组策略设置系列篇之“安全选项”2.doc

组策略设置系列篇之“安全选项”-2选项, 设置交互式登录：不显示上次的用户名此策略设置确定“登录到 Windows”对话框是否显示上次登录到该计算机的用户的名称。如果启用此策略设置，不显示上次成功登录的用户的名称。如果禁用此策略设置，则显示上次登录的用户的名称。“交互式登录：不显示上次的用户名”设置的可能值为： 已启用 已禁用 没有定义漏洞：能够访问控制台的攻击者（例如，能够物理访问的人或者能够通过终端服务连接到服务器的人）可以查看上次登录到服务器的用户的名称。攻击者随后可能尝试猜测密码，使用字典或者依靠强力攻击以试图登录。对策：将“不显示上次的用户名”设置配置为“已启用”。潜在影响：用户在登录服务器时，必须始终键入其用户名。交互式登录：不需要按 CTRL+ALT+DEL此策略设置确定用户在登录前是否必须按 Ctrl+Alt+Del。如果启用此策略设置，用户登录时无需按此组合键。如果禁用此策略设置，用户在登录到 Windows 之前必须按 Ctrl+Alt+Del，除非他们使用智能卡进行 Windows 登录。智能卡是一种用来存储安全信息的防篡改设备。“交互式登录：不需要按 CTRL+ALT+DEL”设置的可能值为： 已启用 已禁用 没有定义漏洞：Microsoft 之所以开发此功能，是为了更便于身体有某种残疾的用户登录到运行 Windows 的计算机。如果不要求用户按 Ctrl+Alt+Del，他们容易受到尝试截获其密码的攻击。如果要求用户在登录之前按 Ctrl+Alt+Del，用户密码则会通过受信任路径进行通信。攻击者可能会安装看似标准 Windows 登录对话框的特洛伊木马程序，并捕获用户的密码。攻击者随后将能够使用该用户具有的特权级别登录到被侵入的帐户。对策：将“不需要按 CTRL+ALT+DEL”设置配置为“已禁用”。潜在影响：除非用户使用智能卡进行登录，否则他们必须同时按这三个键，才能显示登录对话框。交互式登录：用户试图登录时消息文字“交互式登录：用户试图登录时消息文字”和“交互式登录：用户试图登录时消息标题”设置密切相关。第一个策略设置指定用户登录时显示给他们的消息文字，而第二个策略设置指定显示在包含消息文字的窗口的标题栏中的标题。许多组织将这些文本用于法律目的，例如，警告用户误用公司信息的后果，或者警告用户他们的操作可能被审核。警告：Windows XP Professional 添加了如下支持：长度可以超过 512 个字符、而且还可以包含回车换行序列的登录标题。但是，Windows 2000 客户端不能理解和显示这些消息。您必须使用 Windows 2000 计算机创建适用于 Windows 2000 计算机的登录消息策略。如果您无意中在 Windows XP Professional 计算机上创建了一个登录消息策略，但是发现它不能在 Windows 2000 计算机上正确地显示，请执行下列操作： 将该设置重新配置为“没有定义”。 使用 Windows 2000 计算机重新配置该设置。如果只是在 Windows 2000 计算机上更改由 Windows XP Professional 定义的登录消息设置，将不会奏效。必须首先将该设置重新配置为“没有定义”。这些策略设置的可能值为： 用户定义的文本 没有定义漏洞：在登录之前显示警告消息，可能有助于在攻击发生之前警告攻击者他们的不正当行为，从而防止攻击。可能还有助于通过在登录过程中通知员工相应策略来加强公司策略。对策：将“用户试图登录时消息文字”和“用户试图登录时消息标题”设置配置为适合组织的相应值。注意：所显示的任何警告消息应先经您所在组织的法律代表和人力资源代表的许可。潜在影响：用户在登录到服务器控制台之前将看到对话框中的一则消息。交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）此策略设置确定多少位不同用户可以使用缓存的帐户信息登录到 Windows 域。域帐户的登录信息可以被本地缓存，以便在无法就后续登录联系域控制器时，用户仍可以登录。