组策略设置系列之“安全选项”

1、组策略设设置系列列篇之“安全选选项”-1设置, 选项组策略的的“安全选选项”部分启启用或禁禁用数字字数据签签名、Admminiistrratoor 和 Guuestt 帐户名名、软盘盘驱动器器和 CDD-ROOM 驱动器器的访问问、驱动动程序安安装操作作和登录录提示的的计算机机安全设设置。安全选项项设置您可以在在组策略略对象编编辑器的的下列位位置配置置安全选选项设置置：计算算机配置置Wiindoows 设置安全设设置本地策略略安全选选项帐户：管管理员帐户状状态此策略设设置启用用或禁用用 Addminnisttrattor 帐户的的正常操操作条件件。如果果以安全全模式启启动计算算机，Admmin

2、iistrratoor 帐户总总是处于于启用状状态，而而与如何何配置此此策略设设置无关关。“帐户：管理员员帐户状状态”设置的的可能值值为： 已启用 已禁用 没有定义义漏洞：在在某些组组织中，维持定定期更改改本地帐帐户的密密码这项项常规计计划可能能会是很很大的管管理挑战战。因此此，您可可能需要要禁用内内置的 Addminnisttrattor 帐户，而不是是依赖常常规密码码更改来来保护其其免受攻攻击。需需要禁用用此内置帐户户的另一一个原因因就是，无论经经过多少少次登录录失败它它都不会会被锁定定，这使使得它成成为强力力攻击（尝试猜猜测密码码）的主主要目标标。另外外，此帐帐户还有有一个众众所周知知的

3、安全全标识符 (SSID)，而且且第三方方工具允允许使用用 SIID 而非帐帐户名来来进行身身份验证证。此功功能意味味着，即即使您重重命名 Addminnisttrattor 帐户，攻击者者也可能能使用该该 SIID 登录来来发起强强力攻击击。对策：将将“帐户：管理员员帐户状状态”设置配配置为“已禁用”，以便便在正常常的系统统启动中中不能再再使用内内置的 Addminnisttrattor 帐户。潜在影响响：如果果禁用 Addminnisttrattor 帐户，在某些些情况下下可能会会造成维维护问题题。例如如，在域域环境中中，如果果成员计计算机和和域控制制器间的的安全通通道因任任何原因因而失败

4、败，而且且没有其其他本地地 Addminnisttrattor 帐户，则您必必须以安安全模式式重新启启动才能能修复这这个中断断安全通通道的问问题。如果当前前的 Addminnisttrattor 密码不不满足密密码要求求，则 Addminnisttrattor 帐户被被禁用之之后，无无法重新新启用。如果出出现这种种情况，Admminiistrratoors 组的另另一个成成员必须须使用“本地用用户和组组”工具来来为该 Addminnisttrattor 帐户设设置密码码。帐户：来来宾帐户户状态此策略设设置确定定是启用用还是禁禁用来宾宾帐户。“帐户：来宾帐帐户状态态”设置的的可能值值为： 已启用

5、 已禁用 没有定义义漏洞：默默认 Guuestt 帐户允允许未经经身份验验证的网网络用户户以没有有密码的的 Guuestt 身份登登录。这这些未经经授权的的用户能能够通过过网络访访问 Guuestt 帐户可可访问的的任何资资源。此此功能意意味着任任何具有有允许 Guuestt 帐户、Gueestss 组或 Evveryyonee 组进行行访问的的权限的的网络共共享资源源，都可可以通过过网络对对其进行行访问，这可能能导致数数据暴露露或损坏坏。对策：将将“帐户：来宾帐户状态”设置配配置为“已禁用”，以便便内置的的 Guuestt 帐户不不再可用用。潜在影响响：所有有的网络络用户都都将必须须先进行行

6、身份验验证，才才能访问问共享资资源。如如果禁用用 Guuestt 帐户，并且“网络访访问：共共享和安安全模式式”选项设设置为“仅来宾”，则那那些由 Miicroosofft 网络服服务器（SMBB 服务）执行的的网络登登录将失失败。对对于大多多数组织织来说，此策略略设置的的影响应应该会很很小，因因为它是是 Miicroosofft WWinddowss 20000、Winndowws XXP 和 Wiindoows Serrverr 20003 中的默默认设置置。帐户：使使用空白白密码的的本地帐户只只允许进进行控制制台登录录此策略设设置确定定是否允允许使用用空白密密码的本本地帐户户通过网网络服

7、务务（如终终端服务务、Tellnett 和文件件传输协协议 (FFTP)）进行行远程交交互式登登录。如如果启用用此策略略设置，则本地地帐户必必须有一一个非空空密码，才能从从远程客客户端执执行交互互式或网网络登录录。“帐户：使用空空白密码码的本地地帐户只只允许进进行控制制台登录录”设置的的可能值值为： 已启用 已禁用 没有定义义注意：此此策略设设置不影影响在控控制台上上以物理理方式执执行的交交互式登登录，也也不影响响使用域域帐户的的登录。警告：使使用远程交互式式登录的的第三方方应用程程序有可可能跳过过此策略略设置。漏洞：空空白密码码会对计计算机安安全造成成严重威威胁，应应当通过过组织的的策略和和

8、适当的的技术措措施来禁禁止。实实际上，Winddowss Seerveer 220033 Acctivve DDireectoory 目录服服务域的的默认设设置需要要至少包包含七个个字符的的复杂密密码。但但是，如如果能够够创建新新帐户的的用户跳跳过基于于域的密密码策略略，则他他们可以以创建具具有空白白密码的的帐户。例如，某个用用户可以以构建一一个独立立的计算算机，创创建一个个或多个个具有空空白密码码的帐户户，然后后将该计计算机加加入到域域中。具具有空白白密码的的本地帐帐户仍将将正常工工作。任任何人如如果知道道其中一个未受受保护的的帐户的的名称，都可以以用它来来登录。对策：启启用“帐户：使用空空

