组策略设置系列之“安全选项”

组策略设置系列篇之“安全选项”-1设置,选项组策略的“安全选项”部分启用或禁用数字数据签名、Administrator和Guest帐户名、软盘驱动器和CD-ROM驱动器的访问、驱动程序安装操作和登录提示的计算机安全设置。安全选项设置您可以在组策略对象编辑器的下列位置配置安全选项设置：计算机配置\Windows设置\安全设置\本地策略\安全选项帐户：管理员帐户状态此策略设置启用或禁用Administrator帐户的正常操作条件。如果以安全模式启动计算机，Administrator帐户总是处于启用状态，而与如何配置此策略设置无关。“帐户：管理员帐户状态”设置的可能值为：•已启用•已禁用搅•格晨没有定义血漏洞：在某娇些组织中，驳维持定期更挪改本地帐户辟的密码这项遮常规计划可反能会是很大管的管理挑战追。因此，您划可能需要禁侄用内置玻的岭Admi扒nistr娱ator且校帐户，而不词是依赖常规卸密码更改来赤保护其免受水攻击。需要昂禁用柴此报内暗置帐户的另矿一个原因就喊是，无论经统过多少次登载录失败它都澡不会被锁定野，这使得它悟成为强力攻饱击（尝试猜同测密码）的徐主令要目标。另笼外，此帐户巾还有一个众删所周知的安概全标捷识择符复(SID科)爷，而且第三委方工具允许转使晚用撇SID舰谢而非帐户名吩来进行身份穷验证。此功变能意味着，光即使您重命殖名烟Admi五nistr药ator交景帐户，攻击领者也可能使乱用嚷该恋SID客锈登录来发起圈强力攻击。踢对策：森将盈“询帐户：管理准员帐户状肃态默”佩设置配置耐为究“列已禁煤用缩”段，以便在正与常的系统启静动中不能再顷使用内置斗的献Admi客nistr浆ator干耀帐户。邀潜在影响：叔如果禁介用批Admi铁nistr夸at陷o不r疑勇帐户，在某莲些桨情况下可能购会造成呈维护问题。驾例如，在域赛环境中，如固果成员计算休机和域控制招器间的安全云通道因任何斜原窑因而失败，塌而且没有其贡他本长地设Admi化nist慕rator限玻帐户，则您楼必须以安全疮模式重新启部动才能修复思这个中断安蚕全通道的问判题。奴如果当前保的租Admi刺nistr联ator盾肌密码不满足然密码要求，桃则殿Admi旱nistr育ator剑努帐户被禁用漏之后，无法川重新启用。召如果出现这抱种情况携，弓Admin屈istra盲tors斥秤组的另一个救成员必须使抖用音“串本地用户和岗组骡”搞工具来为友该甘Admi捞nistr父ator童泼帐户设置密爸码。刻帐户：来宾睡帐户状雅态略此贝策若略设置确定命是启用还是肃禁用来宾帐肺户。躲“炒帐户：来宾含帐户状消态复”友设置的可能裂值为远：币•劝其已启用冤•双望已禁用降•固蔬确没有定义身漏洞：默皆认冷Gues联t热甜帐户允许未长经身份验证毁的网络用户传以没有密码蜡的挥Gues双t餐你身份登录。女这些未经授帐权的用户能暴够通过网络幻访奏问造Gues欢t猜侦帐户可访问缺的任何资源运。此功能意右味着任何具巩有允乞许贞Gues水t货榆帐户交、本Guest景s肠铅组拿或菜Ever滴yone标劣组进行访问留的权限的网沙络共享资源顾，都可以通露过网络对其昆进行访问，挣这可能导致飞数据暴露或旧损坏。匆对策：将染“帐帐户：国来展宾脆帐俊户状谦态慢”誉设置配置截为擦“雄已禁闲用拆”个，以便内置精的鱼Gues懒t叨铅帐户不再可紧用。菌潜在影响：浅所有的网络抬用户都将必说须先进行身防份验证，才搂能访问共享纱资源。如果爹禁赴用飘Gues强t泄顿帐户，并旷且升“写网络访问：垦共享和安全舌模遍式杯”持选项设置上为润“昌仅来厨宾摘”仆，则那些堵由狮Micr烂osoft恳怎网络服务器泉（象SMB走赚服务）执行汉的网络登录撤将失败。对抚于大多数组尽织来说，此趟策略设置的岗影响应该会及很小，因为厚它狂是萌Micr漏osoft千Wind抹ows泰®目200轮0工、罢Windo耐wsXP辟其和驼Wind段owsS注erve潜r乱™置2003茫宝中的默认设母置。厅帐户：使用颜空准白密码为的屋本绣地独帐户只允许半进行控制台章登录趴此苹策略设置确材定是否允许雀使用空白密环码的本地帐吩户通过网络太服务（如终歼端服务梨、坐Telne侍t矮禾和文件传输悠协瓶议甩(FTP有)额）进行远筹程交互式登嚷录。如果启放用此策略设户置，则本地肾帐户必须有乘一个非空密策码，才能从万远程客户端锈执行交互式蔑或网络登录慎。筑“珍帐户：使用早空白密码的鲜本地帐户只追允许进行控捕制台登况录单”勾设置的可能蠢值为：尖•该副已启用疤•苹吗已禁用千•唤偏没有定义傻注意：此策朗略设置不影驴响在控制台爽上以物理方佛式执行的交创互式登录，歪也不影响使墨用域帐户的感登录。响警告：使用撕远育程莲交互式开登录的第三往方应用程序出有可萝能跳过此策怠略设置。鸡漏洞：空白加密码会对计奇算机安全造示成想严重威胁，书应当通过组架织的策略和竹适当的技术广措施来禁止外。实际上就，论Wi捐ndows断Serv肆er20夏03Ac饥tive鹅Direc贫tory回®宗长目录服务域匹的默认设置手需要至少包肺含七个字符情的复杂密码统。但是，如净果能够创建担新帐户的用虚户跳过基于渔域的密码策根略，则他们仇可以创建具愉有空白密码秃的帐户。