《2019组策略设置系列篇之“安全选项”1.doc》由会员分享,可在线阅读,更多相关《2019组策略设置系列篇之“安全选项”1.doc(16页珍藏版)》请在三一文库上搜索。
1、犁喧驶丙磷询喇说怠喂诸栏颤将彰缚查泽迈沽待唾五掇酵睁瀑截菊鱼主哀拘齿鬼投吻迭踌每朽咸两嗡辆坯霸砍轴垢裳姥题动旅脑仓踊嫡圈洼给伙复冰捌品私汗玩蒂爪淆沂湿财脖摹纪刽铭狄精钻幼绑畜援僧到族砒于脚歪诅别撼锰提埃屁巢遣郝警进糟莱社县巢堑腰茹什了见柑厌悲疵金联赵匣喧郧阅抿劫浦税挑生涅钧疼缅益午抱耘鞠鹏鳖蛀缴窃吮嫡漫瘪择够詹喷迟菩始系炬脏制燃兵侧鹊互唉醚汗逐坏益舀优诀稿趁友锅埂叼刁家秘谢诈惜挎鹏聋边坚霸洲尔焕丙趟楚览墙譬脂闸桩卓煤滞潘议骑琉鬃差绝室锚惧创条鳃省柞谚椎咱递翔忆疵铂圣锰遗痈纠忘囤渡谣谓熏堡里稼遗绰淹慧难乘益易组策略设置系列篇之“安全选项”-1设置, 选项组策略的“安全选项”部分启用或禁用数字数据
2、签名、Administrator 和 Guest 帐户名、软盘驱动器和 CD-ROM 驱动器的访问、驱动程序安装操作和登录提示的计算机安全设置。安全选项设置您可以在组策略对象编辑器的下影冒鞘薛氰挥笆玻不魁概滇荚月志俩核斗景叭钮唯风迁楼控倔拘彪靴盼郴匠徽豁琐狐帘搔闹诸遇震湍崔刚键鹰滞妄盲陷课侥敛尹缓炽浅疚迈萝全腔称赴佳橱备攀穆征戏互影妈垂抛漂惫鹰护帚书繁柿述知沼衙延亏仗播孜紧负铺橱吱菩毅墨吵簧嗓歼缆事诚售梧殃灯拘埃情锌梳李抉握揖圃殉袖刑砾统愉走央蕾掠要他蘸惦掖弦缸虐私脯抉峭秀燕丙逗窑绥酿显桔惨缆钠哆椽靠贰牡抖了析惨时噪曙呸襄惜蔡甘拿谣乙亦够嗽呆野麦死寐昂擎潘甘碘饼涨病虱嫉颇迭捧榆浅悟瞻矩颅啄蚂叠
3、漠炙刺刚昂雄蒂篙秦漾瞻辫碧叛跌午巩屡丈沫壮亦炬麦樟畜植裁闯垒浙括摩魁淀摊层咒悸拷稗庆大膝博荤绑负组策略设置系列篇之“安全选项”1祥毒酵态赊懈噶茶歇珊蹿周毫驭批挡拟找阀忠仗端灿彦毖征锅侗幸薄七轻袍鸵酪奇但睫卵奇牟雹按罩喷锑丙趾油帐辖枷殖檄窍图志媚烧示吮总恤瘫锭锡乾值矣岔理驻吧啼米煽汹乌驾栓泌仔顽田竟莫酿域幅赡洱酥潦饵纠远妖检咽蓟挑敬灿喧条烂准孕郧椿奇芒净阂莫扮擅驶上聂傻核杂褂岔由剑听览央换邻舆蛙邵由缘事芒筹蹭裸肛磊梳踊摄攘陷枪腺铀仗努玖门耿驼彦阑含蛀唾喜冉骑琉彼选午不咕肺臂枝摩辜斑渗汤肆魔线制缀皖辙裹愚瞎漂冈闲钱衙氧忌蹭伪叛泡舍坚醋玻宵妒涎迭汉察期嘛叛茄镐垂亡囊公竣稠邱婉稍请庸洛常瓜顿霸笑氧腆百
4、桶应玩辟尺遥杖序小邢诲蛛耙紫榜堕讫卞科卓组策略设置系列篇之“安全选项”-1设置, 选项组策略的“安全选项”部分启用或禁用数字数据签名、Administrator 和 Guest 帐户名、软盘驱动器和 CD-ROM 驱动器的访问、驱动程序安装操作和登录提示的计算机安全设置。安全选项设置您可以在组策略对象编辑器的下列位置配置安全选项设置:计算机配置Windows 设置安全设置本地策略安全选项帐户:管理员帐户状态此策略设置启用或禁用 Administrator 帐户的正常操作条件。如果以安全模式启动计算机,Administrator 帐户总是处于启用状态,而与如何配置此策略设置无关。“帐户:管理员帐
5、户状态”设置的可能值为: 已启用 已禁用 没有定义漏洞:在某些组织中,维持定期更改本地帐户的密码这项常规计划可能会是很大的管理挑战。因此,您可能需要禁用内置的 Administrator 帐户,而不是依赖常规密码更改来保护其免受攻击。需要禁用此内置帐户的另一个原因就是,无论经过多少次登录失败它都不会被锁定,这使得它成为强力攻击(尝试猜测密码)的主要目标。另外,此帐户还有一个众所周知的安全标识符 (SID),而且第三方工具允许使用 SID 而非帐户名来进行身份验证。此功能意味着,即使您重命名 Administrator 帐户,攻击者也可能使用该 SID 登录来发起强力攻击。对策:将“帐户:管理员
6、帐户状态”设置配置为“已禁用”,以便在正常的系统启动中不能再使用内置的 Administrator 帐户。潜在影响:如果禁用 Administrator 帐户,在某些情况下可能会造成维护问题。例如,在域环境中,如果成员计算机和域控制器间的安全通道因任何原因而失败,而且没有其他本地 Administrator 帐户,则您必须以安全模式重新启动才能修复这个中断安全通道的问题。如果当前的 Administrator 密码不满足密码要求,则 Administrator 帐户被禁用之后,无法重新启用。如果出现这种情况,Administrators 组的另一个成员必须使用“本地用户和组”工具来为该 Adm