9、白密码码的本地地帐户只只允许进进行控制制台登录录”设置。潜在影响响：无。这是默默认配置置。帐户：重重命名系系统管理理员帐户户此策略设设置确定定另一个个帐户名名是否与与 Addminnisttrattor 帐户的 SIID 相关联联。“帐户：重命名名系统管管理员帐帐户”设置的的可能值值为： 用户定义义的文本本 没有定义义漏洞：AAdmiinisstraatorr 帐户存存在于运运行 Wiindoows 20000、Winndowws SServver 20003 或 Wiindoows XXP PProffesssionnal 操作系系统的所所有计算算机上。如果重重命名此此帐户，会使未未经授权权

10、的人员员更难猜猜测这个个具有特特权的用用户名和和密码组组合。无论攻击击者可能能使用多多少次错错误密码码，内置置的 Addminnisttrattor 帐户都都不能被被锁定。此功能能使得 Addminnisttrattor 帐户成成为强力力攻击（尝试猜猜测密码码）的常常见目标标。这个个对策的的价值之之所以减减少，是是因为此此帐户有有一个众众所周知知的 SIID，而且且第三方方工具允允许使用用 SIID 而非帐帐户名来来进行身身份验证证。因此此，即使使您重命命名 Addminnisttrattor 帐户，攻击者者也可能能会使用用该 SID 来登录录以发起起强力攻攻击。对策：在在“帐户：重命名名系统

11、管管理员帐帐户”设置中中指定一一个新名名称，以以重命名名 Addminnisttrattor 帐户。注意：在在后面的的章节中中，此策策略设置置既未在在安全模模板中进进行配置置，也不不是本指指南所建建议帐户户的新用用户名。模板中中忽略了了这项策策略设置置，这样样做是为为了让使使用本指指南的众众多组织织将不在在其环境境中实现现同样的的新用户户名。潜在影响响：您必必须将这这个新帐帐户名通通知给授授权使用用此帐户户的用户户。（有有关此设设置的指指导假定定 Addminnisttrattor 帐户没没有被禁禁用，这这是本章章前面建建议的设设置。）帐户：重重命名来来宾帐户户“帐户：重命名来宾帐帐户”设置确

12、确定另一一个帐户户名是否否与 Guuestt 帐户的 SIID 相关联联。此组策略略设置的的可能值值为： 用户定义义的文本本 没有定义义漏洞：GGuesst 帐户存存在于运运行 Wiindoows 20000、Winndowws SServver 20003 或 Wiindoows XP Proofesssioonall 操作系系统的所所有计算算机上。如果重重命名此此帐户，会使未未经授权权的人员员更难猜猜测这个个具有特特权的用用户名和和密码组组合。对策：在在“帐户：重命名名来宾帐帐户”设置中中指定一一个新名名称，以以重命名名 Guuestt 帐户。注意：在在后面的的章节中中，此策策略设置置既未

13、在在安全模模板中进进行配置置，也不不是本指指南所建建议帐户户的新用用户名。模板中中忽略了了这项策策略设置置，这样样做是为为了让使使用本指指南的众众多组织织将不在在其环境境中实现现同样的的新用户户名。潜在影响响：影响响应该会会很小，因为在在默认情情况下，Winndowws 220000、Winndowws XXP 和 Wiindoows Serrverr 20003 中已禁禁用“Gueest”帐户。审核：对对备份和和还原权权限的使使用进行行审核如果启用用此策略略设置，在计算算机创建建系统对对象（如如多用户户端执行行程序、事件、信号灯灯和 MSS-DOOS 设备）时，将将应用默认的系系统访问问控制

14、列列表 (SSACLL)。如果果如本指指南第 3 章中所所述，您您还启用用了“审核对对象访问问”审核设设置，则则会审核核对这些些系统对对象的访访问。全局系统统对象（又被称称作“基本系系统对象象”或“基本命命名对象象”是存活活时间很很短的内内核对象象，它们们的名称称是由创创建它们们的应用用程序或或系统组组件分配配的。这这些对象象经常用用于同步步多个应应用程序序或一个个复杂应应用程序序的多个个部分。由于它它们具有有名称，因此这这些对象象在作用用域内是是全局的的，从而而对于计计算机上上的所有有进程均均可见。这些对对象都具具有一个个安全描描述符，但是它它们通常常有一个个空的系系统访问问控制列列表。如如

15、果在启启动时启启用此策策略设置置，内核将在在这些对对象被创创建时向向它们分分配一个个系统访访问控制制列表。“审核：对全局局系统对对象的访访问进行行审核”设置的的可能值值为： 已启用 已禁用 没有定义义漏洞：如如果没有有正确地地保护某某个全局局可见的的命名对对象，则则知道该该对象名名称的恶恶意程序序可能会会针对该该对象进进行操作作。例如如，如果果某个同同步对象象（如多多用户终终端执行行程序）有一个个错误选选择的任任意访问问控制列列表 (DDACLL)，则恶恶意程序序可以按按名称访访问这个个多用户户终端执执行程序序，并且且导致创创建这个个多用户户终端执执行程序序的程序序无法正正常工作作。但是是，出

