2024年1月9日發(作者:閱讀心得體會)
組策略設置系列篇之“安全選項”-3
選項, 設置
網絡安全:不要在下次更改密碼時存儲 LAN Manager 的哈希值
此策略設置確定在下次更改密碼時 LAN Manager 是否可以存儲新密碼的哈希值��。
“網絡安全:不要在下次更改密碼時存儲 LAN Manager 的哈希值”設置的可能值為:
?
已啟用
?
已禁用
?
沒有定義
漏洞:試圖訪問用戶名和密碼哈希的攻擊者可能會以 SAM 文件作為目標。這類攻擊使用特殊工具破解密碼,然后使用這些密碼來模擬用戶并獲得對網絡資源的訪問�。啟用此策略設置不會禁止這些類型的攻擊����,但會使這類攻擊的成功變得困難得多����。
對策:將“網絡安全:不要在下次更改密碼時存儲 LAN Manager 的哈希值”設置配置為“已啟用”��。要求所有用戶在下次登錄域時都設置新密碼�����,以便 LAN Manager 哈希被刪除。
潛在影響:早期操作系統(如 Windows 95、Windows 98 和 Windows ME)以及一些第三方應用程序將失敗�。
網絡安全:在超過登錄時間后強制注銷
此策略設置確定在超過用戶帳戶的有效登錄時間后�,是否要斷開連接到本地計算機的用戶�����。此設置影響 SMB 組件����。如果啟用此策略設置�,會在客戶端的登錄時間用完時斷開與 SMB
服務器的客戶端會話。如果禁用此策略設置�����,已建立的客戶端會話在超過客戶端登錄時間后繼續進行���。
“網絡安全:在超過登錄時間后強制注銷”設置的可能值為:
?
已啟用
?
已禁用
?
沒有定義
漏洞:如果禁用此策略設置���,則在為用戶分配的登錄時間用完之后�,用戶仍能繼續連接到計算機。
對策:將“網絡安全:在超過登錄時間后強制注銷”設置配置為“已啟用”。此策略設置不適用于管理員帳戶�。
潛在影響:當用戶的登錄時間用完時,SMB 會話將終止��。用戶在他們的下一次計劃訪問時間開始之前將無法登錄到計算機�����。
網絡安全:LAN Manager 身份驗證級別
LAN Manager (LM) 是早期 Microsoft 客戶端/服務器軟件系列�����,它允許用戶將多臺個人計算機連接在單個網絡上�����。網絡功能包括透明文件和打印共享、用戶安全性功能以及網絡管理工具���。在 Active Directory 域中,Kerberos 協議是默認的身份驗證協議�����。但是���,如果因某種原因未協商 Kerberos 協議���,則 Active Directory 將使用 LM����、NTLM 或 NTLMv2。
LAN Manager 身份驗證協議(包括 LM��、NTLM 和 NTLM 版本 2 (NTLMv2) 變體)用于在所有 Windows 客戶端執行以下操作時對其進行身份驗證:
? 加入到域中? 在 Active Directory 林之間進行身份驗證? 向低級別域驗證身份? 向非運行 Windows 2000����、Windows Server 2003 或 WindowsXP 的計算機驗證身份? 向不在域中的計算機驗證身份
“網絡安全:LAN Manager 身份驗證級別”設置的可能值為
:? 發送 LM 和 NTLM 響應? 發送 LM 和 NTLM - 若協商使用
NTLMv2 會話安全? 僅發送 NTLM 響應? 僅發送 NTLMv2 響應?
僅發送 NTLMv2 響應拒絕 LM? 僅發送 NTLMv2 響應拒絕 LM 和 NTLM?