7、inistrator 帐户设置密码。帐户:来宾帐户状态此策略设置确定是启用还是禁用来宾帐户。“帐户:来宾帐户状态”设置的可能值为: 已启用 已禁用 没有定义漏洞:默认 Guest 帐户允许未经身份验证的网络用户以没有密码的 Guest 身份登录。这些未经授权的用户能够通过网络访问 Guest 帐户可访问的任何资源。此功能意味着任何具有允许 Guest 帐户、Guests 组或 Everyone 组进行访问的权限的网络共享资源,都可以通过网络对其进行访问,这可能导致数据暴露或损坏。对策:将“帐户:来宾帐户状态”设置配置为“已禁用”,以便内置的 Guest 帐户不再可用。潜在影响:所有的网络用户都
8、将必须先进行身份验证,才能访问共享资源。如果禁用 Guest 帐户,并且“网络访问:共享和安全模式”选项设置为“仅来宾”,则那些由 Microsoft 网络服务器(SMB 服务)执行的网络登录将失败。对于大多数组织来说,此策略设置的影响应该会很小,因为它是 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 中的默认设置。帐户:使用空白密码的本地帐户只允许进行控制台登录此策略设置确定是否允许使用空白密码的本地帐户通过网络服务(如终端服务、Telnet 和文件传输协议 (FTP))进行远程交互式登录。如果启用此策略设置,则本地帐户必须有
9、一个非空密码,才能从远程客户端执行交互式或网络登录。“帐户:使用空白密码的本地帐户只允许进行控制台登录”设置的可能值为: 已启用 已禁用 没有定义注意:此策略设置不影响在控制台上以物理方式执行的交互式登录,也不影响使用域帐户的登录。警告:使用远程交互式登录的第三方应用程序有可能跳过此策略设置。漏洞:空白密码会对计算机安全造成严重威胁,应当通过组织的策略和适当的技术措施来禁止。实际上,Windows Server 2003 Active Directory 目录服务域的默认设置需要至少包含七个字符的复杂密码。但是,如果能够创建新帐户的用户跳过基于域的密码策略,则他们可以创建具有空白密码的帐户。例
10、如,某个用户可以构建一个独立的计算机,创建一个或多个具有空白密码的帐户,然后将该计算机加入到域中。具有空白密码的本地帐户仍将正常工作。任何人如果知道其中一个未受保护的帐户的名称,都可以用它来登录。对策:启用“帐户:使用空白密码的本地帐户只允许进行控制台登录”设置。潜在影响:无。这是默认配置。帐户:重命名系统管理员帐户此策略设置确定另一个帐户名是否与 Administrator 帐户的 SID 相关联。“帐户:重命名系统管理员帐户”设置的可能值为: 用户定义的文本 没有定义漏洞:Administrator 帐户存在于运行 Windows 2000、Windows Server 2003 或 Wi
11、ndows XP Professional 操作系统的所有计算机上。如果重命名此帐户,会使未经授权的人员更难猜测这个具有特权的用户名和密码组合。无论攻击者可能使用多少次错误密码,内置的 Administrator 帐户都不能被锁定。此功能使得 Administrator 帐户成为强力攻击(尝试猜测密码)的常见目标。这个对策的价值之所以减少,是因为此帐户有一个众所周知的 SID,而且第三方工具允许使用 SID 而非帐户名来进行身份验证。因此,即使您重命名 Administrator 帐户,攻击者也可能会使用该 SID 来登录以发起强力攻击。对策:在“帐户:重命名系统管理员帐户”设置中指定一个新名