16、现现这种情情况的风险险会非常常低。对策：启启用“审核：对全局局系统对对象的访访问进行行审核”设置。潜在影响响：如果果启用“审核：对全局局系统对对象的访访问进行行审核”设置，可能会会生成大大量安全全事件，尤其是是在繁忙忙的域控控制器和和应用程程序服务务器上。这类情情况可能能导致服服务器响响应缓慢慢，并迫迫使安全全事件日日志记录录许多无无关紧要要的事件件。此策策略设置置只能被被启用或或禁用，并且没没有筛选选记录哪哪些事件件和不记记录哪些些事件的的办法。即使组组织有能能够分析析由此策策略设置置所生成成事件的的资源，它们也也不可能能具有每每个命名名对象的的源代码码或关于于其用途途的说明明。因此此，对于

17、于许多组组织来说说，将此此策略设设置配置置为“已启用”，不大大可能获获得什么么好处。审核：对对备份和和还原权权限的使使用进行行审核此策略设设置确定定在“审核权权限使用用”设置生生效时，是否对对所有用用户权限限（包括括“备份和和还原”权限）的使用用进行审审核。如如果启用用这两个个策略设设置，会会为备份份或还原原的每个个文件生生成一个个审核事事件。如果启用用此策略略设置并并结合使使用“审核权权限使用用”设置，用户权权限的任任何行使使状况都都会记录录在安全全日志中中。如果果禁用此此策略设设置，则则即使启启用“审核权权限使用用”，也不不会对用用户行使使备份或或还原权权限的操操作进行行审核。“审核：对备

18、份份和还原原权限的的使用进进行审核核”设置的的可能值值为： 已启用 已禁用 没有定义义漏洞：如如果在启启用“审核权权限使用用”设置的的同时启启用此选选项，则则备份或或还原每每个文件件都会生生成一个个审核事事件。此此信息会会帮助您您识别被被用于以以未经授授权的方方式意外外或恶意意还原数数据的帐帐户。对策：启启用“对备份份和还原原权限的的使用进进行审核核”设置。或者，也可以以通过配配置 AuutoBBackkupLLogFFilees 注册表表项来实实施自动动记录备备份，潜在影响响：如果果启用此此策略设设置，可可能会生生成大量量安全事事件，这这可能导导致服务务器响应应缓慢，并迫使使安全事事件日志志

19、记录许许多无关关紧要的的事件。如果增增加安全全日志大小以减减少系统统关闭的的机率，过大的的日志文文件可能能影响系系统性能能。审核：如如果无法法记录安安全审核核则立即即关闭系系统此策略设设置确定定在无法法记录安安全事件件时是否否关闭计计算机。可信计计算机系系统评测测标准 (TTCSEEC)（C2 和通用用标准认认证）需需要在审审核系统统无法记记录可审审核事件件时，计计算机能能够防止止出现这这些事件件。Miccrossoftt 所选择择的以满满足此要要求的方方法是：在无法法审核系系统时，暂停计计算机并并显示一一则停止止消息。如果启启用此策策略设置置，计算算机会在在出于任任何原因因不能记记录安全全审

20、核时时停止。通常，当安全全事件日日志已满满，而且且为它指指定的保保留方法法为“不覆盖盖事件”或“按天数覆盖盖事件”时，将将无法记记录事件件。启用此策策略设置置时，如如果安全全日志已已满且不不能覆盖盖现有条条目，则则会显示示下列停停止消息息：STOPP:C0000002444 审核失败尝试生成成安全审审核失败败。要进行恢恢复，管管理员必必须登录录，对日日志进行行存档（可选），清除除日志，然后禁禁用此选选项以允允许计算算机重新新启动。此时，可能需需要先手手动清除除安全事事件日志志，然后后才能将将此策略略设置配配置为“已启用”。“审核：如果无无法记录录安全审审核则立立即关闭闭系统”设置的的可能值值为

21、： 已启用 已禁用 没有定义义漏洞：如如果计算算机无法法将事件件记录到到安全日日志中，则在出出现安全全事件之之后，可可能无法法使用关关键的证证据或重重要的疑疑难解答答信息来来进行审审查。此此外，还还有攻击击者会生生成大量量安全事事件日志志消息以以故意强强制计算算机关闭闭的潜在在可能。对策：启启用“如果无无法记录录安全审审核则立立即关闭闭系统”设置。潜在影响响：如果果启用此此策略设设置，管管理负担担可能会会非常大大，尤其其是当您您还将安安全日志志的“保留”方法配配置为“不覆盖盖事件（手动清清除日志志）”时更是是如此。此配置置会导致致抵赖威威胁（备备份操作作员可能能否认他他们备份份或还原原了数据据

22、）成为为拒绝服服务 (DDoS) 漏洞，因为服服务器会会因写入入到安全全日志中的的大量登登录事件件和其他他安全事事件而被被迫关闭闭。另外外，由于于是非正正常关闭闭，因此此可能会会对操作作系统、应用程程序或数数据造成成不可修修复的损损害。尽尽管 NTTFS 文件系系统 (NNTFSS) 将保证证在系统统非正常常关闭过过程中保保持文件件系统的的完整性性，但是是它不能能保证在在计算机机重新启启动时，每个应应用程序序的每个个数据文文件都仍仍然处于可可用状态态。DCOMM：在安安全描述述符定义义语言 (SSDDLL) 语法中中的计算算机访问问限制此策略设设置允许许管理员员在计算算机上定定义用于于管理对对

