微软的《windows组策略安全选项》
简介组策略的“安全选项”部分启用或禁用计算机的安全设置,如数据的数字签名、Administrator 和 Guest 帐户的名称、软盘驱动器和 CD-ROM 驱动器访问、驱动程序安装行为和登录提示。包括在本指南中的名为“Windows Default Security and Services Configuration”的 Microsoft Excel 工作簿记录了默认设置。请单击此处下载。
“安全选项”设置可在组策略对象编辑器中的如下位置进行配置:
计算机配置\Windows 设置\安全设置\本地策略\安全选项
帐户
帐户:管理员帐户状态
“帐户:管理员帐户状态”设置允许或禁止在正常操作下使用 Administrator 帐户。在以安全模式启动时,Administrator 帐户总是处于启用状态,而与此设置无关。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
对于某些组织来说,定期更改本地帐户的密码可能会是很大的管理挑战,因此它们可能希望禁用内置的 Administrator 帐户。考虑禁用这个内置帐户的另一个原因是,在默认情况下,无论对它进行了多少次失败的登录,它都不能进行锁定。这会使其成为暴力密码猜测攻击的主要目标。另外,此帐户还有一个众所周知的安全标识符 (SID),而且第三方工具允许您通过指定该 SID(而非帐户名),通过网络进行身份验证。这意味着,即使您已经重命名了 Administrator 帐户,攻击者也可能会使用该 SID 启动暴力攻击。
对策
将“帐户:管理员帐户状态”设置配置为“禁用”,以便内置的 Administrator 帐户不再可用。
潜在影响
在某些情况下,禁用 Administrator 帐户可能会造成维护问题。例如,在域环境中,如果组成连接的安全通道因某种原因而失败,而且没有其他本地 Administrator 帐户,则您必须以安全模式重新启动才能修复这个中断连接状态的问题。
如果当前的 Administrator 密码不满足密码要求,Administrator 帐户被禁用之后,无法重新启用。在这种情况下,Administrators 组的另一个成员必须通过使用“本地用户和组”工具来为 Administrator 帐户设置密码。
帐户:来宾帐户状态
“帐户:来宾帐户状态”设置确定 Guest 帐户是处于启用还是禁用状态。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
该帐户允许未经身份验证的网络用户以没有密码的“Guest”身份登录,从而获得访问系统的权限。未经授权的用户能够通过网络访问 Guest 帐户可访问的任何资源。这意味着任何具有允许 Guest 帐户、Guests 组或 Everyone 组进行访问的权限的网络共享资源,都可以通过网络对其进行访问。从而可能导致数据暴露或损坏。
对策
将“帐户:来宾帐户状态”设置配置为“禁用”,以便内置的 Guest 帐户不再可用。
潜在影响
所有的网络用户都将必须先进行身份验证,才能访问系统上的共享资源。如果 Guest 帐户被禁用,而且“网络访问:共享和安全模型”选项被设置为“仅来宾”,则网络登录(如由 Microsoft 网络服务器(服务器消息块 (SMB) 服务)执行的网络登录)将失败。对于大多数组织来说,影响应该会很小,因为它是 Microsoft Windows 2000、Windows XP 和 Microsoft Windows Server 2003 中的默认设置。
帐户:使用空白密码的本地帐户只允许进行控制台登录
“帐户:使用空白密码的本地帐户只允许进行控制台登录”设置确定是否允许网络服务(如终端服务、Telnet 和文件传输协议 (FTP))使用空白密码的本地帐户进行远程交互式登录。如果此设置处于启用状态,则本地帐户必须有一个非空密码,才能使用它从远程客户端执行交互式登录或网络登录。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
注意:此设置不影响在控制台上以物理方式执行的交互式登录,也不影响使用域帐户的登录。
警告:使用远程交互式登录的第三方应用程序有可能跳过此设置。
漏洞
空白密码会对计算机安全造成严重威胁,应当通过企业策略和适当的技术措施来禁止它们。实际上,Windows Server 2003 Active Directory 域的默认设置需要至少包含七个字符的复杂密码。不过,如果能够创建新帐户的用户设置了一个密码,而且该密码已经跳过您的基于域的密码策略,则该帐户可以具有空白密码。例如,某个用户可以构建一个独立的系统,创建一个或多个具有空白密码的帐户,然后将该计算机加入到域中。具有空白密码的本地帐户仍将正常工作。这样,知道帐户名的任何人都可以使用具有空白密码的帐户来登录系统。
对策
启用“帐户:使用空白密码的本地帐户只允许进行控制台登录”设置。
潜在影响
无,这是默认配置。
帐户:重命名管理员帐户
“帐户:重命名管理员帐户”设置确定另一个帐户名是否与 Administrator 帐户的 SID 相关联。
这个组策略设置可能的值如下:
? 用户定义的文本
? 没有定义
漏洞
因为 Administrator 帐户存在于所有的 Windows 2000、Windows Server 2003 和 Windows XP Professional 计算机上,所以,重命名该帐户会使那些未经授权的人更难猜测这个具有特权的用户名和密码组合。
在默认情况下,无论攻击者使用多少次错误密码,内置的 Administrator 帐户都不能被锁定,这使得 Administrator 帐户成为暴力密码猜测攻击的常见目标。这个对策的值之所以减少,是因为此帐户有一个众所周知的 SID,而且第三方工具允许您通过指定该 SID(而非帐户名),通过网络启动暴力攻击。这意味着,即使您已经重命名了 Administrator 帐户,攻击者也可能会使用该 SID 启动暴力攻击。
对策
通过在“帐户:重命名管理员帐户”设置中指定新名称来重命名 Administrator 帐户。
注意:在以后的模块中,您将发现此设置既未在安全模板中进行配置,也不是本指南所建议帐户的新用户名。这样做是为了让阅读本指南的许多组织不会在其环境中实现同样的新用户名。
潜在影响
您必须将这个新帐户名通知给授权使用此帐户的用户。
帐户:重命名来宾帐户
“帐户:重命名来宾帐户”设置确定另一个帐户名是否与 Guest 帐户的 SID 相关联。
这个组策略设置可能的值如下:
? 用户定义的文本
? 没有定义
漏洞
因为 Guest 帐户存在于所有的 Windows 2000、Windows Server 2003 和 Windows XP Professional 计算机上,所以,重命名 Guest 帐户会使那些未经授权的人更难猜测这个具有特权的用户名和密码组合。
对策
通过在“帐户:重命名来宾帐户”设置中指定值来重命名 Guest 帐户。
注意:在以后的模块中,您将发现此设置既未在安全模板中进行配置,也不是本指南所建议帐户的新用户名。这样做是为了让阅读本指南的许多组织将不在其环境中实现同样的新用户名。
潜在影响
影响应该会很小,因为在默认情况下,Guest 帐户由 Windows 2000、Windows XP 和 Windows Server 2003 禁用。
审核
审核:对全局系统对象的访问进行审核
启用“审核:对全局系统对象的访问进行审核”设置会创建带有默认的系统访问控制列表 (SACL) 的系统对象,如多用户终端执行程序、事件、信号灯和 MS-DOS? 操作系统设备。如果“审核对象访问审核”设置也被启用,则会审核对这些系统对象的访问。
全局系统对象(又被称作“基本系统对象”或“基本命名对象”是存活时间很短的内核对象,它们的名称是由创建它们的应用程序或系统组件分配的。这些对象经常用于同步多个应用程序或一个复杂应用程序的多个部分。由于这些对象具有一个名称,因此它们在作用域内是全局的,从而对于系统上的所有进程均可见。这些对象都具有一个安全描述符,但是它们通常有一个空的系统访问控制列表。如果在启动时启用此设置,会导致在创建这些对象时,内核向它们分配一个系统访问控制列表。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
威胁是如果没有正确地保护某个全局可见的命名对象,则知道该对象名称的恶意程序可能会针对该对象进行操作。例如,如果某个同步对象(如多用户终端执行程序)有一个错误选择的随机访问控制列表 (DACL),则恶意程序可以按名称访问这个多用户终端执行程序,并且导致创建这个多用户终端执行程序的程序无法正常工作,但是,出现这种情况的风险会非常低。
对策
启用“审核:对全局系统对象的访问进行审核”设置。
潜在影响
启用此设置可能会生成大量安全事件,尤其是在繁忙的域控制器和应用程序服务器上。这可能导致服务器响应缓慢,并迫使安全事件日志记录许多无关紧要的事件。对全局系统对象访问的审核是一种“有或无”活动;无法筛选哪些事件会被记录、哪些事件不被记录。即使组织中有能够分析通过启用此设置所生成事件的资源,它们也不可能具有每个命名对象的源代码或关于其用途的说明。因此,对于许多组织来说,启用此设置,是不可能有什么好处的。
审核:对备份和还原权限的使用进行审核
“审核:对备份和还原权限的使用进行审核”设置确定在“审核权限使用”设置生效时,是否对所有用户权限(包括“备份和还原”权限)的使用进行审核。启用这两个策略会为备份或还原的每个文件都生成一个审核事件。
如果启用此设置和“审核权限使用”设置,就会在安全日志中记录所使用的用户权限的任何实例。如果禁用此设置,则在用户使用备份或还原权限时,这些事件将不被审核,即使“审核权限使用”设置被启用时也是如此。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
如果同时启用此选项和“审核权限使用”设置,就会为备份或还原的每个文件生成一个审核事件,这会帮助您跟踪以未经授权的方式意外或恶意还原数据的管理员。
对策
将“对备份和还原权限的使用进行审核”设置为值“禁用”。
潜在影响
启用此设置可能会生成大量安全事件,造成服务器响应缓慢,并迫使安全事件日志记录许多无关紧要的事件。
审核:如果无法记录安全审核则立即关闭系统
“审核:如果无法记录安全审核则立即关闭系统”设置确定在无法记录安全事件时是否关闭系统。此设置是可信计算机系统评测标准 (TCSEC)(C2 和通用标准认证)的一个要求 - 在审核系统无法记录可审核事件时,防止出现这些事件。Microsoft 已经选择通过以下方法来满足这一要求:在无法审核系统时,暂停系统并显示一个 Stop 消息。启用此设置会在因任何原因而无法记录安全审核时停止系统。通常,当安全审核日志已满,而且为它指定的保留方法为“不要改写事件”或“按天数覆盖事件”时,将无法记录事件。
如果启用此选项,则在安全日志已满,而且现有条目不能被覆盖时,就会出现下面的 Stop 消息:
STOP:C0000244 {审核失败}
未能生成安全审核。
要进行恢复,管理员必须登录,对日志进行存档(可选),清除日志,然后根据需要重置此选项。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
如果计算机无法将事件记录到安全日志中,则在出现安全事件之后,可能无法使用关键的证据或重要的疑难解答信息来进行审查。
对策
将“如果无法记录安全审核则立即关闭系统”设置为“启用”。
