组策略设置系列篇之“安全选项”1

1、.：.；组战略设置系列篇之“平安选项-1设置, 选项组战略的“平安选项部分启用或禁用数字数据签名、Administrator 和 Guest 帐户名、软盘驱动器和 CD-ROM 驱动器的访问、驱动程序安装操作和登录提示的计算机平安设置。平安选项设置您可以在组战略对象编辑器的以下位置配置平安选项设置：计算机配置Windows 设置平安设置本地战略平安选项帐户：管理员帐户形状此战略设置启用或禁用 Administrator 帐户的正常操作条件。假设以平安方式启动计算机，Administrator 帐户总是处于启用形状，而与如何配置此战略设置无关。“帐户：管理员帐户形状设置的能够值为： 已启用 已禁

2、用 没有定义破绽：在某些组织中，维持定期更改本地帐户的密码这项常规方案能够会是很大的管理挑战。因此，您能够需求禁用内置的 Administrator 帐户，而不是依赖常规密码更改来维护其免受攻击。需求禁用此内置帐户的另一个缘由就是，无论经过多少次登录失败它都不会被锁定，这使得它成为强力攻击尝试猜测密码的主要目的。另外，此帐户还有一个众所周知的平安标识符 (SID)，而且第三方工具允许运用 SID 而非帐户名来进展身份验证。此功能意味着，即使您重命名 Administrator 帐户，攻击者也能够运用该 SID 登录来发起强力攻击。对策：将“帐户：管理员帐户形状设置配置为“已禁用，以便在正常的系

3、统启动中不能再运用内置的 Administrator 帐户。潜在影响：假设禁用 Administrator 帐户，在某些情况下能够会呵斥维护问题。例如，在域环境中，假设成员计算机和域控制器间的平安通道因任何缘由而失败，而且没有其他本地 Administrator 帐户，那么您必需以平安方式重新启动才干修复这个中断平安通道的问题。假设当前的 Administrator 密码不满足密码要求，那么 Administrator 帐户被禁用之后，无法重新启用。假设出现这种情况，Administrators 组的另一个成员必需运用“本地用户和组工具来为该 Administrator 帐户设置密码。帐户：来

4、宾帐户形状此战略设置确定是启用还是禁用来宾帐户。“帐户：来宾帐户形状设置的能够值为： 已启用 已禁用 没有定义破绽：默许 Guest 帐户允许未经身份验证的网络用户以没有密码的 Guest 身份登录。这些未经授权的用户可以经过网络访问 Guest 帐户可访问的任何资源。此功能意味着任何具有允许 Guest 帐户、Guests 组或 Everyone 组进展访问的权限的网络共享资源，都可以经过网络对其进展访问，这能够导致数据暴露或损坏。对策：将“帐户：来宾帐户形状设置配置为“已禁用，以便内置的 Guest 帐户不再可用。潜在影响：一切的网络用户都将必需先进展身份验证，才干访问共享资源。假设禁用

5、Guest 帐户，并且“网络访问：共享和平安方式选项设置为“仅来宾，那么那些由 Microsoft 网络效力器SMB 效力执行的网络登录将失败。对于大多数组织来说，此战略设置的影呼应该会很小，由于它是 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 中的默许设置。帐户：运用空白密码的本地帐户只允许进展控制台登录此战略设置确定能否允许运用空白密码的本地帐户经过网络效力如终端效力、Telnet 和文件传输协议 (FTP)进展远程交互式登录。假设启用此战略设置，那么本地帐户必需有一个非空密码，才干从远程客户端执行交互式或网络登录。“帐户

6、：运用空白密码的本地帐户只允许进展控制台登录设置的能够值为： 已启用 已禁用 没有定义留意：此战略设置不影响在控制台上以物理方式执行的交互式登录，也不影响运用域帐户的登录。警告：运用远程交互式登录的第三方运用程序有能够跳过此战略设置。破绽：空白密码会对计算机平安呵斥严重要挟，该当经过组织的战略和适当的技术措施来制止。实践上，Windows Server 2003 Active Directory 目录效力域的默许设置需求至少包含七个字符的复杂密码。但是，假设可以创建新帐户的用户跳过基于域的密码战略，那么他们可以创建具有空白密码的帐户。例如，某个用户可以构建一个独立的计算机，创建一个或多个具有空

