何 COM 服務器時必須通過的最低授權標準?！癉COM：在安全描述符定義語言 (SDDL) 語法中的計算機訪問限制”設置控制訪問權限以保護調(diào)用權限。這些計算機范圍的 ACL 提供了一種可覆蓋由特定應用程序通過 CoInitializeSecurity 或應用程序特定的安全設置指定的弱安全性設置的方式。它們提供必須通過的最低安全標準，而不管特定服務器的設置如何。這些 ACL 為管理員提供了一個用于設置應用于計算機上的所有 COM 服務器的一般授權策略的集中位置?！癉COM：在安全描述符定義語言 (SDDL) 語法中的計算機訪問限制”設置允許您以兩種不同方式指定一個 ACL。您可以以

20、SDDL 鍵入安全描述符，或者選擇用戶和組并授予或拒絕其本地訪問和遠程訪問權限。Microsoft 建議您使用內(nèi)置的用戶界面以指定您想要使用此設置應用的 ACL 內(nèi)容。漏洞：許多 COM 應用程序包括一些安全特定代碼（例如，用于調(diào)用 CoInitializeSecurity），但卻使用弱設置，通常允許未經(jīng)驗證就可訪問進程。在 Windows 的較早版本中，若不修改應用程序，管理員不能覆蓋這些設置以強制強安全性。攻擊者可能會通過 COM 調(diào)用來進行攻擊以嘗試利用單個應用程序中的弱安全性。此外，COM 結構還包括 RPCSS，一種在計算機啟動過程中運行并在啟動后始終運行的系統(tǒng)服務。此服務管理 CO

21、M 對象的激活和運行的對象表，并為 DCOM 遠程處理提供幫助服務。它公開可遠程調(diào)用的 RPC 接口。由于某些 COM 服務器允許未經(jīng)驗證的遠程訪問（如前面部分所述），因此任何人都可調(diào)用這些接口，包括未經(jīng)驗證的用戶。因此，使用遠程、未經(jīng)驗證的計算機的惡意用戶能夠攻擊 RPCSS。對策：為保護單個基于 COM 的應用程序或服務，請將“DCOM：在安全描述符定義語言 (SDDL) 語法中的計算機訪問限制”設置設置為相應計算機范圍的 ACL。潛在影響：Windows XP SP2 和 Windows Server 2003 SP1 按照其各自的文檔中所指定的內(nèi)容實施默認的 COM ACL。如果實施

22、COM 服務器并覆蓋默認安全設置，請確認應用程序特定調(diào)用權限 ACL 為相應用戶分配了正確權限。如果不是，您將必須更改應用程序特定權限 ACL 來為相應用戶提供激活權限，以便使用 DCOM 的應用程序和 Windows 組件不會失敗。DCOM：在安全描述符定義語言 (SDDL) 語法中的計算機啟動限制此策略設置與“DCOM：在安全描述符定義語言 (SDDL) 語法中的計算機訪問限制”設置相類似，因為它允許管理員定義可管理對計算機上所有基于 DCOM 應用程序的訪問的附加計算機范圍訪問控制。但是，此策略設置中指定的 ACL 控制計算機上的本地和遠程 COM 啟動請求（不是訪問請求）?？紤]此訪問控

23、制最簡單的方法是對計算機上任何 COM 服務器的每個啟動，根據(jù)計算機范圍的 ACL 作為附加訪問檢查調(diào)用執(zhí)行。如果訪問檢查失敗，調(diào)用、激活或啟動請求將被拒絕。（此檢查是針對服務器特定的 ACL 運行的任何訪問檢查以外的附加檢查。）實際上，它提供了在計算機上啟動任何 COM 服務器時必須通過的最低授權標準。早期策略有所不同，因為它提供最低的訪問檢查，應用該檢查以試圖訪問已啟動的 COM 服務器。這些計算機范圍的 ACL 提供了一種可覆蓋由特定應用程序通過 CoInitializeSecurity 或應用程序特定的安全設置指定的弱安全性設置的方式。它們提供必須通過的最低安全標準，而不管特定 COM