潜在影响
启用此设置的管理负担可能会非常高,尤其是当您还将“安全日志的保留方法”配置为“不要改写事件(手动清除日志)”时更是如此。此设置会将抵赖威胁(备份操作员可能否认他们备份或还原了数据)转换为拒绝服务 (DoS) 漏洞,因为服务器会因写入到安全日志中的大量登录事件和其他安全事件而被迫关闭。另外,由于是非正常关闭,因此可能会对操作系统、应用程序或数据造成不可修复的损害。尽管 NTFS 文件系统 (NTFS) 将保证在系统非正常关闭过程中保持文件系统的完整性,但是它不能保证在系统重新启动时,每个应用程序的每个数据文件都仍然处于可用状态。
设备
设备:允许不登录移除
“设备:允许不登录移除”设置确定为了从扩展坞移除便携式计算机,用户是否必须登录才能请求权限。如果启用此设置,就会允许用户通过按便携式计算机上的物理弹出按钮来移除计算机。如果禁用此设置,就会要求用户必须登录才能获取移除权限。只有具有“从扩展坞移除计算机”特权的用户才能获得此权限。
注意:只有针对不能以机械方式移除的便携式计算机,才禁用此设置。否则,在启用此设置时,会允许用户在不能登录且弹出按钮不奏效时以物理方式移除计算机。
漏洞
如果启用此设置,则意味着任何人只要能够物理访问放置在其扩展坞中的计算机,就都可以移除该计算机并有可能损害它。对于没有扩展坞的计算机,此设置没有任何影响。但是,如果用户通常将其位于办公室中的移动计算机固定在扩展坞中,则此设置将有助于降低设备被窃或者攻击者获取对这些计算机物理访问的风险。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
对策
禁用“设备:允许不登录移除”设置。
潜在影响
已经固定其计算机的用户将必须先登录到本地控制台,才能移除其系统。
设备:允许格式化和弹出可移动媒体
“设备:允许格式化和弹出可移动媒体”设置确定允许谁格式化和弹出可移动媒体。
这个组策略设置可能的值如下:
? Administrators
? Administrators 和 Power Users
? Administrators 和 Interactive Users
? 没有定义
漏洞
用户可以将可移动磁盘移到他们具有管理特权的另一台计算机上,然后,可以获取任何文件的所有权,授予自己完全控制权限,查看或修改任何文件。因为大多数可移动存储设备都可以通过按一个按钮来弹出媒体,所以此设置的优势会有所减弱。
对策
将“允许格式化和弹出可移动媒体”设置为“Administrators”。
潜在影响
只有管理员才能够弹出 NTFS 格式化的可移动媒体。
设备:防止用户安装打印机驱动程序
对于要打印到某个网络打印机的计算机,必须在本地计算机上安装该网络打印机的驱动程序。“设备:防止用户安装打印机驱动程序”安全设置确定谁可以安装打印机驱动程序(作为添加网络打印机的一部分)。启用此设置将只允许 Administrators 和 Power Users 安装打印机驱动程序(作为添加网络打印机的一部分)。禁用此设置将允许所有用户安装打印机驱动程序(作为添加网络打印机的一部分)。此设置禁止没有权限的用户下载和安装不受信任的打印机驱动程序。
注意:如果管理员已经配置了下载驱动程序的受信任路径,则此设置没有任何影响。在使用受信任路径时,打印子系统尝试使用受信任路径下载驱动程序。如果受信任路径下载成功,则可以代表任何用户安装驱动程序。如果受信任路径下载失败,则驱动程序不会进行安装,网络打印机不进行添加。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
尽管在某些组织中允许用户在其各自的工作站上安装打印机驱动程序可能是适当的,但这对于服务器来说并不恰当。在服务器上安装打印机驱动程序可能会在无意中使系统变得更不稳定。只有管理员在服务器上具有此特权。恶意用户可能试图通过故意安装不适当的打印机驱动程序来损害系统。
对策
将“设备:防止用户安装打印机驱动程序”设置为值“启用”。
潜在影响
只有具有 Administrative、Power User 或 Server Operator 特权的用户才能够在服务器上安装打印机。如果此设置被启用,但是网络打印机的驱动程序已经存在于本地计算机上,则用户仍可以添加网络打印机。此设置不影响添加本地打印机的能力。
设备:只有本地登录的用户才能访问 CD–ROM
“设备:只有本地登录的用户才能访问 CD–ROM”设置确定本地用户和远程用户是否都可以访问 CD–ROM。启用此设置将只允许以交互方式登录的用户访问可移动的 CD–ROM 媒体。如果启用了此设置,且没有人交互登录,则可以通过网络访问 CD–ROM。
这些组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
此对策没有什么太大的好处,因为它只是在某人登录到系统的本地控制台时,禁止网络用户同时访问驱动器。另外,CD-ROM 驱动器不会自动成为由网络共享使用,管理员必须专门选择共享此驱动器。当管理员正在从某个 CD-ROM 安装软件或复制数据,而且他们不希望网络用户能够从该 CD-ROM 查看数据或执行应用程序时,这将非常重要。
对策
启用“只有本地登录的用户才能访问 CD–ROM 驱动器”设置。
潜在影响
当有人登录到服务器的本地控制台时,通过网络连接到服务器的用户将无法使用安装在服务器上的任何 CD–ROM 磁盘驱动器。对于充当网络用户 CD 点唱机的系统,此设置不适合。
设备:只有本地登录的用户才能访问软盘
“设备:只有本地登录的用户才能访问软盘”设置确定本地和远程用户是否都可以同时访问可移动的软盘媒体。启用此设置将只允许以交互方式登录的用户访问可移动的软盘媒体。如果启用了此设置,且没有人交互登录,则可以通过网络访问软盘。
这些组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
此对策没有什么太大的好处,因为它只是在某人登录到系统的本地控制台时,禁止网络用户同时访问驱动器。另外,软盘驱动器不会自动成为由网络共享使用,管理员必须专门选择共享此驱动器。当管理员正在从某个软盘安装软件或复制数据,而且他们不希望网络用户能够从该软盘查看数据或执行应用程序时,这将变得非常重要。
对策
启用“只有本地登录的用户才能访问软盘”设置。
潜在影响
当有人登录到服务器的本地控制台时,通过网络连接到服务器的用户将无法使用安装在服务器上的任何软盘驱动器。
设备:未签名驱动程序的安装操作
“设备:未签名驱动程序的安装操作”设置确定在尝试安装未经 Windows Hardware Quality Lab (WHQL) 认证的设备驱动程序(使用安装应用程序编程接口 (Setup API))时,将发生的操作。
这个组策略设置可能的值如下:
? 默认继续
? 允许安装但发出警告
? 禁止安装
? 没有定义
漏洞
此选项可以防止安装未经签名的驱动程序,或向管理员发出警告指出有人要安装未经签名的驱动程序软件。这可能会禁止通过 Setup API 安装尚未通过认证在 Windows Server 2003 上运行的驱动程序。此设置将不会禁止某些攻击工具使用某种方法来复制和注册恶意的 .sys 文件,从而将这些文件作为系统服务启动。
对策
将“未签名驱动程序的安装操作”设置为值“允许安装但发出警告”。这与 Windows Server 2003 中的默认设置(即,“没有定义”)有所不同。
潜在影响
如果用户具有安装设备驱动程序的足够特权,则他们将能够安装未签名的设备驱动程序。但是,这可能会导致系统服务器产生稳定性问题。如果将“未签名驱动程序的安装操作”设置为“允许安装但发出警告”,还可能出现另一个问题,那就是,无人参与的安装脚本在尝试安装未签名驱动程序时将会失败。
域控制器
域控制器:允许服务器操作员计划任务
“域控制器:允许服务器操作员计划任务”设置确定是否允许服务器操作员通过 AT 计划工具提交作业。
注意:这个安全选项只影响 AT 计划工具;它不影响“任务计划程序”工具。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
如果启用此设置,则意味着,由服务器操作员通过 AT 服务创建的作业将在运行该服务的帐户的上下文中执行。在默认情况下,这是本地的 SYSTEM 帐户,这意味着服务器操作员可以执行 SYSTEM 能够执行、但是他们通常无法执行的任务,如将他们的帐户添加到本地 Administrators 组中。
对策
禁用“域控制器:允许服务器操作员计划任务”设置。
潜在影响
对于大多数组织来说,影响会很小。用户(包括 Server Operators 组的用户)仍然可以通过“任务计划程序向导”创建作业,但这些作业运行的上下文将是用户设置作业时进行身份验证所用帐户的上下文。
域控制器:LDAP 服务器签名要求
“域控制器:LDAP 服务器签名要求”安全设置确定轻型目录访问协议 (LDAP) 服务器是否要求 LDAP 客户端协商数据签名。
这个组策略设置可能的值如下:
? 无
数据签名不是与服务器绑定所必需的。如果客户端请求数据签名,则服务器会支持它。
? 要求签名
除非使用传输层安全性/安全套接字层 (TLS/SSL),否则必须协商 LDAP 数据签名选项。
? 没有定义
漏洞
未签名的网络通信易受“中间人”攻击(入侵者捕获服务器和客户端之间的数据包,并在将它们转发到客户端之前进行修改)的影响。在 LDAP 服务器环境中,这意味着攻击者可以让客户端根据来自 LDAP 目录的错误记录作出决策。通过在企业网络中实现强物理安全措施来降低攻击者提取这些信息的风险,从而保护网络基础结构。而且,实现 Internet 协议安全 (IPSec) 身份验证头模式 (AH) 可以针对 Internet 协议 (IP) 通信执行相互的身份验证和数据包完整性,从而使所有类型的“中间人”攻击变得极其困难。
对策
将“域控制器:LDAP 服务器签名要求”设置为“要求签名”。
潜在影响
不支持 LDAP 签名的客户端将无法针对域控制器执行 LDAP 查询。这意味着,在组织中,使用 Windows NT? 质询/响应 (NTLM) 验证和 Windows 2003 Server Administration 从基于 Windows Server 2003 或 Windows XP – 的计算机进行管理的所有计算机,都必须安装 Windows 2000 Service Pack 3 (SP3),或者必须按照 Microsoft 知识库文章 Q325465“Windows 2000 Domain Controllers Require SP3 or Later When Using Windows Server Administration Tools”(位于 [url=http://support.microsoft.com/default.aspx?scid=325465]http://support.microsoft.com/default.aspx?scid=325465[/url](英文)上)中的说明在这些客户端更改注册表。
域控制器:拒绝更改机器帐户密码
“域控制器:拒绝更改机器帐户密码”设置确定域控制器是否接受计算机帐户的密码更改请求。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
如果针对某个域中的所有域控制器都启用此设置,就会禁止域成员更改其计算机帐户的密码。而这会使这些密码易受攻击。
对策
禁用“域控制器:拒绝更改机器帐户密码”设置。
潜在影响
无,这是默认设置。
域成员