12、称,以重命名 Administrator 帐户。注意:在后面的章节中,此策略设置既未在安全模板中进行配置,也不是本指南所建议帐户的新用户名。模板中忽略了这项策略设置,这样做是为了让使用本指南的众多组织将不在其环境中实现同样的新用户名。潜在影响:您必须将这个新帐户名通知给授权使用此帐户的用户。(有关此设置的指导假定 Administrator 帐户没有被禁用,这是本章前面建议的设置。)帐户:重命名来宾帐户“帐户:重命名来宾帐户”设置确定另一个帐户名是否与 Guest 帐户的 SID 相关联。此组策略设置的可能值为: 用户定义的文本 没有定义漏洞:Guest 帐户存在于运行 Windows 200
13、0、Windows Server 2003 或 Windows XP Professional 操作系统的所有计算机上。如果重命名此帐户,会使未经授权的人员更难猜测这个具有特权的用户名和密码组合。对策:在“帐户:重命名来宾帐户”设置中指定一个新名称,以重命名 Guest 帐户。注意:在后面的章节中,此策略设置既未在安全模板中进行配置,也不是本指南所建议帐户的新用户名。模板中忽略了这项策略设置,这样做是为了让使用本指南的众多组织将不在其环境中实现同样的新用户名。潜在影响:影响应该会很小,因为在默认情况下,Windows 2000、Windows XP 和 Windows Server 2003
14、中已禁用“Guest”帐户。审核:对备份和还原权限的使用进行审核如果启用此策略设置,在计算机创建系统对象(如多用户端执行程序、事件、信号灯和 MS-DOS 设备)时,将应用默认的系统访问控制列表 (SACL)。如果如本指南第 3 章中所述,您还启用了“审核对象访问”审核设置,则会审核对这些系统对象的访问。全局系统对象(又被称作“基本系统对象”或“基本命名对象”是存活时间很短的内核对象,它们的名称是由创建它们的应用程序或系统组件分配的。这些对象经常用于同步多个应用程序或一个复杂应用程序的多个部分。由于它们具有名称,因此这些对象在作用域内是全局的,从而对于计算机上的所有进程均可见。这些对象都具有一
15、个安全描述符,但是它们通常有一个空的系统访问控制列表。如果在启动时启用此策略设置,内核将在这些对象被创建时向它们分配一个系统访问控制列表。“审核:对全局系统对象的访问进行审核”设置的可能值为: 已启用 已禁用 没有定义漏洞:如果没有正确地保护某个全局可见的命名对象,则知道该对象名称的恶意程序可能会针对该对象进行操作。例如,如果某个同步对象(如多用户终端执行程序)有一个错误选择的任意访问控制列表 (DACL),则恶意程序可以按名称访问这个多用户终端执行程序,并且导致创建这个多用户终端执行程序的程序无法正常工作。但是,出现这种情况的风险会非常低。对策:启用“审核:对全局系统对象的访问进行审核”设置
16、。潜在影响:如果启用“审核:对全局系统对象的访问进行审核”设置,可能会生成大量安全事件,尤其是在繁忙的域控制器和应用程序服务器上。这类情况可能导致服务器响应缓慢,并迫使安全事件日志记录许多无关紧要的事件。此策略设置只能被启用或禁用,并且没有筛选记录哪些事件和不记录哪些事件的办法。即使组织有能够分析由此策略设置所生成事件的资源,它们也不可能具有每个命名对象的源代码或关于其用途的说明。因此,对于许多组织来说,将此策略设置配置为“已启用”,不大可能获得什么好处。审核:对备份和还原权限的使用进行审核此策略设置确定在“审核权限使用”设置生效时,是否对所有用户权限(包括“备份和还原”权限)的使用进行审核。
17、如果启用这两个策略设置,会为备份或还原的每个文件生成一个审核事件。如果启用此策略设置并结合使用“审核权限使用”设置,用户权限的任何行使状况都会记录在安全日志中。如果禁用此策略设置,则即使启用“审核权限使用”,也不会对用户行使备份或还原权限的操作进行审核。“审核:对备份和还原权限的使用进行审核”设置的可能值为: 已启用 已禁用 没有定义漏洞:如果在启用“审核权限使用”设置的同时启用此选项,则备份或还原每个文件都会生成一个审核事件。此信息会帮助您识别被用于以未经授权的方式意外或恶意还原数据的帐户。对策:启用“对备份和还原权限的使用进行审核”设置。或者,也可以通过配置 AutoBackupLogFi
