組策略設(shè)置系列之“安全選項”

1、組策略設(shè)設(shè)置系列列篇之“安全選選項”-1設(shè)置, 選項組策略的的“安全選選項”部分啟啟用或禁禁用數(shù)字字?jǐn)?shù)據(jù)簽簽名、Admminiistrratoor 和 Guuestt 帳戶名名、軟盤盤驅(qū)動器器和 CDD-ROOM 驅(qū)動器器的訪問問、驅(qū)動動程序安安裝操作作和登錄錄提示的的計算機(jī)機(jī)安全設(shè)設(shè)置。安全選項項設(shè)置您可以在在組策略略對象編編輯器的的下列位位置配置置安全選選項設(shè)置置：計算算機(jī)配置置Wiindoows 設(shè)置安全設(shè)設(shè)置本地策略略安全選選項帳戶：管管理員帳戶狀狀態(tài)此策略設(shè)設(shè)置啟用用或禁用用 Addminnisttrattor 帳戶的的正常操操作條件件。如果果以安全全模式啟啟動計算算機(jī)，Admmin

2、iistrratoor 帳戶總總是處于于啟用狀狀態(tài)，而而與如何何配置此此策略設(shè)設(shè)置無關(guān)關(guān)?！皫簦汗芾韱T員帳戶狀狀態(tài)”設(shè)置的的可能值值為： 已啟用 已禁用 沒有定義義漏洞：在在某些組組織中，維持定定期更改改本地帳帳戶的密密碼這項項常規(guī)計計劃可能能會是很很大的管管理挑戰(zhàn)戰(zhàn)。因此此，您可可能需要要禁用內(nèi)內(nèi)置的 Addminnisttrattor 帳戶，而不是是依賴常常規(guī)密碼碼更改來來保護(hù)其其免受攻攻擊。需需要禁用用此內(nèi)置帳戶戶的另一一個原因因就是，無論經(jīng)經(jīng)過多少少次登錄錄失敗它它都不會會被鎖定定，這使使得它成成為強力力攻擊（嘗試猜猜測密碼碼）的主主要目標(biāo)標(biāo)。另外外，此帳帳戶還有有一個眾眾所周知知的

3、安全全標(biāo)識符 (SSID)，而且且第三方方工具允允許使用用 SIID 而非帳帳戶名來來進(jìn)行身身份驗證證。此功功能意味味著，即即使您重重命名 Addminnisttrattor 帳戶，攻擊者者也可能能使用該該 SIID 登錄來來發(fā)起強強力攻擊擊。對策：將將“帳戶：管理員員帳戶狀狀態(tài)”設(shè)置配配置為“已禁用”，以便便在正常常的系統(tǒng)統(tǒng)啟動中中不能再再使用內(nèi)內(nèi)置的 Addminnisttrattor 帳戶。潛在影響響：如果果禁用 Addminnisttrattor 帳戶，在某些些情況下下可能會會造成維維護(hù)問題題。例如如，在域域環(huán)境中中，如果果成員計計算機(jī)和和域控制制器間的的安全通通道因任任何原因因而失敗

4、敗，而且且沒有其其他本地地 Addminnisttrattor 帳戶，則您必必須以安安全模式式重新啟啟動才能能修復(fù)這這個中斷斷安全通通道的問問題。如果當(dāng)前前的 Addminnisttrattor 密碼不不滿足密密碼要求求，則 Addminnisttrattor 帳戶被被禁用之之后，無無法重新新啟用。如果出出現(xiàn)這種種情況，Admminiistrratoors 組的另另一個成成員必須須使用“本地用用戶和組組”工具來來為該 Addminnisttrattor 帳戶設(shè)設(shè)置密碼碼。帳戶：來來賓帳戶戶狀態(tài)此策略設(shè)設(shè)置確定定是啟用用還是禁禁用來賓賓帳戶?！皫簦簛碣e帳帳戶狀態(tài)態(tài)”設(shè)置的的可能值值為： 已啟用

5、 已禁用 沒有定義義漏洞：默默認(rèn) Guuestt 帳戶允允許未經(jīng)經(jīng)身份驗驗證的網(wǎng)網(wǎng)絡(luò)用戶戶以沒有有密碼的的 Guuestt 身份登登錄。這這些未經(jīng)經(jīng)授權(quán)的的用戶能能夠通過過網(wǎng)絡(luò)訪訪問 Guuestt 帳戶可可訪問的的任何資資源。此此功能意意味著任任何具有有允許 Guuestt 帳戶、Gueestss 組或 Evveryyonee 組進(jìn)行行訪問的的權(quán)限的的網(wǎng)絡(luò)共共享資源源，都可可以通過過網(wǎng)絡(luò)對對其進(jìn)行行訪問，這可能能導(dǎo)致數(shù)數(shù)據(jù)暴露露或損壞壞。對策：將將“帳戶：來賓帳戶狀態(tài)”設(shè)置配配置為“已禁用”，以便便內(nèi)置的的 Guuestt 帳戶不不再可用用。潛在影響響：所有有的網(wǎng)絡(luò)絡(luò)用戶都都將必須須先進(jìn)行行

6、身份驗驗證，才才能訪問問共享資資源。如如果禁用用 Guuestt 帳戶，并且“網(wǎng)絡(luò)訪訪問：共共享和安安全模式式”選項設(shè)設(shè)置為“僅來賓”，則那那些由 Miicroosofft 網(wǎng)絡(luò)服服務(wù)器（SMBB 服務(wù)）執(zhí)行的的網(wǎng)絡(luò)登登錄將失失敗。對對于大多多數(shù)組織織來說，此策略略設(shè)置的的影響應(yīng)應(yīng)該會很很小，因因為它是是 Miicroosofft WWinddowss 20000、Winndowws XXP 和 Wiindoows Serrverr 20003 中的默默認(rèn)設(shè)置置。帳戶：使使用空白白密碼的的本地帳戶只只允許進(jìn)進(jìn)行控制制臺登錄錄此策略設(shè)設(shè)置確定定是否允允許使用用空白密密碼的本本地帳戶戶通過網(wǎng)網(wǎng)絡(luò)服

7、務(wù)務(wù)（如終終端服務(wù)務(wù)、Tellnett 和文件件傳輸協(xié)協(xié)議 (FFTP)）進(jìn)行行遠(yuǎn)程交交互式登登錄。如如果啟用用此策略略設(shè)置，則本地地帳戶必必須有一一個非空空密碼，才能從從遠(yuǎn)程客客戶端執(zhí)執(zhí)行交互互式或網(wǎng)網(wǎng)絡(luò)登錄錄?！皫簦菏褂每湛瞻酌艽a碼的本地地帳戶只只允許進(jìn)進(jìn)行控制制臺登錄錄”設(shè)置的的可能值值為： 已啟用 已禁用 沒有定義義注意：此此策略設(shè)設(shè)置不影影響在控控制臺上上以物理理方式執(zhí)執(zhí)行的交交互式登登錄，也也不影響響使用域域帳戶的的登錄。警告：使使用遠(yuǎn)程交互式式登錄的的第三方方應(yīng)用程程序有可可能跳過過此策略略設(shè)置。漏洞：空空白密碼碼會對計計算機(jī)安安全造成成嚴(yán)重威威脅，應(yīng)應(yīng)當(dāng)通過過組織的的策略和和

8、適當(dāng)?shù)牡募夹g(shù)措措施來禁禁止。實實際上，Winddowss Seerveer 220033 Acctivve DDireectoory 目錄服服務(wù)域的的默認(rèn)設(shè)設(shè)置需要要至少包包含七個個字符的的復(fù)雜密密碼。但但是，如如果能夠夠創(chuàng)建新新帳戶的的用戶跳跳過基于于域的密密碼策略略，則他他們可以以創(chuàng)建具具有空白白密碼的的帳戶。例如，某個用用戶可以以構(gòu)建一一個獨立立的計算算機(jī)，創(chuàng)創(chuàng)建一個個或多個個具有空空白密碼碼的帳戶戶，然后后將該計計算機(jī)加加入到域域中。具具有空白白密碼的的本地帳帳戶仍將將正常工工作。任任何人如如果知道道其中一個未受受保護(hù)的的帳戶的的名稱，都可以以用它來來登錄。對策：啟啟用“帳戶：使用空空

