“帳戶: 使用空白密碼的本地帳戶只允許進行控制台登錄”設置用於控制是否可以使用具有空白密碼的本地帳戶從物理計算機控制台以外的位置進行登錄。啟用此設置將防止具有空白密碼的本地帳戶借助於“Windows 網絡”或“終端服務”,通過網絡連接到計算機。
此設置僅影響本地帳戶,它不影響域帳戶。因為具有空白密碼的帳戶易受到攻擊,所以最好避免使用它們。攻擊者可以很容易地侵入具有空白密碼的帳戶,這是因為只需確定帳戶名即可使用它。
因此,在本指南中定義的兩種環境中,“帳戶: 使用空白密碼的本地帳戶只允許進行控制台登錄”設置被配置為“已啟用”。
帳戶: 重命名系統管理員帳戶表 3.27:設置
推薦
推薦
推薦
推薦
內置的本地管理員帳戶是眾所周知的帳戶名,易於成為攻擊者的目標。Microsoft 建議您另外為該帳戶選擇一個名稱,並且避免使用可表明管理身份或較高的訪問權限帳戶的名稱。同時,務必還使用“計算機管理”控制台來更改本地管理員的默認描述。
如果對此帳戶進行了重命名,但是忘了更改默認描述:“管理計算機(域)的內置帳戶”,這不足以避開攻擊者的注意力。還一定要記住,如果允許匿名帳戶枚舉系統上的用戶,在很大程度上會與重命名管理員帳戶所帶來的安全好處相抵消。如果使用“帳戶: 重命名系統管理員帳戶”設置,重命名此帳戶及其描述,會強制攻擊者在破解此帳戶時,必須找出帳戶名和密碼,而不是只找出密碼。重命名後的帳戶名及其描述不應當包括以下術語:root、su、admin、adm 或 supervisor.
因此,Microsoft 建議使用“帳戶: 重命名系統管理員帳戶”設置,將此帳戶重命名為不表明管理或較高特權訪問帳戶的名稱。這一建議對本指南中定義的兩種環境都適用。
注意:此設置未在安全模板中配置,這裡建議不使用帳戶的新用戶名,以便遵循本指南的組織不會在其環境中為管理員帳戶使用同樣的新用戶名。
帳戶: 重命名來賓帳戶
表 3.28:設置
推薦
推薦
推薦
推薦
“帳戶: 重命名來賓帳戶”設置中的術語“來賓”對於黑客來說是另一個眾所周知的名稱。Microsoft 也建議將此帳戶重命名為在這種情況下不表明來賓用戶身份的名稱。即使根據建議禁用了此來賓帳戶設置,也應確保對其進行重命名,以提高安全性。
因此,Microsoft 建議使用“帳戶: 重命名來賓帳戶”設置,將此帳戶重命名為不表明來賓身份或較高特權訪問帳戶的名稱。這一建議對本指南中定義的兩種環境都適用。
注意:此設置未在安全模板中配置,這裡建議不使用帳戶的新用戶名,以便遵循本指南的組織不會在其環境中為來賓帳戶使用同樣的新用戶名。
設備: 允許不登錄移除
表 3.29:設置
已禁用
已啟用
已禁用
已禁用
“設備: 允許不登錄移除”設置用於確定用戶是否可以在不登錄系統的情況下從擴展塢移除計算機。如果禁用此設置,就會要求用戶先登錄,然後才能發出移除計算機的請求。登錄之後,用戶必須具有“從擴展塢移除計算機”用戶權限,才能使計算機正常地斷開與網絡的連接。此設置僅適用於具有擴展塢的便攜式計算機。
此設置僅與受控制的移除過程有關,在該過程中,某些服務會在計算機移除後停止。此設置並不能防止攻擊者在計算機沒有斷開與網絡的連接的情況下,直接將其從擴展塢彈出。如果禁用此設置,就會要求便攜式計算機用戶先解除對計算機的鎖定,然後再將它們從您的環境中的擴展塢移除。
因此,在企業客戶端環境中,“設備: 允許不登錄移除”設置僅對於企業客戶端環境中的便攜式計算機配置為“已啟用”。對於高安全級環境中的便攜式計算機,此設置為“已禁用”,它對於這兩種環境中的台式計算機則沒有任何影響。
設備: 允許格式化和彈出可移動媒體
表 3.30:設置
Administrator, Interactive Users
Administrator, Interactive Users
Administrators
Administrators
