组策略设置系列篇之平安选项3

1、组策略设置系列篇之“平安选项”-3选项，设置网络平安：不要在卜次更改密码时存储LANManager的哈希值此策略设置确信在下次更改密码时LANManager是不是能够存储新密码的哈希值。“网络平安：不要在下次更改密码时存储LANManager的哈希值”设置的可能值为：已启用已禁用没有概念漏洞：试图访问用户名和密码哈希的解决者可能会以SAM文件作为目标。这种解决利用特殊工具破解密码，然后利用这些密码来模拟用户并取得对网络资源的访问。启用此策略设置可不能禁止这些类型的解决，但会使这种解决的成功变得困宝贵多。计谋：将“网络平安：不要在下次更改密码时存储LANManager的哈希值”设置配置为“已启用

2、”。要求所有效户在下次登录域时都设置新密码，以便LANManager哈希被删除。潜在阻碍：初期操作系统（如Windows9五、Windows98和WindowsME）和一些第三方应用程序将失败。网络平安：在超过登录时刻后强制注销此策略设置确信在超过用户帐户的有效登录时刻后，是不是要断开连接到本地运算机的用户。此设置阻碍SMB组件。若是启用此策略设置，会在客户端的登录时刻用完时断开与SMB效劳器的客户端会话。若是禁用此策略设置，己成立的客户端会话在超过客户端登录时刻后继续进行。“网络平安：在超过登录时刻后强制注销”设置的可能值为:已启用己禁用没有概念漏洞：若是禁用此策略设置，那么在为用户分派的登

3、录时刻用完以后，用户仍能继续连接到运算机。计谋：将“网络平安：在超过登录时刻后强制注销”设置配置为“已启用”。此策略设置不适用于治理员帐户。潜在阻碍：当用户的登录时刻用完时，SMB会话将终止。用户在他们的下一次打算访问时刻开始之前将无法登录到运算机。网络平安：LANManager身份验证级别LANManager(LM)是初期Microsoft客户端/效劳器软件系列，它许诺用户将多办个人运算机连接在单个网络上。网络功能包括透明文件和打印共享、用户平安性功能和网络治理工具。在ActiveDirectory域中，Kerberos协议是默许的身份验证协议。可是，若是因某种缘故未协商Kerberos协议

4、，那么ActiveDirectory将利用LM、NTLM或NTLMv2oLANManager身份验证协议(包括LM、NTLM和NTLM版本2(NTLMv2)变体)用于在所有Windows客户端执行以下操作时对其进行身份验证：加入到域中-在ActiveDirectory林之间进行身份验证向低级别域验证身份向非运行Windows2000sWindowsServer2003或WindowsXP的运算机验证身份-向不在域中的运算机验证身份“网络平安：LANManager身份验证级别”设置的可能值为：发送LM和NTLM响应发送LM和NTLM-假设协商利用NTLMv2会话平安仅发送NTLM响应仅发送NTL

5、Mv2响应仅发送NTLMv2响应'拒绝LM仅发送NTLMv2响应'拒绝LM和NTLM-没有概念“网络平安：LANManager身份验证级别”设置确信将哪些质询/响应身份验证协议用于网络登录。此选项阻碍客户端利用的身份验证协议级别、运算机所协商的会话平安级别和效劳器所同意的身份验证级别，如下所示：发送LM和NTLM响应。客户端利用LM和NTLM身份验证，从不利用NTLMv2会话平安性。域操纵器同意LM、NTLM和NTLMv2身份验证。发送LM和NTLM-假设协商利用NTLMv2会话平安。客户端利用LM和NTLM身份验证，若是效劳器支持的话，还利用NTLMv2会话平安。域操纵器同意

