组策略设置系列篇之安全选项2Word文档格式.docx

1、不需要按 CTRL+ALT+DEL”设置的可能值为：Microsoft 之所以开发此功能，是为了更便于身体有某种残疾的用户登录到运行 Windows 的计算机。如果不要求用户按 Ctrl+Alt+Del，他们容易受到尝试截获其密码的攻击。如果要求用户在登录之前按 Ctrl+Alt+Del，用户密码则会通过受信任路径进行通信。攻击者可能会安装看似标准 Windows 登录对话框的特洛伊木马程序，并捕获用户的密码。攻击者随后将能够使用该用户具有的特权级别登录到被侵入的帐户。将“不需要按 CTRL+ALT+DEL”设置配置为“已禁用”。除非用户使用智能卡进行登录，否则他们必须同时按这三个键，才能显示

2、登录对话框。用户试图登录时消息文字用户试图登录时消息文字”和“交互式登录：用户试图登录时消息标题”设置密切相关。第一个策略设置指定用户登录时显示给他们的消息文字，而第二个策略设置指定显示在包含消息文字的窗口的标题栏中的标题。许多组织将这些文本用于法律目的，例如，警告用户误用公司信息的后果，或者警告用户他们的操作可能被审核。警告：Windows XP Professional 添加了如下支持：长度可以超过 512 个字符、而且还可以包含回车换行序列的登录标题。但是，Windows 2000 客户端不能理解和显示这些消息。您必须使用 Windows 2000 计算机创建适用于 Windows 20

3、00 计算机的登录消息策略。如果您无意中在 Windows XP Professional 计算机上创建了一个登录消息策略，但是发现它不能在 Windows 2000 计算机上正确地显示，请执行下列操作： 将该设置重新配置为“没有定义”。 使用 Windows 2000 计算机重新配置该设置。如果只是在 Windows 2000 计算机上更改由 Windows XP Professional 定义的登录消息设置，将不会奏效。必须首先将该设置重新配置为“没有定义”。这些策略设置的可能值为：用户定义的文本在登录之前显示警告消息，可能有助于在攻击发生之前警告攻击者他们的不正当行为，从而防止攻击。可能

4、还有助于通过在登录过程中通知员工相应策略来加强公司策略。将“用户试图登录时消息文字”和“用户试图登录时消息标题”设置配置为适合组织的相应值。注意：所显示的任何警告消息应先经您所在组织的法律代表和人力资源代表的许可。用户在登录到服务器控制台之前将看到对话框中的一则消息。可被缓存的前次登录个数（在域控制器不可用的情况下）此策略设置确定多少位不同用户可以使用缓存的帐户信息登录到 Windows 域。域帐户的登录信息可以被本地缓存，以便在无法就后续登录联系域控制器时，用户仍可以登录。此策略设置可以确定其登录信息在本地缓存的唯一用户的个数。如果某个域控制器不可用，某个用户的登录信息被缓存，则该用户会被提

5、示以下消息：不能联系您的域中的域控制器。您已经使用缓存的帐户信息登录。由于您上次登录的域控制器可能不可用，因此请更改您的配置文件。如果某个域控制器不可用，某个用户的登录信息未被缓存，则该用户会被提示此消息：现在不能登录该系统，因为 域不可用。可被缓存的前次登录个数（在域控制器不可用的情况下）”设置的可能值为：用户定义的数值，在 0 至 50 之间分配给此策略设置的数字指出服务器将在本地缓存多少个用户的登录信息。如果该数字被设置为 10，则服务器缓存 10 个用户的登录信息。当第 11 个用户登录到该计算机时，服务器会覆盖最旧的缓存登录会话。访问服务器控制台的用户会将其登录凭据缓存到该服务器上。