例耽如，某个用成户可以构建锣一个独立的浓计算机，创亭建一个或多牵个具有空白块密码的帐户处，然后将该套计算机加入猎到域中。具检有空白密码仙的本地帐户捎仍将正常工隙作。任何人陷如果知道其本中酒一都个未受保护移的帐户的名原称，都可以耕用它来登录菜。萄对策：启驳用枣“乞帐户：使用某空白密码的果本地帐户只物允许进行控辟制台登蹈录陵”窑设置。锐潜在影响：孔无。这是默绞认配置。辜帐脖户：重命名压系统管理员青帐户者此策略设置签确定另一个信帐户名是否裕与伙Admi著nistr兼ator婚编帐户近的饼SID脖祝相关联。凑“慎帐户：重命废名系统管理界员帐窄户凑”榜设置的可能菠值为：麻•炒豆锤用户定义的杜文本震•染夸没有定义意漏洞毛：悼Admin赶istra晕tor牌鹿帐户存在于辽运徒行遵Wind止ows2棋00抱0纷、氏Windo脾wsSe痕rver慌2003曲招或拳Wind蠢o繁w柄sXP盆Profe贿ssion许a球l何芬操作系统的禽所有计算机钥上。如果重辉命名此帐户肺，会使未经景授权的人员闲更难夸猜测这个具鲜有特权的用坚户名和密码妻组合。膊无论攻击临者可能使用沿多少次错误黑密码，内置型的侄Admi阴nistr笋ator讯护帐户都不能钞被锁定。此平功能使估得贺Admi逆nistr返ator爆齐帐户成为强耗力攻击（尝闯试猜测密码薄）的常见目朋标。这个对发策的价值之汁所以减少，蕉是因为此帐啦户有一个众熔所周知丈的侧SI熊D同，而且第三啊方工具允许携使南用久SID劝钞而非帐户名杨来进行身份纹验证。因此孙，即使您重炊命她名途Admi微nistr达ator酱斯帐户，攻击却者也可能会晶使用反该六阅S爷ID浴负来登录以发漏起强力攻击洁。还对在策：逢在投“芳帐户：重命歼名系统管理揉员帐止户熊”甘设置中指定没一个新名称悲，以重命谈名记Admi顺nistr班ator遗偿帐户。籍注意：在后乳面的章节中财，此策略设柏置既未在安瓶全模板中进梦行配置，也虫不是本指南妥所建议帐户统的新用户名销。模板中忽隆略了这项策温略设置，这赚样做是为了纠让使用本指朝南的众多组孙织将不在其荣环境中实现洗同样的新用坟户名。昨潜在影响：旗您必须将这兴个新帐户名班通知给授权附使用此帐户断的用户。（雕有关此设置朋的指导假输定挥Admi荣nistr协ator宅谷帐户没有被章禁用，这是致本章前面建毁议的设置。域）习帐户：重命施名来宾帐户巾“州帐户：喊重徒命虎名草来宾帐恋户游”赠设置确定另葵一个帐户机名是否述与喊Gues蛛t悉藏帐户摧的饭SID捐某相关联。趴此组策略设案置的可能值烧为：就•委僻僵用户定义的舒文本唱•逃莫没有定义话漏洞焰：折Guest溉滩帐户存在于伍运宣行纸Wind匆ows2棚00秆0弯、忧Windo夹wsSe耗rver批2003搏让或尘Wind泽owsX付PPro坦fessi孕onal茎胁操作系统的穿所有计算机惕上。如果重教命名此帐户造，会使未经训授权的人员既更难猜测这败个具有特权猛的用户名和激密码组合。移对策：教在蝴“歇帐户：重命乓名来宾帐诵户责”倚设置中指定剖一个新名称凶，以重命演名断Gues矿t兄尝帐呆户跌。天注意：在后恳面的章节中会，此完策略设置既滤未在安全模闲板中进行配台置，也不是除本指南所建离议帐户的新套用户名。模光板即中忽略了这及项策略设置琴，这样做是瓣为了让使用坝本指萄南的众多组盐织将不在其谱环境中实现制同样的新用记户名。击潜在影响：工影响应该会故很小，因为量在默认情况赵下英，拖Windo趴ws20尤0讨0嫂、遥Windo缘wsXP脖兴和显Wind桂owsS珍erver漏2003丽火中已禁慈用烤“仔Gues舱t是”狮帐户。株对备每份和还原权彻限的使用进奸行审核瞎如果启用此芝策略设置，段在计算机创栏建系统对象悲（如多用户摸端执行程序捷、事件、信薯号灯鼓和港MS-D瓶OS症®羡匹设备）时，亦将应辆用迅默夹认的系统访关问控制列凤表饱(SAC彻L猾)茶。如果如本式指南绘第楚3可前章中所述，察您还启用拔了反“思审核对象访规问韵”晒审核设置，萄则会审核对门这些系统对雅象的访问。须全局系统对唐象划（又被称茫作畏“冬基本系统对弊象原”印或忌“较基本命名对荐象榜”缝是存活时间害很短的内核妹对象，它们老的名称是由掉创建它们的惩应用程序或驳系统组件分救配的。这些踢对象经常用悦于同步多个堤应用程序或勺一个复杂应胁用程序的多怒个部分。由叹于它们具有贱名称，因此盲这些对象在窗作用域内是钟全局的，从酬而对于计算建机上的所有燥进程均可见储。这些对象涉都具有一个刻安全描述符驰，但是它们睡通常有一个腐空的系统访连问控制列表屋。如果在启枝动时启用此求策略设置莲，伶内赏核将在这些洽对象被创建崭时向它们分劝配一个系统乖访问控制列捆表。殊“能对全牵局系统载对象的访问睡进行审励核挪”却设置的可能容值为迷：叫•仙啦已启用勾•息突已禁用报•状阀没有定义通漏洞：如果羽没有正确地居保护某个全哗局可见的命蔽名对象，则色知道该对象醉名称的恶意分程序可能会诊针对该对象勿进行操作。鬼例如，如果拿某个同步对机象（如多用罩户终端执行介程序）有一谊个错误选择技的任意访问妈控制列栏表乔(DAC廊L抛)臂，则恶意程草序可以按名刃称访问这个胸多用户终端盈执行程序，境并且导致创柄建这个多用后户终端执行酱程序的程序陆无法正常工恰作。但是，触出现这种学情律况号的风险会非优常低。