此策略设置可以确定其登录信息在本地缓存的唯一用户的个数。如果某个域控制器不可用，某个用户的登录信息被缓存，则该用户会被提示以下消息：不能联系您的域中的域控制器。您已经使用缓存的帐户信息登录。由于您上次登录的域控制器可能不可用，因此请更改您的配置文件。如果某个域控制器不可用，某个用户的登录信息未被缓存，则该用户会被提示此消息：现在不能登录该系统，因为 域不可用。“交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）”设置的可能值为： 用户定义的数值，在 0 至 50 之间 没有定义漏洞：分配给此策略设置的数字指出服务器将在本地缓存多少个用户的登录信息。如果该数字被设置为 10，则服务器缓存 10 个用户的登录信息。当第 11 个用户登录到该计算机时，服务器会覆盖最旧的缓存登录会话。访问服务器控制台的用户会将其登录凭据缓存到该服务器上。能够访问服务器文件系统的攻击者可以查找这个缓存信息，并使用强力攻击试图确定用户密码。为减轻这种类型的攻击，Windows 加密该信息并将其分散在多个物理位置。对策：将“交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）”设置配置为 0，可禁用在本地缓存登录信息。其他对策包括强制使用强密码策略并对计算机的位置进行物理保护。潜在影响：如果用户无法向任何域控制器验证其身份，他们将无法登录任何计算机。对于最终用户计算机（尤其是移动用户），组织可能希望将此值配置为 2。如果将此值配置为 2，则意味着用户的登录信息仍将位于缓存中，即使 IT 部门的某个成员最近登录过用户的计算机以执行系统维护时也是如此。此方法允许用户在未连接到组织网络时登录到他们的计算机。交互式登录：在密码到期前提示用户更改密码此策略设置确定提前多少天提醒用户其密码即将到期。有了这个提前警告，用户就有时间创建足够强的密码。“交互式登录：在密码到期前提示用户更改密码”设置的可能值为： 用户定义的天数，介于 1 和 999 之间 没有定义漏洞：Microsoft 建议将用户密码配置为定期过期。用户将需要被提醒其密码即将过期，否则在其密码到期时他们可能会被无意中锁定在计算机外。此情况可能会导致用户在本地访问网络时造成混乱，或者使用户不能通过拨号或虚拟专用网络 (VPN) 连接访问组织网络。对策：将“交互式登录：在密码到期前提示用户更改密码”设置配置为 14 天。潜在影响：当用户的密码过期日期配置为 14 天或更短时，用户在每次登录到域时都将看到一个对话框，提示其更改密码。交互式登录：要求域控制器身份验证以解锁工作站对已锁定的计算机进行解锁时需要登录信息。对于域帐户来说，“交互式登录：要求域控制器身份验证以解锁工作站”设置确定为了解锁计算机是否有必要联系域控制器。如果启用此设置，域控制器必须验证用来解锁计算机的域帐户的身份。如果禁用此设置，用户解锁计算机时域控制器并不需要登录信息确认。但是，如果将“交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）”设置配置为大于零的值，则用户的缓存凭据将被用于解锁计算机。注意：此设置可以应用于 Windows 2000 计算机，但不能通过这些计算机上的“安全配置管理器”工具来使用。“交互式登录：要求域控制器身份验证以解锁工作站”设置的可能值为： 已启用 已禁用 没有定义漏洞：默认情况下，计算机将已通过身份验证的任何用户的凭据缓存在本地内存中。计算机使用这些缓存凭据来对尝试解锁控制台的任何人进行身份验证。如果使用缓存凭据，将不考虑或应用在验证帐户身份之后对帐户进行的任何最新更改（如用户权限分配、帐户锁定或禁用帐户）。不更新用户特权，而且更重要的是，被禁用的帐户仍能够解锁计算机的控制台。对策：将“交互式登录：要求域控制器身份验证以解锁工作站”设置配置为“已启用”，并将“交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）”设置配置为 0。