6、能够访问服务器文件系统的攻击者可以查找这个缓存信息，并使用强力攻击试图确定用户密码。为减轻这种类型的攻击，Windows 加密该信息并将其分散在多个物理位置。将“交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）”设置配置为 0，可禁用在本地缓存登录信息。其他对策包括强制使用强密码策略并对计算机的位置进行物理保护。如果用户无法向任何域控制器验证其身份，他们将无法登录任何计算机。对于最终用户计算机（尤其是移动用户），组织可能希望将此值配置为 2。如果将此值配置为 2，则意味着用户的登录信息仍将位于缓存中，即使 IT 部门的某个成员最近登录过用户的计算机以执行系统维护时也是如此。此方法

7、允许用户在未连接到组织网络时登录到他们的计算机。在密码到期前提示用户更改密码此策略设置确定提前多少天提醒用户其密码即将到期。有了这个提前警告，用户就有时间创建足够强的密码。在密码到期前提示用户更改密码”设置的可能值为：用户定义的天数，介于 1 和 999 之间Microsoft 建议将用户密码配置为定期过期。用户将需要被提醒其密码即将过期，否则在其密码到期时他们可能会被无意中锁定在计算机外。此情况可能会导致用户在本地访问网络时造成混乱，或者使用户不能通过拨号或虚拟专用网络 （VPN） 连接访问组织网络。在密码到期前提示用户更改密码”设置配置为 14 天。当用户的密码过期日期配置为 14 天或更

8、短时，用户在每次登录到域时都将看到一个对话框，提示其更改密码。要求域控制器身份验证以解锁工作站对已锁定的计算机进行解锁时需要登录信息。对于域帐户来说，“交互式登录：要求域控制器身份验证以解锁工作站”设置确定为了解锁计算机是否有必要联系域控制器。如果启用此设置，域控制器必须验证用来解锁计算机的域帐户的身份。如果禁用此设置，用户解锁计算机时域控制器并不需要登录信息确认。但是，如果将“交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）”设置配置为大于零的值，则用户的缓存凭据将被用于解锁计算机。此设置可以应用于 Windows 2000 计算机，但不能通过这些计算机上的“安全配置管理器”工

9、具来使用。要求域控制器身份验证以解锁工作站”设置的可能值为：默认情况下，计算机将已通过身份验证的任何用户的凭据缓存在本地内存中。计算机使用这些缓存凭据来对尝试解锁控制台的任何人进行身份验证。如果使用缓存凭据，将不考虑或应用在验证帐户身份之后对帐户进行的任何最新更改（如用户权限分配、帐户锁定或禁用帐户）。不更新用户特权，而且更重要的是，被禁用的帐户仍能够解锁计算机的控制台。要求域控制器身份验证以解锁工作站”设置配置为“已启用”，并将“交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）”设置配置为 0。如果某台计算机上的控制台由某个用户锁定，或者因屏幕保护程序超时而自动被锁定时，则只有

10、当该用户重新向域控制器验证自己的身份时，该控制台才能被解锁。如果没有可用的域控制器，则用户不能解锁他们的工作站。如果将“交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）”设置配置为 0，其域控制器不可用的用户（如移动或远程用户）将不能登录。要求智能卡此策略设置要求用户使用智能卡登录计算机。要求智能卡”设置的可能值为：要求使用又长又复杂的密码进行身份验证可增强网络安全性，当用户必须定期更改其密码时尤其如此。此方法会减少攻击者通过强力攻击猜出用户密码的机会。但是，用户难以选择强密码，如果攻击者有足够时间和计算资源，即使是强密码也容易受到强力攻击。使用智能卡（而非密码）来进行身份验证会

11、大大增强安全性，这是由于，当今的技术使攻击者几乎不可能模拟另一个用户。需要个人识别码 （PIN） 的智能卡提供双因素身份验证。换句话说，用户必须既拥有智能卡又知道它的 PIN。捕获到用户计算机和域控制器之间身份验证通信的攻击者会发现很难对该通信进行解密，而且即使他们进行了解密，用户在下次登录网络时，也会生成一个新的会话密钥，用来加密用户和域控制器之间的通信。对于敏感帐户，向用户颁发智能卡，并将“交互式登录：要求智能卡”设置配置为“已启用”。所有的用户将必须使用智能卡登录网络；这意味着组织将必需针对所有用户的可靠公钥基础结构 （PKI）以及智能卡和智能卡读取器。这些要求会带来巨大的挑战，因为这些