6、LM、NTLM和NTLMv2身份验证。仅发送NTLM响应。客户端只利用NTLM身份验证，若是效劳器支持的话，还利用NTLMv2会话平安。域操纵器同意LM、NTLM和NTLMv2身份验证。仅发送NTLMv2响应。客户端仅利用NTLMv2身份验证，若是效劳器支持的话，还利用NTLMv2会话平安。域操纵器同意LM、NTLM和NTLMv2身份验证.仅发送NTLMv2响应'拒绝LM。客户端仅利用NTLMv2身份验证，若是效劳器支持的话，还利用NTLMv2会话平安。域操纵器拒绝LM（只同意NTLM和NTLMv2身份验证）。-仅发送NTLMv2响应'拒绝LM和NTLM。客户端仅利用NTLMv

7、2身份验证，若是效劳器支持的话，还利用NTLMv2会话平安。域操纵器拒绝LM和NTLM（只同意NTLMv2身份验证）。这些设置与其他Microsoft文档中讨论的级别相对应，如下所示：级别0-发送LM和NTLM响应：从不利用NTLMv2会话平安。客户端利用LM和NTLM身份验证，从不利用NTLMv2会话平安。域操纵器同意LM、NTLM和NTLMv2身份验证。级别1-假设协商利用NTLMv2会话平安。客户端利用LM和NTLM身份验证，若是效劳器支持的话，还利用NTLMv2会话平安。域操纵器同意LM、NTLM和NTLMv2身份验证°级别2-仅发送NTLM响应。客户端只利用NTLM身份验证

8、，若是效劳器支持的话,还利用NTLMv2会话平安。域操纵器同意LM、NTLM和NTLMv2身份验证。级别3-仅发送NTLMv2响应。客户端利用NTLMv2身份验证，若是效劳器支持的话，还利用NTLMv2会话平安。域操纵器同意LM.NTLM和NTLMv2身份验证。级别4-域操纵器拒绝LM响应。客户端利用NTLM身份验证，若是效劳器支持的话，还利用NTLMv2会话平安。域操纵器拒绝LM身份验证，即，它们同意NTLM和NTLMv2o-级别5-域操纵器拒绝LM和NTLM响应（只同意NTLMv2）0客户端利用NTLMv2身份验证，若是效劳器支持的话，还利用NTLMv2会话平安。域操纵器拒绝NTLM和LM

9、身份验证（它们只同意NTLMv2）o漏洞：Windows2000、WindowsServer2003和WindowsXP客户端在默许情形下均配置为发送LM和NTLM身份验证响应（Windows9x客户端只发送LM）0效劳器的默许设置许诺所有的客户端都向效劳器验证身份并利用效劳器上的资源。可是，这意味着LM响应（一种最弱的身份验证响应）通过网络进行发送，而且解决者有可能嗅探该通信，以便更易地再现用户的密码。Windows9x和WindowsNT操作系统不能利用Kerberosv5协议进行身份验证。因此，在WindowsServer2003域中，这些运算机在默许情形下会用LM和NTLM协议验证身份

10、，以便进行网络身份验证。利用NTLMv2,能够为Windows9x和WindowsNT实施更平安的身份验证协议。关于登录进程，NTLMv2利用平安通道来爱惜身份验证进程。即便您对旧式客户端和效劳器利用NTLMv2,作为域成员的、基于Windows的客户端和效劳器也将利用Kerberos身份验证协议向WindowsServer2003域操纵器验证身份。计谋：将“网络平安:LANManager身份验证级别”设置配置为“仅发送NTLMv2响应”。当所有的客户端都支持NTLMv2时,Microsoft和许多独立组织都强烈建议利用这种身份验证级别。潜在阻碍：不支持NTLMv2身份验证的客户端将无法在域中

11、进行身份验证，而且将无法利用LM和NTLM来访问域资源。网络平安：LDAP客户端签名要求此策略设置确信数据签名的级别，此数据签名是代表发出LDAPBIND请求的客户端而请求的，具体级别如下：无。LDAPBIND请求是用挪用方指定的选项发出的协商签名。若是传输层平安性/平安套接字层（TLS/SSL）尚未启动，那么LDAPBIND请求是用LDAP数据签名选项集和挪用方指定的选项启动的。若是TLS/SSL已经启动，那么LDAPBIND请求是用挪用方指定的选项启动的要求签名。此级别与“协商签名”相同。可是，若是LDAP效劳器的中间saslBindlnProgress响应不指出LDAP通信签名是必需的，