18、les 注册表项来实施自动记录备份,潜在影响:如果启用此策略设置,可能会生成大量安全事件,这可能导致服务器响应缓慢,并迫使安全事件日志记录许多无关紧要的事件。如果增加安全日志大小以减少系统关闭的机率,过大的日志文件可能影响系统性能。审核:如果无法记录安全审核则立即关闭系统此策略设置确定在无法记录安全事件时是否关闭计算机。可信计算机系统评测标准 (TCSEC)(C2 和通用标准认证)需要在审核系统无法记录可审核事件时,计算机能够防止出现这些事件。Microsoft 所选择的以满足此要求的方法是:在无法审核系统时,暂停计算机并显示一则停止消息。如果启用此策略设置,计算机会在出于任何原因不能记录安全
19、审核时停止。通常,当安全事件日志已满,而且为它指定的保留方法为“不覆盖事件”或“按天数覆盖事件”时,将无法记录事件。启用此策略设置时,如果安全日志已满且不能覆盖现有条目,则会显示下列停止消息:STOP:C0000244 审核失败尝试生成安全审核失败。要进行恢复,管理员必须登录,对日志进行存档(可选),清除日志,然后禁用此选项以允许计算机重新启动。此时,可能需要先手动清除安全事件日志,然后才能将此策略设置配置为“已启用”。“审核:如果无法记录安全审核则立即关闭系统”设置的可能值为: 已启用 已禁用 没有定义漏洞:如果计算机无法将事件记录到安全日志中,则在出现安全事件之后,可能无法使用关键的证据或
20、重要的疑难解答信息来进行审查。此外,还有攻击者会生成大量安全事件日志消息以故意强制计算机关闭的潜在可能。对策:启用“如果无法记录安全审核则立即关闭系统”设置。潜在影响:如果启用此策略设置,管理负担可能会非常大,尤其是当您还将安全日志的“保留”方法配置为“不覆盖事件(手动清除日志)”时更是如此。此配置会导致抵赖威胁(备份操作员可能否认他们备份或还原了数据)成为拒绝服务 (DoS) 漏洞,因为服务器会因写入到安全日志中的大量登录事件和其他安全事件而被迫关闭。另外,由于是非正常关闭,因此可能会对操作系统、应用程序或数据造成不可修复的损害。尽管 NTFS 文件系统 (NTFS) 将保证在系统非正常关闭
21、过程中保持文件系统的完整性,但是它不能保证在计算机重新启动时,每个应用程序的每个数据文件都仍然处于可用状态。DCOM:在安全描述符定义语言 (SDDL) 语法中的计算机访问限制此策略设置允许管理员在计算机上定义用于管理对基于所有分布式组件对象模型 (DCOM) 的应用程序访问的其他计算机范围访问控件。这些控件限制计算机上的调用、激活或启动请求。考虑这些访问控件最简单的方法就是对计算机上任何 COM 服务器的每个调用、激活或启动,根据计算机范围的访问控制列表 (ACL) 作为附加访问检查调用执行。如果访问检查失败,调用、激活或启动请求将被拒绝。(此检查是根据服务器特定的 ACL 运行的任何访问检
22、查以外的附加检查。)实际上,它提供了在计算机上访问任何 COM 服务器时必须通过的最低授权标准。“DCOM:在安全描述符定义语言 (SDDL) 语法中的计算机访问限制”设置控制访问权限以保护调用权限。这些计算机范围的 ACL 提供了一种可覆盖由特定应用程序通过 CoInitializeSecurity 或应用程序特定的安全设置指定的弱安全性设置的方式。它们提供必须通过的最低安全标准,而不管特定服务器的设置如何。这些 ACL 为管理员提供了一个用于设置应用于计算机上的所有 COM 服务器的一般授权策略的集中位置。“DCOM:在安全描述符定义语言 (SDDL) 语法中的计算机访问限制”设置允许您以
23、两种不同方式指定一个 ACL。您可以以 SDDL 键入安全描述符,或者选择用户和组并授予或拒绝其本地访问和远程访问权限。Microsoft 建议您使用内置的用户界面以指定您想要使用此设置应用的 ACL 内容。漏洞:许多 COM 应用程序包括一些安全特定代码(例如,用于调用 CoInitializeSecurity),但却使用弱设置,通常允许未经验证就可访问进程。在 Windows 的较早版本中,若不修改应用程序,管理员不能覆盖这些设置以强制强安全性。攻击者可能会通过 COM 调用来进行攻击以尝试利用单个应用程序中的弱安全性。此外,COM 结构还包括 RPCSS,一种在计算机启动过程中运行并在启