12、技术的规划和部署需要专业知识和资源。但是，Windows Server 2003 包括证书服务，一种用来实现和管理证书的非常高级的服务。当证书服务与 Windows XP 结合使用时，将有诸如自动用户和计算机注册和续订等功能可用。智能卡移除操作此策略设置确定将已登录用户的智能卡从智能卡阅读器中移除时会发生的操作。智能卡移除操作”设置的可能值为：无操作锁定工作站强制注销如果使用智能卡进行身份验证，则在智能卡被移除时，计算机应当会自动地自行锁定。此方法将防止其他恶意用户在用户离开、忘了手动锁定其工作站时访问其计算机。将“智能卡移除操作”设置配置为“锁定工作站”。如果在“属性”对话框中为此策略设置选

13、择“锁定工作站”，工作站会在智能卡被移除时锁定。用户可以离开工作区，随身携带其智能卡，并仍维护受保护的会话。如果在“属性”对话框中为此策略设置选择“强制注销”，则用户将在智能卡被移除时自动注销。用户在返回其工作站时，必须重新插入其智能卡并重新输入其 PIN。Microsoft 网络客户端和服务器：数字签名的通信（四项相关设置）共有四个不同的设置与服务器消息块 （SMB） 通信的数字签名相关： Microsoft 网络客户端：数字签名的通信（总是） Microsoft 网络服务器：数字签名的通信（总是） Microsoft 网络客户端：数字签名的通信（若服务器同意） Microsoft 网络服务

14、器：数字签名的通信（若客户端同意）各个策略设置的可能值为：在高安全网络中实施数字签名有助于防止客户端和服务器被模拟。这种类型的模拟被称作会话劫持，并使用工具允许能够访问客户端或服务器所在网络的攻击者中断、终止或窃取进行中的会话。攻击者有可能会截获和修改未签名的 SMB 数据包，然后修改通信并转发它，这样服务器可能会执行不需要的操作。或者，攻击者可能会在进行合法的身份验证之后冒充服务器或客户端，并获取对数据的XX的访问权限。SMB 是许多 Microsoft 操作系统支持的资源共享协议。它是 NetBIOS 和其他许多协议的基础。SMB 签名既对用户又对承载数据的服务器进行身份验证。如果任意一端

15、没有通过身份验证过程，就不会进行数据传输。另外一个可以保护所有网络通信的对策将是用 IPsec 实施数字签名。使用用于 IPsec 加密和签名的基于硬件的加速器可以降低对服务器 CPU 的性能影响。对于 SMB 签名没有类似的加速器。请按如下方式配置这些设置：“Microsoft 网络客户端：数字签名的通信（总是）”配置为“已禁用”。“Microsoft 网络服务器：数字签名的通信（若服务器同意）”配置为“已启用”。数字签名的通信（若客户端同意）”配置为“已启用”。一些资源建议将所有这些设置都配置为“已启用”。但是，该配置可能会导致降低客户端计算机的性能，并禁止它们与旧 SMB 应用程序和操作

16、系统进行通信。Windows 2000 Server、Windows 2000 Professional、Windows Server 2003 和 Windows XP Professional 的 SMB 文件实施和打印共享协议支持相互身份验证，这可以防止会话劫持攻击并支持消息身份验证以防止中间人攻击。SMB 签名通过向每个 SMB 放入一个数字签名，然后由客户端和服务器进行验证，来提供身份验证。实施 SMB 签名可能会对性能造成负面影响，因为每个数据包都需要经过签名和验证。如果将计算机配置为忽略所有未经签名的 SMB 通信，则旧应用程序和操作系统将无法进行连接。如果完全禁用所有 SMB