9、白密碼碼的本地地帳戶只只允許進(jìn)進(jìn)行控制制臺登錄錄”設(shè)置。潛在影響響：無。這是默默認(rèn)配置置。帳戶：重重命名系系統(tǒng)管理理員帳戶戶此策略設(shè)設(shè)置確定定另一個個帳戶名名是否與與 Addminnisttrattor 帳戶的 SIID 相關(guān)聯(lián)聯(lián)?！皫簦褐孛到y(tǒng)管管理員帳帳戶”設(shè)置的的可能值值為： 用戶定義義的文本本 沒有定義義漏洞：AAdmiinisstraatorr 帳戶存存在于運運行 Wiindoows 20000、Winndowws SServver 20003 或 Wiindoows XXP PProffesssionnal 操作系系統(tǒng)的所所有計算算機(jī)上。如果重重命名此此帳戶，會使未未經(jīng)授權(quán)權(quán)

10、的人員員更難猜猜測這個個具有特特權(quán)的用用戶名和和密碼組組合。無論攻擊擊者可能能使用多多少次錯錯誤密碼碼，內(nèi)置置的 Addminnisttrattor 帳戶都都不能被被鎖定。此功能能使得 Addminnisttrattor 帳戶成成為強力力攻擊（嘗試猜猜測密碼碼）的常常見目標(biāo)標(biāo)。這個個對策的的價值之之所以減減少，是是因為此此帳戶有有一個眾眾所周知知的 SIID，而且且第三方方工具允允許使用用 SIID 而非帳帳戶名來來進(jìn)行身身份驗證證。因此此，即使使您重命命名 Addminnisttrattor 帳戶，攻擊者者也可能能會使用用該 SID 來登錄錄以發(fā)起起強力攻攻擊。對策：在在“帳戶：重命名名系統(tǒng)

11、管管理員帳帳戶”設(shè)置中中指定一一個新名名稱，以以重命名名 Addminnisttrattor 帳戶。注意：在在后面的的章節(jié)中中，此策策略設(shè)置置既未在在安全模模板中進(jìn)進(jìn)行配置置，也不不是本指指南所建建議帳戶戶的新用用戶名。模板中中忽略了了這項策策略設(shè)置置，這樣樣做是為為了讓使使用本指指南的眾眾多組織織將不在在其環(huán)境境中實現(xiàn)現(xiàn)同樣的的新用戶戶名。潛在影響響：您必必須將這這個新帳帳戶名通通知給授授權(quán)使用用此帳戶戶的用戶戶。（有有關(guān)此設(shè)設(shè)置的指指導(dǎo)假定定 Addminnisttrattor 帳戶沒沒有被禁禁用，這這是本章章前面建建議的設(shè)設(shè)置。）帳戶：重重命名來來賓帳戶戶“帳戶：重命名來賓帳帳戶”設(shè)置確

12、確定另一一個帳戶戶名是否否與 Guuestt 帳戶的 SIID 相關(guān)聯(lián)聯(lián)。此組策略略設(shè)置的的可能值值為： 用戶定義義的文本本 沒有定義義漏洞：GGuesst 帳戶存存在于運運行 Wiindoows 20000、Winndowws SServver 20003 或 Wiindoows XP Proofesssioonall 操作系系統(tǒng)的所所有計算算機(jī)上。如果重重命名此此帳戶，會使未未經(jīng)授權(quán)權(quán)的人員員更難猜猜測這個個具有特特權(quán)的用用戶名和和密碼組組合。對策：在在“帳戶：重命名名來賓帳帳戶”設(shè)置中中指定一一個新名名稱，以以重命名名 Guuestt 帳戶。注意：在在后面的的章節(jié)中中，此策策略設(shè)置置既未

13、在在安全模模板中進(jìn)進(jìn)行配置置，也不不是本指指南所建建議帳戶戶的新用用戶名。模板中中忽略了了這項策策略設(shè)置置，這樣樣做是為為了讓使使用本指指南的眾眾多組織織將不在在其環(huán)境境中實現(xiàn)現(xiàn)同樣的的新用戶戶名。潛在影響響：影響響應(yīng)該會會很小，因為在在默認(rèn)情情況下，Winndowws 220000、Winndowws XXP 和 Wiindoows Serrverr 20003 中已禁禁用“Gueest”帳戶。審核：對對備份和和還原權(quán)權(quán)限的使使用進(jìn)行行審核如果啟用用此策略略設(shè)置，在計算算機(jī)創(chuàng)建建系統(tǒng)對對象（如如多用戶戶端執(zhí)行行程序、事件、信號燈燈和 MSS-DOOS 設(shè)備）時，將將應(yīng)用默認(rèn)的系系統(tǒng)訪問問控制

14、列列表 (SSACLL)。如果果如本指指南第 3 章中所所述，您您還啟用用了“審核對對象訪問問”審核設(shè)設(shè)置，則則會審核核對這些些系統(tǒng)對對象的訪訪問。全局系統(tǒng)統(tǒng)對象（又被稱稱作“基本系系統(tǒng)對象象”或“基本命命名對象象”是存活活時間很很短的內(nèi)內(nèi)核對象象，它們們的名稱稱是由創(chuàng)創(chuàng)建它們們的應(yīng)用用程序或或系統(tǒng)組組件分配配的。這這些對象象經(jīng)常用用于同步步多個應(yīng)應(yīng)用程序序或一個個復(fù)雜應(yīng)應(yīng)用程序序的多個個部分。由于它它們具有有名稱，因此這這些對象象在作用用域內(nèi)是是全局的的，從而而對于計計算機(jī)上上的所有有進(jìn)程均均可見。這些對對象都具具有一個個安全描描述符，但是它它們通常常有一個個空的系系統(tǒng)訪問問控制列列表。如如

15、果在啟啟動時啟啟用此策策略設(shè)置置，內(nèi)核將在在這些對對象被創(chuàng)創(chuàng)建時向向它們分分配一個個系統(tǒng)訪訪問控制制列表?！皩徍耍簩θ志窒到y(tǒng)對對象的訪訪問進(jìn)行行審核”設(shè)置的的可能值值為： 已啟用 已禁用 沒有定義義漏洞：如如果沒有有正確地地保護(hù)某某個全局局可見的的命名對對象，則則知道該該對象名名稱的惡惡意程序序可能會會針對該該對象進(jìn)進(jìn)行操作作。例如如，如果果某個同同步對象象（如多多用戶終終端執(zhí)行行程序）有一個個錯誤選選擇的任任意訪問問控制列列表 (DDACLL)，則惡惡意程序序可以按按名稱訪訪問這個個多用戶戶終端執(zhí)執(zhí)行程序序，并且且導(dǎo)致創(chuàng)創(chuàng)建這個個多用戶戶終端執(zhí)執(zhí)行程序序的程序序無法正正常工作作。但是是，出

16、現(xiàn)現(xiàn)這種情情況的風(fēng)險險會非常常低。對策：啟啟用“審核：對全局局系統(tǒng)對對象的訪訪問進(jìn)行行審核”設(shè)置。潛在影響響：如果果啟用“審核：對全局局系統(tǒng)對對象的訪訪問進(jìn)行行審核”設(shè)置，可能會會生成大大量安全全事件，尤其是是在繁忙忙的域控控制器和和應(yīng)用程程序服務(wù)務(wù)器上。這類情情況可能能導(dǎo)致服服務(wù)器響響應(yīng)緩慢慢，并迫迫使安全全事件日日志記錄錄許多無無關(guān)緊要要的事件件。此策策略設(shè)置置只能被被啟用或或禁用，并且沒沒有篩選選記錄哪哪些事件件和不記記錄哪些些事件的的辦法。即使組組織有能能夠分析析由此策策略設(shè)置置所生成成事件的的資源，它們也也不可能能具有每每個命名名對象的的源代碼碼或關(guān)于于其用途途的說明明。因此此，對于