23、基于所所有分布布式组件件对象模模型 (DDCOMM) 的应用用程序访访问的其其他计算算机范围围访问控控件。这这些控件件限制计计算机上的调调用、激激活或启启动请求求。考虑虑这些访访问控件件最简单单的方法法就是对对计算机机上任何何 COOM 服务器器的每个个调用、激活或或启动，根据计计算机范范围的访访问控制制列表 (AACL) 作为附附加访问问检查调调用执行行。如果果访问检检查失败败，调用用、激活活或启动动请求将将被拒绝绝。（此此检查是是根据服服务器特特定的 ACCL 运行的的任何访访问检查查以外的的附加检检查。）实际上上，它提提供了在在计算机机上访问问任何 COOM 服务器器时必须须通过的的最低

24、授授权标准准。“DCOOM：在安安全描述述符定义义语言 (SSDDLL) 语法中中的计算算机访问问限制”设置控控制访问问权限以以保护调调用权限限。这些计算算机范围围的 ACCL 提供了一一种可覆覆盖由特特定应用用程序通通过 CCoInnitiialiizeSSecuuritty 或应用用程序特特定的安安全设置置指定的的弱安全全性设置置的方式式。它们们提供必必须通过过的最低低安全标标准，而而不管特特定服务务器的设设置如何何。这些 AACL 为管理理员提供供了一个个用于设设置应用用于计算算机上的的所有 COOM 服务器器的一般般授权策策略的集集中位置置。“DCOOM：在安安全描述述符定义义语言 (

25、SSDDLL) 语法中中的计算算机访问问限制”设置允允许您以以两种不不同方式式指定一一个 ACCL。您可可以以 SDDDL 键入安安全描述述符，或或者选择择用户和和组并授授予或拒拒绝其本本地访问问和远程程访问权权限。Miccrosofft 建议您您使用内内置的用用户界面面以指定定您想要要使用此此设置应应用的 ACCL 内容。漏洞：许许多 COOM 应用程程序包括括一些安安全特定定代码（例如，用于调调用 CoIInittiallizeeSeccuriity），但但却使用用弱设置置，通常常允许未未经验证证就可访访问进程程。在 Wiindoows 的较早早版本中中，若不不修改应应用程序序，管理理员不

26、能能覆盖这这些设置置以强制制强安全全性。攻攻击者可可能会通通过 COOM 调用来来进行攻攻击以尝尝试利用用单个应应用程序序中的弱弱安全性性。此外，CCOM 结构还还包括 RPPCSSS，一种种在计算算机启动动过程中中运行并并在启动动后始终终运行的的系统服服务。此此服务管管理 COM 对象的的激活和和运行的的对象表表，并为 DCCOM 远程处处理提供供帮助服服务。它它公开可可远程调调用的 RPPC 接口。由于某某些 COOM 服务器器允许未未经验证证的远程程访问（如前面面部分所所述），因此任任何人都都可调用用这些接接口，包包括未经经验证的的用户。因此，使用远远程、未未经验证证的计算算机的恶恶意用

27、户户能够攻攻击 RPPCSSS。对策：为为保护单单个基于于 COOM 的应用用程序或或服务，请将“DCOOM：在安安全描述述符定义义语言 (SSDDLL) 语法中中的计算算机访问问限制”设置设设置为相相应计算算机范围围的 ACCL。潜在影响响：Winndowws XXP SSP2 和 Wiindoows Serveer 220033 SPP1 按照其各各自的文文档中所所指定的的内容实实施默认认的 COOM AACL。如果果实施 COOM 服务器器并覆盖盖默认安安全设置置，请确确认应用用程序特特定调用用权限 ACCL 为相应应用户分分配了正正确权限限。如果果不是，您将必必须更改改应用程程序特定定

28、权限 ACCL 来为相相应用户户提供激激活权限限，以便便使用 DCCOM 的应用用程序和和 Wiindoows 组件不不会失败败。DCOMM：在安安全描述述符定义义语言 (SSDDLL) 语法中中的计算算机启动动限制此策略设设置与“DCOOM：在安安全描述述符定义义语言 (SSDDLL) 语法中中的计算算机访问问限制”设置相相类似，因为它它允许管管理员定义可可管理对对计算机机上所有有基于 DCOOM 应用程程序的访访问的附附加计算算机范围围访问控控制。但但是，此此策略设设置中指指定的 ACCL 控制计计算机上上的本地地和远程程 COOM 启动请请求（不不是访问问请求）。考虑虑此访问问控制最最简

29、单的的方法是是对计算算机上任任何 COOM 服务器器的每个个启动，根据计计算机范范围的 ACCL 作为附附加访问问检查调调用执行行。如果果访问检检查失败败，调用用、激活活或启动动请求将将被拒绝绝。（此此检查是是针对服服务器特特定的 ACCL 运行的的任何访访问检查查以外的的附加检检查。）实际上上，它提提供了在在计算机机上启动动任何 COOM 服务器器时必须须通过的的最低授授权标准准。早期期策略有有所不同同，因为它提提供最低低的访问问检查，应用该该检查以以试图访访问已启启动的 COOM 服务器器。这些计算算机范围围的 ACCL 提供了了一种可可覆盖由由特定应应用程序序通过 CooIniitiaa

30、lizzeSeecurrityy 或应用用程序特特定的安安全设置置指定的的弱安全全性设置置的方式式。它们们提供必必须通过过的最低低安全标标准，而而不管特特定 COOM 服务器器的设置置如何。这些 ACCL 为管理理员提供供了一个个用于设设置应用用于计算算机上的的所有 COOM 服务器器的一般般授权策策略的集集中位置置。“DCOOM：在安安全描述述符定义义语言 (SSDDLL) 语法中中的计算算机启动动限制”设置允允许您以以两种不不同方式式指定一一个 ACL。您可可以以 SDDDL 键入安安全描述述符，或或者选择择用户和和组并授授予或拒拒绝其本本地访问问和远程程访问权权限。Miccrossoft