12、那么挪用方会被告知LDAPBIND命令请求已失败。注意：此策略设置对ldap_simple_bind或1dap_simp1e_bind_s没有任何阻碍。WindowsXPProfessional随附的任何MicrosoftLDAP客户端都不利用ldap_simple_bind或ldap_simple_bind_s来与域操纵器进行通信。“网络平安：LDAP客户端签名要求”设置的可能值为：*无协商签名要求签名没有概念漏洞：未签名的网络通信易受中间人解决（入侵者捕捉客户端和效劳器之间的数据包，修改它们，然后将它们转发到效劳器）。关于LDAP效劳器，这极可能意味着解决者可能致使效劳器依照LDAP查询的

13、错误或修悔改的数据作出决定。通过在企业网络中实施强物理平安方法来爱惜网络基础结构，能够降低此风险。另外，若是要求所有的网络数据包都借助于IPsec身份验证头来进行数字签名，能够使所有类型的中间人解决变得极为困难。计谋：将“网络平安：LDAP效劳器签名要求”设置配置为“要求签名”。潜在阻碍：若是将效劳器配置为要求LDAP签名，那么还必需对客户端进行配置。若是不配置客户端它将不能与效劳器通信，这可能致使许多功能失败，包括用户身份验证、组策略和登录脚本。网络平安：基于NTLMSSP（包括平安的RPC）客户端的最小会话平安此策略设置许诺客户端运算机要求协商消息的保密性（加密）、消息完整性、128位加密

14、或NTLMv2会话平安。这些值依托“LANManager身份验证级别”策略设置的值。“网络平安：基于NTLMSSP（包括平安的RPC）客户端的最小会话平安”设置的可能值为：要求消息的保密性。若是不对加密进行协商，连接将失败。加密功能将数据转换为如不解密就无法读取的形式要求消息的完整性。若是不对消息的完整性进行协商，连接将失败。消息的完整性可通过消息签名进行评估。消息签名证明消息未被窜改：它附加加密的签名（用来标识发送方，而且以数字形式来表示消息内容）。-要求128位加密。若是不对强加密（128位）进行协商，连接将失败。要求NTB!v2会话平安。若是不对NTLMv2协议进行协商，连接将失败。没有

15、概念。漏洞：您能够启用此策略设置的所有选项，以帮忙避免利用NTLM平安支持提供程序（NTLMSSP）的网络通信被已经获取相同网络的访问权限的解决者公布或窜改。换句话说，这些选项有助于避免受到中间人解决。计谋：启用“网络平安：基于NTLMSSP（包括平安的RPC）客户端的最小会话平安”策略设置的所有四个可用选项。潜在阻碍：实施了这些设置的客户端运算机将无法与不支持它们的旧式效劳器进行通信,网络平安：基于NTLMSSP（包括平安的RPC）效劳器的最小会话平安此策略设置许诺效劳器要求协商消息的保密性（加密）、消息完整性、128位加密或NTLMv2会话平安。这些值依托“LANManager身份验证级别

16、”平安设置的值。“网络平安：基于NTLMSSP（包括平安的RPC）效劳器的最小会话平安”设置的可能值为：*要求消息的保密性。若是不对加密进行协商，连接将失败。加密功能将数据转换为如不解密就无法由任何人读取的形式。要求消息的完整性。若是不对消息的完整性进行协商，连接将失败。消息的完整性可通过消息签名进行评估。消息签名证明消息未被窜改；它附加加密的签名（用来标识发送方，而且以数字形式来表示消息内容）。要求128位加密。若是不对强加密（128位）进行协商，连接将失败。要求NTLMv2会话平安。若是不对NTLMv2协议进行协商，连接将失败。没有概念。漏洞：您能够启用此策略设置的所有选项，以帮忙避免利用