17、签名，计算机将容易受到会话劫持攻击。Microsoft 网络客户端：发送未加密的密码到第三方 SMB 服务器此策略设置允许 SMB 重定向器向身份验证期间不支持密码加密的非 Microsoft SMB 服务器发送明文密码。发送未加密的密码到第三方 SMB 服务器”设置的可能值为：如果启用此策略设置，服务器可以将纯文本密码通过网络传输到提供 SMB 服务的其他计算机。这些其他计算机可能不使用 Windows Server 2003 随附的任何 SMB 安全机制。将“Microsoft 网络客户端：发送未加密的密码到第三方 SMB 服务器”设置配置为“已禁用”。一些非常旧的应用程序和操作系统（如

18、MS-DOS、Windows for Workgroups 3.11 和 Windows 95a）会无法使用 SMB 协议与组织中的服务器进行通信。Microsoft 网络服务器：在挂起会话之前所需的空闲时间此策略设置确定在 SMB 会话因不活动而被挂起之前，在此会话中必须经过的连续空闲时间。管理员可以使用此策略设置来控制计算机何时挂起不活动的 SMB 会话。当客户端恢复活动时，会自动重新建立会话。值 0 表示将尽快断开空闲会话。最大值是 99999（即 208 天）；此值实际上会禁用该设置。在挂起会话之前所需的空闲时间”设置的可能值为：用户定义的周期（用分钟表示）每个 SMB 会话都会消耗服

19、务器资源，并且大量空会话将减慢服务器或者有可能导致其失败。攻击者可能会重复建立 SMB 会话，直到服务器的 SMB 服务变得缓慢或无响应。将“Microsoft 网络服务器：在挂起会话之前所需的空闲时间”设置配置为“15 分钟”。影响将很小，因为 SMB 会话将在客户端恢复活动时自动重新建立。当登录时间用完时自动注销用户此策略设置确定在超过用户帐户的有效登录时间后，是否要断开连接到本地计算机的用户。此设置影响 SMB 组件。如果启用此策略设置，会在客户端的登录时间用完时强制断开与 SMB 服务的客户端会话。如果禁用此策略设置，已建立的客户端会话在超过客户端登录时间后继续进行。如果启用此策略设置

20、，还应启用“网络安全：在超过登录时间后强制注销”。当登录时间用完时自动注销用户”设置的可能值为：如果组织为用户配置了登录时间，则很有必要启用此策略设置。否则，在超出登录时间后不应具有网络资源访问权限的用户，实际上可以继续使用在允许的时间中建立的会话的这些资源。启用“Microsoft 网络服务器：当登录时间用完时自动注销帐户”设置。如果在组织中未使用登录时间，则此策略设置将没有影响。如果使用了登录时间，当超过现有用户的登录时间后将强制终止现有用户会话。网络访问：允许匿名 SID/名称转换此策略设置确定匿名用户是否可以请求另一个用户的 SID 属性。“网络访问：允许匿名 SID/名称转换”设置的

21、可能值为：如果启用此策略设置，则拥有本地访问权限的用户可以使用众所周知的管理员的 SID 获取内置 Administrator 帐户的实际名称，即使该帐户已被重命名时也是如此。然后，此人可以使用帐户名发起密码猜测攻击。将“网络访问：允许匿名 SID/名称转换”设置配置为“已禁用”。在成员计算机上，“已禁用”是此策略设置的默认配置，因而此设置对成员计算机没什么影响。对于域控制器，默认配置为“已启用”。如果在域控制器上禁用此策略设置，旧式计算机可能无法与基于 Windows Server 2003 的域进行通信。例如，下列计算机可能不工作：基于 Windows NT 4.0 的远程访问服务服务器。

