1、組策略設(shè)置系列篇之“平安選項(xiàng)”-3選項(xiàng)，設(shè)置網(wǎng)絡(luò)平安：不要在卜次更改密碼時(shí)存儲(chǔ)LANManager的哈希值此策略設(shè)置確信在下次更改密碼時(shí)LANManager是不是能夠存儲(chǔ)新密碼的哈希值。“網(wǎng)絡(luò)平安：不要在下次更改密碼時(shí)存儲(chǔ)LANManager的哈希值”設(shè)置的可能值為：已啟用已禁用沒(méi)有概念漏洞：試圖訪問(wèn)用戶名和密碼哈希的解決者可能會(huì)以SAM文件作為目標(biāo)。這種解決利用特殊工具破解密碼，然后利用這些密碼來(lái)模擬用戶并取得對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。啟用此策略設(shè)置可不能禁止這些類型的解決，但會(huì)使這種解決的成功變得困寶貴多。計(jì)謀：將“網(wǎng)絡(luò)平安：不要在下次更改密碼時(shí)存儲(chǔ)LANManager的哈希值”設(shè)置配置為“已啟用

2、”。要求所有效戶在下次登錄域時(shí)都設(shè)置新密碼，以便LANManager哈希被刪除。潛在阻礙：初期操作系統(tǒng)（如Windows9五、Windows98和WindowsME）和一些第三方應(yīng)用程序?qū)⑹　＞W(wǎng)絡(luò)平安：在超過(guò)登錄時(shí)刻后強(qiáng)制注銷此策略設(shè)置確信在超過(guò)用戶帳戶的有效登錄時(shí)刻后，是不是要斷開(kāi)連接到本地運(yùn)算機(jī)的用戶。此設(shè)置阻礙SMB組件。若是啟用此策略設(shè)置，會(huì)在客戶端的登錄時(shí)刻用完時(shí)斷開(kāi)與SMB效勞器的客戶端會(huì)話。若是禁用此策略設(shè)置，己成立的客戶端會(huì)話在超過(guò)客戶端登錄時(shí)刻后繼續(xù)進(jìn)行。“網(wǎng)絡(luò)平安：在超過(guò)登錄時(shí)刻后強(qiáng)制注銷”設(shè)置的可能值為:已啟用己禁用沒(méi)有概念漏洞：若是禁用此策略設(shè)置，那么在為用戶分派的登

3、錄時(shí)刻用完以后，用戶仍能繼續(xù)連接到運(yùn)算機(jī)。計(jì)謀：將“網(wǎng)絡(luò)平安：在超過(guò)登錄時(shí)刻后強(qiáng)制注銷”設(shè)置配置為“已啟用”。此策略設(shè)置不適用于治理員帳戶。潛在阻礙：當(dāng)用戶的登錄時(shí)刻用完時(shí)，SMB會(huì)話將終止。用戶在他們的下一次打算訪問(wèn)時(shí)刻開(kāi)始之前將無(wú)法登錄到運(yùn)算機(jī)。網(wǎng)絡(luò)平安：LANManager身份驗(yàn)證級(jí)別LANManager(LM)是初期Microsoft客戶端/效勞器軟件系列，它許諾用戶將多辦個(gè)人運(yùn)算機(jī)連接在單個(gè)網(wǎng)絡(luò)上。網(wǎng)絡(luò)功能包括透明文件和打印共享、用戶平安性功能和網(wǎng)絡(luò)治理工具。在ActiveDirectory域中，Kerberos協(xié)議是默許的身份驗(yàn)證協(xié)議。可是，若是因某種緣故未協(xié)商Kerberos協(xié)議

4、，那么ActiveDirectory將利用LM、NTLM或NTLMv2oLANManager身份驗(yàn)證協(xié)議(包括LM、NTLM和NTLM版本2(NTLMv2)變體)用于在所有Windows客戶端執(zhí)行以下操作時(shí)對(duì)其進(jìn)行身份驗(yàn)證：加入到域中-在ActiveDirectory林之間進(jìn)行身份驗(yàn)證向低級(jí)別域驗(yàn)證身份向非運(yùn)行Windows2000sWindowsServer2003或WindowsXP的運(yùn)算機(jī)驗(yàn)證身份-向不在域中的運(yùn)算機(jī)驗(yàn)證身份“網(wǎng)絡(luò)平安：LANManager身份驗(yàn)證級(jí)別”設(shè)置的可能值為：發(fā)送LM和NTLM響應(yīng)發(fā)送LM和NTLM-假設(shè)協(xié)商利用NTLMv2會(huì)話平安僅發(fā)送NTLM響應(yīng)僅發(fā)送NTL

