組策略設(shè)置系列之“安全選項(xiàng)”(共16頁)

1、組策略設(shè)置系列篇之“安全選項(xiàng)”-1設(shè)置, 選項(xiàng)組策略的“安全選項(xiàng)”部分啟用或禁用數(shù)字?jǐn)?shù)據(jù)簽名、Administrator 和 Guest 帳戶名、軟盤驅(qū)動器和 CD-ROM 驅(qū)動器的訪問、驅(qū)動程序安裝操作和登錄提示的計(jì)算機(jī)安全設(shè)置。安全選項(xiàng)設(shè)置您可以在組策略對象編輯器的下列位置配置安全選項(xiàng)設(shè)置：計(jì)算機(jī)配置Windows 設(shè)置安全設(shè)置本地策略安全選項(xiàng)帳戶：管理員帳戶狀態(tài)此策略設(shè)置啟用或禁用 Administrator 帳戶的正常操作條件。如果以安全模式啟動計(jì)算機(jī)，Administrator 帳戶總是處于啟用狀態(tài)，而與如何配置此策略設(shè)置無關(guān)。“帳戶：管理員帳戶狀態(tài)”設(shè)置的可能值為： 已啟用 已禁用

2、 沒有定義漏洞：在某些組織中，維持定期更改本地帳戶的密碼這項(xiàng)常規(guī)計(jì)劃可能會是很大的管理挑戰(zhàn)。因此，您可能需要禁用內(nèi)置的 Administrator 帳戶，而不是依賴常規(guī)密碼更改來保護(hù)其免受攻擊。需要禁用此內(nèi)置帳戶的另一個原因就是，無論經(jīng)過多少次登錄失敗它都不會被鎖定，這使得它成為強(qiáng)力攻擊（嘗試猜測密碼）的主要目標(biāo)。另外，此帳戶還有一個眾所周知的安全標(biāo)識符 (SID)，而且第三方工具允許使用 SID 而非帳戶名來進(jìn)行身份驗(yàn)證。此功能意味著，即使您重命名 Administrator 帳戶，攻擊者也可能使用該 SID 登錄來發(fā)起強(qiáng)力攻擊。對策：將“帳戶：管理員帳戶狀態(tài)”設(shè)置配置為“已禁用”，以便在正

3、常的系統(tǒng)啟動中不能再使用內(nèi)置的 Administrator 帳戶。潛在影響：如果禁用 Administrator 帳戶，在某些情況下可能會造成維護(hù)問題。例如，在域環(huán)境中，如果成員計(jì)算機(jī)和域控制器間的安全通道因任何原因而失敗，而且沒有其他本地 Administrator 帳戶，則您必須以安全模式重新啟動才能修復(fù)這個中斷安全通道的問題。如果當(dāng)前的 Administrator 密碼不滿足密碼要求，則 Administrator 帳戶被禁用之后，無法重新啟用。如果出現(xiàn)這種情況，Administrators 組的另一個成員必須使用“本地用戶和組”工具來為該 Administrator 帳戶設(shè)置密碼。帳戶

4、：來賓帳戶狀態(tài)此策略設(shè)置確定是啟用還是禁用來賓帳戶?！皫簦簛碣e帳戶狀態(tài)”設(shè)置的可能值為： 已啟用 已禁用 沒有定義漏洞：默認(rèn) Guest 帳戶允許未經(jīng)身份驗(yàn)證的網(wǎng)絡(luò)用戶以沒有密碼的 Guest 身份登錄。這些未經(jīng)授權(quán)的用戶能夠通過網(wǎng)絡(luò)訪問 Guest 帳戶可訪問的任何資源。此功能意味著任何具有允許 Guest 帳戶、Guests 組或 Everyone 組進(jìn)行訪問的權(quán)限的網(wǎng)絡(luò)共享資源，都可以通過網(wǎng)絡(luò)對其進(jìn)行訪問，這可能導(dǎo)致數(shù)據(jù)暴露或損壞。對策：將“帳戶：來賓帳戶狀態(tài)”設(shè)置配置為“已禁用”，以便內(nèi)置的 Guest 帳戶不再可用。潛在影響：所有的網(wǎng)絡(luò)用戶都將必須先進(jìn)行身份驗(yàn)證，才能訪問共享資源。

5、如果禁用 Guest 帳戶，并且“網(wǎng)絡(luò)訪問：共享和安全模式”選項(xiàng)設(shè)置為“僅來賓”，則那些由 Microsoft 網(wǎng)絡(luò)服務(wù)器（SMB 服務(wù)）執(zhí)行的網(wǎng)絡(luò)登錄將失敗。對于大多數(shù)組織來說，此策略設(shè)置的影響應(yīng)該會很小，因?yàn)樗?Microsoft Windows 2000、Windows XP 和 Windows Server 2003 中的默認(rèn)設(shè)置。帳戶：使用空白密碼的本地帳戶只允許進(jìn)行控制臺登錄此策略設(shè)置確定是否允許使用空白密碼的本地帳戶通過網(wǎng)絡(luò)服務(wù)（如終端服務(wù)、Telnet 和文件傳輸協(xié)議 (FTP)）進(jìn)行遠(yuǎn)程交互式登錄。如果啟用此策略設(shè)置，則本地帳戶必須有一個非空密碼，才能從遠(yuǎn)程客戶端執(zhí)行交互式

6、或網(wǎng)絡(luò)登錄?！皫簦菏褂每瞻酌艽a的本地帳戶只允許進(jìn)行控制臺登錄”設(shè)置的可能值為： 已啟用 已禁用 沒有定義注意：此策略設(shè)置不影響在控制臺上以物理方式執(zhí)行的交互式登錄，也不影響使用域帳戶的登錄。警告：使用遠(yuǎn)程交互式登錄的第三方應(yīng)用程序有可能跳過此策略設(shè)置。漏洞：空白密碼會對計(jì)算機(jī)安全造成嚴(yán)重威脅，應(yīng)當(dāng)通過組織的策略和適當(dāng)?shù)募夹g(shù)措施來禁止。實(shí)際上，Windows Server 2003 Active Directory 目錄服務(wù)域的默認(rèn)設(shè)置需要至少包含七個字符的復(fù)雜密碼。但是，如果能夠創(chuàng)建新帳戶的用戶跳過基于域的密碼策略，則他們可以創(chuàng)建具有空白密碼的帳戶。例如，某個用戶可以構(gòu)建一個獨(dú)立的計(jì)算機(jī)，創(chuàng)

