4《中国石化windows服务器系统安全配置指南》(信系[20.doc

1 中国石化中国石化 Windows 服务器系统安全配置指南服务器系统安全配置指南 V 1 1 2007 年年 05 月月 16 日日 2 目目 录录 1概述概述 3 1 1适用范围 3 1 2实施 3 1 3例外条款 3 1 4检查和维护 3 2适用版本适用版本 4 3用户账号控制用户账号控制 4 3 1密码策略 4 3 2复杂性要求 4 3 3账户锁定策略 5 3 4内置默认账户安全 5 3 5安全选项策略 6 4注册表安全配置注册表安全配置 8 4 1注册表访问授权 8 4 2禁止匿名访问注册表 9 4 3针对网络攻击的安全考虑事项 9 4 4禁用 8 3 格式文件名的自动生成 10 4 5禁用 LMHASH 创建 10 4 6配置 NTLMSSP 安全 11 4 7禁用自动运行功能 11 4 8附加的注册表安全配置 11 5服务管理服务管理 12 5 1成员服务器 12 5 2域控制器 13 6文件文件 目录控制目录控制 14 6 1目录保护 14 6 2文件保护 15 7服务器操作系统补丁管理服务器操作系统补丁管理 19 7 1确定修补程序当前版本状态 19 7 2部署修补程序 19 8系统审计日志系统审计日志 19 9其它配置安全其它配置安全 20 9 1确保所有的磁盘卷使用 NTFS 文件系统 20 9 2系统启动设置 20 9 3屏幕保护设置 21 9 4远程管理访问要求 21 3 1 概述概述 本规范规定了中国石化范围内安装有 Windows 操作系统的主机应当遵循的 操作系统安全性设置标准 旨在指导系统管理人员进行 Windows 操作系统的安 全配置 1 1适用范围适用范围 本规范适用于中国石油化工股份有限公司范围内运行的 Windows 2000 Server Windows 2003 服务器系统 集团公司及集团公司所属部门和单位参照 本规范执行 1 2实施实施 本规范由中国石化股份公司信息系统管理部统一解释 本规范自正式发布 之日起执行 1 3例外条款例外条款 欲申请本标准的例外条款 申请人必须准备书面申请文件 说明业务需求 和原因 送交中国石化信息系统管理部进行审批备案 1 4检查和维护检查和维护 根据中国石化经营活动的需要 每年检查和评估本标准 并做出适当更新 如果在突发事件处理过程中 发现需对本标准进行变更 也需要进行本标准的 维护 本标准的变更草案由中国石化信息系统管理部负责进行审核批准 4 2 适用版本适用版本 Windows 2000 Server Windows 2003 3 用户账号控制用户账号控制 基本策略 用户被赋予唯一的用户名 用户 ID UID 3 1密码策略密码策略 默认情况下 将对域中的所有服务器强制执行一个标准密码策略 下表列 出了一个标准密码策略的设置以及要求的最低设置 策略策略默认设置默认设置要求最低设置要求最低设置 强制执行密码历史记录记住 1 个密码记住 5 个密码 密码最长期限42 天42 天 密码最短期限0 天0 天 最短密码长度0 个字符8 个字符 密码必须符合复杂性要求禁用启用 为域中所有用户使用可还原的加密来储存密码禁用禁用 3 2复杂性要求复杂性要求 当组策略的 密码必须符合复杂性要求 设置启用后 要求密码最短设置 为 8 个字符长 建议密码中必须包含下面类别中至少三个类别的字符 英语大写字母 A B C Z 英语小写字母 a b c z 西方阿拉伯数字 0 1 2 9 非字母数字字符 如标点符号 3 3账户锁定策略账户锁定策略 有效的账户锁定策略有助于防止账户的密码被破解 下表列出了默认账户 5 锁定策略的设置以及要求的最低设置 策略策略默认设置默认设置要求最低设置要求最低设置 账户锁定时间未定义30 分钟 账户锁定阈值 0 5 次无效登录 复位账户锁定计数器未定义30 分钟 3 4内置默认账户安全内置默认账户安全 对 Windows 不可删除的内置用户账户 应通过禁用 重命名或设置相关权 限的方式来保证系统的安全性 帐户名帐户名建议安全配置策略建议安全配置策略适用系统适用系统 Administrator 1 此帐户必须在安装后立即重命名并修改 相关密码 2 对于系统管理员建议建立一个相关拥有 Administrator 组权限的新用户 平时 使用此帐户登陆 只有在有特殊需要时 才使用重命名后的 Administrator 进行 系统登陆 Windows 2000 Server Windows Server 2003 Guest 帐户必须禁用 如有特殊需要保留也一定要 重命名 Windows 2000 Server Windows Server 2003 TSInternetUser 此帐户是为了 Terminal Services Internet Connector License 使用而存在 的 故帐户必须禁用 不会对于正常的 Terminal Services 的功能有影响 Windows 2000 Server Windows Server 2003 SUPPORT 388945a0 此帐户是为了 IT 帮助和支持服务 此帐户 必须禁用 Windows Server 2003 IUSR system 必须只能是 Guest 组的成员 此帐户为 IIS Internet Information Server 服务建立的 6 IWAM system 必须只能是 Guest 组的成员 此帐户为 IIS Internet Information Server 服务建立的 3 5安全选项策略安全选项策略 域策略中的安全选项应根据以下设置修改 