组策略设置系列篇之安全选项3.docx
《组策略设置系列篇之安全选项3.docx》由会员分享,可在线阅读,更多相关《组策略设置系列篇之安全选项3.docx(12页珍藏版)》请在冰豆网上搜索。
组策略设置系列篇之安全选项3
组策略设置系列篇之“安全选项”-3
选项,设置
网络安全:
不要在下次更改密码时存储LANManager的哈希值
此策略设置确定在下次更改密码时LANManager是否可以存储新密码的哈希值。
“网络安全:
不要在下次更改密码时存储LANManager的哈希值”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
试图访问用户名和密码哈希的攻击者可能会以SAM文件作为目标。
这类攻击使用特殊工具破解密码,然后使用这些密码来模拟用户并获得对网络资源的访问。
启用此策略设置不会禁止这些类型的攻击,但会使这类攻击的成功变得困难得多。
对策:
将“网络安全:
不要在下次更改密码时存储LANManager的哈希值”设置配置为“已启用”。
要求所有用户在下次登录域时都设置新密码,以便LANManager哈希被删除。
潜在影响:
早期操作系统(如Windows95、Windows98和WindowsME)以及一些第三方应用程序将失败。
网络安全:
在超过登录时间后强制注销
此策略设置确定在超过用户帐户的有效登录时间后,是否要断开连接到本地计算机的用户。
此设置影响SMB组件。
如果启用此策略设置,会在客户端的登录时间用完时断开与SMB服务器的客户端会话。
如果禁用此策略设置,已建立的客户端会话在超过客户端登录时间后继续进行。
“网络安全:
在超过登录时间后强制注销”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
如果禁用此策略设置,则在为用户分配的登录时间用完之后,用户仍能继续连接到计算机。
对策:
将“网络安全:
在超过登录时间后强制注销”设置配置为“已启用”。
此策略设置不适用于管理员帐户。
潜在影响:
当用户的登录时间用完时,SMB会话将终止。
用户在他们的下一次计划访问时间开始之前将无法登录到计算机。
网络安全:
LANManager身份验证级别
LANManager(LM)是早期Microsoft客户端/服务器软件系列,它允许用户将多台个人计算机连接在单个网络上。
网络功能包括透明文件和打印共享、用户安全性功能以及网络管理工具。
在ActiveDirectory域中,Kerberos协议是默认的身份验证协议。
但是,如果因某种原因未协商Kerberos协议,则ActiveDirectory将使用LM、NTLM或NTLMv2。
LANManager身份验证协议(包括LM、NTLM和NTLM版本2(NTLMv2)变体)用于在所有Windows客户端执行以下操作时对其进行身份验证:
•加入到域中•在ActiveDirectory林之间进行身份验证•向低级别域验证身份•向非运行Windows2000、WindowsServer2003或WindowsXP的计算机验证身份•向不在域中的计算机验证身份
“网络安全:
LANManager身份验证级别”设置的可能值为
:
•发送LM和NTLM响应•发送LM和NTLM-若协商使用NTLMv2会话安全•仅发送NTLM响应•仅发送NTLMv2响应•仅发送NTLMv2响应\拒绝LM•仅发送NTLMv2响应\拒绝LM和NTLM•没有定义“网络安全:
LANManager身份验证级别”设置确定将哪些质询/响应身份验证协议用于网络登录。
此选项影响客户端使用的身份验证协议级别、计算机所协商的会话安全级别以及服务器所接受的身份验证级别,如下所示:
•发送LM和NTLM响应。
客户端使用LM和NTLM身份验证,从不使用NTLMv2会话安全性。
域控制器接受LM、NTLM和NTLMv2身份验证。
•发送LM和NTLM-若协商使用NTLMv2会话安全。
客户端使用LM和NTLM身份验证,如果服务器支持的话,还使用NTLMv2会话安全。
域控制器接受LM、NTLM和NTLMv2身份验证。
•仅发送NTLM响应。
客户端只使用NTLM身份验证,如果服务器支持的话,还使用NTLMv2会话安全。
域控制器接受LM、NTLM和NTLMv2身份验证。
•仅发送NTLMv2响应。
客户端仅使用NTLMv2身份验证,如果服务器支持的话,还使用NTLMv2会话安全。
域控制器接受LM、NTLM和NTLMv2身份验证。
•仅发送NTLMv2响应\拒绝LM。