7、白密码的帐户，然后将该计算机参与到域中。具有空白密码的本地帐户仍将正常任务。任何人假设知道其中一个未受维护的帐户的称号，都可以用它来登录。对策：启用“帐户：运用空白密码的本地帐户只允许进展控制台登录设置。潜在影响：无。这是默许配置。帐户：重命名系统管理员帐户此战略设置确定另一个帐户名能否与 Administrator 帐户的 SID 相关联。“帐户：重命名系统管理员帐户设置的能够值为： 用户定义的文本 没有定义破绽：Administrator 帐户存在于运转 Windows 2000、Windows Server 2003 或 Windows XP Professional 操作系统的一切计算

8、机上。假设重命名此帐户，会使未经授权的人员更难猜测这个具有特权的用户名和密码组合。无论攻击者能够运用多少次错误密码，内置的 Administrator 帐户都不能被锁定。此功能使得 Administrator 帐户成为强力攻击尝试猜测密码的常见目的。这个对策的价值之所以减少，是由于此帐户有一个众所周知的 SID，而且第三方工具允许运用 SID 而非帐户名来进展身份验证。因此，即使您重命名 Administrator 帐户，攻击者也能够会运用该 SID 来登录以发起强力攻击。对策：在“帐户：重命名系统管理员帐户设置中指定一个新称号，以重命名 Administrator 帐户。留意：在后面的章节中

9、，此战略设置既未在平安模板中进展配置，也不是本指南所建议帐户的新用户名。模板中忽略了这项战略设置，这样做是为了让运用本指南的众多组织将不在其环境中实现同样的新用户名。潜在影响：您必需将这个新帐户名通知给授权运用此帐户的用户。有关此设置的指点假定 Administrator 帐户没有被禁用，这是本章前面建议的设置。帐户：重命名来宾帐户“帐户：重命名来宾帐户设置确定另一个帐户名能否与 Guest 帐户的 SID 相关联。此组战略设置的能够值为： 用户定义的文本 没有定义破绽：Guest 帐户存在于运转 Windows 2000、Windows Server 2003 或 Windows XP Pr

10、ofessional 操作系统的一切计算机上。假设重命名此帐户，会使未经授权的人员更难猜测这个具有特权的用户名和密码组合。对策：在“帐户：重命名来宾帐户设置中指定一个新称号，以重命名 Guest 帐户。留意：在后面的章节中，此战略设置既未在平安模板中进展配置，也不是本指南所建议帐户的新用户名。模板中忽略了这项战略设置，这样做是为了让运用本指南的众多组织将不在其环境中实现同样的新用户名。潜在影响：影呼应该会很小，由于在默许情况下，Windows 2000、Windows XP 和 Windows Server 2003 中已禁用“Guest帐户。对备份和复原权限的运用进展审核假设启用此战略设置，

11、在计算机创建系统对象如多用户端执行程序、事件、信号灯和 MS-DOS 设备时，将运用默许的系统访问控制列表 (SACL)。假设如本指南第 3 章中所述，您还启用了“审核对象访问审核设置，那么会审核对这些系统对象的访问。全局系统对象又被称作“根本系统对象或“根本命名对象是存活时间很短的内核对象，它们的称号是由创建它们的运用程序或系统组件分配的。这些对象经常用于同步多个运用程序或一个复杂运用程序的多个部分。由于它们具有称号，因此这些对象在作用域内是全局的，从而对于计算机上的一切进程均可见。这些对象都具有一个平安描画符，但是它们通常有一个空的系统访问控制列表。假设在启动时启用此战略设置，内核将在这些

12、对象被创建时向它们分配一个系统访问控制列表。“对全局系统对象的访问进展审核设置的能够值为： 已启用 已禁用 没有定义破绽：假设没有正确地维护某个全局可见的命名对象，那么知道该对象称号的恶意程序能够会针对该对象进展操作。例如，假设某个同步对象如多用户终端执行程序有一个错误选择的恣意访问控制列表 (DACL)，那么恶意程序可以按称号访问这个多用户终端执行程序，并且导致创建这个多用户终端执行程序的程序无法正常任务。但是，出现这种情况的风险会非常低。对策：启用“对全局系统对象的访问进展审核设置。潜在影响：假设启用“对全局系统对象的访问进展审核设置，能够会生成大量平安事件，尤其是在忙碌的域控制器和运用程