31、t 建议您您使用内内置的用用户界面面以指定定您想要要使用此此设置应应用的 ACCL 内容。漏洞：许许多 COOM 应用程程序包括括一些安安全特定定代码（例如，用于调调用 CooIniitiaalizzeSeecurrityy），但但却使用用弱设置置，通常常允许未未经验证证就可访访问进程程。在 Wiindoows 的较早早版本中中，若不不修改应应用程序序，管理理员不能能覆盖这这些设置置以强制制强安全全性。攻攻击者可可能会通通过 COOM 调用来来进行攻攻击以尝尝试利用用单个应应用程序序中的弱弱安全性性。此外，CCOM 结构还还包括 RPPCSS，一种种在计算算机启动动过程中中运行并并在启动动后始

32、终终运行的的系统服服务。此此服务管管理 COOM 对象的的激活和和运行的的对象表表，并为为 DCOOM 远程处处理提供供帮助服服务。它它公开可可远程调调用的 RPPC 接口。由于某某些 COOM 服务器器允许未未经验证证的远程程组件激激活（如如前面部部分所述述），因因此任何何人都可可调用这这些接口口，包括括未经验验证的用用户。因因此，使使用远程程、未经经验证的的计算机机的恶意意用户能能够攻击击 RPPCSSS。对策：为为保护单单个基于于 COOM 的应用用程序或或服务，请将“DCOOM：在安安全描述述符定义义语言 (SSDDLL) 语法中中的计算算机启动限制”设置设设置为相相应计算算机范围围的

33、 ACCL。潜在影响响Winddowss XPP SPP2 和 Wiindoows Serrverr 20003 SP11 按照各各自的文文档中所所指定的的内容实实施默认认的 COOM AACL。如果果实施 COOM 服务器器并覆盖盖默认安安全设置置，请确确认应用用程序特特定启动动权限 ACCL 为相应应用户分分配了激激活权限限。如果果不是，您将必必须更改改应用程程序特定定启动权权限 ACCL 来为相相应用户户提供激激活权限限，以便便使用 DCCOM 的应用用程序和和 Wiindoows 组件不不会失败败。设备：允允许不登登录移除除此策略设设置确定定用户是是否必须须登录才才能请求求权限以以从扩

34、展坞移移除便携携式计算算机。如如果启用用此策略略设置，用户将将能够通通过按已已插接的的便携式式计算机机上的物物理弹出出按钮来来安全移移除计算算机。如如果禁用用此策略略设置，用户必必须登录录才能收收到移除除计算机机的权限限。只有有具有“从扩展展坞中取取出计算算机”特权的的用户才才能获得得此权限限。注意：只只有针对对不能以以机械方方式移除除的便携携式计算算机，才才应禁用用此策略略设置。可以以以机械方方式移除除的计算算机能够够被用户户物理取取出，不不管他们们是否使使用 Wiindoows 移除功功能。“设备：允许不不登录移移除”设置的的可能值值为： 已启用 已禁用 没有定义义漏洞：如如果启用用此策略

35、略设置，则任何何人只要要能够物物理访问问放置在在其扩展展坞中的的便携式式计算机机，就都都可以取取出计算算机并有有可能损损害它们们。对于于没有扩扩展坞的的计算机机，此策策略设置置没有任任何影响响。对策：禁禁用“设备：允许不不登录移移除”设置。潜在影响响：已经经固定其其计算机机的用户户将必须须先登录录到本地地控制台台，才能能移除其其计算机机。设备：允允许格式式化和弹弹出可移移动媒体体此策略设设置确定定允许谁谁格式化化和弹出出可移动动媒体。“设备：允许格格式化和和弹出可可移动媒媒体”设置的的可能值值为： Admiinisstraatorrs Admiinisstraatorrs 和 Poowerr

36、Usserss Admiinisstraatorrs 和 Innterracttivee Usserss 没有定义义漏洞：用用户可以以将可移移动磁盘盘上的数数据移到到他们具具有管理理特权的的另一台台计算机机上。然然后，该该用户可可以获取取任何文文件的所所有权，授予自自己完全全控制权权限，查查看或修修改任何何文件。由于大大多数可可移动存存储设备备都可以以通过按按一个机机械按钮钮来弹出出媒体这这一事实实，此策策略设置置的优势势会有所所减弱。对策：将将“允许格格式化和和弹出可可移动媒媒体”设置配配置为 Addminnisttrattorss。潜在影响响：只有有管理员员才能够够弹出 NTFFS 格式化

37、化的可移移动媒体体。设备：防防止用户户安装打打印机驱驱动程序序对于要打打印到某某个网络络打印机机的计算算机，必必须在本本地计算算机上安安装该网网络打印印机的驱驱动程序序。“设备：防止用用户安装装打印机机驱动程程序”设置确确定谁可可以安装装打印机机驱动程程序（作作为添加加网络打打印机的的一部分分）。如如果启用用此策略略设置，只有 Addminnisttrattorss 和 Poowerr Usserss 组的成成员允许许在添加加网络打打印机时时安装打打印机驱驱动程序序。如果果禁用此此策略设设置，任任何用户户在添加加网络打打印机时时都可以以安装打打印机驱驱动程序序。此策策略设置置可防止止典型用用户