域成员:对安全通道数据进行数字加密或签名(多个相关设置)
下列设置确定是否与不能对安全通道通信进行签名或加密的域控制器建立安全通道:
? 域成员:对安全通道数据进行数字加密或签名(总是)
? 域成员:对安全通道数据进行数字加密(如果可能)
? 域成员:对安全通道数据进行数字签名(如果可能)
启用“域成员:对安全通道数据进行数字加密或签名(总是)”会禁止与不能对所有安全通道数据进行签名或加密的任何域控制器建立安全通道。
为了防止身份验证通信受到“中间人”、重播以及其他类型的网络攻击,Windows 计算机会通过名为 Secure Channels(安全通道)的 NetLogon 来创建通信通道。这些通道对计算机帐户进行身份验证。当远程用户连接到网络资源,而且该用户的帐户存在于受信任域中时,这些通道还对用户帐户进行身份验证。这被称作通过式身份验证,它允许加入到某个域且运行 Windows 的计算机访问位于它所在的域以及任何受信任域中的用户帐户数据库。
注意:要针对某个成员工作站或服务器启用“域成员:对安全通道数据进行数字加密或签名(总是)”设置,该成员所属的域中的所有域控制器都必须能够对全部安全通道数据进行签名或加密。这意味着所有这些域控制器都必须运行带有 Service Pack 6a 或更高版本的 Windows NT 4.0。
启用“域成员:对安全通道数据进行数字加密或签名(总是)”设置会自动启用“域成员:对安全通道数据进行数字签名(如果可能)”设置。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
当 Windows Server 2003 系统加入某个域时,将创建一个计算机帐户。在加入该域之后,计算机在每次重新启动时,都使用此帐户的密码,与它所在域的域控制器创建一个安全通道。在安全通道上发送的请求将被验证,敏感信息(如密码)将被加密,但不会对通道进行完整性检查,也不会加密所有的信息。如果将系统设置为总是对安全通道数据进行加密或签名,则该系统将无法与不能对所有安全通道通信进行签名或加密的域控制器建立安全通道,因为所有安全通道数据都是经过签名和加密的。如果计算机被配置为在可能的情况下对安全通道数据进行加密或签名,则可以建立安全通道,但是会对加密和签名的级别进行协商。
对策
? 将“域成员:对安全通道数据进行数字加密或签名(总是)”设置为值“启用”。
? 将“域成员:对安全通道数据进行数字加密(如果可能)”设置为值“启用”。
? 将“域成员:对安全通道数据进行数字签名(如果可能)”设置为值“启用”。
潜在影响
对“安全通道”进行数字加密和签名(如果支持的话)是一个好主意。在域凭据被发送到域控制器时,安全通道保护这些凭据。但是,只有 Windows NT 4.0 Service Pack 6a (SP6a) 或更高版本才支持对安全通道进行数字加密和签名。Windows 98 Second Edition 客户端不支持它(除非它们安装了 dsclient)。因此,对于支持将 Windows 98 客户端作为域成员的域控制器,不能启用“域成员:对安全通道数据进行数字加密或签名(总是)”设置。潜在影响可能包括:禁用创建或删除低级别信任关系的能力、禁用从低级别客户的登录、无法从低级别受信任域中对其他域的用户进行身份验证。
在从域中清除所有的 Windows 9x 客户端、将受信任/信任域中的所有 Windows NT 4.0 服务器和域控制器升级到 Windows NT 4.0 SP6a 之后,可以启用此设置。对于域中的所有计算机,还可以启用另外两个设置:“域成员:对安全通道数据进行数字加密(如果可能)”和“对安全通道数据进行数字签名(如果可能)”,但前提是这些计算机支持这两个设置而且不影响低级别客户端和应用程序。
域成员:禁用更改机器帐户密码
“域成员:禁用更改机器帐户密码”设置确定域成员是否可以定期更改其计算机帐户密码。启用此设置可防止域成员更改其计算机帐户密码。禁用此设置会允许域成员更改它的计算机帐户密码,其间隔由“域成员:最长机器帐户密码寿命”的设置指定,在默认情况下是每 30 天更改一次。
警告:不要启用此设置。计算机帐户密码用于在成员和域控制器之间以及域中的域控制器之间建立安全通道通信。在安全通道建立之后,它会传输进行身份验证和作出授权决策所必需的敏感信息。
使用此设置,不要尝试支持使用同一个计算机帐户的双引导方案。如果您希望对加入到同一个域中的两个安装进行双引导,请赋予这两个安装不同的计算机名。此设置已加入到 Windows,这更便于组织贮存在数月之后投入生产的预置系统,以便这些计算机不必重新加入到域中。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
运行 Windows Server 2003 的域计算机的默认配置是,每隔 30 天自动要求更改一次其帐户密码。禁用此功能会导致运行 Windows Server 2003 的计算机保持与其计算机帐户相同的密码。如果计算机不能再自动更改其帐户密码,则它会处于攻击者可确定该系统域帐户密码的危险之中。
对策
验证“域成员:禁用更改机器帐户密码”选项是否被设置为“禁用”。
潜在影响
无,这是默认设置。
域成员:最长机器帐户密码寿命
“域成员:最长机器帐户密码寿命”设置确定计算机帐户密码的最长允许期限。此设置还可以应用于 Windows 2000 计算机,但不能通过这些计算机上的“安全配置管理器”工具来使用。
这个组策略设置可能的值如下:
? 用户定义的天数,介于 0 和 999 之间
? 没有定义
漏洞
在基于 Active Directory – 的域中,与每个用户一样,每台计算机都有一个帐户和密码。默认情况下,域成员每隔 30 天自动更改其域密码。如果显著增加此时间间隔或将其设置为 0,都会导致计算机不再更改其密码,那么攻击者会有更多的时间对其中一个计算机帐户强制进行密码破解攻击。
对策
将“域成员:最长机器帐户密码寿命”设置配置为“30 天”。
潜在影响
无,这是默认值。但是,如果组织预置系统,然后将它们存储起来以便日后使用,或者将它们发送到远程位置,则在计算机的帐户过期之后,系统将不再能够向域验证身份。必须从域中删除不能向域验证身份的系统,并将它们重新加入到域中。因此,一些组织可能希望为预置的计算机创建一个特殊的组织单元,并将此设置的值配置为更长的天数。
域成员:需要强(Windows 2000 或以上版本)会话密钥
“域成员:需要强(Windows 2000 或以上版本)会话密钥”设置确定是否可以用强的 128 位会话密钥,与不能加密安全通道通信的域控制器建立安全通道.如果启用此设置,会禁止与不能用强密钥加密安全通道数据的任何域控制器建立安全通道。如果禁用此设置,则允许使用 64 位会话密钥。
注意:要针对某个成员工作站或服务器启用此设置,该成员所属的域中的所有域控制器都必须能够用强的 128 位密钥加密安全通道数据。这意味着所有这些域控制器都必须运行 Windows 2000 或更高版本。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
用于在域控制器和成员计算机之间建立安全通道通信的会话密钥,在 Windows 2000 中的强度比在以前的 Microsoft 操作系统中要大。
如有可能,您应当利用这些更强的会话密钥来帮助防止安全通道通信受到偷听和会话劫持网络攻击。偷听是一种形式的窃取,网络数据会在传输过程中被读取或修改。数据可被修改以隐藏或更改发送方,或者被重定向。
对策
将“域成员:需要强(Windows 2000 或以上版本)会话密钥”设置为“启用”。
启用此设置可确保所有传出的安全通道通信要求强(Windows 2000 或更高版本)加密密钥。禁用此设置会要求对密钥强度进行协商。只有当所有受信任域中的域控制器都支持强密钥时才启用此选项。在默认情况下,此值是“禁用”。
潜在影响
您无法将启用了此设置的计算机加入到 Windows NT 4.0 域中,也无法将不支持此设置的计算机加入到其中的域控制器启用了此设置的域中。
交互式登录
交互式登录:不显示上次的用户名
“交互式登录:不显示上次的用户名”设置确定“登录到 Windows”对话框中是否显示上次登录到该计算机的用户的名称。如果启用此设置,就不会在“登录到 Windows”对话框中显示上次成功登录的用户的名称。如果禁用此设置,就会显示上次登录的用户的名称。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
能够访问控制台的攻击者(例如,能够物理访问的人或者能够通过终端服务连接到服务器的人)可以查看上次登录到服务器的用户的名称。攻击者随后尝试通过以下方法来登录服务器:猜测密码,使用字典或者借助于暴力攻击。
对策
将“不在登录屏幕上显示上次的用户名”设置为值“启用”。
潜在影响
用户在登录服务器时,必须始终键入其用户名。
交互式登录:不需要按 Ctrl+Alt+Del
“交互式登录:不需要按 Ctrl+Alt+Del”设置确定用户是否需要按 Ctrl+Alt+Del 才能登录。如果在某台计算机上启用此设置,就会允许用户在不按 Ctrl+Alt+Del 的情况下进行登录。禁用此设置将要求用户在登录到 Windows 之前按 Ctrl+Alt+Del,除非他们使用智能卡进行 Windows 登录。智能卡是一种用来存储安全信息的防篡改设备。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
Microsoft 之所以开发此功能,是为了更便于身体有某种残疾的用户登录到运行 Windows 的计算机。不必按 Ctrl+Alt+Del 组合键会使用户很容易受到尝试截获其密码的攻击。如果要求用户在登录之前按 Ctrl+Alt+Del,就会确保用户在输入其密码时,通过受信任路径进行通信。
攻击者可能会安装看似标准 Windows 登录对话框的特洛伊木马程序,并捕获用户的密码。攻击者随后将能够使用该用户具有的特权级别登录到被侵入的帐户。
对策
将“无需按 Ctrl+Alt+Del 即可登录”设置为“禁用”。
潜在影响
除非用户使用智能卡进行登录,否则他们必须同时按这三个键,才能出现登录对话框。
交互式登录:用户试图登录时消息文字
“交互式登录:用户试图登录时消息文字”和“交互式登录:用户试图登录时消息标题”设置紧密相关。“交互式登录:用户试图登录时消息文字”指定用户登录时显示给他们的消息文字,“交互式登录:用户试图登录时消息标题”指定显示在包含消息文字的窗口的标题栏中的标题。这些文本通常出于法律目的,例如警告用户误用公司信息的后果,或者警告用户他们的操作可能被审核。
警告:Windows XP Professional 添加了如下支持:配置长度可以超过 512 个字符、而且还可以包含回车换行序列的登录标题。但是,Windows 2000 客户端不能理解和显示由 Windows XP Professional 计算机创建的消息文字。您必须使用 Windows 2000 计算机创建适用于 Windows 2000 计算机的登录消息策略。如果您在无意中使用 Windows XP Professional 计算机创建了一个登录消息策略,但是发现它不能在 Windows 2000 计算机上正确地显示,请执行下列操作:
? 取消对该设置的定义。
? 使用 Windows 2000 计算机重新定义该设置。
如果只是使用 Windows 2000 计算机来更改由 Windows XP Professional 定义的登录消息设置,将不会奏效。必须首先取消对该设置的定义。