5、Mv2響應(yīng)僅發(fā)送NTLMv2響應(yīng)'拒絕LM僅發(fā)送NTLMv2響應(yīng)'拒絕LM和NTLM-沒(méi)有概念“網(wǎng)絡(luò)平安：LANManager身份驗(yàn)證級(jí)別”設(shè)置確信將哪些質(zhì)詢/響應(yīng)身份驗(yàn)證協(xié)議用于網(wǎng)絡(luò)登錄。此選項(xiàng)阻礙客戶端利用的身份驗(yàn)證協(xié)議級(jí)別、運(yùn)算機(jī)所協(xié)商的會(huì)話平安級(jí)別和效勞器所同意的身份驗(yàn)證級(jí)別，如下所示：發(fā)送LM和NTLM響應(yīng)。客戶端利用LM和NTLM身份驗(yàn)證，從不利用NTLMv2會(huì)話平安性。域操縱器同意LM、NTLM和NTLMv2身份驗(yàn)證。發(fā)送LM和NTLM-假設(shè)協(xié)商利用NTLMv2會(huì)話平安。客戶端利用LM和NTLM身份驗(yàn)證，若是效勞器支持的話，還利用NTLMv2會(huì)話平安。域操縱器同意

6、LM、NTLM和NTLMv2身份驗(yàn)證。僅發(fā)送NTLM響應(yīng)。客戶端只利用NTLM身份驗(yàn)證，若是效勞器支持的話，還利用NTLMv2會(huì)話平安。域操縱器同意LM、NTLM和NTLMv2身份驗(yàn)證。僅發(fā)送NTLMv2響應(yīng)。客戶端僅利用NTLMv2身份驗(yàn)證，若是效勞器支持的話，還利用NTLMv2會(huì)話平安。域操縱器同意LM、NTLM和NTLMv2身份驗(yàn)證.僅發(fā)送NTLMv2響應(yīng)'拒絕LM。客戶端僅利用NTLMv2身份驗(yàn)證，若是效勞器支持的話，還利用NTLMv2會(huì)話平安。域操縱器拒絕LM（只同意NTLM和NTLMv2身份驗(yàn)證）。-僅發(fā)送NTLMv2響應(yīng)'拒絕LM和NTLM。客戶端僅利用NTLMv

7、2身份驗(yàn)證，若是效勞器支持的話，還利用NTLMv2會(huì)話平安。域操縱器拒絕LM和NTLM（只同意NTLMv2身份驗(yàn)證）。這些設(shè)置與其他Microsoft文檔中討論的級(jí)別相對(duì)應(yīng)，如下所示：級(jí)別0-發(fā)送LM和NTLM響應(yīng)：從不利用NTLMv2會(huì)話平安。客戶端利用LM和NTLM身份驗(yàn)證，從不利用NTLMv2會(huì)話平安。域操縱器同意LM、NTLM和NTLMv2身份驗(yàn)證。級(jí)別1-假設(shè)協(xié)商利用NTLMv2會(huì)話平安。客戶端利用LM和NTLM身份驗(yàn)證，若是效勞器支持的話，還利用NTLMv2會(huì)話平安。域操縱器同意LM、NTLM和NTLMv2身份驗(yàn)證°級(jí)別2-僅發(fā)送NTLM響應(yīng)。客戶端只利用NTLM身份驗(yàn)證

8、，若是效勞器支持的話,還利用NTLMv2會(huì)話平安。域操縱器同意LM、NTLM和NTLMv2身份驗(yàn)證。級(jí)別3-僅發(fā)送NTLMv2響應(yīng)。客戶端利用NTLMv2身份驗(yàn)證，若是效勞器支持的話，還利用NTLMv2會(huì)話平安。域操縱器同意LM.NTLM和NTLMv2身份驗(yàn)證。級(jí)別4-域操縱器拒絕LM響應(yīng)。客戶端利用NTLM身份驗(yàn)證，若是效勞器支持的話，還利用NTLMv2會(huì)話平安。域操縱器拒絕LM身份驗(yàn)證，即，它們同意NTLM和NTLMv2o-級(jí)別5-域操縱器拒絕LM和NTLM響應(yīng)（只同意NTLMv2）0客戶端利用NTLMv2身份驗(yàn)證，若是效勞器支持的話，還利用NTLMv2會(huì)話平安。域操縱器拒絕NTLM和LM

9、身份驗(yàn)證（它們只同意NTLMv2）o漏洞：Windows2000、WindowsServer2003和WindowsXP客戶端在默許情形下均配置為發(fā)送LM和NTLM身份驗(yàn)證響應(yīng)（Windows9x客戶端只發(fā)送LM）0效勞器的默許設(shè)置許諾所有的客戶端都向效勞器驗(yàn)證身份并利用效勞器上的資源。可是，這意味著LM響應(yīng)（一種最弱的身份驗(yàn)證響應(yīng)）通過(guò)網(wǎng)絡(luò)進(jìn)行發(fā)送，而且解決者有可能嗅探該通信，以便更易地再現(xiàn)用戶的密碼。Windows9x和WindowsNT操作系統(tǒng)不能利用Kerberosv5協(xié)議進(jìn)行身份驗(yàn)證。因此，在WindowsServer2003域中，這些運(yùn)算機(jī)在默許情形下會(huì)用LM和NTLM協(xié)議驗(yàn)證身份