潜在影响：如果某台计算机上的控制台由某个用户锁定，或者因屏幕保护程序超时而自动被锁定时，则只有当该用户重新向域控制器验证自己的身份时，该控制台才能被解锁。如果没有可用的域控制器，则用户不能解锁他们的工作站。如果将“交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）”设置配置为 0，其域控制器不可用的用户（如移动或远程用户）将不能登录。交互式登录：要求智能卡此策略设置要求用户使用智能卡登录计算机。注意：此设置可以应用于 Windows 2000 计算机，但不能通过这些计算机上的“安全配置管理器”工具来使用。“交互式登录：要求智能卡”设置的可能值为： 已启用 已禁用 没有定义漏洞：要求使用又长又复杂的密码进行身份验证可增强网络安全性，当用户必须定期更改其密码时尤其如此。此方法会减少攻击者通过强力攻击猜出用户密码的机会。但是，用户难以选择强密码，如果攻击者有足够时间和计算资源，即使是强密码也容易受到强力攻击。使用智能卡（而非密码）来进行身份验证会大大增强安全性，这是由于，当今的技术使攻击者几乎不可能模拟另一个用户。需要个人识别码 (PIN) 的智能卡提供双因素身份验证。换句话说，用户必须既拥有智能卡又知道它的 PIN。捕获到用户计算机和域控制器之间身份验证通信的攻击者会发现很难对该通信进行解密，而且即使他们进行了解密，用户在下次登录网络时，也会生成一个新的会话密钥，用来加密用户和域控制器之间的通信。对策：对于敏感帐户，向用户颁发智能卡，并将“交互式登录：要求智能卡”设置配置为“已启用”。潜在影响：所有的用户将必须使用智能卡登录网络；这意味着组织将必需针对所有用户的可靠公钥基础结构 (PKI)以及智能卡和智能卡读取器。这些要求会带来巨大的挑战，因为这些技术的规划和部署需要专业知识和资源。但是，Windows Server 2003 包括证书服务，一种用来实现和管理证书的非常高级的服务。当证书服务与 Windows XP 结合使用时，将有诸如自动用户和计算机注册和续订等功能可用。交互式登录：智能卡移除操作此策略设置确定将已登录用户的智能卡从智能卡阅读器中移除时会发生的操作。“交互式登录：智能卡移除操作”设置的可能值为： 无操作 锁定工作站 强制注销 没有定义漏洞：如果使用智能卡进行身份验证，则在智能卡被移除时，计算机应当会自动地自行锁定。此方法将防止其他恶意用户在用户离开、忘了手动锁定其工作站时访问其计算机。对策：将“智能卡移除操作”设置配置为“锁定工作站”。如果在“属性”对话框中为此策略设置选择“锁定工作站”，工作站会在智能卡被移除时锁定。用户可以离开工作区，随身携带其智能卡，并仍维护受保护的会话。如果在“属性”对话框中为此策略设置选择“强制注销”，则用户将在智能卡被移除时自动注销。潜在影响：用户在返回其工作站时，必须重新插入其智能卡并重新输入其 PIN。Microsoft 网络客户端和服务器：数字签名的通信（四项相关设置）共有四个不同的设置与服务器消息块 (SMB) 通信的数字签名相关： Microsoft 网络客户端：数字签名的通信（总是） Microsoft 网络服务器：数字签名的通信（总是） Microsoft 网络客户端：数字签名的通信（若服务器同意） Microsoft 网络服务器：数字签名的通信（若客户端同意）各个策略设置的可能值为： 已启用 已禁用 没有定义漏洞：在高安全网络中实施数字签名有助于防止客户端和服务器被模拟。这种类型的模拟被称作会话劫持，并使用工具允许能够访问客户端或服务器所在网络的攻击者中断、终止或窃取进行中的会话。攻击者有可能会截获和修改未签名的 SMB 数据包，然后修改通信并转发它，这样服务器可能会执行不需要的操作。或者，攻击者可能会在进行合法的身份验证之后冒充服务器或客户端，并获取对数据的未经授权的访问权限。SMB 是许多 Microsoft 操作系统支持的资源共享协议。它是 NetBIOS 和其他许多协议的基础。SMB 签名既对用户又对承载数据的服务器进行身份验证。如果任意一端没有通过身份验证过程，就不会进行数据传输。