选项选项设置设置 对匿名连接的附加限制没有显式匿名权限就无法访问 允许服务器操作员计划任务 仅用于域控制器 禁用 允许在未登录前系统关机禁用 允许弹出可移动 NTFS 媒体管理员 在断开会话之前所需的空闲时间15 分钟 对全局系统对象的访问进行审计禁用 对备份和还原权限的使用进行审计禁用 登录时间过期就自动注销用户未定义 见附注 当登录时间过期就自动注销用户 本地 启用 在系统关机时清除虚拟内存页面交换文件启用 对客户端通讯使用数字签名 始终 启用 对客户端通讯使用数字签名 如果可能 启用 对服务器通讯使用数字签名 始终 启用 对服务器通讯进行数字签名 如果可能 启用 禁用按 CTRL ALT DEL 进行登录的设置禁用 登录屏幕上不要显示上次登录的用户名启用 LAN Manager 身份验证级别 仅发送 NTLMv2 响应 拒绝 LM NTLM 用户尝试登录时消息文字 用户尝试登录时消息标题 缓冲保存的以前登录次数 在域控制器不可用的情况下 0 次登录 7 防止计算机账户密码的系统维护禁用 防止用户安装打印机驱动程序启用 在密码到期前提示用户更改密码14 天 故障恢复控制台 允许自动管理登录禁用 故障恢复控制台 允许对驱动器和文件夹进行软盘复制 和访问 禁用 重命名系统管理员账户未定义 重命名来宾账户未定义 只有本地登录的用户才能访问 CD ROM启用 只有本地登录的用户才能访问软盘启用 安全通道 对安全通道数据进行数字加密或签名 始终 启用 安全通道 对安全通道数据进行数字加密 如果可能 启用 安全通道 对安全通道数据进行数字签名 如果可能 启用 安全通道 需要强 Windows 2000 Server 或以上版本 会话密钥 启用 安全系统磁盘分区 只适于 RISC 操作平台 未定义 发送未加密的密码以连接到第三方 SMB 服务器 禁用 如果无法记录安全审计则立即关闭系统启用 见第二条附注 智能卡移除操作锁定工作站 增强全局系统对象的默认权限 例如 Symbolic Links 启用 未签名驱动程序的安装操作禁止安装 未签名非驱动程序的安装操作允许安装但发出警告 在上面的要求配置中 下面几项由于直接影响了域中各服务器间通讯的方 式 可能会对服务器性能有影响 对匿名连接的附加限制 默认情况下 Windows 2000 Server 允许匿名用户执行某些活动 如枚举 域账户和网络共享区的名称 这使得攻击者无需用一个用户账户进行身份验证 就可以查看远程服务器上的这些账户和共享名 为更好地保护匿名访问 可以 配置 没有显式匿名权限就无法访问 这样做的效果是将 Everyone 所有人 8 组从匿名用户令牌中删除 对服务器的任何匿名访问都将被禁止 而且对任何 资源都将要求显式访问 在关机时清理虚拟内存页面交换文件 实际内存中保存的重要信息可以周期性地转储到页面交换文件中 这有助 于 Windows 2000 Server 处理多任务功能 如果启用此选项 Windows 2000 Server 将在关机时清理页面交换文件 将存储在那里的所有信息清除掉 根据 页面交换文件的大小不同 系统可能需要几分钟的时间才能完全关闭 对客户端 服务器通讯使用数字签名 在高度安全的网络中实现数字签名有助于防止客户机和服务器被模仿 即 所谓 会话劫持 或 中间人 攻击 服务器消息块 SMB 签名既可验证用 户身份 又可验证托管数据的服务器的身份 如有任何一方不能通过身份验证 数据传输就不能进行 在实现了 SMB 后 为对服务器间的每一个数据包进行 签名和验证 性能最多会降低 15 针对 Server 2003 的设置 通过运行 Secpol msc Security Settings Local Policies 进行设置 安全选项安全选项设置设置 在用户密码过期前通知用户7 天 4 注册表安全配置注册表安全配置 4 1注册表访问授权注册表访问授权 对于 Windows 注册表的访问授权必须按下列的表格进行设置 访问授权 栏里规定了对于普通用户 例如 Everyone Users Authenticated Users 或 other groups containing general users 所赋予的最大权利 注册表资源名称注册表资源名称访问授权访问授权 HKCR or HKLM Software Classes 保护对于文件扩展名链接和COM类注册信息的未授权修改 Read HKLM System CurrentControlSet Control SecurePipeServersRead 9 值 Winreg 限制远程注册表访问权限 HKLM System CurrentControlSet Services Eventlog Security 保护安全日志保存目录和配置被未授权的进行浏览 普通用户没有相应权限 HKLM System CurrentControlSet Services Eventlog DNS 适用于MS DNS服务运行环境中 保护DNS日志保存目录和配置被未授权的进行浏览 普通用户没有相应权限 注释 对于 Read 的授权包括 RX 读取和执行 和 List Folder Contents 列出文件夹内容 4 2禁止匿名访问注册表禁止匿名访问注册表 只允许系统管理员拥有远程访问注册表的权限 1 添加如下注册表项 项目项目参数参数 HiveHKEY LOCAL MACHINE SYSTEM Key CurrentControlSet Control SecurePipeServers Value Name winreg 2 选中 winreg 点击 Security 选单 