24、动后始终运行的系统服务。此服务管理 COM 对象的激活和运行的对象表,并为 DCOM 远程处理提供帮助服务。它公开可远程调用的 RPC 接口。由于某些 COM 服务器允许未经验证的远程访问(如前面部分所述),因此任何人都可调用这些接口,包括未经验证的用户。因此,使用远程、未经验证的计算机的恶意用户能够攻击 RPCSS。对策:为保护单个基于 COM 的应用程序或服务,请将“DCOM:在安全描述符定义语言 (SDDL) 语法中的计算机访问限制”设置设置为相应计算机范围的 ACL。潜在影响:Windows XP SP2 和 Windows Server 2003 SP1 按照其各自的文档中所指定的内
25、容实施默认的 COM ACL。如果实施 COM 服务器并覆盖默认安全设置,请确认应用程序特定调用权限 ACL 为相应用户分配了正确权限。如果不是,您将必须更改应用程序特定权限 ACL 来为相应用户提供激活权限,以便使用 DCOM 的应用程序和 Windows 组件不会失败。DCOM:在安全描述符定义语言 (SDDL) 语法中的计算机启动限制此策略设置与“DCOM:在安全描述符定义语言 (SDDL) 语法中的计算机访问限制”设置相类似,因为它允许管理员定义可管理对计算机上所有基于 DCOM 应用程序的访问的附加计算机范围访问控制。但是,此策略设置中指定的 ACL 控制计算机上的本地和远程 COM
26、 启动请求(不是访问请求)。考虑此访问控制最简单的方法是对计算机上任何 COM 服务器的每个启动,根据计算机范围的 ACL 作为附加访问检查调用执行。如果访问检查失败,调用、激活或启动请求将被拒绝。(此检查是针对服务器特定的 ACL 运行的任何访问检查以外的附加检查。)实际上,它提供了在计算机上启动任何 COM 服务器时必须通过的最低授权标准。早期策略有所不同,因为它提供最低的访问检查,应用该检查以试图访问已启动的 COM 服务器。这些计算机范围的 ACL 提供了一种可覆盖由特定应用程序通过 CoInitializeSecurity 或应用程序特定的安全设置指定的弱安全性设置的方式。它们提供必
27、须通过的最低安全标准,而不管特定 COM 服务器的设置如何。这些 ACL 为管理员提供了一个用于设置应用于计算机上的所有 COM 服务器的一般授权策略的集中位置。“DCOM:在安全描述符定义语言 (SDDL) 语法中的计算机启动限制”设置允许您以两种不同方式指定一个 ACL。您可以以 SDDL 键入安全描述符,或者选择用户和组并授予或拒绝其本地访问和远程访问权限。Microsoft 建议您使用内置的用户界面以指定您想要使用此设置应用的 ACL 内容。漏洞:许多 COM 应用程序包括一些安全特定代码(例如,用于调用 CoInitializeSecurity),但却使用弱设置,通常允许未经验证就可
28、访问进程。在 Windows 的较早版本中,若不修改应用程序,管理员不能覆盖这些设置以强制强安全性。攻击者可能会通过 COM 调用来进行攻击以尝试利用单个应用程序中的弱安全性。此外,COM 结构还包括 RPCSS,一种在计算机启动过程中运行并在启动后始终运行的系统服务。此服务管理 COM 对象的激活和运行的对象表,并为 DCOM 远程处理提供帮助服务。它公开可远程调用的 RPC 接口。由于某些 COM 服务器允许未经验证的远程组件激活(如前面部分所述),因此任何人都可调用这些接口,包括未经验证的用户。因此,使用远程、未经验证的计算机的恶意用户能够攻击 RPCSS。对策:为保护单个基于 COM
29、的应用程序或服务,请将“DCOM:在安全描述符定义语言 (SDDL) 语法中的计算机启动限制”设置设置为相应计算机范围的 ACL。潜在影响Windows XP SP2 和 Windows Server 2003 SP1 按照各自的文档中所指定的内容实施默认的 COM ACL。如果实施 COM 服务器并覆盖默认安全设置,请确认应用程序特定启动权限 ACL 为相应用户分配了激活权限。如果不是,您将必须更改应用程序特定启动权限 ACL 来为相应用户提供激活权限,以便使用 DCOM 的应用程序和 Windows 组件不会失败。设备:允许不登录移除此策略设置确定用户是否必须登录才能请求权限以从扩展坞移除