17、NTLX平安支持提供程序（NTLMSSP）的网络通信被已经获取相同网络的访问权限的解决者公布或窜改。即，这些选项有助于避免受到中间人解决。计谋：启用“网络平安：基于NTLMSSP（包括平安的RPC）效劳器的最小会话平安”策略的所有四个可用选项。潜在阻碍：不支持这些平安设置的旧式客户端将无法与该运算机进行通信。故障恢复操纵台：许诺自动系统治理级登录此策略设置确信是不是必需先提供Administrator帐户的密码才许诺访问运算机。若是启用此设置，Administrator帐户自动登录到运算机的故障恢复操纵台：不需要密码。“故障恢复操纵台：许诺自动系统治理级登录”设置的可能值为：已启用已禁用没有概

18、念漏洞：当您需要对无法启动的运算机进行故障排除和修复时，故障恢复操纵台超级有效。可是，许诺自动登录操纵台是超级危险的。因为任何人都能够走到效劳器前，通过断开电源关闭它，再从头启动，从“从头启动”菜单当选择“故障恢复操纵台”，于是取得对效劳器的完全操纵。计谋：将“故障恢复操纵台：许诺自动系统治理级登录”设置配置为“已禁用”。潜在阻碍：用户将必需输入用户名和密码才能访问故障恢复操纵台。故障恢复操纵台：许诺对所有驱动器和文件夹进行软盘复制和访问启用此策略设置会使故障恢复操纵台的SET命令处于可用状态，从而能够设置以下故障恢复操纵台环境变量：AllowWildCards0对某些命令（如DEL命令）启用

19、通配符支持。AllowAllPaths«许诺访问运算机上的所有文件和文件夹。AllowRemovableMediao许诺将文件复制到可移动媒体，如软盘。NoCopyPrompto禁止显示在现有文件被覆盖前通常显示的提示。“故障恢复操纵台：许诺对所有驱动器和文件夹进行软盘复制和访问”设置的可能值为：已启用-已禁用-没有概念漏洞：能够致使系统从头启动到故障恢复操纵台的解决者可能会窃取灵敏数据而且不留下任何审核或访问记录。计谋：将“故障恢复操纵台：许诺对所有驱动器和文件夹进行软盘复制和访问”设置配置为“已禁用潜在阻碍：若是用户通过故障恢复操纵台启动效劳器，而且利用内置的Administra

20、tor帐户进行登录，他们将无法把文件和文件夹复制到软盘。关机：许诺系统在未登录前关机此策略设置确信是不是没必要登录到Windows就能够够关闭运算机。若是启用此策略设置,Windows登录屏幕上会提供“关机”命令。若是禁用此策略设置，会从Windows登录屏幕上删除“关机”选项。此配置要求用户能够成功登录运算机而且具有“关闭系统”用户权限,才能关闭运算机。“关机：许诺系统在未登录前关机”设置的可能值为：已启用己禁用没有概念漏洞：能够在本地访问操纵分的用户可能关闭运算机。解决者也可能会走到本地操纵台前并从头启动效劳器，这可能致使临时的DoS条件。解决者还可能会关闭效劳器，并使其所有应用程序和效劳

21、均不可用。计谋：将“许诺系统在未登录前关机”设置配置为“已禁用”。潜在阻碍：操作员将必需登录效劳器才能关闭或从头启动它们。关机：清除虚拟内存页而文件此策略设置确信在关闭运算机时是不是清除虚拟内存页面文件。当内存页未被利历时，虚拟内存支持如下操作：利用系统页面文件将内存页互换到磁盘中。在正在运行的运算机上，那个页面文件是由操作系统以独占方式打开的，而且会取得专门好的爱惜。可是，被配置为许诺启动到其他操作系统的运算机可能必需确保在运算机关闭时，系统页面文件被完全清除。此信息将确保进程内存中可能进入页面文件中的灵敏信息，在关机后关于未经授权的设法直接访问页而文件的用户不可用。启用此策略设置时，会在正