因此,在企業客戶端環境中,“設備: 允許格式化和彈出可移動媒體”設置限制於 Administrators 和 Interactive Users 組,在高安全級環境中,此設置限制於 Administrators 組,這樣做的目的只是為了提高安全性。
設備: 防止用戶安裝打印機驅動程序
表 3.31:設置
已啟用
已禁用
已啟用
已禁用
黑客可能會將特洛伊木馬程序偽裝成打印機驅動程序。該程序的形式使用戶誤以為他們必須要使用此程序才能打印,而程序卻會借此在計算機網絡上傳播惡意代碼。在多數情況下,僅允許管理員安裝打印機驅動程序,這樣可以減少容易輕信的用戶由於安裝不可靠驅動程序而危害其計算機的可能性。
由於便攜式計算機屬於移動設備,便攜式計算機用戶需要時常從遠程安裝打印機驅動程序,以便繼續正常工作。因此,對於便攜式計算機用戶,需要禁用此設置,但對於台式計算機用戶應該始終啟用此設置。
由於上述原因,對於本指南中定義的兩種環境中的台式計算機,“設備: 防止用戶安裝打印機驅動程序 ”設置應配置為“啟用”。對於兩種環境中的便攜式計算機用戶,此設置應配置為“禁用”。
設備: 只有本地登錄的用戶才能訪問 CD-ROM
表 3.32:設置
已禁用
已禁用
已啟用
已啟用
“設備: 只有本地登錄的用戶才能訪問 CD-ROM”設置用於確定本地用戶和遠程用戶是否都可以訪問 CD-ROM 驅動器。啟用此設置後,將只允許交互式登錄的用戶訪問 CD-ROM 驅動器中的媒體。如果啟用了此設置,且沒有人登錄,則可以通過網絡訪問 CD-ROM 驅動器。
啟用此設置會阻止環境中計算機上的任何服務(包括 Windows Installer 服務)訪問 CD-ROM 驅動器。由於 Windows Installer 服務是通過 CD-ROM 驅動器執行 Microsoft 安裝程序 (MSI) 包,所以這些安裝將失敗。如果打算禁止用戶或技術人員通過您的環境中客戶端上的 CD-ROM 驅動器來安裝軟件,則可以考慮啟用此設置。在高安全級環境中啟用此設置可提高安全級別。
因此,在企業客戶端環境中,“設備: 只有本地登錄的用戶才能訪問 CD-ROM”設置被配置為“已禁用”。但是,此設置在“高安全級”環境中配置為“啟用”。
設備: 只有本地登錄的用戶才能訪問軟盤
表 3.33:設置
已啟用
已啟用
已啟用
已啟用
“設備: 只有本地登錄的用戶才能訪問軟盤”設置用於確定本地用戶和遠程用戶是否都可以訪問軟盤驅動器。啟用此設置後,將只允許交互式登錄的用戶訪問軟盤驅動器中的媒體。如果啟用了此設置,且沒有人登錄,則可以通過網絡訪問軟盤驅動器中的媒體。
因此,在企業客戶端環境中,“設備: 只有本地登錄的用戶才能訪問軟盤”設置被配置為“已啟用”。
設備: 未簽名驅動程序的安裝操作
表 3.34:設置
允許安裝但發出警告
允許安裝但發出警告
禁止安裝
禁止安裝
要手動配置此設置,請先啟用它,然後選擇上面列出的三個選項之一。
在完美的計算世界中,所有好的驅動程序都應該經過簽名,這會使此設置的首選項為“禁止安裝”。不幸的是,許多驅動程序廠商仍不對他們的驅動程序進行簽名,因此,此時此設置的最佳安全選項只能是“允許安裝但發出警告”。
因此,在企業客戶端環境中,“設備: 未簽名驅動程序的安裝操作”設置被配置為“允許安裝但發出警告”選項,而在高安全級環境中,此設置被配置為“禁止安裝”選項以提高安全性。
注意:如果在本指南中定義的高安全級環境中實現此設置,則在應用組策略之前,應當用所有的標准軟件應用程序對客戶端進行完全配置,以降低此設置導致安裝錯誤的風險。
域成員: 需要強 (Windows 2000 或以上版本) 會話密鑰
表 3.35:設置
已啟用
已啟用
已啟用
已啟用
為了啟用此設置,域中的所有域控制器都必須能夠使用強密鑰加密安全通道數據。要使用強密鑰加密數據,所有的域控制器都必須運行 Microsoft Windows2000 或更高版本。如果需要與非 Windows 2000 域通信,Microsoft 建議禁用此設置。
因此,在本指南中定義的兩種環境中,“域成員: 需要強 (Windows 2000 或以上版本) 會話密鑰”設置被配置為“已啟用”。