22、在基于 WindowsNT 3.x 或基于 Windows NT 4.0 的计算机上运行的 Microsoft SQL Server。在位于 Windows NT 3.x 域或 Windows NT 4.0 域中的基于 Windows 2000 的计算机上运行的远程访问服务或 Microsoft SQL 服务器。不允许 SAM 帐户的匿名枚举此策略设置确定要授予连接到计算机的匿名连接哪些其他权限。Windows 允许匿名用户执行某些活动，如枚举域帐户和网络共享的名称。例如，当管理员希望向不维护双向信任的受信任域中的多个用户授予访问权限时，此功能会非常方便。但是，即使启用了此设置，匿名用户仍将能

23、够访问具有某些权限（显然包括特殊的内置组 ANONYMOUS LOGON）的任何资源。在 Windows 2000 中，名为“对匿名连接的额外限制”的类似策略设置管理一个名为 RestrictAnonymous 的注册表值，此值位于 HKLMSYSTEMCurrentControlSetControlLSA 注册表项中。在 Windows Server 2003 中，“网络访问：不允许 SAM 帐户的匿名枚举”和“网络访问：不允许 SAM 帐户和共享的匿名枚举”策略设置代替了 Windows 2000 中的此项策略设置。它们分别管理注册表值 RestrictAnonymousSAM 和 Res

24、trictAnonymous，都位于 HKLMSystemCurrentControlSetControlLsa 注册表项中。不允许 SAM 帐户的匿名枚举”设置的可能值为：XX的用户可以匿名列出帐户名称，并使用此信息进行社会工程攻击或尝试猜测密码。（社会工程攻击试图以某种方式哄骗用户以获取密码或某种形式的安全信息。）不允许 SAM 帐户的匿名枚举”设置配置为“已启用”。将不可能与基于 Windows NT 4.0 的域建立信任。此外，当运行旧版本的 Windows 操作系统（如 Windows NT 3.51 和 Windows 95）的客户端计算机尝试使用服务器上的资源时，他们将遇到问题。

25、不允许 SAM 帐户和共享的匿名枚举此策略设置确定是否允许匿名枚举安全帐户管理器 （SAM） 帐户和共享。如前面部分所述，Windows 允许匿名用户执行某些活动，如枚举域帐户和网络共享的名称。如果您不希望允许匿名枚举 SAM 帐户和共享，则启用此策略设置。但是，即使启用，匿名用户仍将能够访问具有某些权限（显然包括特殊的内置组 ANONYMOUS LOGON）的任何资源。它们分别管理注册表值 RestrictAnonymousSAM 和 RestrictAnonymous，这两个值均位于 HKLMSystemCurrentControlSetControlLsa 注册表项中。不允许 SAM 帐

26、户和共享的匿名枚举”设置的可能值为：XX的用户可以匿名列出帐户名称和共享资源，并使用此信息尝试猜测密码或进行“社会工程学”攻击。不允许 SAM 帐户和共享的匿名枚举”设置配置为“已启用”。通过单向信任不可能向另一个域的用户授予访问权限，因为信任域中的管理员将无法枚举另一个域中的帐户列表。匿名访问文件和打印服务器的用户将无法列出这些服务器上的共享网络资源；用户将必须先进行身份验证，然后才能查看共享文件夹和打印机的列表。不允许为网络身份验证储存凭据或 .NET Passports此策略设置确定在获得域身份验证后“存储用户名和密码”功能是否保存密码或凭据以备日后使用。如果启用此策略设置，Windows 的“存储用户名和密码”功能不存储密码和凭据。不允许为网络身份验证储存凭据或 .NET Passports”设置的可能值为：用户在登录到计算机时，可以访问缓存的密码。尽管此信息听起来或许很明显，但是当用户无意中执行了恶意代码，而这些恶意代码读取密码并将它们转发到另一个XX的用户时，就会出现问题。如果组织有效地实现和管理企业防病毒解决方案以及明智的软件限制策略，那么，此利用以及涉及到恶意代码的其他利用的成功机会将大大减小。有关软件限制策略的详细信息，请参阅第 8 章“软件限制策略”。不