组策略设置系列篇之安全选项2.docx
《组策略设置系列篇之安全选项2.docx》由会员分享,可在线阅读,更多相关《组策略设置系列篇之安全选项2.docx(22页珍藏版)》请在冰豆网上搜索。
组策略设置系列篇之安全选项2
组策略设置系列篇之“安全选项”-2
选项,设置
交互式登录:
不显示上次的用户名
此策略设置确定“登录到Windows”对话框是否显示上次登录到该计算机的用户的名称。
如果启用此策略设置,不显示上次成功登录的用户的名称。
如果禁用此策略设置,则显示上次登录的用户的名称。
“交互式登录:
不显示上次的用户名”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
能够访问控制台的攻击者(例如,能够物理访问的人或者能够通过终端服务连接到服务器的人)可以查看上次登录到服务器的用户的名称。
攻击者随后可能尝试猜测密码,使用字典或者依靠强力攻击以试图登录。
对策:
将“不显示上次的用户名”设置配置为“已启用”。
潜在影响:
用户在登录服务器时,必须始终键入其用户名。
交互式登录:
不需要按CTRL+ALT+DEL
此策略设置确定用户在登录前是否必须按Ctrl+Alt+Del。
如果启用此策略设置,用户登录时无需按此组合键。
如果禁用此策略设置,用户在登录到Windows之前必须按Ctrl+Alt+Del,除非他们使用智能卡进行Windows登录。
智能卡是一种用来存储安全信息的防篡改设备。
“交互式登录:
不需要按CTRL+ALT+DEL”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
Microsoft之所以开发此功能,是为了更便于身体有某种残疾的用户登录到运行Windows的计算机。
如果不要求用户按Ctrl+Alt+Del,他们容易受到尝试截获其密码的攻击。
如果要求用户在登录之前按Ctrl+Alt+Del,用户密码则会通过受信任路径进行通信。
攻击者可能会安装看似标准Windows登录对话框的特洛伊木马程序,并捕获用户的密码。
攻击者随后将能够使用该用户具有的特权级别登录到被侵入的帐户。
对策:
将“不需要按CTRL+ALT+DEL”设置配置为“已禁用”。
潜在影响:
除非用户使用智能卡进行登录,否则他们必须同时按这三个键,才能显示登录对话框。
交互式登录:
用户试图登录时消息文字
“交互式登录:
用户试图登录时消息文字”和“交互式登录:
用户试图登录时消息标题”设置密切相关。
第一个策略设置指定用户登录时显示给他们的消息文字,而第二个策略设置指定显示在包含消息文字的窗口的标题栏中的标题。
许多组织将这些文本用于法律目的,例如,警告用户误用公司信息的后果,或者警告用户他们的操作可能被审核。
警告:
WindowsXPProfessional添加了如下支持:
长度可以超过512个字符、而且还可以包含回车换行序列的登录标题。
但是,Windows2000客户端不能理解和显示这些消息。
您必须使用Windows2000计算机创建适用于Windows2000计算机的登录消息策略。
如果您无意中在WindowsXPProfessional计算机上创建了一个登录消息策略,但是发现它不能在Windows2000计算机上正确地显示,请执行下列操作:
•将该设置重新配置为“没有定义”。
•使用Windows2000计算机重新配置该设置。
如果只是在Windows2000计算机上更改由WindowsXPProfessional定义的登录消息设置,将不会奏效。
必须首先将该设置重新配置为“没有定义”。
这些策略设置的可能值为:
•
用户定义的文本
•
没有定义
漏洞:
在登录之前显示警告消息,可能有助于在攻击发生之前警告攻击者他们的不正当行为,从而防止攻击。
可能还有助于通过在登录过程中通知员工相应策略来加强公司策略。
对策:
将“用户试图登录时消息文字”和“用户试图登录时消息标题”设置配置为适合组织的相应值。
注意:
所显示的任何警告消息应先经您所在组织的法律代表和人力资源代表的许可。
潜在影响:
用户在登录到服务器控制台之前将看到对话框中的一则消息。
交互式登录:
可被缓存的前次登录个数(在域控制器不可用的情况下)
此策略设置确定多少位不同用户可以使用缓存的帐户信息登录到Windows域。
域帐户的登录信息可以被本地缓存,以便在无法就后续登录联系域控制器时,用户仍可以登录。
此策略设置可以确定其登录信息在本地缓存的唯一用户的个数。
如果某个域控制器不可用,某个用户的登录信息被缓存,则该用户会被提示以下消息:
不能联系您的域中的域控制器。
您已经使用缓存的帐户信息登录。