滋对策：启用广“墨对全葵局系统对象忘的访问进行英审忠核穗”设设置。寺潜在影响：扣如果启狸用露“侍对全怕局系统对象钥的访问进行怠审东核艰”此设置，可能清会凡生成大量安洗全事件，尤腰其是在繁忙典的域控制器核和应用程序猜服务器上。酱这类情况可修能导致服务忠器响应缓慢额，并迫使安穷全事件日志碗记录许多无叫关紧要的事微件。此策略貌设置只能被雾启用或禁用饥，并且没有杀筛选记录哪宣些事件和不客记录哪些事雁件的办法。历即使组织有浑能够分析由移此策略设置金所生成事件镇的资源，它泻们也不可能雷具有每个命谣名对象的源喂代码或关于截其用途的说绸明。因此，派对于许多组柿织来说，将泽此策略设置撞配置专为堡“知已启拔用炎”眉，不大可能尘获得什么好烫处。防审核散：对备份和蓬还原权限的绵使用进行审皮核度此策饼略设置确定金在穿“仔审核权限使民用炒”今设置生效时飞，是否对所寸有用户权限鲁（包天括版“描备份和还赠原垄”赵权限）的使嫩用进行审核竖。如果启用被这两个策略侦设置，会为闻备份或还原叉的每个文件丢生成一个审符核事件。乐如果启用此纠策略设置并诉结合使铅用途“萌审核权限使挂用贞”圣设置，用户百权限的任何镇行使状况都冒会记录在安乖全日志中。钢如果禁用此饺策略设置，章则即使启站用朋“飘审核权限使瓦用康”旷，也不会对缓用户行使备朵份或还原权豆限的操作进另行审核。沟“与对备律份和还原权搁限的使用进负行审写核袜”相设置的可能符值为：瓜•君练已启用嫩•乘阵已禁用所•霜象没有定义背漏洞：如这果在启沙用捡“飞审核权限使屿用凑”暗设置的同时拿启用此选项栏，则备份或蛮还原每个文北件都会生成来一妹个审核事件嘱。此信息会刚帮助您识别貌被用于以未绢经授权的方烂式意外或恶钩意还原数据禾的帐户。因对策：启饺用炼“升对备份和还班原权限的使翁用进行审戒核苍”唐设置。或者箱，也可以通段过配剃置酷Auto仁Backu宴pLogF仅iles甲响注册表项来久实施自动记僵录备份，胖潜在影响：酿如果启用此看策略设置，筹可能会生成柴大量安全事公件，这可能虾导致服务器地响应缓慢，誓并迫使安全悬事件日志记赴录许多无关制紧要的事件烈。如果增加公安全日咏志刷大赔小以减少系童统关闭的机亦率，过大的姑日志文件可测能影响系统液性能。净如果奥无法记赖录安全审核获则立即关闭累系统慎此策略设置婆确定在无法炕记录安全事洋件时是否关击闭计算瞒机。可信计桂算机系统评田测标稠准奇(TCS茧EC援)病（连C2岗粉和通用标准厕认证）需要淋在审核系统数无法记录可梢审核事件时安，计算机能捉够防止出现谊这些事件押。秘Micro面soft私屠所选择的以浅满足此要求亿的方法是：纽在无法审核隔系统时，暂腔停计算机并辰显示一则停严止消息。如扎果启用此策旁略设置，计挡算机会在出迹于任何原因帆不能记录安史全审核时停现止。通常，端当安全事件疫日志已满，机而且为它指熄定的保留方督法继为辰“歼不覆盖事岗件阻”框或艰“假按在天煮数覆盖事分件雕”档时，将无法汇记录事件袍。泄启用此策略肃设置时，如品果安全日志湿已满且不能助覆盖现有条翼目，则会显庸示下圆列停止消息炭：斯STOP:财C0000服244扬{岩审编核失智败拆}煮尝试生成安躁全审核失败处。焦要进行恢复煮，管理员必筐须登录，对饥日志进行存惯档（可选）任，清除日志付，然后禁用悬此选项以允冤许计算机重蜻新启动。此模时，可能需归要先手动清放除安全事件际日志，然后各才能将此策拥略设置配置地为遵“夜已启凤用晒”赢。快“雪如果寻无法记录安踩全审核则立帝即关闭系复统剖”荐设置的可能杜值为：赠•河毒已启用娃•签蔽已禁用独•丝元或没有定义购漏洞：如果哭计算机无法哄将事件记宿录到安全日蚊志中，则在知出现安全事创件之后，可三能无法使用米关键的证据嚷或重要的疑无难他解答信息来层进行审查。询此外，还有萍攻击者会生僚成大酱量安全事件里日志消息以巾故意强制计式算机关闭的努潜在可能。循对策：启染用惩“谎如果无法记撑录安全审核脉则立即关闭凉系讯统蚊”辨设置。货潜在影响：犹如果启用此挎策略设置，枕管理负担可屈能会非常大颠，尤其是当板您还将安全再日志熔的腰“索保败留唤”招方法配置问为轨“传不覆盖事件殃（手动清除刘日志求）桐”改时更是如此凡。此配置会薪导致抵赖威沃胁（备份操戏作员可能否遍认他们备份警或还原了数叼据）成为拒童绝服搅务群(DoS大)庙尘漏洞，因为尝服务器会因洽写入到安键全己日启志中的大量免登录事件和琴其他晓安全事漫件而被迫关辩闭。另外，贪由于是非正哭常关闭，因煤此可能会对哀操作系统、幸应用程序或吓数弯据造成不可屋修复的损害样。尽橡管迹NTFS淹赠文件系抖统项(NTF希S)铁新将保证在系浓统非正常关善闭过程中保盏持文件系统情的完整性，巡但是它不能把保证在计算聋机重新启动耐时，每个应改用程序的每激个数据文件够都仍真然处于可用怒状态。译DCO僚M川：在安全描匆述符定义语闹言计(SDD闻L)盯规语法中的计剪算机访问限阅制晴此策略设置牺允许管理员怜在计算机上碎定义用于管形理对基于所患有分布式组佛件对象模贩型谎(DCO钟M)杯滩的应用程序亡访问的其他易计算机范围丈访问控件。吼这些控件限愿制计着算使机辱上的调用、客激活或启动脂请求。考虑侮这些访问控舅件最简单的脾方法就是对真计算机上任念何网COM使守服务器的每贵个调用、激吗活或启动，躬根据计算机污范围的访问感控制列汽表孤(A鹊CL)幸嫩作为附加访绸问检查调用骄执行。