点击 Permission 设置系 统管理员 Administrator 拥有 Full Control 确保没有其他用户或组包含在 其中 点击 OK 4 3针对网络攻击的安全考虑事项针对网络攻击的安全考虑事项 有些拒绝服务攻击可能会给 Windows 2000 Server 服务器上的 TCP IP 协议栈造成威胁 这些注册表设置有助于提高 Windows 2000 Server TCP IP 协议栈抵御标准类型的拒绝服务网络攻击的能力 下面的注册表项作为 HKLM System CurrentControlSet Services Tcpip Parameters 的子项添加 项项格式格式值 十进制 值 十进制 EnableICMPRedirectDWORD0 EnableSecurityFiltersDWORD1 SynAttackProtectDWORD2 10 EnableDeadGWDetectDWORD0 EnablePMTUDiscoveryDWORD0 KeepAliveTimeDWORD300 000 DisableIPSourceRoutingDWORD2 TcpMaxConnectResponseRetransmissionsDWORD2 TcpMaxDataRetransmissionsDWORD3 NoNameReleaseOnDemandDWORD1 PerformRouterDiscoveryDWORD0 TCPMaxPortsExhaustedDWORD5 4 4禁用禁用 8 3 格式文件名的自动生成格式文件名的自动生成 为与 16 位应用程序的向后兼容 Windows 2000 Server 支持 8 3 文件名 格式 这意味着攻击者只需要 8 个字符即可引用可能有 20 个字符长的文件 若不再使用 16 位应用程序 须将此功能关闭 禁用 NTFS 分区上的短文件 名生成还可以提高目录枚举性能 下面的注册表项作为 HKLM System CurrentControlSet Control FileSystem 的子项添加 项项格式格式值 十进制 值 十进制 NtfsDisable8dot3NameCreationDWORD1 4 5禁用禁用 Lmhash 创建创建 Windows 2000 Server 服务器可以验证运行任何以前 Windows 版本的计 算机的身份 然而 以前版本的 Windows 不使用 Kerberos 进行身份验证 所以 Windows 2000 Server 支持 Lan Manager LM Windows NT NTLM 和 NTLM 版本 2 NTLMv2 相比之下 LM 散列运算的能力比 NTLM 弱 易被攻破 若不需要 LM 身份验证的客户机 须禁用 LM 散列的存储 Windows 2000 Server Service Pack 2 以上提供了一个注册表设置以禁用 LM 散列的存储 下面的注册表项作为 HKLM SYSTEM CurrentControlSet Control Lsa 的 一个子项添加 11 项项格式格式值 十进制 值 十进制 NoLMHashDWORD1 4 6配置配置 NTLMSSP 安全安全 NTLM 安全支持提供程序 NTLMSSP 允许按应用程序指定服务器端网络 连接的最低必需安全设置 下面的配置可以确保 如果使用了消息保密但未协 商 128 位加密 则连接将失败 下面的注册表项作为 HKLM SYSTEM CurrentControlSet Control Lsa MSV1 0 的一个子项添加 项项格式格式值 十六进制 值 十六进制 NtlmMinServerSecDWORD0 x20000000 4 7禁用自动运行功能禁用自动运行功能 若媒体插入一个驱动器 自动运行功能就开始从该驱动器读取数据 这样 程序的安装文件和音频媒体上的声音就可以立即启动 为防止可能有恶意的程 序在媒体插入时就启动 组策略禁用了所有驱动器的自动运行功能 下面的注册表项作为 HKLM SOFTWARE Microsoft Windows CurrentVersion Policies Explorer 的一个子项添加 项项格式格式值 十六进制 值 十六进制 NoDriveTypeAutoRunDWORD0 xFF 4 8附加的注册表安全配置附加的注册表安全配置 如不需要使用 SNMP 功能 删除 Public SNMP 通信字段名 下面的注册表项作为 HKLM System CurrentControlSet Services SNMP Parameters ValidCommunities 的一个子项添加 项项格式格式值 十六进制 值 十六进制 PublicREG DWORD 0 x4 12 5 服务管理服务管理 5 1成员服务器成员服务器 下面的配置是 windows2000 成员服务器加入 windows2000 域并提供基本 管理服务所必需的服务 除这些服务以外 根据实际情况管理其它服务 服务服务启动类型启动类型包括在成员服务器基准策略中的理由包括在成员服务器基准策略中的理由 COM 事件服务手动允许组件服务的管理 DHCP 客户端自动更新动态 DNS 中的记录所需 分布式链接跟踪客户端自动用来维护 NTFS 卷上的链接 DNS 客户端自动允许解析 DNS 名称 事件日志自动允许在事件日志中查看事件日志消息 逻辑磁盘管理器自动需要它来确保动态磁盘信息保持最新 逻辑磁盘管理器管理服务手动需要它以执行磁盘管理 Netlogon 自动加入域时所需 网络连接手动网络通讯所需 性能日志和警报手动 