7、建一個或多個具有空白密碼的帳戶，然后將該計(jì)算機(jī)加入到域中。具有空白密碼的本地帳戶仍將正常工作。任何人如果知道其中一個未受保護(hù)的帳戶的名稱，都可以用它來登錄。對策：啟用“帳戶：使用空白密碼的本地帳戶只允許進(jìn)行控制臺登錄”設(shè)置。潛在影響：無。這是默認(rèn)配置。帳戶：重命名系統(tǒng)管理員帳戶此策略設(shè)置確定另一個帳戶名是否與 Administrator 帳戶的 SID 相關(guān)聯(lián)?！皫簦褐孛到y(tǒng)管理員帳戶”設(shè)置的可能值為： 用戶定義的文本 沒有定義漏洞：Administrator 帳戶存在于運(yùn)行 Windows 2000、Windows Server 2003 或 Windows XP Professiona

8、l 操作系統(tǒng)的所有計(jì)算機(jī)上。如果重命名此帳戶，會使未經(jīng)授權(quán)的人員更難猜測這個具有特權(quán)的用戶名和密碼組合。無論攻擊者可能使用多少次錯誤密碼，內(nèi)置的 Administrator 帳戶都不能被鎖定。此功能使得 Administrator 帳戶成為強(qiáng)力攻擊（嘗試猜測密碼）的常見目標(biāo)。這個對策的價(jià)值之所以減少，是因?yàn)榇藥粲幸粋€眾所周知的 SID，而且第三方工具允許使用 SID 而非帳戶名來進(jìn)行身份驗(yàn)證。因此，即使您重命名 Administrator 帳戶，攻擊者也可能會使用該 SID 來登錄以發(fā)起強(qiáng)力攻擊。對策：在“帳戶：重命名系統(tǒng)管理員帳戶”設(shè)置中指定一個新名稱，以重命名 Administrator

9、 帳戶。注意：在后面的章節(jié)中，此策略設(shè)置既未在安全模板中進(jìn)行配置，也不是本指南所建議帳戶的新用戶名。模板中忽略了這項(xiàng)策略設(shè)置，這樣做是為了讓使用本指南的眾多組織將不在其環(huán)境中實(shí)現(xiàn)同樣的新用戶名。潛在影響：您必須將這個新帳戶名通知給授權(quán)使用此帳戶的用戶。（有關(guān)此設(shè)置的指導(dǎo)假定 Administrator 帳戶沒有被禁用，這是本章前面建議的設(shè)置。）帳戶：重命名來賓帳戶“帳戶：重命名來賓帳戶”設(shè)置確定另一個帳戶名是否與 Guest 帳戶的 SID 相關(guān)聯(lián)。此組策略設(shè)置的可能值為： 用戶定義的文本 沒有定義漏洞：Guest 帳戶存在于運(yùn)行 Windows 2000、Windows Server 200

10、3 或 Windows XP Professional 操作系統(tǒng)的所有計(jì)算機(jī)上。如果重命名此帳戶，會使未經(jīng)授權(quán)的人員更難猜測這個具有特權(quán)的用戶名和密碼組合。對策：在“帳戶：重命名來賓帳戶”設(shè)置中指定一個新名稱，以重命名 Guest 帳戶。注意：在后面的章節(jié)中，此策略設(shè)置既未在安全模板中進(jìn)行配置，也不是本指南所建議帳戶的新用戶名。模板中忽略了這項(xiàng)策略設(shè)置，這樣做是為了讓使用本指南的眾多組織將不在其環(huán)境中實(shí)現(xiàn)同樣的新用戶名。潛在影響：影響應(yīng)該會很小，因?yàn)樵谀J(rèn)情況下，Windows 2000、Windows XP 和 Windows Server 2003 中已禁用“Guest”帳戶。審核：對備份

11、和還原權(quán)限的使用進(jìn)行審核如果啟用此策略設(shè)置，在計(jì)算機(jī)創(chuàng)建系統(tǒng)對象（如多用戶端執(zhí)行程序、事件、信號燈和 MS-DOS 設(shè)備）時(shí)，將應(yīng)用默認(rèn)的系統(tǒng)訪問控制列表 (SACL)。如果如本指南第 3 章中所述，您還啟用了“審核對象訪問”審核設(shè)置，則會審核對這些系統(tǒng)對象的訪問。全局系統(tǒng)對象（又被稱作“基本系統(tǒng)對象”或“基本命名對象”是存活時(shí)間很短的內(nèi)核對象，它們的名稱是由創(chuàng)建它們的應(yīng)用程序或系統(tǒng)組件分配的。這些對象經(jīng)常用于同步多個應(yīng)用程序或一個復(fù)雜應(yīng)用程序的多個部分。由于它們具有名稱，因此這些對象在作用域內(nèi)是全局的，從而對于計(jì)算機(jī)上的所有進(jìn)程均可見。這些對象都具有一個安全描述符，但是它們通常有一個空的系統(tǒng)

12、訪問控制列表。如果在啟動時(shí)啟用此策略設(shè)置，內(nèi)核將在這些對象被創(chuàng)建時(shí)向它們分配一個系統(tǒng)訪問控制列表。“審核：對全局系統(tǒng)對象的訪問進(jìn)行審核”設(shè)置的可能值為： 已啟用 已禁用 沒有定義漏洞：如果沒有正確地保護(hù)某個全局可見的命名對象，則知道該對象名稱的惡意程序可能會針對該對象進(jìn)行操作。例如，如果某個同步對象（如多用戶終端執(zhí)行程序）有一個錯誤選擇的任意訪問控制列表 (DACL)，則惡意程序可以按名稱訪問這個多用戶終端執(zhí)行程序，并且導(dǎo)致創(chuàng)建這個多用戶終端執(zhí)行程序的程序無法正常工作。但是，出現(xiàn)這種情況的風(fēng)險(xiǎn)會非常低。對策：啟用“審核：對全局系統(tǒng)對象的訪問進(jìn)行審核”設(shè)置。潛在影響：如果啟用“審核：對全局系統(tǒng)對