22、常关机时清除系统页面文件。另外，当在便携式运算机上禁用休眠时，此策略设置还将强制运算机清除休眠文件。“关机：清除虚拟内存页面文件”设置的可能值为：已启用己禁用没有概念漏洞：保留在实际内存中的重要信息可能会按期写入到页而文件中，以帮忙WindowsServer2003处置多任务功能。能够物理访问已关闭效劳器的解决者能够查看页面文件的内容。解决者可能会将系统卷移到另一台运算机，然后分析页面文件的内容。尽管此进程很耗时，可是它能够将缓存在随机存取内存（RAM）中的数据公布给页面文件。警告：能够物理访问效劳器的解决者只需断开效劳器的电源即可摆脱此计谋的约束。计谋：将“关机：清除虚拟内存页而文件”设置配

23、置为“已启用”。此配置使WindowsServer2003在运算机关闭时清除页面文件。完成此进程所需的时刻取决于页面文件的大小。可能需要几分钟才会完全关闭运算机。潜在阻碍：尤其是关于具有大量页面文件的效劳器，将会花费更长时刻关闭并从头启动效劳器。关于具有2GBRAM和2GB页面文件的效劳器，此策略设置可能会使关闭进程增加20到30分钟或更长。关于一些组织，那个停机时刻违背了它们的内部效劳级别协议。因此,在您的环境中实现此计谋之前必然要额外警惕。系统加密：存储在运算机上的用户密钥强制利用强密钥爱惜此策略设置确信誉户是不是能够利用没有密码的私钥（如他们的S/MIME密钥）。“系统加密：存储在运算机

24、上的用户密钥强制利用强密钥爱惜”设置的可能值为:存储和利用新密钥时不需要用户输入第一次利用密钥时提示用户输入用户每次利用密钥时必需输入密码没有概念漏洞”：能够配置此策略设置，以便用户在每次利用密码时都必需提供一个不同于其域密码的密码。此配置使解决者更难访问存储在本地的用户密钥，即便是在解决者操纵了用户运算机并确信了用户的登录密码时也是如此。计谋：将“系统加密：存储在运算机上的用户密钥强制利用强密钥爱惜”设置配置为“用户每次利用密钥时必需输入密码二潜在阻碍：用户在每次访问存储在其运算机上的密钥时都必需输入其密码。例如，若是用户利用S-MINE证书对他们的电子邮件进行数字签名，那么在他们发送签名的

25、电子邮件时，将被迫输入该证书的密码。关于某些组织来讲，利用此配置涉及的开销可能会超级高。但至少应当将此设置设置为“第一次利用密钥时提示用户输入”。系统加密：利用FIPS兼容的算法来加密、哈希和签名此策略设置确信TLS/SSL平安提供程序是不是将仅支持TLS_RSA_WITH_3DES_EDE_CBC_SHA强密码套件，这意味着该提供程序只支持将TLS协议作为客户端和效劳器(若是适合)。它只利用三重数据加密标准(DES)加密算法进行TLS通信加密，只利用Rivest-Shamir-Adleman(RSA)公钥算法进行TLS密钥互换和身份验证，只利用平安哈希算法版本1(SHA-1)哈希算法来知足T

26、LS哈希要求。启用此设置时，加密文件系统效劳(EFS)仅支持利用三重DES加密算法来加密文件数据。默许情形下，WindowsServer2003实施的EFS利用具有256位密钥的高级加密标准(AES)oWindowsXP实施利用DESX。“系统加密：利用FIPS兼容的算法来加密、哈希和签名”设置的可能值为:已启用己禁用*没有概念漏洞：能够启用此策略设置来确保运算机将利用可用于数字加密、哈希和签名的功能最壮大的算法。利用这些算法可将未经授权的用户损害数字加密或签名数据的风险降到最低。计谋：将“系统加密：利用FIPS兼容的算法来加密、哈希和签名”设置配置为“已启用”。潜在阻碍：启用此策略设置的客户

