组策略设置系列篇之“安全选项”2

组策略设置系列篇之“安全选项”-2

选项, 设置

交互式登录：不显示上次的用户名

此策略设置确定“登录到Windows”对话框是否显示上次登录到该计算机的用户的名称。如果启用此策略设置，不显示上次成功登录的用户的名称。如果禁用此策略设置，则显示上次登录的用户的名称。

“交互式登录：不显示上次的用户名”设置的可能值为：

•

已启用

•

已禁用

•

没有定义

漏洞：能够访问控制台的攻击者（例如，能够物理访问的人或者能够通过终端服务连接到服务器的人）可以查看上次登录到服务器的用户的名称。攻击者随后可能尝试猜测密码，使用字典或者依靠强力攻击以试图登录。

对策：将“不显示上次的用户名”设置配置为“已启用”。

潜在影响：用户在登录服务器时，必须始终键入其用户名。

交互式登录：不需要按CTRL+ALT+DEL

此策略设置确定用户在登录前是否必须按Ctrl+Alt+Del。如果启用此策略设置，用户登录时无需按此组合键。如果禁用此策略设置，用户在登录到Windows 之前必须按Ctrl+Alt+Del，除非他们使用智能卡进行Windows 登录。智能卡是一种用来存储安全信息的防篡改设备。

“交互式登录：不需要按CTRL+ALT+DEL”设置的可能值为：

•

已启用

•

已禁用

•

没有定义

漏洞：Microsoft 之所以开发此功能，是为了更便于身体有某种残疾的用户登录到运行Windows 的计算机。如果不要求用户按Ctrl+Alt+Del，他们容易受到尝试截获其密码的攻击。如果要求用户在登录之前按Ctrl+Alt+Del，用户密码则会通过受信任路径进行通信。

攻击者可能会安装看似标准Windows 登录对话框的特洛伊木马程序，并捕获用户的密码。攻击者随后将能够使用该用户具有的特权级别登录到被侵入的帐户。

对策：将“不需要按CTRL+ALT+DEL”设置配置为“已禁用”。

潜在影响：除非用户使用智能卡进行登录，否则他们必须同时按这三个键，才能显示登录对话框。

交互式登录：用户试图登录时消息文字

“交互式登录：用户试图登录时消息文字”和“交互式登录：用户试图登录时消息标题”设置密切相关。第一个策略设置指定用户登录时显示给他们的消息文字，而第二个策略设置指定显示在包含消息文字的窗口的标题栏中的标题。许多组织将这些文本用于法律目的，例如，警告用户误用公司信息的后果，或者警告用户他们的操作可能被审核。

警告：Windows XP Professional 添加了如下支持：长度可以超过512 个字符、而且还可以包含回车换行序列的登录标题。但是，Windows 2000 客户端不能理解和显示这些消息。您必须使用Windows 2000 计算机创建适用于Windows 2000 计算机的登录消息策略。如果您无意中在Windows XP Professional 计算机上创建了一个登录消息策略，但是发现它不能在Windows 2000 计算机上正确地显示，请执行下列操作：

•将该设置重新配置为“没有定义”。•使用Windows 2000 计算机重新配置该设置。如果只是在Windows 2000 计算机上更改由Windows XP Professional 定义的登录消息设置，将不会奏效。必须首先将该设置重新配置为“没有定义”。

这些策略设置的可能值为：

•

用户定义的文本

•

没有定义

漏洞：在登录之前显示警告消息，可能有助于在攻击发生之前警告攻击者他们的不正当行为，从而防止攻击。可能还有助于通过在登录过程中通知员工相应策略来加强公司策略。

对策：将“用户试图登录时消息文字”和“用户试图登录时消息标题”设置配置为适合组织的相应值。

注意：所显示的任何警告消息应先经您所在组织的法律代表和人力资源代表的许可。

潜在影响：用户在登录到服务器控制台之前将看到对话框中的一则消息。

交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）

此策略设置确定多少位不同用户可以使用缓存的帐户信息登录到Windows 域。域帐户的登录信息可以被本地缓存，以便在无法就后续登录联系域控制器时，用户仍可以登录。此策略设置可以确定其登录信息在本地缓存的唯一用户的个数。

如果某个域控制器不可用，某个用户的登录信息被缓存，则该用户会被提示以下消息：

不能联系您的域中的域控制器。您已经使用缓存的帐户信息登录。由于您上次登录的域控制器可能不可用，因此请更改您的配置文件。

如果某个域控制器不可用，某个用户的登录信息未被缓存，则该用户会被提示此消息：

现在不能登录该系统，因为<域名> 域不可用。

“交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）”设置的可能值为：•

用户定义的数值，在0 至50 之间

•

没有定义

漏洞：分配给此策略设置的数字指出服务器将在本地缓存多少个用户的登录信息。如果该数字被设置为10，则服务器缓存10 个用户的登录信息。当第11 个用户登录到该计算机时，服务器会覆盖最旧的缓存登录会话。

访问服务器控制台的用户会将其登录凭据缓存到该服务器上。能够访问服务器文件系统的攻击者可以查找这个缓存信息，并使用强力攻击试图确定用户密码。

为减轻这种类型的攻击，Windows 加密该信息并将其分散在多个物理位置。

对策：将“交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）”设置配置为0，可禁用在本地缓存登录信息。其他对策包括强制使用强密码策略并对计算机的位置进行物理保护。

潜在影响：如果用户无法向任何域控制器验证其身份，他们将无法登录任何计算机。对于最终用户计算机（尤其是移动用户），组织可能希望将此值配置为2。如果将此值配置为2，则意味着用户的登录信息仍将位于缓存中，即使IT 部门的某个成员最近登录过用户的计算机以执行系统维护时也是如此。此方法允许用户在未连接到组织网络时登录到他们的计算机。

交互式登录：在密码到期前提示用户更改密码

此策略设置确定提前多少天提醒用户其密码即将到期。有了这个提前警告，用户就有时间创建足够强的密码。

“交互式登录：在密码到期前提示用户更改密码”设置的可能值为：

•

用户定义的天数，介于 1 和999 之间

•

没有定义

漏洞：Microsoft 建议将用户密码配置为定期过期。用户将需要被提醒其密码即将过期，否则在其密码到期时他们可能会被无意中锁定在计算机外。此情况可能会导致用户在本地访问网络时造成混乱，或者使用户不能通过拨号或虚拟专用网络(VPN) 连接访问组织网络。