17、于許多組組織來說說，將此此策略設(shè)設(shè)置配置置為“已啟用”，不大大可能獲獲得什么么好處。審核：對對備份和和還原權(quán)權(quán)限的使使用進(jìn)行行審核此策略設(shè)設(shè)置確定定在“審核權(quán)權(quán)限使用用”設(shè)置生生效時，是否對對所有用用戶權(quán)限限（包括括“備份和和還原”權(quán)限）的使用用進(jìn)行審審核。如如果啟用用這兩個個策略設(shè)設(shè)置，會會為備份份或還原原的每個個文件生生成一個個審核事事件。如果啟用用此策略略設(shè)置并并結(jié)合使使用“審核權(quán)權(quán)限使用用”設(shè)置，用戶權(quán)權(quán)限的任任何行使使?fàn)顩r都都會記錄錄在安全全日志中中。如果果禁用此此策略設(shè)設(shè)置，則則即使啟啟用“審核權(quán)權(quán)限使用用”，也不不會對用用戶行使使備份或或還原權(quán)權(quán)限的操操作進(jìn)行行審核?！皩徍耍簩?/p>

18、份份和還原原權(quán)限的的使用進(jìn)進(jìn)行審核核”設(shè)置的的可能值值為： 已啟用 已禁用 沒有定義義漏洞：如如果在啟啟用“審核權(quán)權(quán)限使用用”設(shè)置的的同時啟啟用此選選項，則則備份或或還原每每個文件件都會生生成一個個審核事事件。此此信息會會幫助您您識別被被用于以以未經(jīng)授授權(quán)的方方式意外外或惡意意還原數(shù)數(shù)據(jù)的帳帳戶。對策：啟啟用“對備份份和還原原權(quán)限的的使用進(jìn)進(jìn)行審核核”設(shè)置?；蛘?，也可以以通過配配置 AuutoBBackkupLLogFFilees 注冊表表項來實實施自動動記錄備備份，潛在影響響：如果果啟用此此策略設(shè)設(shè)置，可可能會生生成大量量安全事事件，這這可能導(dǎo)導(dǎo)致服務(wù)務(wù)器響應(yīng)應(yīng)緩慢，并迫使使安全事事件日志志

19、記錄許許多無關(guān)關(guān)緊要的的事件。如果增增加安全全日志大小以減減少系統(tǒng)統(tǒng)關(guān)閉的的機(jī)率，過大的的日志文文件可能能影響系系統(tǒng)性能能。審核：如如果無法法記錄安安全審核核則立即即關(guān)閉系系統(tǒng)此策略設(shè)設(shè)置確定定在無法法記錄安安全事件件時是否否關(guān)閉計計算機(jī)?？尚庞嬘嬎銠C(jī)系系統(tǒng)評測測標(biāo)準(zhǔn) (TTCSEEC)（C2 和通用用標(biāo)準(zhǔn)認(rèn)認(rèn)證）需需要在審審核系統(tǒng)統(tǒng)無法記記錄可審審核事件件時，計計算機(jī)能能夠防止止出現(xiàn)這這些事件件。Miccrossoftt 所選擇擇的以滿滿足此要要求的方方法是：在無法法審核系系統(tǒng)時，暫停計計算機(jī)并并顯示一一則停止止消息。如果啟啟用此策策略設(shè)置置，計算算機(jī)會在在出于任任何原因因不能記記錄安全全審

20、核時時停止。通常，當(dāng)安全全事件日日志已滿滿，而且且為它指指定的保保留方法法為“不覆蓋蓋事件”或“按天數(shù)覆蓋蓋事件”時，將將無法記記錄事件件。啟用此策策略設(shè)置置時，如如果安全全日志已已滿且不不能覆蓋蓋現(xiàn)有條條目，則則會顯示示下列停停止消息息：STOPP:C0000002444 審核失敗嘗試生成成安全審審核失敗敗。要進(jìn)行恢恢復(fù)，管管理員必必須登錄錄，對日日志進(jìn)行行存檔（可選），清除除日志，然后禁禁用此選選項以允允許計算算機(jī)重新新啟動。此時，可能需需要先手手動清除除安全事事件日志志，然后后才能將將此策略略設(shè)置配配置為“已啟用”?！皩徍耍喝绻麩o無法記錄錄安全審審核則立立即關(guān)閉閉系統(tǒng)”設(shè)置的的可能值值為

21、： 已啟用 已禁用 沒有定義義漏洞：如如果計算算機(jī)無法法將事件件記錄到到安全日日志中，則在出出現(xiàn)安全全事件之之后，可可能無法法使用關(guān)關(guān)鍵的證證據(jù)或重重要的疑疑難解答答信息來來進(jìn)行審審查。此此外，還還有攻擊擊者會生生成大量量安全事事件日志志消息以以故意強強制計算算機(jī)關(guān)閉閉的潛在在可能。對策：啟啟用“如果無無法記錄錄安全審審核則立立即關(guān)閉閉系統(tǒng)”設(shè)置。潛在影響響：如果果啟用此此策略設(shè)設(shè)置，管管理負(fù)擔(dān)擔(dān)可能會會非常大大，尤其其是當(dāng)您您還將安安全日志志的“保留”方法配配置為“不覆蓋蓋事件（手動清清除日志志）”時更是是如此。此配置置會導(dǎo)致致抵賴威威脅（備備份操作作員可能能否認(rèn)他他們備份份或還原原了數(shù)據(jù)據(jù)

22、）成為為拒絕服服務(wù) (DDoS) 漏洞，因為服服務(wù)器會會因?qū)懭肴氲桨踩罩局械牡拇罅康堑卿浭录推渌踩率录槐黄汝P(guān)閉閉。另外外，由于于是非正正常關(guān)閉閉，因此此可能會會對操作作系統(tǒng)、應(yīng)用程程序或數(shù)數(shù)據(jù)造成成不可修修復(fù)的損損害。盡盡管 NTTFS 文件系系統(tǒng) (NNTFSS) 將保證證在系統(tǒng)統(tǒng)非正常常關(guān)閉過過程中保保持文件件系統(tǒng)的的完整性性，但是是它不能能保證在在計算機(jī)機(jī)重新啟啟動時，每個應(yīng)應(yīng)用程序序的每個個數(shù)據(jù)文文件都仍仍然處于可可用狀態(tài)態(tài)。DCOMM：在安安全描述述符定義義語言 (SSDDLL) 語法中中的計算算機(jī)訪問問限制此策略設(shè)設(shè)置允許許管理員員在計算算機(jī)上定定義用于于管理對對

23、基于所所有分布布式組件件對象模模型 (DDCOMM) 的應(yīng)用用程序訪訪問的其其他計算算機(jī)范圍圍訪問控控件。這這些控件件限制計計算機(jī)上的調(diào)調(diào)用、激激活或啟啟動請求求?？紤]慮這些訪訪問控件件最簡單單的方法法就是對對計算機(jī)機(jī)上任何何 COOM 服務(wù)器器的每個個調(diào)用、激活或或啟動，根據(jù)計計算機(jī)范范圍的訪訪問控制制列表 (AACL) 作為附附加訪問問檢查調(diào)調(diào)用執(zhí)行行。如果果訪問檢檢查失敗敗，調(diào)用用、激活活或啟動動請求將將被拒絕絕。（此此檢查是是根據(jù)服服務(wù)器特特定的 ACCL 運行的的任何訪訪問檢查查以外的的附加檢檢查。）實際上上，它提提供了在在計算機(jī)機(jī)上訪問問任何 COOM 服務(wù)器器時必須須通過的的最低