13、象的訪問進(jìn)行審核”設(shè)置，可能會生成大量安全事件，尤其是在繁忙的域控制器和應(yīng)用程序服務(wù)器上。這類情況可能導(dǎo)致服務(wù)器響應(yīng)緩慢，并迫使安全事件日志記錄許多無關(guān)緊要的事件。此策略設(shè)置只能被啟用或禁用，并且沒有篩選記錄哪些事件和不記錄哪些事件的辦法。即使組織有能夠分析由此策略設(shè)置所生成事件的資源，它們也不可能具有每個命名對象的源代碼或關(guān)于其用途的說明。因此，對于許多組織來說，將此策略設(shè)置配置為“已啟用”，不大可能獲得什么好處。審核：對備份和還原權(quán)限的使用進(jìn)行審核此策略設(shè)置確定在“審核權(quán)限使用”設(shè)置生效時(shí)，是否對所有用戶權(quán)限（包括“備份和還原”權(quán)限）的使用進(jìn)行審核。如果啟用這兩個策略設(shè)置，會為備份或還原的

14、每個文件生成一個審核事件。如果啟用此策略設(shè)置并結(jié)合使用“審核權(quán)限使用”設(shè)置，用戶權(quán)限的任何行使?fàn)顩r都會記錄在安全日志中。如果禁用此策略設(shè)置，則即使啟用“審核權(quán)限使用”，也不會對用戶行使備份或還原權(quán)限的操作進(jìn)行審核?！皩徍耍簩浞莺瓦€原權(quán)限的使用進(jìn)行審核”設(shè)置的可能值為： 已啟用 已禁用 沒有定義漏洞：如果在啟用“審核權(quán)限使用”設(shè)置的同時(shí)啟用此選項(xiàng)，則備份或還原每個文件都會生成一個審核事件。此信息會幫助您識別被用于以未經(jīng)授權(quán)的方式意外或惡意還原數(shù)據(jù)的帳戶。對策：啟用“對備份和還原權(quán)限的使用進(jìn)行審核”設(shè)置?；蛘?，也可以通過配置 AutoBackupLogFiles 注冊表項(xiàng)來實(shí)施自動記錄備份，潛在

15、影響：如果啟用此策略設(shè)置，可能會生成大量安全事件，這可能導(dǎo)致服務(wù)器響應(yīng)緩慢，并迫使安全事件日志記錄許多無關(guān)緊要的事件。如果增加安全日志大小以減少系統(tǒng)關(guān)閉的機(jī)率，過大的日志文件可能影響系統(tǒng)性能。審核：如果無法記錄安全審核則立即關(guān)閉系統(tǒng)此策略設(shè)置確定在無法記錄安全事件時(shí)是否關(guān)閉計(jì)算機(jī)?？尚庞?jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn) (TCSEC)（C2 和通用標(biāo)準(zhǔn)認(rèn)證）需要在審核系統(tǒng)無法記錄可審核事件時(shí)，計(jì)算機(jī)能夠防止出現(xiàn)這些事件。Microsoft 所選擇的以滿足此要求的方法是：在無法審核系統(tǒng)時(shí)，暫停計(jì)算機(jī)并顯示一則停止消息。如果啟用此策略設(shè)置，計(jì)算機(jī)會在出于任何原因不能記錄安全審核時(shí)停止。通常，當(dāng)安全事件日志已滿，而

16、且為它指定的保留方法為“不覆蓋事件”或“按天數(shù)覆蓋事件”時(shí)，將無法記錄事件。啟用此策略設(shè)置時(shí)，如果安全日志已滿且不能覆蓋現(xiàn)有條目，則會顯示下列停止消息：STOP:C0000244 審核失敗嘗試生成安全審核失敗。要進(jìn)行恢復(fù)，管理員必須登錄，對日志進(jìn)行存檔（可選），清除日志，然后禁用此選項(xiàng)以允許計(jì)算機(jī)重新啟動。此時(shí)，可能需要先手動清除安全事件日志，然后才能將此策略設(shè)置配置為“已啟用”?！皩徍耍喝绻麩o法記錄安全審核則立即關(guān)閉系統(tǒng)”設(shè)置的可能值為： 已啟用 已禁用 沒有定義漏洞：如果計(jì)算機(jī)無法將事件記錄到安全日志中，則在出現(xiàn)安全事件之后，可能無法使用關(guān)鍵的證據(jù)或重要的疑難解答信息來進(jìn)行審查。此外，還有

17、攻擊者會生成大量安全事件日志消息以故意強(qiáng)制計(jì)算機(jī)關(guān)閉的潛在可能。對策：啟用“如果無法記錄安全審核則立即關(guān)閉系統(tǒng)”設(shè)置。潛在影響：如果啟用此策略設(shè)置，管理負(fù)擔(dān)可能會非常大，尤其是當(dāng)您還將安全日志的“保留”方法配置為“不覆蓋事件（手動清除日志）”時(shí)更是如此。此配置會導(dǎo)致抵賴威脅（備份操作員可能否認(rèn)他們備份或還原了數(shù)據(jù)）成為拒絕服務(wù) (DoS) 漏洞，因?yàn)榉?wù)器會因?qū)懭氲桨踩罩局械拇罅康卿浭录推渌踩录黄汝P(guān)閉。另外，由于是非正常關(guān)閉，因此可能會對操作系統(tǒng)、應(yīng)用程序或數(shù)據(jù)造成不可修復(fù)的損害。盡管 NTFS 文件系統(tǒng) (NTFS) 將保證在系統(tǒng)非正常關(guān)閉過程中保持文件系統(tǒng)的完整性，但是它不能保

18、證在計(jì)算機(jī)重新啟動時(shí)，每個應(yīng)用程序的每個數(shù)據(jù)文件都仍然處于可用狀態(tài)。DCOM：在安全描述符定義語言 (SDDL) 語法中的計(jì)算機(jī)訪問限制此策略設(shè)置允許管理員在計(jì)算機(jī)上定義用于管理對基于所有分布式組件對象模型 (DCOM) 的應(yīng)用程序訪問的其他計(jì)算機(jī)范圍訪問控件。這些控件限制計(jì)算機(jī)上的調(diào)用、激活或啟動請求?？紤]這些訪問控件最簡單的方法就是對計(jì)算機(jī)上任何 COM 服務(wù)器的每個調(diào)用、激活或啟動，根據(jù)計(jì)算機(jī)范圍的訪問控制列表 (ACL) 作為附加訪問檢查調(diào)用執(zhí)行。如果訪問檢查失敗，調(diào)用、激活或啟動請求將被拒絕。（此檢查是根據(jù)服務(wù)器特定的 ACL 運(yùn)行的任何訪問檢查以外的附加檢查。）實(shí)際上，它提供了在計(jì)