如果避访问检查失爪败，调用、租激活或启动暗请求将被拒搞绝。（此检层查是根据服蔬务器特定疲的僵ACL耽坐运行的任何观访问检查以龟外的附加检害查。）实际塑上，它提供割了在计算机悉上访问任活何涉COM犬稳服务器时必望须通过的最洪低授权标准撤。葛“雾DCO烫M题：在安全描腹述符定义语锯言拣(SDD效L)辉筋语法中的计沈算机访问限府制领”垦设置控制访对问权限以保午护调用权限产。傻这些计算机巾范围绍的糠ACL策偷提旨供了一种可胜覆盖由特定冶应用程序通负过漂CoIn根itial载izeSe旨cur卫ity具语或应用程序彩特定的安全匀设置指定的岛弱安全性设慕置的方式。喊它们提供必希须通过的最搅低市安全标准，丝而不管特定莲服务器的设叼置如何。肆这望些挡ACL麦擦为管理员提团供了一个用症于设置应用针于计算机上久的所柱有湾COM躲盼服务器的一踩般授权策略侧的集中位置娱。误“退DCO骄M材：在安全描区述符定义语窑言洽(SDD喇L)悔少语法中的计乏算机访问限纤制碌”经设置允许您击以两种不同平方式指定一守个悲AC聪L表。您可以仰以怠SDDL疯浪键入安全描财述符，或者丛选择用户和滥组并授予或连拒绝其本地静访问和远程伸访问权限丧。出Micr附o幕soft摧汪建议您使用择内置的用户步界貌面以指定您俯想要使用此迈设置应用白的斩AC闸L嫩缺内容。致漏洞：许楚多散COM砌擦应用程序包居括一些安全知特定代码（丸例如，用于凡调慰用甩C井oInit打ializ同eSecu眯rit奴y晃），但却使妖用弱设置，末通常允许未饥经验证就可鞭访问进程。贵在坟Wind针ows乌列的较早版本剧中，若不修脾改应用程序貌，管理员不暂能覆盖这些锡设置以强制汽强安全性。国攻击者可能随会通愧过观COM译悉调用来进行锄攻击以尝试类利用单个应聪用程序中的回弱安全性。振此外怨，衬COM谨败结构还包础括丧RPCS哪S黎，一种在计庭算机启动过填程中运行并赛在启动后始站终运行的系确统服务。此富服务管各理击警C园OM凑年对象的激活陆和运行的对岗象表，锣并错为昂DCOM胃索远程处理提肉供帮助服务串。它公开可柄远程调用榴的葱RPC撇军接口。由于枝某萄些菌COM修灯服务器允许扩未经验证的信远程访歪问（如前面登部分所述）优，因此任何节人都可调用择这些接口，忍包括未经验产证的用户。腹因此，使用电远程、未经崭验证的计算碗机的恶意用雷户能够攻网击绪RPCS嫂S司。困对策：为保谁护单个基沟于漂COM玉愉的应用程序邻或服务，请炒将科“度DCO途M待：在安全描寨述符定义语备言转(SDD伏L)毙亩语法中的计守算机访问限劈制普”逐设置设置为着相应计算机湖范围告的樱AC丘L呈。售潜在影响统：副Windo在wsXP杨SP2尾浇和贱Wind己owsS钢e四rver监2003拾SP1邮由按照京其各自的文款档中所指定益的内容实施惜默认珍的弦COM塘AC筛L拒。如果实篮施慧COM奋可服务器并覆语盖默认安全规设置，请确傻认应用程序吩特定颠调用权舟限习ACL滥况为相应用户蒙分配了正确浙权限。如果播不是，您将夺必须更改应喉用程序特定蜻权捡限惯ACL恳蝴来为相应用邮户提供激活经权限，以便材使率用良DCOM旁嘉的应用程序痕和着Wind厚ows镜翻组件不会失筹败。恰DCO营M门：在安全描滨述符定义语帜言探(SDD隶L)浅饱语法中的计漫算机启动限盏制施此策略设置烛与脊“灶DCO鸦M但：在安全描狸述符定义语根言丰(SDD攻L)差斗语法中的计朽算机访问限钟制数”归设置相类似抖，因为它允丽许管扬理瘦员丸定义可管理池对计算机上很所有基雪于锈品DCOM嫩晚应用程序的樱访问的附加齿计算机范围陷访问控制。透但是，此策竖略宋设置中指定降的匆ACL冰寇控制计算机维上的本地和裤远她程姿COM膊狭启动请求（云不是访问请缓求）。考虑际此访问控制蒜最简单的方脾法是对计算翁机上任扣何与COM克耗服务器的每屡个启动，根聪据计算机范液围筛的午ACL克闪作为附加访湖问检查调用训执行。如果蕉访问检查失脚败，调用、说激活或启动誉请求将被拒练绝。（此检奋查是针对服偷务器特定晚的矿ACL盯昆运行的任何保访问检查以摊外的附加检灰查。）实际呜上，它提供饼了在计算机谦上启动任唯何反COM恼孔服务器时必迟须通过的最闸低授权标准仿。早期策略侧有所不同得，搜因牌为它提供最辞低的访问检甩查，应用该大检查以试图阴访问已启动爽的欣COM打续服务器。她这些计算机广范围妖的埋ACL葡郑提供了一种茧可覆盖由特群定应用程序狭通富过查CoIn读it携ializ刊eSecu闻rity广堆或应用程序灭特定的安全凯设置指定的若弱安全性设相置的方式。们它们提供必宗须通过的最仿低安全标准演，而不管特她定处COM剃送服务器的设敏置如何。这希些胖ACL兽万为管理员提抵供了一个用仇于设置应用番于计算机上慕的所纠有桑COM喜苹服务器的一笔般授权策略乎的集中位置姥。藏“华DCO扑M电：在安全描河述符定义语美言提(SDD可L)此患语法中的计汽算机启动限勾制吨”遥设置允许您炒以两种不同摊方式指定一制个录桶A归C候L弄。您可以降以乌SDDL业岁键入安伸全描述符，疮或者选择用智户和组并授杜予或拒绝其币本地访问和驴远程访问权项限暖。养Micro绣soft狐档建议您使用挪内置的用户恢界面以指定谋您蜜想要使用此宫设置应用败的旧ACL况抚内容。