由于您上次登录的域控制器可能不可用,因此请更改您的配置文件。
如果某个域控制器不可用,某个用户的登录信息未被缓存,则该用户会被提示此消息:
现在不能登录该系统,因为<域名>域不可用。
“交互式登录:
可被缓存的前次登录个数(在域控制器不可用的情况下)”设置的可能值为:
•
用户定义的数值,在0至50之间
•
没有定义
漏洞:
分配给此策略设置的数字指出服务器将在本地缓存多少个用户的登录信息。
如果该数字被设置为10,则服务器缓存10个用户的登录信息。
当第11个用户登录到该计算机时,服务器会覆盖最旧的缓存登录会话。
访问服务器控制台的用户会将其登录凭据缓存到该服务器上。
能够访问服务器文件系统的攻击者可以查找这个缓存信息,并使用强力攻击试图确定用户密码。
为减轻这种类型的攻击,Windows加密该信息并将其分散在多个物理位置。
对策:
将“交互式登录:
可被缓存的前次登录个数(在域控制器不可用的情况下)”设置配置为0,可禁用在本地缓存登录信息。
其他对策包括强制使用强密码策略并对计算机的位置进行物理保护。
潜在影响:
如果用户无法向任何域控制器验证其身份,他们将无法登录任何计算机。
对于最终用户计算机(尤其是移动用户),组织可能希望将此值配置为2。
如果将此值配置为2,则意味着用户的登录信息仍将位于缓存中,即使IT部门的某个成员最近登录过用户的计算机以执行系统维护时也是如此。
此方法允许用户在未连接到组织网络时登录到他们的计算机。
交互式登录:
在密码到期前提示用户更改密码
此策略设置确定提前多少天提醒用户其密码即将到期。
有了这个提前警告,用户就有时间创建足够强的密码。
“交互式登录:
在密码到期前提示用户更改密码”设置的可能值为:
•
用户定义的天数,介于1和999之间
•
没有定义
漏洞:
Microsoft建议将用户密码配置为定期过期。
用户将需要被提醒其密码即将过期,否则在其密码到期时他们可能会被无意中锁定在计算机外。
此情况可能会导致用户在本地访问网络时造成混乱,或者使用户不能通过拨号或虚拟专用网络(VPN)连接访问组织网络。
对策:
将“交互式登录:
在密码到期前提示用户更改密码”设置配置为14天。
潜在影响:
当用户的密码过期日期配置为14天或更短时,用户在每次登录到域时都将看到一个对话框,提示其更改密码。
交互式登录:
要求域控制器身份验证以解锁工作站
对已锁定的计算机进行解锁时需要登录信息。
对于域帐户来说,“交互式登录:
要求域控制器身份验证以解锁工作站”设置确定为了解锁计算机是否有必要联系域控制器。
如果启用此设置,域控制器必须验证用来解锁计算机的域帐户的身份。
如果禁用此设置,用户解锁计算机时域控制器并不需要登录信息确认。
但是,如果将“交互式登录:
可被缓存的前次登录个数(在域控制器不可用的情况下)”设置配置为大于零的值,则用户的缓存凭据将被用于解锁计算机。
注意:
此设置可以应用于Windows2000计算机,但不能通过这些计算机上的“安全配置管理器”工具来使用。
“交互式登录:
要求域控制器身份验证以解锁工作站”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
默认情况下,计算机将已通过身份验证的任何用户的凭据缓存在本地内存中。
计算机使用这些缓存凭据来对尝试解锁控制台的任何人进行身份验证。
如果使用缓存凭据,将不考虑或应用在验证帐户身份之后对帐户进行的任何最新更改(如用户权限分配、帐户锁定或禁用帐户)。
不更新用户特权,而且更重要的是,被禁用的帐户仍能够解锁计算机的控制台。
对策:
将“交互式登录:
要求域控制器身份验证以解锁工作站”设置配置为“已启用”,并将“交互式登录:
可被缓存的前次登录个数(在域控制器不可用的情况下)”设置配置为0。
潜在影响:
如果某台计算机上的控制台由某个用户锁定,或者因屏幕保护程序超时而自动被锁定时,则只有当该用户重新向域控制器验证自己的身份时,该控制台才能被解锁。
如果没有可用的域控制器,则用户不能解锁他们的工作站。
如果将“交互式登录:
可被缓存的前次登录个数(在域控制器不可用的情况下)”设置配置为0,其域控制器不可用的用户(如移动或远程用户)将不能登录。
交互式登录:
要求智能卡
此策略设置要求用户使用智能卡登录计算机。
注意:
此设置可以应用于Windows2000计算机,但不能通过这些计算机上的“安全配置管理器”工具来使用。
“交互式登录:
要求智能卡”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
要求使用又长又复杂的密码进行身份验证可增强网络安全性,当用户必须定期更改其密码时尤其如此。
此方法会减少攻击者通过强力攻击猜出用户密码的机会。