收集计算机的性能数据 向日志中写入或触发警 报 即插即用自动 Windows 2000 Server 标识和使用系统硬件时所 需 受保护的存储区自动需要用它保护敏感数据 如私钥 远程过程调用 RPC 自动Windows 2000 Server 中的内部过程所需 远程注册服务自动hfnetchk 实用工具所需 参见附注 安全账户管理器自动存储本地安全账户的账户信息 服务器自动hfnetchk 实用工具所需 参见附注 系统事件通知自动在事件日志中记录条目所需 TCP IP NetBIOS Helper 服 务 自动 在组策略中进行软件分发所需 可用来分发修补 程序 Windows 管理规范驱动程序手动使用 性能日志和警报 实现性能警报时所需 Windows 时间服务自动需要它来保证 Kerberos 身份验证有一致的功能 工作站自动加入域时所需 除上述必须的服务以外 还有一些服务可能会在具体的环境中需要 13 SNMP 服务 在许多情况下 管理应用程序都需要在每个服务器上安装一个代理 一般 地 这些代理将使用 SNMP 将警报消息发回到一个中央管理服务器 如果需 要管理代理 那么有可能会需要启动 SNMP 服务 WMI 服务 使用 计算机管理 来管理逻辑磁盘时 需要启用 WMI 服务 其他许多 应用程序和工具也使用 WMI 信使服务和报警服务 尽管这两种服务并不是明确地彼此相互依赖 但它们往往一起完成发送管 理警报的任务 信使服务将发送由报警服务触发的警报消息 如果使用 性能 日志和警报 触发警报消息 就需要启用这些服务 5 2域控制器域控制器 域控制器的服务推荐配置是在上一节成员服务器配置的基础上 增加如下 服务 服务服务启动类型启动类型包括在域控制器基准策略中的理由包括在域控制器基准策略中的理由 分布式文件系统自动Active Directory Sysvol 共享所需 DNS 服务器自动集成了 Active Directory 的 DNS 所需 文件复制自动域控制器间的文件复制所需 Kerberos 密钥发行中心自动允许用户使用 Kerberos v5 登录到网络 NT LM 安全支持提供程序自动允许客户端使用 NTLM 身份验证登录 RPC 定位器自动允许域控制器提供 RPC 名称服务 此外 在域控制器上还有一些服务可能会在具体环境中需要 简单邮件传输协议 SMTP 可以使用 RPC 或 SMTP 来进行站点间复制 如果在具体环境中使用 SMTP 进行复制 则将需要启用 SMTP 服务 站间消息传递服务 此服务用于站点间基于邮件的复制 用于复制的每一种传输协议都在一个 单独的外接程序动态链接库 DLL 中定义 这些外接程序 DLL 加载到 站间 14 消息传递服务 中 站间消息传递服务 将发送请求和接收请求定向到适当的 传输协议外接程序 DLL 后者将消息路由到目标计算机上的 站间消息传递服 务 如果在具体环境中使用 SMTP 进行复制 则将需要启用此服务 IIS Admin 服务 如果启动了 SMTP 服务 那么 IIS Admin 服务也需要启动 因为 SMTP 服务依赖 IIS Admin 服务 分布式链接跟踪服务器服务 此服务用来跟踪域中的所有 NTFS 卷上的文件 由运行着 分布式链接跟 踪客户机 服务的计算机与之联系 这些计算机将定期与 分布式链接跟踪服 务器 服务联系 即使在此服务被禁用后也是如此 6 文件文件 目录控制目录控制 6 1目录保护目录保护 受保护的目录如下表所示 保护的目录保护的目录应用的权限应用的权限 systemdrive Administrators 完全控制 System 完全控制 Authenticated Users 读取和执行 列出文 件夹内容 SystemRoot Repair SystemRoot Security SystemRoot Temp SystemRoot system32 Config SystemRoot system32 Logfiles Administrators 完全控制 Creator Owner 完全控制 System 完全控制 systemdrive Inetpub Administrators 完全控制 System 完全控制 Everyone 读取和执行 列出文件夹内容 读取 其中 SystemRoot 定义了 Windows 系统文件所在的路径和文件夹名 SystemDrive 定义了包含 systemroot 的驱动器 15 6 2文件保护文件保护 受保护的文件如下表所示 文件文件基准权限基准权限 SystemDrive Boot ini Administrators 完全控制 System 完全控制 SystemDrive N Administrators 完全控制 System 完全控制 SystemDrive Ntldr Administrators 完全控制 System 完全控制 SystemDrive Io sys Administrators 完全控制 System 完全控制 SystemDrive Autoexec bat Administrators 完全控制 System 完全控制 Authenticated Users 读取和执行 列出文件 夹内容 读取 systemdir config Administrators 完全控制 System 完全控制 Authenticated Users 读取和执行 列出文件 夹内容 读取 SystemRoot system32 Append exe Administrators 完全控制 SystemRoot system32 Arp exe