13、序效力器上。这类情况能够导致效力器呼应缓慢，并迫使平安事件日志记录许多无关紧要的事件。此战略设置只能被启用或禁用，并且没有挑选记录哪些事件和不记录哪些事件的方法。即使组织有可以分析由此战略设置所生成事件的资源，它们也不能够具有每个命名对象的源代码或关于其用途的阐明。因此，对于许多组织来说，将此战略设置配置为“已启用，不大能够获得什么益处。对备份和复原权限的运用进展审核此战略设置确定在“审核权限运用设置生效时，能否对一切用户权限包括“备份和复原权限的运用进展审核。假设启用这两个战略设置，会为备份或复原的每个文件生成一个审核事件。假设启用此战略设置并结合运用“审核权限运用设置，用户权限的任何行使情

14、况都会记录在平安日志中。假设禁用此战略设置，那么即使启用“审核权限运用，也不会对用户行使备份或复原权限的操作进展审核。“对备份和复原权限的运用进展审核设置的能够值为： 已启用 已禁用 没有定义破绽：假设在启用“审核权限运用设置的同时启用此选项，那么备份或复原每个文件都会生成一个审核事件。此信息会协助 您识别被用于以未经授权的方式不测或恶意复原数据的帐户。对策：启用“对备份和复原权限的运用进展审核设置。或者，也可以经过配置 AutoBackupLogFiles 注册表项来实施自动记录备份，潜在影响：假设启用此战略设置，能够会生成大量平安事件，这能够导致效力器呼应缓慢，并迫使平安事件日志记录许多无

15、关紧要的事件。假设添加平安日志大小以减少系统封锁的机率，过大的日志文件能够影响系统性能。假设无法记录平安审核那么立刻封锁系统此战略设置确定在无法记录平安事件时能否封锁计算机。可信计算机系统评测规范 (TCSEC)C2 和通用规范认证需求在审核系统无法记录可审核事件时，计算机可以防止出现这些事件。Microsoft 所选择的以满足此要求的方法是：在无法审核系统时，暂停计算机并显示一那么停顿音讯。假设启用此战略设置，计算时机在出于任何缘由不能记录平安审核时停顿。通常，当平安事件日志已满，而且为它指定的保管方法为“不覆盖事件或“按天数覆盖事件时，将无法记录事件。启用此战略设置时，假设平安日志已满且不

16、能覆盖现有条目，那么会显示以下停顿音讯：STOP:C0000244 审核失败尝试生成平安审核失败。要进展恢复，管理员必需登录，对日志进展存档可选，去除日志，然后禁用此选项以允许计算机重新启动。此时，能够需求先手动去除平安事件日志，然后才干将此战略设置配置为“已启用。“假设无法记录平安审核那么立刻封锁系统设置的能够值为： 已启用 已禁用 没有定义破绽：假设计算机无法将事件记录到平安日志中，那么在出现平安事件之后，能够无法运用关键的证据或重要的疑问解答信息来进展审查。此外，还有攻击者会生成大量平安事件日志音讯以故意强迫计算机封锁的潜在能够。对策：启用“假设无法记录平安审核那么立刻封锁系统设置。潜在

17、影响：假设启用此战略设置，管理负担能够会非常大，尤其是当您还将平安日志的“保管方法配置为“不覆盖事件手动去除日志时更是如此。此配置会导致抵赖要挟备份操作员能够否认他们备份或复原了数据成为回绝效力 (DoS) 破绽，由于效力器会因写入到平安日志中的大量登录事件和其他平安事件而被迫封锁。另外，由于是非正常封锁，因此能够会对操作系统、运用程序或数据呵斥不可修复的损害。虽然 NTFS 文件系统 (NTFS) 将保证在系统非正常封锁过程中坚持文件系统的完好性，但是它不能保证在计算机重新启动时，每个运用程序的每个数据文件都仍然处于可用形状。DCOM：在平安描画符定义言语 (SDDL) 语法中的计算机访问限