24、授授權(quán)標(biāo)準(zhǔn)準(zhǔn)?！癉COOM：在安安全描述述符定義義語言 (SSDDLL) 語法中中的計算算機(jī)訪問問限制”設(shè)置控控制訪問問權(quán)限以以保護(hù)調(diào)調(diào)用權(quán)限限。這些計算算機(jī)范圍圍的 ACCL 提供了一一種可覆覆蓋由特特定應(yīng)用用程序通通過 CCoInnitiialiizeSSecuuritty 或應(yīng)用用程序特特定的安安全設(shè)置置指定的的弱安全全性設(shè)置置的方式式。它們們提供必必須通過過的最低低安全標(biāo)標(biāo)準(zhǔn)，而而不管特特定服務(wù)務(wù)器的設(shè)設(shè)置如何何。這些 AACL 為管理理員提供供了一個個用于設(shè)設(shè)置應(yīng)用用于計算算機(jī)上的的所有 COOM 服務(wù)器器的一般般授權(quán)策策略的集集中位置置?！癉COOM：在安安全描述述符定義義語言 (

25、SSDDLL) 語法中中的計算算機(jī)訪問問限制”設(shè)置允允許您以以兩種不不同方式式指定一一個 ACCL。您可可以以 SDDDL 鍵入安安全描述述符，或或者選擇擇用戶和和組并授授予或拒拒絕其本本地訪問問和遠(yuǎn)程程訪問權(quán)權(quán)限。Miccrosofft 建議您您使用內(nèi)內(nèi)置的用用戶界面面以指定定您想要要使用此此設(shè)置應(yīng)應(yīng)用的 ACCL 內(nèi)容。漏洞：許許多 COOM 應(yīng)用程程序包括括一些安安全特定定代碼（例如，用于調(diào)調(diào)用 CoIInittiallizeeSeccuriity），但但卻使用用弱設(shè)置置，通常常允許未未經(jīng)驗證證就可訪訪問進(jìn)程程。在 Wiindoows 的較早早版本中中，若不不修改應(yīng)應(yīng)用程序序，管理理員不

26、能能覆蓋這這些設(shè)置置以強制制強安全全性。攻攻擊者可可能會通通過 COOM 調(diào)用來來進(jìn)行攻攻擊以嘗嘗試?yán)糜脝蝹€應(yīng)應(yīng)用程序序中的弱弱安全性性。此外，CCOM 結(jié)構(gòu)還還包括 RPPCSSS，一種種在計算算機(jī)啟動動過程中中運行并并在啟動動后始終終運行的的系統(tǒng)服服務(wù)。此此服務(wù)管管理 COM 對象的的激活和和運行的的對象表表，并為 DCCOM 遠(yuǎn)程處處理提供供幫助服服務(wù)。它它公開可可遠(yuǎn)程調(diào)調(diào)用的 RPPC 接口。由于某某些 COOM 服務(wù)器器允許未未經(jīng)驗證證的遠(yuǎn)程程訪問（如前面面部分所所述），因此任任何人都都可調(diào)用用這些接接口，包包括未經(jīng)經(jīng)驗證的的用戶。因此，使用遠(yuǎn)遠(yuǎn)程、未未經(jīng)驗證證的計算算機(jī)的惡惡意用

27、戶戶能夠攻攻擊 RPPCSSS。對策：為為保護(hù)單單個基于于 COOM 的應(yīng)用用程序或或服務(wù)，請將“DCOOM：在安安全描述述符定義義語言 (SSDDLL) 語法中中的計算算機(jī)訪問問限制”設(shè)置設(shè)設(shè)置為相相應(yīng)計算算機(jī)范圍圍的 ACCL。潛在影響響：Winndowws XXP SSP2 和 Wiindoows Serveer 220033 SPP1 按照其各各自的文文檔中所所指定的的內(nèi)容實實施默認(rèn)認(rèn)的 COOM AACL。如果果實施 COOM 服務(wù)器器并覆蓋蓋默認(rèn)安安全設(shè)置置，請確確認(rèn)應(yīng)用用程序特特定調(diào)用用權(quán)限 ACCL 為相應(yīng)應(yīng)用戶分分配了正正確權(quán)限限。如果果不是，您將必必須更改改應(yīng)用程程序特定定

28、權(quán)限 ACCL 來為相相應(yīng)用戶戶提供激激活權(quán)限限，以便便使用 DCCOM 的應(yīng)用用程序和和 Wiindoows 組件不不會失敗敗。DCOMM：在安安全描述述符定義義語言 (SSDDLL) 語法中中的計算算機(jī)啟動動限制此策略設(shè)設(shè)置與“DCOOM：在安安全描述述符定義義語言 (SSDDLL) 語法中中的計算算機(jī)訪問問限制”設(shè)置相相類似，因為它它允許管管理員定義可可管理對對計算機(jī)機(jī)上所有有基于 DCOOM 應(yīng)用程程序的訪訪問的附附加計算算機(jī)范圍圍訪問控控制。但但是，此此策略設(shè)設(shè)置中指指定的 ACCL 控制計計算機(jī)上上的本地地和遠(yuǎn)程程 COOM 啟動請請求（不不是訪問問請求）?？紤]慮此訪問問控制最最簡

29、單的的方法是是對計算算機(jī)上任任何 COOM 服務(wù)器器的每個個啟動，根據(jù)計計算機(jī)范范圍的 ACCL 作為附附加訪問問檢查調(diào)調(diào)用執(zhí)行行。如果果訪問檢檢查失敗敗，調(diào)用用、激活活或啟動動請求將將被拒絕絕。（此此檢查是是針對服服務(wù)器特特定的 ACCL 運行的的任何訪訪問檢查查以外的的附加檢檢查。）實際上上，它提提供了在在計算機(jī)機(jī)上啟動動任何 COOM 服務(wù)器器時必須須通過的的最低授授權(quán)標(biāo)準(zhǔn)準(zhǔn)。早期期策略有有所不同同，因為它提提供最低低的訪問問檢查，應(yīng)用該該檢查以以試圖訪訪問已啟啟動的 COOM 服務(wù)器器。這些計算算機(jī)范圍圍的 ACCL 提供了了一種可可覆蓋由由特定應(yīng)應(yīng)用程序序通過 CooIniitiaa

30、lizzeSeecurrityy 或應(yīng)用用程序特特定的安安全設(shè)置置指定的的弱安全全性設(shè)置置的方式式。它們們提供必必須通過過的最低低安全標(biāo)標(biāo)準(zhǔn)，而而不管特特定 COOM 服務(wù)器器的設(shè)置置如何。這些 ACCL 為管理理員提供供了一個個用于設(shè)設(shè)置應(yīng)用用于計算算機(jī)上的的所有 COOM 服務(wù)器器的一般般授權(quán)策策略的集集中位置置?！癉COOM：在安安全描述述符定義義語言 (SSDDLL) 語法中中的計算算機(jī)啟動動限制”設(shè)置允允許您以以兩種不不同方式式指定一一個 ACL。您可可以以 SDDDL 鍵入安安全描述述符，或或者選擇擇用戶和和組并授授予或拒拒絕其本本地訪問問和遠(yuǎn)程程訪問權(quán)權(quán)限。Miccrossoft

31、t 建議您您使用內(nèi)內(nèi)置的用用戶界面面以指定定您想要要使用此此設(shè)置應(yīng)應(yīng)用的 ACCL 內(nèi)容。漏洞：許許多 COOM 應(yīng)用程程序包括括一些安安全特定定代碼（例如，用于調(diào)調(diào)用 CooIniitiaalizzeSeecurrityy），但但卻使用用弱設(shè)置置，通常常允許未未經(jīng)驗證證就可訪訪問進(jìn)程程。在 Wiindoows 的較早早版本中中，若不不修改應(yīng)應(yīng)用程序序，管理理員不能能覆蓋這這些設(shè)置置以強制制強安全全性。攻攻擊者可可能會通通過 COOM 調(diào)用來來進(jìn)行攻攻擊以嘗嘗試?yán)糜脝蝹€應(yīng)應(yīng)用程序序中的弱弱安全性性。此外，CCOM 結(jié)構(gòu)還還包括 RPPCSS，一種種在計算算機(jī)啟動動過程中中運行并并在啟動動后始