10、，以便進(jìn)行網(wǎng)絡(luò)身份驗(yàn)證。利用NTLMv2,能夠?yàn)閃indows9x和WindowsNT實(shí)施更平安的身份驗(yàn)證協(xié)議。關(guān)于登錄進(jìn)程，NTLMv2利用平安通道來(lái)愛(ài)惜身份驗(yàn)證進(jìn)程。即便您對(duì)舊式客戶端和效勞器利用NTLMv2,作為域成員的、基于Windows的客戶端和效勞器也將利用Kerberos身份驗(yàn)證協(xié)議向WindowsServer2003域操縱器驗(yàn)證身份。計(jì)謀：將“網(wǎng)絡(luò)平安:LANManager身份驗(yàn)證級(jí)別”設(shè)置配置為“僅發(fā)送NTLMv2響應(yīng)”。當(dāng)所有的客戶端都支持NTLMv2時(shí),Microsoft和許多獨(dú)立組織都強(qiáng)烈建議利用這種身份驗(yàn)證級(jí)別。潛在阻礙：不支持NTLMv2身份驗(yàn)證的客戶端將無(wú)法在域中

11、進(jìn)行身份驗(yàn)證，而且將無(wú)法利用LM和NTLM來(lái)訪問(wèn)域資源。網(wǎng)絡(luò)平安：LDAP客戶端簽名要求此策略設(shè)置確信數(shù)據(jù)簽名的級(jí)別，此數(shù)據(jù)簽名是代表發(fā)出LDAPBIND請(qǐng)求的客戶端而請(qǐng)求的，具體級(jí)別如下：無(wú)。LDAPBIND請(qǐng)求是用挪用方指定的選項(xiàng)發(fā)出的協(xié)商簽名。若是傳輸層平安性/平安套接字層（TLS/SSL）尚未啟動(dòng)，那么LDAPBIND請(qǐng)求是用LDAP數(shù)據(jù)簽名選項(xiàng)集和挪用方指定的選項(xiàng)啟動(dòng)的。若是TLS/SSL已經(jīng)啟動(dòng)，那么LDAPBIND請(qǐng)求是用挪用方指定的選項(xiàng)啟動(dòng)的要求簽名。此級(jí)別與“協(xié)商簽名”相同。可是，若是LDAP效勞器的中間saslBindlnProgress響應(yīng)不指出LDAP通信簽名是必需的，

12、那么挪用方會(huì)被告知LDAPBIND命令請(qǐng)求已失敗。注意：此策略設(shè)置對(duì)ldap_simple_bind或1dap_simp1e_bind_s沒(méi)有任何阻礙。WindowsXPProfessional隨附的任何MicrosoftLDAP客戶端都不利用ldap_simple_bind或ldap_simple_bind_s來(lái)與域操縱器進(jìn)行通信。“網(wǎng)絡(luò)平安：LDAP客戶端簽名要求”設(shè)置的可能值為：*無(wú)協(xié)商簽名要求簽名沒(méi)有概念漏洞：未簽名的網(wǎng)絡(luò)通信易受中間人解決（入侵者捕捉客戶端和效勞器之間的數(shù)據(jù)包，修改它們，然后將它們轉(zhuǎn)發(fā)到效勞器）。關(guān)于LDAP效勞器，這極可能意味著解決者可能致使效勞器依照LDAP查詢的

13、錯(cuò)誤或修悔改的數(shù)據(jù)作出決定。通過(guò)在企業(yè)網(wǎng)絡(luò)中實(shí)施強(qiáng)物理平安方法來(lái)愛(ài)惜網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)，能夠降低此風(fēng)險(xiǎn)。另外，若是要求所有的網(wǎng)絡(luò)數(shù)據(jù)包都借助于IPsec身份驗(yàn)證頭來(lái)進(jìn)行數(shù)字簽名，能夠使所有類型的中間人解決變得極為困難。計(jì)謀：將“網(wǎng)絡(luò)平安：LDAP效勞器簽名要求”設(shè)置配置為“要求簽名”。潛在阻礙：若是將效勞器配置為要求LDAP簽名，那么還必需對(duì)客戶端進(jìn)行配置。若是不配置客戶端它將不能與效勞器通信，這可能致使許多功能失敗，包括用戶身份驗(yàn)證、組策略和登錄腳本。網(wǎng)絡(luò)平安：基于NTLMSSP（包括平安的RPC）客戶端的最小會(huì)話平安此策略設(shè)置許諾客戶端運(yùn)算機(jī)要求協(xié)商消息的保密性（加密）、消息完整性、128位加密