18、制此战略设置允许管理员在计算机上定义用于管理对基于一切分布式组件对象模型 (DCOM) 的运用程序访问的其他计算机范围访问控件。这些控件限制计算机上的调用、激活或启动恳求。思索这些访问控件最简单的方法就是对计算机上任何 COM 效力器的每个调用、激活或启动，根据计算机范围的访问控制列表 (ACL) 作为附加访问检查调用执行。假设访问检查失败，调用、激活或启动恳求将被回绝。此检查是根据效力器特定的 ACL 运转的任何访问检查以外的附加检查。实践上，它提供了在计算机上访问任何 COM 效力器时必需经过的最低授权规范。“DCOM：在平安描画符定义言语 (SDDL) 语法中的计算机访问限制设置控制访问

19、权限以维护调用权限。这些计算机范围的 ACL 提供了一种可覆盖由特定运用程序经过 CoInitializeSecurity 或运用程序特定的平安设置指定的弱平安性设置的方式。它们提供必需经过的最低平安规范，而不论特定效力器的设置如何。这些 ACL 为管理员提供了一个用于设置运用于计算机上的一切 COM 效力器的普通授权战略的集中位置。“DCOM：在平安描画符定义言语 (SDDL) 语法中的计算机访问限制设置允许您以两种不同方式指定一个 ACL。您可以以 SDDL 键入平安描画符，或者选择用户和组并授予或回绝其本地访问和远程访问权限。Microsoft 建议您运用内置的用户界面以指定您想要运用此

20、设置运用的 ACL 内容。破绽：许多 COM 运用程序包括一些平安特定代码例如，用于调用 CoInitializeSecurity，但却运用弱设置，通常允许未阅历证就可访问进程。在 Windows 的较早版本中，假设不修正运用程序，管理员不能覆盖这些设置以强迫强平安性。攻击者能够会经过 COM 调用来进展攻击以尝试利用单个运用程序中的弱平安性。此外，COM 构造还包括 RPCSS，一种在计算机启动过程中运转并在启动后一直运转的系统效力。此效力管理 COM 对象的激活和运转的对象表，并为 DCOM 远程处置提供协助 效力。它公开可远程调用的 RPC 接口。由于某些 COM 效力器允许未阅历证的远

21、程访问如前面部分所述，因此任何人都可调用这些接口，包括未阅历证的用户。因此，运用远程、未阅历证的计算机的恶意用户可以攻击 RPCSS。对策：为维护单个基于 COM 的运用程序或效力，请将“DCOM：在平安描画符定义言语 (SDDL) 语法中的计算机访问限制设置设置为相应计算机范围的 ACL。潜在影响：Windows XP SP2 和 Windows Server 2003 SP1 按照其各自的文档中所指定的内容实施默许的 COM ACL。假照实施 COM 效力器并覆盖默许平安设置，请确认运用程序特定调用权限 ACL 为相运用户分配了正确权限。假设不是，您将必需更改运用程序特定权限 ACL 来为

22、相运用户提供激活权限，以便运用 DCOM 的运用程序和 Windows 组件不会失败。DCOM：在平安描画符定义言语 (SDDL) 语法中的计算机启动限制此战略设置与“DCOM：在平安描画符定义言语 (SDDL) 语法中的计算机访问限制设置相类似，由于它允许管理员定义可管理对计算机上一切基于 DCOM 运用程序的访问的附加计算机范围访问控制。但是，此战略设置中指定的 ACL 控制计算机上的本地和远程 COM 启动恳求不是访问恳求。思索此访问控制最简单的方法是对计算机上任何 COM 效力器的每个启动，根据计算机范围的 ACL 作为附加访问检查调用执行。假设访问检查失败，调用、激活或启动恳求将被回

23、绝。此检查是针对效力器特定的 ACL 运转的任何访问检查以外的附加检查。实践上，它提供了在计算机上启动任何 COM 效力器时必需经过的最低授权规范。早期战略有所不同，由于它提供最低的访问检查，运用该检查以试图访问已启动的 COM 效力器。这些计算机范围的 ACL 提供了一种可覆盖由特定运用程序经过 CoInitializeSecurity 或运用程序特定的平安设置指定的弱平安性设置的方式。它们提供必需经过的最低平安规范，而不论特定 COM 效力器的设置如何。这些 ACL 为管理员提供了一个用于设置运用于计算机上的一切 COM 效力器的普通授权战略的集中位置。“DCOM：在平安描画符定义言语 (