注意：另外一个可以保护所有网络通信的对策将是用 IPsec 实施数字签名。使用用于 IPsec 加密和签名的基于硬件的加速器可以降低对服务器 CPU 的性能影响。对于 SMB 签名没有类似的加速器。对策：请按如下方式配置这些设置： “Microsoft 网络客户端：数字签名的通信（总是）”配置为“已禁用”。 “Microsoft 网络服务器：数字签名的通信（总是）”配置为“已禁用”。 “Microsoft 网络客户端：数字签名的通信（若服务器同意）”配置为“已启用”。 “Microsoft 网络服务器：数字签名的通信（若客户端同意）”配置为“已启用”。一些资源建议将所有这些设置都配置为“已启用”。但是，该配置可能会导致降低客户端计算机的性能，并禁止它们与旧 SMB 应用程序和操作系统进行通信。潜在影响：Windows 2000 Server、Windows 2000 Professional、Windows Server 2003 和 Windows XP Professional 的 SMB 文件实施和打印共享协议支持相互身份验证，这可以防止会话劫持攻击并支持消息身份验证以防止中间人攻击。SMB 签名通过向每个 SMB 放入一个数字签名，然后由客户端和服务器进行验证，来提供身份验证。实施 SMB 签名可能会对性能造成负面影响，因为每个数据包都需要经过签名和验证。如果将计算机配置为忽略所有未经签名的 SMB 通信，则旧应用程序和操作系统将无法进行连接。如果完全禁用所有 SMB 签名，计算机将容易受到会话劫持攻击。Microsoft 网络客户端：发送未加密的密码到第三方 SMB 服务器此策略设置允许 SMB 重定向器向身份验证期间不支持密码加密的非 Microsoft SMB 服务器发送明文密码。“Microsoft 网络客户端：发送未加密的密码到第三方 SMB 服务器”设置的可能值为： 已启用 已禁用 没有定义漏洞：如果启用此策略设置，服务器可以将纯文本密码通过网络传输到提供 SMB 服务的其他计算机。这些其他计算机可能不使用 Windows Server 2003 随附的任何 SMB 安全机制。对策：将“Microsoft 网络客户端：发送未加密的密码到第三方 SMB 服务器”设置配置为“已禁用”。潜在影响：一些非常旧的应用程序和操作系统（如 MS-DOS、Windows for Workgroups 3.11 和 Windows 95a）会无法使用 SMB 协议与组织中的服务器进行通信。Microsoft 网络服务器：在挂起会话之前所需的空闲时间此策略设置确定在 SMB 会话因不活动而被挂起之前，在此会话中必须经过的连续空闲时间。管理员可以使用此策略设置来控制计算机何时挂起不活动的 SMB 会话。当客户端恢复活动时，会自动重新建立会话。值 0 表示将尽快断开空闲会话。最大值是 99999（即 208 天）；此值实际上会禁用该设置。“Microsoft 网络服务器：在挂起会话之前所需的空闲时间”设置的可能值为： 用户定义的周期（用分钟表示） 没有定义漏洞：每个 SMB 会话都会消耗服务器资源，并且大量空会话将减慢服务器或者有可能导致其失败。攻击者可能会重复建立 SMB 会话，直到服务器的 SMB 服务变得缓慢或无响应。对策：将“Microsoft 网络服务器：在挂起会话之前所需的空闲时间”设置配置为“15 分钟”。潜在影响：影响将很小，因为 SMB 会话将在客户端恢复活动时自动重新建立。Microsoft 网络服务器：当登录时间用完时自动注销用户此策略设置确定在超过用户帐户的有效登录时间后，是否要断开连接到本地计算机的用户。此设置影响 SMB 组件。如果启用此策略设置，会在客户端的登录时间用完时强制断开与 SMB 服务的客户端会话。如果禁用此策略设置，已建立的客户端会话在超过客户端登录时间后继续进行。如果启用此策略设置，还应启用“网络安全：在超过登录时间后强制注销”。“Microsoft 网络服务器：当登录时间用完时自动注销用户”设置的可能值为： 已启用 已禁用 没有定义漏洞：如果组织为用户配置了登录时间，则很有必要启用此策略设置。