24、 服務器的設置如何。這些 ACL 為管理員提供了一個用于設置應用于計算機上的所有 COM 服務器的一般授權策略的集中位置?！癉COM：在安全描述符定義語言 (SDDL) 語法中的計算機啟動限制”設置允許您以兩種不同方式指定一個 ACL。您可以以 SDDL 鍵入安全描述符，或者選擇用戶和組并授予或拒絕其本地訪問和遠程訪問權限。Microsoft 建議您使用內(nèi)置的用戶界面以指定您想要使用此設置應用的 ACL 內(nèi)容。漏洞：許多 COM 應用程序包括一些安全特定代碼（例如，用于調(diào)用 CoInitializeSecurity），但卻使用弱設置，通常允許未經(jīng)驗證就可訪問進程。在 Windows 的較早版本

25、中，若不修改應用程序，管理員不能覆蓋這些設置以強制強安全性。攻擊者可能會通過 COM 調(diào)用來進行攻擊以嘗試利用單個應用程序中的弱安全性。此外，COM 結構還包括 RPCSS，一種在計算機啟動過程中運行并在啟動后始終運行的系統(tǒng)服務。此服務管理 COM 對象的激活和運行的對象表，并為 DCOM 遠程處理提供幫助服務。它公開可遠程調(diào)用的 RPC 接口。由于某些 COM 服務器允許未經(jīng)驗證的遠程組件激活（如前面部分所述），因此任何人都可調(diào)用這些接口，包括未經(jīng)驗證的用戶。因此，使用遠程、未經(jīng)驗證的計算機的惡意用戶能夠攻擊 RPCSS。對策：為保護單個基于 COM 的應用程序或服務，請將“DCOM：在安全

26、描述符定義語言 (SDDL) 語法中的計算機啟動限制”設置設置為相應計算機范圍的 ACL。潛在影響Windows XP SP2 和 Windows Server 2003 SP1 按照各自的文檔中所指定的內(nèi)容實施默認的 COM ACL。如果實施 COM 服務器并覆蓋默認安全設置，請確認應用程序特定啟動權限 ACL 為相應用戶分配了激活權限。如果不是，您將必須更改應用程序特定啟動權限 ACL 來為相應用戶提供激活權限，以便使用 DCOM 的應用程序和 Windows 組件不會失敗。設備：允許不登錄移除此策略設置確定用戶是否必須登錄才能請求權限以從擴展塢移除便攜式計算機。如果啟用此策略設置，用戶將

27、能夠通過按已插接的便攜式計算機上的物理彈出按鈕來安全移除計算機。如果禁用此策略設置，用戶必須登錄才能收到移除計算機的權限。只有具有“從擴展塢中取出計算機”特權的用戶才能獲得此權限。注意：只有針對不能以機械方式移除的便攜式計算機，才應禁用此策略設置?？梢砸詸C械方式移除的計算機能夠被用戶物理取出，不管他們是否使用 Windows 移除功能?！霸O備：允許不登錄移除”設置的可能值為： 已啟用 已禁用 沒有定義漏洞：如果啟用此策略設置，則任何人只要能夠物理訪問放置在其擴展塢中的便攜式計算機，就都可以取出計算機并有可能損害它們。對于沒有擴展塢的計算機，此策略設置沒有任何影響。對策：禁用“設備：允許不登錄移

28、除”設置。潛在影響：已經(jīng)固定其計算機的用戶將必須先登錄到本地控制臺，才能移除其計算機。設備：允許格式化和彈出可移動媒體此策略設置確定允許誰格式化和彈出可移動媒體?！霸O備：允許格式化和彈出可移動媒體”設置的可能值為： Administrators Administrators 和 Power Users Administrators 和 Interactive Users 沒有定義漏洞：用戶可以將可移動磁盤上的數(shù)據(jù)移到他們具有管理特權的另一臺計算機上。然后，該用戶可以獲取任何文件的所有權，授予自己完全控制權限，查看或修改任何文件。由于大多數(shù)可移動存儲設備都可以通過按一個機械按鈕來彈出媒體這一事實