这些组策略设置可能的值如下:
? 用户定义的文本。
? 没有定义
漏洞
如果不利用这个警告消息设置,会使组织更容易在法律上遭受非法入侵网络的侵犯。已经制定了如下法律先例:如果组织向通过网络连接到其服务器的用户显示警告,起诉侵犯的成功率就会较高。
对策
将“用户试图登录时消息文字”设置为下面的消息值:
此系统仅限授权用户使用。尝试进行未经授权访问的个人将受到起诉。如果未经授权,请立即停止访问!单击“确定”表明您接受背景中的信息。
将“用户试图登录时消息标题”设置为:
继续在没有适当授权的情况下使用是违法行为。
同时应用这两个设置。
注意:所显示的任何警告消息应先经您所在组织的法律代表和人力资源代表的许可。
潜在影响
用户在登录到服务器控制台之前将看到一个对话框。
交互式登录:可被缓存的前次登录个数(在域控制器不可用的情况下)
“交互式登录:可被缓存的前次登录个数(在域控制器不可用的情况下)”设置确定用户是否可以使用缓存的帐户信息登录到 Windows 域。域帐户的登录信息可以被本地缓存,以便在无法就后续登录联系域控制器时,用户仍可以登录。此设置可以确定其登录信息在本地缓存的唯一用户的个数。
如果某个域控制器不可用,某个用户的登录信息被缓存,则该用户会被提示以下消息:
不能联系您的域中的域控制器。您已经使用缓存的帐户信息登录。由于您上次登录的域控制器可能不可用,因此请更改您的配置文件。
如果某个域控制器不可用,某个用户的登录信息未被缓存,则该用户会被提示以下消息:
现在不能登录该系统,因为 <DOMAIN_NAME> 域不可用。
这个组策略设置可能的值如下:
? 用户定义的数字,介于 0 和 50 之间
? 没有定义
漏洞
分配给此设置的数字指出服务器在本地缓存多少个用户的登录信息。如果该数字被设置为 10,则服务器缓存 10 个用户的登录信息。当第 11 个用户登录到该计算机时,服务器会覆盖最旧的缓存登录会话。
访问服务器控制台的用户会将其登录凭据缓存到该服务器上。能够访问服务器文件系统的攻击者可以查找这个缓存信息,并使用暴力攻击确定用户密码。
Windows 可通过以下方法减轻这种类型的攻击:加密该信息,并将分散在多个物理位置的缓存凭据保持在系统的注册表中。
对策
将“可被缓存的前次登录个数(在域控制器不可用的情况下)”设置为“0”。将此值设置为 0 可禁用在本地缓存登录信息。
其他对策包括强制使用强密码策略并对计算机进行物理保护。
潜在影响
如果用户无法向任何域控制器验证其身份,他们将无法登录任何计算机。对于最终用户系统(尤其是移动用户),组织可能希望将此值设置为 2。如果将此值设置为 2,则意味着用户的登录信息仍将位于缓存中,即使 IT 部门的某个成员最近登录过用户的计算机以执行系统维护时也是如此。这样,当这些用户未连接到企业网络时,他们将能够登录其计算机。
交互式登录:在密码到期前提示用户更改密码
“交互式登录:在密码到期前提示用户更改密码”设置确定提前多少天提醒用户其密码即将到期。有了这个提前警告,用户就有时间创建足够强的密码。
这个组策略设置可能的值如下:
? 用户定义的天数,介于 1 和 999 之间
? 没有定义
漏洞
建议将用户密码配置为定期过期。用户将需要关于其密码即将过期的警告,否则他们会无意中因系统锁定而无法登录。这可能会导致用户在本地访问网络时造成混乱,或者使通过拨号或虚拟专用网络 (VPN) 连接访问组织网络的用户无法登录到网络。
对策
将“在密码到期前提示用户更改密码”设置为“14 天”。
潜在影响
当用户的密码过期日期是 14 天或更短时,用户在每次登录到域时都将看到一个对话框。 交互式登录:要求域控制器身份验证以解锁工作站
对已锁定计算机进行解锁时需要登录信息。对于域帐户,“交互式登录:要求域控制器身份验证以解锁工作站”设置确定为了解锁计算机是否有必要联系域控制器。如果启用此设置,会要求域控制器验证用来解锁计算机的域帐户的身份。如果禁用此设置,会允许用户在不使用域控制器验证登录信息的情况下解锁计算机。但是,如果“交互式登录:可被缓存的前次登录个数(在域控制器不可用的情况下)”被设置为大于零的值,则用户的缓存凭据将用于解锁系统。
注意:此设置适用于 Windows 2000 计算机,但不能通过这些计算机上的“安全配置管理器”工具来使用。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
计算机将已通过身份验证的任何用户的凭据缓存在本地内存中。计算机使用这些缓存凭据来对尝试解锁控制台的任何人进行身份验证。
如果使用缓存凭据,将不考虑或应用在这个身份验证过程之后对帐户进行的任何最新更改(如用户权限分配、帐户锁定或禁用帐户)。这意味着不仅不更新用户特权,而且更重要的是,被禁用的帐户仍能够解锁系统的控制台。
对策
将“交互式登录:要求域控制器身份验证以解锁工作站”设置为“启用”,将“交互式登录:可被缓存的前次登录个数(在域控制器不可用的情况下)”设置为 0。
潜在影响
如果某台计算机上的控制台由某个用户锁定,或者因屏幕保护程序超时而自动被锁定时,则只有当该用户重新向域控制器验证自己的身份时,该控制台才能被解锁。如果没有可用的域控制器,则用户不能解锁他们的工作站。
交互式登录:要求智能卡
“交互式登录:要求智能卡”安全设置要求用户使用智能卡登录计算机。
注意:此设置适用于 Windows 2000 计算机,但不能通过这些计算机上的“安全配置管理器”工具来使用。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
要求用户使用又长又复杂的密码进行身份验证可增强网络安全性,当用户必须定期更改其密码时尤其如此。这会减少攻击者通过暴力攻击猜出用户密码的机会。使用智能卡(而非密码)来进行身份验证会大大增强安全性,这是由于,使用当今的技术,攻击者几乎不可能模拟另一个用户。需要个人识别码 (PIN) 的智能卡提供双因素身份验证:尝试登录的用户必须既拥有智能卡又知道它的 PIN。捕获到用户计算机和域控制器之间身份验证通信的攻击者会发现很难对该通信进行解密,而且即使他们进行了解密,用户在下次登录网络时,也会生成一个新的会话密钥,用来加密用户计算机和域控制器之间的通信。
对策
启用“交互式登录:要求智能卡”设置。
潜在影响
所有的用户将必须使用智能卡登录网络;这意味着组织将必须针对所有用户拥有可靠的公钥基础结构 (PKI)、智能卡以及智能卡读取器。这些会带来巨大的挑战,因为这些技术的规划和部署需要专业知识和资源。但是,Windows Server 2003 包括证书服务(一个用来实现和管理证书的非常高级的服务器),当与 Windows XP 结合使用时,该服务会包括诸如自动注册和续订用户和计算机之类的功能。
交互式登录:智能卡移除操作
“交互式登录:智能卡移除操作”安全设置确定将已登录用户的智能卡从智能卡读取器移除时将发生的操作。
这个组策略设置可能的值如下:
? 无操作
? 锁定工作站
? 强制注销
? 没有定义
漏洞
如果使用智能卡进行身份验证,则在智能卡被移除时,计算机应当会自动地自行锁定。这样,如果在离开时忘了手动锁定其工作站,恶意用户就无法获取访问权限。
对策
将“智能卡移除操作”设置为“锁定工作站”。
如果您在该策略的“属性”对话框中选择“锁定工作站”,则工作站会在智能卡被移除时锁定,从而允许用户离开工作区,随身携带其智能卡,并仍维护受保护的会话。
如果您在该策略的“属性”对话框中选择“强制注销”,则用户将在智能卡被移除时自动注销。
潜在影响
用户在返回其工作站时,必须重新插入其智能卡并重新输入其 PIN。
Microsoft 网络客户端和服务器
Microsoft 网络客户端和服务器:数字签名的通信(四个相关的设置)
共有四个不同的设置与对服务器消息块 (SMB) 通信进行数字签名有关:“Microsoft 网络客户端:数字签名的通信(总是)”、“Microsoft 网络服务器:数字签名的通信(总是)”、“Microsoft 网络客户端:数字签名的通信(若服务器同意)”和“Microsoft 网络服务器:数字签名的通信(若客户端同意)”。
这些组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
在高安全网络中实现数字签名有助于防止客户端和服务器被模拟。这种类型的模拟被称作会话劫持,在这种情况下,使用会话劫持工具,允许能够访问客户端或服务器所在网络的攻击者中断、终止或窃取进行中的会话。攻击者有可能会截获和修改未签名的 SMB 数据包,然后修改通信并转发它,这样服务器可能会执行不需要的操作。或者,攻击者可能会在进行合法的身份验证之后冒充服务器或客户端,并获取对数据的未经授权的访问权限。
SMB 是由许多 Microsoft 操作系统支持的资源共享协议;它是网络基本输入/输出系统 (NetBIOS) 和许多其他协议的基础。SMB 签名既对用户又对承载数据的服务器进行身份验证。如果任意一端没有通过身份验证过程,就不会进行数据传输。
注意:另外一个可以保护所有网络通信的对策将是用 IPSec 实现数字签名。使用用于 IPSec 加密和签名的基于硬件的加速器可以降低对服务器 CPU 的性能影响。对于 SMB 签名没有类似的加速器。
对策
将“Microsoft 网络客户端:数字签名的通信(总是)”设置为“禁用”;将“Microsoft 网络服务器:数字签名的通信(总是)”设置为“禁用”;将“Microsoft 网络客户端:数字签名的通信(若服务器同意)”设置为“启用”;将“Microsoft 网络服务器:数字签名的通信(若客户端同意)”设置为“启用”。一些资源建议将所有这些设置都配置为“启用”,但是禁用它们可能会降低客户计算机的性能,并禁止它们与旧 SMB 应用程序和操作系统进行通信。
潜在影响
Windows 2000 Server、Windows 2000 Professional、Windows Server 2003 和 Windows XP Professional 文件和打印共享协议 SMB 支持相互身份验证,这种身份验证可断开会话劫持攻击并支持消息身份验证,因此可以防止“中间人”攻击。SMB 签名通过向每个 SMB 放入一个数字签名,然后由客户端和服务器进行验证,来提供身份验证。如果实现 SMB 签名,则必须对服务器之间的每个数据包进行签名和验证,因此可能会使性能显著下降。如果将计算机配置为忽略所有未签名的 SMB 通信,就会禁止旧应用程序和操作系统进行连接。如果完全禁用所有 SMB 签名,计算机将很容易遭受会话攻击。
Microsoft 网络客户端:发送未加密的密码到第三方 SMB 服务器
如果启用“Microsoft 网络客户端:发送未加密的密码到第三方 SMB 服务器”安全设置,就会允许 SMB 重定向器向身份验证期间不支持密码加密的非 Microsoft SMB 服务器发送明文密码。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
如果启用此设置,会允许服务器将纯文本密码通过网络传输到提供 SMB 服务的其他系统。这些其他系统可能不使用 Windows Server 2003 随附的任何 SMB 安全机制。
对策
将“发送未加密的密码以连接到第三方 SMB 服务器”设置为“禁用”。
潜在影响
一些非常旧的应用程序和操作系统(如 MS-DOS、Windows for Workgroups 3.11 和 Windows 95a)会无法通过 SMB 协议与组织中的服务器进行通信。
Microsoft 网络服务器:在挂起会话之前所需的空闲时间