38、下载和安安装不受受信任的的打印机机驱动程程序。注意：如如果管理理员已经经配置了了下载驱驱动程序序的受信信任路径径，则此此策略设设置没有有任何影影响。如如果使用用受信任任路径，打印子子系统会会尝试使使用受信信任路径径下载驱驱动程序序。如果果受信任任路径下下载成功功，则可可以代表表任何用用户安装装驱动程程序。如如果受信信任路径径下载失失败，则则驱动程程序不会会进行安安装，网网络打印印机不进进行添加加。“设备：防止用用户安装装打印机机驱动程程序”设置的的可能值值为： 已启用 已禁用 没有定义义漏洞：在在某些组组织中允允许用户户在其自自己的工工作站上上安装打打印机驱驱动程序序可能是适适当的。但是，应不

39、允允许用户户在服务务器上进进行这类类安装。在服务务器上安安装打印印机驱动动程序可可能会在在无意中中使计算算机变得得不太稳稳定。只只有管理理员在服服务器上上具有此此特权。恶意用用户可能能会安装装不适当当的打印印机驱动动程序来来故意试试图损害害计算机机，或者者用户也也可能会会意外安安装一些些伪装成成打印机机驱动程程序的恶恶意代码码。对策：将将“设备：防止用用户安装装打印机机驱动程程序”设置配配置为“已启用”。潜在影响响：只有有具有 Addminnisttrattivee、Powwer Useer 或 Seerveer OOperratoor 特权的的用户才才能够在在服务器器上安装装打印机机。如果果

40、启用了了此策略略设置，但是网络络打印机机的驱动动程序已已经存在在于本地地计算机机上，则则用户仍仍可以添添加网络络打印机机。设备：只只有本地地登录的的用户才才能访问问 CDD-ROOM此策略设设置确定定 CDD-ROOM 是否可可供本地地和远程程用户同同时访问问。如果果启用此此策略设设置，将将仅允许许交互式式登录的的用户访访问可移移动的 CDD-ROOM 媒体。如果启启用了此此策略设设置，且且没有人人交互登登录，则则可以通通过网络络访问 CDD-ROOM。“设备：只有本本地登录录的用户户才能访访问 CDD-ROOM”设置的的可能值值为： 已启用 已禁用 没有定义义漏洞：远远程用户户可能会会访问包

41、包含敏感感信息、已装入入的 CCD-RROM。这种种风险的的可能性性很小，因为 CDD-ROOM 驱动器器不会自自动成为为网络共共享资源源，管理理员必须须专门选选择共享享此驱动动器。但但是，管管理员可可能希望望拒绝网网络用户户查看数数据或从从服务器器上的可可移动媒媒体运行行应用程程序的能能力。对策：启启用“只有本本地登录录的用户户才能访访问 CDD-ROOM”设置。潜在影响响：当有有人登录录到服务务器的本本地控制制台时，通过网网络连接接到服务务器的用用户将无无法使用用安装在在服务器器上的任任何 CDD-ROOM 驱动器器。需要要访问 CDD-ROOM 驱动器器的系统统工具将将失败。例如，卷影复

42、复制服务务试图在在计算机机初始化化时访问计计算机上上的所有有 CDD-ROOM 和软盘盘驱动器器，并且且如果服服务无法法访问其其中一个个驱动器器，它将将失败。如果已已为备份份作业指指定卷影影副本，这种情情况将导导致 Wiindoows 备份工工具失败败。任何何使用卷卷影副本本的第三三方备份份产品也也将失败败。对于于充当网网络用户户 CDD 点唱机机的计算算机，此此策略设设置不适适合。设备：只只有本地地登录的的用户才才能访问问软盘此策略设设置确定定可移动动软盘媒媒体是否否可供本本地和远远程用户户同时访访问。如如果启用用此策略略设置，将仅允允许交互互式登录录的用户户访问可可移动的的软盘媒媒体。如如

43、果启用用了此策策略设置置，且没没有人交交互登录录，则可可以通过过网络访访问软盘盘。“设备：只有本本地登录录的用户户才能访访问软盘盘”设置的的可能值值为： 已启用 已禁用 没有定义义漏洞：远远程用户户可能会会访问包包含敏感感信息、已装入入的软盘盘。这种种风险的的可能性性很小，因为软软盘驱动动器不会会自动成成为网络络共享资资源，管管理员必必须专门门选择共共享此驱驱动器。但是，管理员员可能希希望拒绝绝网络用用户查看看数据或或从服务务器上的的可移动动媒体运运行应用用程序的的能力。对策：启启用“只有本本地登录录的用户户才能访访问软盘盘”设置。潜在影响响：当有有人登录录到服务务器的本本地控制制台时，通过网

44、网络连接接到服务务器的用用户将无无法使用用安装在服务务器上的的任何软软盘驱动动器。需需要访问问软盘驱驱动器的的系统工工具将失失败。例例如，卷卷影复制制服务试试图在计计算机初初始化时时访问计计算机上上的所有有 CDD-ROOM 和软盘盘驱动器器，并且且如果服服务无法法访问其其中一个个驱动器器，它将将失败。如果已已为备份份作业指指定卷影影副本，这种情情况将导导致 Wiindoows 备份工工具失败败。任何何使用卷卷影副本本的第三三方备份份产品也也将失败败。设备：未未签名驱驱动程序序的安装装操作此策略设设置确定定在试图图安装未未经 Wiindoows 硬件质质量实验验室 (WWHQLL) 认证和和签

45、名的的设备驱驱动程序序（使用用安装应应用程序序编程接接口 (AAPI) 方法）时，将将发生的的操作。“设备：未签名名驱动程程序的安安装操作”设置的的可能值值为： 默认继续续 允许安装装但发出出警告 禁止安装装 没有定义义漏洞：此此策略设设置可以以防止安安装未经经签名的的驱动程程序，或或向管理理员发出出警告指指出有人人要安装装未经签签名的驱驱动程序序软件。此功能能可以防防止使用用 Seetupp APPI 安装尚尚未通过过认证在在 Wiindoows XP 或 Wiindoows Serrverr 20003 上运行行的驱动动程序。此策略略设置将将不能防防止某些些攻击工工具使用用某种方方法来复复