29、，此策略設置的優(yōu)勢會有所減弱。對策：將“允許格式化和彈出可移動媒體”設置配置為 Administrators。潛在影響：只有管理員才能夠彈出 NTFS 格式化的可移動媒體。設備：防止用戶安裝打印機驅動程序對于要打印到某個網(wǎng)絡打印機的計算機，必須在本地計算機上安裝該網(wǎng)絡打印機的驅動程序?！霸O備：防止用戶安裝打印機驅動程序”設置確定誰可以安裝打印機驅動程序（作為添加網(wǎng)絡打印機的一部分）。如果啟用此策略設置，只有 Administrators 和 Power Users 組的成員允許在添加網(wǎng)絡打印機時安裝打印機驅動程序。如果禁用此策略設置，任何用戶在添加網(wǎng)絡打印機時都可以安裝打印機驅動程序。此策略設

30、置可防止典型用戶下載和安裝不受信任的打印機驅動程序。注意：如果管理員已經(jīng)配置了下載驅動程序的受信任路徑，則此策略設置沒有任何影響。如果使用受信任路徑，打印子系統(tǒng)會嘗試使用受信任路徑下載驅動程序。如果受信任路徑下載成功，則可以代表任何用戶安裝驅動程序。如果受信任路徑下載失敗，則驅動程序不會進行安裝，網(wǎng)絡打印機不進行添加?！霸O備：防止用戶安裝打印機驅動程序”設置的可能值為： 已啟用 已禁用 沒有定義漏洞：在某些組織中允許用戶在其自己的工作站上安裝打印機驅動程序可能是適當?shù)?。但是，應不允許用戶在服務器上進行這類安裝。在服務器上安裝打印機驅動程序可能會在無意中使計算機變得不太穩(wěn)定。只有管理員在服務器上

31、具有此特權。惡意用戶可能會安裝不適當?shù)拇蛴C驅動程序來故意試圖損害計算機，或者用戶也可能會意外安裝一些偽裝成打印機驅動程序的惡意代碼。對策：將“設備：防止用戶安裝打印機驅動程序”設置配置為“已啟用”。潛在影響：只有具有 Administrative、Power User 或 Server Operator 特權的用戶才能夠在服務器上安裝打印機。如果啟用了此策略設置，但是網(wǎng)絡打印機的驅動程序已經(jīng)存在于本地計算機上，則用戶仍可以添加網(wǎng)絡打印機。設備：只有本地登錄的用戶才能訪問 CD-ROM此策略設置確定 CD-ROM 是否可供本地和遠程用戶同時訪問。如果啟用此策略設置，將僅允許交互式登錄的用戶訪問

32、可移動的 CD-ROM 媒體。如果啟用了此策略設置，且沒有人交互登錄，則可以通過網(wǎng)絡訪問 CD-ROM?！霸O備：只有本地登錄的用戶才能訪問 CD-ROM”設置的可能值為： 已啟用 已禁用 沒有定義漏洞：遠程用戶可能會訪問包含敏感信息、已裝入的 CD-ROM。這種風險的可能性很小，因為 CD-ROM 驅動器不會自動成為網(wǎng)絡共享資源，管理員必須專門選擇共享此驅動器。但是，管理員可能希望拒絕網(wǎng)絡用戶查看數(shù)據(jù)或從服務器上的可移動媒體運行應用程序的能力。對策：啟用“只有本地登錄的用戶才能訪問 CD-ROM”設置。潛在影響：當有人登錄到服務器的本地控制臺時，通過網(wǎng)絡連接到服務器的用戶將無法使用安裝在服務器

33、上的任何 CD-ROM 驅動器。需要訪問 CD-ROM 驅動器的系統(tǒng)工具將失敗。例如，卷影復制服務試圖在計算機初始化時訪問計算機上的所有 CD-ROM 和軟盤驅動器，并且如果服務無法訪問其中一個驅動器，它將失敗。如果已為備份作業(yè)指定卷影副本，這種情況將導致 Windows 備份工具失敗。任何使用卷影副本的第三方備份產(chǎn)品也將失敗。對于充當網(wǎng)絡用戶 CD 點唱機的計算機，此策略設置不適合。設備：只有本地登錄的用戶才能訪問軟盤此策略設置確定可移動軟盤媒體是否可供本地和遠程用戶同時訪問。如果啟用此策略設置，將僅允許交互式登錄的用戶訪問可移動的軟盤媒體。如果啟用了此策略設置，且沒有人交互登錄，則可以通過