“Microsoft 网络服务器:在挂起会话之前所需的空闲时间”安全设置确定在 SMB 会话因不活动而被挂起之前,在此会话中必须经过的连续空闲时间。管理员可以使用此设置来控制计算机何时挂起不活动的 SMB 会话。当客户端恢复活动时,会自动重新建立会话。
对于此设置,值 0 表示尽快以合理的方式断开空闲会话。最大值是 99999(即 208 天);此值实际上会禁用该设置。
这个组策略设置可能的值如下:
? 用户定义的周期(用分钟表示)
? 没有定义
漏洞
每个 SMB 会话都消耗服务器资源。如果建立大量空会话,将减慢服务器或者有可能使服务器崩溃。攻击者可以重复建立 SMB 会话,直到服务器停止响应。SMB 服务将变得非常慢或不响应。
对策
将“在断开会话前所需的空闲时间”设置为值“15 分钟”。
潜在影响
影响将很小,因为 SMB 会话将在客户端恢复活动时自动重新建立。
Microsoft 网络服务器:当登录时间用完时自动注销用户
“Microsoft 网络服务器:当登录时间用完时自动注销用户”安全设置确定在超过用户帐户的有效登录时间后,是否断开连接到本地计算机的用户。此设置影响 SMB 组件。如果启用此设置,会在客户端的登录时间用完时强制断开与 SMB 服务的客户端会话。如果禁用此设置,则在超过客户端的登录时间后,仍然保留已建立的客户端会话。在启用此设置时,还应当同时启用“网络安全:在超过登录时间后强制注销”。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
如果您的组织已经为用户配置了登录时间,那么启用此设置很有意义,否则,应当在超过登录时间后就不能访问网络资源的用户实际上将能够利用在允许的时间内建立的会话来继续使用那些资源。
对策
启用“Microsoft 网络服务器:当登录时间用完时自动注销用户”设置。
潜在影响
如果在组织中未使用登录时间,则启用此设置将没有影响。如果使用了登录时间,则当超过现有用户的登录时间后将强制终止现有用户会话。
网络访问
网络访问:允许匿名 SID/名称转换
“网络访问:允许匿名 SID/名称转换”安全设置确定匿名用户是否可以请求另一个用户的 SID 属性。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
如果启用此设置,则用户可以使用众所周知的 Administrators SID 获取内置的 Administrator 帐户的实际名称,即使该帐户已被重命名时也是如此。然后,此人可以使用帐户名启动密码猜测攻击。
对策
将“网络访问:允许匿名 SID/名称转换”设置为“禁用”。
潜在影响
这是成员计算机的默认设置;因此它对于这些计算机没有影响。域控制器的默认设置是“启用”。禁用此设置意味着旧式系统可能无法与基于 Windows Server 2003 的域进行通信。例如,下列系统可能不工作:
? 基于 Microsoft Windows NT 4.0 的远程访问服务服务器。
? 在基于 Windows NT 3.x 或基于 Windows NT 4.0(Ndash) 的计算机上运行的 Microsoft SQL Server。
? 在位于 Windows NT 3.x 域或 Windows NT 4.0 域中的基于 Windows 2000 的计算机上运行的远程访问服务或 Microsoft SQL 服务器。
网络访问:不允许 SAM 帐户的匿名枚举
“网络访问:不允许 SAM 帐户的匿名枚举”设置确定要授予连接到计算机的匿名连接哪些其他权限。Windows 允许匿名用户执行某些活动,如枚举域帐户和网络共享的名称。例如,当管理员希望向不维护双向信任的受信任域中的多个用户授予访问权限时,这会非常方便。但是,即使启用了此设置,匿名用户仍将能够访问具有某些权限(显然包括特殊的内置组 ANONYMOUS LOGON)的任何资源。
注意:此设置对于域控制器没有任何影响。
在 Windows 2000 中,名为“匿名连接的附加限制”的类似设置管理一个名为“RestrictAnonymous”的注册表值,此值位于 HKLM\SYSTEM\CurrentControlSet\Control\LSA 注册表项中。在 Windows Server 2003 中,名为“网络访问:不允许 SAM 帐户的匿名枚举”和“网络访问:不允许 SAM 帐户和共享的匿名枚举”的策略替换了 Windows 2000 设置。它们分别管理名为“RestrictAnonymousSAM”和“RestrictAnonymous”的注册表值,这两个值均位于 HKLM\System\CurrentControlSet\Control\Lsa\ 注册表项中。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
未经授权的用户可以匿名列出帐户名称,并使用此信息尝试猜测密码或进行“社会工程学”攻击。社会工程学是哄骗他人透漏其密码或某种形式的安全信息的黑客术语。
对策
将“网络访问:不允许 SAM 帐户的匿名枚举”配置为“启用”。
潜在影响
将不可能与基于 NT 4.0 的域建立信任。此设置还将导致那些尝试使用服务器资源的低级别客户端(如 Windows NT 3.51 和 Windows 95)产生问题。
网络访问:不允许 SAM 帐户和共享的匿名枚举
“网络访问:不允许 SAM 帐户和共享的匿名枚举”设置确定是否允许匿名枚举安全帐户管理器 (SAM) 帐户和共享。Windows 允许匿名用户执行某些活动,如枚举域帐户和网络共享的名称。例如,当管理员希望向不维护双向信任的受信任域中的多个用户授予访问权限时,这会非常方便。如果您不希望允许匿名枚举 SAM 帐户和共享,则启用此设置。但是,即使启用了此设置,匿名用户仍将能够访问具有某些权限(显然包括特殊的内置组 ANONYMOUS LOGON)的任何资源。
在 Windows 2000 中,名为“匿名连接的附加限制”的类似设置管理一个名为“RestrictAnonymous”的注册表值,此值位于 HKLM\SYSTEM\CurrentControlSet\Control\LSA 注册表项中。在 Windows Server 2003 中,名为“网络访问:不允许 SAM 帐户的匿名枚举”和“网络访问:不允许 SAM 帐户和共享的匿名枚举”的策略替换了 Windows 2000 设置。它们分别管理名为“RestrictAnonymousSAM”和“RestrictAnonymous”的注册表值,这两个值均位于 HKLM\System\CurrentControlSet\Control\Lsa\ 注册表项中。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
未经授权的用户可以匿名列出帐户名称和共享资源,并使用此信息尝试猜测密码或进行“社会工程学”攻击。
对策
将“网络访问:不允许 SAM 帐户和共享的匿名枚举”配置为“启用”。
潜在影响
通过单向信任不可能向另一个域的用户授予访问权限,因为信任域中的管理员将无法枚举另一个域中的帐户列表。匿名访问文件和打印服务器的用户将无法列出这些服务器上的共享网络资源;用户将必须先进行身份验证,然后才能查看共享文件夹和打印机的列表。
网络访问:不允许为网络身份验证储存凭据或 .NET Passports
“网络访问:不允许为网络身份验证储存凭据或 .NET Passports”设置确定在获得域身份验证后“存储用户名和密码”是否保存密码或凭据以备日后使用。如果启用此设置,就会禁止 Windows 的“存储用户名和密码”功能存储密码和凭据。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
用户在登录到计算机时,可以访问通过这种方式缓存的密码。这听起来或许很明显,但是当用户无意中执行了恶意代码,而这些恶意代码读取密码并将它们转发到另一个未经授权的用户时,就会出现问题。
注意:如果组织有效地实现和管理企业防病毒解决方案以及明智的软件限制策略,那么,此利用以及涉及到恶意代码的其他利用的成功机会将大大减小。有关软件限制策略的详细信息,请参阅模块软件限制策略。
对策
将“网络访问:不允许为网络身份验证储存凭据或 .NET Passports”配置为“启用”。
潜在影响
用户在登录到其 Passport 帐户或无法通过其域帐户访问的其他网络资源时,将被迫输入密码。这对于访问需要用户登录的网站不会有影响,因为当用户请求保存密码时,此设置并不禁止他这样做。对于访问已被配置为允许用基于 Active Directory 的域帐户进行访问的网络资源的用户,此设置应当没有任何影响。
网络访问:让每个人 (Everyone) 权限应用于匿名用户
“网络访问:让每个人 (Everyone) 权限应用于匿名用户”设置确定要授予连接到计算机的匿名连接哪些其他权限。启用此设置将允许匿名用户执行某些活动,如枚举域帐户和网络共享的名称。例如,当管理员希望向不维护双向信任的受信任域中的多个用户授予访问权限时,这会非常方便。在默认情况下,为匿名连接创建的令牌不包括 Everyone SID。因此,授予 Everyone 组的权限不应用于匿名用户。如果启用此设置,就会将 Everyone SID 添加到为匿名连接创建的令牌中。在这种情况下,匿名用户能够访问已向 Everyone 组授予权限的任何资源。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
未经授权的用户可以匿名列出帐户名称和共享资源,并使用此信息尝试猜测密码或进行“社会工程学”攻击。
对策
将“网络访问:让每个人 (Everyone) 权限应用于匿名用户”设置为“禁用”。
潜在影响
无,这是默认设置。
网络访问:可匿名访问的命名管道
“网络访问:可匿名访问的命名管道”设置确定哪些通信会话或管道将具有允许匿名访问的属性和权限。
这个组策略设置可能的值如下:
? 用户定义的共享列表
? 没有定义
漏洞
限制通过命名管道(如 COMNAP 和 LOCATOR)进行访问有助于防止对网络进行未经授权的访问。命名管道及其用途的默认列表包括:
表 1. 可匿名访问的默认命名管道
命名管道 用途
COMNAP
SnaBase 命名管道。系统网络体系结构 (SNA) 是一组最初为 IBM 主机计算机开发的网络协议。
COMNODE
SNA Server 命名管道。SNA 是一组最初为 IBM 主机计算机开发的网络协议。
SQL\QUERY
SQL Server 默认的命名管道。
SPOOLSS
后台打印程序服务的命名管道。
EPMAPPER
终结点映射程序的命名管道。
LOCATOR
远程过程调用定位器服务的命名管道。
TrkWks
分布式链接跟踪客户端的命名管道。
TrkSvr
分布式链接跟踪服务器的命名管道。
对策
将“网络访问:可匿名访问的命名管道”设置为空值,即,启用此设置,但是不在文本框中输入命名管道。
潜在影响
这将禁用通过命名管道进行空会话访问,依赖此功能或者依赖对命名管道进行未经身份验证访问的应用程序将不再工作。例如,使用 Microsoft Commercial Internet System 1.0,Internet 邮件服务将在 Inetinfo 进程下运行。Inetinfo 在系统帐户的上下文中启动。当 Internet 邮件服务需要查询 Microsoft SQL Server 数据库时,它使用系统帐户,该帐户使用空凭据来访问运行 SQL Server 的计算机上的 SQL 管道。