14、或NTLMv2會(huì)話平安。這些值依托“LANManager身份驗(yàn)證級(jí)別”策略設(shè)置的值。“網(wǎng)絡(luò)平安：基于NTLMSSP（包括平安的RPC）客戶端的最小會(huì)話平安”設(shè)置的可能值為：要求消息的保密性。若是不對(duì)加密進(jìn)行協(xié)商，連接將失敗。加密功能將數(shù)據(jù)轉(zhuǎn)換為如不解密就無(wú)法讀取的形式要求消息的完整性。若是不對(duì)消息的完整性進(jìn)行協(xié)商，連接將失敗。消息的完整性可通過(guò)消息簽名進(jìn)行評(píng)估。消息簽名證明消息未被竄改：它附加加密的簽名（用來(lái)標(biāo)識(shí)發(fā)送方，而且以數(shù)字形式來(lái)表示消息內(nèi)容）。-要求128位加密。若是不對(duì)強(qiáng)加密（128位）進(jìn)行協(xié)商，連接將失敗。要求NTB!v2會(huì)話平安。若是不對(duì)NTLMv2協(xié)議進(jìn)行協(xié)商，連接將失敗。沒(méi)有

15、概念。漏洞：您能夠啟用此策略設(shè)置的所有選項(xiàng)，以幫忙避免利用NTLM平安支持提供程序（NTLMSSP）的網(wǎng)絡(luò)通信被已經(jīng)獲取相同網(wǎng)絡(luò)的訪問(wèn)權(quán)限的解決者公布或竄改。換句話說(shuō)，這些選項(xiàng)有助于避免受到中間人解決。計(jì)謀：?jiǎn)⒂谩熬W(wǎng)絡(luò)平安：基于NTLMSSP（包括平安的RPC）客戶端的最小會(huì)話平安”策略設(shè)置的所有四個(gè)可用選項(xiàng)。潛在阻礙：實(shí)施了這些設(shè)置的客戶端運(yùn)算機(jī)將無(wú)法與不支持它們的舊式效勞器進(jìn)行通信,網(wǎng)絡(luò)平安：基于NTLMSSP（包括平安的RPC）效勞器的最小會(huì)話平安此策略設(shè)置許諾效勞器要求協(xié)商消息的保密性（加密）、消息完整性、128位加密或NTLMv2會(huì)話平安。這些值依托“LANManager身份驗(yàn)證級(jí)別

16、”平安設(shè)置的值。“網(wǎng)絡(luò)平安：基于NTLMSSP（包括平安的RPC）效勞器的最小會(huì)話平安”設(shè)置的可能值為：*要求消息的保密性。若是不對(duì)加密進(jìn)行協(xié)商，連接將失敗。加密功能將數(shù)據(jù)轉(zhuǎn)換為如不解密就無(wú)法由任何人讀取的形式。要求消息的完整性。若是不對(duì)消息的完整性進(jìn)行協(xié)商，連接將失敗。消息的完整性可通過(guò)消息簽名進(jìn)行評(píng)估。消息簽名證明消息未被竄改；它附加加密的簽名（用來(lái)標(biāo)識(shí)發(fā)送方，而且以數(shù)字形式來(lái)表示消息內(nèi)容）。要求128位加密。若是不對(duì)強(qiáng)加密（128位）進(jìn)行協(xié)商，連接將失敗。要求NTLMv2會(huì)話平安。若是不對(duì)NTLMv2協(xié)議進(jìn)行協(xié)商，連接將失敗。沒(méi)有概念。漏洞：您能夠啟用此策略設(shè)置的所有選項(xiàng)，以幫忙避免利用

17、NTLX平安支持提供程序（NTLMSSP）的網(wǎng)絡(luò)通信被已經(jīng)獲取相同網(wǎng)絡(luò)的訪問(wèn)權(quán)限的解決者公布或竄改。即，這些選項(xiàng)有助于避免受到中間人解決。計(jì)謀：?jiǎn)⒂谩熬W(wǎng)絡(luò)平安：基于NTLMSSP（包括平安的RPC）效勞器的最小會(huì)話平安”策略的所有四個(gè)可用選項(xiàng)。潛在阻礙：不支持這些平安設(shè)置的舊式客戶端將無(wú)法與該運(yùn)算機(jī)進(jìn)行通信。故障恢復(fù)操縱臺(tái)：許諾自動(dòng)系統(tǒng)治理級(jí)登錄此策略設(shè)置確信是不是必需先提供Administrator帳戶的密碼才許諾訪問(wèn)運(yùn)算機(jī)。若是啟用此設(shè)置，Administrator帳戶自動(dòng)登錄到運(yùn)算機(jī)的故障恢復(fù)操縱臺(tái)：不需要密碼。“故障恢復(fù)操縱臺(tái)：許諾自動(dòng)系統(tǒng)治理級(jí)登錄”設(shè)置的可能值為：已啟用已禁用沒(méi)有概