碧漏洞：许鸣多支COM掠铃应用程序包正括一些安全栗特定代码（坊例如，用于身调擦用瓣CoIn淋itial康izeSe惕curit旋y们），但却使英用弱设置，支通常允许未胀经验证就可爹访问进程。桨在迎Wind洗ows攻厅的较早版本窗中，若不修通改应用程序拍，管理员不林能覆盖这些漂设置以强制厅强安全性。她攻击者可能允会通察过种COM俩卧调用来进行章攻击以尝试丘利用单个应么用程序中的屯弱安全性。瓶此外零，清COM舟蚊结构还包联括序RPC祖S挠S米，一种在计输算机启动过依程中运行并茶在启动后始过终运行的系帜统服务。此凤服务涌管穗理判COM结搭对象的激活洋和运行的对挠象表，并掠为购D旨COM字卧远程处理提极供帮助服务缺。它公开可减远程调用加的陪RPC化驰接口。由于抹某巡些清COM隆听服务器允许炉未经验证的书远程组件激舱活（如前面炎部分所述）齿，因此任何催人都可调用洞这些接口，酬包括未经验径证的用户。堆因此，使用斥远程、未经悼验证的计算锁机的恶意用援户能够攻作击瑞RPCS汗S聪。防对策：为保捎护单个基性于办COM据杀的应用程序诱或服务，请吴将词“翅DCO东M震：在安全描舌述符定义语叼言喜(SDD膛L)谦识语法中的计付算机篇启扇动帝限忠制通”升设置设置为革相应计算机咳范围也的萍AC犯L抢。潜在影响果Windo矛w盖sXP哭SP2躬封和傅Wind拌owsS手erver括2003顺SP1倍胸按照各自的险文档中所指撇定的内容实遗施默认侧的爸COM情AC防L兔。如果实衔施抵COM硬低服务器并覆凝盖默认安全绳设置，请确责认应用程序览特定启动权荐限蛛ACL翁振为相应用户暮分配了激活哥权限。如果电不是，您将曾必须更改应稍用程序特定珍启动权员限些ACL坊约来为相应用鼓户提供激活他权限，以便胡使势用蚊DCOM各劈的应用程序夏和研Wind诱ows腰埋组件不会失翠败。拖设备：允许涨不登录移除羡此策略设置遣确定用户是痕否必须登录垂才能请求权寿限以仓从悔扩国展坞移除便拘携式计算机侮。如果启用光此策略设置泽，用户将能昌够通过按已协插接的便携增式计算机上汪的物理弹出冈按钮来安全创移比除计算机。珍如果禁用此火策略设置，俘用户必须登年录才尊能收到移除咱计算机的权洁限。只有具阻有讽“奔从扩展坞中割取出计算鹊机信”此特权的用户宾才能获得此酸权限。抽注意：只有趣针对不能以跃机械方式移行除的便携式振计算机，才漂应禁用此策案略设置。可复以以机械方架式移除的计誓算机能够被讽用户物理取姓出，不管他弟们是否使铲用文Wind灵ows极售移除功能。固“明设备：允许猜不登录移妙除确”使设置的可能委值为：洗•穗奖已启用发•抱秀已禁用恳•饭匆没有定义乏漏洞：如果伯启用此策略画设置，则任秒何人只要能逼够物理访问肤放置在其扩游展坞中的便烦携式计算机搞，就都可以拴取漂出计算机并疫有可能损害于它们。对于顶没有扩展坞幼的计麻算机，此策买略设置没有茄任何影响。阵对策：禁营用蜜“律设备：允许宝不登录移片除须”罗设置。希潜在影响：肥已经固定其净计算机的用挠户将必须先速登录到本地歉控制台，才韵能移除其计诊算机。痛设备：允许蹄格式化和弹僵出可移动媒豆体蒸此策略设置骗确定允许谁摸格式化和弹季出可移动媒籍体。胳“揭设备：允许痒格式化和弹扒出可移动媒示体模”片设置的可能妈值为再：闻•略鄙悲Admin戚istra遭tors匙•扬弦购Ad炮m费inist丝rator挥s吹学和摇Po士werU舱sers镰•勿织塌Admin乐istra正tors创杏和狸Inte姥racti安veUs消ers诸•侄养乡没有定义扒漏洞：用户岭可以将可移项动磁盘上的矛数据移到他粒们具有管理飞特权的另一脑台计算机上费。然后，该狡用户可以获递取任何文件丸的所有权，灭授予自己完柏全控制权限查，查看或修万改任何文件登。由于大多芬数可移动存被储设备都可睬以通过按一炕个机械按钮闯来弹出媒体皂这一事实，拔此策略设置座的优势会有倒所减弱。尤对策：问将彻“杏允许格式化哗和弹出可移善动媒校体仆”苹设置配置燃为揪Admi钳nistr孔ator财s垒。垫潜为在影响：只印有管理员才斯能够弹负出垦N枣TFS孟拌格式化的可冲移动媒体。昆设备：防止酱用户安装打临印机驱动程雨序蚀对于要打印宋到某个网络市打印机的计句算机，必须区在本地计算差机上安装该编网络打印机滩的驱动程序弹。歇“冒设备：防止潜用户安装打返印机驱动程帖序嗓”垒设置确定谁去可以安装打库印机驱动程闷序（作为添披加网络打印窄机的一部分掠）。如果启挂用此策略设狠置，只姓有份Admi丈nistr休ators椒痰和筋Powe犯rUse菜rs学窝组的成员允哨许在添加网牧络打印机时呀安装打印机诚驱动程序。剃如果禁用此围策略设置，睡任何用户在定添加网络打陷印机时都可碰以安装打印柄机驱动程序队。此策略设策置可防止典岁型用户徐下阵载和安装不瞒受信任的打收印机驱动程泉序蜘。鸡注意：如果错管理员已经灰配置了下载赛驱动程序的躬受信任路径盘，则此策略吸设置没有任蚁何影响。如盘果使用受信智任路径，打庄印子系统会夹尝吨试使用受信遭任路径下载运驱动程序。猫如果受信任豆路径下载成味功，则可以犬代表任何用煤户安装驱动短程序。如果蹦受信任路径富下载失败，陆则驱动程序轨不会进行安务装，网络打鹅印机不进行胖添加。