沒有定義“網絡安全:LAN Manager 身份驗證級別”設置確定將哪些質詢/響應身份驗證協議用于網絡登錄����。此選項影響客戶端使用的身份驗證協議級別、計算機所協商的會話安全級別以及服務器所接受的身份驗證級別���,如下所示:? 發送 LM 和 NTLM 響應?��?蛻舳耸褂?LM 和 NTLM 身份驗證,從不使用 NTLMv2 會話安全性����。域控制器接受 LM�����、NTLM 和 NTLMv2 身份驗證。? 發送 LM 和 NTLM - 若協商使用 NTLMv2 會話安全�?�?蛻舳耸褂?LM 和 NTLM 身份驗證,如果服務器支持的話���,還使用 NTLMv2 會話安全。域控制器接受 LM��、NTLM 和 NTLMv2 身份驗證����。? 僅發送 NTLM 響應??蛻舳酥皇褂?NTLM 身份驗證��,如果服務器支持的話,還使用 NTLMv2 會話安全��。域控制器接受 LM�、NTLM 和 NTLMv2 身份驗證�。? 僅發送 NTLMv2 響應。客戶端僅使用 NTLMv2 身份驗證�,如果服務器支持的話�,還使用 NTLMv2 會話安全����。域控制器接受 LM、NTLM 和 NTLMv2 身份驗證。? 僅發送 NTLMv2 響應拒絕 LM�?�?蛻舳藘H使用 NTLMv2 身份驗證,如果服務器支持的話,還使用 NTLMv2 會話安全����。域控制器拒絕 LM(只接受 NTLM 和 NTLMv2 身份驗證)����。? 僅發送 NTLMv2 響應拒絕 LM 和 NTLM。客戶端僅使用 NTLMv2 身份驗證��,如果服務器支持的話�����,還使用
NTLMv2 會話安全���。域控制器拒絕 LM 和 NTLM(只接受 NTLMv2 身份驗證)����。這些設置與其他 Microsoft 文檔中討論的級別相對應�����,如下所示:? 級別 0 – 發送 LM
和 NTLM 響應����;從不使用 NTLMv2 會話安全�����。客戶端使用 LM 和 NTLM 身份驗證�,從不使用 NTLMv2 會話安全����。域控制器接受 LM��、NTLM 和 NTLMv2 身份驗證�。?
級別 1 – 若協商使用 NTLMv2 會話安全����。客戶端使用 LM 和 NTLM 身份驗證,如果服務器支持的話,還使用 NTLMv2 會話安全�。域控制器接受 LM��、NTLM 和 NTLMv2 身份驗證。? 級別 2 – 僅發送 NTLM 響應?��?蛻舳酥皇褂?NTLM 身份驗證,如果服務器支持的話,還使用 NTLMv2 會話安全。域控制器接受 LM���、NTLM 和 NTLMv2 身份驗證。? 級別 3 – 僅發送 NTLMv2 響應??蛻舳耸褂?NTLMv2 身份驗證��,如果服務器支持的話,還使用 NTLMv2 會話安全。域控制器接受 LM、NTLM 和 NTLMv2 身份驗證。? 級別 4 – 域控制器拒絕 LM 響應��?���?蛻舳耸褂?NTLM 身份驗證,如果服務器支持的話�,還使用 NTLMv2 會話安全���。域控制器拒絕 LM 身份驗證,即�����,它們接受 NTLM 和 NTLMv2��。? 級別 5 – 域控制器拒絕 LM 和 NTLM 響應(只接受 NTLMv2)��。客戶端使用 NTLMv2 身份驗證����,如果服務器支持的話���,還使用 NTLMv2 會
話安全����。域控制器拒絕 NTLM 和 LM 身份驗證(它們只接受 NTLMv2)����。漏洞:Windows
2000�、Windows Server 2003 和 Windows XP 客戶端在默認情況下均配置為發送 LM 和
NTLM 身份驗證響應(Windows 9x 客戶端只發送 LM)�。服務器的默認設置允許所有的客戶端都向服務器驗證身份并使用服務器上的資源。但是���,這意味著 LM 響應(一種最弱的身份驗證響應)通過網絡進行發送,而且攻擊者有可能嗅探該通信�,以便更容易地再現用戶的密碼�����。
Windows 9x 和 Windows NT 操作系統不能使用 Kerberos v5 協議進行身份驗證。因此�����,在
Windows Server 2003 域中���,這些計算機在默認情況下會用 LM 和 NTLM 協議驗證身份�����,以便進行網絡身份驗證。使用 NTLMv2,可以為 Windows 9x 和 Windows NT 實施更安全的身份驗證協議���。對于登錄過程,NTLMv2 使用安全通道來保護身份驗證過程�����。即使您對舊式客戶端和服務器使用 NTLMv2�����,作為域成員的�����、基于 Windows 的客戶端和服務器也將使用 Kerberos 身份驗證協議向 Windows Server 2003 域控制器驗證身份。