19、算機(jī)上訪問任何 COM 服務(wù)器時(shí)必須通過的最低授權(quán)標(biāo)準(zhǔn)。“DCOM：在安全描述符定義語言 (SDDL) 語法中的計(jì)算機(jī)訪問限制”設(shè)置控制訪問權(quán)限以保護(hù)調(diào)用權(quán)限。這些計(jì)算機(jī)范圍的 ACL 提供了一種可覆蓋由特定應(yīng)用程序通過 CoInitializeSecurity 或應(yīng)用程序特定的安全設(shè)置指定的弱安全性設(shè)置的方式。它們提供必須通過的最低安全標(biāo)準(zhǔn)，而不管特定服務(wù)器的設(shè)置如何。這些 ACL 為管理員提供了一個用于設(shè)置應(yīng)用于計(jì)算機(jī)上的所有 COM 服務(wù)器的一般授權(quán)策略的集中位置。“DCOM：在安全描述符定義語言 (SDDL) 語法中的計(jì)算機(jī)訪問限制”設(shè)置允許您以兩種不同方式指定一個 ACL。您可以以

20、SDDL 鍵入安全描述符，或者選擇用戶和組并授予或拒絕其本地訪問和遠(yuǎn)程訪問權(quán)限。Microsoft 建議您使用內(nèi)置的用戶界面以指定您想要使用此設(shè)置應(yīng)用的 ACL 內(nèi)容。漏洞：許多 COM 應(yīng)用程序包括一些安全特定代碼（例如，用于調(diào)用 CoInitializeSecurity），但卻使用弱設(shè)置，通常允許未經(jīng)驗(yàn)證就可訪問進(jìn)程。在 Windows 的較早版本中，若不修改應(yīng)用程序，管理員不能覆蓋這些設(shè)置以強(qiáng)制強(qiáng)安全性。攻擊者可能會通過 COM 調(diào)用來進(jìn)行攻擊以嘗試?yán)脝蝹€應(yīng)用程序中的弱安全性。此外，COM 結(jié)構(gòu)還包括 RPCSS，一種在計(jì)算機(jī)啟動過程中運(yùn)行并在啟動后始終運(yùn)行的系統(tǒng)服務(wù)。此服務(wù)管理 CO

21、M 對象的激活和運(yùn)行的對象表，并為 DCOM 遠(yuǎn)程處理提供幫助服務(wù)。它公開可遠(yuǎn)程調(diào)用的 RPC 接口。由于某些 COM 服務(wù)器允許未經(jīng)驗(yàn)證的遠(yuǎn)程訪問（如前面部分所述），因此任何人都可調(diào)用這些接口，包括未經(jīng)驗(yàn)證的用戶。因此，使用遠(yuǎn)程、未經(jīng)驗(yàn)證的計(jì)算機(jī)的惡意用戶能夠攻擊 RPCSS。對策：為保護(hù)單個基于 COM 的應(yīng)用程序或服務(wù)，請將“DCOM：在安全描述符定義語言 (SDDL) 語法中的計(jì)算機(jī)訪問限制”設(shè)置設(shè)置為相應(yīng)計(jì)算機(jī)范圍的 ACL。潛在影響：Windows XP SP2 和 Windows Server 2003 SP1 按照其各自的文檔中所指定的內(nèi)容實(shí)施默認(rèn)的 COM ACL。如果實(shí)施

22、COM 服務(wù)器并覆蓋默認(rèn)安全設(shè)置，請確認(rèn)應(yīng)用程序特定調(diào)用權(quán)限 ACL 為相應(yīng)用戶分配了正確權(quán)限。如果不是，您將必須更改應(yīng)用程序特定權(quán)限 ACL 來為相應(yīng)用戶提供激活權(quán)限，以便使用 DCOM 的應(yīng)用程序和 Windows 組件不會失敗。DCOM：在安全描述符定義語言 (SDDL) 語法中的計(jì)算機(jī)啟動限制此策略設(shè)置與“DCOM：在安全描述符定義語言 (SDDL) 語法中的計(jì)算機(jī)訪問限制”設(shè)置相類似，因?yàn)樗试S管理員定義可管理對計(jì)算機(jī)上所有基于 DCOM 應(yīng)用程序的訪問的附加計(jì)算機(jī)范圍訪問控制。但是，此策略設(shè)置中指定的 ACL 控制計(jì)算機(jī)上的本地和遠(yuǎn)程 COM 啟動請求（不是訪問請求）?？紤]此訪問控

23、制最簡單的方法是對計(jì)算機(jī)上任何 COM 服務(wù)器的每個啟動，根據(jù)計(jì)算機(jī)范圍的 ACL 作為附加訪問檢查調(diào)用執(zhí)行。如果訪問檢查失敗，調(diào)用、激活或啟動請求將被拒絕。（此檢查是針對服務(wù)器特定的 ACL 運(yùn)行的任何訪問檢查以外的附加檢查。）實(shí)際上，它提供了在計(jì)算機(jī)上啟動任何 COM 服務(wù)器時(shí)必須通過的最低授權(quán)標(biāo)準(zhǔn)。早期策略有所不同，因?yàn)樗峁┳畹偷脑L問檢查，應(yīng)用該檢查以試圖訪問已啟動的 COM 服務(wù)器。這些計(jì)算機(jī)范圍的 ACL 提供了一種可覆蓋由特定應(yīng)用程序通過 CoInitializeSecurity 或應(yīng)用程序特定的安全設(shè)置指定的弱安全性設(shè)置的方式。它們提供必須通過的最低安全標(biāo)準(zhǔn)，而不管特定 COM

24、 服務(wù)器的設(shè)置如何。這些 ACL 為管理員提供了一個用于設(shè)置應(yīng)用于計(jì)算機(jī)上的所有 COM 服務(wù)器的一般授權(quán)策略的集中位置?！癉COM：在安全描述符定義語言 (SDDL) 語法中的計(jì)算機(jī)啟動限制”設(shè)置允許您以兩種不同方式指定一個 ACL。您可以以 SDDL 鍵入安全描述符，或者選擇用戶和組并授予或拒絕其本地訪問和遠(yuǎn)程訪問權(quán)限。Microsoft 建議您使用內(nèi)置的用戶界面以指定您想要使用此設(shè)置應(yīng)用的 ACL 內(nèi)容。漏洞：許多 COM 應(yīng)用程序包括一些安全特定代碼（例如，用于調(diào)用 CoInitializeSecurity），但卻使用弱設(shè)置，通常允許未經(jīng)驗(yàn)證就可訪問進(jìn)程。在 Windows 的較早版本