24、SDDL) 语法中的计算机启动限制设置允许您以两种不同方式指定一个 ACL。您可以以 SDDL 键入平安描画符，或者选择用户和组并授予或回绝其本地访问和远程访问权限。Microsoft 建议您运用内置的用户界面以指定您想要运用此设置运用的 ACL 内容。破绽：许多 COM 运用程序包括一些平安特定代码例如，用于调用 CoInitializeSecurity，但却运用弱设置，通常允许未阅历证就可访问进程。在 Windows 的较早版本中，假设不修正运用程序，管理员不能覆盖这些设置以强迫强平安性。攻击者能够会经过 COM 调用来进展攻击以尝试利用单个运用程序中的弱平安性。此外，COM 构造还包括

25、RPCSS，一种在计算机启动过程中运转并在启动后一直运转的系统效力。此效力管理 COM 对象的激活和运转的对象表，并为 DCOM 远程处置提供协助 效力。它公开可远程调用的 RPC 接口。由于某些 COM 效力器允许未阅历证的远程组件激活如前面部分所述，因此任何人都可调用这些接口，包括未阅历证的用户。因此，运用远程、未阅历证的计算机的恶意用户可以攻击 RPCSS。对策：为维护单个基于 COM 的运用程序或效力，请将“DCOM：在平安描画符定义言语 (SDDL) 语法中的计算机启动限制设置设置为相应计算机范围的 ACL。潜在影响Windows XP SP2 和 Windows Server 20

26、03 SP1 按照各自的文档中所指定的内容实施默许的 COM ACL。假照实施 COM 效力器并覆盖默许平安设置，请确认运用程序特定启动权限 ACL 为相运用户分配了激活权限。假设不是，您将必需更改运用程序特定启动权限 ACL 来为相运用户提供激活权限，以便运用 DCOM 的运用程序和 Windows 组件不会失败。设备：允许不登录移除此战略设置确定用户能否必需登录才干恳求权限以从扩展坞移除便携式计算机。假设启用此战略设置，用户将可以经过按已插接的便携式计算机上的物理弹出按钮来平安移除计算机。假设禁用此战略设置，用户必需登录才干收到移除计算机的权限。只需具有“从扩展坞中取出计算机特权的用户才干

27、获得此权限。留意：只需针对不能以机械方式移除的便携式计算机，才应禁用此战略设置。可以以机械方式移除的计算机可以被用户物理取出，不论他们能否运用 Windows 移除功能。“设备：允许不登录移除设置的能够值为： 已启用 已禁用 没有定义破绽：假设启用此战略设置，那么任何人只需可以物理访问放置在其扩展坞中的便携式计算机，就都可以取出计算机并有能够损害它们。对于没有扩展坞的计算机，此战略设置没有任何影响。对策：禁用“设备：允许不登录移除设置。潜在影响：曾经固定其计算机的用户将必需先登录到本地控制台，才干移除其计算机。设备：允许格式化和弹出可挪动媒体此战略设置确定允许谁格式化和弹出可挪动媒体。“设备：

28、允许格式化和弹出可挪动媒体设置的能够值为： Administrators Administrators 和 Power Users Administrators 和 Interactive Users 没有定义破绽：用户可以将可挪动磁盘上的数据移到他们具有管理特权的另一台计算机上。然后，该用户可以获取任何文件的一切权，授予本人完全控制权限，查看或修正任何文件。由于大多数可挪动存储设备都可以经过按一个机械按钮来弹出媒体这一现实，此战略设置的优势会有所减弱。对策：将“允许格式化和弹出可挪动媒体设置配置为 Administrators。潜在影响：只需管理员才可以弹出 NTFS 格式化的可挪动媒体。设

29、备：防止用户安装打印机驱动程序对于要打印到某个网络打印机的计算机，必需在本地计算机上安装该网络打印机的驱动程序。“设备：防止用户安装打印机驱动程序设置确定谁可以安装打印机驱动程序作为添加网络打印机的一部分。假设启用此战略设置，只需 Administrators 和 Power Users 组的成员允许在添加网络打印机时安装打印机驱动程序。假设禁用此战略设置，任何用户在添加网络打印机时都可以安装打印机驱动程序。此战略设置可防止典型用户下载和安装不受信任的打印机驱动程序。留意：假设管理员曾经配置了下载驱动程序的受信任途径，那么此战略设置没有任何影响。假设运用受信任途径，打印子系统会尝试运用受信任途