32、終終運行的的系統(tǒng)服服務(wù)。此此服務(wù)管管理 COOM 對象的的激活和和運行的的對象表表，并為為 DCOOM 遠(yuǎn)程處處理提供供幫助服服務(wù)。它它公開可可遠(yuǎn)程調(diào)調(diào)用的 RPPC 接口。由于某某些 COOM 服務(wù)器器允許未未經(jīng)驗證證的遠(yuǎn)程程組件激激活（如如前面部部分所述述），因因此任何何人都可可調(diào)用這這些接口口，包括括未經(jīng)驗驗證的用用戶。因因此，使使用遠(yuǎn)程程、未經(jīng)經(jīng)驗證的的計算機(jī)機(jī)的惡意意用戶能能夠攻擊擊 RPPCSSS。對策：為為保護(hù)單單個基于于 COOM 的應(yīng)用用程序或或服務(wù)，請將“DCOOM：在安安全描述述符定義義語言 (SSDDLL) 語法中中的計算算機(jī)啟動限制”設(shè)置設(shè)設(shè)置為相相應(yīng)計算算機(jī)范圍圍的

33、 ACCL。潛在影響響Winddowss XPP SPP2 和 Wiindoows Serrverr 20003 SP11 按照各各自的文文檔中所所指定的的內(nèi)容實實施默認(rèn)認(rèn)的 COOM AACL。如果果實施 COOM 服務(wù)器器并覆蓋蓋默認(rèn)安安全設(shè)置置，請確確認(rèn)應(yīng)用用程序特特定啟動動權(quán)限 ACCL 為相應(yīng)應(yīng)用戶分分配了激激活權(quán)限限。如果果不是，您將必必須更改改應(yīng)用程程序特定定啟動權(quán)權(quán)限 ACCL 來為相相應(yīng)用戶戶提供激激活權(quán)限限，以便便使用 DCCOM 的應(yīng)用用程序和和 Wiindoows 組件不不會失敗敗。設(shè)備：允允許不登登錄移除除此策略設(shè)設(shè)置確定定用戶是是否必須須登錄才才能請求求權(quán)限以以從擴(kuò)

34、展塢移移除便攜攜式計算算機(jī)。如如果啟用用此策略略設(shè)置，用戶將將能夠通通過按已已插接的的便攜式式計算機(jī)機(jī)上的物物理彈出出按鈕來來安全移移除計算算機(jī)。如如果禁用用此策略略設(shè)置，用戶必必須登錄錄才能收收到移除除計算機(jī)機(jī)的權(quán)限限。只有有具有“從擴(kuò)展展塢中取取出計算算機(jī)”特權(quán)的的用戶才才能獲得得此權(quán)限限。注意：只只有針對對不能以以機(jī)械方方式移除除的便攜攜式計算算機(jī)，才才應(yīng)禁用用此策略略設(shè)置?？梢砸砸詸C(jī)械方方式移除除的計算算機(jī)能夠夠被用戶戶物理取取出，不不管他們們是否使使用 Wiindoows 移除功功能。“設(shè)備：允許不不登錄移移除”設(shè)置的的可能值值為： 已啟用 已禁用 沒有定義義漏洞：如如果啟用用此策略

35、略設(shè)置，則任何何人只要要能夠物物理訪問問放置在在其擴(kuò)展展塢中的的便攜式式計算機(jī)機(jī)，就都都可以取取出計算算機(jī)并有有可能損損害它們們。對于于沒有擴(kuò)擴(kuò)展塢的的計算機(jī)機(jī)，此策策略設(shè)置置沒有任任何影響響。對策：禁禁用“設(shè)備：允許不不登錄移移除”設(shè)置。潛在影響響：已經(jīng)經(jīng)固定其其計算機(jī)機(jī)的用戶戶將必須須先登錄錄到本地地控制臺臺，才能能移除其其計算機(jī)機(jī)。設(shè)備：允允許格式式化和彈彈出可移移動媒體體此策略設(shè)設(shè)置確定定允許誰誰格式化化和彈出出可移動動媒體?！霸O(shè)備：允許格格式化和和彈出可可移動媒媒體”設(shè)置的的可能值值為： Admiinisstraatorrs Admiinisstraatorrs 和 Poowerr

36、Usserss Admiinisstraatorrs 和 Innterracttivee Usserss 沒有定義義漏洞：用用戶可以以將可移移動磁盤盤上的數(shù)數(shù)據(jù)移到到他們具具有管理理特權(quán)的的另一臺臺計算機(jī)機(jī)上。然然后，該該用戶可可以獲取取任何文文件的所所有權(quán)，授予自自己完全全控制權(quán)權(quán)限，查查看或修修改任何何文件。由于大大多數(shù)可可移動存存儲設(shè)備備都可以以通過按按一個機(jī)機(jī)械按鈕鈕來彈出出媒體這這一事實實，此策策略設(shè)置置的優(yōu)勢勢會有所所減弱。對策：將將“允許格格式化和和彈出可可移動媒媒體”設(shè)置配配置為 Addminnisttrattorss。潛在影響響：只有有管理員員才能夠夠彈出 NTFFS 格式化

37、化的可移移動媒體體。設(shè)備：防防止用戶戶安裝打打印機(jī)驅(qū)驅(qū)動程序序?qū)τ谝虼蛴〉侥衬硞€網(wǎng)絡(luò)絡(luò)打印機(jī)機(jī)的計算算機(jī)，必必須在本本地計算算機(jī)上安安裝該網(wǎng)網(wǎng)絡(luò)打印印機(jī)的驅(qū)驅(qū)動程序序?！霸O(shè)備：防止用用戶安裝裝打印機(jī)機(jī)驅(qū)動程程序”設(shè)置確確定誰可可以安裝裝打印機(jī)機(jī)驅(qū)動程程序（作作為添加加網(wǎng)絡(luò)打打印機(jī)的的一部分分）。如如果啟用用此策略略設(shè)置，只有 Addminnisttrattorss 和 Poowerr Usserss 組的成成員允許許在添加加網(wǎng)絡(luò)打打印機(jī)時時安裝打打印機(jī)驅(qū)驅(qū)動程序序。如果果禁用此此策略設(shè)設(shè)置，任任何用戶戶在添加加網(wǎng)絡(luò)打打印機(jī)時時都可以以安裝打打印機(jī)驅(qū)驅(qū)動程序序。此策策略設(shè)置置可防止止典型用用戶

38、下載和安安裝不受受信任的的打印機(jī)機(jī)驅(qū)動程程序。注意：如如果管理理員已經(jīng)經(jīng)配置了了下載驅(qū)驅(qū)動程序序的受信信任路徑徑，則此此策略設(shè)設(shè)置沒有有任何影影響。如如果使用用受信任任路徑，打印子子系統(tǒng)會會嘗試使使用受信信任路徑徑下載驅(qū)驅(qū)動程序序。如果果受信任任路徑下下載成功功，則可可以代表表任何用用戶安裝裝驅(qū)動程程序。如如果受信信任路徑徑下載失失敗，則則驅(qū)動程程序不會會進(jìn)行安安裝，網(wǎng)網(wǎng)絡(luò)打印印機(jī)不進(jìn)進(jìn)行添加加?！霸O(shè)備：防止用用戶安裝裝打印機(jī)機(jī)驅(qū)動程程序”設(shè)置的的可能值值為： 已啟用 已禁用 沒有定義義漏洞：在在某些組組織中允允許用戶戶在其自自己的工工作站上上安裝打打印機(jī)驅(qū)驅(qū)動程序序可能是適適當(dāng)?shù)?。但是，?yīng)不