18、念漏洞：當(dāng)您需要對(duì)無(wú)法啟動(dòng)的運(yùn)算機(jī)進(jìn)行故障排除和修復(fù)時(shí)，故障恢復(fù)操縱臺(tái)超級(jí)有效。可是，許諾自動(dòng)登錄操縱臺(tái)是超級(jí)危險(xiǎn)的。因?yàn)槿魏稳硕寄軌蜃叩叫谄髑埃ㄟ^(guò)斷開(kāi)電源關(guān)閉它，再?gòu)念^啟動(dòng)，從“從頭啟動(dòng)”菜單當(dāng)選擇“故障恢復(fù)操縱臺(tái)”，于是取得對(duì)效勞器的完全操縱。計(jì)謀：將“故障恢復(fù)操縱臺(tái)：許諾自動(dòng)系統(tǒng)治理級(jí)登錄”設(shè)置配置為“已禁用”。潛在阻礙：用戶將必需輸入用戶名和密碼才能訪問(wèn)故障恢復(fù)操縱臺(tái)。故障恢復(fù)操縱臺(tái)：許諾對(duì)所有驅(qū)動(dòng)器和文件夾進(jìn)行軟盤(pán)復(fù)制和訪問(wèn)啟用此策略設(shè)置會(huì)使故障恢復(fù)操縱臺(tái)的SET命令處于可用狀態(tài)，從而能夠設(shè)置以下故障恢復(fù)操縱臺(tái)環(huán)境變量：AllowWildCards0對(duì)某些命令（如DEL命令）啟用

19、通配符支持。AllowAllPaths«許諾訪問(wèn)運(yùn)算機(jī)上的所有文件和文件夾。AllowRemovableMediao許諾將文件復(fù)制到可移動(dòng)媒體，如軟盤(pán)。NoCopyPrompto禁止顯示在現(xiàn)有文件被覆蓋前通常顯示的提示。“故障恢復(fù)操縱臺(tái)：許諾對(duì)所有驅(qū)動(dòng)器和文件夾進(jìn)行軟盤(pán)復(fù)制和訪問(wèn)”設(shè)置的可能值為：已啟用-已禁用-沒(méi)有概念漏洞：能夠致使系統(tǒng)從頭啟動(dòng)到故障恢復(fù)操縱臺(tái)的解決者可能會(huì)竊取靈敏數(shù)據(jù)而且不留下任何審核或訪問(wèn)記錄。計(jì)謀：將“故障恢復(fù)操縱臺(tái)：許諾對(duì)所有驅(qū)動(dòng)器和文件夾進(jìn)行軟盤(pán)復(fù)制和訪問(wèn)”設(shè)置配置為“已禁用潛在阻礙：若是用戶通過(guò)故障恢復(fù)操縱臺(tái)啟動(dòng)效勞器，而且利用內(nèi)置的Administra

20、tor帳戶進(jìn)行登錄，他們將無(wú)法把文件和文件夾復(fù)制到軟盤(pán)。關(guān)機(jī)：許諾系統(tǒng)在未登錄前關(guān)機(jī)此策略設(shè)置確信是不是沒(méi)必要登錄到Windows就能夠夠關(guān)閉運(yùn)算機(jī)。若是啟用此策略設(shè)置,Windows登錄屏幕上會(huì)提供“關(guān)機(jī)”命令。若是禁用此策略設(shè)置，會(huì)從Windows登錄屏幕上刪除“關(guān)機(jī)”選項(xiàng)。此配置要求用戶能夠成功登錄運(yùn)算機(jī)而且具有“關(guān)閉系統(tǒng)”用戶權(quán)限,才能關(guān)閉運(yùn)算機(jī)。“關(guān)機(jī)：許諾系統(tǒng)在未登錄前關(guān)機(jī)”設(shè)置的可能值為：已啟用己禁用沒(méi)有概念漏洞：能夠在本地訪問(wèn)操縱分的用戶可能關(guān)閉運(yùn)算機(jī)。解決者也可能會(huì)走到本地操縱臺(tái)前并從頭啟動(dòng)效勞器，這可能致使臨時(shí)的DoS條件。解決者還可能會(huì)關(guān)閉效勞器，并使其所有應(yīng)用程序和效勞