为了避免出现此问题,请参阅 Microsoft 知识库文章 207671“HOW TO: Access Network Files from IIS Applications”,其网址是 [url]http://support.microsoft.com/default.aspx?scid=207671[/url](英文)。
网络访问:可远程访问的注册表路径
“网络访问:可远程访问的注册表路径”设置确定在引用 WinReg 项之后可以访问哪些注册表路径,从而确定这些路径的访问权限。
这个组策略设置可能的值如下:
? 用户定义的路径列表
? 没有定义
漏洞
注册表是计算机配置信息的数据库,其中的许多信息都是敏感信息。攻击者可以使用此设置来帮助执行未经授权的活动。为了降低出现这种情况的风险,可为整个注册表分配适当的 ACL,以便帮助它禁止未经授权的用户进行访问。
对策
将“网络访问:可远程访问的注册表路径”设置为空值,即,启用此设置,但是不在文本框中输入任何路径。
潜在影响
远程管理工具(如 Microsoft 基准安全分析器和 Microsoft 系统管理服务器)需要远程访问注册表,才能正确地监视和管理这些系统。如果将默认的注册表路径从可访问列表中删除,有可能会导致这些管理工具以及其他管理工具失败。
注意:如果您不希望允许进行远程访问,还必须启用 Remote Registry(远程注册)服务。
网络访问:可远程访问的注册表路径和子路径
“网络访问:可远程访问的注册表路径和子路径”设置确定在引用 WinReg 项之后可以访问哪些注册表路径和子路径,从而确定这些路径的访问权限。
这个组策略设置可能的值如下:
? 用户定义的路径列表
? 没有定义
漏洞
注册表是计算机配置信息的数据库,其中的许多信息都是敏感信息。攻击者可以使用它来帮助执行未经授权的活动。由于通过注册表分配的默认 ACL 具有相当大的限制性,而且它们有助于防止未经授权的用户进行访问,因此,出现这种情况的机会有所减少。
对策
将“网络访问:可远程访问的注册表路径和子路径”设置为空值,即,启用此设置,但是不在文本框中输入任何路径。
潜在影响
远程管理工具(如 Microsoft 基准安全分析器和 Microsoft 系统管理服务器)需要远程访问注册表,才能正确地监视和管理这些系统。如果将默认的注册表路径从可访问列表中删除,有可能会导致这些管理工具以及其他管理工具失败。
注意:如果您不希望允许进行远程访问,还必须启用 Remote Registry(远程注册)服务。
网络访问:限制匿名访问命名管道和共享
如果启用“网络访问:限制匿名访问命名管道和共享”安全设置,就会将对共享和管道的匿名访问限制在“网络访问:可匿名访问的命名管道”和“网络访问:可匿名访问的共享”的设置。此设置通过在注册表项 HKLM\System\CurrentControlSet\Services\LanManServer\Parameters 中添加值为“1”的“RestrictNullSessAccess”来控制对计算机上共享的空会话访问,这个注册表值会打开或关闭空会话共享,以确定服务器服务是否限制对登录系统帐户时未经用户名和密码身份验证的客户端进行访问。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
空会话是一种缺陷,通过环境中计算机上的各种共享可以利用这种缺陷。
对策
将“网络访问:限制匿名访问命名管道和共享”设置为“启用”。
潜在影响
如果启用此设置,将限制未经授权的用户对所有服务器管道和共享进行空会话访问,例外是“NullSessionPipes”和“NullSessionShares”项中列出的管道和共享。
网络访问:可匿名访问的共享
“网络访问:可匿名访问的共享”设置确定匿名用户可以访问哪些网络共享。
这个组策略设置可能的值如下:
? 用户定义的共享列表
? 没有定义
漏洞
启用此设置会非常危险。任何网络用户都可以访问列出的任何共享,从而可能导致企业敏感数据暴露或损坏。
对策
将“网络访问:可匿名访问的共享”设置为空值。
潜在影响
因为这是默认设置,所以影响应当很小。所有用户都将必须先进行身份验证,才能访问服务器上的共享资源。
网络访问:本地帐户的共享和安全模式
“网络访问:本地帐户的共享和安全模式”设置确定如何对使用本地帐户的网络登录进行身份验证。如果将此设置设置为“经典”,则使用本地帐户凭据的网络登录将使用这些凭据进行身份验证。如果将此设置设置为“仅来宾”,则使用本地帐户的网络登录将自动映射到 Guest 帐户。“经典”模型允许对资源访问进行精确控制。通过使用“经典”模型,可以针对同一资源为不同的用户授予不同类型的访问权限。如果使用“仅来宾”模型,就会同等对待所有用户。所有用户以来宾身份进行身份验证,而且他们将收到对给定资源的相同级别的访问权限(可以是“只读”,也可以是“修改”)。
独立 Windows XP Professional 的默认设置是“仅来宾”。加入到域的 Windows XP 系统以及 Windows Server 2003 系统的默认设置是“经典”。
注意:此设置不影响使用域帐户的网络登录。
此设置也不影响通过使用服务(如 Telnet 或终端服务)在远程执行的交互式登录。
如果计算机未加入到域中,此设置还调整 Windows Explorer 中的“共享”和“安全”选项卡,使其与所使用的共享和安全模型相对应。
此设置对于 Windows 2000 计算机没有任何影响。
这个组策略设置可能的值如下:
? 经典 – 本地用户以自己的身份验证
? 仅来宾 – 本地用户以来宾身份验证
? 没有定义
漏洞
使用“仅来宾”模型,任何能够通过网络访问您的计算机的用户都可以使用来宾特权来进行访问。这意味着他们将有可能无法写入到这些共享中。尽管这会增加安全性,但是经过授权的用户将无法访问这些系统上的共享资源。使用“经典”模型,本地帐户必须使用密码进行保护;否则,任何人都可以使用这些用户帐户来访问共享的系统资源。
对策
对于网络服务器,请将“网络访问:本地帐户的共享和安全模式”策略设置为“经典 - 本地用户以自己的身份验证”,对于最终用户系统,将它配置为“仅来宾 - 本地用户以来宾身份验证”。
潜在影响
无,这是默认设置。
网络安全
网络安全:不要在下次更改密码时存储 LAN Manager 的哈希值
“网络安全:不要在下次更改密码时存储 LAN Manager 的哈希值”设置确定在下次更改密码时,是否禁止局域网 (LAN) Manager 存储新密码的哈希值。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
攻击者有可能通过攻击 SAM 文件来获取对用户名和密码哈希的访问。攻击者可以使用密码破解工具来确定密码内容。在获取对该信息的访问之后,攻击者可以使用它,通过模拟用户来获取对网络资源的访问。启用此设置不会禁止这些类型的攻击,但是它们将会困难得多。
对策
将“网络安全:不要在下次更改密码时存储 LAN Manager 的哈希值”设置为“启用”。要求所有用户在下次登录域时都设置新密码,以便 LAN Manager 哈希被删除。
潜在影响
旧式操作系统(如 Windows 95、Windows 98 和 Windows ME)以及一些第三方应用程序将失败。
网络安全:在超过登录时间后强制注销
“网络安全:在超过登录时间后强制注销”设置确定在超过用户帐户的有效登录时间后,是否断开连接到本地计算机的用户。此设置影响 SMB 组件。如果启用此设置,会在客户端得登录时间用完时强制断开与 SMB 服务器得客户端会话。如果禁用此设置,则在超过客户端的登录时间后,仍然保留已建立的客户端会话。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
如果禁用此设置,则在为用户分配的登录时间用完之后,用户仍能继续连接到系统。
对策
将“网络安全:在超过登录时间后强制注销”设置为“启用”。
此设置不适用于管理员帐户。
潜在影响
在成员服务器上,SMB 会话将在用户的登录时间用完时终止,而且用户在他或她的下一次计划访问时间之前将无法登录到系统。 网络安全:LAN Manager 身份验证级别
LAN Manager (LM) 是早期 Microsoft 客户端/服务器软件家族,它允许用户将多个个人计算机系统连接在单个网络上。网络功能包括透明文件和打印共享、用户安全性功能以及网络管理工具。在 Active Directory 域中,Kerberos 是默认的身份验证协议,但是,如果因某种原因未协商 Kerberos,则 Active Directory 将使用 LM、NTLM 或 NTLMv2。
LM 身份验证协议(包括 LM、NTLM 和 NTLM 版本 2 (NTLMv2) 变体)用于对所有的 Windows 客户端进行身份验证,以便执行如下操作:
? 加入到域中
? 在 Active Directory 林之间进行身份验证
? 向低级别域验证身份
? 向低级别系统(非 Windows 2000、Windows Server 2003 或基于 Windows XP 的系统)验证身份
? 向不在域中的系统验证身份
“网络安全:LAN Manager 身份验证级别”设置确定将哪些质询/响应身份验证协议用于网络登录。此选项影响客户端使用的身份验证协议级别、系统所协商的会话安全级别以及服务器所接受的身份验证级别,如下所示:
? 发送 LM 和 NTLM 响应:客户端使用 LM 和 NTLM 身份验证,从不使用 NTLMv2 会话安全性;域控制器接受 LM、NTLM 和 NTLMv2 身份验证。
? 发送 LM 和 NTLM - 若协商使用 NTLMv2 会话安全:客户端使用 LM 和 NTLM 身份验证,如果服务器支持的话,还使用 NTLMv2 会话安全性。域控制器接受 LM、NTLM 和 NTLMv2 身份验证。
? 仅发送 NTLM 响应:客户端只使用 NTLM 身份验证,如果服务器支持的话,还使用 NTLMv2 会话安全性。域控制器接受 LM、NTLM 和 NTLMv2 身份验证。
? 仅发送 NTLMv2 响应:客户端只使用 NTLMv2 身份验证,如果服务器支持的话,还使用 NTLMv2 会话安全性。域控制器接受 LM、NTLM 和 NTLMv2 身份验证。
? 仅发送 NTLMv2 响应\拒绝 LM:客户端只使用 NTLMv2 身份验证,如果服务器支持的话,还使用 NTLMv2 会话安全性。域控制器拒绝 LM(只接受 NTLM 和 NTLMv2 身份验证)。
? 仅发送 NTLMv2 响应\拒绝 LM 和 NTLM:客户端只使用 NTLMv2 身份验证,如果服务器支持的话,还使用 NTLMv2 会话安全性。域控制器拒绝 LM 和 NTLM(只接受 NTLMv2 身份验证)。
这个组策略设置可能的值如下:
? 发送 LM & NTLM 响应
? 发送 LM 和 NTLM - 若协商使用 NTLMv2 会话安全
? 仅发送 NTLM 响应
? 仅发送 NTLMv2 响应
? 仅发送 NTLMv2 响应\拒绝 LM
? 仅发送 NTLMv2 响应\拒绝 LM 和 NTLM
? 没有定义
这些设置与其他 Microsoft 文档中讨论的级别相对应,如下所示:
? 级别 0 – 发送 LM 和 NTLM 响应;从不使用 NTLMv2 会话安全性。客户端使用 LM 和 NTLM 身份验证,从不使用 NTLMv2 会话安全性。域控制器接受 LM、NTLM 和 NTLMv2 身份验证。