Administrators 完全控制 SystemRoot system32 At exe Administrators 完全控制 SystemRoot system32 Attrib exe Administrators 完全控制 SystemRoot system32 Cacls exe Administrators 完全控制 SystemRoot system32 Change exe Administrators 完全控制 SystemRoot system32 C Administrators 完全控制 SystemRoot system32 Chglogon exe Administrators 完全控制 SystemRoot system32 Chgport exe Administrators 完全控制 SystemRoot system32 Chguser exe Administrators 完全控制 SystemRoot system32 Chkdsk exe Administrators 完全控制 SystemRoot system32 Chkntfs exe Administrators 完全控制 SystemRoot system32 Cipher exe Administrators 完全控制 SystemRoot system32 Cluster exe Administrators 完全控制 16 SystemRoot system32 Cmd exe Administrators 完全控制 SystemRoot system32 Compact exe Administrators 完全控制 SystemRoot system32 C Administrators 完全控制 SystemRoot system32 Convert exe Administrators 完全控制 SystemRoot system32 Cscript exe Administrators 完全控制 SystemRoot system32 Debug exe Administrators 完全控制 SystemRoot system32 Dfscmd exe Administrators 完全控制 SystemRoot system32 D Administrators 完全控制 SystemRoot system32 D Administrators 完全控制 SystemRoot system32 Doskey exe Administrators 完全控制 SystemRoot system32 Edlin exe Administrators 完全控制 SystemRoot system32 Exe2bin exe Administrators 完全控制 SystemRoot system32 Expand exe Administrators 完全控制 SystemRoot system32 Fc exe Administrators 完全控制 SystemRoot system32 Find exe Administrators 完全控制 SystemRoot system32 Findstr exe Administrators 完全控制 SystemRoot system32 Finger exe Administrators 完全控制 SystemRoot system32 Forcedos exe Administrators 完全控制 SystemRoot system32 F Administrators 完全控制 SystemRoot system32 Ftp exe Administrators 完全控制 SystemRoot system32 Hostname exe Administrators 完全控制 SystemRoot system32 Iisreset exe Administrators 完全控制 SystemRoot system32 Ipconfig exe Administrators 完全控制 SystemRoot system32 Ipxroute exe Administrators 完全控制 SystemRoot system32 Label exe Administrators 完全控制 SystemRoot system32 Logoff exe Administrators 完全控制 SystemRoot system32 Lpq exe Administrators 完全控制 SystemRoot system32 Lpr exe Administrators 完全控制 SystemRoot system32 Makecab exe Administrators 完全控制 SystemRoot system32 Mem exe Administrators 完全控制 SystemRoot system32 Mmc exe Administrators 完全控制 17 SystemRoot system32 M Administrators 完全控制 SystemRoot system32 M Administrators 完全控制 SystemRoot system32 Mountvol exe Administrators 完全控制 SystemRoot system32 Msg exe Administrators 完全控制 SystemRoot system32 Nbtstat exe Administrators 