39、允允許用戶戶在服務(wù)務(wù)器上進(jìn)進(jìn)行這類類安裝。在服務(wù)務(wù)器上安安裝打印印機(jī)驅(qū)動動程序可可能會在在無意中中使計算算機(jī)變得得不太穩(wěn)穩(wěn)定。只只有管理理員在服服務(wù)器上上具有此此特權(quán)。惡意用用戶可能能會安裝裝不適當(dāng)當(dāng)?shù)拇蛴∮C(jī)驅(qū)動動程序來來故意試試圖損害害計算機(jī)機(jī)，或者者用戶也也可能會會意外安安裝一些些偽裝成成打印機(jī)機(jī)驅(qū)動程程序的惡惡意代碼碼。對策：將將“設(shè)備：防止用用戶安裝裝打印機(jī)機(jī)驅(qū)動程程序”設(shè)置配配置為“已啟用”。潛在影響響：只有有具有 Addminnisttrattivee、Powwer Useer 或 Seerveer OOperratoor 特權(quán)的的用戶才才能夠在在服務(wù)器器上安裝裝打印機(jī)機(jī)。如果果

40、啟用了了此策略略設(shè)置，但是網(wǎng)絡(luò)絡(luò)打印機(jī)機(jī)的驅(qū)動動程序已已經(jīng)存在在于本地地計算機(jī)機(jī)上，則則用戶仍仍可以添添加網(wǎng)絡(luò)絡(luò)打印機(jī)機(jī)。設(shè)備：只只有本地地登錄的的用戶才才能訪問問 CDD-ROOM此策略設(shè)設(shè)置確定定 CDD-ROOM 是否可可供本地地和遠(yuǎn)程程用戶同同時訪問問。如果果啟用此此策略設(shè)設(shè)置，將將僅允許許交互式式登錄的的用戶訪訪問可移移動的 CDD-ROOM 媒體。如果啟啟用了此此策略設(shè)設(shè)置，且且沒有人人交互登登錄，則則可以通通過網(wǎng)絡(luò)絡(luò)訪問 CDD-ROOM?！霸O(shè)備：只有本本地登錄錄的用戶戶才能訪訪問 CDD-ROOM”設(shè)置的的可能值值為： 已啟用 已禁用 沒有定義義漏洞：遠(yuǎn)遠(yuǎn)程用戶戶可能會會訪問包

41、包含敏感感信息、已裝入入的 CCD-RROM。這種種風(fēng)險的的可能性性很小，因為 CDD-ROOM 驅(qū)動器器不會自自動成為為網(wǎng)絡(luò)共共享資源源，管理理員必須須專門選選擇共享享此驅(qū)動動器。但但是，管管理員可可能希望望拒絕網(wǎng)網(wǎng)絡(luò)用戶戶查看數(shù)數(shù)據(jù)或從從服務(wù)器器上的可可移動媒媒體運行行應(yīng)用程程序的能能力。對策：啟啟用“只有本本地登錄錄的用戶戶才能訪訪問 CDD-ROOM”設(shè)置。潛在影響響：當(dāng)有有人登錄錄到服務(wù)務(wù)器的本本地控制制臺時，通過網(wǎng)網(wǎng)絡(luò)連接接到服務(wù)務(wù)器的用用戶將無無法使用用安裝在在服務(wù)器器上的任任何 CDD-ROOM 驅(qū)動器器。需要要訪問 CDD-ROOM 驅(qū)動器器的系統(tǒng)統(tǒng)工具將將失敗。例如，卷影復(fù)

42、復(fù)制服務(wù)務(wù)試圖在在計算機(jī)機(jī)初始化化時訪問計計算機(jī)上上的所有有 CDD-ROOM 和軟盤盤驅(qū)動器器，并且且如果服服務(wù)無法法訪問其其中一個個驅(qū)動器器，它將將失敗。如果已已為備份份作業(yè)指指定卷影影副本，這種情情況將導(dǎo)導(dǎo)致 Wiindoows 備份工工具失敗敗。任何何使用卷卷影副本本的第三三方備份份產(chǎn)品也也將失敗敗。對于于充當(dāng)網(wǎng)網(wǎng)絡(luò)用戶戶 CDD 點唱機(jī)機(jī)的計算算機(jī)，此此策略設(shè)設(shè)置不適適合。設(shè)備：只只有本地地登錄的的用戶才才能訪問問軟盤此策略設(shè)設(shè)置確定定可移動動軟盤媒媒體是否否可供本本地和遠(yuǎn)遠(yuǎn)程用戶戶同時訪訪問。如如果啟用用此策略略設(shè)置，將僅允允許交互互式登錄錄的用戶戶訪問可可移動的的軟盤媒媒體。如如

43、果啟用用了此策策略設(shè)置置，且沒沒有人交交互登錄錄，則可可以通過過網(wǎng)絡(luò)訪訪問軟盤盤?！霸O(shè)備：只有本本地登錄錄的用戶戶才能訪訪問軟盤盤”設(shè)置的的可能值值為： 已啟用 已禁用 沒有定義義漏洞：遠(yuǎn)遠(yuǎn)程用戶戶可能會會訪問包包含敏感感信息、已裝入入的軟盤盤。這種種風(fēng)險的的可能性性很小，因為軟軟盤驅(qū)動動器不會會自動成成為網(wǎng)絡(luò)絡(luò)共享資資源，管管理員必必須專門門選擇共共享此驅(qū)驅(qū)動器。但是，管理員員可能希希望拒絕絕網(wǎng)絡(luò)用用戶查看看數(shù)據(jù)或或從服務(wù)務(wù)器上的的可移動動媒體運運行應(yīng)用用程序的的能力。對策：啟啟用“只有本本地登錄錄的用戶戶才能訪訪問軟盤盤”設(shè)置。潛在影響響：當(dāng)有有人登錄錄到服務(wù)務(wù)器的本本地控制制臺時，通過網(wǎng)

44、網(wǎng)絡(luò)連接接到服務(wù)務(wù)器的用用戶將無無法使用用安裝在服務(wù)務(wù)器上的的任何軟軟盤驅(qū)動動器。需需要訪問問軟盤驅(qū)驅(qū)動器的的系統(tǒng)工工具將失失敗。例例如，卷卷影復(fù)制制服務(wù)試試圖在計計算機(jī)初初始化時時訪問計計算機(jī)上上的所有有 CDD-ROOM 和軟盤盤驅(qū)動器器，并且且如果服服務(wù)無法法訪問其其中一個個驅(qū)動器器，它將將失敗。如果已已為備份份作業(yè)指指定卷影影副本，這種情情況將導(dǎo)導(dǎo)致 Wiindoows 備份工工具失敗敗。任何何使用卷卷影副本本的第三三方備份份產(chǎn)品也也將失敗敗。設(shè)備：未未簽名驅(qū)驅(qū)動程序序的安裝裝操作此策略設(shè)設(shè)置確定定在試圖圖安裝未未經(jīng) Wiindoows 硬件質(zhì)質(zhì)量實驗驗室 (WWHQLL) 認(rèn)證和和簽

45、名的的設(shè)備驅(qū)驅(qū)動程序序（使用用安裝應(yīng)應(yīng)用程序序編程接接口 (AAPI) 方法）時，將將發(fā)生的的操作?！霸O(shè)備：未簽名名驅(qū)動程程序的安安裝操作”設(shè)置的的可能值值為： 默認(rèn)繼續(xù)續(xù) 允許安裝裝但發(fā)出出警告 禁止安裝裝 沒有定義義漏洞：此此策略設(shè)設(shè)置可以以防止安安裝未經(jīng)經(jīng)簽名的的驅(qū)動程程序，或或向管理理員發(fā)出出警告指指出有人人要安裝裝未經(jīng)簽簽名的驅(qū)驅(qū)動程序序軟件。此功能能可以防防止使用用 Seetupp APPI 安裝尚尚未通過過認(rèn)證在在 Wiindoows XP 或 Wiindoows Serrverr 20003 上運行行的驅(qū)動動程序。此策略略設(shè)置將將不能防防止某些些攻擊工工具使用用某種方方法來復(fù)復(fù)