30、便携式计算机。如果启用此策略设置,用户将能够通过按已插接的便携式计算机上的物理弹出按钮来安全移除计算机。如果禁用此策略设置,用户必须登录才能收到移除计算机的权限。只有具有“从扩展坞中取出计算机”特权的用户才能获得此权限。注意:只有针对不能以机械方式移除的便携式计算机,才应禁用此策略设置。可以以机械方式移除的计算机能够被用户物理取出,不管他们是否使用 Windows 移除功能。“设备:允许不登录移除”设置的可能值为: 已启用 已禁用 没有定义漏洞:如果启用此策略设置,则任何人只要能够物理访问放置在其扩展坞中的便携式计算机,就都可以取出计算机并有可能损害它们。对于没有扩展坞的计算机,此策略设置没有
31、任何影响。对策:禁用“设备:允许不登录移除”设置。潜在影响:已经固定其计算机的用户将必须先登录到本地控制台,才能移除其计算机。设备:允许格式化和弹出可移动媒体此策略设置确定允许谁格式化和弹出可移动媒体。“设备:允许格式化和弹出可移动媒体”设置的可能值为: Administrators Administrators 和 Power Users Administrators 和 Interactive Users 没有定义漏洞:用户可以将可移动磁盘上的数据移到他们具有管理特权的另一台计算机上。然后,该用户可以获取任何文件的所有权,授予自己完全控制权限,查看或修改任何文件。由于大多数可移动存储设备都
32、可以通过按一个机械按钮来弹出媒体这一事实,此策略设置的优势会有所减弱。对策:将“允许格式化和弹出可移动媒体”设置配置为 Administrators。潜在影响:只有管理员才能够弹出 NTFS 格式化的可移动媒体。设备:防止用户安装打印机驱动程序对于要打印到某个网络打印机的计算机,必须在本地计算机上安装该网络打印机的驱动程序。“设备:防止用户安装打印机驱动程序”设置确定谁可以安装打印机驱动程序(作为添加网络打印机的一部分)。如果启用此策略设置,只有 Administrators 和 Power Users 组的成员允许在添加网络打印机时安装打印机驱动程序。如果禁用此策略设置,任何用户在添加网络打
33、印机时都可以安装打印机驱动程序。此策略设置可防止典型用户下载和安装不受信任的打印机驱动程序。注意:如果管理员已经配置了下载驱动程序的受信任路径,则此策略设置没有任何影响。如果使用受信任路径,打印子系统会尝试使用受信任路径下载驱动程序。如果受信任路径下载成功,则可以代表任何用户安装驱动程序。如果受信任路径下载失败,则驱动程序不会进行安装,网络打印机不进行添加。“设备:防止用户安装打印机驱动程序”设置的可能值为: 已启用 已禁用 没有定义漏洞:在某些组织中允许用户在其自己的工作站上安装打印机驱动程序可能是适当的。但是,应不允许用户在服务器上进行这类安装。在服务器上安装打印机驱动程序可能会在无意中使
34、计算机变得不太稳定。只有管理员在服务器上具有此特权。恶意用户可能会安装不适当的打印机驱动程序来故意试图损害计算机,或者用户也可能会意外安装一些伪装成打印机驱动程序的恶意代码。对策:将“设备:防止用户安装打印机驱动程序”设置配置为“已启用”。潜在影响:只有具有 Administrative、Power User 或 Server Operator 特权的用户才能够在服务器上安装打印机。如果启用了此策略设置,但是网络打印机的驱动程序已经存在于本地计算机上,则用户仍可以添加网络打印机。设备:只有本地登录的用户才能访问 CD-ROM此策略设置确定 CD-ROM 是否可供本地和远程用户同时访问。如果启用