袋“款设备：防止迈用户安装打关印机驱动程度序年”朵设置的可能吊值为泥：英•百咽已启用乖•娃舅已禁用疼•刑赛没有定义货漏洞：在某汤些组织中允记许用户在其张自己的工作待站上安装打植印机驱动程葱序锻可滋能是适当的仪。但是，应泼不允许用户魔在书服务器上进闸行这类安装心。在服务器绑上安装打印禾机驱动程序慧可能会在无检意中使计算琴机变得不太拨稳定。只有授管理员在服靠务器上具有全此特权阶。恶意用户趴可能会安装叹不适当的打鸣印机驱动程贝序来故意试匪图损害计算究机，或者用酸户也可能会愈意外安装一状些伪装成打敲印机驱动程萍序的恶意代不码。唉对策：却将羽“蛋设备：防止紧用户安装打蜜印机驱动程距序练”辉设置配置灰为莲“丝已启怖用县”红。爽潜在影响：桨只有具直有策Admi认nistr具ativ额e皂、居Power胖User装闲或姿Serv扫erOp驱erato援r尺数特权的用户颠才能够在服阻务器上安装获打印机。如尼果启用了此馅策略设置，她但盆是网络打印腹机的驱动程抄序已经存在洪于席本地计算机皆上，则用户昼仍可以添加名网络打印机园。眉设备：只有凉本地登录的惨用户才能访其问浓CD-R争OM部此策略设置趁确浅定波CD-匆ROM碗菠是否可供本渴地和远程用蓄户同时访问络。如果启用供此策略设置父，将仅允许仆交互式登录转的用户访问箱可移动只的市CD-R痰OM霜觉媒体。如果从启用了此策康略设置，且耳没有人交互坏登录，则可五以通过网络嫂访榨问群CD-R虏O繁M谦。角“及设备：只有俱本地登录的裙用户才能访勾问底CD-R家O静M迫”杀设置的可能夺值为砌：抗•定早已启用虑•粗轰已禁用燃•逝仪没有定义环漏洞：远程策用国户姿可能会访问该包含敏感信腊息、已装入坚的悠CD-R押O烘M舍。这种风险封的可能性很桃小，因蔑为膛CD-R艰OM款扩驱动器不会溪自动成为网仔络共享资源固，管理员必锁须专门选择称共享此驱惨动器。但是勿，管理员可扰能希望拒绝度网络用户查朽看数据或从闲服务器上的次可移动媒体毙运行应用程唯序的能力。森对策：启缠用幕“向只有本地登递录的用户才山能访决问片CD-R御O绍M宾”论设置。予潜在影响：蒜当有人登录谦到服务器的部本地控制台册时，通过网拢络连接到服窑务器的用户激将无法使用急安装在服务若器上的任版何踢CD-R寺OM债产驱动器。需鄙要访汉问式CD-R妈OM夹妄驱动器的系从统工具将失滴败。例如，免卷影复制服甜务试图在计银算机初始化杨时布访问计算机感上的所是有恭CD-R诞OM彻蝶和软盘驱动员器，并且如盒果服务无法阿访问其中一轻个驱动器，艰它将失败。舟如果已为备适份作业指定蛛卷影副本，夜这种情况将炼导悲致械Wind鼠ows耗蓄备份工具失播败。任何使其用卷影副本突的第三方备燥份产品也将色失败。对于狼充当网络用纵户真CD吸永点唱机的计首算机，此策炭略设置不适呀合。躺设备：只有起本地登录的墙用户才能访陪问软盘纳此策略设置愤确定可移动留软盘媒体是窃否可供本地练和远程用户岩同时访问。纸如果启用此膝策略设置，尚将仅允许交倒互式登录的到用户访问可辱移动的软盘疫媒体。如果辩启用了此策各略设置，且苦没有人交互惑登录，则可电以通过网络蒜访问软盘。脏“苍设胆备戴：只有本地申登录的用户妹才能访问软术盘笑”榴设置的可能抽值为锯：蝴•吵今已启用辈•邮迁已禁用趟•沙变没有定义斥漏洞：远程碧用户可能会柔访问包含敏怕感信息、已殃装入的软盘阴。这种风险漠的可能性很移小，因为软美盘驱动器不晃会自动成为溉网络共享资姓源，管理员玩必须专门选怕择共享此驱序动器。但是惠，管理员可虎能希望拒绝育网络用户查帜看数据或从伪服务器上的粗可移动媒体搏运行应用程默序的能力。帆对策：启效用发“乔只有本地登林录的用户才扬能访问软民盘贩”胖设置。智潜在影响：剪当有人登录旦到服务器的动本地控制台象时，通过网缓络连接到服神务器的用户继将无法使用头安弄装苗在服务器上坐的任何软盘撒驱动器。需电要自访问软盘驱握动器的系统行工具将失败胳。例如，卷也影复制服务岛试图在计算岗机初始化时跌访问计算机杠上的所绪有巧CD-R肥OM睡僚和软盘驱动套器斩，并且如果城服务无法访它问其中一个爹驱动器，它剥将失败。如架果已为备份趁作业指定卷亡影副本，这雄种情况将导羡致耗Wind愿ows疯暑备份工具失胜败。任何使讽用卷影副本茄的第三方备腥份产品也将垄失败。严设备：未签修名驱动程序挎的安装操作无此策略设置舍确定在试图聚安装未呆经极Wind握ows咐鸽硬件质量实哑验哭室歼(WHQ息L)如祝认证和签名瓶的设备驱动希程序（使用壤安装应用程言序编程接细口坐(API侵)哑抖方法）时，分将发生的操搭作笨。钻“谱设备：未签脖名驱动程序育的安慕装操确作散”税设置的可能赢值为缸：域•趟害默认继续滤•露括训允许安装但鲜发出警告忌•溪波禁止安装富•段炼没有定义继漏洞：此策晃略设置可以传防止安装未市经签名的驱顾动程序，或蛾向管理员发终出警告指出茎有人要安装疾未经签名的句驱动程序软海件。此功能叔可以防止使窜用巷Setu协pAPI您虽安装尚未通侵过认证灰在陆Wind盟owsX咐P辛碍或家Wind狠owsS扭erver灿2003隆零上运行的驱南动程序。此巾策略设置将厨不能防止某惕些攻击工具拍使用某种方裤法来复制和草注册恶意窜的在.sys音咱文胡件，从而将成这些文件作笨为系统服务杯启邪动。悉对策：域将描“唱设备：未签绒名驱动程序歌的安装操奋作肆”弦设置配置苏为昂“贤允许安装但玻发出警碧告督”崇，这猛是鸣Wind脏owsX肤PSP2刘荷的默认配置葛。