46、制和注注册恶意意的 .ssys 文件，从从而将这这些文件件作为系系统服务务启动。对策：将将“设备：未签名名驱动程程序的安安装操作作”设置配配置为“允许安安装但发发出警告告”，这是 Wiindoows XP SP22 的默认认配置。Winndowws SServver 20003 的默认认配置为为“没有定定义”。潜在影响响：如果果用户具具有安装装设备驱驱动程序序的足够够特权，则他们们将能够够安装未未签名的的设备驱驱动程序序。但是是，此功功能可能能会导致致服务器器产生稳稳定性问问题。“允许安安装但发发出警告告”配置还还有另一一个潜在在问题，那就是是，无人人参与的的安装脚脚本在尝尝试安装装未签名名的

47、驱动动程序时时将会失失败。域控制器器：允许许服务器器操作员员计划任任务此策略设设置确定定是否允允许服务务器操作作员通过 ATT 计划工工具提交交作业。注意：此此安全选选项设置置只影响响 ATT 计划工工具。它它不影响响“任务计计划程序序”工具。“域控制制器：允允许服务务器操作作员计划划任务”设置的的可能值值为： 已启用 已禁用 没有定义义漏洞：如如果启用用此策略略设置，由服务务器操作作员通过过 ATT 服务创创建的作作业将在在运行该该服务的的帐户的的上下文文中执行行。在默默认情况况下，这这是本地地的 SYYSTEEM 帐户。如果启启用此策策略设置置，服务务器操作作员可以以执行 SYYSTEEM

48、 能够执执行、但但是他们们通常无法执执行的任任务，例例如将他他们的帐帐户添加加到本地地 Addminnisttrattorss 组中。对策：禁禁用“域控制制器：允允许服务务器操作作员计划划任务”设置。潜在影响响：对于于大多数数组织来来说，影影响会很很小。用用户（包包括 Seerveer OOperratoors 组的用用户） 仍然可可以通过过“任务计计划程序序向导”创建作作业。但但是，这这些作业业运行的的上下文文将是用用户设置置作业时时进行身身份验证证所用帐帐户的上上下文。域控制器器：LDAAP 服务器器签名要要求此策略设设置确定定轻型目目录访问问协议 (LLDAPP) 服务器器是否要要求 L

49、DDAP 客户端端协商数数据签名名。“域控制制器：LDAAP 服务器器签名要要求”设置的的可能值值为： 无。数据据签名不不是与服服务器绑绑定所必必需的。如果客客户端请请求数据据签名，则服务务器会支支持它。 要求签名名。除非非使用传传输层安安全性/安全套套接字层层 (TTLS/SSLL)，否则则必须协协商 LDDAP 数据签签名选项项。 没有定义义。漏洞：未未签名的的网络通通信易遭遭受中间间人攻击击。在这这类攻击击中，入入侵者捕捕获服务务器和客客户端之之间的数数据包，进行修修改，然然后将它它们转发发到客户户端。在在涉及 LDDAP 服务器器的环境境中，攻攻击者可可以让客客户端根根据来自自 LDD

50、AP 目录的的错误记记录作出决策策。要降降低对组组织网络络的这类类入侵的的风险，可以实实施强物物理安全全措施，从而保保护网络络基础结结构。此此外，也也可以实实施 Innterrnett 协议安安全 (IIPSeec) 身份验验证头模模式 (AAH)，它可可以针对对 IPP 通信执执行相互互身份验验证和数数据包完完整性，从而使使所有类类型的中中间人攻攻击变得得极其困困难。对策：将将“域控制制器：LDAAP 服务器器签名要要求”设置配配置为“要求签签名”。潜在影响响：不支支持 LDDAP 签名的的客户端端将无法法针对域域控制器器执行 LDDAP 查询。组织中中从基于于 Wiindoows Serr

51、verr 20003 或 Wiindoows XP 的计算算机进行管管理的所所有基于于 Wiindoows 20000 的计算算机和使使用 Wiindoows NT 质询/响应 (NNTLMM) 身份验验证的计计算机都都必须安安装 Wiindoows 20000 SServvicee Paack 3 (SP33)。或者者，这些些客户端端必须进进行 Miicroosofft 知识库库文章 Q33254465“使用 Wiindoows Serrverr 20003 管理工工具时 Wiindoows 20000 域控制制器需要要 SPP3 或更高高版本”中描述述的注册册表更改改，该文文章网址址为ht

52、ttp:/suuppoort.miccrossoftt.coom/ddefaaultt.asspx?sscidd=32254665。另外外，某些些第三方方操作系系统不支支持 LDDAP 签名。如果启启用此策策略设置置，使用用这些操操作系统统的客户户端计算算机可能能无法访访问域资资源。域控制器器：拒绝绝更改机机器帐户户密码此策略设设置确定定域控制制器是否否接受计计算机帐帐户的密密码更改改请求。“域控制制器：拒拒绝更改改机器帐帐户密码码”设置的的可能值值为： 已启用 已禁用 没有定义义漏洞：如如果在域域中的所所有域控控制器上上启用此此策略设设置，域域成员将将不能更更改其计计算机帐帐户密码码，并且且