完全控制 SystemRoot system32 Net exe Administrators 完全控制 SystemRoot system32 Net1 exe Administrators 完全控制 SystemRoot system32 Netsh exe Administrators 完全控制 SystemRoot system32 Netstat exe Administrators 完全控制 SystemRoot system32 Nslookup exe Administrators 完全控制 SystemRoot system32 Ntbackup exe Administrators 完全控制 SystemRoot system32 Ntsd exe Administrators 完全控制 SystemRoot system32 Pathping exe Administrators 完全控制 SystemRoot system32 Ping exe Administrators 完全控制 SystemRoot system32 Print exe Administrators 完全控制 SystemRoot system32 Query exe Administrators 完全控制 SystemRoot system32 Rasdial exe Administrators 完全控制 SystemRoot system32 Rcp exe Administrators 完全控制 SystemRoot system32 Recover exe Administrators 完全控制 SystemRoot system32 Regedit exe Administrators 完全控制 SystemRoot system32 Regedt32 exe Administrators 完全控制 SystemRoot system32 Regini exe Administrators 完全控制 SystemRoot system32 Register exe Administrators 完全控制 SystemRoot system32 Regsvr32 exe Administrators 完全控制 SystemRoot system32 Replace exe Administrators 完全控制 SystemRoot system32 Reset exe Administrators 完全控制 SystemRoot system32 Rexec exe Administrators 完全控制 SystemRoot system32 Route exe Administrators 完全控制 SystemRoot system32 Routemon exe Administrators 完全控制 SystemRoot system32 Router exe Administrators 完全控制 SystemRoot system32 Rsh exe Administrators 完全控制 18 SystemRoot system32 Runas exe Administrators 完全控制 SystemRoot system32 Runonce exe Administrators 完全控制 SystemRoot system32 Secedit exe Administrators 完全控制 SystemRoot system32 Setpwd exe Administrators 完全控制 SystemRoot system32 Shadow exe Administrators 完全控制 SystemRoot system32 Share exe Administrators 完全控制 SystemRoot system32 Snmp exe Administrators 完全控制 SystemRoot system32 Snmptrap exe Administrators 完全控制 SystemRoot system32 Subst exe Administrators 完全控制 SystemRoot system32 Telnet exe Administrators 完全控制 SystemRoot system32 Termsrv exe Administrators 完全控制 SystemRoot system32 Tftp exe Administrators 完全控制 SystemRoot system32 Tlntadmin exe Administrators 完全控制 SystemRoot system32 Tlntsess exe Administrators 完全控制 SystemRoot system32 Tlntsvr exe Administrators 完全控制 SystemRoot system32 Tracert exe Administrators 完全控制 SystemRoot system32 T Administrators 完全控制 SystemRoot system32 Tsadmin exe Administrators 完全控制 SystemRoot system32 Tscon exe Administrators 完全控制 SystemRoot system32 Tsdiscon exe Administrators 完全控制 SystemRoot system32 Tskill exe