但是,用户难以选择强密码,如果攻击者有足够时间和计算资源,即使是强密码也容易受到强力攻击。
使用智能卡(而非密码)来进行身份验证会大大增强安全性,这是由于,当今的技术使攻击者几乎不可能模拟另一个用户。
需要个人识别码(PIN)的智能卡提供双因素身份验证。
换句话说,用户必须既拥有智能卡又知道它的PIN。
捕获到用户计算机和域控制器之间身份验证通信的攻击者会发现很难对该通信进行解密,而且即使他们进行了解密,用户在下次登录网络时,也会生成一个新的会话密钥,用来加密用户和域控制器之间的通信。
对策:
对于敏感帐户,向用户颁发智能卡,并将“交互式登录:
要求智能卡”设置配置为“已启用”。
潜在影响:
所有的用户将必须使用智能卡登录网络;这意味着组织将必需针对所有用户的可靠公钥基础结构(PKI)以及智能卡和智能卡读取器。
这些要求会带来巨大的挑战,因为这些技术的规划和部署需要专业知识和资源。
但是,WindowsServer2003包括证书服务,一种用来实现和管理证书的非常高级的服务。
当证书服务与WindowsXP结合使用时,将有诸如自动用户和计算机注册和续订等功能可用。
交互式登录:
智能卡移除操作
此策略设置确定将已登录用户的智能卡从智能卡阅读器中移除时会发生的操作。
“交互式登录:
智能卡移除操作”设置的可能值为:
•
无操作
•
锁定工作站
•
强制注销
•
没有定义
漏洞:
如果使用智能卡进行身份验证,则在智能卡被移除时,计算机应当会自动地自行锁定。
此方法将防止其他恶意用户在用户离开、忘了手动锁定其工作站时访问其计算机。
对策:
将“智能卡移除操作”设置配置为“锁定工作站”。
如果在“属性”对话框中为此策略设置选择“锁定工作站”,工作站会在智能卡被移除时锁定。
用户可以离开工作区,随身携带其智能卡,并仍维护受保护的会话。
如果在“属性”对话框中为此策略设置选择“强制注销”,则用户将在智能卡被移除时自动注销。
潜在影响:
用户在返回其工作站时,必须重新插入其智能卡并重新输入其PIN。
Microsoft网络客户端和服务器:
数字签名的通信(四项相关设置)
共有四个不同的设置与服务器消息块(SMB)通信的数字签名相关:
•Microsoft网络客户端:
数字签名的通信(总是)•Microsoft网络服务器:
数字签名的通信(总是)•Microsoft网络客户端:
数字签名的通信(若服务器同意)•Microsoft网络服务器:
数字签名的通信(若客户端同意)各个策略设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
在高安全网络中实施数字签名有助于防止客户端和服务器被模拟。
这种类型的模拟被称作会话劫持,并使用工具允许能够访问客户端或服务器所在网络的攻击者中断、终止或窃取进行中的会话。
攻击者有可能会截获和修改未签名的SMB数据包,然后修改通信并转发它,这样服务器可能会执行不需要的操作。
或者,攻击者可能会在进行合法的身份验证之后冒充服务器或客户端,并获取对数据的XX的访问权限。
SMB是许多Microsoft操作系统支持的资源共享协议。
它是NetBIOS和其他许多协议的基础。
SMB签名既对用户又对承载数据的服务器进行身份验证。
如果任意一端没有通过身份验证过程,就不会进行数据传输。
注意:
另外一个可以保护所有网络通信的对策将是用IPsec实施数字签名。
使用用于IPsec加密和签名的基于硬件的加速器可以降低对服务器CPU的性能影响。
对于SMB签名没有类似的加速器。
对策:
请按如下方式配置这些设置:
•
“Microsoft网络客户端:
数字签名的通信(总是)”配置为“已禁用”。
•
“Microsoft网络服务器:
数字签名的通信(总是)”配置为“已禁用”。
•
“Microsoft网络客户端:
数字签名的通信(若服务器同意)”配置为“已启用”。
•
“Microsoft网络服务器:
数字签名的通信(若客户端同意)”配置为“已启用”。
一些资源建议将所有这些设置都配置为“已启用”。
但是,该配置可能会导致降低客户端计算机的性能,并禁止它们与旧SMB应用程序和操作系统进行通信。
潜在影响:
Windows2000Server、Windows2000Professional、WindowsServer2003和WindowsXPProfessional的SMB文件实施和打印共享协议支持相互身份验证,这可以防止会话劫持攻击并支持消息身份验证以防止中间人攻击。
SMB签名通过向每个SMB放入一个数字签名,然后由客户端和服务器进行验证,来提供身份验证。
实施SMB签名可能会对性能造成负面影响,因为每个数据包都需要经过签名和验证。