27、端运算机将无法通过数字加密或数字签名协议与那些不支持这些算法的效劳器进行通信。不支持这些算法的网络客户端还将无法利用需要加密网络通信的效劳器。例如，就无法将许多基于Apache的Web效劳器配置为支持TLS。若是启用此设置，还将需要将InternetExplorer配置为利用TLS。此策略设置还会阻碍用于远程桌面协议（RDP）的加密级别。远程桌面连接工具利用RDP协议与运行终端效劳和客户端运算机（配置为远程操纵）的效劳器进行通信：若是两类运算机都没有配置为利用同一加密算法，那么RDP连接将失败。使InternetExplore能够利用TLS1.在InternetExplorer的"工

28、具”菜单上,打开uInternet选项”对话框。2.单击“高级”选项卡。3.选中“利用TLS”复选框。您还能够通过组策略或利用InternetExplorer治理员工具包对此策略设置进行配置。系统对象：由治理员（Administrators）组成员所创建的对象默许所有者此策略设置确信Administrators组或对象创建者是不是是所创建的任何系统对象的默许所有者。“系统对象：由治理员（Administrators）组成员所创建的对象默许所有者”设置的可能值为：治理员组对象创建者没有概念漏洞：若是将此策略设置配置为“治理员组”，个人将不可能负责新系统对象的创建。计谋：将“系统对象：由治理员（A

29、dministrators）组成员所创建的对象默许所有者”设置配置为“对象创建者”。潜在阻碍：在创建系统对象时，所有权将反映是哪个帐户（而不是泛指哪个Administrators组）创建了对象。此策略设置的后果是，当用户帐户被删除时该对象将变成孤立的。例如,当信息技术组的某位成员离开时，他在域中任何位置创建的任何对象将没有所有者。此情形将对治理员造成负担，这是因为治理员将必需手动取得这些孤立对象的所有权以更新它们的权限。若是能够确保老是为域组（如DomainAdmins）的新对象分派“完全操纵”权限，那么可将此潜在负担减至最小。系统对象：对非Windows子系统不要求区分大小写此策略设置确信是

30、不是对所有子系统不要求区分大小写。MicrosoftWin32公子系统不区分大小写。可是，内核支持其他子系统（如可移植UNIX操作系统接口（POSIX）区分大小写。若是启用此设置，那么所有目录对象、符号链接，和10和文件对象均不要求区分大小写。若是禁用此设置，Win32子系统可不能区分大小写。“系统对象：对非Windows子系统不要求区分大小写”设置的可能值为：已启用已禁用没有概念漏洞：由于Windows不区分大小写，可是POSIX子系统将支持区分大小写，因此，若是未启用此策略设置，该子系统的用户将有可能创建一个与另一个文件同名、可是混有不同大小写字母的文件。当用户尝试从正常的Win32工具访

31、问这些文件时，这种情形可能使他们感到混淆，因为将只有其中的一个文件可用。计谋：将“系统对象：对非Windows子系统不要求区分大小写”设置配置为“已启用二潜在阻碍：所有的子系统都将被迫遵守不区分大小写这一规那么。此配置可能使熟悉某个基于UNIX的操作系统（区分大小写）的用户感到混淆。系统对象：增强内部系统对象的默许权限（例如SymbolicLinks）此策略设置确信对象的默许DACL的强度。Windows保护共享运算机资源（如MS-DOS设备名称、多用户终端执行程序和信号灯）的全局列表，以便于在进程间定位和共享对象。“系统对象：增强内部系统对象的默许权限（例如SymbolicLinks）”设置的可能值为：已启用已禁用没有概念漏洞：此设置确信对象的默许DACL的强度。WindowsServer2003保护共享运算机资源的全局列表，以便于在进程间定位和共享对象。各类类型的对象在创建时都附带了默许的DACL,指定谁能够访问该对象并以何种权限访问。若是启用此设置，默许的DACL会增强,因为许诺非治理员用户读取共享对象，可是不能修