對策:將“網絡安全:LAN Manager 身份驗證級別”設置配置為“僅發送 NTLMv2 響應”�����。當所有的客戶端都支持 NTLMv2 時��,Microsoft 以及許多獨立組織都強烈建議使用這種身份驗證級別���。
潛在影響:不支持 NTLMv2 身份驗證的客戶端將無法在域中進行身份驗證����,而且將無法使用 LM 和 NTLM 來訪問域資源��。
網絡安全:LDAP 客戶端簽名要求
此策略設置確定數據簽名的級別,此數據簽名是代表發出 LDAP BIND 請求的客戶端而請求的�,具體級別如下
:? 無�����。LDAP BIND 請求是用調用方指定的選項發出的。? 協商簽名。如果傳輸層安全性/安全套接字層 (TLS/SSL) 尚未啟動,則 LDAP BIND 請求是用 LDAP 數據簽名選項集以及調用方指定的選項啟動的����。如果 TLS/SSL 已經啟動�����,則 LDAP BIND 請求是用調用方指定的選項啟動的。? 要求簽名。此級別與“協商簽名”相同���。但是,如果 LDAP 服務器的中間 saslBindInProgress 響應不指出 LDAP 通信簽名是必需的,則調用方會被告知 LDAP BIND 命令請求已失敗。注意:此策略設置對 ldap_simple_bind 或
ldap_simple_bind_s 沒有任何影響。Windows XP Professional 隨附的任何 Microsoft LDAP
客戶端都不使用 ldap_simple_bind 或 ldap_simple_bind_s 來與域控制器進行通信�。
“網絡安全:LDAP 客戶端簽名要求”設置的可能值為:
?
無
?
協商簽名
?
要求簽名
?
沒有定義
漏洞:未簽名的網絡通信易受中間人攻擊(入侵者捕獲客戶端和服務器之間的數據包��,修改它們,然后將它們轉發到服務器)。對于 LDAP 服務器����,這很可能意味著攻擊者可能導致服務器根據 LDAP 查詢的錯誤或修改過的數據作出決定���。通過在企業網絡中實施強物理安
全措施來保護網絡基礎結構����,可以降低此風險。此外,如果要求所有的網絡數據包都借助于
IPc 身份驗證頭來進行數字簽名����,可以使所有類型的中間人攻擊變得極其困難。
對策:將“網絡安全:LDAP 服務器簽名要求”設置配置為“要求簽名”��。
潛在影響:如果將服務器配置為要求 LDAP 簽名����,則還必須對客戶端進行配置。如果不配置客戶端它將不能與服務器通信,這可能導致許多功能失敗�,包括用戶身份驗證���、組策略和登錄腳本��。
網絡安全:基于 NTLM SSP(包括安全的 RPC)客戶端的最小會話安全
此策略設置允許客戶端計算機要求協商消息的保密性(加密)、消息完整性、128 位加密或
NTLMv2 會話安全���。這些值依賴“LAN Manager 身份驗證級別”策略設置的值。
“網絡安全:基于 NTLM SSP(包括安全的 RPC)客戶端的最小會話安全”設置的可能值為:
? 要求消息的保密性��。如果不對加密進行協商����,連接將失敗。加密功能將數據轉換為如不解密就無法讀取的形式���。? 要求消息的完整性。如果不對消息的完整性進行協商����,連接將失敗����。消息的完整性可通過消息簽名進行評估���。消息簽名證明消息未被篡改�;它附加加密的簽名(用來標識發送方,而且以數字形式來表示消息內容)����。? 要求 128
位加密。如果不對強加密(128 位)進行協商���,連接將失敗。? 要求 NTLMv2 會話安全���。如果不對 NTLMv2 協議進行協商,連接將失敗�����。? 沒有定義���。
漏洞:您可以啟用此策略設置的所有選項����,以幫助防止使用 NTLM 安全支持提供程序
(NTLM SSP) 的網絡通信被已經獲取相同網絡的訪問權限的攻擊者公開或篡改。換句話說�,這些選項有助于防止受到中間人攻擊����。
對策:啟用“網絡安全:基于 NTLM SSP(包括安全的 RPC)客戶端的最小會話安全”策略設置的所有四個可用選項���。
潛在影響:實施了這些設置的客戶端計算機將無法與不支持它們的舊式服務器進行通信�����。
網絡安全:基于 NTLM SSP(包括安全的 RPC)服務器的最小會話安全
此策略設置允許服務器要求協商消息的保密性(加密)�����、消息完整性、128 位加密或 NTLMv2
會話安全��。這些值依賴“LAN Manager 身份驗證級別”安全設置的值�����。
“網絡安全:基于 NTLM SSP(包括安全的 RPC)服務器的最小會話安全”設置的可能值為:
?