如果将计算机配置为忽略所有未经签名的SMB通信,则旧应用程序和操作系统将无法进行连接。
如果完全禁用所有SMB签名,计算机将容易受到会话劫持攻击。
Microsoft网络客户端:
发送未加密的密码到第三方SMB服务器
此策略设置允许SMB重定向器向身份验证期间不支持密码加密的非MicrosoftSMB服务器发送明文密码。
“Microsoft网络客户端:
发送未加密的密码到第三方SMB服务器”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
如果启用此策略设置,服务器可以将纯文本密码通过网络传输到提供SMB服务的其他计算机。
这些其他计算机可能不使用WindowsServer2003随附的任何SMB安全机制。
对策:
将“Microsoft网络客户端:
发送未加密的密码到第三方SMB服务器”设置配置为“已禁用”。
潜在影响:
一些非常旧的应用程序和操作系统(如MS-DOS、WindowsforWorkgroups3.11和Windows95a)会无法使用SMB协议与组织中的服务器进行通信。
Microsoft网络服务器:
在挂起会话之前所需的空闲时间
此策略设置确定在SMB会话因不活动而被挂起之前,在此会话中必须经过的连续空闲时间。
管理员可以使用此策略设置来控制计算机何时挂起不活动的SMB会话。
当客户端恢复活动时,会自动重新建立会话。
值0表示将尽快断开空闲会话。
最大值是99999(即208天);此值实际上会禁用该设置。
“Microsoft网络服务器:
在挂起会话之前所需的空闲时间”设置的可能值为:
•
用户定义的周期(用分钟表示)
•
没有定义
漏洞:
每个SMB会话都会消耗服务器资源,并且大量空会话将减慢服务器或者有可能导致其失败。
攻击者可能会重复建立SMB会话,直到服务器的SMB服务变得缓慢或无响应。
对策:
将“Microsoft网络服务器:
在挂起会话之前所需的空闲时间”设置配置为“15分钟”。
潜在影响:
影响将很小,因为SMB会话将在客户端恢复活动时自动重新建立。
Microsoft网络服务器:
当登录时间用完时自动注销用户
此策略设置确定在超过用户帐户的有效登录时间后,是否要断开连接到本地计算机的用户。
此设置影响SMB组件。
如果启用此策略设置,会在客户端的登录时间用完时强制断开与SMB服务的客户端会话。
如果禁用此策略设置,已建立的客户端会话在超过客户端登录时间后继续进行。
如果启用此策略设置,还应启用“网络安全:
在超过登录时间后强制注销”。
“Microsoft网络服务器:
当登录时间用完时自动注销用户”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
如果组织为用户配置了登录时间,则很有必要启用此策略设置。
否则,在超出登录时间后不应具有网络资源访问权限的用户,实际上可以继续使用在允许的时间中建立的会话的这些资源。
对策:
启用“Microsoft网络服务器:
当登录时间用完时自动注销帐户”设置。
潜在影响:
如果在组织中未使用登录时间,则此策略设置将没有影响。
如果使用了登录时间,当超过现有用户的登录时间后将强制终止现有用户会话。
网络访问:
允许匿名SID/名称转换
此策略设置确定匿名用户是否可以请求另一个用户的SID属性。
“网络访问:
允许匿名SID/名称转换”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
如果启用此策略设置,则拥有本地访问权限的用户可以使用众所周知的管理员的SID获取内置Administrator帐户的实际名称,即使该帐户已被重命名时也是如此。
然后,此人可以使用帐户名发起密码猜测攻击。
对策:
将“网络访问:
允许匿名SID/名称转换”设置配置为“已禁用”。
潜在影响:
在成员计算机上,“已禁用”是此策略设置的默认配置,因而此设置对成员计算机没什么影响。
对于域控制器,默认配置为“已启用”。
如果在域控制器上禁用此策略设置,旧式计算机可能无法与基于WindowsServer2003的域进行通信。
例如,下列计算机可能不工作:
•
基于WindowsNT4.0的远程访问服务服务器。
•
在基于WindowsNT3.x或基于WindowsNT4.0的计算机上运行的MicrosoftSQLServer™。
•
在位于WindowsNT3.x域或WindowsNT4.0域中的基于Windows2000的计算机上运行的远程访问服务或MicrosoftSQL服务器。
网络访问:
不允许SAM帐户的匿名枚举
此策略设置确定要授予连接到计算机的匿名连接哪些其他权限。