客户端仅使用NTLMv2身份验证,如果服务器支持的话,还使用NTLMv2会话安全。
域控制器拒绝LM(只接受NTLM和NTLMv2身份验证)。
•仅发送NTLMv2响应\拒绝LM和NTLM。
客户端仅使用NTLMv2身份验证,如果服务器支持的话,还使用NTLMv2会话安全。
域控制器拒绝LM和NTLM(只接受NTLMv2身份验证)。
这些设置与其他Microsoft文档中讨论的级别相对应,如下所示:
•级别0–发送LM和NTLM响应;从不使用NTLMv2会话安全。
客户端使用LM和NTLM身份验证,从不使用NTLMv2会话安全。
域控制器接受LM、NTLM和NTLMv2身份验证。
•级别1–若协商使用NTLMv2会话安全。
客户端使用LM和NTLM身份验证,如果服务器支持的话,还使用NTLMv2会话安全。
域控制器接受LM、NTLM和NTLMv2身份验证。
•级别2–仅发送NTLM响应。
客户端只使用NTLM身份验证,如果服务器支持的话,还使用NTLMv2会话安全。
域控制器接受LM、NTLM和NTLMv2身份验证。
•级别3–仅发送NTLMv2响应。
客户端使用NTLMv2身份验证,如果服务器支持的话,还使用NTLMv2会话安全。
域控制器接受LM、NTLM和NTLMv2身份验证。
•级别4–域控制器拒绝LM响应。
客户端使用NTLM身份验证,如果服务器支持的话,还使用NTLMv2会话安全。
域控制器拒绝LM身份验证,即,它们接受NTLM和NTLMv2。
•级别5–域控制器拒绝LM和NTLM响应(只接受NTLMv2)。
客户端使用NTLMv2身份验证,如果服务器支持的话,还使用NTLMv2会话安全。
域控制器拒绝NTLM和LM身份验证(它们只接受NTLMv2)。
漏洞:
Windows2000、WindowsServer2003和WindowsXP客户端在默认情况下均配置为发送LM和NTLM身份验证响应(Windows9x客户端只发送LM)。
服务器的默认设置允许所有的客户端都向服务器验证身份并使用服务器上的资源。
但是,这意味着LM响应(一种最弱的身份验证响应)通过网络进行发送,而且攻击者有可能嗅探该通信,以便更容易地再现用户的密码。
Windows9x和WindowsNT操作系统不能使用Kerberosv5协议进行身份验证。
因此,在WindowsServer2003域中,这些计算机在默认情况下会用LM和NTLM协议验证身份,以便进行网络身份验证。
使用NTLMv2,可以为Windows9x和WindowsNT实施更安全的身份验证协议。
对于登录过程,NTLMv2使用安全通道来保护身份验证过程。
即使您对旧式客户端和服务器使用NTLMv2,作为域成员的、基于Windows的客户端和服务器也将使用Kerberos身份验证协议向WindowsServer2003域控制器验证身份。
对策:
将“网络安全:
LANManager身份验证级别”设置配置为“仅发送NTLMv2响应”。
当所有的客户端都支持NTLMv2时,Microsoft以及许多独立组织都强烈建议使用这种身份验证级别。
潜在影响:
不支持NTLMv2身份验证的客户端将无法在域中进行身份验证,而且将无法使用LM和NTLM来访问域资源。
网络安全:
LDAP客户端签名要求
此策略设置确定数据签名的级别,此数据签名是代表发出LDAPBIND请求的客户端而请求的,具体级别如下
:
•无。
LDAPBIND请求是用调用方指定的选项发出的。
•协商签名。
如果传输层安全性/安全套接字层(TLS/SSL)尚未启动,则LDAPBIND请求是用LDAP数据签名选项集以及调用方指定的选项启动的。
如果TLS/SSL已经启动,则LDAPBIND请求是用调用方指定的选项启动的。
•要求签名。
此级别与“协商签名”相同。
但是,如果LDAP服务器的中间saslBindInProgress响应不指出LDAP通信签名是必需的,则调用方会被告知LDAPBIND命令请求已失败。
注意:
此策略设置对ldap_simple_bind或ldap_simple_bind_s没有任何影响。
WindowsXPProfessional随附的任何MicrosoftLDAP客户端都不使用ldap_simple_bind或ldap_simple_bind_s来与域控制器进行通信。
“网络安全:
LDAP客户端签名要求”设置的可能值为:
•
无
•
协商签名
•
要求签名
•
没有定义
漏洞:
未签名的网络通信易受中间人攻击(入侵者捕获客户端和服务器之间的数据包,修改它们,然后将它们转发到服务器)。