交互式登錄: 不顯示上次的用戶名
表 3.36:設置
企業客戶端台式計算機 企業客戶端便攜式計算機 高安全級台式計算機 高安全級便攜式計算機已啟用
已啟用
已啟用
已啟用
“交互式登錄: 不顯示上次的用戶名”設置用於確定上次在您環境中的客戶端上登錄的用戶的帳戶名是否將顯示在每台計算機各自的“Windows 登錄”屏幕中。如果啟用此設置,將防止入侵者從您組織中台式計算機或便攜式計算機的屏幕上直接收集帳戶名。
因此,在本指南定義的兩種環境中,“交互式登錄: 不顯示上次的用戶名”設置被配置為“已啟用”。
交互式登錄: 不需要按 CTRL+ALT+DEL
表 3.37:設置
已禁用
已禁用
已禁用
已禁用
當用戶輸入用戶名和密碼時,Ctrl+Alt+Del 組合鍵會建立一條通往操作系統的信任路徑。如果啟用“交互式登錄: 不需要按 CTRL+ALT+DEL”設置,則用戶無需使用此組合鍵即可登錄網絡。啟用此設置後,用戶就有機會通過使用弱登錄憑據來登錄客戶端,從而造成安全風險。
因此,在企業客戶端環境中,“交互式登錄: 不需要按 CTRL+ALT+DEL”設置被配置為“已禁用”。
交互式登錄: 用戶試圖登錄時消息文字
表 3.38:設置
此系統限制為僅授權用戶。嘗試進行未經授權訪問的個人將受到起訴。
此系統限制為僅授權用戶。嘗試進行未經授權訪問的個人將受到起訴。
此系統限制為僅授權用戶。嘗試進行未經授權訪問的個人將受到起訴。
此系統限制為僅授權用戶。嘗試進行未經授權訪問的個人將受到起訴。
在用戶登錄之前,系統應當顯示一則警告消息,表明系統受到保護。許多政府組織都使用“交互式登錄: 用戶試圖登錄時消息文字”設置中的消息框來向潛在用戶發出如下通知:他們的計算機活動將受到監視,而且,如果他們企圖在未經正確授權的情況下使用這些環境中的計算機,將承擔法律責任。
為此設置定義警告消息有助於加強對組織中安全策略的認識。Microsoft 建議您在用此設置實現消息文字之前,獲得您組織中法律部門對消息文字的批准。
在本指南中定義的兩種環境中,在“交互式登錄: 用戶試圖登錄時消息文字”設置中使用下面的示例消息文字:
此系統限制為僅授權用戶。嘗試進行未經授權訪問的個人將受到起訴。
交互式登錄: 用戶試圖登錄時消息標題
表 3.39:設置
繼續在沒有適當授權的情況下使用是違法行為。
繼續在沒有適當授權的情況下使用是違法行為。
繼續在沒有適當授權的情況下使用是違法行為。
繼續在沒有適當授權的情況下使用是違法行為。
如果將“交互式登錄: 用戶試圖登錄時消息標題”設置中的消息標題警告與上一個設置結合使用,就會使 Windows XP Professional 另外還在登錄對話框的標題欄上顯示一個警告聲明。為此設置定義警告消息有助於加強對組織中安全策略的認識。Microsoft 建議您在用此設置實現消息標題之前,獲得您組織中法律部門對消息標題的批准。
在本指南中定義的兩種環境中,在“交互式登錄: 用戶試圖登錄時消息標題”設置中使用下面的示例消息標題:
繼續在沒有適當授權的情況下使用是違法行為。
交互式登錄: 可被緩存的前次登錄個數 (在域控制器不可用的情況下)
表 3.40:設置
2
2
0
1
“交互式登錄: 可被緩存的前次登錄個數 (在域控制器不可用的情況下)”設置用於確定系統可保留的緩存登錄憑據的數量。緩存的登錄憑據使用戶能夠在計算機未連接到網絡或者域控制器不可用時登錄到系統。
如果將此設置配置為“0”,將提供最大安全性,但是在環境中的域控制器由於某種原因而不可用時,將完全禁止用戶進行登錄,因為便攜式計算機用戶不總是連接到企業網絡,所以,對於便攜式計算機用戶,Microsoft 強烈建議您不要將此設置配置為“0”。如果將此設置配置為“2”,則允許無法連接到域控制器的用戶用緩存的憑據進行登錄,即使在該用戶的上次控制台會話之後,IT 部門的成員為了執行維護或疑難解答任務而進行過登錄時也不例外。如果將此設置配置為“1”,則允許在客戶端上緩存一組憑據。如果另一個用戶嘗試使用此客戶端,則他們必須將此客戶端連接到企業網絡,以便其登錄憑據由域控制器來驗證。