否则，在超出登录时间后不应具有网络资源访问权限的用户，实际上可以继续使用在允许的时间中建立的会话的这些资源。对策：启用“Microsoft 网络服务器：当登录时间用完时自动注销帐户”设置。潜在影响：如果在组织中未使用登录时间，则此策略设置将没有影响。如果使用了登录时间，当超过现有用户的登录时间后将强制终止现有用户会话。网络访问：允许匿名 SID/名称转换此策略设置确定匿名用户是否可以请求另一个用户的 SID 属性。“网络访问：允许匿名 SID/名称转换”设置的可能值为： 已启用 已禁用 没有定义漏洞：如果启用此策略设置，则拥有本地访问权限的用户可以使用众所周知的管理员的 SID 获取内置 Administrator 帐户的实际名称，即使该帐户已被重命名时也是如此。然后，此人可以使用帐户名发起密码猜测攻击。对策：将“网络访问：允许匿名 SID/名称转换”设置配置为“已禁用”。潜在影响：在成员计算机上，“已禁用”是此策略设置的默认配置，因而此设置对成员计算机没什么影响。对于域控制器，默认配置为“已启用”。如果在域控制器上禁用此策略设置，旧式计算机可能无法与基于 Windows Server 2003 的域进行通信。例如，下列计算机可能不工作： 基于 Windows NT 4.0 的远程访问服务服务器。 在基于 WindowsNT 3.x 或基于 Windows NT 4.0 的计算机上运行的 Microsoft SQL Server。 在位于 Windows NT 3.x 域或 Windows NT 4.0 域中的基于 Windows 2000 的计算机上运行的远程访问服务或 Microsoft SQL 服务器。网络访问：不允许 SAM 帐户的匿名枚举此策略设置确定要授予连接到计算机的匿名连接哪些其他权限。Windows 允许匿名用户执行某些活动，如枚举域帐户和网络共享的名称。例如，当管理员希望向不维护双向信任的受信任域中的多个用户授予访问权限时，此功能会非常方便。但是，即使启用了此设置，匿名用户仍将能够访问具有某些权限（显然包括特殊的内置组 ANONYMOUS LOGON）的任何资源。在 Windows 2000 中，名为“对匿名连接的额外限制”的类似策略设置管理一个名为 RestrictAnonymous 的注册表值，此值位于 HKLMSYSTEMCurrentControlSetControlLSA 注册表项中。在 Windows Server 2003 中，“网络访问：不允许 SAM 帐户的匿名枚举”和“网络访问：不允许 SAM 帐户和共享的匿名枚举”策略设置代替了 Windows 2000 中的此项策略设置。它们分别管理注册表值 RestrictAnonymousSAM 和 RestrictAnonymous，都位于 HKLMSystemCurrentControlSetControlLsa 注册表项中。“网络访问：不允许 SAM 帐户的匿名枚举”设置的可能值为： 已启用 已禁用 没有定义漏洞：未经授权的用户可以匿名列出帐户名称，并使用此信息进行社会工程攻击或尝试猜测密码。（社会工程攻击试图以某种方式哄骗用户以获取密码或某种形式的安全信息。)对策：将“网络访问：不允许 SAM 帐户的匿名枚举”设置配置为“已启用”。潜在影响：将不可能与基于 Windows NT 4.0 的域建立信任。此外，当运行旧版本的 Windows 操作系统（如 Windows NT 3.51 和 Windows 95）的客户端计算机尝试使用服务器上的资源时，他们将遇到问题。网络访问：不允许 SAM 帐户和共享的匿名枚举此策略设置确定是否允许匿名枚举安全帐户管理器 (SAM) 帐户和共享。如前面部分所述，Windows 允许匿名用户执行某些活动，如枚举域帐户和网络共享的名称。例如，当管理员希望向不维护双向信任的受信任域中的多个用户授予访问权限时，此功能会非常方便。如果您不希望允许匿名枚举 SAM 帐户和共享，则启用此策略设置。