对于LDAP服务器,这很可能意味着攻击者可能导致服务器根据LDAP查询的错误或修改过的数据作出决定。
通过在企业网络中实施强物理安全措施来保护网络基础结构,可以降低此风险。
此外,如果要求所有的网络数据包都借助于IPsec身份验证头来进行数字签名,可以使所有类型的中间人攻击变得极其困难。
对策:
将“网络安全:
LDAP服务器签名要求”设置配置为“要求签名”。
潜在影响:
如果将服务器配置为要求LDAP签名,则还必须对客户端进行配置。
如果不配置客户端它将不能与服务器通信,这可能导致许多功能失败,包括用户身份验证、组策略和登录脚本。
网络安全:
基于NTLMSSP(包括安全的RPC)客户端的最小会话安全
此策略设置允许客户端计算机要求协商消息的保密性(加密)、消息完整性、128位加密或NTLMv2会话安全。
这些值依赖“LANManager身份验证级别”策略设置的值。
“网络安全:
基于NTLMSSP(包括安全的RPC)客户端的最小会话安全”设置的可能值为:
•要求消息的保密性。
如果不对加密进行协商,连接将失败。
加密功能将数据转换为如不解密就无法读取的形式。
•要求消息的完整性。
如果不对消息的完整性进行协商,连接将失败。
消息的完整性可通过消息签名进行评估。
消息签名证明消息未被篡改;它附加加密的签名(用来标识发送方,而且以数字形式来表示消息内容)。
•要求128位加密。
如果不对强加密(128位)进行协商,连接将失败。
•要求NTLMv2会话安全。
如果不对NTLMv2协议进行协商,连接将失败。
•没有定义。
漏洞:
您可以启用此策略设置的所有选项,以帮助防止使用NTLM安全支持提供程序(NTLMSSP)的网络通信被已经获取相同网络的访问权限的攻击者公开或篡改。
换句话说,这些选项有助于防止受到中间人攻击。
对策:
启用“网络安全:
基于NTLMSSP(包括安全的RPC)客户端的最小会话安全”策略设置的所有四个可用选项。
潜在影响:
实施了这些设置的客户端计算机将无法与不支持它们的旧式服务器进行通信。
网络安全:
基于NTLMSSP(包括安全的RPC)服务器的最小会话安全
此策略设置允许服务器要求协商消息的保密性(加密)、消息完整性、128位加密或NTLMv2会话安全。
这些值依赖“LANManager身份验证级别”安全设置的值。
“网络安全:
基于NTLMSSP(包括安全的RPC)服务器的最小会话安全”设置的可能值为:
•
要求消息的保密性。
如果不对加密进行协商,连接将失败。
加密功能将数据转换为如不解密就无法由任何人读取的形式。
•
要求消息的完整性。
如果不对消息的完整性进行协商,连接将失败。
消息的完整性可通过消息签名进行评估。
消息签名证明消息未被篡改;它附加加密的签名(用来标识发送方,而且以数字形式来表示消息内容)。
•
要求128位加密。
如果不对强加密(128位)进行协商,连接将失败。
•
要求NTLMv2会话安全。
如果不对NTLMv2协议进行协商,连接将失败。
•
没有定义。
漏洞:
您可以启用此策略设置的所有选项,以帮助防止使用NTLM安全支持提供程序(NTLMSSP)的网络通信被已经获取相同网络的访问权限的攻击者公开或篡改。
即,这些选项有助于防止受到中间人攻击。
对策:
启用“网络安全:
基于NTLMSSP(包括安全的RPC)服务器的最小会话安全”策略的所有四个可用选项。
潜在影响:
不支持这些安全设置的旧式客户端将无法与该计算机进行通信。
故障恢复控制台:
允许自动系统管理级登录
此策略设置确定是否必须先提供Administrator帐户的密码才允许访问计算机。
如果启用此设置,Administrator帐户自动登录到计算机的故障恢复控制台;不需要密码。
“故障恢复控制台:
允许自动系统管理级登录”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
当您需要对无法启动的计算机进行故障排除和修复时,故障恢复控制台非常有用。
但是,允许自动登录控制台是非常危险的。
因为任何人都可以走到服务器前,通过断开电源关闭它,再重新启动,从“重新启动”菜单中选择“故障恢复控制台”,于是获得对服务器的完全控制。
对策:
将“故障恢复控制台:
允许自动系统管理级登录”设置配置为“已禁用”。
潜在影响:
用户将必须输入用户名和密码才能访问故障恢复控制台。
故障恢复控制台:
允许对所有驱动器和文件夹进行软盘复制和访问
启用此策略设置会使故障恢复控制台的SET命令处于可用状态,从而可以设置以下故障恢复控制台环境变量:
•AllowWildCards。
对某些命令(如DEL命令)启用通配符支持。
•AllowAllPaths。
允许访问计算机上的所有文件和文件夹。
•AllowRemovableMedia。
允许将文件复制到可移动媒体,如软盘。
•NoCopyPrompt。
禁止显示在现有文件被覆盖前通常显示的提示。
“故障恢复控制台:
允许对所有驱动器和文件夹进行软盘复制和访问”设置的可能值为:
•已启用•已禁用•没有定义
漏洞:
能够导致系统重新启动到故障恢复控制台的攻击者可能会窃取敏感数据并且不留下任何审核或访问记录。
对策:
将“故障恢复控制台:
允许对所有驱动器和文件夹进行软盘复制和访问”设置配置为“已禁用”。
潜在影响:
如果用户通过故障恢复控制台启动服务器,并且使用内置的Administrator帐户进行登录,他们将无法把文件和文件夹复制到软盘。
关机:
允许系统在未登录前关机
此策略设置确定是否不必登录到Windows就可以关闭计算机。
如果启用此策略设置,Windows登录屏幕上会提供“关机”命令。
如果禁用此策略设置,会从Windows登录屏幕上删除“关机”选项。
此配置要求用户能够成功登录计算机并且具有“关闭系统”用户权限,才能关闭计算机。
“关机:
允许系统在未登录前关机”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
能够在本地访问控制台的用户可能关闭计算机。
攻击者也可能会走到本地控制台前并重新启动服务器,这可能导致临时的DoS条件。
攻击者还可能会关闭服务器,并使其所有应用程序和服务均不可用。
对策:
将“允许系统在未登录前关机”设置配置为“已禁用”。
潜在影响:
操作员将必须登录服务器才能关闭或重新启动它们。
关机:
清除虚拟内存页面文件
此策略设置确定在关闭计算机时是否清除虚拟内存页面文件。
当内存页未被使用时,虚拟内存支持如下操作:
使用系统页面文件将内存页交换到磁盘中。
在正在运行的计算机上,这个页面文件是由操作系统以独占方式打开的,并且会得到很好的保护。
但是,被配置为允许启动到其他操作系统的计算机可能必须确保在计算机关闭时,系统页面文件被完全清除。
此信息将确保进程内存中可能进入页面文件中的敏感信息,在关机后对于XX的设法直接访问页面文件的用户不可用。
启用此策略设置时,会在正常关机时清除系统页面文件。
此外,当在便携式计算机上禁用休眠时,此策略设置还将强制计算机清除休眠文件Hiberfil.sys。
“关机:
清除虚拟内存页面文件”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
保留在实际内存中的重要信息可能会定期写入到页面文件中,以帮助WindowsServer2003处理多任务功能。
能够物理访问已关闭服务器的攻击者可以查看页面文件的内容。
攻击者可能会将系统卷移到另一台计算机,然后分析页面文件的内容。
尽管此过程很耗时,但是它可以将缓存在随机存取内存(RAM)中的数据公开给页面文件。
警告:
可以物理访问服务器的攻击者只需断开服务器的电源即可摆脱此对策的约束。
对策:
将“关机:
清除虚拟内存页面文件”设置配置为“已启用”。
此配置使WindowsServer2003在计算机关闭时清除页面文件。
完成此过程所需的时间取决于页面文件的大小。
可能需要几分钟才会完全关闭计算机。
潜在影响:
尤其是对于具有大量页面文件的服务器,将会花费更长时间关闭并重新启动服务器。
对于具有2GBRAM和2GB页面文件的服务器,此策略设置可能会使关闭过程增加20到30分钟或更长。
对于一些组织,这个停机时间违反了它们的内部服务级别协议。
因此,在您的环境中实现此对策之前一定要格外小心。
系统加密:
存储在计算机上的用户密钥强制使用强密钥保护
此策略设置确定用户是否可以使用没有密码的私钥(如他们的S/MIME密钥)。
“系统加密:
存储在计算机上的用户密钥强制使用强密钥保护”设置的可能值为:
•
存储和使用新密钥时不需要用户输入
•
第一次使用密钥时提示用户输入
•
用户每次使用密钥时必须输入密码
•
没有定义
漏洞“:
可以配置此策略设置,以便用户在每次使用密码时都必须提供一个不同于其域密码的密码。
此配置使攻击者更难访问存储在本地的用户密钥,即使是在攻击者控制了用户计算机并确定了用户的登录密码时也是如此。
对策:
将“系统加密:
存储在计算机上的用户密钥强制使用强密钥保护”设置配置为“用户每次使用密钥时必须输入密码”。
潜在影响:
用户在每次访问存储在其计算机上的密钥时都必须输入其密码。
例如,如果用户使用S-MIME证书对他们的电子邮件进行数字签名,则在他们发送签名的电子邮件时,将被迫输入该证书的密码。
对于某些组织来说,使用此配置涉及的开销可能会非常高。
但至少应当将此设置设置为“第一次使用密钥时提示用户输入”。
系统加密:
使用FIPS兼容的算法来加密、哈希和签名
此策略设置确定TLS/SSL安全提供程序是否将仅支持TLS_RSA_WITH_3DES_EDE_CBC_SHA强密码套件,这意味着该提供程序只支持将TLS协议作为客户端和服务器(如果合适)。
它只使用三重数据加密标准(DES)加密算法进行TLS通信加密,只使用Rivest-Shamir-Adleman(RSA)公钥算法进行TLS密钥交换和身份验证,只使用安全哈希算法版本1(SHA-1)哈希算法来满足TLS哈希要求。
启用此设置时,加密文件系统服务(EFS)仅支持使用三重DES加密算法来加密文件数据。
默认情况下,WindowsServer2003实施的EFS使用具有256位密钥的高级加密标准(AES)。
WindowsXP实施使用DESX。
“系统加密:
使用FIPS兼容的算法来加密、哈希和签名”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
可以启用此策略设置来确保计算机将使用可用于数字加密、哈希和签名的功能最强大的算法。
使用这些算法可将XX的用户损害数字加密或签名数据的风险降到最低。
对策:
将“系统加密:
使用FIPS兼容的算法来加密、哈希和签名”设置配置为“已启用”。
潜在影响:
启用此策略设置的客户端计算机将无法通过数字加密或者数字签名协议与那些不支持这些算法的服务器进行通信。
不支持这些算法的网络客户端还将无法使用需要加密网络通信的服务器。
例如,就无法将许多基于Apache的Web服务器配置为支持TLS。
如果启用此设置,还将需要将InternetExplorer配置为使用TLS。
此策略设置还会影响用于远程桌面协议(RDP)的加密级别。
远程桌面连接工具使用RDP协议与运行终端服务和客户端计算机(配置为远程控制)的服务器进行通信;如果两类计算机都没有配置为使用同一加密算法,则RDP连接将失败。
使InternetExplore能够使用TLS
1.
在InternetExplorer的“工具”菜单上,打开“Internet选项”对话框。
2.
单击“高级”选项卡。
3.
选中“使用TLS1.0”复选框。
您还可以通过组策略或使用InternetExplorer管理员工具包对此策略设置进行配置。
系统对象:
由管理员(Administrators)组成员所创建的对象默认所有者
此策略设置确定Administrators组或对象创建者是否是所创建的任何系统对象的默认所有者。
“系统对象:
由管理员(Administrators)组成员所创建的对象默认所有者”设置的可能值为:
•
管理员组
•
对象创建者
•
没有定义
漏洞:
如果将此策略设置配置为“管理员组”,个人将不可能负责新系统对象的创建。
对策:
将“系统对象:
由管理员(Administrators)组成员所创建的对象默认所有者”设置配置为“对象创建者”。
潜在影响:
在创建系统对象时,所有权将反映是哪个帐户(而不是泛指哪个Administrators组)创建了对象。
此策略设置的后果是,当用户帐户被删除时该对象将变为孤立的。
例如,当信息技术组的某位成员离开时,他在域中任何位置创建的任何对象将没有所有者。
此情况将对管理员造成负担,这是因为管理员将必须手动取得这些孤立对象的所有权以更新它们的权限。
如果能够确保总是为域组(如DomainAdmins)的新对象分配“完全控制”权限,则可将此潜在负担减至最小。
系统对象:
对非Windows子系统不要求区分大小写
此策略设置确定是否对所有子系统不要求区分大小写。
MicrosoftWin32®子系统不区分大小写。
但是,内核支持其他子系统(如可移植UNIX操作系统接口(POSIX))区分大小写。
如果启用此设置,则所有目录对象、符号链接,和IO以及文件对象均不要求区分大小写。
如果禁用此设置,Win32子系统不会区分大小写。
“系统对象:
对非Windows子系统不要求区分大小写”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
由于Windows不区分大小写,但是POSIX子系统将支持区分大小写,因此,如果未启用此策略设置,该子系统的用户将有