Windows允许匿名用户执行某些活动,如枚举域帐户和网络共享的名称。
例如,当管理员希望向不维护双向信任的受信任域中的多个用户授予访问权限时,此功能会非常方便。
但是,即使启用了此设置,匿名用户仍将能够访问具有某些权限(显然包括特殊的内置组ANONYMOUSLOGON)的任何资源。
在Windows2000中,名为“对匿名连接的额外限制”的类似策略设置管理一个名为RestrictAnonymous的注册表值,此值位于HKLM\SYSTEM\CurrentControlSet\Control\LSA注册表项中。
在WindowsServer2003中,“网络访问:
不允许SAM帐户的匿名枚举”和“网络访问:
不允许SAM帐户和共享的匿名枚举”策略设置代替了Windows2000中的此项策略设置。
它们分别管理注册表值RestrictAnonymousSAM和RestrictAnonymous,都位于HKLM\System\CurrentControlSet\Control\Lsa\注册表项中。
“网络访问:
不允许SAM帐户的匿名枚举”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
XX的用户可以匿名列出帐户名称,并使用此信息进行社会工程攻击或尝试猜测密码。
(社会工程攻击试图以某种方式哄骗用户以获取密码或某种形式的安全信息。
)
对策:
将“网络访问:
不允许SAM帐户的匿名枚举”设置配置为“已启用”。
潜在影响:
将不可能与基于WindowsNT4.0的域建立信任。
此外,当运行旧版本的Windows操作系统(如WindowsNT3.51和Windows95)的客户端计算机尝试使用服务器上的资源时,他们将遇到问题。
网络访问:
不允许SAM帐户和共享的匿名枚举
此策略设置确定是否允许匿名枚举安全帐户管理器(SAM)帐户和共享。
如前面部分所述,Windows允许匿名用户执行某些活动,如枚举域帐户和网络共享的名称。
例如,当管理员希望向不维护双向信任的受信任域中的多个用户授予访问权限时,此功能会非常方便。
如果您不希望允许匿名枚举SAM帐户和共享,则启用此策略设置。
但是,即使启用,匿名用户仍将能够访问具有某些权限(显然包括特殊的内置组ANONYMOUSLOGON)的任何资源。
在Windows2000中,名为“对匿名连接的额外限制”的类似策略设置管理一个名为RestrictAnonymous的注册表值,此值位于HKLM\SYSTEM\CurrentControlSet\Control\LSA注册表项中。
在WindowsServer2003中,“网络访问:
不允许SAM帐户的匿名枚举”和“网络访问:
不允许SAM帐户和共享的匿名枚举”策略设置代替了Windows2000中的此项策略设置。
它们分别管理注册表值RestrictAnonymousSAM和RestrictAnonymous,这两个值均位于HKLM\System\CurrentControlSet\Control\Lsa\注册表项中。
“网络访问:
不允许SAM帐户和共享的匿名枚举”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
XX的用户可以匿名列出帐户名称和共享资源,并使用此信息尝试猜测密码或进行“社会工程学”攻击。
对策:
将“网络访问:
不允许SAM帐户和共享的匿名枚举”设置配置为“已启用”。
潜在影响:
通过单向信任不可能向另一个域的用户授予访问权限,因为信任域中的管理员将无法枚举另一个域中的帐户列表。
匿名访问文件和打印服务器的用户将无法列出这些服务器上的共享网络资源;用户将必须先进行身份验证,然后才能查看共享文件夹和打印机的列表。
网络访问:
不允许为网络身份验证储存凭据或.NETPassports
此策略设置确定在获得域身份验证后“存储用户名和密码”功能是否保存密码或凭据以备日后使用。
如果启用此策略设置,Windows的“存储用户名和密码”功能不存储密码和凭据。
“网络访问:
不允许为网络身份验证储存凭据或.NETPassports”设置的可能值为:
•
已启用
•
已禁用
•
没有定义
漏洞:
用户在登录到计算机时,可以访问缓存的密码。
尽管此信息听起来或许很明显,但是当用户无意中执行了恶意代码,而这些恶意代码读取密码并将它们转发到另一个XX的用户时,就会出现问题。
注意:
如果组织有效地实现和管理企业防病毒解决方案以及明智的软件限制策略,那么,此利用以及涉及到恶意代码的其他利用的成功机会将大大减小。
有关软件限制策略的详细信息,请参阅第8章“软件限制策略”。
对策:
将“网络访问:
不
升级会员 