25、中，若不修改應(yīng)用程序，管理員不能覆蓋這些設(shè)置以強(qiáng)制強(qiáng)安全性。攻擊者可能會通過 COM 調(diào)用來進(jìn)行攻擊以嘗試?yán)脝蝹€應(yīng)用程序中的弱安全性。此外，COM 結(jié)構(gòu)還包括 RPCSS，一種在計(jì)算機(jī)啟動過程中運(yùn)行并在啟動后始終運(yùn)行的系統(tǒng)服務(wù)。此服務(wù)管理 COM 對象的激活和運(yùn)行的對象表，并為 DCOM 遠(yuǎn)程處理提供幫助服務(wù)。它公開可遠(yuǎn)程調(diào)用的 RPC 接口。由于某些 COM 服務(wù)器允許未經(jīng)驗(yàn)證的遠(yuǎn)程組件激活（如前面部分所述），因此任何人都可調(diào)用這些接口，包括未經(jīng)驗(yàn)證的用戶。因此，使用遠(yuǎn)程、未經(jīng)驗(yàn)證的計(jì)算機(jī)的惡意用戶能夠攻擊 RPCSS。對策：為保護(hù)單個基于 COM 的應(yīng)用程序或服務(wù)，請將“DCOM：在安全

26、描述符定義語言 (SDDL) 語法中的計(jì)算機(jī)啟動限制”設(shè)置設(shè)置為相應(yīng)計(jì)算機(jī)范圍的 ACL。潛在影響Windows XP SP2 和 Windows Server 2003 SP1 按照各自的文檔中所指定的內(nèi)容實(shí)施默認(rèn)的 COM ACL。如果實(shí)施 COM 服務(wù)器并覆蓋默認(rèn)安全設(shè)置，請確認(rèn)應(yīng)用程序特定啟動權(quán)限 ACL 為相應(yīng)用戶分配了激活權(quán)限。如果不是，您將必須更改應(yīng)用程序特定啟動權(quán)限 ACL 來為相應(yīng)用戶提供激活權(quán)限，以便使用 DCOM 的應(yīng)用程序和 Windows 組件不會失敗。設(shè)備：允許不登錄移除此策略設(shè)置確定用戶是否必須登錄才能請求權(quán)限以從擴(kuò)展塢移除便攜式計(jì)算機(jī)。如果啟用此策略設(shè)置，用戶將

27、能夠通過按已插接的便攜式計(jì)算機(jī)上的物理彈出按鈕來安全移除計(jì)算機(jī)。如果禁用此策略設(shè)置，用戶必須登錄才能收到移除計(jì)算機(jī)的權(quán)限。只有具有“從擴(kuò)展塢中取出計(jì)算機(jī)”特權(quán)的用戶才能獲得此權(quán)限。注意：只有針對不能以機(jī)械方式移除的便攜式計(jì)算機(jī)，才應(yīng)禁用此策略設(shè)置?？梢砸詸C(jī)械方式移除的計(jì)算機(jī)能夠被用戶物理取出，不管他們是否使用 Windows 移除功能?！霸O(shè)備：允許不登錄移除”設(shè)置的可能值為： 已啟用 已禁用 沒有定義漏洞：如果啟用此策略設(shè)置，則任何人只要能夠物理訪問放置在其擴(kuò)展塢中的便攜式計(jì)算機(jī)，就都可以取出計(jì)算機(jī)并有可能損害它們。對于沒有擴(kuò)展塢的計(jì)算機(jī)，此策略設(shè)置沒有任何影響。對策：禁用“設(shè)備：允許不登錄移

28、除”設(shè)置。潛在影響：已經(jīng)固定其計(jì)算機(jī)的用戶將必須先登錄到本地控制臺，才能移除其計(jì)算機(jī)。設(shè)備：允許格式化和彈出可移動媒體此策略設(shè)置確定允許誰格式化和彈出可移動媒體。“設(shè)備：允許格式化和彈出可移動媒體”設(shè)置的可能值為： Administrators Administrators 和 Power Users Administrators 和 Interactive Users 沒有定義漏洞：用戶可以將可移動磁盤上的數(shù)據(jù)移到他們具有管理特權(quán)的另一臺計(jì)算機(jī)上。然后，該用戶可以獲取任何文件的所有權(quán)，授予自己完全控制權(quán)限，查看或修改任何文件。由于大多數(shù)可移動存儲設(shè)備都可以通過按一個機(jī)械按鈕來彈出媒體這一事實(shí)

29、，此策略設(shè)置的優(yōu)勢會有所減弱。對策：將“允許格式化和彈出可移動媒體”設(shè)置配置為 Administrators。潛在影響：只有管理員才能夠彈出 NTFS 格式化的可移動媒體。設(shè)備：防止用戶安裝打印機(jī)驅(qū)動程序?qū)τ谝蛴〉侥硞€網(wǎng)絡(luò)打印機(jī)的計(jì)算機(jī)，必須在本地計(jì)算機(jī)上安裝該網(wǎng)絡(luò)打印機(jī)的驅(qū)動程序?！霸O(shè)備：防止用戶安裝打印機(jī)驅(qū)動程序”設(shè)置確定誰可以安裝打印機(jī)驅(qū)動程序（作為添加網(wǎng)絡(luò)打印機(jī)的一部分）。如果啟用此策略設(shè)置，只有 Administrators 和 Power Users 組的成員允許在添加網(wǎng)絡(luò)打印機(jī)時(shí)安裝打印機(jī)驅(qū)動程序。如果禁用此策略設(shè)置，任何用戶在添加網(wǎng)絡(luò)打印機(jī)時(shí)都可以安裝打印機(jī)驅(qū)動程序。此策略設(shè)

30、置可防止典型用戶下載和安裝不受信任的打印機(jī)驅(qū)動程序。注意：如果管理員已經(jīng)配置了下載驅(qū)動程序的受信任路徑，則此策略設(shè)置沒有任何影響。如果使用受信任路徑，打印子系統(tǒng)會嘗試使用受信任路徑下載驅(qū)動程序。如果受信任路徑下載成功，則可以代表任何用戶安裝驅(qū)動程序。如果受信任路徑下載失敗，則驅(qū)動程序不會進(jìn)行安裝，網(wǎng)絡(luò)打印機(jī)不進(jìn)行添加?！霸O(shè)備：防止用戶安裝打印機(jī)驅(qū)動程序”設(shè)置的可能值為： 已啟用 已禁用 沒有定義漏洞：在某些組織中允許用戶在其自己的工作站上安裝打印機(jī)驅(qū)動程序可能是適當(dāng)?shù)摹５?，?yīng)不允許用戶在服務(wù)器上進(jìn)行這類安裝。在服務(wù)器上安裝打印機(jī)驅(qū)動程序可能會在無意中使計(jì)算機(jī)變得不太穩(wěn)定。只有管理員在服務(wù)器上