绍Windo临wsSe虾rver拨2003犹里的默认配置冠为比“踏没有定主义劣”屿。管潜在影响：狗如果用户具扛有安装设备喂驱动程序的紧足够特权，婆则他们将能啦够安装未签来名的设备驱锐动程序。但躲是，此功能孤可能会导致粗服务器产生僻稳定性问题香。钉“窑允许安装但蓄发出警容告关”睛配置还有另贸一个潜在问亦题，那就是舅，无人参与壮的安装脚本挪在尝试安装祖未签名的驱贝动程序时将延会失败。宿域控制器：婶允许服务器酿操作员计划泥任务剂此策略设置菊确定是否允猾许服务器操姻作誓员通兄过到AT习搬计划工具提匆交作业。荣注意：此安罚全选项设置睬只影紫响闷AT储霉计划工具。肆它不影监响剥“和任务计划程检序兆”泰工具。束“煌域绸控制器：允静许服务器操弦作员计划任醉务闪”呜设置的可能重值为户：益•播沟已启用痛•嗓光已禁用对•刊龄没有定义瓶漏洞：如果色启用此策略雪设置，由服钱务器操作员坝通父过累AT纺竞服务创建的屠作业将在运象行该服务的怖帐户的上下臂文中执行。平在默认情况略下，这是本帖地裁的钱SYST惑EM渠秤帐户。如果评启用此策略政设置，服务苦器操作员可促以执彻行列SYST双EM泰季能够执行、声但是他们通稿常畏无法执行的包任务，例如栋将他们的帐轧户晴添加到本甚地组Admi滨nistr耽ators此裕组中。供对策：禁骆用兽“叮域控制器：谊允许服务器逆操作员计划恰任撤务增”摸设置。萄潜在影响：园对于大多数功组织来说，愧影响会很小喷。用户（包婚括烛Serv役erOp胸erato腾rs欠仔组的用户虏）岗脸仍然可以通鸦过村“幻任务计划程讯序向斧导制”组创建作业。预但是，这些鲁作业运行的圣上下文将是渴用户设置作炸业时进行身诱份验证所用陪帐户的上下麻文。田域控制器颤：片LDAP姓英服务器签名拿要求蛛此策略设置可确定轻型目笨录访问协简议淋(LDA位P)短邻服务器是否鲜要狐求膊LDAP歇森客户端协商用数据签名。驶“屠域控制器冻：气LDA喜P煤泊服务器签名汇要品求贸”递设置的可能猜值为衬：欠•盖率华无。数据签界名不是与服临务器绑定所逢必需的。如贫果客户端请辰求数据签名开，则服务器描会支持它。呼•稼悔游要求签名。广除非使用传阵输层安全陪性腹/骄安全套接字模层捷(TLS煤/SSL岛)拾，否则必须壤协巩商璃LDAP己肿数据签名选栋项。保•恋涉没有定义。减漏洞：未签默名的网络通西信易遭受中炒间人攻击。君在这类攻击属中，入侵者芹捕获服务器打和客户端之狮间的数据包愚，进行修改促，然后将它距们转发到客体户端。在涉掠及衔LDAP吃化服务器的环书境中，攻击寻者可以让客料户端根据来幸自言LDAP纲瓶目录的错误从记录醉作负出决策。要股降低对组织普网络的这类厚入扎侵的风险，狭可以实施强凉物理安全措柄施，从而保奏护网络基础崖结构。此外垄，也可以实威施斑Inte牧rnet遍面协议安螺全绩(IPS先ec)朴谋身份验证头狡模樱式淹(AH庭)搏，它可以针钢对吧IP撤杀通信执行相接互身份验证界和数据包完楼整性，从而幻使所有类型找的中间人攻世击变得极其剃困难。诞对策：虚将各“尽域控制器成：崭LDAP带胜服务器签名由要喂求构”耕设置配置摔为订“善要求签衡名氧”牲。颤潜在影响：赢不支辩持忙LDAP积司签名的客户鲜端将无法针撕对域控制器我执坏行施LDAP隶艺查询。组织扫中从基线于幻Wind布owsS罩erver屋2003摔蛇或喊Wind骑owsX贿P插怖的计算葱机丘进行管理的齿所有基迎于纽Wind聪ow蕉s200撕0钓除的计算机和获使伏用潜Wind既owsN芝T铜®愚徐质狸询妖/壤响米应纵(NTL述M)谜央身份验证的矮计算机都必娇须安员装咏Wind室ows2绘000S垄ervic晋ePac宽k3(丑SP3涌)朴。或者，这滋些客户端必先须进象行井Micr纳osoft粒券知识库文善章德Q325驻46战5蝴“伏使陆用会Wind矛owsS攀erver垮2003同亿管理工具炊时帆Wind兰ows2验000摩通域控制器需灾要懒SP3螺膏或更高版壁本致”剥中描述的注比册表更改，僚该文章网址跑为居:燥//sup舰port.相micro转soft.优com/d李efaul霜t.as极p贡x?sci见d=325滑46客5茎。另外蚀，某些第三部方操作系统浴不支择持件LDAP琴醉签名。如果岂启用此策略夕设置，使用瘦这些操作系阶统的客户端悼计算机可能穗无法访问域阴资源。竭域控制器：峰拒绝更改机陈器帐户密码桂此策略设置浅确定域控制坊器是否接受螺计算机帐户品的密码更改搜请求。失“露域控制器：扯拒绝更改机寸器帐户密东码想”木设置的可能洽值为：托•迹兄已启用前•愿盯已禁用乡•主降没有定义笔漏洞：如果驱在域中的所沫有域控制器喉上启用此策援略设置，域途成员将不能桂更改其计算蛛机帐户密码冤，并且这些伍密码将更易泄遭受攻击。符对策：禁蜜用齐“轮域贷控催制器：拒绝赵更改机器帐偶户密戒码轧”逐设置讯。半潜在影响：美无。这是默尼认配置。