21、均不可用。計(jì)謀：將“許諾系統(tǒng)在未登錄前關(guān)機(jī)”設(shè)置配置為“已禁用”。潛在阻礙：操作員將必需登錄效勞器才能關(guān)閉或從頭啟動(dòng)它們。關(guān)機(jī)：清除虛擬內(nèi)存頁(yè)而文件此策略設(shè)置確信在關(guān)閉運(yùn)算機(jī)時(shí)是不是清除虛擬內(nèi)存頁(yè)面文件。當(dāng)內(nèi)存頁(yè)未被利歷時(shí)，虛擬內(nèi)存支持如下操作：利用系統(tǒng)頁(yè)面文件將內(nèi)存頁(yè)互換到磁盤(pán)中。在正在運(yùn)行的運(yùn)算機(jī)上，那個(gè)頁(yè)面文件是由操作系統(tǒng)以獨(dú)占方式打開(kāi)的，而且會(huì)取得專門(mén)好的愛(ài)惜。可是，被配置為許諾啟動(dòng)到其他操作系統(tǒng)的運(yùn)算機(jī)可能必需確保在運(yùn)算機(jī)關(guān)閉時(shí)，系統(tǒng)頁(yè)面文件被完全清除。此信息將確保進(jìn)程內(nèi)存中可能進(jìn)入頁(yè)面文件中的靈敏信息，在關(guān)機(jī)后關(guān)于未經(jīng)授權(quán)的設(shè)法直接訪問(wèn)頁(yè)而文件的用戶不可用。啟用此策略設(shè)置時(shí)，會(huì)在正

22、常關(guān)機(jī)時(shí)清除系統(tǒng)頁(yè)面文件。另外，當(dāng)在便攜式運(yùn)算機(jī)上禁用休眠時(shí)，此策略設(shè)置還將強(qiáng)制運(yùn)算機(jī)清除休眠文件。“關(guān)機(jī)：清除虛擬內(nèi)存頁(yè)面文件”設(shè)置的可能值為：已啟用己禁用沒(méi)有概念漏洞：保留在實(shí)際內(nèi)存中的重要信息可能會(huì)按期寫(xiě)入到頁(yè)而文件中，以幫忙WindowsServer2003處置多任務(wù)功能。能夠物理訪問(wèn)已關(guān)閉效勞器的解決者能夠查看頁(yè)面文件的內(nèi)容。解決者可能會(huì)將系統(tǒng)卷移到另一臺(tái)運(yùn)算機(jī)，然后分析頁(yè)面文件的內(nèi)容。盡管此進(jìn)程很耗時(shí)，可是它能夠?qū)⒕彺嬖陔S機(jī)存取內(nèi)存（RAM）中的數(shù)據(jù)公布給頁(yè)面文件。警告：能夠物理訪問(wèn)效勞器的解決者只需斷開(kāi)效勞器的電源即可擺脫此計(jì)謀的約束。計(jì)謀：將“關(guān)機(jī)：清除虛擬內(nèi)存頁(yè)而文件”設(shè)置配

23、置為“已啟用”。此配置使WindowsServer2003在運(yùn)算機(jī)關(guān)閉時(shí)清除頁(yè)面文件。完成此進(jìn)程所需的時(shí)刻取決于頁(yè)面文件的大小。可能需要幾分鐘才會(huì)完全關(guān)閉運(yùn)算機(jī)。潛在阻礙：尤其是關(guān)于具有大量頁(yè)面文件的效勞器，將會(huì)花費(fèi)更長(zhǎng)時(shí)刻關(guān)閉并從頭啟動(dòng)效勞器。關(guān)于具有2GBRAM和2GB頁(yè)面文件的效勞器，此策略設(shè)置可能會(huì)使關(guān)閉進(jìn)程增加20到30分鐘或更長(zhǎng)。關(guān)于一些組織，那個(gè)停機(jī)時(shí)刻違背了它們的內(nèi)部效勞級(jí)別協(xié)議。因此,在您的環(huán)境中實(shí)現(xiàn)此計(jì)謀之前必然要額外警惕。系統(tǒng)加密：存儲(chǔ)在運(yùn)算機(jī)上的用戶密鑰強(qiáng)制利用強(qiáng)密鑰愛(ài)惜此策略設(shè)置確信譽(yù)戶是不是能夠利用沒(méi)有密碼的私鑰（如他們的S/MIME密鑰）。“系統(tǒng)加密：存儲(chǔ)在運(yùn)算機(jī)