31、具有此特權(quán)。惡意用戶可能會安裝不適當(dāng)?shù)拇蛴C(jī)驅(qū)動程序來故意試圖損害計(jì)算機(jī)，或者用戶也可能會意外安裝一些偽裝成打印機(jī)驅(qū)動程序的惡意代碼。對策：將“設(shè)備：防止用戶安裝打印機(jī)驅(qū)動程序”設(shè)置配置為“已啟用”。潛在影響：只有具有 Administrative、Power User 或 Server Operator 特權(quán)的用戶才能夠在服務(wù)器上安裝打印機(jī)。如果啟用了此策略設(shè)置，但是網(wǎng)絡(luò)打印機(jī)的驅(qū)動程序已經(jīng)存在于本地計(jì)算機(jī)上，則用戶仍可以添加網(wǎng)絡(luò)打印機(jī)。設(shè)備：只有本地登錄的用戶才能訪問 CD-ROM此策略設(shè)置確定 CD-ROM 是否可供本地和遠(yuǎn)程用戶同時(shí)訪問。如果啟用此策略設(shè)置，將僅允許交互式登錄的用戶訪問

32、可移動的 CD-ROM 媒體。如果啟用了此策略設(shè)置，且沒有人交互登錄，則可以通過網(wǎng)絡(luò)訪問 CD-ROM。“設(shè)備：只有本地登錄的用戶才能訪問 CD-ROM”設(shè)置的可能值為： 已啟用 已禁用 沒有定義漏洞：遠(yuǎn)程用戶可能會訪問包含敏感信息、已裝入的 CD-ROM。這種風(fēng)險(xiǎn)的可能性很小，因?yàn)?CD-ROM 驅(qū)動器不會自動成為網(wǎng)絡(luò)共享資源，管理員必須專門選擇共享此驅(qū)動器。但是，管理員可能希望拒絕網(wǎng)絡(luò)用戶查看數(shù)據(jù)或從服務(wù)器上的可移動媒體運(yùn)行應(yīng)用程序的能力。對策：啟用“只有本地登錄的用戶才能訪問 CD-ROM”設(shè)置。潛在影響：當(dāng)有人登錄到服務(wù)器的本地控制臺時(shí)，通過網(wǎng)絡(luò)連接到服務(wù)器的用戶將無法使用安裝在服務(wù)器

33、上的任何 CD-ROM 驅(qū)動器。需要訪問 CD-ROM 驅(qū)動器的系統(tǒng)工具將失敗。例如，卷影復(fù)制服務(wù)試圖在計(jì)算機(jī)初始化時(shí)訪問計(jì)算機(jī)上的所有 CD-ROM 和軟盤驅(qū)動器，并且如果服務(wù)無法訪問其中一個驅(qū)動器，它將失敗。如果已為備份作業(yè)指定卷影副本，這種情況將導(dǎo)致 Windows 備份工具失敗。任何使用卷影副本的第三方備份產(chǎn)品也將失敗。對于充當(dāng)網(wǎng)絡(luò)用戶 CD 點(diǎn)唱機(jī)的計(jì)算機(jī)，此策略設(shè)置不適合。設(shè)備：只有本地登錄的用戶才能訪問軟盤此策略設(shè)置確定可移動軟盤媒體是否可供本地和遠(yuǎn)程用戶同時(shí)訪問。如果啟用此策略設(shè)置，將僅允許交互式登錄的用戶訪問可移動的軟盤媒體。如果啟用了此策略設(shè)置，且沒有人交互登錄，則可以通過

34、網(wǎng)絡(luò)訪問軟盤?！霸O(shè)備：只有本地登錄的用戶才能訪問軟盤”設(shè)置的可能值為： 已啟用 已禁用 沒有定義漏洞：遠(yuǎn)程用戶可能會訪問包含敏感信息、已裝入的軟盤。這種風(fēng)險(xiǎn)的可能性很小，因?yàn)檐洷P驅(qū)動器不會自動成為網(wǎng)絡(luò)共享資源，管理員必須專門選擇共享此驅(qū)動器。但是，管理員可能希望拒絕網(wǎng)絡(luò)用戶查看數(shù)據(jù)或從服務(wù)器上的可移動媒體運(yùn)行應(yīng)用程序的能力。對策：啟用“只有本地登錄的用戶才能訪問軟盤”設(shè)置。潛在影響：當(dāng)有人登錄到服務(wù)器的本地控制臺時(shí)，通過網(wǎng)絡(luò)連接到服務(wù)器的用戶將無法使用安裝在服務(wù)器上的任何軟盤驅(qū)動器。需要訪問軟盤驅(qū)動器的系統(tǒng)工具將失敗。例如，卷影復(fù)制服務(wù)試圖在計(jì)算機(jī)初始化時(shí)訪問計(jì)算機(jī)上的所有 CD-ROM 和軟

35、盤驅(qū)動器，并且如果服務(wù)無法訪問其中一個驅(qū)動器，它將失敗。如果已為備份作業(yè)指定卷影副本，這種情況將導(dǎo)致 Windows 備份工具失敗。任何使用卷影副本的第三方備份產(chǎn)品也將失敗。設(shè)備：未簽名驅(qū)動程序的安裝操作此策略設(shè)置確定在試圖安裝未經(jīng) Windows 硬件質(zhì)量實(shí)驗(yàn)室 (WHQL) 認(rèn)證和簽名的設(shè)備驅(qū)動程序（使用安裝應(yīng)用程序編程接口 (API) 方法）時(shí)，將發(fā)生的操作?！霸O(shè)備：未簽名驅(qū)動程序的安裝操作”設(shè)置的可能值為： 默認(rèn)繼續(xù) 允許安裝但發(fā)出警告 禁止安裝 沒有定義漏洞：此策略設(shè)置可以防止安裝未經(jīng)簽名的驅(qū)動程序，或向管理員發(fā)出警告指出有人要安裝未經(jīng)簽名的驅(qū)動程序軟件。此功能可以防止使用 Setu