胜域成员：对旧安全通道数乳据进行数字窑加密或签名碎（多个相关歪设置）仙下列策略设盲置确定是否飘与植不能对安全盗通道通信进刊行签名或加晋密的域控制要器建立安全谊通道：勤•佩树洒所域成员：对阔安全通道数句据进行数字棒加密或签名队（总是尤）执•提布笑盒域成员：对斧安全通道数竿据进行数字具加密（如果告可能询）遵•时袜凑吨域成员：对捎安全通道数强据进行数字叉签名（如果渗可能）如果锦启威用油“村域成员：对代安全通道数唉据进行数字惹加密或签名欧（总是臂）耀”授设置，则不弦能与不能对深所有安全通麻道数据进行叹签名或加密营的并任何域控制术器建立安全岗通道。为了万防革止身份验证夸通信受到中搭间人、重播描以及其他类石型的网络攻槐击，基研于网Wind销ows闻的的计算机会怨通过名姿为炼“辉Secur圣eCha牌nnel醋s吐（安全通道碌）猎”曾的脑NetL吉ogon端种来创建通信曾通道。这些眯通道对计算傍机帐户进行恒身份验证，堤当远程用户增连接到网络固资源，而且举该用户的帐冻户存在于受娘信任域中时恐，这些通道把还对用户帐灯户进行身份求验证。这种眨身份验证被食称作通过式庆身份验证，健它允许加入纠到某个域的倡计算机访问遭位于它所在耻的域以及任型何受信任域群中的用户帐杜户数据库。醉注意：要在叉成员工作站乘或服务器上祖启脚用稍“矿域成员：对群安全通道数体据外进行数字加端密或签名（害总是避）吐”科设置在，该成员所持属的域中的礼所有域控制苏器都必须能井够对全部安月全通道数据群进行签名或自加密。这项蚂要求意味着饮所有这类域垒控制器必须赴运砍行窜惯Windo膊wsNT效4.0虹Servi帝cePa摔ck6a挡牲或磨Wind贪ows群紧操作系统的条更高版本。已如果启繁用文“僻域成员：对竿安全通道数站据进行数字艰加密或签名大（总是葡）矩”详设置，则会箱自动启漆用侮“河域成员：对霞安全通道数辆据进行数字财签名（如果阻可能角）窜”搂设置。织此策略设置灿的可能值为砍：蜡•摩释已启用犁•军也已禁用念•快狂没有定义仙漏洞：乞当找Wind椅owsS吊erver蔬被200视3砖、贵Windo削wsX钳P返、惩Windo娱ws20撒00稀亦或警Wind观owsN毒T饼毅计算机加入期某个域时，绣将创建一个茶计倒算机帐户。尊加入该域之躺后，计算机针在每次重新鲁启动时，都圾使用此帐户饿的密码，与政它所在域的敬域控制器创武建一个安全闲通道。在安财全通道上发础送的请求将挪被验证，敏孟感信息（如株密码）将被讨加密，但不再会对通道进勒行完整性检志查，也不会驱加密所有的胁信息。如果刊计算机被配康置为总是对线安全通道数睛据进行加密穗或签名，但的域控制器无弹法对安全通雾道数据的任拥何部分进行便签名或加密水，则计算机率和域控制器净无法建立安仔全通道。如才果捕计铁算机被配置伤为在可能的尊情况下对安哲全违通道数据进旋行加密或签描名，则可以时建立安全通风道，但是会燃对加密和签恭名的级别进迅行协商。对策：肤•袭坏第至将西“牧域成员跨：对安全通枣道数据进行痒数字加密或复签名（总是拾）狂”睛设置配置玩为盈“书已启泳用风”赴。名•衰再机柿将扣“承域成员：对墨安全通道数绝据进行数字韵加密（如果附可能调）伪”语设置配置雅为顷“涉已启支用争”嘱。离•枪政性南将护“团域成员：对夏安全通道数仿据进行数字蔽签名（如果扁可能搞）喜”村设置配置搜为冲“乏已启概用淋”现。下潜在影响：气对木“批安全通蜘道腰”眉进行数字加辟密和签名（靠如果支持的猾话）是一个抄好主意。在贺域凭据被发魂送到域控制沿器时，安全井通道反保睬护这些凭据积。但是，只扇有匆Wind辩owsN魄T4.0软Serv霉iceP残ack6袖a(SP台6a)宿佩和壳Wind众ows铜济操作系统的草后续版本才企支持对安描全通道进行邮数字加密和悬签名永。约Windo泽ws98蓝Seco增ndEd版ition撤听客户端不支练持它（除非榜它们安装兽了糖Dscl良ien础t控）。因此，院对于支持盐将旨Wind偶ows9犹8酸止客户端作为甩域成员的域僻控制器，不款能启缠用阶“仿域成员：对销安全通道数忘据进行数字拦加密或签名绸（总是艺）后”纤设置。潜在虎影响可能包烟括以下情况陡：立•去芽肃创建或删除嘴下级信任关也系的能力将动被禁用。蛛•辫峰本攀从下级客户椒端登录将被斑禁用。蛾•丰云害从下级受信欢任域中对其渣他域的用户贷进行身份验恼证的能力将责被禁用。拥在从域中清冠除所有冻的寿Wind贸ows9网x爹绿客户端、将牙受信妖任嫂/豆信任域中的女所乐有甜Wind打owsN洁T4.0夫都服务器和域厨控制器升级夺到锋Wind北owsN趴T4.0手SP6a疤助之后，可以爬启用此策略释设置。对于所域中的所有降计算机，还肯可以启用另两外两个策略区设置漏：蜓“抗域成员：对搁安全通道数四据进行数字铁加密（如果切可能持）喘”军和菌“旦域成员：对蓄安全通道数赚据进行数字纵签名（如果魄可能岗）清”劫，但前提是妈这些计算机点支持这两个住设置而且不奇影顺响凝下级客户端眠和应用程序绪。现域成员暗：禁用更改膝机器帐户密挠码梢此策略设置峡确定域成员浊是否可以定奸期更改其计曾算机帐户密千码。如果启们用此策略设寇置，域成员孔不能更改其到计吉算机帐户密追码。如果禁三用此策略设久置，将允许谢域成员根四据竹“呈域成员：最击长机器帐户少密码寿旷命际”攀设置更改其边计算机帐户走密码，在默仆认情况下是画每描30裹它天更改一次睡。相警告：请不考要启用此策德略设置。计按算机帐户密式码用于在成命员和域控制要器之间以及见域中的域控军制器之间建饿立安全通道那通信。在建绢立了这类通宝信之后，安植全通道会传靠输进行身份