要求消息的保密性��。如果不對加密進行協商,連接將失敗��。加密功能將數據轉換為如不解密就無法由任何人讀取的形式�。
?
要求消息的完整性。如果不對消息的完整性進行協商�����,連接將失敗�。消息的完整性可通過消息簽名進行評估。消息簽名證明消息未被篡改���;它附加加密的簽名(用來標識發送方,而且以數字形式來表示消息內容)��。
?
要求 128 位加密�����。如果不對強加密(128 位)進行協商����,連接將失敗�。
?
要求 NTLMv2 會話安全。如果不對 NTLMv2 協議進行協商����,連接將失敗����。
?
沒有定義���。
漏洞:您可以啟用此策略設置的所有選項��,以幫助防止使用 NTLM 安全支持提供程序
(NTLM SSP) 的網絡通信被已經獲取相同網絡的訪問權限的攻擊者公開或篡改。即,這些選項有助于防止受到中間人攻擊�。
對策:啟用“網絡安全:基于 NTLM SSP(包括安全的 RPC)服務器的最小會話安全”策略的所有四個可用選項����。
潛在影響:不支持這些安全設置的舊式客戶端將無法與該計算機進行通信����。
故障恢復控制臺:允許自動系統管理級登錄
此策略設置確定是否必須先提供 Administrator 帳戶的密碼才允許訪問計算機。如果啟用此設置��,Administrator 帳戶自動登錄到計算機的故障恢復控制臺�;不需要密碼。
“故障恢復控制臺:允許自動系統管理級登錄”設置的可能值為:
?
已啟用
?
已禁用
?
沒有定義
漏洞:當您需要對無法啟動的計算機進行故障排除和修復時��,故障恢復控制臺非常有用����。但是,允許自動登錄控制臺是非常危險的����。因為任何人都可以走到服務器前�����,通過斷開電源關閉它,再重新啟動,從“重新啟動”菜單中選擇“故障恢復控制臺”��,于是獲得對服務器的完全控制�。
對策:將“故障恢復控制臺:允許自動系統管理級登錄”設置配置為“已禁用”。
潛在影響:用戶將必須輸入用戶名和密碼才能訪問故障恢復控制臺。
故障恢復控制臺:允許對所有驅動器和文件夾進行軟盤復制和訪問
啟用此策略設置會使故障恢復控制臺的 SET 命令處于可用狀態���,從而可以設置以下故障恢復控制臺環境變量:
? AllowWildCards��。對某些命令(如 DEL 命令)啟用通配符支持�。?
AllowAllPaths��。允許訪問計算機上的所有文件和文件夾����。? AllowRemovableMedia。允許將文件復制到可移動媒體����,如軟盤��。? NoCopyPrompt。禁止顯示在現有文件被覆蓋前通常顯示的提示���。“故障恢復控制臺:允許對所有驅動器和文件夾進行軟盤復制和訪問”設置的可能值為:? 已啟用? 已禁用? 沒有定義
漏洞:能夠導致系統重新啟動到故障恢復控制臺的攻擊者可能會竊取敏感數據并且不留下任何審核或訪問記錄���。
對策:將“故障恢復控制臺:允許對所有驅動器和文件夾進行軟盤復制和訪問”設置配置為“已禁用”。
潛在影響:如果用戶通過故障恢復控制臺啟動服務器����,并且使用內置的 Administrator 帳戶
進行登錄�����,他們將無法把文件和文件夾復制到軟盤。
關機:允許系統在未登錄前關機
此策略設置確定是否不必登錄到 Windows 就可以關閉計算機。如果啟用此策略設置����,Windows 登錄屏幕上會提供“關機”命令����。如果禁用此策略設置�,會從 Windows 登錄屏幕上刪除“關機”選項�。此配置要求用戶能夠成功登錄計算機并且具有“關閉系統”用戶權限,才能關閉計算機��。
“關機:允許系統在未登錄前關機”設置的可能值為:
?
已啟用
?
已禁用
?