34、網(wǎng)絡訪問軟盤?！霸O備：只有本地登錄的用戶才能訪問軟盤”設置的可能值為： 已啟用 已禁用 沒有定義漏洞：遠程用戶可能會訪問包含敏感信息、已裝入的軟盤。這種風險的可能性很小，因為軟盤驅動器不會自動成為網(wǎng)絡共享資源，管理員必須專門選擇共享此驅動器。但是，管理員可能希望拒絕網(wǎng)絡用戶查看數(shù)據(jù)或從服務器上的可移動媒體運行應用程序的能力。對策：啟用“只有本地登錄的用戶才能訪問軟盤”設置。潛在影響：當有人登錄到服務器的本地控制臺時，通過網(wǎng)絡連接到服務器的用戶將無法使用安裝在服務器上的任何軟盤驅動器。需要訪問軟盤驅動器的系統(tǒng)工具將失敗。例如，卷影復制服務試圖在計算機初始化時訪問計算機上的所有 CD-ROM 和軟

35、盤驅動器，并且如果服務無法訪問其中一個驅動器，它將失敗。如果已為備份作業(yè)指定卷影副本，這種情況將導致 Windows 備份工具失敗。任何使用卷影副本的第三方備份產(chǎn)品也將失敗。設備：未簽名驅動程序的安裝操作此策略設置確定在試圖安裝未經(jīng) Windows 硬件質量實驗室 (WHQL) 認證和簽名的設備驅動程序（使用安裝應用程序編程接口 (API) 方法）時，將發(fā)生的操作?！霸O備：未簽名驅動程序的安裝操作”設置的可能值為： 默認繼續(xù) 允許安裝但發(fā)出警告 禁止安裝 沒有定義漏洞：此策略設置可以防止安裝未經(jīng)簽名的驅動程序，或向管理員發(fā)出警告指出有人要安裝未經(jīng)簽名的驅動程序軟件。此功能可以防止使用 Setu

36、p API 安裝尚未通過認證在 Windows XP 或 Windows Server 2003 上運行的驅動程序。此策略設置將不能防止某些攻擊工具使用某種方法來復制和注冊惡意的 .sys 文件，從而將這些文件作為系統(tǒng)服務啟動。對策：將“設備：未簽名驅動程序的安裝操作”設置配置為“允許安裝但發(fā)出警告”，這是 Windows XP SP2 的默認配置。Windows Server 2003 的默認配置為“沒有定義”。潛在影響：如果用戶具有安裝設備驅動程序的足夠特權，則他們將能夠安裝未簽名的設備驅動程序。但是，此功能可能會導致服務器產(chǎn)生穩(wěn)定性問題?！霸试S安裝但發(fā)出警告”配置還有另一個潛在問題，那就

37、是，無人參與的安裝腳本在嘗試安裝未簽名的驅動程序時將會失敗。域控制器：允許服務器操作員計劃任務此策略設置確定是否允許服務器操作員通過 AT 計劃工具提交作業(yè)。注意：此安全選項設置只影響 AT 計劃工具。它不影響“任務計劃程序”工具?！坝蚩刂破鳎涸试S服務器操作員計劃任務”設置的可能值為： 已啟用 已禁用 沒有定義漏洞：如果啟用此策略設置，由服務器操作員通過 AT 服務創(chuàng)建的作業(yè)將在運行該服務的帳戶的上下文中執(zhí)行。在默認情況下，這是本地的 SYSTEM 帳戶。如果啟用此策略設置，服務器操作員可以執(zhí)行 SYSTEM 能夠執(zhí)行、但是他們通常無法執(zhí)行的任務，例如將他們的帳戶添加到本地 Administr

38、ators 組中。對策：禁用“域控制器：允許服務器操作員計劃任務”設置。潛在影響：對于大多數(shù)組織來說，影響會很小。用戶（包括 Server Operators 組的用戶） 仍然可以通過“任務計劃程序向導”創(chuàng)建作業(yè)。但是，這些作業(yè)運行的上下文將是用戶設置作業(yè)時進行身份驗證所用帳戶的上下文。域控制器：LDAP 服務器簽名要求此策略設置確定輕型目錄訪問協(xié)議 (LDAP) 服務器是否要求 LDAP 客戶端協(xié)商數(shù)據(jù)簽名?！坝蚩刂破鳎篖DAP 服務器簽名要求”設置的可能值為： 無。數(shù)據(jù)簽名不是與服務器綁定所必需的。如果客戶端請求數(shù)據(jù)簽名，則服務器會支持它。 要求簽名。除非使用傳輸層安全性/安全套接字層 (