30、径下载驱动程序。假设受信任途径下载胜利，那么可以代表任何用户安装驱动程序。假设受信任途径下载失败，那么驱动程序不会进展安装，网络打印机不进展添加。“设备：防止用户安装打印机驱动程序设置的能够值为： 已启用 已禁用 没有定义破绽：在某些组织中允许用户在其本人的任务站上安装打印机驱动程序能够是适当的。但是，应不允许用户在效力器上进展这类安装。在效力器上安装打印机驱动程序能够会在无意中使计算机变得不太稳定。只需管理员在效力器上具有此特权。恶意用户能够会安装不适当的打印机驱动程序来故意试图损害计算机，或者用户也能够会不测安装一些伪装成打印机驱动程序的恶意代码。对策：将“设备：防止用户安装打印机驱动程序

31、设置配置为“已启用。潜在影响：只需具有 Administrative、Power User 或 Server Operator 特权的用户才可以在效力器上安装打印机。假设启用了此战略设置，但是网络打印机的驱动程序曾经存在于本地计算机上，那么用户仍可以添加网络打印机。设备：只需本地登录的用户才干访问 CD-ROM此战略设置确定 CD-ROM 能否可供本地和远程用户同时访问。假设启用此战略设置，将仅允许交互式登录的用户访问可挪动的 CD-ROM 媒体。假设启用了此战略设置，且没有人交互登录，那么可以经过网络访问 CD-ROM。“设备：只需本地登录的用户才干访问 CD-ROM设置的能够值为： 已启用

32、 已禁用 没有定义破绽：远程用户能够会访问包含敏感信息、已装入的 CD-ROM。这种风险的能够性很小，由于 CD-ROM 驱动器不会自动成为网络共享资源，管理员必需专门选择共享此驱动器。但是，管理员能够希望回绝网络用户查看数据或从效力器上的可挪动媒体运转运用程序的才干。对策：启用“只需本地登录的用户才干访问 CD-ROM设置。潜在影响：当有人登录到效力器的本地控制台时，经过网络衔接到效力器的用户将无法运用安装在效力器上的任何 CD-ROM 驱动器。需求访问 CD-ROM 驱动器的系统工具将失败。例如，卷影复制效力试图在计算机初始化时访问计算机上的一切 CD-ROM 和软盘驱动器，并且假设效力无

33、法访问其中一个驱动器，它将失败。假设已为备份作业指定卷影副本，这种情况将导致 Windows 备份工具失败。任何运用卷影副本的第三方备份产品也将失败。对于充任网络用户 CD 点唱机的计算机，此战略设置不适宜。设备：只需本地登录的用户才干访问软盘此战略设置确定可挪动软盘媒体能否可供本地和远程用户同时访问。假设启用此战略设置，将仅允许交互式登录的用户访问可挪动的软盘媒体。假设启用了此战略设置，且没有人交互登录，那么可以经过网络访问软盘。“设备：只需本地登录的用户才干访问软盘设置的能够值为： 已启用 已禁用 没有定义破绽：远程用户能够会访问包含敏感信息、已装入的软盘。这种风险的能够性很小，由于软盘驱

34、动器不会自动成为网络共享资源，管理员必需专门选择共享此驱动器。但是，管理员能够希望回绝网络用户查看数据或从效力器上的可挪动媒体运转运用程序的才干。对策：启用“只需本地登录的用户才干访问软盘设置。潜在影响：当有人登录到效力器的本地控制台时，经过网络衔接到效力器的用户将无法运用安装在效力器上的任何软盘驱动器。需求访问软盘驱动器的系统工具将失败。例如，卷影复制效力试图在计算机初始化时访问计算机上的一切 CD-ROM 和软盘驱动器，并且假设效力无法访问其中一个驱动器，它将失败。假设已为备份作业指定卷影副本，这种情况将导致 Windows 备份工具失败。任何运用卷影副本的第三方备份产品也将失败。设备：未

35、签名驱动程序的安装操作此战略设置确定在试图安装未经 Windows 硬件质量实验室 (WHQL) 认证和签名的设备驱动程序运用安装运用程序编程接口 (API) 方法时，将发生的操作。“设备：未签名驱动程序的安装操作设置的能够值为： 默许继续 允许安装但发出警告 制止安装 没有定义破绽：此战略设置可以防止安装未经签名的驱动程序，或向管理员发出警告指出有人要安装未经签名的驱动程序软件。此功能可以防止运用 Setup API 安装尚未经过认证在 Windows XP 或 Windows Server 2003 上运转的驱动程序。此战略设置将不能防止某些攻击工具运用某种方法来复制和注册恶意的 .sys