46、制和注注冊惡意意的 .ssys 文件，從從而將這這些文件件作為系系統(tǒng)服務(wù)務(wù)啟動。對策：將將“設(shè)備：未簽名名驅(qū)動程程序的安安裝操作作”設(shè)置配配置為“允許安安裝但發(fā)發(fā)出警告告”，這是 Wiindoows XP SP22 的默認(rèn)認(rèn)配置。Winndowws SServver 20003 的默認(rèn)認(rèn)配置為為“沒有定定義”。潛在影響響：如果果用戶具具有安裝裝設(shè)備驅(qū)驅(qū)動程序序的足夠夠特權(quán)，則他們們將能夠夠安裝未未簽名的的設(shè)備驅(qū)驅(qū)動程序序。但是是，此功功能可能能會導(dǎo)致致服務(wù)器器產(chǎn)生穩(wěn)穩(wěn)定性問問題?！霸试S安安裝但發(fā)發(fā)出警告告”配置還還有另一一個潛在在問題，那就是是，無人人參與的的安裝腳腳本在嘗嘗試安裝裝未簽名名的

47、驅(qū)動動程序時時將會失失敗。域控制器器：允許許服務(wù)器器操作員員計劃任任務(wù)此策略設(shè)設(shè)置確定定是否允允許服務(wù)務(wù)器操作作員通過 ATT 計劃工工具提交交作業(yè)。注意：此此安全選選項設(shè)置置只影響響 ATT 計劃工工具。它它不影響響“任務(wù)計計劃程序序”工具。“域控制制器：允允許服務(wù)務(wù)器操作作員計劃劃任務(wù)”設(shè)置的的可能值值為： 已啟用 已禁用 沒有定義義漏洞：如如果啟用用此策略略設(shè)置，由服務(wù)務(wù)器操作作員通過過 ATT 服務(wù)創(chuàng)創(chuàng)建的作作業(yè)將在在運行該該服務(wù)的的帳戶的的上下文文中執(zhí)行行。在默默認(rèn)情況況下，這這是本地地的 SYYSTEEM 帳戶。如果啟啟用此策策略設(shè)置置，服務(wù)務(wù)器操作作員可以以執(zhí)行 SYYSTEEM

48、 能夠執(zhí)執(zhí)行、但但是他們們通常無法執(zhí)執(zhí)行的任任務(wù)，例例如將他他們的帳帳戶添加加到本地地 Addminnisttrattorss 組中。對策：禁禁用“域控制制器：允允許服務(wù)務(wù)器操作作員計劃劃任務(wù)”設(shè)置。潛在影響響：對于于大多數(shù)數(shù)組織來來說，影影響會很很小。用用戶（包包括 Seerveer OOperratoors 組的用用戶） 仍然可可以通過過“任務(wù)計計劃程序序向?qū)А眲?chuàng)建作作業(yè)。但但是，這這些作業(yè)業(yè)運行的的上下文文將是用用戶設(shè)置置作業(yè)時時進(jìn)行身身份驗證證所用帳帳戶的上上下文。域控制器器：LDAAP 服務(wù)器器簽名要要求此策略設(shè)設(shè)置確定定輕型目目錄訪問問協(xié)議 (LLDAPP) 服務(wù)器器是否要要求 L

49、DDAP 客戶端端協(xié)商數(shù)數(shù)據(jù)簽名名?！坝蚩刂浦破鳎篖DAAP 服務(wù)器器簽名要要求”設(shè)置的的可能值值為： 無。數(shù)據(jù)據(jù)簽名不不是與服服務(wù)器綁綁定所必必需的。如果客客戶端請請求數(shù)據(jù)據(jù)簽名，則服務(wù)務(wù)器會支支持它。 要求簽名名。除非非使用傳傳輸層安安全性/安全套套接字層層 (TTLS/SSLL)，否則則必須協(xié)協(xié)商 LDDAP 數(shù)據(jù)簽簽名選項項。 沒有定義義。漏洞：未未簽名的的網(wǎng)絡(luò)通通信易遭遭受中間間人攻擊擊。在這這類攻擊擊中，入入侵者捕捕獲服務(wù)務(wù)器和客客戶端之之間的數(shù)數(shù)據(jù)包，進(jìn)行修修改，然然后將它它們轉(zhuǎn)發(fā)發(fā)到客戶戶端。在在涉及 LDDAP 服務(wù)器器的環(huán)境境中，攻攻擊者可可以讓客客戶端根根據(jù)來自自 LDD

50、AP 目錄的的錯誤記記錄作出決策策。要降降低對組組織網(wǎng)絡(luò)絡(luò)的這類類入侵的的風(fēng)險，可以實實施強物物理安全全措施，從而保保護(hù)網(wǎng)絡(luò)絡(luò)基礎(chǔ)結(jié)結(jié)構(gòu)。此此外，也也可以實實施 Innterrnett 協(xié)議安安全 (IIPSeec) 身份驗驗證頭模模式 (AAH)，它可可以針對對 IPP 通信執(zhí)執(zhí)行相互互身份驗驗證和數(shù)數(shù)據(jù)包完完整性，從而使使所有類類型的中中間人攻攻擊變得得極其困困難。對策：將將“域控制制器：LDAAP 服務(wù)器器簽名要要求”設(shè)置配配置為“要求簽簽名”。潛在影響響：不支支持 LDDAP 簽名的的客戶端端將無法法針對域域控制器器執(zhí)行 LDDAP 查詢。組織中中從基于于 Wiindoows Serr

51、verr 20003 或 Wiindoows XP 的計算算機(jī)進(jìn)行管管理的所所有基于于 Wiindoows 20000 的計算算機(jī)和使使用 Wiindoows NT 質(zhì)詢/響應(yīng) (NNTLMM) 身份驗驗證的計計算機(jī)都都必須安安裝 Wiindoows 20000 SServvicee Paack 3 (SP33)?；蛘哒?，這些些客戶端端必須進(jìn)進(jìn)行 Miicroosofft 知識庫庫文章 Q33254465“使用 Wiindoows Serrverr 20003 管理工工具時 Wiindoows 20000 域控制制器需要要 SPP3 或更高高版本”中描述述的注冊冊表更改改，該文文章網(wǎng)址址為ht

52、ttp:/suuppoort.miccrossoftt.coom/ddefaaultt.asspx?sscidd=32254665。另外外，某些些第三方方操作系系統(tǒng)不支支持 LDDAP 簽名。如果啟啟用此策策略設(shè)置置，使用用這些操操作系統(tǒng)統(tǒng)的客戶戶端計算算機(jī)可能能無法訪訪問域資資源。域控制器器：拒絕絕更改機(jī)機(jī)器帳戶戶密碼此策略設(shè)設(shè)置確定定域控制制器是否否接受計計算機(jī)帳帳戶的密密碼更改改請求?！坝蚩刂浦破鳎壕芫芙^更改改機(jī)器帳帳戶密碼碼”設(shè)置的的可能值值為： 已啟用 已禁用 沒有定義義漏洞：如如果在域域中的所所有域控控制器上上啟用此此策略設(shè)設(shè)置，域域成員將將不能更更改其計計算機(jī)帳帳戶密碼碼，并且且