因此,在企業客戶端環境中,“交互式登錄: 可被緩存的前次登錄個數 (在域控制器不可用的情況下)”設置對於台式計算機和便攜式計算機均配置為“2”。但是,因為便攜式計算機用戶不總是連接到企業網絡,所以在高安全級環境中,此設置對於台式計算機配置為“0”,對於便攜式計算機則配置為“1”。
交互式登錄: 在密碼到期前提示用戶更改密碼
表 3.41:設置
14 天
14 天
14 天
14 天
“交互式登錄: 在密碼到期前提示用戶更改密碼”設置用於確定在密碼過期前幾天內提前警告用戶。Microsoft 建議將此設置配置為“14 天”,這樣足以警告用戶他們的密碼將過期。
因此,在本指南定義的兩種環境中,“交互式登錄: 在密碼到期前提示用戶更改密碼”設置被配置為“14 天”。
交互式登錄: 要求域控制器身份驗證以解鎖工作站
表 3.42:設置
已禁用
已禁用
已啟用
已禁用
如果啟用“交互式登錄: 要求域控制器身份驗證以解鎖工作站”設置,則域控制器必須對用於對計算機進行解鎖的域帳戶進行身份驗證。如果已禁用此設置,則可以使用緩存的憑據來解除計算機鎖定。由於移動用戶不具備對域控制器的網絡訪問權限,因此 Microsoft 建議針對這兩種環境中的便攜式計算機用戶禁用此設置。
因此,在本指南定義的兩種環境中,“交互式登錄: 要求域控制器身份驗證以解鎖工作站”設置對於台式計算機和便攜式計算機均配置為“已禁用”。但是,在高安全級環境中,此設置對於台式計算機配置為“已啟用”,對於便攜式計算機則配置為“已禁用”。
交互式登錄: 智能卡移除操作
表 3.43:設置
鎖定工作站
鎖定工作站
鎖定工作站
鎖定工作站
“交互式登錄: 智能卡移除操作”設置確定當已登錄用戶從工作站中移除智能卡時系統的操作。此設置的選項包括:
無操作
鎖定工作站(用戶可以移除智能卡並在稍後返回工作站上的同一會話)
強制注銷(當智能卡從工作站移除時用戶將自動注銷)
將此設置配置為“鎖定工作站”選項後,當用戶從計算機中移除他們的智能卡時,工作站將鎖定,從而確保未授權用戶不能訪問它們。
因此,在本指南定義的兩種環境中,“交互式登錄:智能卡移除操作”設置被配置為“鎖定工作站”選項。
Microsoft 網絡客戶端:數字簽名的通信(若服務器同意)
表 3.44:設置
已啟用
已啟用
已啟用
已啟用
如果啟用“Microsoft 網絡客戶端:數字簽名的通信(若服務器同意)”設置,那麼與已啟用或要求執行 SMB 數據包簽名的 SMB 服務器進行通信時,SMB 客戶端將執行 SMB 數據包簽名。如果禁用此設置,會使 SMB 客戶端在與 SMB 服務器通信時不對數據包進行數字簽名,即使 SMB 服務器已經啟用數字簽名並從客戶端請求數字簽名。
因此,在本指南定義的兩種環境中,“Microsoft 網絡客戶端:數字簽名的通信(若服務器同意)”設置被配置為“已啟用”。
注意:在網絡中的 SMB 客戶端中啟用此設置,以使它們對環境中的所有客戶端和服務器的數據包簽名完全有效。
Microsoft 網絡客戶端:發送未加密的密碼到第三方 SMB 服務器
表 3.45:設置
已禁用
已禁用
已禁用
已禁用
禁用“Microsoft 網絡客戶端:發送未加密的密碼到第三方 SMB 服務器”設置可防止 SMB 重定向器在身份驗證期間向不支持密碼加密的非 Microsoft SMB 服務器發送純文本密碼。Microsoft 推薦禁用此設置,除非有強大的業務需求要求啟用它。這是因為啟用此設置將允許未加密的密碼在網絡上傳輸。
因此,在本指南定義的兩種環境中,“Microsoft 網絡客戶端:發送未加密的密碼到第三方 SMB 服務器”設置被配置為“已禁用”。
Microsoft 網絡服務器:在掛起會話之前所需的空閒時間
表 3.46:設置
15 分鐘
15 分鐘
15 分鐘
15 分鐘