39、TLS/SSL)，否則必須協(xié)商 LDAP 數(shù)據(jù)簽名選項。 沒有定義。漏洞：未簽名的網(wǎng)絡通信易遭受中間人攻擊。在這類攻擊中，入侵者捕獲服務器和客戶端之間的數(shù)據(jù)包，進行修改，然后將它們轉發(fā)到客戶端。在涉及 LDAP 服務器的環(huán)境中，攻擊者可以讓客戶端根據(jù)來自 LDAP 目錄的錯誤記錄作出決策。要降低對組織網(wǎng)絡的這類入侵的風險，可以實施強物理安全措施，從而保護網(wǎng)絡基礎結構。此外，也可以實施 Internet 協(xié)議安全 (IPSec) 身份驗證頭模式 (AH)，它可以針對 IP 通信執(zhí)行相互身份驗證和數(shù)據(jù)包完整性，從而使所有類型的中間人攻擊變得極其困難。對策：將“域控制器：LDAP 服務器簽名要求”設

40、置配置為“要求簽名”。潛在影響：不支持 LDAP 簽名的客戶端將無法針對域控制器執(zhí)行 LDAP 查詢。組織中從基于 Windows Server 2003 或 Windows XP 的計算機進行管理的所有基于 Windows 2000 的計算機和使用 Windows NT 質詢/響應 (NTLM) 身份驗證的計算機都必須安裝 Windows 2000 Service Pack 3 (SP3)?；蛘?，這些客戶端必須進行 Microsoft 知識庫文章 Q325465“使用 Windows Server 2003 管理工具時 Windows 2000 域控制器需要 SP3 或更高版本”中描述的注冊

41、表更改，該文章網(wǎng)址為px?scid=325465。另外，某些第三方操作系統(tǒng)不支持 LDAP 簽名。如果啟用此策略設置，使用這些操作系統(tǒng)的客戶端計算機可能無法訪問域資源。域控制器：拒絕更改機器帳戶密碼此策略設置確定域控制器是否接受計算機帳戶的密碼更改請求?！坝蚩刂破鳎壕芙^更改機器帳戶密碼”設置的可能值為： 已啟用 已禁用 沒有定義漏洞：如果在域中的所有域控制器上啟用此策略設置，域成員將不能更改其計算機帳戶密碼，并且這些密碼將更易遭受攻擊。對策：禁用“域控制器：拒絕更改機器帳戶密碼”設置。潛在影響：無。這是默認配置。域成員：對安全通道數(shù)據(jù)進行數(shù)字加密或簽名（多個相關設置）下列策略設置確定是否與不能

42、對安全通道通信進行簽名或加密的域控制器建立安全通道： 域成員：對安全通道數(shù)據(jù)進行數(shù)字加密或簽名（總是） 域成員：對安全通道數(shù)據(jù)進行數(shù)字加密（如果可能） 域成員：對安全通道數(shù)據(jù)進行數(shù)字簽名（如果可能）如果啟用“域成員：對安全通道數(shù)據(jù)進行數(shù)字加密或簽名（總是）”設置，則不能與不能對所有安全通道數(shù)據(jù)進行簽名或加密的任何域控制器建立安全通道。為了防止身份驗證通信受到中間人、重播以及其他類型的網(wǎng)絡攻擊，基于 Windows 的計算機會通過名為“Secure Channels（安全通道）”的 NetLogon 來創(chuàng)建通信通道。這些通道對計算機帳戶進行身份驗證，當遠程用戶連接到網(wǎng)絡資源，而且該用戶的帳戶存在