沒有定義
漏洞:能夠在本地訪問控制臺的用戶可能關閉計算機��。
攻擊者也可能會走到本地控制臺前并重新啟動服務器��,這可能導致臨時的 DoS 條件。攻擊者還可能會關閉服務器����,并使其所有應用程序和服務均不可用�。
對策:將“允許系統在未登錄前關機”設置配置為“已禁用”����。
潛在影響:操作員將必須登錄服務器才能關閉或重新啟動它們。
關機:清除虛擬內存頁面文件
此策略設置確定在關閉計算機時是否清除虛擬內存頁面文件�����。當內存頁未被使用時��,虛擬內存支持如下操作:使用系統頁面文件將內存頁交換到磁盤中�����。在正在運行的計算機上,這個頁面文件是由操作系統以獨占方式打開的��,并且會得到很好的保護�����。但是����,被配置為允許啟動到其他操作系統的計算機可能必須確保在計算機關閉時��,系統頁面文件被完全清除。此信息將確保進程內存中可能進入頁面文件中的敏感信息,在關機后對于未經授權的設法直接訪問頁面文件的用戶不可用��。
啟用此策略設置時�����,會在正常關機時清除系統頁面文件����。此外,當在便攜式計算機上禁用休眠時,此策略設置還將強制計算機清除休眠文件 ����。
“關機:清除虛擬內存頁面文件”設置的可能值為:
?
已啟用
?
已禁用
?
沒有定義
漏洞:保留在實際內存中的重要信息可能會定期寫入到頁面文件中�,以幫助 Windows Server
2003 處理多任務功能����。能夠物理訪問已關閉服務器的攻擊者可以查看頁面文件的內容。攻擊者可能會將系統卷移到另一臺計算機����,然后分析頁面文件的內容����。盡管此過程很耗時��,但
是它可以將緩存在隨機存取內存 (RAM) 中的數據公開給頁面文件��。
警告:可以物理訪問服務器的攻擊者只需斷開服務器的電源即可擺脫此對策的約束。
對策:將“關機:清除虛擬內存頁面文件”設置配置為“已啟用”��。此配置使 Windows Server
2003 在計算機關閉時清除頁面文件����。完成此過程所需的時間取決于頁面文件的大小�����??赡苄枰獛追昼姴艜耆P閉計算機�����。
潛在影響:尤其是對于具有大量頁面文件的服務器����,將會花費更長時間關閉并重新啟動服務器�����。對于具有 2 GB RAM 和 2 GB 頁面文件的服務器��,此策略設置可能會使關閉過程增加
20 到 30 分鐘或更長。對于一些組織,這個停機時間違反了它們的內部服務級別協議��。因此�����,在您的環境中實現此對策之前一定要格外小心����。
系統加密:存儲在計算機上的用戶密鑰強制使用強密鑰保護
此策略設置確定用戶是否可以使用沒有密碼的私鑰(如他們的 S/MIME 密鑰)����。
“系統加密:存儲在計算機上的用戶密鑰強制使用強密鑰保護”設置的可能值為:
?
存儲和使用新密鑰時不需要用戶輸入
?
第一次使用密鑰時提示用戶輸入
?
用戶每次使用密鑰時必須輸入密碼
?
沒有定義
漏洞“:可以配置此策略設置,以便用戶在每次使用密碼時都必須提供一個不同于其域密碼的密碼��。此配置使攻擊者更難訪問存儲在本地的用戶密鑰��,即使是在攻擊者控制了用戶計算機并確定了用戶的登錄密碼時也是如此。
對策:將“系統加密:存儲在計算機上的用戶密鑰強制使用強密鑰保護”設置配置為“用戶每次使用密鑰時必須輸入密碼”��。
潛在影響:用戶在每次訪問存儲在其計算機上的密鑰時都必須輸入其密碼�����。例如���,如果用戶使用 S-MIME 證書對他們的電子郵件進行數字簽名�,則在他們發送簽名的電子郵件時���,將被迫輸入該證書的密碼�。對于某些組織來說,使用此配置涉及的開銷可能會非常高���。但至少應當將此設置設置為“第一次使用密鑰時提示用戶輸入”����。
系統加密:使用 FIPS 兼容的算法來加密���、哈希和簽名
此策略設置確定 TLS/SSL 安全提供程序是否將僅支持
TLS_RSA_WITH_3DES_EDE_CBC_SHA 強密碼套件��,這意味著該提供程序只支持將 TLS
協議作為客戶端和服務器(如果合適)���。它只使用三重數據加密標準 (DES) 加密算法進行
TLS 通信加密����,只使用 Rivest-Shamir-Adleman (RSA) 公鑰算法進行 TLS 密鑰交換和身份驗證���,只使用安全哈希算法版本 1 (SHA-1) 哈希算法來滿足 TLS 哈希要求�。
啟用此設置時����,加密文件系統服務 (EFS) 僅支持使用三重 DES 加密算法來加密文件數據。默認情況下��,Windows Server 2003 實施的 EFS 使用具有 256 位密鑰的高級加密標準
(AES)����。Windows XP 實施使用 DESX。
“系統加密:使用 FIPS 兼容的算法來加密����、哈希和簽名”設置的可能值為:
?