但是，即使启用，匿名用户仍将能够访问具有某些权限（显然包括特殊的内置组 ANONYMOUS LOGON）的任何资源。在 Windows 2000 中，名为“对匿名连接的额外限制”的类似策略设置管理一个名为 RestrictAnonymous 的注册表值，此值位于 HKLMSYSTEMCurrentControlSetControlLSA 注册表项中。在 Windows Server 2003 中，“网络访问：不允许 SAM 帐户的匿名枚举”和“网络访问：不允许 SAM 帐户和共享的匿名枚举”策略设置代替了 Windows 2000 中的此项策略设置。它们分别管理注册表值 RestrictAnonymousSAM 和 RestrictAnonymous，这两个值均位于 HKLMSystemCurrentControlSetControlLsa 注册表项中。“网络访问：不允许 SAM 帐户和共享的匿名枚举”设置的可能值为： 已启用 已禁用 没有定义漏洞：未经授权的用户可以匿名列出帐户名称和共享资源，并使用此信息尝试猜测密码或进行“社会工程学”攻击。对策：将“网络访问：不允许 SAM 帐户和共享的匿名枚举”设置配置为“已启用”。潜在影响：通过单向信任不可能向另一个域的用户授予访问权限，因为信任域中的管理员将无法枚举另一个域中的帐户列表。匿名访问文件和打印服务器的用户将无法列出这些服务器上的共享网络资源；用户将必须先进行身份验证，然后才能查看共享文件夹和打印机的列表。网络访问：不允许为网络身份验证储存凭据或 .NET Passports此策略设置确定在获得域身份验证后“存储用户名和密码”功能是否保存密码或凭据以备日后使用。如果启用此策略设置，Windows 的“存储用户名和密码”功能不存储密码和凭据。“网络访问：不允许为网络身份验证储存凭据或 .NET Passports”设置的可能值为： 已启用 已禁用 没有定义漏洞：用户在登录到计算机时，可以访问缓存的密码。尽管此信息听起来或许很明显，但是当用户无意中执行了恶意代码，而这些恶意代码读取密码并将它们转发到另一个未经授权的用户时，就会出现问题。注意：如果组织有效地实现和管理企业防病毒解决方案以及明智的软件限制策略，那么，此利用以及涉及到恶意代码的其他利用的成功机会将大大减小。有关软件限制策略的详细信息，请参阅第 8 章“软件限制策略”。对策：将“网络访问：不允许为网络身份验证储存凭据或 .NET Passports”设置配置为“启动”。潜在影响：用户在登录到其 Passport 帐户或无法通过其域帐户访问的其他网络资源时，将被迫输入密码。对于访问被配置为允许用基于 Active Directory 的域帐户进行访问的网络资源的用户，此策略设置应当没有任何影响。网络访问：让每个人 (Everyone) 权限应用于匿名用户此策略设置确定要授予连接到计算机的匿名连接哪些其他权限。如果启用此策略设置，匿名用户可以枚举域帐户和网络共享的名称，并执行其他某些活动。例如，当管理员希望向不维护双向信任的受信任域中的多个用户授予访问权限时，此功能会非常方便。在默认情况下，为匿名连接创建的标记不包括 Everyone SID。因此，分配给 Everyone 组的权限不应用于匿名用户。如果启用此策略设置，Everyone SID 会被添加到为匿名连接创建的标记，并且匿名用户将能够访问 Everyone 组已被分配权限的任何资源。“网络访问：让每个人 (Everyone) 权限应用于匿名用户”设置的可能值为： 已启用 已禁用 没有定义漏洞：未经授权的用户可以匿名列出帐户名称和共享资源，并使用该信息尝试猜测密码、进行社会工程攻击或发起 DoS 攻击。对策：将“网络访问：让每个人 (Everyone) 权限应用于匿名用户”设置配置为“已禁用”。潜在影响：无。这是默认配置。网络访问：可匿名访问的命名管道此策略设置确定哪些通信会话或管道将具有允许匿名访问的属性和权限。“网络访问：可匿名访问的命名管道”设置的可能值为： 用户定义的共享列表 没有定义为使此策略设置生效，还必须启用“网络访问：限制匿名访问命名管道和共享”设置。