53、這些密密碼將更更易遭受受攻擊。對策：禁禁用“域控制器：拒絕更更改機(jī)器器帳戶密密碼”設(shè)置。潛在影響響：無。這是默默認(rèn)配置置。域成員：對安全全通道數(shù)數(shù)據(jù)進(jìn)行行數(shù)字加加密或簽簽名（多多個相關(guān)關(guān)設(shè)置）下列策略略設(shè)置確確定是否否與不能能對安全全通道通通信進(jìn)行行簽名或或加密的的域控制制器建立立安全通通道： 域成員員：對安安全通道道數(shù)據(jù)進(jìn)進(jìn)行數(shù)字字加密或或簽名（總是） 域成員員：對安安全通道道數(shù)據(jù)進(jìn)進(jìn)行數(shù)字字加密（如果可可能） 域成員員：對安安全通道道數(shù)據(jù)進(jìn)進(jìn)行數(shù)字字簽名（如果可可能）如如果啟用用“域成員員：對安安全通道道數(shù)據(jù)進(jìn)進(jìn)行數(shù)字字加密或或簽名（總是）”設(shè)置，則不能能與不能能對所有有安全通通道數(shù)據(jù)據(jù)進(jìn)

54、行簽簽名或加加密的任何域域控制器器建立安安全通道道。為了了防止身身份驗證證通信受受到中間間人、重重播以及及其他類類型的網(wǎng)網(wǎng)絡(luò)攻擊擊，基于于 Wiindoows 的計算算機(jī)會通通過名為為“Seccuree Chhannnelss（安全全通道）”的 NeetLoogonn 來創(chuàng)建建通信通通道。這這些通道道對計算算機(jī)帳戶戶進(jìn)行身身份驗證證，當(dāng)遠(yuǎn)遠(yuǎn)程用戶戶連接到到網(wǎng)絡(luò)資資源，而而且該用用戶的帳帳戶存在在于受信信任域中中時，這這些通道道還對用用戶帳戶戶進(jìn)行身身份驗證證。這種種身份驗驗證被稱稱作通過過式身份份驗證，它允許許加入到到某個域域的計算算機(jī)訪問問位于它它所在的的域以及及任何受受信任域域中的用用戶帳

55、戶戶數(shù)據(jù)庫庫。注意意：要在在成員工工作站或或服務(wù)器器上啟用用“域成員員：對安安全通道道數(shù)據(jù)進(jìn)行數(shù)數(shù)字加密密或簽名名（總是是）”設(shè)置，該該成員所所屬的域域中的所所有域控控制器都都必須能能夠?qū)θ堪踩ǖ罃?shù)數(shù)據(jù)進(jìn)行行簽名或或加密。這項要要求意味味著所有有這類域域控制器器必須運運行 Winndowws NNT 44.0 Serrvicce PPackk 6aa 或 Wiindoows 操作系系統(tǒng)的更更高版本本。如果啟用用“域成員員：對安安全通道道數(shù)據(jù)進(jìn)進(jìn)行數(shù)字字加密或或簽名（總是）”設(shè)置，則會自自動啟用用“域成員員：對安安全通道道數(shù)據(jù)進(jìn)進(jìn)行數(shù)字字簽名（如果可可能）”設(shè)置。此策略設(shè)設(shè)置的可可能值為

56、為： 已啟用 已禁用 沒有定義義漏洞：當(dāng)當(dāng) Wiindoows Serrverr 20003、Winndowws XXP、Winndowws 220000 或 Wiindoows NT 計算機(jī)機(jī)加入某某個域時時，將創(chuàng)創(chuàng)建一個個計算機(jī)機(jī)帳戶。加入該該域之后后，計算算機(jī)在每每次重新新啟動時時，都使使用此帳帳戶的密密碼，與與它所在在域的域域控制器器創(chuàng)建一一個安全全通道。在安全全通道上上發(fā)送的的請求將將被驗證證，敏感感信息（如密碼碼）將被被加密，但不會會對通道道進(jìn)行完完整性檢檢查，也也不會加加密所有有的信息息。如果果計算機(jī)機(jī)被配置置為總是是對安全全通道數(shù)數(shù)據(jù)進(jìn)行行加密或或簽名，但域控控制器無無法對安安

57、全通道道數(shù)據(jù)的的任何部部分進(jìn)行行簽名或或加密，則計算算機(jī)和域域控制器器無法建建立安全全通道。如果計計算機(jī)被被配置為為在可能能的情況況下對安安全通道道數(shù)據(jù)進(jìn)進(jìn)行加密密或簽名名，則可可以建立立安全通通道，但但是會對對加密和和簽名的的級別進(jìn)進(jìn)行協(xié)商商。對策： 將“域成員員：對安安全通道道數(shù)據(jù)進(jìn)進(jìn)行數(shù)字字加密或或簽名（總是）”設(shè)置配配置為“已啟用”。 將“域成員員：對安安全通道道數(shù)據(jù)進(jìn)進(jìn)行數(shù)字字加密（如果可可能）”設(shè)置配配置為“已啟用”。 將“域成員員：對安安全通道道數(shù)據(jù)進(jìn)進(jìn)行數(shù)字字簽名（如果可可能）”設(shè)置配配置為“已啟用”。潛在影響響：對“安全通通道”進(jìn)行數(shù)數(shù)字加密密和簽名名（如果果支持的的話）是是

58、一個好好主意。在域憑憑據(jù)被發(fā)發(fā)送到域域控制器器時，安安全通道道保護(hù)這些些憑據(jù)。但是，只有 Wiindoows NT 4.00 Seerviice Pacck 66a (SP66a) 和 Wiindoows 操作系系統(tǒng)的后后續(xù)版本本才支持持對安全全通道進(jìn)進(jìn)行數(shù)字字加密和和簽名。Winndowws 998 SSecoond Ediitioon 客戶端端不支持持它（除除非它們們安裝了了 Dsscliientt）。因因此，對對于支持持將 Wiindoows 98 客戶端端作為域域成員的的域控制制器，不不能啟用用“域成員員：對安安全通道道數(shù)據(jù)進(jìn)進(jìn)行數(shù)字字加密或或簽名（總是）”設(shè)置。潛在影影響可能能包括以

59、以下情況況： 創(chuàng)建或刪刪除下級級信任關(guān)關(guān)系的能能力將被被禁用。 從下級客客戶端登登錄將被被禁用。 從下級受受信任域域中對其其他域的的用戶進(jìn)進(jìn)行身份份驗證的的能力將將被禁用用。在從域中中清除所所有的 Wiindoows 9x 客戶端端、將受受信任/信任域域中的所所有 Wiindoows NT 4.00 服務(wù)器器和域控控制器升升級到 Wiindoows NT 4.00 SPP6a 之后，可以啟啟用此策策略設(shè)置置。對于于域中的的所有計計算機(jī)，還可以以啟用另另外兩個個策略設(shè)設(shè)置：“域成員員：對安安全通道道數(shù)據(jù)進(jìn)進(jìn)行數(shù)字字加密（如果可可能）”和“域成員員：對安安全通道道數(shù)據(jù)進(jìn)進(jìn)行數(shù)字字簽名（如果可可能）

60、”，但前前提是這這些計算算機(jī)支持持這兩個個設(shè)置而而且不影影響下級客客戶端和和應(yīng)用程程序。域成員：禁用更更改機(jī)器器帳戶密密碼此策略設(shè)設(shè)置確定定域成員員是否可可以定期期更改其其計算機(jī)機(jī)帳戶密密碼。如如果啟用用此策略略設(shè)置，域成員員不能更更改其計計算機(jī)帳帳戶密碼碼。如果果禁用此此策略設(shè)設(shè)置，將將允許域域成員根根據(jù)“域成員員：最長長機(jī)器帳帳戶密碼碼壽命”設(shè)置更更改其計計算機(jī)帳帳戶密碼碼，在默默認(rèn)情況況下是每每 300 天更改改一次。警告：請請不要啟啟用此策策略設(shè)置置。計算算機(jī)帳戶戶密碼用用于在成成員和域域控制器器之間以以及域中中的域控控制器之之間建立立安全通通道通信信。在建建立了這這類通信信之后，安全