24、上的用戶密鑰強(qiáng)制利用強(qiáng)密鑰愛(ài)惜”設(shè)置的可能值為:存儲(chǔ)和利用新密鑰時(shí)不需要用戶輸入第一次利用密鑰時(shí)提示用戶輸入用戶每次利用密鑰時(shí)必需輸入密碼沒(méi)有概念漏洞”：能夠配置此策略設(shè)置，以便用戶在每次利用密碼時(shí)都必需提供一個(gè)不同于其域密碼的密碼。此配置使解決者更難訪問(wèn)存儲(chǔ)在本地的用戶密鑰，即便是在解決者操縱了用戶運(yùn)算機(jī)并確信了用戶的登錄密碼時(shí)也是如此。計(jì)謀：將“系統(tǒng)加密：存儲(chǔ)在運(yùn)算機(jī)上的用戶密鑰強(qiáng)制利用強(qiáng)密鑰愛(ài)惜”設(shè)置配置為“用戶每次利用密鑰時(shí)必需輸入密碼二潛在阻礙：用戶在每次訪問(wèn)存儲(chǔ)在其運(yùn)算機(jī)上的密鑰時(shí)都必需輸入其密碼。例如，若是用戶利用S-MINE證書(shū)對(duì)他們的電子郵件進(jìn)行數(shù)字簽名，那么在他們發(fā)送簽名的

25、電子郵件時(shí)，將被迫輸入該證書(shū)的密碼。關(guān)于某些組織來(lái)講，利用此配置涉及的開(kāi)銷可能會(huì)超級(jí)高。但至少應(yīng)當(dāng)將此設(shè)置設(shè)置為“第一次利用密鑰時(shí)提示用戶輸入”。系統(tǒng)加密：利用FIPS兼容的算法來(lái)加密、哈希和簽名此策略設(shè)置確信TLS/SSL平安提供程序是不是將僅支持TLS_RSA_WITH_3DES_EDE_CBC_SHA強(qiáng)密碼套件，這意味著該提供程序只支持將TLS協(xié)議作為客戶端和效勞器(若是適合)。它只利用三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)(DES)加密算法進(jìn)行TLS通信加密，只利用Rivest-Shamir-Adleman(RSA)公鑰算法進(jìn)行TLS密鑰互換和身份驗(yàn)證，只利用平安哈希算法版本1(SHA-1)哈希算法來(lái)知足T

26、LS哈希要求。啟用此設(shè)置時(shí)，加密文件系統(tǒng)效勞(EFS)僅支持利用三重DES加密算法來(lái)加密文件數(shù)據(jù)。默許情形下，WindowsServer2003實(shí)施的EFS利用具有256位密鑰的高級(jí)加密標(biāo)準(zhǔn)(AES)oWindowsXP實(shí)施利用DESX。“系統(tǒng)加密：利用FIPS兼容的算法來(lái)加密、哈希和簽名”設(shè)置的可能值為:已啟用己禁用*沒(méi)有概念漏洞：能夠啟用此策略設(shè)置來(lái)確保運(yùn)算機(jī)將利用可用于數(shù)字加密、哈希和簽名的功能最壯大的算法。利用這些算法可將未經(jīng)授權(quán)的用戶損害數(shù)字加密或簽名數(shù)據(jù)的風(fēng)險(xiǎn)降到最低。計(jì)謀：將“系統(tǒng)加密：利用FIPS兼容的算法來(lái)加密、哈希和簽名”設(shè)置配置為“已啟用”。潛在阻礙：?jiǎn)⒂么瞬呗栽O(shè)置的客戶

27、端運(yùn)算機(jī)將無(wú)法通過(guò)數(shù)字加密或數(shù)字簽名協(xié)議與那些不支持這些算法的效勞器進(jìn)行通信。不支持這些算法的網(wǎng)絡(luò)客戶端還將無(wú)法利用需要加密網(wǎng)絡(luò)通信的效勞器。例如，就無(wú)法將許多基于Apache的Web效勞器配置為支持TLS。若是啟用此設(shè)置，還將需要將InternetExplorer配置為利用TLS。此策略設(shè)置還會(huì)阻礙用于遠(yuǎn)程桌面協(xié)議（RDP）的加密級(jí)別。遠(yuǎn)程桌面連接工具利用RDP協(xié)議與運(yùn)行終端效勞和客戶端運(yùn)算機(jī)（配置為遠(yuǎn)程操縱）的效勞器進(jìn)行通信：若是兩類運(yùn)算機(jī)都沒(méi)有配置為利用同一加密算法，那么RDP連接將失敗。使InternetExplore能夠利用TLS1.在InternetExplorer的"工

28、具”菜單上,打開(kāi)uInternet選項(xiàng)”對(duì)話框。2.單擊“高級(jí)”選項(xiàng)卡。3.選中“利用TLS”復(fù)選框。您還能夠通過(guò)組策略或利用InternetExplorer治理員工具包對(duì)此策略設(shè)置進(jìn)行配置。系統(tǒng)對(duì)象：由治理員（Administrators）組成員所創(chuàng)建的對(duì)象默許所有者此策略設(shè)置確信Administrators組或?qū)ο髣?chuàng)建者是不是是所創(chuàng)建的任何系統(tǒng)對(duì)象的默許所有者。“系統(tǒng)對(duì)象：由治理員（Administrators）組成員所創(chuàng)建的對(duì)象默許所有者”設(shè)置的可能值為：治理員組對(duì)象創(chuàng)建者沒(méi)有概念漏洞：若是將此策略設(shè)置配置為“治理員組”，個(gè)人將不可能負(fù)責(zé)新系統(tǒng)對(duì)象的創(chuàng)建。計(jì)謀：將“系統(tǒng)對(duì)象：由治理員（A