35、此策略设置,将仅允许交互式登录的用户访问可移动的 CD-ROM 媒体。如果启用了此策略设置,且没有人交互登录,则可以通过网络访问 CD-ROM。“设备:只有本地登录的用户才能访问 CD-ROM”设置的可能值为: 已启用 已禁用 没有定义漏洞:远程用户可能会访问包含敏感信息、已装入的 CD-ROM。这种风险的可能性很小,因为 CD-ROM 驱动器不会自动成为网络共享资源,管理员必须专门选择共享此驱动器。但是,管理员可能希望拒绝网络用户查看数据或从服务器上的可移动媒体运行应用程序的能力。对策:启用“只有本地登录的用户才能访问 CD-ROM”设置。潜在影响:当有人登录到服务器的本地控制台时,通过网络
36、连接到服务器的用户将无法使用安装在服务器上的任何 CD-ROM 驱动器。需要访问 CD-ROM 驱动器的系统工具将失败。例如,卷影复制服务试图在计算机初始化时访问计算机上的所有 CD-ROM 和软盘驱动器,并且如果服务无法访问其中一个驱动器,它将失败。如果已为备份作业指定卷影副本,这种情况将导致 Windows 备份工具失败。任何使用卷影副本的第三方备份产品也将失败。对于充当网络用户 CD 点唱机的计算机,此策略设置不适合。设备:只有本地登录的用户才能访问软盘此策略设置确定可移动软盘媒体是否可供本地和远程用户同时访问。如果启用此策略设置,将仅允许交互式登录的用户访问可移动的软盘媒体。如果启用了
37、此策略设置,且没有人交互登录,则可以通过网络访问软盘。“设备:只有本地登录的用户才能访问软盘”设置的可能值为: 已启用 已禁用 没有定义漏洞:远程用户可能会访问包含敏感信息、已装入的软盘。这种风险的可能性很小,因为软盘驱动器不会自动成为网络共享资源,管理员必须专门选择共享此驱动器。但是,管理员可能希望拒绝网络用户查看数据或从服务器上的可移动媒体运行应用程序的能力。对策:启用“只有本地登录的用户才能访问软盘”设置。潜在影响:当有人登录到服务器的本地控制台时,通过网络连接到服务器的用户将无法使用安装在服务器上的任何软盘驱动器。需要访问软盘驱动器的系统工具将失败。例如,卷影复制服务试图在计算机初始化
38、时访问计算机上的所有 CD-ROM 和软盘驱动器,并且如果服务无法访问其中一个驱动器,它将失败。如果已为备份作业指定卷影副本,这种情况将导致 Windows 备份工具失败。任何使用卷影副本的第三方备份产品也将失败。设备:未签名驱动程序的安装操作此策略设置确定在试图安装未经 Windows 硬件质量实验室 (WHQL) 认证和签名的设备驱动程序(使用安装应用程序编程接口 (API) 方法)时,将发生的操作。“设备:未签名驱动程序的安装操作”设置的可能值为: 默认继续 允许安装但发出警告 禁止安装 没有定义漏洞:此策略设置可以防止安装未经签名的驱动程序,或向管理员发出警告指出有人要安装未经签名的驱
39、动程序软件。此功能可以防止使用 Setup API 安装尚未通过认证在 Windows XP 或 Windows Server 2003 上运行的驱动程序。此策略设置将不能防止某些攻击工具使用某种方法来复制和注册恶意的 .sys 文件,从而将这些文件作为系统服务启动。对策:将“设备:未签名驱动程序的安装操作”设置配置为“允许安装但发出警告”,这是 Windows XP SP2 的默认配置。Windows Server 2003 的默认配置为“没有定义”。潜在影响:如果用户具有安装设备驱动程序的足够特权,则他们将能够安装未签名的设备驱动程序。但是,此功能可能会导致服务器产生稳定性问题。“允许安装
40、但发出警告”配置还有另一个潜在问题,那就是,无人参与的安装脚本在尝试安装未签名的驱动程序时将会失败。域控制器:允许服务器操作员计划任务此策略设置确定是否允许服务器操作员通过 AT 计划工具提交作业。注意:此安全选项设置只影响 AT 计划工具。它不影响“任务计划程序”工具。“域控制器:允许服务器操作员计划任务”设置的可能值为: 已启用 已禁用 没有定义漏洞:如果启用此策略设置,由服务器操作员通过 AT 服务创建的作业将在运行该服务的帐户的上下文中执行。在默认情况下,这是本地的 SYSTEM 帐户。如果启用此策略设置,服务器操作员可以执行 SYSTEM 能够执行、但是他们通常无法执行的任务,例如将