已啟用
?
已禁用
?
沒有定義
漏洞:可以啟用此策略設置來確保計算機將使用可用于數字加密�、哈希和簽名的功能最強大的算法��。使用這些算法可將未經授權的用戶損害數字加密或簽名數據的風險降到最低�。
對策:將“系統加密:使用 FIPS 兼容的算法來加密�、哈希和簽名”設置配置為“已啟用”。
潛在影響:啟用此策略設置的客戶端計算機將無法通過數字加密或者數字簽名協議與那些不支持這些算法的服務器進行通信��。不支持這些算法的網絡客戶端還將無法使用需要加密網絡通信的服務器����。例如,就無法將許多基于 Apache 的 Web 服務器配置為支持 TLS��。如果啟用此設置��,還將需要將 Internet Explorer 配置為使用 TLS��。此策略設置還會影響用于遠程桌面協議 (RDP) 的加密級別。遠程桌面連接工具使用 RDP 協議與運行終端服務和客戶端計算機(配置為遠程控制)的服務器進行通信�;如果兩類計算機都沒有配置為使用同一加密算法��,則 RDP 連接將失敗。
使 Internet Explore 能夠使用 TLS
1.
在 Internet Explorer 的“工具”菜單上,打開“Internet 選項”對話框。
2.
單擊“高級”選項卡���。
3.
選中“使用 TLS 1.0”復選框。
您還可以通過組策略或使用 Internet Explorer 管理員工具包對此策略設置進行配置。
系統對象:由管理員 (Administrators) 組成員所創建的對象默認所有者
此策略設置確定 Administrators 組或對象創建者是否是所創建的任何系統對象的默認所有者���。
“系統對象:由管理員 (Administrators) 組成員所創建的對象默認所有者”設置的可能值為:
?
管理員組
?
對象創建者
?
沒有定義
漏洞:如果將此策略設置配置為“管理員組”���,個人將不可能負責新系統對象的創建���。
對策:將“系統對象:由管理員 (Administrators) 組成員所創建的對象默認所有者”設置配置為“對象創建者”��。
潛在影響:在創建系統對象時��,所有權將反映是哪個帳戶(而不是泛指哪個 Administrators
組)創建了對象。此策略設置的后果是,當用戶帳戶被刪除時該對象將變為孤立的����。例如����,當信息技術組的某位成員離開時����,他在域中任何位置創建的任何對象將沒有所有者。此情況將對管理員造成負擔�,這是因為管理員將必須手動取得這些孤立對象的所有權以更新它們的權限���。如果能夠確?���?偸菫橛蚪M(如 Domain Admins)的新對象分配“完全控制”權限,則可將此潛在負擔減至最小。
系統對象:對非 Windows 子系統不要求區分大小寫
此策略設置確定是否對所有子系統不要求區分大小寫�。Microsoft Win32? 子系統不區分大小寫�。但是�,內核支持其他子系統(如可移植 UNIX 操作系統接口 (POSIX))區分大小寫。如果啟用此設置,則所有目錄對象、符號鏈接�,和 IO 以及文件對象均不要求區分大小寫�����。如果禁用此設置�,Win 32 子系統不會區分大小寫。
“系統對象:對非 Windows 子系統不要求區分大小寫”設置的可能值為:
?
已啟用
?
已禁用
?