53、这些密密码将更更易遭受受攻击。对策：禁禁用“域控制器：拒绝更更改机器器帐户密密码”设置。潜在影响响：无。这是默默认配置置。域成员：对安全全通道数数据进行行数字加加密或签签名（多多个相关关设置）下列策略略设置确确定是否否与不能能对安全全通道通通信进行行签名或或加密的的域控制制器建立立安全通通道： 域成员员：对安安全通道道数据进进行数字字加密或或签名（总是） 域成员员：对安安全通道道数据进进行数字字加密（如果可可能） 域成员员：对安安全通道道数据进进行数字字签名（如果可可能）如如果启用用“域成员员：对安安全通道道数据进进行数字字加密或或签名（总是）”设置，则不能能与不能能对所有有安全通通道数据据进

54、行签签名或加加密的任何域域控制器器建立安安全通道道。为了了防止身身份验证证通信受受到中间间人、重重播以及及其他类类型的网网络攻击击，基于于 Wiindoows 的计算算机会通通过名为为“Seccuree Chhannnelss（安全全通道）”的 NeetLoogonn 来创建建通信通通道。这这些通道道对计算算机帐户户进行身身份验证证，当远远程用户户连接到到网络资资源，而而且该用用户的帐帐户存在在于受信信任域中中时，这这些通道道还对用用户帐户户进行身身份验证证。这种种身份验验证被称称作通过过式身份份验证，它允许许加入到到某个域域的计算算机访问问位于它它所在的的域以及及任何受受信任域域中的用用户帐

55、户户数据库库。注意意：要在在成员工工作站或或服务器器上启用用“域成员员：对安安全通道道数据进行数数字加密密或签名名（总是是）”设置，该该成员所所属的域域中的所所有域控控制器都都必须能能够对全全部安全全通道数数据进行行签名或或加密。这项要要求意味味着所有有这类域域控制器器必须运运行 Winndowws NNT 44.0 Serrvicce PPackk 6aa 或 Wiindoows 操作系系统的更更高版本本。如果启用用“域成员员：对安安全通道道数据进进行数字字加密或或签名（总是）”设置，则会自自动启用用“域成员员：对安安全通道道数据进进行数字字签名（如果可可能）”设置。此策略设设置的可可能值为

56、为： 已启用 已禁用 没有定义义漏洞：当当 Wiindoows Serrverr 20003、Winndowws XXP、Winndowws 220000 或 Wiindoows NT 计算机机加入某某个域时时，将创创建一个个计算机机帐户。加入该该域之后后，计算算机在每每次重新新启动时时，都使使用此帐帐户的密密码，与与它所在在域的域域控制器器创建一一个安全全通道。在安全全通道上上发送的的请求将将被验证证，敏感感信息（如密码码）将被被加密，但不会会对通道道进行完完整性检检查，也也不会加加密所有有的信息息。如果果计算机机被配置置为总是是对安全全通道数数据进行行加密或或签名，但域控控制器无无法对安安

57、全通道道数据的的任何部部分进行行签名或或加密，则计算算机和域域控制器器无法建建立安全全通道。如果计计算机被被配置为为在可能能的情况况下对安安全通道道数据进进行加密密或签名名，则可可以建立立安全通通道，但但是会对对加密和和签名的的级别进进行协商商。对策： 将“域成员员：对安安全通道道数据进进行数字字加密或或签名（总是）”设置配配置为“已启用”。 将“域成员员：对安安全通道道数据进进行数字字加密（如果可可能）”设置配配置为“已启用”。 将“域成员员：对安安全通道道数据进进行数字字签名（如果可可能）”设置配配置为“已启用”。潜在影响响：对“安全通通道”进行数数字加密密和签名名（如果果支持的的话）是是

58、一个好好主意。在域凭凭据被发发送到域域控制器器时，安安全通道道保护这些些凭据。但是，只有 Wiindoows NT 4.00 Seerviice Pacck 66a (SP66a) 和 Wiindoows 操作系系统的后后续版本本才支持持对安全全通道进进行数字字加密和和签名。Winndowws 998 SSecoond Ediitioon 客户端端不支持持它（除除非它们们安装了了 Dsscliientt）。因因此，对对于支持持将 Wiindoows 98 客户端端作为域域成员的的域控制制器，不不能启用用“域成员员：对安安全通道道数据进进行数字字加密或或签名（总是）”设置。潜在影影响可能能包括以

59、以下情况况： 创建或删删除下级级信任关关系的能能力将被被禁用。 从下级客客户端登登录将被被禁用。 从下级受受信任域域中对其其他域的的用户进进行身份份验证的的能力将将被禁用用。在从域中中清除所所有的 Wiindoows 9x 客户端端、将受受信任/信任域域中的所所有 Wiindoows NT 4.00 服务器器和域控控制器升升级到 Wiindoows NT 4.00 SPP6a 之后，可以启启用此策策略设置置。对于于域中的的所有计计算机，还可以以启用另另外两个个策略设设置：“域成员员：对安安全通道道数据进进行数字字加密（如果可可能）”和“域成员员：对安安全通道道数据进进行数字字签名（如果可可能）

60、”，但前前提是这这些计算算机支持持这两个个设置而而且不影影响下级客客户端和和应用程程序。域成员：禁用更更改机器器帐户密密码此策略设设置确定定域成员员是否可可以定期期更改其其计算机机帐户密密码。如如果启用用此策略略设置，域成员员不能更更改其计计算机帐帐户密码码。如果果禁用此此策略设设置，将将允许域域成员根根据“域成员员：最长长机器帐帐户密码码寿命”设置更更改其计计算机帐帐户密码码，在默默认情况况下是每每 300 天更改改一次。警告：请请不要启启用此策策略设置置。计算算机帐户户密码用用于在成成员和域域控制器器之间以以及域中中的域控控制器之之间建立立安全通通道通信信。在建建立了这这类通信信之后，安全