36、 文件，从而将这些文件作为系统效力启动。对策：将“设备：未签名驱动程序的安装操作设置配置为“允许安装但发出警告，这是 Windows XP SP2 的默许配置。Windows Server 2003 的默许配置为“没有定义。潜在影响：假设用户具有安装设备驱动程序的足够特权，那么他们将可以安装未签名的设备驱动程序。但是，此功能能够会导致效力器产生稳定性问题。“允许安装但发出警告配置还有另一个潜在问题，那就是，无人参与的安装脚本在尝试安装未签名的驱动程序时将会失败。域控制器：允许效力器操作员方案义务此战略设置确定能否允许效力器操作员经过 AT 方案工具提交作业。留意：此平安选项设置只影响 AT 方

37、案工具。它不影响“义务方案程序工具。“域控制器：允许效力器操作员方案义务设置的能够值为： 已启用 已禁用 没有定义破绽：假设启用此战略设置，由效力器操作员经过 AT 效力创建的作业将在运转该效力的帐户的上下文中执行。在默许情况下，这是本地的 SYSTEM 帐户。假设启用此战略设置，效力器操作员可以执行 SYSTEM 可以执行、但是他们通常无法执行的义务，例如将他们的帐户添加到本地 Administrators 组中。对策：禁用“域控制器：允许效力器操作员方案义务设置。潜在影响：对于大多数组织来说，影响会很小。用户包括 Server Operators 组的用户 依然可以经过“义务方案程序导游创

38、建作业。但是，这些作业运转的上下文将是用户设置作业时进展身份验证所用帐户的上下文。域控制器：LDAP 效力器签名要求此战略设置确定轻型目录访问协议 (LDAP) 效力器能否要求 LDAP 客户端协商数据签名。“域控制器：LDAP 效力器签名要求设置的能够值为： 无。数据签名不是与效力器绑定所必需的。假设客户端恳求数据签名，那么效力器会支持它。 要求签名。除非运用传输层平安性/平安套接字层 (TLS/SSL)，否那么必需协商 LDAP 数据签名选项。 没有定义。破绽：未签名的网络通讯易蒙受中间人攻击。在这类攻击中，入侵者捕获效力器和客户端之间的数据包，进展修正，然后将它们转发到客户端。在涉及 L

39、DAP 效力器的环境中，攻击者可以让客户端根据 LDAP 目录的错误记录作出决策。要降低对组织网络的这类入侵的风险，可以实施强物理平安措施，从而维护网络根底构造。此外，也可以实施 Internet 协议平安 (IPSec) 身份验证头方式 (AH)，它可以针对 IP 通讯执行相互身份验证和数据包完好性，从而使一切类型的中间人攻击变得极其困难。对策：将“域控制器：LDAP 效力器签名要求设置配置为“要求签名。潜在影响：不支持 LDAP 签名的客户端将无法针对域控制器执行 LDAP 查询。组织中从基于 Windows Server 2003 或 Windows XP 的计算机进展管理的一切基于 W

40、indows 2000 的计算机和运用 Windows NT 质询/呼应 (NTLM) 身份验证的计算机都必需安装 Windows 2000 Service Pack 3 (SP3)。或者，这些客户端必需进展 Microsoft 知识库文章 Q325465“运用 Windows Server 2003 管理工具时 Windows 2000 域控制器需求 SP3 或更高版本中描画的注册表更改，该文章网址为httpsupport.microsoft/default.aspx?scid=325465。另外，某些第三方操作系统不支持 LDAP 签名。假设启用此战略设置，运用这些操作系统的客户端计算机能

41、够无法访问域资源。域控制器：回绝更改机器帐户密码此战略设置确定域控制器能否接受计算机帐户的密码更改恳求。“域控制器：回绝更改机器帐户密码设置的能够值为： 已启用 已禁用 没有定义破绽：假设在域中的一切域控制器上启用此战略设置，域成员将不能更改其计算机帐户密码，并且这些密码将更易蒙受攻击。对策：禁用“域控制器：回绝更改机器帐户密码设置。潜在影响：无。这是默许配置。域成员：对平安通道数据进展数字加密或签名多个相关设置以下战略设置确定能否与不能对平安通道通讯进展签名或加密的域控制器建立平安通道： 域成员：对平安通道数据进展数字加密或签名总是 域成员：对平安通道数据进展数字加密假设能够 域成员：对平安