? 级别 1 – 若协商使用 NTLMv2 会话安全。客户端使用 LM 和 NTLM 身份验证,如果服务器支持的话,还使用 NTLMv2 会话安全。域控制器接受 LM、NTLM 和 NTLMv2 身份验证。
? 级别 2 – 仅发送 NTLM 响应。客户端只使用 NTLM 身份验证,如果服务器支持的话,还使用 NTLMv2 会话安全。域控制器接受 LM、NTLM 和 NTLMv2 身份验证。
? 级别 3 – 仅发送 NTLMv2 响应。客户端使用 NTLMv2 身份验证,如果服务器支持的话,还使用 NTLMv2 会话安全。域控制器接受 LM、NTLM 和 NTLMv2 身份验证。
? 级别 4 – 域控制器拒绝 LM 响应。客户端使用 NTLM 身份验证,如果服务器支持的话,还使用 NTLMv2 会话安全。域控制器拒绝 LM 身份验证,即,它们接受 NTLM 和 NTLMv2。
? 级别 5 – 域控制器拒绝 LM 和 NTLM 响应(只接受 NTLMv2)。客户端使用 NTLMv2 身份验证,如果服务器支持的话,还使用 NTLMv2 会话安全。域控制器拒绝 NTLM 和 LM 身份验证(它们只接受 NTLMv2)。
漏洞
在默认情况下,所有的 Windows 客户端(包括 Windows 2000、Windows Server 2003 和 Windows XP)都被配置为发送 LM 和 NTLM 身份验证响应,但 Win9x 客户端除外,它只发送 LM。服务器的默认设置允许所有的客户端都向服务器验证身份并使用服务器上的资源。但是,这意味着 LM 响应(一种最弱的身份验证响应)通过网络进行发送,而且攻击者有可能嗅探该通信,以便更容易地再现用户的密码。
Windows 9x 和 Windows NT 操作系统不能使用 Kerberos v5 协议进行身份验证。因此,在 Windows Server 2003 域中,这些系统在默认情况下会用 LM 和 NTLM 协议验证身份,以便进行网络身份验证。使用 NTLMv2,可以为 Windows 9x 和 Windows NT 实施更安全的身份验证协议。对于登录过程,NTLMv2 使用安全通道来保护身份验证过程。即使您的确对旧式客户端和服务器使用 NTLMv2,作为域成员的、基于 Windows 的客户端和服务器也将使用 Kerberos 协议向 Windows 2003 域控制器验证身份。
有关启用 NTLMv2 的详细信息,请参阅知识库文章 Q239869“How to Enable NTLM 2 Authentication”,其网址是 [url]http://support.microsoft.com/default.aspx?scid=239869[/url](英文)。为了支持 NTLMv2,Microsoft Windows NT 4.0 需要安装 Service Pack 4 (SP4),Windows 9x 平台需要安装 Directory Service 客户程序。
对策
将“LAN Manager 身份验证级别”设置为“仅发送 NTLMv2 响应”。当所有的客户端都支持 NTLMv2 时,Microsoft 以及许多独立组织都强烈建议使用这种身份验证级别。
潜在影响
不支持 NTLMv2 身份验证的客户端将无法在域中进行身份验证,而且将无法使用 LM 和 NTLM 来访问域资源。
注意:有关修补程序(用来确保此设置适用于包含 Windows 2000(和更高版本)系统和 Windows NT 4.0 系统的网络)的信息,请参阅 Microsoft 知识库文章 305379“Authentication Problems in Windows 2000 with NTLM 2 Levels Above 2 in a Windows NT 4.0 Domain”,其网址是 [url]http://support.microsoft.com/default.aspx?scid=305379[/url](英文)。
网络安全:LDAP 客户端签名要求
“网络安全:LDAP 客户端签名要求”安全设置确定数据签名的级别,此数据签名是代表发出 LDAP BIND 请求的客户端而请求的。
? 无:LDAP BIND 请求是用调用方指定的选项发出的。
? 协商签名:如果传输层安全性/安全套接字层 (TLS/SSL) 尚未启动,则 LDAP BIND 请求是用 LDAP 数据签名选项集以及调用方指定的选项启动的。如果 TLS/SSL 已经启动,则 LDAP BIND 请求是用调用方指定的选项启动的。
? 要求签名:这与“协商签名”相同。但是,如果 LDAP 服务器的中间 saslBindInProgress 响应不指出 LDAP 通信签名是必需的,则调用方会被告知 LDAP BIND 命令请求已失败。
注意:此设置对于 ldap_simple_bind 或 ldap_simple_bind_s 没有任何影响。Windows XP Professional 随附的任何 Microsoft LDAP 客户端都不使用 ldap_simple_bind 或 ldap_simple_bind_s 来与域控制器进行通信。
这个组策略设置可能的值如下:
? 无
? 协商签名
? 要求签名
? 没有定义
漏洞
未签名的网络通信易受“中间人”攻击(入侵者捕获客户端和服务器之间的数据包,并在将它们转发到客户端之前修改它们)。对于 LDAP 服务器,这意味着攻击者可能导致服务器根据 LDAP 客户端的虚假查询作出决定。通过在企业网络中实现强物理安全措施来保护网络基础结构,可以降低此风险。而且,通过要求所有的网络数据包都借助于 IPSec 身份验证头来进行数字签名,可以使所有类型的“中间人”攻击变得极其困难。
对策
将“域控制器:LDAP 服务器签名要求”设置为“要求签名”。
潜在影响
如果您将服务器设置为要求 LDAP 签名,则还必须对客户端进行设置。如果不对客户端进行设置,就会禁止客户端与服务器进行通信,从而使许多功能(包括用户身份验证、组策略和登录脚本)失败。
网络安全:基于 NTLM SSP(包括安全 RPC)客户端的最小会话安全
“网络安全:基于 NTLM SSP(包括安全 RPC)客户端的最小会话安全”安全设置允许客户端要求对消息的保密性(加密)、消息的完整性、128 位加密或 NTLMv2 会话安全进行协商。这些值依赖“LAN Manager 身份验证级别”安全设置的值。这个组策略设置可能的值如下:
? 要求消息的保密性。如果不对加密进行协商,连接将失败。加密功能将数据转换为如不解密就无法由任何人读取的形式。
? 要求消息的完整性。如果不对消息的完整性进行协商,连接将失败。消息的完整性可通过消息签名进行评估。消息签名通过附加加密的签名(用来标识发送方,而且以数字形式来表示消息内容)证明消息未被篡改。
? 要求 128 位加密。如果不对强加密(128 位)进行协商,连接将失败。
? 要求 NTLMv2 会话安全。如果不对 NTLMv2 协议进行协商,连接将失败。
? 没有定义。
漏洞
如果针对此设置启用所有这些选项,将有助于防止使用 NTLM 安全支持提供程序 (NTLM SSP) 的网络通信被已经获取网络访问的攻击者公开或篡改。即,这些设置有助于防止受到“中间人”攻击。
对策
对于“网络安全:基于 NTLM SSP(包括安全 RPC)客户端的最小会话安全”策略启用所有可用的选项。
潜在影响
实施了这些设置的客户计算机将无法与不支持它们的旧式服务器进行通信。
网络安全:基于 NTLM SSP(包括安全 RPC)服务器的最小会话安全
“网络安全:基于 NTLM SSP(包括安全 RPC)服务器的最小会话安全”安全设置允许服务器要求对消息的保密性(加密)、消息的完整性、128 位加密或 NTLMv2 会话安全进行协商。这些值依赖“LAN Manager 身份验证级别”安全设置的值。这个组策略设置可能的值如下:
? 要求消息的保密性。如果不对加密进行协商,连接将失败。加密功能将数据转换为如不解密就无法由任何人读取的形式。
? 要求消息的完整性。如果不对消息的完整性进行协商,连接将失败。消息的完整性可通过消息签名进行评估。消息签名通过附加加密的签名(用来标识发送方,而且以数字形式来表示消息内容)证明消息未被篡改。
? 要求 128 位 加密。如果不对强加密(128 位)进行协商,连接将失败。
? 要求 NTLMv2 会话安全。如果不对 NTLMv2 协议进行协商,连接将失败。
? 没有定义
漏洞
如果针对此设置启用所有这些选项,将有助于防止使用 NTLM 安全支持提供程序 (NTLM SSP) 的网络通信被已经获取网络访问的攻击者公开或篡改。即,这些设置有助于防止受到“中间人”攻击。
对策
对于“网络安全:基于 NTLM SSP(包括安全 RPC)服务器的最小会话安全”策略启用所有可用的选项。
潜在影响
不支持这些安全设置的旧式客户端将无法与该计算机进行通信。
故障恢复控制台
故障恢复控制台:允许自动系统管理级登录
“故障恢复控制台:允许自动系统管理级登录”设置确定在授予系统访问权限之前是否必须先赋予 Administrator 帐户密码。如果启用此设置,将自动登录系统,而无需在故障恢复控制台输入密码。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
在对无法重新启动的系统进行故障排除和修复时,故障恢复控制台非常有用。但是,将此设置配置为允许自动登录控制台是非常危险的。因为此后任何人都可以走到服务器前,通过断开电源关闭它,再重新启动它,从“重新启动”菜单中选择“故障恢复控制台”,于是获得对服务器的完全控制。
对策
将“故障恢复控制台:允许自动系统管理级登录”设置为“禁用”。
潜在影响
用户将必须输入用户名和密码才能访问故障恢复控制台帐户。
故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问
如果启用“故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问”选项,会使故障恢复控制台的 SET 命令处于可用状态,从而允许设置以下故障恢复控制台环境变量:
? AllowWildCards:对某些命令(如 DEL 命令)启用通配符支持。
? AllowAllPaths:允许对计算机上的所有文件和文件夹进行访问。
? AllowRemovableMedia:允许将文件复制到可移动媒体,如软盘。
? NoCopyPrompt:覆盖现有文件时不提示。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
授权的管理员可能会忘记取出包含敏感数据或应用程序的 CD-ROM 或软盘,恶意用户以后可能会偷窃它们。授权的管理员可能会在用过故障恢复控制台之后,不小心将启动盘留在计算机中。如果计算机由于某种原因而重新启动,而且在 BIOS 配置中,CD-ROM 或软盘的启动顺序先于硬盘,则服务器将从可移动磁盘启动。这将导致服务器的网络服务不可用。
对策
将“故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问”设置为“禁用”。
潜在影响
如果用户通过故障恢复控制台启动服务器,并且使用内置的 Administrator 帐户进行登录,他们将无法把文件和文件夹复制到软盘。
关机
关机:允许系统在未登录前关机