漏洞：可以限制通过命名管道（如 COMNAP 和 LOCATOR）进行访问以帮助防止对网络进行未经授权的访问。下表提供了命名管道及其用途的默认列表。表 5.1：可匿名访问的默认命名管道命名管道 用途COMNAP SNABase 命名管道。系统网络体系结构 (SNA) 是一组最初为 IBM 主机计算机开发的网络协议。COMNODE SNA Server 命名管道。SQLQUERY SQL Server 默认的命名管道。SPOOLSS 后台打印程序服务的命名管道。EPMAPPER 终结点映射程序的命名管道。 LOCATOR 远程过程调用定位器服务的命名管道。TrkWks 分布式链接跟踪客户端的命名管道。 TrkSvr 分布式链接跟踪服务器的命名管道。 对策：将“网络访问：可匿名访问的命名管道”设置配置为空值（启用此设置，但是不在文本框中输入命名管道）。潜在影响：此配置将禁用通过命名管道进行空会话访问，依赖此功能或者依赖对命名管道进行未经身份验证访问的应用程序将不再工作。例如，使用 Microsoft Commercial Internet System 1.0，Internet 邮件服务将在 Inetinfo 进程下运行。Inetinfo 在系统帐户的上下文中启动。当 Internet 邮件服务需要查询 Microsoft SQL Server 数据库时，它使用系统帐户，该帐户使用空凭据来访问运行 SQL Server 的计算机上的 SQL 管道。网络访问：可远程访问的注册表路径此策略设置确定当某个应用程序或进程引用 WinReg 项时哪些注册表路径将可以访问，从而确定访问权限。“网络访问：可远程访问的注册表路径”设置的可能值为： 用户定义的路径列表 没有定义漏洞：注册表是包含计算机配置信息的数据库，其中的许多信息都是敏感信息。攻击者可以使用此信息来帮助执行未经授权的活动。为了降低出现这种攻击的风险，可为整个注册表分配适当的 ACL，以便帮助它禁止未经授权的用户进行访问。对策：将“网络访问：可远程访问的注册表路径”设置配置为空值（启用此设置，但是不在文本框中输入任何路径）。潜在影响：远程管理工具（如 Microsoft 基准安全分析器和 Microsoft 系统管理服务器）需要远程访问注册表，以正确地监视和管理这些计算机。如果将默认的注册表路径从可访问列表中删除，这些远程管理工具可能会失败。注意：如果您希望允许进行远程访问，还必须启用 Remote Registry 服务。网络访问：可远程访问的注册表路径和子路径此策略设置确定当某个应用程序或进程引用 WinReg 项时哪些注册表路径和子路径将可以访问，从而确定访问权限。“网络访问：可远程访问的注册表路径和子路径”设置的可能值为： 用户定义的路径列表 没有定义漏洞：如前所述，注册表包含敏感的计算机配置信息，攻击者可能会利用这些信息以便于执行未经授权的活动。事实上，通过注册表分配默认 ACL 非常严格，并有助于防止未经授权的用户访问注册表，从而减少了这类攻击的风险。对策：将“网络访问：可远程访问的注册表路径和子路径”设置配置为空值（启用此设置，但是不在文本框中输入任何路径）。潜在影响：远程管理工具（如 Microsoft 基准安全分析器和 Microsoft 系统管理服务器）需要远程访问注册表，以正确地监视和管理这些计算机。如果将默认的注册表路径从可访问列表中删除，这些远程管理工具可能会失败。注意：如果您希望允许进行远程访问，还必须启用 Remote Registry 服务。网络访问：限制匿名访问命名管道和共享启用此策略设置时，限制仅可匿名访问“网络访问：可匿名访问的命名管道”和“网络访问：可匿名访问的共享”设置中的那些共享和命名管道。此策略设置可通过在注册表项 HKLMSystemCurrentControlSetServicesLanManServerParameters 内添加 RestrictNullSessAccess 并将值设为 1，来控制对计算机中共享的空会话访问。切换此注册表值可打开或关闭空会话共享，以控制服务器服务是否限制对命名资源进