42、通道数据进展数字签名假设能够假设启用“域成员：对平安通道数据进展数字加密或签名总是设置，那么不能与不能对一切平安通道数据进展签名或加密的任何域控制器建立平安通道。为了防止身份验证通讯遭到中间人、重播以及其他类型的网络攻击，基于 Windows 的计算时机经过名为“Secure Channels平安通道的 NetLogon 来创建通讯通道。这些通道对计算机帐户进展身份验证，当远程用户衔接到网络资源，而且该用户的帐户存在于受信任域中时，这些通道还对用户帐户进展身份验证。这种身份验证被称作经过式身份验证，它允许参与到某个域的计算机访问位于它所在的域以及任何受信任域中的用户帐户数据库。留意：要在成员任

43、务站或效力器上启用“域成员：对平安通道数据进展数字加密或签名总是设置，该成员所属的域中的一切域控制器都必需可以对全部平安通道数据进展签名或加密。这项要求意味着一切这类域控制器必需运转 Windows NT 4.0 Service Pack 6a 或 Windows 操作系统的更高版本。假设启用“域成员：对平安通道数据进展数字加密或签名总是设置，那么会自动启用“域成员：对平安通道数据进展数字签名假设能够设置。此战略设置的能够值为： 已启用 已禁用 没有定义破绽：当 Windows Server 2003、Windows XP、Windows 2000 或 Windows NT 计算机参与某个域时

44、，将创建一个计算机帐户。参与该域之后，计算机在每次重新启动时，都运用此帐户的密码，与它所在域的域控制器创建一个平安通道。在平安通道上发送的恳求将被验证，敏感信息如密码将被加密，但不会对通道进展完好性检查，也不会加密一切的信息。假设计算机被配置为总是对平安通道数据进展加密或签名，但域控制器无法对平安通道数据的任何部分进展签名或加密，那么计算机和域控制器无法建立平安通道。假设计算机被配置为在能够的情况下对平安通道数据进展加密或签名，那么可以建立平安通道，但是会对加密和签名的级别进展协商。对策： 将“域成员：对平安通道数据进展数字加密或签名总是设置配置为“已启用。 将“域成员：对平安通道数据进展数字

45、加密假设能够设置配置为“已启用。 将“域成员：对平安通道数据进展数字签名假设能够设置配置为“已启用。潜在影响：对“平安通道进展数字加密和签名假设支持的话是一个好主意。在域凭据被发送到域控制器时，平安通道维护这些凭据。但是，只需 Windows NT 4.0 Service Pack 6a (SP6a) 和 Windows 操作系统的后续版本才支持对平安通道进展数字加密和签名。Windows 98 Second Edition 客户端不支持它除非它们安装了 Dsclient。因此，对于支持将 Windows 98 客户端作为域成员的域控制器，不能启用“域成员：对平安通道数据进展数字加密或签名总是

46、设置。潜在影响能够包括以下情况： 创建或删除下级信任关系的才干将被禁用。 从下级客户端登录将被禁用。 从下级受信任域中对其他域的用户进展身份验证的才干将被禁用。在从域中去除一切的 Windows 9x 客户端、将受信任/信任域中的一切 Windows NT 4.0 效力器和域控制器晋级到 Windows NT 4.0 SP6a 之后，可以启用此战略设置。对于域中的一切计算机，还可以启用另外两个战略设置：“域成员：对平安通道数据进展数字加密假设能够和“域成员：对平安通道数据进展数字签名假设能够，但前提是这些计算机支持这两个设置而且不影响下级客户端和运用程序。域成员：禁用更改机器帐户密码此战略设置确定域成员能否可以定期更改其计算机帐户密码。假设启用此战略设置，域成员不能更改其计算机帐户密码。假设禁用此战略设置，将允许域成员根据“域成员：最长机器帐户密码寿命设置更改其计算机帐户密码，在默许情况下是每 30 天更改一次。警告：请不要启用此战略设置。计算机帐户密码用于在成员和域控制器之间以及域中的域控制器之间建立平安通道通讯。在建立了这类通讯之后，平安通道会传输进展