29、dministrators）組成員所創(chuàng)建的對(duì)象默許所有者”設(shè)置配置為“對(duì)象創(chuàng)建者”。潛在阻礙：在創(chuàng)建系統(tǒng)對(duì)象時(shí)，所有權(quán)將反映是哪個(gè)帳戶（而不是泛指哪個(gè)Administrators組）創(chuàng)建了對(duì)象。此策略設(shè)置的后果是，當(dāng)用戶帳戶被刪除時(shí)該對(duì)象將變成孤立的。例如,當(dāng)信息技術(shù)組的某位成員離開(kāi)時(shí)，他在域中任何位置創(chuàng)建的任何對(duì)象將沒(méi)有所有者。此情形將對(duì)治理員造成負(fù)擔(dān)，這是因?yàn)橹卫韱T將必需手動(dòng)取得這些孤立對(duì)象的所有權(quán)以更新它們的權(quán)限。若是能夠確保老是為域組（如DomainAdmins）的新對(duì)象分派“完全操縱”權(quán)限，那么可將此潛在負(fù)擔(dān)減至最小。系統(tǒng)對(duì)象：對(duì)非Windows子系統(tǒng)不要求區(qū)分大小寫(xiě)此策略設(shè)置確信是

30、不是對(duì)所有子系統(tǒng)不要求區(qū)分大小寫(xiě)。MicrosoftWin32公子系統(tǒng)不區(qū)分大小寫(xiě)。可是，內(nèi)核支持其他子系統(tǒng)（如可移植UNIX操作系統(tǒng)接口（POSIX）區(qū)分大小寫(xiě)。若是啟用此設(shè)置，那么所有目錄對(duì)象、符號(hào)鏈接，和10和文件對(duì)象均不要求區(qū)分大小寫(xiě)。若是禁用此設(shè)置，Win32子系統(tǒng)可不能區(qū)分大小寫(xiě)。“系統(tǒng)對(duì)象：對(duì)非Windows子系統(tǒng)不要求區(qū)分大小寫(xiě)”設(shè)置的可能值為：已啟用已禁用沒(méi)有概念漏洞：由于Windows不區(qū)分大小寫(xiě)，可是POSIX子系統(tǒng)將支持區(qū)分大小寫(xiě)，因此，若是未啟用此策略設(shè)置，該子系統(tǒng)的用戶將有可能創(chuàng)建一個(gè)與另一個(gè)文件同名、可是混有不同大小寫(xiě)字母的文件。當(dāng)用戶嘗試從正常的Win32工具訪

31、問(wèn)這些文件時(shí)，這種情形可能使他們感到混淆，因?yàn)閷⒅挥衅渲械囊粋€(gè)文件可用。計(jì)謀：將“系統(tǒng)對(duì)象：對(duì)非Windows子系統(tǒng)不要求區(qū)分大小寫(xiě)”設(shè)置配置為“已啟用二潛在阻礙：所有的子系統(tǒng)都將被迫遵守不區(qū)分大小寫(xiě)這一規(guī)那么。此配置可能使熟悉某個(gè)基于UNIX的操作系統(tǒng)（區(qū)分大小寫(xiě)）的用戶感到混淆。系統(tǒng)對(duì)象：增強(qiáng)內(nèi)部系統(tǒng)對(duì)象的默許權(quán)限（例如SymbolicLinks）此策略設(shè)置確信對(duì)象的默許DACL的強(qiáng)度。Windows保護(hù)共享運(yùn)算機(jī)資源（如MS-DOS設(shè)備名稱、多用戶終端執(zhí)行程序和信號(hào)燈）的全局列表，以便于在進(jìn)程間定位和共享對(duì)象。“系統(tǒng)對(duì)象：增強(qiáng)內(nèi)部系統(tǒng)對(duì)象的默許權(quán)限（例如SymbolicLinks）”設(shè)置的可能值為：已啟用已禁用沒(méi)有概念漏洞：此設(shè)置確信對(duì)象的默許DACL的強(qiáng)度。WindowsServer2003保護(hù)共享運(yùn)算機(jī)資源的全局列表，以便于在進(jìn)程間定位和共享對(duì)象。各類類型的對(duì)象在創(chuàng)建時(shí)都附帶了默許的DACL,指定誰(shuí)能夠訪問(wèn)該對(duì)象并以何種權(quán)限訪問(wèn)。若是啟用此設(shè)置，默許的DACL會(huì)增強(qiáng),因?yàn)樵S諾非治理員用戶讀取共享對(duì)象，可是不能修