36、p API 安裝尚未通過認(rèn)證在 Windows XP 或 Windows Server 2003 上運(yùn)行的驅(qū)動程序。此策略設(shè)置將不能防止某些攻擊工具使用某種方法來復(fù)制和注冊惡意的 .sys 文件，從而將這些文件作為系統(tǒng)服務(wù)啟動。對策：將“設(shè)備：未簽名驅(qū)動程序的安裝操作”設(shè)置配置為“允許安裝但發(fā)出警告”，這是 Windows XP SP2 的默認(rèn)配置。Windows Server 2003 的默認(rèn)配置為“沒有定義”。潛在影響：如果用戶具有安裝設(shè)備驅(qū)動程序的足夠特權(quán)，則他們將能夠安裝未簽名的設(shè)備驅(qū)動程序。但是，此功能可能會導(dǎo)致服務(wù)器產(chǎn)生穩(wěn)定性問題?！霸试S安裝但發(fā)出警告”配置還有另一個潛在問題，那就

37、是，無人參與的安裝腳本在嘗試安裝未簽名的驅(qū)動程序時(shí)將會失敗。域控制器：允許服務(wù)器操作員計(jì)劃任務(wù)此策略設(shè)置確定是否允許服務(wù)器操作員通過 AT 計(jì)劃工具提交作業(yè)。注意：此安全選項(xiàng)設(shè)置只影響 AT 計(jì)劃工具。它不影響“任務(wù)計(jì)劃程序”工具?！坝蚩刂破鳎涸试S服務(wù)器操作員計(jì)劃任務(wù)”設(shè)置的可能值為： 已啟用 已禁用 沒有定義漏洞：如果啟用此策略設(shè)置，由服務(wù)器操作員通過 AT 服務(wù)創(chuàng)建的作業(yè)將在運(yùn)行該服務(wù)的帳戶的上下文中執(zhí)行。在默認(rèn)情況下，這是本地的 SYSTEM 帳戶。如果啟用此策略設(shè)置，服務(wù)器操作員可以執(zhí)行 SYSTEM 能夠執(zhí)行、但是他們通常無法執(zhí)行的任務(wù)，例如將他們的帳戶添加到本地 Administr

38、ators 組中。對策：禁用“域控制器：允許服務(wù)器操作員計(jì)劃任務(wù)”設(shè)置。潛在影響：對于大多數(shù)組織來說，影響會很小。用戶（包括 Server Operators 組的用戶） 仍然可以通過“任務(wù)計(jì)劃程序向?qū)А眲?chuàng)建作業(yè)。但是，這些作業(yè)運(yùn)行的上下文將是用戶設(shè)置作業(yè)時(shí)進(jìn)行身份驗(yàn)證所用帳戶的上下文。域控制器：LDAP 服務(wù)器簽名要求此策略設(shè)置確定輕型目錄訪問協(xié)議 (LDAP) 服務(wù)器是否要求 LDAP 客戶端協(xié)商數(shù)據(jù)簽名。“域控制器：LDAP 服務(wù)器簽名要求”設(shè)置的可能值為： 無。數(shù)據(jù)簽名不是與服務(wù)器綁定所必需的。如果客戶端請求數(shù)據(jù)簽名，則服務(wù)器會支持它。 要求簽名。除非使用傳輸層安全性/安全套接字層 (

39、TLS/SSL)，否則必須協(xié)商 LDAP 數(shù)據(jù)簽名選項(xiàng)。 沒有定義。漏洞：未簽名的網(wǎng)絡(luò)通信易遭受中間人攻擊。在這類攻擊中，入侵者捕獲服務(wù)器和客戶端之間的數(shù)據(jù)包，進(jìn)行修改，然后將它們轉(zhuǎn)發(fā)到客戶端。在涉及 LDAP 服務(wù)器的環(huán)境中，攻擊者可以讓客戶端根據(jù)來自 LDAP 目錄的錯誤記錄作出決策。要降低對組織網(wǎng)絡(luò)的這類入侵的風(fēng)險(xiǎn)，可以實(shí)施強(qiáng)物理安全措施，從而保護(hù)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)。此外，也可以實(shí)施 Internet 協(xié)議安全 (IPSec) 身份驗(yàn)證頭模式 (AH)，它可以針對 IP 通信執(zhí)行相互身份驗(yàn)證和數(shù)據(jù)包完整性，從而使所有類型的中間人攻擊變得極其困難。對策：將“域控制器：LDAP 服務(wù)器簽名要求”設(shè)

40、置配置為“要求簽名”。潛在影響：不支持 LDAP 簽名的客戶端將無法針對域控制器執(zhí)行 LDAP 查詢。組織中從基于 Windows Server 2003 或 Windows XP 的計(jì)算機(jī)進(jìn)行管理的所有基于 Windows 2000 的計(jì)算機(jī)和使用 Windows NT 質(zhì)詢/響應(yīng) (NTLM) 身份驗(yàn)證的計(jì)算機(jī)都必須安裝 Windows 2000 Service Pack 3 (SP3)。或者，這些客戶端必須進(jìn)行 Microsoft 知識庫文章 Q325465“使用 Windows Server 2003 管理工具時(shí) Windows 2000 域控制器需要 SP3 或更高版本”中描述的注冊

41、表更改，該文章網(wǎng)址為px?scid=325465。另外，某些第三方操作系統(tǒng)不支持 LDAP 簽名。如果啟用此策略設(shè)置，使用這些操作系統(tǒng)的客戶端計(jì)算機(jī)可能無法訪問域資源。域控制器：拒絕更改機(jī)器帳戶密碼此策略設(shè)置確定域控制器是否接受計(jì)算機(jī)帳戶的密碼更改請求?！坝蚩刂破鳎壕芙^更改機(jī)器帳戶密碼”設(shè)置的可能值為： 已啟用 已禁用 沒有定義漏洞：如果在域中的所有域控制器上啟用此策略設(shè)置，域成員將不能更改其計(jì)算機(jī)帳戶密碼，并且這些密碼將更易遭受攻擊。對策：禁用“域控制器：拒絕更改機(jī)器帳戶密碼”設(shè)置。潛在影響：無。這是默認(rèn)配置。域成員：對安全通道數(shù)據(jù)進(jìn)行數(shù)字加密或簽名（多個相關(guān)設(shè)置）下列策略設(shè)置確定是否與不能