沒有定義
漏洞:由于 Windows 不區分大小寫,但是 POSIX 子系統將支持區分大小寫�����,因此�,如果未啟用此策略設置,該子系統的用戶將有可能創建一個與另一個文件同名、但是混有不同大小寫字母的文件����。當用戶嘗試從正常的 Win32 工具訪問這些文件時�,這類情況可能使他們感到混淆�����,因為將只有其中的一個文件可用��。
對策:將“系統對象:對非 Windows 子系統不要求區分大小寫”設置配置為“已啟用”。
潛在影響:所有的子系統都將被迫遵守不區分大小寫這一規則����。此配置可能使熟悉某個基于
UNIX 的操作系統(區分大小寫)的用戶感到混淆�����。
系統對象:增強內部系統對象的默認權限(例如 Symbolic Links)
此策略設置確定對象的默認 DACL 的強度。Windows 維護共享計算機資源(如 MS-DOS
設備名稱��、多用戶終端執行程序和信號燈)的全局列表�����,以便于在進程間定位和共享對象���。
“系統對象:增強內部系統對象的默認權限(例如 Symbolic Links)”設置的可能值為:
?
已啟用
?
已禁用
?
沒有定義
漏洞:此設置確定對象的默認 DACL 的強度。Windows Server 2003 維護共享計算機資源的全局列表�����,以便于在進程間定位和共享對象���。各種類型的對象在創建時都附帶了默認的
DACL����,指定誰可以訪問該對象并以何種權限訪問。如果啟用此設置��,默認的 DACL 會加強����,因為允許非管理員用戶讀取共享對象,但是不能修改不是由他們創建的共享對象����。
對策:將“系統對象:增強全局系統對象的默認權限(例如��,Symbolic Links)”設置配置為“已啟用”。
潛在影響:無���。這是默認配置。
系統設置:可選子系統
此策略設置確定哪些子系統支持您的應用程序��?���?梢允褂么税踩O置根據環境的需要指定任意多個子系統���。
“系統設置:可選子系統”設置的可能值為:
?
用戶定義的子系統列表
?
沒有定義
漏洞:POSIX 子系統是用來定義一組操作系統服務的電氣與電子工程師協會 (IEEE) 標準���。如果服務器支持使用 POSIX 子系統的應用程序,則這個子系統是必需的����。
POSIX 子系統引進了安全風險���,該風險與可能在登錄之間持續存在的進程相關�。如果用戶啟動某個進程并隨后注銷�,就可能出現以下情況:登錄該計算機的下一位用戶可以訪問上一位用戶的進程。這種潛在可能性是非常危險的�,因為第二位用戶在該進程中所做的任何操作都將用第一位用戶的特權來執行���。
對策:將“系統設置:可選子系統”設置配置為空值��。默認值為 POSIX。
潛在影響:依賴 POSIX 子系統的應用程序將不再能夠工作���。例如,Microsoft Services for
Unix (SFU) 安裝一個需要 POSIX 子系統的更新版本��,這樣��,對于使用 SFU 的任何服務器���,您將必須在組策略中重置此設置��。
系統設置:為軟件限制策略對 Windows 可執行文件使用證書規則
此策略設置確定如果啟用了軟件限制策略,在用戶或進程試圖運行具有 .exe 文件擴展名的軟件時是否處理數字證書。這個安全設置啟用或禁用證書規則(一種類型的軟件限制策略規則)���。在軟件限制策略下,您可以創建一種證書規則以允許或禁止運行由 Authenticode? 簽名的軟件����,軟件是否能夠運行將由與該軟件相關的數字證書確定�。要使證書規則在軟件限制策略中起作用��,必須啟用此安全設置�。
“系統設置:為軟件限制策略對 Windows 可執行文件使用證書規則”設置的可能值為:
?
已啟用
?
已禁用
?
沒有定義
漏洞:軟件限制策略有助于保護用戶和計算機����,因為它們可以防止執行未經授權的代碼(如病毒和特洛伊木馬)����。
對策:將“系統設置:為軟件限制策略對 Windows 可執行文件使用證書規則”設置配置為“已啟用”。
潛在影響:如果啟用證書規則,軟件限制策略會檢查證書吊銷列表 (CRL),以確保軟件的證書和簽名有效。在簽名程序啟動時�����,此檢查過程可能會對性能造成負面影響�����。您可以在所需的 GPO 中編輯軟件限制策略以禁用此功能��。在“受信任的發布者屬性”對話框中清除“發布者”和“時間戳”復選框。