“关机:允许系统在未登录前关机”设置确定计算机是否可以在未登录到 Windows 之前关机。如果启用此设置,Windows 登录屏幕上的“关机”命令就会变得可用。如果禁用此命令,就会从 Windows 登录屏幕中删除用来关闭计算机的选项。在这种情况下,用户必须能够成功登录计算机并且具有“关闭系统”用户权限,才能关闭系统。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
能够在本地访问控制台的用户可能关闭系统。攻击者或被误导的用户可能通过终端服务连接到服务器,并在未验证自己身份前关闭服务器或重新启动它。
攻击者还可能通过以下方法来执行此操作:走到本地控制台前并重新启动服务器,产生临时的 DoS 条件;或者关闭服务器,使服务器上所有的应用程序和服务均不可用。
对策
将“关机:允许系统在未登录前关机”设置为值“禁用”。
潜在影响
管理员将必须登录服务器才能关闭或重新启动它们。
关机:清除虚拟内存页面文件
“关机:清除虚拟内存页面文件”设置确定在关闭系统时是否清除虚拟内存页面文件。当内存页未被使用时,虚拟内存支持如下操作:使用系统页面文件将内存页交换到磁盘中。在正在运行的系统上,这个页面文件是由操作系统以独占方式打开的,并且会得到很好的保护。但是,被配置为允许启动到其他操作系统的系统可能必须确保在系统关闭时,系统页面文件被完全清除。这将确保进程内存中可能进入页面文件中的敏感信息,对于未经授权的设法直接访问页面文件的用户不可用。
如果启用此设置,它会在正常关机时清除系统页面文件。如果启用这个安全选项,当在便携式计算机系统上禁用休眠时,将强制系统还将休眠文件 hiberfil.sys 置零。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
保留在实际内存中的重要信息可能会定期写入到页面文件中。这有助于 Windows Server 2003 处理多任务功能。能够物理访问已关闭服务器的攻击者可以查看页面文件的内容。攻击者会将系统卷移到另一台计算机,然后分析页面文件的内容。此过程需要的时间很长,但是它可以将缓存在随机存取内存 (RAM) 中的数据公开给页面文件。
警告:可以物理访问服务器的攻击者只需断开服务器的电源即可摆脱此对策的约束。
对策
将“系统关闭时清除虚拟内存页面文件”设置为“启用”。如果启用此设置,将导致 Windows Server 2003 在系统关闭时清除页面文件,并删除存储在此文件中的所有信息。根据页面文件的大小,此过程可能需要几分钟时间才能完全关闭系统。
潜在影响
先关闭再重新启动服务器将需要较长时间,在包含大页面文件的服务器上尤其明显。对于具有 2 GB RAM 和 2 GB 页面文件的服务器,此设置可能会使关闭过程增加 20 到 30 分钟或更长。对于一些组织,这个停机时间违反了它们的内部服务级别协议。因此,在您的环境中实现此对策时一定要格外小心。
系统加密
系统加密:存储在计算机上的用户密钥强制使用强密钥保护
“系统加密:存储在计算机上的用户密钥强制使用强密钥保护”安全设置确定用户是否可以使用没有密码的私钥(如他们的 S – MIME 密钥)。
这个组策略设置可能的值如下:
? 存储和使用新密钥时不需要用户输入
? 第一次使用密钥时提示用户输入
? 用户每次使用密钥时必须输入密码
? 没有定义
漏洞
如果将此设置配置为用户在每次使用密钥时都必须提供一个不同于其域密码的密码,可以使攻击者更难访问存储在本地的用户密钥,即便是在攻击者控制了用户计算机并确定了用户的登录密码时也是如此。
对策
将“系统加密:存储在计算机上的用户密钥强制使用强密钥保护”设置为“用户每次使用密钥时必须输入密码”。
潜在影响
用户在每次访问存储在其计算机上的密钥时都必须输入其密码。例如,如果用户使用 S – MIME 证书对他们的电子邮件进行数字签名,则在他们发送签名的电子邮件时,将被迫输入该证书的密码。对于某些组织来说,使用此配置涉及的开销可能会非常高,至少应当将它们设置为“第一次使用密钥时提示用户输入”。
系统加密:使用 FIPS 兼容的算法来加密、哈希和签名
“系统加密:使用 FIPS 兼容的算法来加密、哈希和签名”设置确定 TLS/SSL 安全提供程序是否将仅支持 TLS_RSA_WITH_3DES_EDE_CBC_SHA 强密码套件。实际上,这意味着该提供程序只支持将 TLS 协议作为客户端和服务器(如果可用的话)。它只使用三重数据加密标准 (DES) 加密算法进行 TLS 通信加密,只使用 Rivest – Shamir – Adleman (RSA) 公钥算法进行 TLS 密钥交换和身份验证,只使用安全哈希算法版本 1 (SHA – 1) 哈希算法来满足 TLS 哈希要求。
对于加密文件系统服务 (EFS) 来说,它仅支持使用三重 DES 加密算法来加密 Windows NTFS 文件系统所支持的文件数据。在默认情况下,EFS 使用 DESX 算法(DES 算法的一种变体)来加密文件数据。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
启用此设置可确保计算机将使用可用于数字加密、哈希和签名的功能最强大的算法。这样可将未经授权的用户损害数字加密或签名数据的风险降到最低。
对策
将“系统加密:使用 FIPS 兼容的算法来加密、哈希和签名”设置为“启用”。
潜在影响
启用此设置的客户端将无法通过数字加密或者数字签名协议与那些不支持这些算法的服务器进行通讯。不支持这些算法的网络客户还将无法使用需要加密网络通讯的服务器。例如,就无法将许多基于 Apache 的 Web 服务器配置为支持 TLS。如果启用此设置,还将需要将 Internet Explorer 配置为使用 TLS。
? 使 Internet Explore 能够使用 TLS
1.
在 Internet Explorer 的“工具”菜单上,打开“Internet 选项”对话框
2.
单击“高级”选项卡。
3.
选中“使用 TLS 1.0”复选框。
您还可以通过组策略或使用 Internet Explorer 管理员工具包对此进行配置。
系统对象
系统对象:由管理员 (Administrators) 组成员所创建的对象默认所有者
“系统对象:由管理员 (Administrators) 组成员所创建的对象默认所有者”设置确定 Administrators(管理员)组或对象创建者是否为所创建的任何系统对象的默认所有者。
这个组策略设置可能的值如下:
? 管理员组
? 对象创建者
? 没有定义
漏洞
如果将此设置配置为值“管理员组”,个人将不可能负责创建新的系统对象。
对策
将“系统对象:由管理员 (Administrators) 组成员所创建的对象默认所有者”设置为“对象创建者”。
潜在影响
在创建系统对象时,所有权将反映是哪个帐户(而不是泛指哪个 Administrators(管理员)组)创建了对象。
系统对象:对非 Windows 子系统不要求区分大小写
“系统对象:对非 Windows 子系统不要求区分大小写”设置确定是否对所有子系统不要求区分大小写。Microsoft Win32? 子系统不区分大小写。但是,内核支持其他子系统(如可移植 UNIX 操作系统接口 (POSIX))区分大小写。如果启用此设置,就会对于所有的目录对象、符号链接和 IO 对象(包括文件对象)强制区分大小写。如果禁用此设置,则不允许 Win32 子系统区分大小写。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
由于 Windows 不区分大小写,但是 POSIX 子系统将支持区分大小写,因此,如果未实施此设置,该子系统的用户将有可能创建一个与另一个文件同名、但是混有不同大写字母的文件。当用户尝试从正常的 Win32 工具访问这些文件时,这有可能使他们感到混淆,因为将只有其中的一个文件可用。
对策
将“系统对象:对非 Windows 子系统不要求区分大小写”设置为“启用”。
潜在影响
所有的子系统都将被迫遵守不区分大小写这一规则。这可能使熟悉某个基于 UNIX 的操作系统的用户感到混淆,因为他们习惯于区分大小写的操作系统。
系统对象:增强内部系统对象的默认权限(例如 Symbolic Links)
“系统对象:增强内部系统对象的默认权限(例如 Symbolic Links)”设置确定对象的默认 DACL 的强度。Windows 维护共享系统资源(如 MS-DOS 设备名、多用户终端执行程序和信号灯)的全局列表。这样,可以在进程之间定位和共享对象。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
此设置确定对象的默认 DACL 的强度。Windows Server 2003 维护共享系统资源(如 MS-DOS 设备名、多用户终端执行程序和信号灯)的全局列表。
这样,可以在进程之间定位和共享对象。各种类型的对象在创建时都附带了默认的 DACL,指定谁可以用何种权限访问该对象。启用此设置会增强默认的 DACL,允许非管理员用户读取共享对象,但是不能修改不是由他们创建的共享对象。
对策
将“增强全局系统对象的默认权限(例如,符号链接)”设置为“启用”。
潜在影响
无,这是默认设置。
系统设置
系统设置:可选子系统
“系统设置:可选子系统”安全设置确定哪些子系统支持您的应用程序。使用这个安全设置,可以根据环境的需要指定任意多个支持子系统。
这个组策略设置可能的值如下:
? 用户定义的子系统列表
? 没有定义
漏洞
POSIX 子系统是用来定义一组操作系统服务的电气与电子工程师协会 (IEEE) 标准。如果服务器支持使用 POSIX 子系统的应用程序,则这个子系统是必需的。
这个子系统引进了安全风险,该风险与可能在登录之间持续存在的进程相关。即,如果用户启动某个进程并随后注销,就可能出现以下情况:登录该系统的下一个用户可以访问上一个用户的进程。这是非常危险的,因为由第一个用户启动的进程可能保留该用户的系统特权;第二个用户在该进程中所做任何事情都将用第一个用户的特权执行。
对策
将“系统设置:可选子系统”设置为空值。默认值是“POSIX”。
潜在影响
依赖 POSIX 子系统的应用程序将不再能够工作。例如,Microsoft Services for Unix (SFU) 3.0 安装一个需要 POSIX 子系统的更新版本的 POSIX 子系统,这样,对于使用 SFU 3.0 的任何服务器,您将必须在组策略中重置此设置。
系统设置:为软件限制策略对 Windows 可执行文件使用证书规则
“系统设置:为软件限制策略对 Windows 可执行文件使用证书规则”安全设置确定在用户或进程尝试运行具有 .exe 文件扩展名的软件时是否处理数字证书。这个安全设置启用或禁用证书规则(一种类型的软件限制策略规则)。在软件限制策略下,您可以创建一种证书规则以允许或禁止运行由 Authenticode? 技术签名的软件,软件是否能够运行将由与软件相关的数字证书确定。为了使证书规则生效,必须启用此安全设置。
这个组策略设置可能的值如下:
? 启用
? 禁用
? 没有定义
漏洞
软件限制策略有助于防止用户和计算机执行未经授权的代码(如病毒和特洛伊木马)。
对策
将“系统设置:为软件限制策略对 Windows 可执行文件使用证书规则”设置为“启用”。
潜在影响
如果启用证书规则,将导致软件限制策略检查证书吊销列表 (CRL),以确保软件的证书和签名有效。这也会造成签名程序启动时系统性能的下降。可通过在所需的 GPO 中编辑软件限制策略来禁用此功能。在“受信任的发布者属性”对话框中清除“发布者”和“时间戳”复选框。 谢谢楼主分享支持~!!!
页:
[1]