42、對安全通道通信進(jìn)行簽名或加密的域控制器建立安全通道： 域成員：對安全通道數(shù)據(jù)進(jìn)行數(shù)字加密或簽名（總是） 域成員：對安全通道數(shù)據(jù)進(jìn)行數(shù)字加密（如果可能） 域成員：對安全通道數(shù)據(jù)進(jìn)行數(shù)字簽名（如果可能）如果啟用“域成員：對安全通道數(shù)據(jù)進(jìn)行數(shù)字加密或簽名（總是）”設(shè)置，則不能與不能對所有安全通道數(shù)據(jù)進(jìn)行簽名或加密的任何域控制器建立安全通道。為了防止身份驗(yàn)證通信受到中間人、重播以及其他類型的網(wǎng)絡(luò)攻擊，基于 Windows 的計(jì)算機(jī)會通過名為“Secure Channels（安全通道）”的 NetLogon 來創(chuàng)建通信通道。這些通道對計(jì)算機(jī)帳戶進(jìn)行身份驗(yàn)證，當(dāng)遠(yuǎn)程用戶連接到網(wǎng)絡(luò)資源，而且該用戶的帳戶存在

43、于受信任域中時(shí)，這些通道還對用戶帳戶進(jìn)行身份驗(yàn)證。這種身份驗(yàn)證被稱作通過式身份驗(yàn)證，它允許加入到某個域的計(jì)算機(jī)訪問位于它所在的域以及任何受信任域中的用戶帳戶數(shù)據(jù)庫。注意：要在成員工作站或服務(wù)器上啟用“域成員：對安全通道數(shù)據(jù)進(jìn)行數(shù)字加密或簽名（總是）”設(shè)置，該成員所屬的域中的所有域控制器都必須能夠?qū)θ堪踩ǖ罃?shù)據(jù)進(jìn)行簽名或加密。這項(xiàng)要求意味著所有這類域控制器必須運(yùn)行 Windows NT 4.0 Service Pack 6a 或 Windows 操作系統(tǒng)的更高版本。如果啟用“域成員：對安全通道數(shù)據(jù)進(jìn)行數(shù)字加密或簽名（總是）”設(shè)置，則會自動啟用“域成員：對安全通道數(shù)據(jù)進(jìn)行數(shù)字簽名（如果可能）”

44、設(shè)置。此策略設(shè)置的可能值為： 已啟用 已禁用 沒有定義漏洞：當(dāng) Windows Server 2003、Windows XP、Windows 2000 或 Windows NT 計(jì)算機(jī)加入某個域時(shí)，將創(chuàng)建一個計(jì)算機(jī)帳戶。加入該域之后，計(jì)算機(jī)在每次重新啟動時(shí)，都使用此帳戶的密碼，與它所在域的域控制器創(chuàng)建一個安全通道。在安全通道上發(fā)送的請求將被驗(yàn)證，敏感信息（如密碼）將被加密，但不會對通道進(jìn)行完整性檢查，也不會加密所有的信息。如果計(jì)算機(jī)被配置為總是對安全通道數(shù)據(jù)進(jìn)行加密或簽名，但域控制器無法對安全通道數(shù)據(jù)的任何部分進(jìn)行簽名或加密，則計(jì)算機(jī)和域控制器無法建立安全通道。如果計(jì)算機(jī)被配置為在可能的情況下

45、對安全通道數(shù)據(jù)進(jìn)行加密或簽名，則可以建立安全通道，但是會對加密和簽名的級別進(jìn)行協(xié)商。對策： 將“域成員：對安全通道數(shù)據(jù)進(jìn)行數(shù)字加密或簽名（總是）”設(shè)置配置為“已啟用”。 將“域成員：對安全通道數(shù)據(jù)進(jìn)行數(shù)字加密（如果可能）”設(shè)置配置為“已啟用”。 將“域成員：對安全通道數(shù)據(jù)進(jìn)行數(shù)字簽名（如果可能）”設(shè)置配置為“已啟用”。潛在影響：對“安全通道”進(jìn)行數(shù)字加密和簽名（如果支持的話）是一個好主意。在域憑據(jù)被發(fā)送到域控制器時(shí)，安全通道保護(hù)這些憑據(jù)。但是，只有 Windows NT 4.0 Service Pack 6a (SP6a) 和 Windows 操作系統(tǒng)的后續(xù)版本才支持對安全通道進(jìn)行數(shù)字加密和簽

46、名。Windows 98 Second Edition 客戶端不支持它（除非它們安裝了 Dsclient）。因此，對于支持將 Windows 98 客戶端作為域成員的域控制器，不能啟用“域成員：對安全通道數(shù)據(jù)進(jìn)行數(shù)字加密或簽名（總是）”設(shè)置。潛在影響可能包括以下情況： 創(chuàng)建或刪除下級信任關(guān)系的能力將被禁用。 從下級客戶端登錄將被禁用。 從下級受信任域中對其他域的用戶進(jìn)行身份驗(yàn)證的能力將被禁用。在從域中清除所有的 Windows 9x 客戶端、將受信任/信任域中的所有 Windows NT 4.0 服務(wù)器和域控制器升級到 Windows NT 4.0 SP6a 之后，可以啟用此策略設(shè)置。對于域中

47、的所有計(jì)算機(jī)，還可以啟用另外兩個策略設(shè)置：“域成員：對安全通道數(shù)據(jù)進(jìn)行數(shù)字加密（如果可能）”和“域成員：對安全通道數(shù)據(jù)進(jìn)行數(shù)字簽名（如果可能）”，但前提是這些計(jì)算機(jī)支持這兩個設(shè)置而且不影響下級客戶端和應(yīng)用程序。域成員：禁用更改機(jī)器帳戶密碼此策略設(shè)置確定域成員是否可以定期更改其計(jì)算機(jī)帳戶密碼。如果啟用此策略設(shè)置，域成員不能更改其計(jì)算機(jī)帳戶密碼。如果禁用此策略設(shè)置，將允許域成員根據(jù)“域成員：最長機(jī)器帳戶密碼壽命”設(shè)置更改其計(jì)算機(jī)帳戶密碼，在默認(rèn)情況下是每 30 天更改一次。警告：請不要啟用此策略設(shè)置。計(jì)算機(jī)帳戶密碼用于在成員和域控制器之間以及域中的域控制器之間建立安全通道通信。在建立了這類通信之后，安全通道會傳輸進(jìn)