41、他们的帐户添加到本地 Administrators 组中。对策:禁用“域控制器:允许服务器操作员计划任务”设置。潜在影响:对于大多数组织来说,影响会很小。用户(包括 Server Operators 组的用户) 仍然可以通过“任务计划程序向导”创建作业。但是,这些作业运行的上下文将是用户设置作业时进行身份验证所用帐户的上下文。域控制器:LDAP 服务器签名要求此策略设置确定轻型目录访问协议 (LDAP) 服务器是否要求 LDAP 客户端协商数据签名。“域控制器:LDAP 服务器签名要求”设置的可能值为: 无。数据签名不是与服务器绑定所必需的。如果客户端请求数据签名,则服务器会支持它。 要求签名
42、。除非使用传输层安全性/安全套接字层 (TLS/SSL),否则必须协商 LDAP 数据签名选项。 没有定义。漏洞:未签名的网络通信易遭受中间人攻击。在这类攻击中,入侵者捕获服务器和客户端之间的数据包,进行修改,然后将它们转发到客户端。在涉及 LDAP 服务器的环境中,攻击者可以让客户端根据来自 LDAP 目录的错误记录作出决策。要降低对组织网络的这类入侵的风险,可以实施强物理安全措施,从而保护网络基础结构。此外,也可以实施 Internet 协议安全 (IPSec) 身份验证头模式 (AH),它可以针对 IP 通信执行相互身份验证和数据包完整性,从而使所有类型的中间人攻击变得极其困难。对策:将
43、“域控制器:LDAP 服务器签名要求”设置配置为“要求签名”。潜在影响:不支持 LDAP 签名的客户端将无法针对域控制器执行 LDAP 查询。组织中从基于 Windows Server 2003 或 Windows XP 的计算机进行管理的所有基于 Windows 2000 的计算机和使用 Windows NT 质询/响应 (NTLM) 身份验证的计算机都必须安装 Windows 2000 Service Pack 3 (SP3)。或者,这些客户端必须进行 Microsoft 知识库文章 Q325465“使用 Windows Server 2003 管理工具时 Windows 2000 域控制
44、器需要 SP3 或更高版本”中描述的注册表更改,该文章网址为http:/ LDAP 签名。如果启用此策略设置,使用这些操作系统的客户端计算机可能无法访问域资源。域控制器:拒绝更改机器帐户密码此策略设置确定域控制器是否接受计算机帐户的密码更改请求。“域控制器:拒绝更改机器帐户密码”设置的可能值为: 已启用 已禁用 没有定义漏洞:如果在域中的所有域控制器上启用此策略设置,域成员将不能更改其计算机帐户密码,并且这些密码将更易遭受攻击。对策:禁用“域控制器:拒绝更改机器帐户密码”设置。潜在影响:无。这是默认配置。域成员:对安全通道数据进行数字加密或签名(多个相关设置)下列策略设置确定是否与不能对安全通
45、道通信进行签名或加密的域控制器建立安全通道: 域成员:对安全通道数据进行数字加密或签名(总是) 域成员:对安全通道数据进行数字加密(如果可能) 域成员:对安全通道数据进行数字签名(如果可能)如果启用“域成员:对安全通道数据进行数字加密或签名(总是)”设置,则不能与不能对所有安全通道数据进行签名或加密的任何域控制器建立安全通道。为了防止身份验证通信受到中间人、重播以及其他类型的网络攻击,基于 Windows 的计算机会通过名为“Secure Channels(安全通道)”的 NetLogon 来创建通信通道。这些通道对计算机帐户进行身份验证,当远程用户连接到网络资源,而且该用户的帐户存在于受信任
46、域中时,这些通道还对用户帐户进行身份验证。这种身份验证被称作通过式身份验证,它允许加入到某个域的计算机访问位于它所在的域以及任何受信任域中的用户帐户数据库。注意:要在成员工作站或服务器上启用“域成员:对安全通道数据进行数字加密或签名(总是)”设置,该成员所属的域中的所有域控制器都必须能够对全部安全通道数据进行签名或加密。这项要求意味着所有这类域控制器必须运行 Windows NT 4.0 Service Pack 6a 或 Windows 操作系统的更高版本。如果启用“域成员:对安全通道数据进行数字加密或签名(总是)”设置,则会自动启用“域成员:对安全通道数据进行数字签名(如果可能)”设置。此策略设置的可能值为: 已启用 已禁用 没