43、于受信任域中時，這些通道還對用戶帳戶進行身份驗證。這種身份驗證被稱作通過式身份驗證，它允許加入到某個域的計算機訪問位于它所在的域以及任何受信任域中的用戶帳戶數(shù)據(jù)庫。注意：要在成員工作站或服務器上啟用“域成員：對安全通道數(shù)據(jù)進行數(shù)字加密或簽名（總是）”設置，該成員所屬的域中的所有域控制器都必須能夠對全部安全通道數(shù)據(jù)進行簽名或加密。這項要求意味著所有這類域控制器必須運行 Windows NT 4.0 Service Pack 6a 或 Windows 操作系統(tǒng)的更高版本。如果啟用“域成員：對安全通道數(shù)據(jù)進行數(shù)字加密或簽名（總是）”設置，則會自動啟用“域成員：對安全通道數(shù)據(jù)進行數(shù)字簽名（如果可能）”

44、設置。此策略設置的可能值為： 已啟用 已禁用 沒有定義漏洞：當 Windows Server 2003、Windows XP、Windows 2000 或 Windows NT 計算機加入某個域時，將創(chuàng)建一個計算機帳戶。加入該域之后，計算機在每次重新啟動時，都使用此帳戶的密碼，與它所在域的域控制器創(chuàng)建一個安全通道。在安全通道上發(fā)送的請求將被驗證，敏感信息（如密碼）將被加密，但不會對通道進行完整性檢查，也不會加密所有的信息。如果計算機被配置為總是對安全通道數(shù)據(jù)進行加密或簽名，但域控制器無法對安全通道數(shù)據(jù)的任何部分進行簽名或加密，則計算機和域控制器無法建立安全通道。如果計算機被配置為在可能的情況下

45、對安全通道數(shù)據(jù)進行加密或簽名，則可以建立安全通道，但是會對加密和簽名的級別進行協(xié)商。對策： 將“域成員：對安全通道數(shù)據(jù)進行數(shù)字加密或簽名（總是）”設置配置為“已啟用”。 將“域成員：對安全通道數(shù)據(jù)進行數(shù)字加密（如果可能）”設置配置為“已啟用”。 將“域成員：對安全通道數(shù)據(jù)進行數(shù)字簽名（如果可能）”設置配置為“已啟用”。潛在影響：對“安全通道”進行數(shù)字加密和簽名（如果支持的話）是一個好主意。在域憑據(jù)被發(fā)送到域控制器時，安全通道保護這些憑據(jù)。但是，只有 Windows NT 4.0 Service Pack 6a (SP6a) 和 Windows 操作系統(tǒng)的后續(xù)版本才支持對安全通道進行數(shù)字加密和簽

46、名。Windows 98 Second Edition 客戶端不支持它（除非它們安裝了 Dsclient）。因此，對于支持將 Windows 98 客戶端作為域成員的域控制器，不能啟用“域成員：對安全通道數(shù)據(jù)進行數(shù)字加密或簽名（總是）”設置。潛在影響可能包括以下情況： 創(chuàng)建或刪除下級信任關系的能力將被禁用。 從下級客戶端登錄將被禁用。 從下級受信任域中對其他域的用戶進行身份驗證的能力將被禁用。在從域中清除所有的 Windows 9x 客戶端、將受信任/信任域中的所有 Windows NT 4.0 服務器和域控制器升級到 Windows NT 4.0 SP6a 之后，可以啟用此策略設置。對于域中

47、的所有計算機，還可以啟用另外兩個策略設置：“域成員：對安全通道數(shù)據(jù)進行數(shù)字加密（如果可能）”和“域成員：對安全通道數(shù)據(jù)進行數(shù)字簽名（如果可能）”，但前提是這些計算機支持這兩個設置而且不影響下級客戶端和應用程序。域成員：禁用更改機器帳戶密碼此策略設置確定域成員是否可以定期更改其計算機帳戶密碼。如果啟用此策略設置，域成員不能更改其計算機帳戶密碼。如果禁用此策略設置，將允許域成員根據(jù)“域成員：最長機器帳戶密碼壽命”設置更改其計算機帳戶密碼，在默認情況下是每 30 天更改一次。警告：請不要啟用此策略設置。計算機帳戶密碼用于在成員和域控制器之間以及域中的域控制器之間建立安全通道通信。在建立了這類通信之后，安全通道會傳輸進